ISMSの認証を受けてからの3年間で、情報セキュリティーマネジメントシステムの運用、内部監査、マネジメントレビュー等を確実に行うことによって、ISMSの認証更新申請に必要な記録類・資料等の書類はすべて完備されているはずです。さらに、情報セキュリティーマネジメントシステムについての不適合事項や教育・監査の実施状況、記録類・資料類等の不備を事前に検証し、補完することによって、認証更新のための準備は完了しています。
ISMSの認証更新は、認証(前回の認証更新)の有効期間の満了前までに審査を受けなければなりません。ISMSの認証の更新を希望する場合は、上記の期間内に必要な書類等を作成・準備して、申請を行います。
また、ISMSの適用範囲の拡大・縮小等、組織の情報セキュリティーマネジメントシステムに大きな変更が生じている場合は、この認証登録申請と合わせて審査(システム変更確認審査等)を受けます。
申請から認証更新までの流れは、認証取得の場合とほぼ同様です。 |
| |
| 1.ISMS認証取得の申請先 |
|
ISMSの認証取得の際に審査を受けた審査登録機関に行うのが一般的ですが、変更も可能です。この場合も、認証更新の申請は、財団法人日本情報処理開発協会(JIPDEC)によって認定された審査登録機関に対して行います。
ただし、審査において業種特有な専門的知識が必要、利害関係がある等の理由で、申請が受け付けられない場合があるため、事前に確認する必要があります。また、認証審査・登録に関する条件、申請・審査の料金、認証登録に要する費用、料金・費用の支払時期・支払条件、申請に必要な書類や様式等については、審査登録機関によって異なるため、同時に確認しておきます。
以下の内容は、審査登録の手順の一例です。 |
| |
| 2.申請書の提出 |
|
「ISMS審査登録更新申請書」に必要事項記入し、提出します。
申請書には、以下の事項等を記入します。
@申請者(組織名・所在地等)
A連絡担当者
B審査登録更新申請内容
(事業所名・業務内容等)
C予備審査の希望の有無
D審査希望時期(第一段階登録審査・第二段階登録審査の希望時期)
E審査対象従業者数
申請内容を確認するために、追加情報を要求される場合があります。
審査機関で申請内容が確認された場合、受理通知が送付されて来ます。 |
| |
| 3.業務の合意の締結 |
|
申請が受理された後、申請者と審査登録機関とのISMS審査登録更新業務の権利・義務に関する合意内容を定めた契約を「情報セキュリティマネジメントシステム審査登録更新業務合意書」として締結します。 |
| |
| 4.事前調査書の提出 |
|
業務の合意が締結された後、以下の情報を含んだ事前調査書を提出します。
@審査を受ける組織の名称・所在地
A代表者・管理責任者・連絡担当者の氏名・役職
B審査の対象となる業務・従業者数・業務の特徴・組織図
CISMSを構成する文書の体系図 |
| |
| 5.審査日程の調整 |
|
通常業務の繁忙状況を考慮し、第一段階登録審査・第二段階登録審査の日程を調整します。 |
| |
| 6.審査用資料の提出 |
|
登録機関が更新審査の準備を行う上で必要な資料を提出します。審査用資料には、以下の文書を提出します。
@ISMS基本方針
AISMS基本規定(ISMSマニュアル)
B適用宣言書
C情報セキュリティー管理規定
Dリスクアセスメントに関する規定・資料
EISMSの運用・監査・マネジメントレビュー等に基づく記録類 |
| |
| 7.登録審査の実施 |
|
登録更新審査は、第一段階審査と第二段階審査の2段階で行われます。第一段階審査と第二段階審査では、それぞれ以下の事項についての審査が実施されます。
@第一段階審査
第一段階審査では、主に提出したISMSに関する書類を中心としてISMSの運用の状況を審査
します。代表者との面談、現場確認も合わせて行い、不適合がある場合は、是正処置を
求められます。
第一段階審査では、以下の事項についての審査が行われます。
@)代表者との面談(トップインタビュー)において、ISMSの基本方針、ISMSの構築
目的、情報セキュリティーのための役割・責任の確立等、ISMSの確立・導入・運用・
監視・レビュー・維持・改善に対する経営陣のコミットメントに関する事項
A)ISMS基本方針の作成状況
B)ISMS基本規定(ISMSマニュアル)の作成状況
C)適用宣言書の作成状況
D)情報セキュリティー管理規定の作成状況
E)リスクアセスメントに関する規定・資料の作成状況
A第二段階審査
第二段階審査は、第一段階審査から一定期間(1ヶ月程度)を空けて行われます。この
期間内に第一段階審査で指摘された不適合事項があれば、是正しておきます。
第一段階審査では、ISMSの構築の状況が審査されるのに対し、第二段階審査では、ISMS
の運用・実施状況が、代表者との面談、現場確認によって審査され、不適合がある場合
は、是正処置を求められます。
第二段階審査では、以下の事項についての審査が行われます。
@)ISMSがI「JIS Q 27001:2006」等の基準文書のすべての要求事項に適合していること
A)ISMS基本方針・ISMS基本規定・情報セキュリティー管理規定等の手順を遵守している
こと
B)ISMS基本方針・ISMS基本規定・情報セキュリティー管理規定等の基づく記録類の作成
状況 |
| |
| 8.審査結果の報告・確認 |
|
|
| |
| 9.是正処置 |
|
|
| |
| 10.審査結果の判定・登録・講評 |
|
|
| |
| 11.登録組織の権利 |
|
|
| |
| 12.申請から登録までの期間 |
|
|
| |
| 13.申請・登録の料金・費用 |
|
以下の料金・費用は一例です。
@基本料金(認証対象範囲の人員規模による)
100名以下:60,000円
101〜250名:80,000円
251〜1,000名:100,000円
1,001〜4,000名:160,000円
4,001名以上:230,000円
B審査料金(審査対象の規模・ISMSの適用範囲による)
135,000円/審査員1人・1日
C審査のための移動料金 6,000円/審査員1人・1時間
D登録証発行料金 10,000円〜
E登録維持料金(1年分) 50,000円
F審査登録機関登録維持手数料(1年分) 20,000円
G財団法人日本情報処理開発協会登録維持手数料(1年分) 30,000円
H消費税 別途
I宿泊・交通費 実費 |
| |
|
| 前ページへ |
Top Page