ISMSの維持審査について徹底解説!審査内容、必要な準備も解説
こんにちは。ISOプロの岡です。
現代のビジネス環境において、セキュリティの重要性はますます高まっています。
そのため、適切にセキュリティ対策を行っていることを示す目的で、ISMS認証の取得を検討している企業は少なくありません。
もしISMS認証の取得を検討しているならば、ISMS認証とはどういうものなのかを理解しておくことが重要です。
そこで、この記事では、ISMS認証の概要や企業がISMS認証を取得することで得られるメリット、認証取得にかかる費用を解説します。
ISMS認証とは
ISMS認証の概要
ISMS認証とは、日本情報処理開発協会が定めた評価制度であり、現在ではISO27001と同義として扱われていることが増えています。
日本では、ISO27001が発行される前から「ISMS適合性評価制度」が存在していました。
しかしISO27001に吸収されたことから、同義として扱われるようになりました。
>>関連記事:ISMS認証とは(ISOプロのページ)
ISMSとISO27001の違いとは
ISMSとは情報セキュリティマネジメントシステムそのものを指し、ISO27001はISMSについての国際的なルールを定めた規格を指します。
前者は情報セキュリティを高めるための「仕組み」で、後者は「規格」という違いがあります。
>>関連記事:【初心者向け】ISO27001とは?ISMS・Pマークとの違...(ISOプロのページ)
ISMS認証(ISO27001)とPマークの違いとは
ISMS認証とPマークは、どちらも情報セキュリティに関する認証のため混同しやすいですが、これらは別物です。
ISMS認証(ISO27001)
組織が情報セキュリティのリスクを適切に管理し、保護していることを証明するものです。
国際基準に則った認証のため、世界的に通用する認証です。
Pマーク
組織が個人情報を適切に管理し、保護していることを証明するものです。
国内規格のため、海外との取引では基本的に評価されないため、海外取引を目的としている場合は注意が必要です。
>>関連記事:Pマークとは?取得企業のメリットや効果的な活用法を解...(ISOプロのページ)
ISMS認証(ISO27001)の取得企業数
ISMS認証の取得企業数は情報マネジメントシステム認定センターのサイトから確認できます。
2024年1月12日現在、登録数は7638、公表数は7246になります。
>>出典:情報マネジメントシステム認定センター
企業がISMS認証(ISO27001)を取得するメリット
ISMS認証を取得することは、企業にとってどのようなメリットがあるのでしょうか。
組織のセキュリティ向上
ISMS認証を取得することで、国際的な規格に基づいたセキュリティを実現することに繋がります。
リスク管理プロセスやセキュリティポリシーの策定と実施、従業員のセキュリティ意識の向上など、組織全体のセキュリティを向上させ、情報セキュリティリスクを低減することは組織に取って大きなメリットといえるでしょう。
取引先の幅が広がる
官公庁の案件の入札条件としてISMS認証の取得が条件となっている場合があります。
そのため、ISMS認証を取得することで、官公庁の案件の入札に参加できるようになり、取引先の幅が広がるというメリットがあります。
また取引先にISO27001を求める企業もいるため、取得をすることで機会損失を防げます。
外部からの信用を獲得
ISMS認証は、組織が国際的に認められた情報セキュリティ管理基準に準拠していることを証明します。
これは取引先や顧客に対して、国際レベルの水準で情報を取り扱い、セキュリティ対策に取り組んでいることを示すことに繋がるでしょう。
近年では、ほとんどの業界が情報セキュリティを重視していると言っても過言ではありません。
既存の取引先だけではなく、新規顧客やステークホルダーの信頼を得ることは、組織の競争優位性を大きく向上させると考えられます。
ISMS認証の取得に必要な要素
ISMS認証では、組織が適切なセキュリティ対策を行い施し、文書を作成することが求められます。
必要となる要素は多岐に渡りますが、その中でも「セキュリティ3要素」と「ISMS関連文書」が重要です。
情報セキュリティ3要素
ISMS認証を取得するためには、情報セキュリティの3要素である「機密性」「完全性」「可用性」を維持する体制が求められます。
機密性(Confidentiality)
権限のないユーザーが情報を閲覧、操作することを防ぐことを指します。
顧客情報や人事情報、取引先情報など、機密性のある情報を適切に守ることが求められます。
完全性(Integrity)
データの内容が最新かつ正確であり、不正な変更が行われていないことを保証することを指します。
意図的な不正のほか、データ転送や処理時のエラーなどに起因する変更を防ぐことも重要です。
可用性(Availability)
権限を持つユーザーが、確実に情報へアクセスできることを保証することを指します。
システム障害によるダウンタイムの最小化や冗長化、ハードウェア障害の復旧計画、サイバー攻撃からの保護も含まれています。
>>関連記事:「情報セキュリティの三要素」可用性・機密性・完全性...(ISOプロのページ)
ISMS文書
企業がどのような方針でセキュリティマネジメントを行うのか?具体的にどのような運用をしていくのか?など、企業のISMSに関連する情報を文書化します。
ISMSでは、下記の4つが文書の基本分類として定められています。
- 基本方針(第1層)
- 管理規程(第2層)
- 管理手順(第3層)
- 様式/記録(第4層)
必ずしも文書化が必要でないものもありますが、企業がISMSをどのように計画、実施、監視、レビューしているのかを示すために必要です。
運用の実績などの変更してはいけない「記録」と、必要に応じて改訂を行う「文書」の2種類があることを抑えておきましょう。作成後は継続的にメンテナンスを行い、常に正しい情報を記載しておく必要があります。
>>関連記事:ISMS(ISO27001)文書とは?分類や具体例をわかりや...(ISOプロのページ)
ISMS認証を取得するまでの流れ
ISMS認証を取得するまでの流れを解説します。
適用範囲を決める
ISMS認証は企業全体だけではなく、部署や部門ごとに取得できます。
そのため、まずは取得範囲を決める必要があります。
情報セキュリティポリシーの策定
情報セキュリティに対する考え方や行動指針を示すために、情報セキュリティポリシーを策定します。
具体的には、「基本方針」「対策基準」「実施手順」の3つを定めることが一般的です。
>>関連記事:情報セキュリティ方針とは?ISO27001(ISMS)における...(ISOプロのページ)
認証機関の選定
適用範囲と情報セキュリティの方針を決めたら、認証機関を選定します。
認証機関は、以下のサイトから確認できます。
>>参考記事:ISMS認証機関一覧
リスクアセスメントの実施
どのようなセキュリティリスクがあるのか洗い出し、その対応策を検討するリスクアセスメントを実施します。
>>関連記事:ISO27001(ISMS)リスクアセスメントとは?流れやリ...(ISOプロのページ)
ISMS文書の作成
次にISMS文書を作成します。
先述した通り、どのような方針でセキュリティマネジメントを行うのか、具体的にどのように運用していくかなどを文書化します。
内部監査
定められたルール通りに運用できているか、今のルールや文書が有効かどうかを確認する内部監査を実施します。
マネジメントレビュー
内部監査を実施したら、経営者層へ結果の報告を実施します。
認証機関による審査
認証機関による審査を受けます。
審査は、文書審査と現地審査の2回に分けて実施されます。
ISMS認証を取得するまでにかかる期間や費用
ISMS認証の取得にかかる期間や費用を解説します。
ISMS認証の取得にかかる期間
会社の規模やISMSの適用範囲などによって異なりますが、半年から1年以上かかります。
ISMS認証の取得や更新にかかる費用
審査機関や適用範囲によって変わりますが、50万円~100万円程度の費用が目安となります。
これに加えて毎年行う維持審査、3年に1度行う更新審査があります。
維持審査の費用は取得審査の約1/3、更新審査の費用は取得審査の約2/3がそれぞれ目安となります。
>>関連記事:【業種別】ISOの取得費用や維持費用は?税務処理につ...(ISOプロのページ)
このように、ISMS認証の取得にはある程度の期間や費用がかかります。
認証取得を計画する際は、工数やコストを入念に検討しましょう。
まとめ
ISMS認証を取得することで企業のビジネスの安定性や継続性の向上、セキュリティの強化を期待できます。
ただし、ISMS認証を取得するには、様々な文書作成や業務改善、従業員への教育など多くの時間と負荷がかかります。
そのような場合は、ISMS認証に関する専門家のサポートを検討することも効果的です。
対応するべきポイントが明確になるほか、支援を受けることで、ISMS認証の取得が効率化され結果的にコストが下がることも期待できます。
ISMS認証の取得を目指して長期的に作業を実施したが、認定を受けられなかった、といったリスクをなくすためにも、ぜひISMS取得のサポートをご検討ください。
>>関連記事:ISO審査機関(認証機関)の選び方と押さえるべき3つの...(ISOプロのページ)
