ISMSとは?

ISMS適合性評価制度とは、企業や組織が自身の情報セキュリティを確保・維持するために、個別の問題ごとの技術対策のほかに、組織のマネジメントとして 自らのリスク評価により、必要なセキュリティレベルを定め、計画し、そのルールに基づいたマネジメントシステムを運用していることを、国際規格である ISO/IEC27001(日本のJIS規格の場合は「JIS Q 27001」)に適合しているかどうかを第三者認証機関(審査登録機関)が審査、認証する制度です。ISMSの認証取得を希望する事業者は、指定された審 査登録機関に申請を行い、審査員によるISMS審査の結果、審査登録機関からの報告を受けて、ISO/IEC27001規格に適合した組織体制を整えてい るという認証され、認証企業として登録されます。

ISMS認証制度の流れ

1. 審査機関への問合せ・見積り

ISMS(ISO27001)は国際規格であるため、Pマークと異なり、ISMSの審査にどれぐらいの費用がかかるのか、また手続きはどのようにすれば良 いのかは、各審査登録機関により若干異なります。ISMSの構築開始前に各審査登録機関に問い合わせ、見積もりをとるなどしましょう。
ISMS審査登録機関に関しては、日本情報処理開発協会(JIPDEC)のホームページ(http://www.isms.jipdec.jp/)もしくは、日本適合性認定協会(JAB)のホームページ(http://www.jab.or.jp/)よりご覧ください。

2. 申請手続き

審査を依頼する機関が決定したら、審査依頼の手続きを行います。申請には、申請料金がかかります。申請書には、各機関の指定様式があり、会社概要、組織体制、情報セキュリティに対するレベルなどを記載することになります。

3. 初回認証審査

初回認証審査は、第2段階に分かれて実施されます。第1段階では、「事前確認:見積用アンケートの内容等の確認」「ISMSのフレームワーク確認:フレー ムワーク、範囲、リスクアセスメント、 リスクマネジメント、適用宣言書等の確認」「セキュリティーポリシー及び手順確認:セキュリティポリシーとポリシーを支える主要な手順等の確認 」などが実施されます。第2段階では、「ISMSの実施状況に関する確認」が実施されます。なお、第1段階審査の結果によっては、第2段階の審査工数変更 が提案される場合もあります。

4. 認証書発行

審査の結果、不適合が指摘された場合、約3ヶ月以内に不適合の是正を行い、審査登録機関に不適合の是正の確認が行われます。審査登録機関による不適合是正 確認が全て完了し、ISMS認証基準への適合性が認められると審査登録機関より判断されると、認証書が発行されることになります。認証には、手続き費用が 発生します。なお、認証書の発行には、各審査機関が定めた審査議会により判定されるため、ISMSの審査が終わったからといってすぐに発行される訳ではあ りませんので、ご注意ください。(適合性が認められてから、約2ヶ月前後かかります。)

5. 維持審査

認証書を維持するためには、定期的に継続審査を受けることが必要となります。維持審査は、年1回(更新審査まで2回)または年2回(更新審査まで4回)の継続審査を実施します。なお、維持審査の回数は、審査機関により異なります。

6. 更新審査

認証は、3年(有効期間)にて満了するため、認証を更新する際は、満了前に認証更新の適切性を確認する更新審査を受審する必要があります。更新審査後、3 年間の有効期間を得ることになり、「維持審査」を受審することになります。ISMSの認証取得を証明し続ける場合は、この「維持審査」と「更新審査」の手 続きを繰り返し行うことになります。

シェアする

  • このエントリーをはてなブックマークに追加

フォローする