ISMSクラウドセキュリティ認証を取得するためには、通常のISMS認証と同様、審査機関から審査を受ける必要があります。

ここで多くの方が気になるのが、審査にかかる時間、すなわち「審査工数」がどの程度か、ということではないでしょうか。

審査を受ける側からすれば、できるだけ審査工数を少なくして、審査料金を減らしたいであるとか、本業に集中したいと考えている方も多いと思います。

しかし、実際のISMSクラウドセキュリティ認証を取得するための審査工数は、残念なことに、想像よりもかなり長い場合が多いようです。

審査機関に対する要求事項「JIP-ISAC100」を見てみる

JIPDECは、各審査機関に対する要求事項として「JIP-ISAC100」を公開しています。

以前ご紹介した「JIP-ISMS517」は、ISMSクラウドセキュリティ認証を取得する企業に向けた要求事項でしたが、今回ご説明する「JIP-ISAC100」は、ISMS認証やISMSクラウドセキュリティ認証を審査する審査機関に向けた要求事項が書かれている文書になります。

（参考：ISMSクラウドセキュリティ認証の要求事項JIP-ISMS517とは？）

ちなみに、「JIP-ISAC100」は、以下のページから無料で手に入れることができます。

ISO/IEC 27017:2015に基づくISMSクラウドセキュリティ認証に関する文書の公表について

この文書には、審査工数の算出の目安となる計算式が掲載されています。分かりやすくまとめると、以下のようになります。

上記の式を少しだけご説明します。

まず、「(ISMS初回審査)」の工数が、ISMSクラウドセキュリティ認証の審査工数に大きく影響している事がわかります。

この初回審査とは、ISMS認証の初回審査の工数そのものを表しているわけではなく、今回のクラウドセキュリティ認証の対象となる適用範囲でISMS認証を新規取得すると仮定した場合にかかる工数を意味しています。

また、αとは、JIP-ISAC100では、「クラウドサービス種別等の増加要因」と定義されています。

より具体的には、「クラウドサービス種別、システム構成、サービス利用者数等」と書かれています。

つまり、「α」の部分は、どのようなサービス種別か(IaaS, PaaS, SaaSなど)や、サーバやネットワークなどのシステム構成の複雑さ、また、どれだけ多くの人がそのサービスを利用しているか、などといった要素を加味して、審査機関側で決定されるということです。

これは例えばの話ですが、CSPおよびCSCとして、ISMSのサーベイランス審査と同時期にISMSクラウドセキュリティ認証審査を受審する場合、もし＋αの部分がある程度以上の大きさであれば、通常のサーベイランス審査の2倍以上の時間がかかってしまうことも、十分に考えられます。

アドオン認証だからといって、審査も軽くこなすことは難しそうです。

審査工数を少なくするには？

今までご説明したとおり、審査工数の計算はある程度の計算式には基づいているものの、比較的サービスの特徴によって左右されることをご説明しました。

これはつまり、審査費用の見積もりの段階で、「自社のサービスがとてもシンプルな構成で、審査する側からしてもそこまで工数がかからないと思うよ」ということを、審査会社に的確に伝える事ができれば、審査工数が少なくなる可能性があることを意味しています。

何を持って「自社サービスがシンプルな構成」なのかということを一概に説明することは出来ませんが、例えば、自社内にサーバはありません、であるとか、まだ利用者もそこまで多くなく、インフラ構成もとても単純です、などと言った内容は、ひょっとすると審査工数の削減につながるかもしれません。

LRMがご提供するISO27017認証取得コンサルティングについてはこちら！