ISMSの認証取得を目指しているならば、審査機関の選定は必須です。ISMSは国際規格なので、世界中に審査機関があります。複数の国に拠点を分散しているのでない限り、日本の企業なら日本の審査機関を選び、日本語で審査を受けるのが普通です。
ただ、世界的な規格だからこそ、審査機関によってカラーが異なり、それが自社に影響することもあります。ここでは審査機関の違いと選ぶポイント、審査の流れを解説しています。ISMSの認証取得のヒントとして、ひとまず頭の片隅においてみてください。
また、LRM株式会社では、ISMS/ISO27001認証取得コンサルティングを行っております。2,300社以上の実績に基づくノウハウで、専門コンサルタントチームが取得までしっかりサポートします。また、セキュリティ教育クラウド「セキュリオ」で、効率的にISMSを運用できます。ISMS認証取得をご検討されている方や社内の情報セキュリティ管理にお悩みの方は、お気軽にご相談ください。
同じISMS認証でも審査機関に違いあり
ISMS(ISO27001)の認証取得のパターンには2つあり、コンサルティング会社の支援サービスを利用するか、完全な独力での認証取得を目指すかのいずれかになります。どちらにせよ、認証の取得には専門の審査機関による審査を受けなければなりません。
国内のISMS認証制度の中心的な組織であるISMS-ACのホームページでは、ISMS-AC認定のISMS審査機関は27社あります。(2021年7月2日現在)
ISO27001は単一の規格なのだから、どの審査機関から受けても同じだろうと考える人もいるでしょう。実は審査機関により審査内容や料金が異なるという違いがあります。
はっきり言ってしまうと、ある審査機関では不適合と判定されたのに、別の機関では適合性ありと判断されるケースが存在します。
もちろん、ISMSのPDCAの工程のうちどれか1つでも抜けている場合や、不正ソフト使用などの法令違反が見つかれば、どの審査機関からも不適合と判定されます。ただ、審査機関によって不適合か否かの判断が異なる点があるのは確かです。
たとえば、ISMSの運用において「規格に忠実に構築されたか」「現場実務とバランスが取れたISMSになっているか」のように、判定基準のなかでも審査機関がどこを優先的に見るかで適否の判定が変わってくることがあります。
審査機関との相性は大事
LRM株式会社(以下、LRM)もコンサルタントが複数の審査機関の審査に立ち会っています。またLRMのお客様が審査を受けられて、その結果を確認させていただくこともあります。その経験から、審査機関によって審査内容が異なることは事実です。
特定の審査機関を指して「良い」「悪い」と評価することに意味はありません。なぜなら、ISMSの審査機関(認証機関)は、これらを管理する「認定機関」の審査を経ており、いずれも適正な審査が行える組織ばかりだからです。
一つ言えるのは、ISMSの認証取得を希望する企業にとって、「向いている審査機関」「向いていない審査機関」があります。これは相性のことを指し、自社と合うか、合わないかの違いです。
ただ、自社と相性が良くない審査機関と組んでしまうと、大変な思いをします。最悪の場合、自社の目指すマネジメントシステムが、審査機関の判断で構築できなくなる可能性もありえるのです。そのようなことにならぬよう、LRMはコンサルティングを提供する企業にISMSの審査機関の選定アドバイスもしております。
LRMにコンサルティングの見積りを依頼される時に、認証審査の見積りも同時に希望される企業様がおられます。しかし、コンサルティング実施前では、最適な審査機関まではわかりません。したがって、LRMでは見積り時に認証審査の料金照会を受けた場合、審査スタイルの異なる複数の機関から見積りを取って回答いたします。
ISMSの認証取得者がマネジメントシステムを運用していく上で、審査機関の選定は非常に重要となる要素です。貴社にベストフィットする審査機関を一緒に検討していきましょう。
LRMはそのように考え、認証取得のコンサルティングを提供しています。
また、LRM株式会社では、ISMS/ISO27001認証取得コンサルティングを行っております。2,300社以上の実績に基づくノウハウで、専門コンサルタントチームが取得までしっかりサポートします。また、セキュリティ教育クラウド「セキュリオ」で、効率的にISMSを運用できます。ISMS認証取得をご検討されている方や社内の情報セキュリティ管理にお悩みの方は、お気軽にご相談ください。
審査機関の選定ポイント
ISMSの審査機関はISMS-AC認定の機関を含めて、国内に50~80社ほど存在するようです。以下の3点のポイントを押さえて審査機関を選び、確固たる情報マネジメント体制の基礎を作りましょう。
自社の業界と業務、製品の知見があるか
ISMS審査機関が自社業界や業務プロセス等に疎いと、せっかく構築したISMSを理解してもらえず、最悪の場合、指摘を受ける可能性も出てきます。審査機関は基本的に企業の規模や業界・業種を問わず、審査の依頼を受け付けます。一方で、審査機関にはさまざまなスタイルがあります。諸外国の機関から認定を受けたグローバル対応の審査機関もあれば、得意とする産業分野を公表している審査機関もあります。
ISMS構築には現場の業務プロセスなど、自社の業務実態に応じたルールづくりと運用が求められます。もし審査機関が自社業界や製品・サービスに不案内だと、認証取得はもちろん、今後のルールや運用改善を試みることすら危ぶまれます。
審査機関の候補を絞る方法の一つに、審査実績となる登録事業者を公表していればそれを確認します。自社の事業実態(拠点、産業)と似た企業があれば参考になるでしょう。
審査費用が適切か
ISMSの認証取得に変わりなくても、審査機関によって審査費用は変わってきます。安い審査機関と高い審査機関では3倍近くもの料金差が発生することもあります。できれば審査料金の算出根拠や内訳・明細も確かめます。
受審前にできるだけ複数の審査機関に相見積もりして、審査費用をチェックします。ただし、費用算出の関係上、ISMSの適用範囲の説明が必要になります。ISMSの第一段階、P(計画)の工程までひとまず終えておくとスムーズです。
審査機関との相性の見極め
受審前に審査機関をどれだけ吟味しても、いざ審査を受けてみるまで、相性は本当に判断しにくいです。実際のところ、審査機関の変更は自由にできます。一度審査を受けてみて、自社にそぐわないと思える点が散見されたら、次回以降の維持審査で変更することも可能です。
審査機関の業務知識に問題がなくても、自社担当と審査員の相性、独特の慣習・社風・業務体制の理解、改善すべき点の優先度など、価値観が合わず指摘に納得いかない点が出てくる可能性が無きにしもあらずです。もちろん、的外れな理由で不適合の判定を出してくる場合は、コンサルタントなど外部の専門家に相談して対応し、審査機関の切り替えが視野に入るでしょう。
ISMS認証審査の流れ
ISMS認証の取得には、認証機関(審査機関)から所定の審査を受け、規格に適合していると認定されなくてはなりません。ISMSの認証審査の大まかな流れは以下のとおりです。
- 審査の申し込みと契約
- 登録審査(ファーストステージ審査)
- 登録審査(セカンドステージ審査)
- 登録証発行
受審するにはISMSの審査登録機関に審査の見積もりを依頼し、その後に契約を交わします。
審査は2段階制で、初回は文書審査を中心とした現地審査が行われます。初回審査の1~6か月後までに最終審査が行われ、社内のISMSのあらゆる面がチェックされます。最終審査の段階でISMSにおけるPDCAの最終段階を終えていなくてはなりません。
この2段階の審査を無事パスすると、登録証(有効期限3年)が付与されます。なお、ISMS認証は取得すれば終わりでなく、1年ごとに規定の維持審査があり、それに対応していく必要があります。
まとめ
どの審査機関からISMSの認証を受けようとも、規格認証の効力は変わりません。ISMSの審査機関のカラーはさまざまです。自社と相性のよい機関を選んで、情報セキュリティシステムを滞りなく運用し、安定した体制の構築に向けていきましょう。
また、LRM株式会社では、ISMS/ISO27001認証取得コンサルティングを行っております。2,300社以上の実績に基づくノウハウで、専門コンサルタントチームが取得までしっかりサポートします。また、セキュリティ教育クラウド「セキュリオ」で、効率的にISMSを運用できます。ISMS認証取得をご検討されている方や社内の情報セキュリティ管理にお悩みの方は、お気軽にご相談ください。