- ISMSの更新審査って、どんなことをするのか知りたい
- 維持審査や更新審査に、どのくらいの費用がかかるのか知りたい
そのようにお考えの情報システム担当者も多いと思います。
この記事では、ISMSの維持審査と更新審査における内容や、手順、費用などについて解説します。
これからISMSの取得をお考えの担当者や、これから維持審査や更新審査を受けられるという担当者の方も、ぜひ本記事を参考にしていただき、審査に向けた準備をしておいてください。
この機会に、自社のセキュリティ体制を見直したいという方には、ISMSの取得もサポートしております。多くの方にご満足いただいている無料セミナーは、2025年9月よりハイブリッドセミナーに生まれ変わりました!全国どこからでもお気軽にご参加いただけます。
目次
ISMS認証の有効期限と更新に関して
ISMS(ISO27001)の認証を取得すると、有効期限は 3年間 に設定されます。
しかし、「認証を取得したら3年間何もしなくてよい」という誤解をされがちですが、そうではありません。
ISMS認証を維持・更新するためには、毎年審査を受ける必要があります。
具体的には、以下のような流れになります。
- 認証取得の1年後および2年後 に 維持審査 を受ける
- 認証取得から3年後(2回目の維持審査の翌年) に 更新審査 を受ける
- 更新審査に合格すると、有効期限が さらに3年間延長 され、認証が更新される
このように、ISMS認証は 定期的な審査を通じて維持・更新する仕組み になっているため、継続的な運用と準備が欠かせません。
アドオン認証について
アドオン認証とは、特定の認証を取得すると、オプションとして追加で取得できる認証を指します。
ISMSの規格である 「ISO27001」 にはアドオン認証が存在し、クラウドサービスに関する規格「ISO27017」「ISO27018」 を取得する場合、アドオン認証の審査に合格する必要があります。
通常、アドオン認証の審査は、更新審査や維持審査とは別に実施 されるのが一般的ですが、これらの審査のタイミングに合わせて受審することも可能です。
ISMS取得後の審査の仕組み
ISMS取得後は、「維持審査」「更新審査」の2つの審査を受けなければなりません。維持審査と更新審査を合わせて、定期審査と呼ばれています。定期審査は、ISO27001に規定されているISMSの趣旨に則り、運用がなされているかを審査します。
維持審査と更新審査の違いの概要は、下表を参照ください。
| 維持審査 | 更新審査 | |
| 頻度 (ISMS新規取得または更新後) | 1年または半年に1度 | 3年に1度 |
| 審査目的 | 前回の審査(初回審査または更新審査)後、ISMSが問題なく運用されているかどうかを審査 | ISMSの登録更新を許可するか否かを決定するための審査 |
| 審査適用範囲 | ISMS適用対象の一部分(サンプリングされた企業内の部門・ISMSの運用プロセス) | ISMS適用対象のすべて(初めての審査とほぼ同様) |
| 審査結果に指摘事項があった場合の対応 | 指定期日までに是正処置を実施 | 指定期日までに是正処置を実施(期日までに是正が完了していない場合は、認証登録の更新が許可されない) |
| 審査方法 | 審査員が現地で審査(更新審査に比べ審査日数、審査員は小規模) | 審査員が現地で審査(維持審査と比較し審査日数、審査員は大規模) |
前回の審査(初回審査または更新審査)後に、新たにISMSで扱うべき課題項目が発生するケースもあります。その際には、新たな課題に対しての要求事項を整理したうえで、リスクアセスメントを行い、必要に応じてISMSの再構築および運用をするといった取り組みが求められます。
ISMSの更新審査・維持審査の流れ
更新審査も維持審査も、概ね以下のような流れで進められます。
- オープニングミーティング
- トップインタビュー
- ISMS管理責任者にヒアリング
- 現場視察と責任者へのヒアリング
- 個別ヒアリング
- 審査の総括
- クロージングミーティング
それぞれ順番に解説します。
オープニングミーティング
審査機関の担当者と自社の担当者間で顔合わせを行います。
審査機関の担当者より審査の大まかな流れが説明されます。
トップインタビュー
審査員から代表者へ、ISMSに関する質問が行われます。
ISMSの運用状況やインシデント対応などについて質問されます。
ISMS管理責任者にヒアリング
前回の審査以降の運用状況について、審査員から確認があります。
前回審査における指摘事項が直っているか、ヒアリングした内容において不適合がないか確認されます。
現場視察と責任者へのヒアリング
審査員が業務現場を視察し、部署のISMS責任者へヒアリングを行います。
個別ヒアリング
業務現場のISMSの状況について、審査員が確認します。
パソコンのセキュリティ対策の状況、機密情報の保管場所、入退室管理リストなど、日々の業務の中で行われている内容を実際に見てチェックします。場合によっては自社の担当者だけでなく、その場にいる従業員へヒアリングして確認することもあります。
審査の総括
審査機関担当者から自社担当者へ、審査の簡単な講評があります。
不適合があればここで指摘されることが多いです。
クロージングミーティング
審査機関担当者と自社担当者との最終ミーティングです。
今後のISMS運用に関して、自社担当者から質問したり、審査機関の担当者からアドバイスをもらったりします。
ISMSの更新審査・維持審査の事前準備
維持審査を受けるには、事前に以下のような準備が必要です。
- 内部監査、マネジメントレビューの実施
- 前回の審査における「指摘事項」への対応
- リスクアセスメントの見直し
- 各種ISMS文書の内容更新
- 各種ISMS文書の準備
- 審査時に対応する社員のスケジュール調整
それぞれ順番に解説します。
内部監査、マネジメントレビューの実施
ISMS認証の基準である「JIS Q 27001」では、内部監査の頻度を「あらかじめ定めた間隔で実施しなければならない」(引用:一般財団法人日本情報経済社会推進協会「法規適合性に関するISMSユーザーズガイド」p.98)とあります。
また、マネジメントレビューは、「1年以内の予め定められた間隔で実施しなければなりません」(引用:一般財団法人日本情報経済社会推進協会「法規適合性に関するISMSユーザーズガイド」p.100)となっています。
内部監査には具体的な期間は定められていませんが、内部監査の結果をもとにマネジメントレビューが行われ、マネジメントレビューが1年以内に行われなければいけないことから、内部監査も1年以内に実施する必要があります。
審査では、前回の審査のあとに、内部監査とマネジメントレビューが行われているという前提で審査が進められるため、必ず維持審査前に実施しておきましょう。
前回の審査における「指摘事項」への対応
前回の審査で受けた「指摘事項」については早めに対応しておくことをおすすめします。
なぜなら、指摘事項を直そうとしたときに、思ったよりも時間がかかることもあるからです。
例えば、社内で利用しているお客さま情報管理リストの運用ルールを見直すように指摘されたときは、指摘内容にもとづいた運用ルールに変えるため、社内の各部署とすり合わせる時間も必要となります。
改善までに思わぬ稼働がかかる場合もあるため、早めに対処しておきましょう。
リスクアセスメントの見直し
情報漏えいに関するリスクは、時代の流れによって変化します。
これまでは問題視していなかったことでも、現在では大きな情報漏えいリスクとなるものもあります。例えば、コロナ禍で増加した「テレワーク」ですが、社内情報の漏えいにつながる新たなリスクも考えられるため、リスクアセスメントの内容を更新しておきましょう。
各種ISMS文書の内容更新
ISMS取得時や前回審査時から、法改正があったり、自社の組織名称や支店住所が変わったりなど、状況が変化していることがあります。
それに伴い、ISMSの社内規定等の表記もあわせて更新しなければいけません。法律や組織体制がかわったときは、各ISMS文書の内容も更新しておきましょう。
各種ISMS文書の準備
ISMSに関する必要書類として、以下の7つの書類や記録を準備しなければいけません。
- 活動目的と目標管理
- 内部監査の記録
- マネジメントレビュー
- 教育の記録
- リスクアセスメントに関する記録
- リスク対応の記録
- 不適合および是正処置に関する記録
前回審査からの記録が分かる書類を確認されますが、維持審査の場合は過去1年分、更新審査の場合は過去3年分の記録が必要です。
審査時に対応する社員のスケジュール調整
審査は概ね2日〜3日かけて行われますが、この期間で審査員との対応を行う担当者や代表者のスケジュールも調整しなければなりません。審査前に、おおよその審査スケジュールが審査会社から通知されるため、その審査スケジュールをもとに調整します。通常業務と同時進行で審査が進められ、審査員との打ち合わせの時間も必要となるため、対応する社員のスケジュールは事前に調整しておきましょう。
ISMSの更新審査・維持審査にかかる費用
ISMSは新しく取る時と同じく、維持審査・更新審査においても費用がかかります。ただし、全体の費用感としては、コンサルティング料金も含めて「維持審査は3割程度」「更新審査は6割〜7割程度(再登録の料金も含まれるため維持審査より高い)」が目安となります。
例えば、「事業所2ヶ所・社員50名程度」の会社でISMS新規取得時にコンサルティング料金もあわせて約160万円かかったとすると、維持審査では約48万円、更新審査では約96万円〜約112万円くらいかかるという費用感です。
ISMSの維持審査・更新審査でお悩みのセキュリティ担当者へ。
分からないことはプロに聞くのが一番!オプティマ・ソリューションズでは、メールでのお問い合わせも受け付けております。まとまった時間が取れない方や遠方の企業様も、手厚くサポートいたします!以下よりお問い合わせください。
ISMS更新によくある質問
Q:ISMSの認証の維持と更新はどうすればいいですか?
A:有効期限は3年間で、更新しないと返上となってしまいます。 ISMS認証を維持するには年1回の維持審査と3年に1回の更新審査を受けて更新し続ける必要があります。 つまり毎年審査があります
Q:ISMSの審査で落ちることはありますか?
A:SMSの審査に落ちる可能性はあります。 ISMSの審査は、情報セキュリティマネジメントシステムが適切に運用されているかを確認するためのもので、その基準を満たしていない場合、審査に通過することはできません。
オプティマ・ソリューションズでは、ISMS取得を徹底的にサポートいたします!
弊社では数多くのお客様のISMS取得のお手伝いをしております。弊社は下記のような特長を持っています。
・メールへの返信や見積などへの対応スピードが速いので最短取得のサポートができる
・月々定額の分割払いができる
・東京、大阪、名古屋に支社がある
・オリジナルテンプレートからのカスタマイズができるので、工数の削減が可能
・使いやすいE-Learningツールを無料提供している(運用時に年に1度の教育が必須)
・コンサルティングを行う際、担当者の皆様自身にISMSの知識やコツを見つけていただいて、皆様の会社自体が成長していただけることを心掛けています
しっかりと皆様のお話をお聞きして、御社に必要なことだけを説明して、親身に寄り添いながらサポートするのが当社のコンサルティングです。
創業20年、実績数も3,500件を超えました。
本Webサイトで認証取得/更新の体験談を多数公開していますので、ぜひご覧になってください。
これからISMSを取得される、または、更新をご希望される事業者様はぜひお気軽にご相談ください。
