ISMS 取得スケジュールとは?審査の詳しい内容とともに解説

この記事は約9分で読めます。

ISMS取得審査についておさらい

ISMS認証を取得するには、組織内でISMSに関する取り組みを行った後に審査機関による審査を受審し、合格する必要があります。それも、一度だけではなく複数回の審査やそれに向けた準備が必要で、なかなか険しい道のりになります。

とくに初めてISMSの審査を受ける場合、「どのような流れで審査が行われるのか?」がよくわからず、不安になる方もいらっしゃいますよね。
本ページでは、審査のおおまかな流れ・手続き・必要書類について、詳しく説明します。

また、あれこれやることが多くて困ってしまうISMS認証について、ISMS認証取得までのTodoリストを無料で配布しています。確実なISMS認証取得に、お役立てください。

審査申し込みから審査終了までのISMS取得スケジュール

では早速ですが、審査の流れをみていきましょう。
いわゆる「ISMSの審査対応」というのは、大きく分けると下記の4つで構成されます。

1.審査申し込み・審査機関との契約
2.第一段階審査
3.第二段階審査
4.審査終了後対応
→認証取得

審査は2段階に分かれています。どちらも審査員からのヒアリング形式で実施されます。

所要期間

審査申込みから認証取得までの所要期間は、短くて3~4ヶ月です。(弊社では5ヶ月以上をオススメしています)

細かく言うと、第一段階審査から第二段階審査までの間に約1ヶ月、第二段階審査合格から認証書が届くまでに約1ヶ月かかりますので、審査開始から認証取得までで言うと、最短で2ヶ月程度と言えます。

審査日程

組織(貴社)と審査機関とで話し合って審査日程は決定されます。

第一段階審査の日程を決める時に第二段階審査の日程まで決めなくてはならない、ということはなく、比較的柔軟に進めることができます。

それぞれ詳しく確認していきましょう

ISMS認証新規取得に向けた取り組みをおこなう中で、認証取得範囲などが決まってしまえば、実際にルールが出来上がる前に審査機関に審査の申込みをすることができます。

審査申込みとは、審査機関から求められる書類を提出して審査機関と契約をし、自組織の審査を依頼することを指します。

必要書類 見積もり書類
申込み方法 ISMS認証新規取得に向けた取り組みをおこなう中で、認証取得範囲などが決まってしまえば、実際にルールが出来上がる前に審査機関に審査の申込みをすることができます。
審査申込みとは、審査機関から求められる書類を提出して審査機関と契約をし、自組織の審査を依頼することを指します。
所要期間 審査の見積もり依頼から審査の申込み、審査機関との契約までは最短で約1ヶ月程度です。

審査機関の選定

ISMS適合性評価制度を運用するISMS-ACのページで確認してみると、2023年3月1日現在でISMSの審査機関は全国に26あります。

ISO27001という規格は1つなのだから、どの審査機関でも同じでは?と思っている人もいるのではないかと思いますが、そうではありません。料金も審査内容も審査機関によって様々です。

構築したISMSが、規格に適合しているかどうかを審査することは共通していますが、審査機関によっては少しずつ重視する点が異なります。判断基準の一例である「マネジメントシステムの運用」を見る際には、ある機関は「規格に則して忠実にISMSが作られているのか?」という点を、またある機関は「現場の業務と情報セキュリティ対策のバランスはとれているのか?」という点を重視しているなどの違いがあります。

「どの審査機関が良い」とか「悪い」という訳ではなく、会社が目指すマネジメントシステムにとって「相性が良い審査機関」と「悪い審査機関」は存在します。

審査の際、それまでに作り上げてきたISMSが審査の傾向に合わないからといった理由で、組織にとって有効でない指摘をされないためにも、実際に審査機関の営業に問い合わせたり、コンサル会社に相談したりして、慎重に審査機関の選定を行いましょう。

ISMS取得スケジュールの第一段階審査

第一段階審査は、文書確認を中心としたマネジメントシステムの構築・運用確認の審査です。
PDCAサイクルで言うと、P(計画)の部分を重点的に見られます。

自社で作成した文書や記録がISMSの要件を満たしているか、二次審査に進んでも問題ないか、のチェックとなります。

対象 ISMS事務局(実際に社内のISMSを構築した部署もしくは特定の人物)
所要時間 例) 9:30~17:30(昼休み1時間)※1拠点、従業員数50名の場合
審査内容 作成した社内文書が規格(ISO/IEC 27001)に則して作られているか
  • 例)
    • 組織の外部及び内部の課題を決定しているか
    • 情報セキュリティ方針を作っているか
    • リスクを特定しているか
    • 作成した社内文書は版数管理されているか etc…
準備すべきもの ISMSを構築する上で作成した文書類
  • 例)
    • ルールが記載されたハンドブックやガイドライン
    • 組織図、フロア図、ネットワーク図
    • 適用宣言書 etc…
出席すべき人物
  • ISMS事務局(情報セキュリティ管理者、情報セキュリティ担当者 他)
  • トップマネジメント

当日の流れ

オープニング
  • 審査ポリシーの説明
  • 審査基準の説明
  • 審査方法の説明
トップインタビュー(トップマネジメントに対するインタビュー)※第二段階審査で行う場合もある
  • 質問の例
    • 認証取得のきっかけは?
    • 情報セキュリティ方針のポイントは?
    • 今後の情報セキュリティの展望は? etc…
ISMS推進体制の確認
  • 認証範囲はどこか?
  • ISMSの枠組みができているか?
    • ISMS文書は正しく作られているか?
    • 情報セキュリティリスクアセスメントの手順は?
    • ISMSを評価するための方法は? etc…
クロージング
  • 審査員による審査総評

ISMS取得スケジュールの第二段階審査

第二段階審査では、構築したISMSが実際に運用されているのか、有効に機能しているのかを審査されます。つまり、従業員がきちんとルールを守ってるかの確認です。

PDCAサイクルで言うと、D(運用)C(評価)が実施済みで、A(改善)が実施済みまたは計画をしている状態になっていることがポイントになります。

審査機関によっては、第一段階審査でBCP試験結果やマネジメントレビュー結果を見ることもありますが、審査機関に連絡をとれば、それらを第二段階審査に変更することも可能です。

当日の流れ

オープニング
  • 審査ポリシーの説明
  • 審査基準の説明
  • 審査方法の説明
運用状況の確認
  • 確認内容の例
    • 現場内部監査実施結果
    • マネジメントレビュー結果
    • BCP試験の実施結果 etc…
ISMS推進体制の例
  • 確認内容の例
    • 現場にISMSが浸透しているか?
    • 実際にどのように業務を行なっているのか?どのように情報を扱っているのか?
    • 実際に働いている場所の状態 etc…
クロージング
  • 審査員による審査総評

ISMS取得審査で不合格になることってあるの?

ISMS認証取得に向けて適切に取り組んでいれば、基本的には審査で不合格になることはありません。

とは言え、場合によっては審査打ち切り、不合格になることもあります。下記のような場合です。

  • 規格(ISO/IEC 27001)が要求する情報セキュリティマネジメントシステム(ISMS)の構築
    • 運用ができていない情報セキュリティ目的を決めていない
    • 内部監査を行なっていない
    • 必要な文書が存在しない etc…
  • 審査妨害や、審査に非協力的な態度をとる
  • 大きなセキュリティインシデントが発生する

また、当然ではありますが、ISMSの審査では「規格の要求事項に則してISMSが構築・運用できているか」という観点が審査の対象になりますので、会社の売上や通常の業務内容が審査に影響することはありません。

ISMS取得審査終了後のスケジュールの流れ

審査の結果、構築したISMSが「規格上で実施が必須とされていることが実施できていない」「ルールを守れて運用できていない」と判断された場合、不適合という形で対応を求められる場合があります。不適合には「軽微な不適合」と「重大な不適合があり、それぞれ対応方法が違います。

※不適合への対応方法は、審査機関によって異なる場合があります。下記は一例です。

軽微な不適合

不適合に対応するための計画書を作成して審査機関に提出し、1年後に行われる維持審査までに是正処置すれば問題ありません。

是正処置対応の流れ ※「軽微な不適合」の場合

  1. 受審組織:不適合に対する是正処置計画書を作成し、審査機関へ提出
  2. 審査機関:是正処置計画書を確認→審査議会にて最終判定

重大な不適合

指摘事項に対して是正処置を行い、行なった是正処置が十分効果的であるかどうかを確かめるための再審査を受ける必要があります。指摘事項文書の発行日から3ヶ月以内に対応しなければ不認定となるので、早急の対応が必要です。

是正処置対応の流れ ※「軽微な不適合」の場合

  1. 受審組織:不適合に対応した結果をまとめた是正処置報告書を作成、審査機関に提出
  2. 審査機関:是正処置報告書を確認し、必要に応じて再審査を実施して、行った是正処置が十分であることを確認→審査議会にて最終判定

なお、審査終了後、すぐに認証書が発行されるわけではありません。審査機関が定めた審査議会によって判定され、登録証や認証マークが手元に届くまで約1ヶ月ほどかかります。

上記が、一般的な審査対応の流れとなります。
とはいえ、上述のとおり審査機関によって、またそのときどきの状況によって変化することもありますので、不安な場合は審査機関への問い合わせや、コンサルタントなどの専門家への相談をおこなってください。

ISMS認証取得スケジュールを最短にするには

先述のとおり、審査申し込みから認証取得までトータルでは3~4ヶ月、第一段階審査から第二段階審査までが2ヶ月程度、最低でもかかります。(理論上の数字であり、弊社としては5ヶ月以上をオススメしていることを念押ししておきます)

そうした最短でのISMS認証取得を達成するためには、

  • ISMS認証取得の専任チームを組織する
  • リソースを確実に確保する

といったことを確実に行っておかなければなりません。

また、こちらは認証機関によって定義が分かれますが、第一段階審査ないしは第二段階審査までに少なくとも3ヶ月程度のISMS運用実績があることを求められます。

複数の対応事項・検討事項をバランス・順序良く並行して実施する必要があることを念頭に置いておきましょう。

これに関しては、「ISMSの取得はなぜ最短でも4ヶ月かかるのか」で詳しく解説していますので、あわせてお読みください。

まとめ

ISMS認証取得のスケジュールについて解説しました。

対応・実施することが多く、ややこしいものではありますが、きちんと対応すれば認証取得は可能です。企業の信用にアドバンテージになる認証ですので、ぜひ取得してください。

疑問やご相談があれば、ご遠慮なくLRMまでお問い合わせください。

ISMS / ISO27001認証取得を目指す
タイトルとURLをコピーしました