情報セキュリティの管理を適切に行っているという信頼を対外的に得るために、
ISMS取得を目指す中小企業が増えてきています。
しかし、ISMS認証取得は取りたい!と思い立ってからすぐに取得ができる訳ではありません。
基本的には6ヶ月~1年程度かかり、時間だけでなく費用もかかってきます。
そこで今回は、ISMS認証取得までにかかる期間や費用・取得に至るまでの流れについて解説します。
初めての方でも大まかな流れを把握できる内容になっていますので、ぜひ最後までご覧ください。
目次
ISMSとは、「情報セキュリティマネジメントシステム」を指します。
つまり、企業・組織として情報を管理し、守るための体制を整えることです。
ISMSと混同されやすい「ISO/IEC27001」がありますが、ISMSは前述したように実際に組織が
情報セキュリティマネジメントを実施する「仕組み」であり、ISO/IEC27001はISMSを「構築・運用するための基準(ルール)」という関係性でした。
リスク対策を行いながら、情報を使いやすい体制を整備していく必要があります。
ISMS取得の流れはPDCAサイクル(Plan-Do-Check-Act)の考え方に基づいて進み、キックオフから取得完了までは早くて6ヶ月~長くて1年ほどかかります。
Plan:計画
ISMS取得の目標を設定し、スケジュールを作成してリソースを確保する
Do:実行
情報セキュリティマネジメントシステム(ISMS)を構築し、運用する
Check:評価
内部監査でISMSの運用状況を確認し、マネジメントレビューで経営層に運用状況を報告する
Act:改善
一次審査と二次審査を通じてISMSの構築と運用を確認し、必要な改善を行う
1.取得の計画を立てる
まずは、計画を立てることが重要です。
取得目的からISMSの認証範囲の決定、いつまでに取得するのかといった目標を定めます。
また、取得までには審査費用などがかかります。審査費用だけでなく、社内で必要な設備や
コンサルティング費用も考慮して予算を見ておくようにしましょう。
2.認証機関の選定
計画立てが完了したら、次は認証してもらう機関(審査機関)を選定します。
認証機関によって審査費用や審査の進め方に違いがあるため、組織に見合った認証機関を選定
しましょう。
3.情報セキュリティマネジメントシステムの構築
ISMSの規格要求事項に合わせた社内ルールを策定しましょう。
構築内容には、情報セキュリティポリシーの策定・リスクアセスメントの実施・リスク対策の選定と実施などが含まれます。
4.情報セキュリティマネジメントシステムの運用
実際にISMS運用を行っていきます。3⃣で定めた社内ルールに基づいて業務をおこないます。
ISMS活動に関するレビューや従業員への教育、リスクへの対応などが行われているかも含まれます。
5.社内チェック(内部監査)とトップへの報告(マネジメントレビュー)
ISMSの運用状況を確認するため、認証機関の審査を受ける前に内部監査を行います。
内部監査では、管理規定に定められた運用ができているかどうかやマニュアルの手順が守られているかなどを確認する内容となっていて、内部監査で問題が見つかった場合は、直ちに改善を行います。
また、マネジメントレビューで経営層にISMSの運用状況を報告します。
ISMS認証の要件を本当に満たせているかを改めてチェックし、さらに改善が必要な点がないかを
確認します。
6.審査を受ける
審査は二段階にわかれており、文書審査をクリアすると実際の運用審査を受けます。
具体的には、下記のように一次・二次審査でわかれています。
ISMSの関連文書(マニュアル等の規定類)が適切に整備されているかのチェックが入ります。
また、ISO27001の規格要求事項に則っていても、組織に適した文書になっていないと意味がありません。
規格と組織両方にマッチした文書になっているかを念入りに確認されます。
運用に不備があるとISMS認証機関からの是正の指摘を受けるので、それらを対応して審査終了となります。
一次審査・二次審査を経て、ISMSの認証登録がされるまでの期間は、3か月程度が目安となっています。
ISMS審査機関は特徴や審査にかかる費用が異なります。そのため、複数の期間をじっくりと比較検討することが大切です。いくつか候補を上げ、見積もりを取り寄せてみましょう。
今回は3社ほど、ISMS認証機関をご紹介します。
いずれもISMS-AC(情報システムマネジメントセンター)のHP上で「ISMS認証機関一覧」に
掲載されている機関となります。
1.国際マネジメントシステム認証機構株式会社
ITセキュリティ技術を熟知した審査員によるISMS/JIS Q 27001、およびクラウドセキュリティ認証登録サービスの提供はもちろん、クレジットカード情報や決済情報を安全に守る国際基準のPCI DSS準拠支援サービスなども提供する企業。
2.BSIグループジャパン株式会社
BSIグループジャパン株式会社は、規格策定、製品やマネジメントシステムなどの認証、試験、検査、品質保証及び教育・研修サービスを提供するBSIグループの日本法人です。
3.一般財団法人 日本品質保証機構 マネジメントシステム部門(JQA)
公正な第三者機関として、マネジメントシステム・製品・環境などに関する認証・試験・検査などを実施している企業。
ISMS認証取得には、必ず審査費用がかかります。費用は取得する事業規模や審査機関によって
異なりますが、相場は50~100万円程度です。
また、取得のサポートをコンサルティング会社に依頼する場合は別途コンサルティング費用がかかってきます。
尚、ISMSは年に1回の維持審査、3年に1回の更新が必要です。維持審査は約50万円、更新審査で
約70万円が概ねの相場です。
各費用は認証機関や諸条件によって大きく異なる可能性があるので、ISMSを取得する場合のコストは、個別に認証機関から見積もりをもらいましょう。
ISMS認証の登録有効期限は3年間と定められており、ISMS認証を保持し続けるためには、
3年ごとに登録を更新するための審査を受けて合格する必要があります。
また、3年後の更新審査だけでなく、取得から一年ごとに維持審査という審査も発生します。
引用元:Secure Navi「ISMS認証の取得にかかる期間は?有効期限と更新審査・維持審査のペースも紹介」
維持審査
維持審査では、審査機関によっては「定期審査」や「サーベイランス審査」とも呼ばれており、ISMS認証取得時に構築したISMSが問題なく運用できているか、主要な部分をチェックして合否を判定します。
ISMS認証取得時の審査ほど細かくチェックされることは少ないものの、指摘事項があった場合は是正処置の実施が求められ、次回の審査時に是正されているかチェックされます。
更新審査
更新審査は初回の登録審査とほぼ同様に行われるので、すべての認証範囲を対象とし、引き続き運用管理で重要な点をきちんと実施できているかの確認がメインとなります。
更新審査時は、指摘事項がでた時に是正処置を実施しないと認証登録の更新ができないので注意です。
引用元:認証パートナー「ISMSの審査は難しい?流れ、準備物、注意するポイントを解説」
審査費用のところで少し触れましたが、ISMS認証取得には「自社取得」と「コンサル取得」の
2種類があり、どちらで実施するかを決める必要があります。
それぞれの概要は下記の通りです。
自社取得は、自社の社員だけでISMSを構築し、ISMS認証を取得することです。
社内で連携がとりやすくなる利点はありますが、社員が本業とISMS認証取得をの業務を兼任するケースが多く、従業員への負担が増えてしまいます。
また構築だけでなく、構築したISMSが自社に適しているかどうか、ISMS認証の要求事項に適しているかどうかという点も自社内で見極めることが必要になります。
コンサル取得は、ISO27001やPマークにおけるプロのコンサルティング業者に認証取得のサポート依頼して取得をします。一般的にコンサル依頼料が発生しますが、ISMS認証取得にかかる業務の多くを請け負ってもらうことが可能です。
コンサルティング会社に依頼することで、ISMS認証の審査通過の確実性が増すだけでなく、依頼先によっては自社の実情に適したマネジメントシステム構築に期待できます。
つまり、取得の為だけでなく、取得後に機能するマネジメントシステムを構築するためにも
「コンサル取得」がオススメです。
今回の記事では、ISMS認証取得をするまでの期間や流れ~審査費用、取得方法について
解説しました。
上記流れは一般的な流れとなり、構築の為にはかなりの労力と時間が必要になります。
自社の従業員たちの本業を疎かにしないためにも、コンサルタントに入ってもらいISMS認証を
目指す方が効率的かもしれません。
株式会社Runway labo.では、あらゆるITのお悩み・認証資格取得のサポートを行っております。
Pマーク・ISMS認証取得のご支援・ご相談も承っておりますので、ぜひ一度お気軽にご相談ください。
→お問い合わせはこちらから
この記事を書いたのは、株式会社Runway-labo.で情シスのアシスタントをしているAnya。趣味はピラティスで身体を動かした後に餃子とハイボール片手に昼飲み。そしてコナン君をこよなく愛する。