今回は、実際に審査工数がどのように決められているのかを、審査工数を決める国際規格であるISO/IEC 27006をもとに解説したいと思います。
審査工数に影響を与える要因
審査工数は、組織がどのような体制でどのような事業を行っているのかに影響されます。影響を与える要因は複数存在し、「事業の複雑さ」と「ITに関する複雑さ」の2つに分類されます。
この2つの関係性によって審査工数が決まります。また、要因はそれぞれ3つ定義されているので、合計6つの要因を検討します。
個人情報などの取り扱いに慎重を要する情報を組織が扱っている場合、同じように審査も慎重になり、その情報周りのセキュリティを深く審査する必要があり、審査工数にも影響を与えることになります。
例えば、システム開発を行っている組織は、審査工数が増加する傾向にあります。対して、重要な情報をあまり扱わない組織の審査工数は減少する傾向にあります。
審査工数の計算
実際に審査工数を算出する手順を説明したいと思います。まずは審査工数表から審査工数の概算を求めます。次に、前述した審査工数に影響を与える要因のそれぞれの影響レベルを検討します。
影響度レベルは3段階構成となっており、レベル1が「低」、3が「高」となります。
「事業の複雑さ」と「ITの複雑さ」それぞれで影響レベルの合計値を計算します。要因の数はそれぞれ3つなので、影響度レベルの合計値は3~9で表されます。
この合計値とISO/IEC 27006に記載されている「表.:審査工数に対する要因の影響度」を照らし合わせ、審査工数への影響度を求めます。
| ITの複雑さ | ||||
|---|---|---|---|---|
| 影響度レベル | 低(3~4) | 中(5~6) | 高(7~9) | |
| 事業の複雑さ | 高(7~9) | +5%~+20% | +10%~+50% | +20%~+100% |
| 中(5~6) | -5%~-10% | 0% | +10%~+50% | |
| 低(3~4) | -10%~-30% | -5%~-10% | +5%~+20% | |
最後に、審査工数表で求めた審査工数の概算に、審査工数への影響度を重み付けします。その結果、算出されたものが審査工数となります。
審査工数の主な流れ
- 認証取得組織の「組織の管理下で働く人の数」【A】を特定する。
- 【A】と審査工数表を照らしわせ、審査工数の概算【B】を求める。
- 認証範囲における「審査工数に影響を与える要因」を検討し、「事業の複雑さ」と「ITの複雑さ」の影響レベル【C】を求める。
- 「表. 審査工数に対する要因の影響度」から【C】に対応する増減値を求め、【B】から審査工数を増減する。
具体例
アプリケーションの受託開発を行っている社員数50名の会社でISMS認証を取得する場合
※影響度レベルを「事業の複雑さ」を5、「ITの複雑さ」を8とする。
- 組織の管理下で働く人の数は50人
- 審査工数表より、審査工数の概算は10(審査人・日)
- 影響度レベルは「事業の複雑さ」は5、「ITの複雑さ」は8
- 「表. 審査工数に対する要因の影響度」より、審査工数の増減値は+10~+50%となり、審査工数は11~15(審査人・日)
終わりに
ISMS認証取得を検討している組織からすれば、あまり直接関わることのない審査工数決定のプロセスについて説明しました。今回ご紹介したプロセスは、複雑な計算を省いた説明なので、実際にはもう少し複雑な計算をしています。
審査工数によって審査費用が大きく違ってくる審査機関もあるので、ISMS認証審査を受審する際には、少しだけ審査工数を意識してもいいかもしれないですね。
