ISMSの認証申請から審査、取得までの流れ
ISMS認証を申請し、認証を取得するまでの流れは、1.申請、2.受理・契約、3.予備審査、4.文書審査、5.実地審査、6.認証・登録となります。ここでは、このステップの内容を簡潔に解説します。なお、審査の流れは審査登録機関によって違いがありますので、詳しくは個別に確認する必要があります。同様に、認証取得にかかる費用も事業規模や内容、情報リスクの大きさ、さらには審査登録機関によっても異なりますので、こちらも事前に確認しておきましょう。
申請
認証を希望する組織は、審査登録機関に認証の申請を行います。審査登録機関は認定さえ受ければ民間の事業者がなることも可能ですので、認証を希望する事業者は、複数の中から審査登録機関を選択することになります。
受理・契約
審査登録機関は、認証を希望する組織が提出した申請書類を審査し、受理します。その後、申請者と審査登録機関がISMS認証のための契約を結びます。
予備審査
審査登録機関が認証希望組織に対して予備審査を行います。ただし、オプション扱いで、必ず受けなければならないものではありません。
文書審査
本格的なISMS認証審査の第一ステージにあたります。ここでは、組織のISMS関連文書が適切に整備されているかが、審査の対象となります。この審査を通らないと、次の実地審査には進めません。
実地審査
審査員が実際に組織のISMSについて審査を行います。審査は、運用しているISMSが認証基準に適合しているかどうか、ヒアリングまたは各種チェックが行われます。
認証登録
上記審査を経て、組織のISMSが、基準に適合していることが確認されると合格になります。そして、審査登録機関からJIPDECに対して審査報告が行われるとともに、認証組織に対してISMSマークを含む登録文書が発行されます。登録後、ISMSの適切な運用ついての定期的な審査(サーベイランス)と、3年に1度の更新審査を受けなければなりません。
JIPDECが発行する「ISMS審査登録機関認定基準に関する指針」では、予備審査の実施を規定していませんが、オプションとして提供している審査登録機関があります。本審査前に組織のISMSが本審査を受けられるレベルか否かの判断と不適合箇所を明確にするための手段として有効です。
予備審査は、本審査である「文書審査」と「実地審査」を簡素化して実施するもので、ISO20071の要求事項に基づくレビュー、本審査までに準備すべき事項の明確化、適用範囲の確認と合意の形成を目的に実施されます。
審査登録機関は、審査の公正性を担保するために、コンサルティングサービスの提供は禁止されています。そのため、予備審査において確認された不適合事項に対しては、組織自らが是正処置を検討して改善する必要があります。審査登録機関が、予備審査を複数回実施することは、コンサルティングサービスと同様の意味を持つと考え、実施回数を1回に限定する審査登録機関もあります。
組織のISMSがISO27001の要求事項に基づいて適切に設計されていることを確認するための文書を審査します。審査対象となる文章には、組織の実施した情報セキュリティに関するリスクアセスメント方法と結果、適用宣言書、その他組織が必要であると判断した各種の規定や手順所などが含まれます。
審査中に不適合事項が発見された場合、審査対象組織は、審査登録機関が実地審査(セカンドステージ)で是正状況を確認できる内容の実施計画を策定し、審査登録機関の合意を得る必要があります。特に発見された不適合事項が重大である場合、実地審査に進むことができないケースもあります。
さらに、ISMS整備に関する状況を確認するため、経営者および情報セキュリティ管理責任者に対してトップインタビューも行われます。ISMS認証基準では、経営陣に対す要求事項が列挙されています。これらの要求事項に対して、経営者が満足のいく回答をできるかどうかが、審査のポイントとなります。
文書審査の後に行われる実地審査は、対象組織の拠点で行われる最終審査となります。ここでは、文書確認や各部門の代表者のヒアリング、現場視察を行い、運用面でのISMSが適切に機能しているかどうかをチェックします。
具体的には、重要なサーバーのアクセスログやそれらに対する監視の実施記録などをサンプリングして確認し、現場におけるISMSの運用状況を確認・審査します。また、各部門の代表者のヒアリングでは、ISMS関連文書に明記されている各種手順と、現場で実際に行われている内容との間に食い違いがないかが、審査のポイントとなります。
審査報告書には、客観的証拠に基づく指摘事項とその重要度(重大、軽微、観察)が記載されます。指摘を受けた組織は、改善計画を策定し、審査登録機関の承認を受けた上で実施します。軽微な指摘事項については改善処置の実施と適切性、および実効性を、認証登録後に実施されるサーベイランスでフォローします。重大な指摘事項については、フォローアップ審査を行い、改善計画が実施されたことを確認します。
ISMS認証の登録有効期間内すなわち登録日から3年後の更新審査までに通常1年に1~2回ずつ「サーベイランス」が実施されます。サーベイランスの目的は2つあります。まず、組織の情報セキュリティ基本方針の目標達成の点からみたISMSの有効性、該当する情報セキュリティに関する法規制の遵守を定期的に評価しレビューする手順が機能しているかをチェックすること、そして、前回の審査における重大な不適合に対する処置などを確認することです。
サーベイランスにおいて重大な不適合が確認された場合や登録したISMSが適切に維持されていない場合には、登録を維持するために組織が行う是正措置についてフォローアップ審査を受けなければなりません。また、サーベイランスの結果は、当然、組織がISMS認証登録を維持できるか否かを判定するためにも利用されます。
更新審査は、ISMS認証登録を更新する目的で3年ごとに実施されます。審査範囲とその内容は、初回審査における実地審査とほぼ同様であるため、十分な準備が必要となります。初回審査から3年間、組織のISMSに大きな変更がない場合には、簡略化された審査が行われる場合もあります。
しかし、IT環境はめまぐるしく変化しており、3年間にわたって組織のISMSに目立った変更が行われていない場合には、逆にその有効性、実効性を問われる可能性があります。したがって、IT環境や事業内容の変化を踏まえて、リスクアセスメントや見直しを十分に行う必要があります。