- ISMSの更新審査って、どんなことをするのか知りたい
- 維持審査や更新審査に、どのくらいの費用がかかるのか知りたい
そのようにお考えの情報システム担当者も多いと思います。
この記事では、ISMSの維持審査と更新審査における内容や、手順、費用などについて解説します。
これからISMSの取得をお考えの担当者や、これから維持審査や更新審査を受けられるという担当者の方も、ぜひ本記事を参考にしていただき、審査に向けた準備をしておいてください。
目次
ISMS取得後の審査の仕組み
ISMS取得後は、以下2つの審査を受けなければなりません。
- 維持審査
- 更新審査
維持審査と更新審査の違いは、下表を参照ください。
維持審査 | 更新審査 | |
審査時期(ISMS取得・更新後) | 1年目・2年目 | 3年目 |
審査目的 | ISMS取得後、正しく運用されているか否かの審査 | 認証登録の更新に問題がないかの審査 |
備考 | サーベイランス審査・定期審査とも呼ばれる | 審査の結果、「指摘事項」が出た場合、改善しないと更新が認められない |
ISMSの更新審査・維持審査の流れ
更新審査も維持審査も、概ね以下のような流れで進められます。
- オープニングミーティング
- トップインタビュー
- ISMS管理責任者にヒアリング
- 現場視察と責任者へのヒアリング
- 個別ヒアリング
- 審査の総括
- クロージングミーティング
それぞれ順番に解説します。
オープニングミーティング
審査機関の担当者と自社の担当者間で顔合わせを行います。
審査機関の担当者より審査の大まかな流れが説明されます。
トップインタビュー
審査員から代表者へ、ISMSに関する質問が行われます。
ISMSの運用状況やインシデント対応などについて質問されます。
ISMS管理責任者にヒアリング
前回の審査以降の運用状況について、審査員から確認があります。
前回審査における指摘事項が直っているか、ヒアリングした内容において不適合がないか確認されます。
現場視察と責任者へのヒアリング
審査員が業務現場を視察し、部署のISMS責任者へヒアリングを行います。
個別ヒアリング
業務現場のISMSの状況について、審査員が確認します。
パソコンのセキュリティ対策の状況、機密情報の保管場所、入退室管理リストなど、日々の業務の中で行われている内容を実際に見てチェックします。場合によっては自社の担当者だけでなく、その場にいる従業員へヒアリングして確認することもあります。
審査の総括
審査機関担当者から自社担当者へ、審査の簡単な講評があります。
不適合があればここで指摘されることが多いです。
クロージングミーティング
審査機関担当者と自社担当者との最終ミーティングです。
今後のISMS運用に関して、自社担当者から質問したり、審査機関の担当者からアドバイスをもらったりします。
ISMSの更新審査・維持審査の事前準備
維持審査を受けるには、事前に以下のような準備が必要です。
- 内部監査、マネジメントレビューの実施
- 前回の審査における「指摘事項」への対応
- リスクアセスメントの見直し
- 各種ISMS文書の内容更新
- 各種ISMS文書の準備
- 審査時に対応する社員のスケジュール調整
それぞれ順番に解説します。
内部監査、マネジメントレビューの実施
ISMS認証の基準である「JIS Q 27001」では、内部監査の頻度を「あらかじめ定めた間隔で実施しなければならない」(引用:一般財団法人日本情報経済社会推進協会「法規適合性に関するISMSユーザーズガイド」p.98)とあります。
また、マネジメントレビューは、「1年以内の予め定められた間隔で実施しなければなりません」(引用:一般財団法人日本情報経済社会推進協会「法規適合性に関するISMSユーザーズガイド」p.100)となっています。
内部監査には具体的な期間は定められていませんが、内部監査の結果をもとにマネジメントレビューが行われ、マネジメントレビューが1年以内に行われなければいけないことから、内部監査も1年以内に実施する必要があります。
審査では、前回の審査のあとに、内部監査とマネジメントレビューが行われているという前提で審査が進められるため、必ず維持審査前に実施しておきましょう。
前回の審査における「指摘事項」への対応
前回の審査で受けた「指摘事項」については早めに対応しておくことをおすすめします。
なぜなら、指摘事項を直そうとしたときに、思ったよりも時間がかかることもあるからです。
例えば、社内で利用しているお客さま情報管理リストの運用ルールを見直すように指摘されたときは、指摘内容にもとづいた運用ルールに変えるため、社内の各部署とすり合わせる時間も必要となります。
改善までに思わぬ稼働がかかる場合もあるため、早めに対処しておきましょう。
リスクアセスメントの見直し
情報漏えいに関するリスクは、時代の流れによって変化します。
これまでは問題視していなかったことでも、現在では大きな情報漏えいリスクとなるものもあります。例えば、コロナ禍で増加した「テレワーク」ですが、社内情報の漏えいにつながる新たなリスクも考えられるため、リスクアセスメントの内容を更新しておきましょう。
各種ISMS文書の内容更新
ISMS取得時や前回審査時から、法改正があったり、自社の組織名称や支店住所が変わったりなど、状況が変化していることがあります。
それに伴い、ISMSの社内規定等の表記もあわせて更新しなければいけません。法律や組織体制がかわったときは、各ISMS文書の内容も更新しておきましょう。
各種ISMS文書の準備
ISMSに関する必要書類として、以下の7つの書類や記録を準備しなければいけません。
- 活動目的と目標管理
- 内部監査の記録
- マネジメントレビュー
- 教育の記録
- リスクアセスメントに関する記録
- リスク対応の記録
- 不適合および是正処置に関する記録
前回審査からの記録が分かる書類を確認されますが、維持審査の場合は過去1年分、更新審査の場合は過去3年分の記録が必要です。
審査時に対応する社員のスケジュール調整
審査は概ね2日〜3日かけて行われますが、この期間で審査員との対応を行う担当者や代表者のスケジュールも調整しなければなりません。審査前に、おおよその審査スケジュールが審査会社から通知されるため、その審査スケジュールをもとに調整します。通常業務と同時進行で審査が進められ、審査員との打ち合わせの時間も必要となるため、対応する社員のスケジュールは事前に調整しておきましょう。
ISMSの更新審査・維持審査にかかる費用
ISMSは新しく取る時と同じく、維持審査・更新審査においても費用がかかります。ただし、全体の費用感としては、コンサルティング料金も含めて「維持審査は3割程度」「更新審査は6割〜7割程度(再登録の料金も含まれるため維持審査より高い)」が目安となります。
例えば、「事業所2ヶ所・社員50名程度」の会社でISMS新規取得時にコンサルティング料金もあわせて約160万円かかったとすると、維持審査では約48万円、更新審査では約96万円〜約112万円くらいかかるという費用感です。
ISMS更新によくある質問
Q:ISMSの認証の維持と更新はどうすればいいですか?
A:有効期限は3年間で、更新しないと返上となってしまいます。 ISMS認証を維持するには年1回の維持審査と3年に1回の更新審査を受けて更新し続ける必要があります。 つまり毎年審査があります
Q:ISMSの審査で落ちることはありますか?
A:SMSの審査に落ちる可能性はあります。 ISMSの審査は、情報セキュリティマネジメントシステムが適切に運用されているかを確認するためのもので、その基準を満たしていない場合、審査に通過することはできません。
ISMS取得・更新のご相談ならオプティマ・ソリューションズへ!
弊社は創業後の20年間で3,000件を超える支援を行ってきました。さらに、弊社には次の強みがあります。
- メールへの返信や見積などへの対応スピードが速いので最短取得のサポートができる
- 月々定額の分割払いができる
- 東京、大阪、名古屋に支社がある
- オリジナルテンプレートからのカスタマイズができるので、工数の削減が可能
- 使いやすいE-Learningツールを無料提供している(運用時に年に1度の教育が必須)
弊社ではISMS認証の取得・更新をする以上に、御社の社内環境や社外のお客様の質まで変えていけるように全力でサポート致します。
お客様が新しい知識と情報を理解し、自社の業務にそれを適用することで、何らかの改善が実現しお客様も喜ぶ。そんな状態を理想と考えているからです。
これからISMS認証を取得される、または、更新をご希望される事業者様はぜひ、お気軽にご相談下さい。