ISMSの取得審査とは?費用、期間、不適合の条件を解説

ISMSの取得には、それなりのリソースをかけて準備することが必要です。そのため、審査に落ちるという事態は避けなければなりません。
この記事では、審査の概要や流れ、不適合となる条件について解説しますので、ぜひ参考にしてください。
また、ISMSと似た意味をもつ言葉に、ISO27001
が存在します。いずれも情報セキュリティに関するものですが、ISMSが情報セキュリティマネジメントの仕組みを指す一方で、ISO
27001はその規格を指す言葉となります。
こちらの記事で詳しく解説しておりますので、ぜひご覧ください。
目次
ISMSの審査とは?期間・費用などの概要
ISMS(情報セキュリティマネジメントシステム)の審査を受けるためには、事前に把握するべき事項がいくつかあります。特に、費用やスケジュールについては計画的に考えることが必要となります。円滑に審査を受けられるように準備を進めましょう。
審査の種類
ISMSの審査には、取得時の審査と、継続・維持のための定期審査、さらに更新時の審査の3種類があります。取得するための審査では、一次審査と二次審査を経て登録証が発行されます。
一方、運用における審査では、認証後1年ごとに定期審査が必要です。また、登録証の有効期限は3年のため、有効期限が切れるタイミングで更新審査をおこなわなければいけません。
運用における審査の詳細は下記の記事で紹介していますので、ぜひご覧ください。
審査にかかる期間
ISMSの審査にかかる期間は、3ヵ月〜4ヵ月ほどです。
申し込みから審査まで約1ヵ月、一次審査と二次審査が約1ヵ月、審査終了から認証取得まで約1ヵ月といった流れになります。
ISMSの審査は、情報セキュリティの管理体制が運用されている時期に受ける必要があります。そのため、情報セキュリティのシステムを構築する期間などすべて合わせると10ヶ月~12ヶ月ほどとなります。ISMSを構築する期間と、運用して審査を受ける期間で、約1年かかるものと考えてください。
ただし、コンサルタントを依頼することで、期間を短縮することが可能な場合もあります。
審査にかかる費用
ISMSの審査には、どれくらいの費用がかかるのか気になっている方も多いのではないでしょうか。実際、少額とはいえない金額のため、予算の組み立ては早めに考えておくと良いでしょう。
必ず必要な費用
ISMSの審査において必要な費用は下記の4つです。
- 一次審査(文書審査)費用
- 二次審査(現地審査)費用
- 登録料
- 審査員の交通費・宿泊費の合計金額
審査費用や登録料は、審査でかかる費用のほぼ全体を占めます。ISMSの現地審査を行う場合には、審査員の交通費や宿泊費は申請企業の負担となるので注意しましょう。
費用に影響する要素
ISMSの審査費用に影響を及ぼす要素はいくつかあります。
例えば、審査機関・従業員数・拠点数・業種などが挙げられます。
また、ISMSの審査を自社で完結させるかどうかも費用に影響します。
ISMSの取得を支援する企業は多数存在し、コンサルティング費用は数万円から数百万円までさまざまです。確実に取得を目指したい場合や知識やノウハウに自信がない場合は、コンサルティング会社の利用も検討しましょう。
審査機関の選定
ISMSの審査は、審査機関の選定が非常に重要です。
機関ごとにISMSの審査で重視するポイントが異なるためです。審査機関は、ISO27001の規格に対し、ISMSが適切に運用できるかチェックしますが、どのポイントから判断するかは各審査機関に委ねられています。
そのため、ISMSを取得するための審査機関の選定は、計画的に取り組む必要があるといえます。

ISMS取得における審査の流れ
ISMSは下記の3つの段階を通して取得できます。
申込
ISMSの審査を受けるには、まず審査機関に見積もりを取る必要があります。
審査機関は、ISMSの費用を計算するために、企業情報を集めなければなりません。審査機関に見積りを依頼した後は、審査機関から求められる書類を速やかに提出しましょう。
審査機関は業種や規模などの企業情報をもとに、見積り書を送ります。見積り書の費用に問題がなければ、審査機関と契約を交わして申込が完了です。
一次審査
どのようなルールを定めているのか、文書確認を中心に行われます。
社内における文書のチェックだけではなく、トップにマネジメントインタビューを行う場合もあります。一次審査の完了後は、審査員による評価説明がありますが、問題点があった場合には改善することが必要です。
二次審査
二次審査では、定められたルールが実行されているのか、現場で確認を行います。
一次審査と同様に、審査後は審査員が総評を述べて二次審査は完了です。このように、申込・一次審査・二次審査を終えると、ISMSの認証を得られます。
次は、審査の結果、不適合とされる場合について解説します。
ISMS審査でされる質問とは
ISMS審査でされる質問については以下の通りです。
審査員が確認したいこと
審査員が確認したいことは、規格に則った運用がされているかどうかです。
トップの方針を管理責任者や各部門がきちんと理解し、体現するためにはリーダーシップが必要といわれています。そのため、質問も基本的にトップダウン式で確認します。
トップインタビュー
指示・決定事項などの記録を見ながら質問がされます。
トップインタビューでは実務的な内容よりも実績や戦略といった組織の方向性を確認する内容が多く、トップからの情報をもとに、社内への展開の様子などを確認します。
管理責任者への質問
課題や達成状況や、トップに確認した事項の詳細について質問がされます。
ISO27001に関する具体的な運用について確認します。
現在の課題や計画、計画の達成状況など方針をもとに立てられている進捗や、認証ロゴマークの取り扱いについてなどの運用状況について理解が必要です。
部門への質問
部門に対しての役割や、指示を受けてからの展開について質問があります。
作成したルールやマニュアルが実際にどのように運営されているのかを確認します。実務における実際のISO27001の取り組みが行われている必要があります。
審査員の目的を把握したうえで、質問に対する準備をしておきましょう。

不適合になるケースとは
ISMSの審査では、要求事項を満たしていなかったり、システムに欠陥があったりすると、不適合だと判断されます。不適合になるケースは「軽微な不適合」と「重大な不適合」の2つに分類されます。
軽微な不適合
軽微な不適合は、審査員がISMSの要求事項の一部を満たしていないと判断した状態です。マネジメントシステムを根本的に改善する必要はなく、条件を満たしていない部分を是正する必要があります。
軽微な不適合と判断されても、認証審査が中断されるわけではありません。不適合な箇所を期日以内に是正し、改善内容についての報告書を提出しましょう。
重大な不適合
重大な不適合は、情報セキュリティ管理に大きな欠陥があると判断された状態です。軽微な不適合と違い、審査員はISMSの審査を続けるのが難しく、一時中断となる場合もあります。
また、重大な不適合と判断されても取得不可ではなく、再審査をおこない要求事項を満たせば認証を得られます。
不適合=取得不可ではない
不適合と判断された場合でも、指摘への対処により認証取得は可能です。不適合とならないためにも、ISMSの要求条項やマネジメントシステムについての理解を深めましょう。
下記の記事でISMSの審査における不適合の条件について解説していますので、ぜひ参考にしてください。
ISMSの審査は準備が大切
ISMSの認証を受けるには、費用と期間を考慮した計画的な準備が必要です。
なぜなら、マネジメントシステムを構築するだけでなく、規格に則った運用ができているかどうかという点が審査で問われるためです。
運用をスムーズに行うためには、自社に適した内容での構築が必要となります。
取得後の運用までも含めた長期的な視野をもち、審査に向けた準備を進めましょう。

ISOプロでは月額4万円から御社に合わせたISO運用を実施中
ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。
また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。
サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。

こんな方に読んでほしい