ISMSの認証登録申請については、ISMSの運用期間等の条件は特に定められていませんが、審査の前に内部監査とマネジメントレビューの実施を求めている審査登録機関もあるため、スケジュール的に可能であれば、申請前までにISMSのPDCAサイクルを1度回しておく方が望ましいと思われます。また、PDCAサイクルを1回転させることによって不適合事項が発見され、それを是正しておくことで登録審査がスムーズに行われることも期待されます。したがって、ISMSの運用開始から認証登録申請までは3ヶ月から6ヶ月の期間が、ISMSの構築開始から認証登録申請までは6ヶ月から9ヶ月の期間が必要となります。
これまでのISMS認証取得のための各ステップを踏むことによって、ISMS構築のためのリスクアセスメントの実施、ISMS文書(ISMS基本方針・適用宣言書・情報セキュリティー管理規定等)の策定、内部監査・マネジメントレビューに関する記録類の整備等、申請に必要な準備はすべて完了しているはずです。これら一連のステップの最終段階として、ISMS認証登録申請に必要な書類等を作成・準備して、申請を行います。 |
|
| 1.ISMS認証取得の申請先 |
|
ISMS認証取得の申請は、財団法人日本情報処理開発協会(JIPDEC)によって認定された審査登録機関に対して行います。
審査登録機関には、以下の団体があります。
・財団法人 日本品質保証機構 マネジメントシステム部門
・日本検査キューエイ株式会社
・ビーエスアイジャパン株式会社
・財団法人 日本科学技術連盟 ISO審査登録センター
・財団法人日本規格協会 審査登録事業部
・株式会社日本情報セキュリティ認証機構
・デット ノルスケ ベリタス エーエス DNV認証事業 日本支社
・株式会社みすず審査登録機構
・社団法人 日本能率協会 審査登録センター
・ペリージョンソン レジストラー 株式会社
・財団法人電気通信端末機器審査協会 ISMS審査登録センター
・株式会社トーマツ審査評価機構
・テュフ・ラインランド・ジャパン株式会社
・株式会社 マネジメントシステム評価センター
・株式会社 ジェイーヴァック
・ビーブイキューアイジャパン株式会社
・財団法人 防衛調達基盤整備協会 システム審査センター
・ロイド レジスター クオリティ アシュアランス リミテッド
・SGSジャパン株式会社 認証サービス事業部
・財団法人 ベターリビング システム審査登録センター |
| |
| 2.審査登録機関の選択 |
|
審査登録機関の中から、ISMSの認証取得の申請先を選択します。業種や地域による制限はないため、申請は、どの審査登録機関に対しても行うことができます。ただし、審査において業種特有な専門的知識が必要、利害関係がある等の理由で、申請が受け付けられない場合があるため、事前に確認する必要があります。また、認証審査・登録に関する条件、申請・審査の料金、認証登録に要する費用、料金・費用の支払時期・支払条件、申請に必要な書類や様式等については、審査登録機関によって異なるため、同時に確認しておきます。
以下の内容は、審査登録の手順の一例です。 |
| |
| 3.申請書の提出 |
|
「ISMS審査登録申請書」に必要事項記入し、提出します。
申請書には、以下の事項等を記入します。
@申請者(組織名・所在地等)
A連絡担当者
B審査登録申請内容(事業所名・業務内容等)
C予備審査の希望の有無
D審査希望時期(第一段階登録審査・第二段階登録審査の希望時期)
E審査対象従業者数
申請内容を確認するために、追加情報を要求される場合があります。
審査機関で申請内容が確認された場合、受理通知が送付されて来ます。 |
| |
| 4.業務の合意の締結 |
|
申請が受理された後、申請者と審査登録機関とのISMS審査登録業務の権利・義務に関する合意内容を定めた契約を「情報セキュリティマネジメントシステム審査登録業務合意書」として締結します。 |
| |
| 5.事前調査書の提出 |
|
業務の合意が締結された後、以下の情報を含んだ事前調査書を提出します。
@審査を受ける組織の名称・所在地
A代表者・管理責任者・連絡担当者の氏名・役職
B審査の対象となる業務・従業者数・業務の特徴・組織図
CISMSを構成する文書の体系図 |
| |
| 6.審査日程の調整 |
|
ISMSの構築状況に応じて、第一段階登録審査・第二段階登録審査の日程を調整します。 |
| |
| 7.審査用資料の提出 |
|
登録機関が審査の準備を行う上で必要な資料を提出します。審査用資料には、以下の文書を提出します。
@ISMS基本方針
AISMS基本規定(ISMSマニュアル)
B適用宣言書
C情報セキュリティー管理規定
Dリスクアセスメントに関する規定・資料 |
| |
| 8.登録審査の実施 |
|
登録審査は、第一段階審査と第二段階審査の2段階で行われます。第一段階審査と第二段階審査では、それぞれ以下の事項についての審査が実施されます。また、登録審査の前に、登録審査あたっての準備事項を明確にするため、認証登録を申請した機関の希望に応じて、予備審査を受けることができます
@第一段階審査
第一段階審査では、主に提出したISMSに関する書類を中心としてISMSの構築の状況を審査
します。代表者との面談、現場確認も合わせて行い、不適合がある場合は、是正処置を
求められます。また、申請先の審査登録機関が、この第一段階審査までに、内部監査・
マネジメントレビューの実施を求めている場合(審査登録機関によって異なる)は、実施
した内部監査・マネジメントレビューの結果についても審査されます。
第一段階審査では、以下の事項についての審査が行われます。
@)代表者との面談(トップインタビュー)において、ISMSの基本方針、ISMSの構築
目的、情報セキュリティーのための役割・責任の確立等、ISMSの確立・導入・運用・
監視・レビュー・維持・改善に対する経営陣のコミットメントに関する事項
A)ISMS基本方針の作成状況
B)ISMS基本規定(ISMSマニュアル)の作成状況
C)適用宣言書の作成状況
D)情報セキュリティー管理規定の作成状況
E)リスクアセスメントに関する規定・資料の作成状況
A第二段階審査
第二段階審査は、第一段階審査から一定期間(1ヶ月程度)を空けて行われます。この
期間内に第一段階審査で指摘された不適合事項があれば、是正しておきます。
第一段階審査では、ISMSの構築の状況が審査されるのに対し、第二段階審査では、ISMS
の運用・実施状況が、代表者との面談、現場確認によって審査され、不適合がある場合
は、是正処置を求められます。
第二段階審査では、以下の事項についての審査が行われます。
@)ISMSがI「JIS Q 27001:2006」等の基準文書のすべての要求事項に適合していること
A)ISMS基本方針・ISMS基本規定・情報セキュリティー管理規定等の手順を遵守している
こと
B)ISMS基本方針・ISMS基本規定・情報セキュリティー管理規定等の基づく記録類の作成
状況 |
| |
| 9.審査結果の報告・確認 |
|
審査結果は、ISMS認証基準に対する認証登録を申請した組織のISMSの適合性、有効性として、審査を受けた組織の代表者・情報セキュリティー管理責任者等に対して、「審査結果報告書」として報告されます。認証登録を申請した組織は、審査機関に対し、審査の結果報告についての質問をすることができます。
登録審査で検出された不適合事項に関する指摘は、以下の3つの基準で報告されます。
@不適合事項
情報セキュリティマネジメントシステムの登録に支障があると判断される以下の事項
@)情報セキュリティマネジメントシステム要求事項への対応が欠落している
A)情報セキュリティマネジメントシステム要求事項への対応としての決め事が実施
されていない
B)組織の情報セキュリティ方針及び情報セキュリティ目的の達成に重大な疑を生じる
状態
A注記事項
現状では登録に支障となるほどの問題ではないが、情報セキュリティマネジメントシス
テムの維持目的、効果等から見て情報セキュリティマネジメントシステムの運用で注意
を喚起する以下の事項
@)業務実態は問題ないが、文章・記録類に適切な記述がされていない事項
A)将来の情報セキュリティ問題の発生につながる恐れがある前兆現象
B)情報セキュリティマネジメントシステムとして整理されているが適用事例がなく、
文書だけではその機能が有効か否か判断できない場合
B推奨事項
情報セキュリティマネジメントシステムの維持効果を積極的に追求するための課題、お
よび情報セキュリティマネジメントシステムの運用レベルを向上させるための方向付け
等、情報セキュリティマネジメントシステムの改善テーマ |
| |
| 10.是正処置 |
|
登録審査で検出された不適合事項の内、不適合事項と注意事項については是正処置を行い、その完了を審査機関に報告しなければなりません。
審査の段階で不適合とされた事項でも、適切な是正処置が実施されれば、登録となります。
また、指摘事項に対する是正処置を確認するために、フォローアップ審査が実施される場合があります。 |
| |
| 11.審査結果の判定・登録・講評 |
|
審査登録機関は、審査を受けた組織の是正処置と是正処置の完了報告を確認した上で、判定委員会で登録の可否を審議します。審議の結果は、審査機関から認証登録を申請した機関に連絡されます。
判定委員会の審議の結果、登録が決定された場合は、審査登録機関から認証登録を申請した機関に、「登録証」が交付されます。また、認証登録となった機関は、審査登録機関・財団法人日本情報処理開発協会のホームページ上で公表されます。
認証登録の有効期間は、3年なっています。有効期間を経過して引き続き登録の継続を希望する場合は、有効期限内に更新審査を受ける必要があります。また、認証登録された組織は、最低でも1年に1度の頻度で、定期維持審査(サーベイランス)を受けなければなりません。 |
| |
| 12.登録組織の権利 |
|
認証登録された組織は、発行する広報物等に、ISMSの登録認証を受けていることの表明やISMSのロゴの記載を行うことができます。 |
| |
| 13.申請から登録までの期間 |
|
申請から登録までの期間は、申請を行う組織の規模・ISMSの適用範囲・不適合の状況等によって異なります。比較的規模が小さく、不適合がそれほど検出されない場合は、3〜4ヶ月で認証登録が完了します。 |
| |
| 14.申請・登録の料金・費用 |
|
以下の料金・費用は一例です。
@申請料金
20,000円
A基本料金(認証対象範囲の人員規模による)
100名以下:200,000円
101〜250名:250,000円
251〜1,000名:300,000円
1,001〜4,000名:500,000円
4,001名以上:700,000円
B審査料金(審査対象の規模・ISMSの適用範囲による)
135,000円/審査員1人・1日
C審査のための移動料金
6,000円/審査員1人・1時間
D登録証発行料金
10,000円〜
E登録維持料金(1年分)
50,000円
F審査登録機関登録維持手数料(1年分)
20,000円
G財団法人日本情報処理開発協会登録維持手数料(1年分)
30,000円
H消費税
別途
I宿泊・交通費
実費 |
| |
|
| 前ページへ |
Top Page