ISMS認証の取得期間はなぜ最短でも4カ月なのか？内容を詳しく解説

企業としての信頼性を高め、社外にアピールできるISMS認証。
IT企業のセキュリティ担当の方なら、取得を考えている方も多いのではないでしょうか。

ISMS認証の取得に必要な期間は、弊社の見解としては、最低でも4か月以上はかかると考えています。(本質的に運用できる認証取得にはもう少し必要になります。あくまで、切り詰めて切り詰めて最低限の期間として、です)

取引先企業や、会社の上層部から、「ISMSを○月までに取得してほしい」と依頼されるケースも多いようですが、なぜ4ヶ月以上もかかるのか。そして、1~2カ月ではなぜ取得できないのか、その理由を解説します。

また、いまISMS認証をお考えの方へ、LRMでは、認証取得の適切な準備の流れをまとめたToDoリストを無料で配布しています。ぜひご活用ください。

ISMS認証について振り返る

まず、ISMS認証とはなんなのかをおさらいしておきましょう。

ISMS認証とは、ISMS（Information Security Management System（情報セキュリティマネジメントシステム））という、情報セキュリティを管理する仕組みについて定めた国際規格です。

情報の機密性（Confidentiality）

情報のアクセス権が正しく設定されている状態

情報の完全性（Integrity）

情報が改ざんされずに、保持されている状態

情報の可用性（Availability）

情報を利用したいときに、不自由なく利用できる状態

の3つを、バランスよくマネジメントする事を目的としています。

ISMS認証を取得するためには、第三者機関による客観的な評価を受け、情報セキュリティに関する要件を満たしていると判断されたという証明になります。

ISMS認証の取得が最短でも4カ月かかる理由

弊社が、ISMS認証の取得に最短でも4カ月かかると考えている理由は主に以下の3つです。

ISMS認証に時間がかかるポイント	時間がかかる理由
ルール作成	ISMSに則ったルール作成には最短で2週間～1ヶ月はかかる(通常は数ヶ月～半年をかけるのが一般的)
運用実績	審査を受けるためには、約3ヶ月程度のルールの運用実績が必要
認証手続き	審査員が、審査の結果を認証機関に持ち帰り、認証に必要な手続きをしなければならない

それぞれ1つずつ解説します。

【ルール作成】社内ルールの整備ってどのくらい時間を要するの？

まず、ISMSの認証取得の仕組みについて説明します。

ISMSを取得するためには、大きく2つのステップがあります。

「第一段階審査」では、文書にまつわる審査であり、作成したマニュアルが、ISO27001の規格要求事項に適合しているどうかを判断します。

要求事項も踏まえて、審査に通るような内容のマニュアルを作成していく必要があるため、最短で2週間～1カ月、通常なら数カ月～半年程度をかけるのが一般的であり、時間がかかります。

また、適切に情報セキュリティ管理・運用を行うために、記録類の様式なども同時に作成が必要だったり、組織に合わせた「適用除外」が認められている項目がある場合、審査時に適用除外を明確にしておくための、「適用宣言書」が必要です。

必要な書類については、以下の記事でも解説しているのでご覧ください。

このような、ISMS認証取得の仕組みから「短時間で簡単に終わらせる」ということはできません。

ISMS認証審査の流れや内容について、以下の記事でも解説しています。こちらも併せてご覧ください。

【運用実績】認証機関が守る規格、ISO 17021

先述した、ISMS認証を取得するための会社が守るべき規格（ルール）として「ISO 27001」がありますが、それと同様に「認証機関が守るべき規格（ルール）」も存在します。

それは「ISO 17021」というルール（※1）で、認証機関による審査を実施するときに、守られていなければならないルールが定められています。

（※1）ISMS認証機関が守るべきルールは、他にも「ISO 27006」があります。
正確には、ISO 17021は「マネジメントシステムの審査及び認証を行う機関に対する要求事項」であり、ISO 27006は「情報セキュリティマネジメントシステムの審査及び認証を行う機関に対する要求事項」です。

その中には、以下のような記述が存在しています。

第二段階審査の目的は，有効性を含む，依頼者のマネジメントシステムの実施を評価することである。

JIS Q 17021：2011 (ISO/IEC 17021：2011)

この文章をかみ砕くと「これからISMSを取得しようとする企業は、第二段階審査までに、ある程度のマネジメントシステム（社内ルール）の実施が必要」ということになります。

つまり、実際に社内で運用されていたかが分かる「運用実績」が必要という内容ですが、これだけでは「具体的にどれ位の期間で、運用実績が必要なのか」が明確には定められていません。

ISMS認証機関の最大手である「BSIグループジャパン株式会社」の「受審ガイドブック」には、以下の様な記述があります。

第一段階は、通常、次の事項を目的に実施します。

～中略～

10) マネジメントシステムの運用が第二段階審査の際に、少なくとも3ヵ月程度の効果的な運用実績があることの証拠を確認

BSI グループジャパン株式会社「BSI 受審ガイドブック」

つまり、第一段階審査の時点で、第二段階審査を実施するときに「少なくとも3ヵ月程度の効果的な運用実績がある」かどうかが確認されるということになります。

別の認証機関である「一般財団法人日本科学技術連盟」にも、以下のような記載がありました。

Ｑ５：審査を受ける上で目安となる運用期間(試運転期間)はどのくらいでしょうか？

審査は初回一次審査（文書審査＝システム構築状況の確認）と初回二次審査（実地審査＝システム運用状況の確認）の二段階の審査で行われますが、二次審査までに３ヶ月程度の運用期間を見ておいていただくことが望ましいと思います。

ISO審査登録センター「よくある質問　ISO基礎知識」

いずれの認証機関も「第二段階審査までに3ヶ月程度の運用実績」を求めている事がわかります。

このことから、第二審査に到達するまでに3カ月以上の期間が確実にかかるといえます。

【認証手続き】どんなに最短でも4カ月は必要。ただし最短のルール作成はおすすめしない

第二段階審査を受けるためには、約3ヶ月程度のルールの運用実績が必要という事がわかりました。

また、第二段階審査が終了した時点で、審査員からすぐにISMS認証がもらえるわけではありません。審査員が、審査の結果を認証機関に持ち帰り、必要な手続きを得た上で、やっとISMS認証にたどり着けます。

つまり、最短である4カ月でISMS認証を受けるには、社内ルール作成に2週間～1カ月程度の時間しかありません。

この期間は、全てミスなく上手くいった場合に限る最短のスケジューリングであり、現実的ではないこと、そして社内ルールを決めるには本当に実務に影響がないか判断する時間も必要のため、LRM株式会社では、最短取得を目指すのは決しておすすめしません。

そのうえで「ISMS取得は最短でも4ヶ月程度」が弊社の見解となります。

ISMS認証の取得期間が長くなってしまう場合

では、なぜ最短でのISMS認証が現実的ではないのか、ISMS認証の取得期間が伸びてしまうケースはどんなものがあるか紹介します。

システムが100%整うまで待ってしまう

ISMSを取得するために、社内のネットワークやシステムを整備する会社が多いですが、システムが100%整うまで待ってしまい、時間がかかるケースがあります。

ISMS取得は、システムが完全ではなくても取得は可能です。

認証取得後も継続的に審査が行われるため、ISMS取得の段階で完璧な整備は不要であり、システムを整えるまで待つ必要はありません。

ISMS認証は、認証されることがゴールではなく、認証されてからが本当のスタートです。

まずは、出来るだけ早くシステムを動かすことが、組織の成長の為には有効です。

Pマークを取得してからISMSを取得する

担当者の中には、まず前段階として、Pマークを取得してから、ISMSにたどり着くイメージを持ち、ISMS取得まで遠回りしてしまう方もいます。

ですが、PマークとISMSは、どちらも情報セキュリティに関する認証制度ではありますが、 決して延長線上のものではありません。

自社に適した認証はどちらかを見極め、どちらを先に取得すべきか考えると、先にISMSを取得した方が良いというケースもあります。

プロジェクトのメンバーや事業が変動する

プロジェクトのメンバーの流動性が高かったり、事業がどんどん変動してしまう企業の場合、システムの固定がしづらく、検討しなくてはならない部分が多く、結論が出ず、通常よりも時間がかかってしまうケースがあります。

まとめ

ISMS取得期間について解説しました。

ISMSの取得までは最短で4カ月程度という結論ではありますが、最低でも半年以上の期間を確保し、時間をかけてシステムを固めていくことがおすすめです。

まずは、ISMS認証取得に向けてやるべきことを確認しましょう。