令和6年度中小企業サイバー
セキュリティ社内体制整備事業

0120-138-166

受付時間 9:00〜17:00(平日のみ)

ade.jp.shanaitaisei@jp.adecco.com

サイトマップ
文字サイズ

13-4. ISO/IEC27001の審査準備と審査内容

13-4-1. ISO/IEC27001の認証機関の選定と申し込み

認証取得の申請先

 組織がISO/IEC 27001の認証を取得するためには、一般社団法人情報マネジメントシステム認定センター(ISMS-AC)から認定された認証機関からの審査を受け、認証基準に適合していると認められる必要があります。
ISO/IEC27001(ISMS)における「認証」と「認定」は似た用語ですが、英語では”certification”と”accreditation”で異なる意味を持つ用語です。「認証」は組織の情報セキュリティマネジメントシステムがISO 27001の規格に適合していることを公的機関が証明することです。一方、「認定」は、審査機関が十分な審査能力をもち、かつ公平な審査が行われていることを証明する仕組みです。日本ではISMS-ACがISMSの認証機関を認定しています。

認証取得の申請先

図56. 認証取得の申請先
(出典)JIPDEC「ISMS/ITSMS/BCMS/CSMS認証を取得するには」をもとに作成

認証機関の選択

 認証取得を希望する組織は認定された認証機関の中から選んで申請します。
認定された認証機関は、ISMS-ACのWebページに掲載されています。

認証機関の選択

図57. 認証機関の選択
(出典)JIPDEC「ISMS/ITSMS/BCMS/CSMS認証を取得するには」をもとに作成

 認定された認証機関は、業種による制限はありませんので、どの業種の組織でも審査することができます。しかし、審査において業種特有な専門的知識が必要な場合は、認証機関として審査を受付けない場合がありますので、事前に確認することが大切です。また、利害が絡む場合などでは審査を受付けられない場合があります。
認証機関を選択したら、認証審査・登録に関する条件について事前に確認し、合意されたら申請します。
認証登録に関わる料金は、適用範囲や受審組織の規模などの他、認証機関によっても異なります。見積りをとることもできます。
申請に必要な書類や様式などは、認証機関に確認します。

詳細理解のため参考となる文献(参考文献)

  • ISMS認証機関一覧

    • 13-4-2. ISO/IEC27001の審査事前準備

    ISMSの構築

     ISO/IEC 27001に準拠したISMSを実装するには、どのようなステップが必要なのか解説します。実装に際してはISO/IEC 27001の認証審査を受けることになります。そのため、審査対象となるISMSの構築を実施し、実際の運用状況について記録することになります。

    ISMSの構築
    ステップ
    適用範囲の決定
    概要
    会社全体だけでなく、特定の部署・拠点のみといったようにISMSの範囲を限定することも可能なため、まずは適用範囲を決定します。
    ステップ
    情報セキュリティ方針の策定
    概要
    ISMSの基本的な指針として、会社の情報セキュリティ方針を策定します。
    ステップ
    体制の確立
    概要
    ISMS管理責任者、ISMS推進事務局、ISMS内部監査チームなど、ISMSの運用体制を決定します。
    ステップ
    ISMS文書化
    概要
    ISMSを運用・維持するための手順やガイドラインを文書化します。従業員や関係者が理解しやすく、利用・実践しやすい形式により作成することが重要です。
    ステップ
    リスクアセスメントの実施
    概要
    会社が持つ情報資産を洗い出し、それらに想定しうるリスクと対策を決定します。リスクアセスメントの結果は記録を作成します。
    ステップ
    従業員の教育
    概要
    ISMSの概要や手順、会社の情報セキュリティ方針について従業員に理解してもらうため、セキュリティ教育を実施します。教育の結果は記録を作成します。
    ステップ
    内部監査
    概要
    ISMSの運用がはじまった後に、定めたルールが適切に運用されているかを確認します。運用が不十分な場合はリスクの指摘やルールの見直しを行い、改善につなげます。内部監査の結果は記録を作成します。
    ステップ
    マネジメントレビュー
    概要
    内部監査の結果をもとに、会社のISMSについての現状や課題、改善点などを経営陣に報告します。マネジメントレビューの結果は記録を作成します。

    13-4-3. ISO/IEC27001の審査(第一段・第二段)

    ISMS認証とISMS適合性評価制度

     「ISMS認証」とは、組織の構築したISMSがISO/IEC 27001に基づいて適切に運用管理されているかを、第三者であるISMS認証機関が、利害関係のない公平な立場から審査し証明することです。この認証を公正に運用するために、国際的な枠組みが定められており、これを「ISMS適合性評価制度」と呼んでいます。この適合性評価制度は、以下の図に示したように「認証機関」「認定機関」「要員認証機関」から構成されています。
    ISO/IEC 27001は、 ISMS適合性評価制度において、第三者である認証機関がISMS認証を希望する組織の適合性を評価するための基準となります。認証審査においては、組織のISMSがISO/IEC27001の標準に適合しているかが評価されることになります。

    ISMS適合性評価制度

    図58. ISMS適合性評価制度
    (出典)ISMS-AC「ISMS適合性評価制度」を基に作成

    認定と認証
    認定
    認定機関が認証機関を審査し、認証を遂行する能力のあることを公式に承認する行為を認定といいます。日本におけるISMS適合性評価制度の認定機関はISMS-ACです。ISMS-ACは、認証機関が適切に審査を実施できる体制・能力を持ち、かつ公正な審査を実施しているかを、国際規格に照らして審査し、適合していると認められる機関を認定して、「認定シンボル」の使用を許可しています。そのため、認定を受けたISMS認証機関は、適切なISMS認証審査を実施することのできる、信頼のおける認証機関であることを意味します。
    認証
    第三者が文書で保証する手続きを認証といいます。
    マネジメントシステム規格への適合性を保証する場合、認証の代わりに特に他と区別するため「審査登録」という用語を用いることがあります。この場合、認証の対象は、製品、サービスあるいはプロセスではなく、組織のマネジメントシステムそのものとなることに注意が必要です。

    (出典)MSQA「ISMS推進マニュアル - 活用ガイドブック ISO/IEC 27001:2022 対応1.0版」を基に作成

    ISMS認証審査プロセス

     ISMSの認証審査は、大まかに以下のようなステップで進みます。

    ISMS認証審査プロセス
    ステップ:申請
    概要
    新規取得する際、今までと異なる認証機関で受審する場合は、申請が必要です。
    ステップ:審査日程の確認
    概要
    組織と認証機関との間で、審査日程の確認を行います。
    ステップ:初回認証審査
    概要
    新規の場合は原則として1次審査と2次審査の2回で実施されます。
    ステップ:認証登録
    概要
    審査の結果、適合していることが確認されると認証書が発行され、登録完了となります。
    ステップ:報告・公開
    概要
    認証された旨が認証機関からISMS-ACに報告され次第、ISMS-ACホームページ上で公開されます。

     なお、審査に要する期間や工数、申請方法、申請時の準備物、認証登録料金などは、認証機関によって異なります。 ISMS認証機関は、情報マネジメントシステム認定センター(ISMS-AC)のホームページで公開されているため、申請先選定の際は確認することが大切です。

    13-4-4. ISO/IEC27001の維持審査・再認証審査

    ISMS認証の維持および更新審査プロセス

     ISMS認証取得後も、維持・更新のための審査があります。年に1回以上の維持審査(サーベイランス審査)と、3年ごとに認証の有効期限を更新するための全面的な審査(再認証審査)です。どちらにおいても、組織のISMSが引き続き規格に適合し、有効に維持されているかが確認されます。

    ISMS認証の維持および更新審査プロセス

    コラム

    ISMSの導入:成功の鍵とよくある落とし穴
    組織が顧客データや機密情報などの情報資産を守るためには、適切に情報セキュリティを確保する仕組みが必要となります。そのために、ISMSの導入と運用は重要になります。そこで、ISMSを導入・運用していく際に成功の鍵となるポイントと、陥りやすい失敗例をいくつか紹介します。
    成功の鍵となるポイント
    ■ トップマネジメントのコミットメント
    SMSの導入には経営陣からのコミットメントが不可欠です。経営層が情報セキュリティの重要性を理解し、リーダーシップを発揮することにより、組織全体が情報セキュリティの確保に向けて協力的になります。
    ■ 従業員の教育と意識向上
    従業員への教育は、従業員に基本方針や対策基準などを理解させ、策定された実施手順を実践してもらうために重要です。定期的なトレーニングや教育プログラムを通じて、従業員が脅威に対処できるようにサポートしていくことが大切です。
    リスク評価と適切な対応策
    リスク評価を行い、特定のリスクに対して適切な対応策を策定することにより、情報資産の保護と事業の継続性を確保できます。
    陥りやすい失敗例
    ■ 実施手順の抽象性
    実施手順が抽象的で理解しづらい場合、従業員は具体的に何を順守して行動すればよいかわからず、セキュリティ対策が不十分になってしまいます。わかりやすい実施手順を策定し、従業員に浸透させることが重要です。
    ■ 不十分な監査と改善の実施
    ISMSの運用において監査と改善を怠ってしまうと、新たな脅威に適応できず、セキュリティ体制が陳腐化してしまいます。定期的な監査と、その結果をもとにした改善活動を継続的に行うことが必要です。
    ISMSの導入を成功させるためには、経営層のリーダーシップ、従業員の教育、リスクマネジメントの適切な実施が欠かせません。常に変化するセキュリティ環境に適応する柔軟性や継続的な改善が、組織の情報セキュリティを確保することにつながります。
    13-3. ISMS文書体系(ISMS構築・導入に必要な文書と記録) 14-1. 管理策の分類と構成
    目次に戻る
    中小企業向けサイバーセキュリティ対策の極意
    ページトップへ戻る