• ISMS審査には、取得審査の他に、維持審査と更新審査がある
  • ISMS取得審査は、要求事項との適当性や有効性が確認される

ISMSの取得には、それなりのリソースをかけて準備することが必要です。そのため、審査に落ちるという事態は避けたいところです。

この記事では、審査の概要や種類、審査の流れ、不適合となる条件について解説しますので、ぜひ参考にしてください。

また、ISMSと似た意味をもつ言葉に、ISO27001が存在します。いずれも情報資産を保護・管理するための情報セキュリティに関するものですが、ISMSが情報セキュリティマネジメントの仕組みを指す一方で、ISO27001はその規格を指す言葉となります。
こちらの記事で詳しく解説しておりますので、ぜひご覧ください。

関連記事:ISO27001とISMS認証の違いとは?Pマークとの関係は?わかりやすく解説

目次

ISMS審査の種類

ISMS審査の種類

まず、ISMSの審査にはどのようなものがあるのでしょうか。ISMSの審査には、取得時の審査と、継続・維持のための定期審査、さらに更新時の審査の3種類があります。ここでは、それぞれの審査について解説します。

取得審査(初回審査・登録審査)

取得審査は、ISMSを取得する際に受ける審査です。別名、初回審査や登録審査と呼ばれることもあります。

取得審査には、一次審査と二次審査があります。
一次審査の審査内容は、マネジメントシステムにおける文書の確認をメインに行われる文書審査です。要求事項に適合したルールを構築・運用しているのかどうかが確認されます。
二次審査の審査内容は、審査員が実際に現場に訪問し、ルール通りに運用されているかどうかを確認する現地審査です。場合によっては、審査員視点での改善のアドバイスをもらえる可能性もあります。

これらの審査を通過すると、晴れて認証登録されることになります。

維持審査(サーベイランス審査・定期審査)

維持審査は、ISMSを認証取得してから1年ごとに受ける審査です。時間が経過しても、有効にマネジメントシステムが運用されているかどうかが確認されます。

すべてを確認するわけではないため、審査するのは取得審査の60%~70%程度の工数となっています。審査費用も、取得審査の1/3程度であることが一般的です。

更新審査(再認証審査)

ISO認証の登録証の有効期限は3年です。そのため、有効期限が切れるタイミングで行われるのが、更新審査です。

更新審査は、取得審査から3年間のすべての運用記録が確認されるため、取得審査よりもかかる工数や時間が多くなる場合があります。審査費用は、取得審査の2/3程度であることが一般的です。

運用における審査の詳細は下記の記事で紹介していますので、ぜひご覧ください。

関連記事:ISO更新審査と維持審査の違い!更新審査の流れを簡単に解説
累計ダウンロード5,000件突破!ISO27001丸わかり説明資料

ISMS取得における審査の流れ

ISMS取得における審査の流れ

ISMSは下記の4つの段階を通して取得できます。

1審査機関の選定

審査機関(認証機関)とは、組織が構築・運用しているマネジメントシステムが「ISO規格の要求事項に適合しているか」「有効に機能しているか」を審査する機関です。審査機関として認証されているのは、各国に1機関存在する認定機関からISO審査の許可をもらった機関だけです。日本には、50社程度の審査機関があります。

そしてISMS認証の取得を目指すには、審査機関の選定が非常に重要です。というのも、機関ごとにISMSの審査で重視するポイントが異なるためです。

審査機関はISO27001の規格に対し、ISMSが適切に運用されているかをチェックしますが、どのポイントから判断するかは各審査機関に委ねられています。そのため、ISMSを取得するための審査機関の選定は、計画的に取り組む必要があるといえます。

関連記事:ISO審査機関の選び方と押さえるべき3つのポイント

2.申込

ISMSの審査を受けるには、まず審査機関に見積もりを取る必要があります。

審査機関は、ISMSの費用を計算するために、企業情報を集めなければなりません。審査機関に見積りを依頼した後は、審査機関から求められる書類を速やかに提出しましょう。

審査機関は業種や規模などの企業情報をもとに、見積り書を送ります。見積り書の費用に問題がなければ、審査機関と契約を交わして申込が完了です。

3.一次審査

どのようなルールを定めているのか、文書確認を中心に行われます。

社内における文書のチェックだけではなく、トップにマネジメントインタビューを行う場合もあります。一次審査の完了後は、審査員による評価説明がありますが、問題点があった場合には改善することが必要です。

4.二次審査

二次審査では、定められたルールが実行されているのか、現場で確認を行います。

一次審査と同様に、審査後は審査員が総評を述べて二次審査は完了です。このように、申込・一次審査・二次審査を終えると、ISMSの認証を得られます。

審査の結果、不適合とされる場合については後述します。

ISMS取得審査にかかる費用・期間

それでは、ISMS取得審査には費用・期間はどの程度かかるのでしょうか。ここでは、ISMS取得審査にかかる費用・期間を解説します。

期間

ISMS取得にかかる期間

ISMSの審査にかかる期間は、3ヵ月〜4ヵ月ほどです。
申し込みから審査まで約1ヵ月、一次審査と二次審査が約1ヵ月、審査終了から認証取得まで約1ヵ月といった流れになります。

ISMSの審査は、情報セキュリティの管理体制が運用されている時期に受ける必要があります。そのため、情報セキュリティのシステムを構築する期間などすべて合わせると10ヵ月~12ヵ月ほどとなります。ISMSを構築する期間と、運用して審査を受ける期間で、約1年かかるものと考えてください。

ただし、コンサルタントに依頼することで、期間を短縮することが可能な場合もあります。

費用

ISMS取得にかかる費用

ISMSの審査において必要な費用は下記の4つです。

  • 一次審査(文書審査)費用
  • 二次審査(現地審査)費用
  • 登録料
  • 審査員の交通費・宿泊費

審査費用や登録料は、審査でかかる費用のほぼ全体を占めます。ISMSの現地審査を行う場合には、審査員の交通費や宿泊費は申請企業の負担となるので注意しましょう。また、ISMSの審査費用に影響を及ぼす要素として、審査機関・従業員数・拠点数・業種・コンサルティングへ依頼するかどうかなどが挙げられます。

累計ダウンロード5,000件突破!ISO27001丸わかり説明資料

ISMS審査に必要な書類

ISMS審査に必要な書類

ISMS審査を受ける際に、どのような書類が確認されるのでしょうか。以下に、ISMS審査を受けるために、準備が必要な書類をまとめました。

  • 情報セキュリティ方針
  • 適用宣言書
  • 情報リスクアセスメント表
  • リスク対応計画
  • 教育の記録
  • 事業継続計画
  • 日々の運用記録
  • 内部監査・マネジメントレビューの記録

ISMSを構築・運用していく中で、基本的に作成しているはずの書類ばかりです。文書作成については、以下の記事もご覧ください。

関連記事:ISMS(ISO27001)文書とは?分類や具体例をわかりやすく解説

ISMS審査でされる質問とは

ISMS審査でされる質問

ISMS審査でされる質問は、規格に則った運用がされているかどうかを確認するためです。そして、基本的にトップダウン式で質問されます。というのも、トップの方針を管理責任者や各部門がきちんと理解し、体現するためにはリーダーシップが必要といわれているためです。

そこで、ここでは役職ごとにISMS審査でよく質問される内容を解説します。

トップインタビュー

指示・決定事項などの記録を見ながら質問がされます。
トップインタビューでは実務的な内容よりも実績や戦略といった組織の方向性を確認する内容が多く、トップからの情報をもとに、社内への展開の様子などを確認します。

管理責任者への質問

課題や達成状況や、トップに確認した事項の詳細について質問がされます。
ISO27001に関する具体的な運用について確認します。
現在の課題や計画、計画の達成状況など方針をもとに立てられている進捗や、認証ロゴマークの取り扱いについてなどの運用状況について理解が必要です。

部門への質問

部門に対しての役割や、指示を受けてからの展開について質問があります。
作成したルールやマニュアルが実際にどのように運営されているのかを確認します。実務における実際のISO27001の取り組みが行われている必要があります。

審査員の目的を把握したうえで、質問に対する準備をしておきましょう。

累計ダウンロード5,000件突破!ISO27001丸わかり説明資料

不適合になるケースとは

審査で不適合になるケース

ISMSの審査では、要求事項を満たしていなかったり、システムに欠陥があったりすると、不適合だと判断されます。不適合になるケースは「軽微な不適合」と「重大な不適合」の2つに分類されます。

軽微な不適合

軽微な不適合は、審査員がISMSの要求事項の一部を満たしていないと判断した状態です。マネジメントシステムを根本的に改善する必要はなく、条件を満たしていない部分を是正する必要があります。

軽微な不適合と判断されても、認証審査が中断されるわけではありません。不適合な箇所を期日以内に是正し、改善内容についての報告書を提出しましょう。

重大な不適合

重大な不適合は、情報セキュリティ管理に大きな欠陥があると判断された状態です。軽微な不適合と違い、審査員はISMSの審査を続けるのが難しく、一時中断となる場合もあります。

また、重大な不適合と判断されても取得不可ではなく、再審査をおこない要求事項を満たせば認証を得られます。

不適合=取得不可ではない

不適合と判断された場合でも、指摘への対処により認証取得は可能です。不適合とならないためにも、ISMSの要求条項やマネジメントシステムについての理解を深めましょう。

下記の記事でISMSの審査における不適合の条件について解説していますので、ぜひ参考にしてください。

関連記事:ISO審査で不適合と指摘!不適合の定義について知ろう

まとめ

ISMSの認証を受けるには、費用と期間を考慮した計画的な準備が必要です。

なぜなら、マネジメントシステムを構築するだけでなく、規格に則った運用ができているかどうかという点が審査で問われるためです。
運用をスムーズに行うためには、自社に適した内容での構築が必要となります。

取得後の運用までも含めた長期的な視野をもち、審査に向けた準備を進めましょう。

累計ダウンロード5,000件突破!ISO27001丸わかり説明資料
  • 無料資料 | ISO27001・Pマーク導入 徹底解説
  • 『ISO27001・Pマークを網羅的に分かりやすく』をコンセプトに、ISOコンサルタント監修のもとISO27001・Pマークについて図解などを交え詳細に解説しています。分かりやすいというお声も多くいただいていますので、ぜひ御社でご活用ください。
  • 必須ご担当者様名
  • 必須電話番号
  • 任意会社名
  • 任意メールアドレス
  • 必須個人情報の取り扱い
    (個人情報保護方針を読む)

ISOプロでは月額4万円から御社に合わせたISO運用を実施中

ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。

また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。

サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。

ISO27001、40,000円/月から作業工数ほぼ0実現!ISO新規取得・運用完全サポートならISOプロ