ISMS-ACとは?ISMS-AC認定の有無の違いも解説
ISMS-ACは、企業のISMSを直接審査する組織ではなく、ISMS認証機関の能力や公平性を認定する立場の機関です。
ISMS-ACに認定されている認証機関を選べば、取得した認証の妥当性を取引先、入札先、顧客に説明しやすくなります。ただし、ISMS-AC認定がない審査機関であっても、海外の認定機関から認定を受けているケースもあるため、必ずしも認定が必須というわけではありません。
この記事では、ISMS-ACとは何か、JIPDECやISMS認証機関との違い、ISMS-AC認定の有無による審査機関の違いを解説します。ISMS(ISO27001)の取得方法も取り上げるため、審査機関を比較する際の判断材料としてぜひご活用ください。
目次
ISMS-ACとは
ISMS-ACは、ISMSをはじめとする情報セキュリティマネジメントシステムの審査を行う認証機関について、その能力と公平性を審査し、認定する機関です。正式名称は一般社団法人情報マネジメントシステム認定センターで、ISMS-ACは略称です。
ISMS-ACの役割は、企業のISMSを直接審査することではなく、企業を審査する立場にある認証機関が、適切な能力を備えているかどうかを評価することです。
ISMS-ACによって認定されたISMS認証機関は、国際規格の要求事項に従って審査する能力を持ち、なおかつ公平に審査を行っていることを証明できます。なお、ISMS-ACの認定対象は、ISMS認証機関に限られません。ISMSクラウドセキュリティ、ISMS-PIMS、ITSMS、BCMS、AIMS、PIMS、要員認証機関など、情報マネジメントに関わる複数の制度において、認証機関や要員認証機関の認定を行っています。
ISMS-ACとISMS認証機関の違い
ISMS-ACとISMS認証機関の違いは、審査の対象が「審査機関」なのか「認証取得を目指す組織」なのかという点にあります。ISMS認証機関は、企業や団体が構築したISMSを審査し、JIS Q 27001やISO/IEC 27001の要求事項に適合しているかをチェックする組織です。審査の結果、基準に適合していると判断されれば、認証機関はISMS認証を登録します。
対して、ISMS-ACは認証取得を目指す企業を直接審査しません。認証機関が必要な力量を持つ審査員を確保しているか、公平性を保って審査しているか、国際規格に沿った認証活動を行える体制があるか、といった点を確認します。ISMS認証を受ける企業の立場から見ると、ISMS認証機関は「自社を審査する相手」、ISMS-ACは「審査機関を認定する相手」と言えます。
ISMS-ACとJIPDECの違い
ISMS-ACとJIPDECの違いは、認定業務を担う法人か、普及啓発やガイド提供を担う法人かという点にあります。JIPDECは「一般財団法人日本情報経済社会推進協会」の略称で、ISMSやITSMS、プライバシーマークなどに関する情報提供や、情報マネジメントシステムに関する普及啓発、構築支援、ユーザーズガイドや事例、海外動向に関する情報提供を行っている組織です。ISMS認証取得を検討する企業にとっては、参考資料を提供する立場にあります。
ISMS-ACは、認定機関としての独立性を明確にするため、2018年4月にJIPDECから独立して法人化されました。現在は、ISMS-ACが認定事業を担い、JIPDECは情報マネジメントシステムの普及啓発や関連文書の提供を担うという役割分担を行っています。
そのため、審査機関の認定状況を確認したい場合はISMS-AC、制度の理解や構築の参考資料を確認したい場合はJIPDECに問い合わせることになるでしょう。
ISMSとは
ISMSとは、情報資産の機密性・完全性・可用性を維持するために、組織全体で情報セキュリティリスクを管理する仕組みです。ISMSは、組織の顧客情報、従業員情報、セキュリティ環境、個人情報、システム、クラウドサービスなどを対象に、リスクを洗い出し、必要な対策を決め、運用状況を見直していくマネジメントの仕組みを指します。
ISMSで重視される情報セキュリティ対策の3要素は、機密性、完全性、可用性です。| 機密性 | 許可された人だけが情報を利用できる |
|---|---|
| 完全性 | 情報が正確で、改ざんされていない |
| 可用性 | 必要なときに情報やシステムを利用できる |
ISMS認証では、組織のISMSがJIS Q 27001やISO/IEC 27001の要求事項に適合しているかを、第三者である認証機関が審査します。認証取得を目指す企業は、継続的に改善できる情報セキュリティ管理体制を整える必要があります。
ISMS-AC認定がある審査機関とない審査機関の違い
ISMS-AC認定がある審査機関とない審査機関の違いは、どの認定機関の下でISMS審査を行っているかという点にあります。ISMS-AC認定がないからと言って、信頼性が低いとは限りません。国外の認定機関から同等レベルの評価を受けていることもあります。一方で、ISMS-ACは要求事項に従って審査する能力を持ち、公平な審査を行っているという証明であるため、認証機関そのものの能力や公平性が担保されているという意味では、認証がある審査機関に依頼するのがよいと言えます。
| 項目 | ISMS-AC認定がある審査機関 | ISMS-AC認定がない審査機関 |
|---|---|---|
| 認定機関 | ISMS-AC | 海外の認定機関など |
| ロゴ・シンボル | 条件を満たすとISMS認定シンボルを使用できる | 使用できるロゴは認定機関や認証機関により異なる |
| 掲載情報 | ISMS認証取得組織検索に掲載される対象になる | ISMS-ACの検索対象にならない |
| 向いている企業 | 国内取引や公的な説明で分かりやすさを重視する企業 | 費用、日程、海外対応などを重視する企業 |
以下では、それぞれの違いと、メリット・デメリットについて解説します。
ISMS-ACによる認定がある審査機関のメリット
ISMS-ACによる認定がある審査機関のメリットは、国内で認知されやすい形でISMS認証を説明しやすい点です。ISMS-ACは、国内のISMS適合性評価制度において認定業務を担う機関です。ISMS-AC認定がある審査機関で認証を取得すれば、認証書を提示する相手に対して、認証機関が一定の基準で評価されていることを説明しやすくなります。
また、以下のような特典もあるため、自社が依頼をしているISMS認定機関の信頼度が高いことを簡単に証明できる点もメリットです。
- ISMS認定シンボルが使用できる
- 認証取得組織は、条件を満たすことでISMS認定シンボルをホームページ、名刺、会社案内、提案資料などに使用できます。認証シンボルがあることで、第三者機関による審査を経てISMS認証を取得していることを、取引先や顧客に分かりやすく示せます。
- ISMS認証取得組織として掲載される
- ISMS-AC認定がある審査機関で認証を取得した場合は、ISMS認証取得組織検索に掲載される対象になります。社名や組織名を外部から検索できる状態にしておけば、取引先の確認作業を簡略化しやすくなります。業務委託先のセキュリティ確認、入札参加時の資格確認、営業資料での認証説明が必要な企業にとって、検索性の高さは業務上のメリットになります。
ISMS-ACによる認定がない審査機関のメリット
ISMS-ACによる認定がない審査機関のメリットは、海外認定や柔軟な審査条件を選択肢に含められる点です。- 海外の認定機関から認定を受けている場合は信頼性の高い審査を受けやすい
- ISMS-AC認定がない審査機関でも、海外の認定機関から認定を受けている場合があります。海外取引が多い企業や、海外本社・海外子会社との統一基準を重視する企業では、海外で認知されている認定機関の下で審査を受けるほうが説明しやすいケースもあります。認証書を海外の取引先に提示する場合は、どの認定機関の認定を受けた認証機関なのかを事前に確認しておくとよいでしょう。
- より短時間・低価格で審査できるケースもある
- ISMS-AC認定がない審査機関は、国内のルールとは異なる審査形態を取っていることで、審査費用や審査日程に柔軟性が高いケースがあります。認証取得を急ぐ企業や、取得範囲が限定的で審査工数を抑えやすい企業であれば、短期間・低価格で進められる可能性がある点はメリットと言えるでしょう。
審査機関を選ぶ際は、認証書の提出先が何を求めているかを先に確認することが重要です。国内の公的案件や大手企業との取引でISMS-AC認定が重視される場合は、ISMS-AC認定がある審査機関のほうが説明しやすくなります。海外展開やグループ統一を重視する場合は、海外の認定機関から認定を受けた審査機関も検討対象にするとよいでしょう。
ISMS(ISO27001)の取得方法は?
ISMS(ISO27001)を取得するには、適用範囲の決定から認証審査まで、以下のようにステップを踏んで進める必要があります。| 1 | 認証対象にする部署、拠点、業務、システムを決める |
|---|---|
| 2 | 経営方針に沿ってISMS基本方針を定める |
| 3 | 顧客情報、契約書、端末、クラウドサービスなどを整理する |
| 4 | 脅威、脆弱性、発生可能性、影響度を評価する |
| 5 | アクセス管理、委託先管理、バックアップ、教育などを定める |
| 6 | 決めたルールを実際に運用し、対象者へ情報セキュリティ教育をする |
| 7 | ルール通りに運用されているかを社内で確認する |
| 8 | マネジメントレビューを通じてISMSの有効性や改善点を確認する |
| 9 | 書類と運用実態の2段階にわたる審査を受ける |
| 10 | 取得後も運用、維持審査、更新審査に対応する |
取得のために準備を進めるにあたっては、担当者だけに任せず、全社を挙げて体制を整えることが重要です。
また、自社だけでISMSの取得を進める場合、費用を抑えやすい一方で規格を理解して正しく審査の準備・対応をすることは難しくなります。短期間で取得したい場合や、専任担当者を確保しにくい場合は、ISMS取得支援に詳しい専門家へ相談することで、社内工数を抑えながら準備を進めやすくなるでしょう。
まとめ
ISMS-ACは、ISMS認証機関を審査・認定する機関であり、企業のISMSを直接審査する認証機関とは役割が異なります。JIPDECはISMS制度の普及啓発や関連資料の提供を担う組織であり、認定業務を行うISMS-ACとは分けて理解する必要があります。
ISMS-AC認定がある審査機関を選べば、ISMS認定シンボルの利用やISMS認証取得組織検索への掲載によって、認証状況を外部へ説明しやすくなるでしょう。一方、海外の認定機関から認定を受けた審査機関にも、国際取引や費用・日程の面でメリットがある場合があります。
ISMS(ISO27001)の取得において、審査機関を選ぶ際は、認証書の提出先が求める条件を先に確認しておくことが重要です。
ISOプロでは月額4万円から御社に合わせたISO運用を実施中
ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。
また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。
サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。
こんな方に読んでほしい