受付時間 9:00〜17:00(平日のみ)
文字サイズ
文字サイズ
組織がISO/IEC 27001の認証を取得するためには、一般社団法人情報マネジメントシステム認定センター(ISMS-AC)から認定された認証機関からの審査を受け、認証基準に適合していると認められる必要があります。
ISO/IEC27001(ISMS)における「認証」と「認定」は似た用語ですが、英語では”certification”と”accreditation”で異なる意味を持つ用語です。「認証」は組織の情報セキュリティマネジメントシステムがISO 27001の規格に適合していることを公的機関が証明することです。一方、「認定」は、審査機関が十分な審査能力をもち、かつ公平な審査が行われていることを証明する仕組みです。日本ではISMS-ACがISMSの認証機関を認定しています。
図56. 認証取得の申請先
(出典)JIPDEC「ISMS/ITSMS/BCMS/CSMS認証を取得するには」をもとに作成
認証取得を希望する組織は認定された認証機関の中から選んで申請します。
認定された認証機関は、ISMS-ACのWebページに掲載されています。
図57. 認証機関の選択
(出典)JIPDEC「ISMS/ITSMS/BCMS/CSMS認証を取得するには」をもとに作成
認定された認証機関は、業種による制限はありませんので、どの業種の組織でも審査することができます。しかし、審査において業種特有な専門的知識が必要な場合は、認証機関として審査を受付けない場合がありますので、事前に確認することが大切です。また、利害が絡む場合などでは審査を受付けられない場合があります。
認証機関を選択したら、認証審査・登録に関する条件について事前に確認し、合意されたら申請します。
認証登録に関わる料金は、適用範囲や受審組織の規模などの他、認証機関によっても異なります。見積りをとることもできます。
申請に必要な書類や様式などは、認証機関に確認します。
| 詳細理解のため参考となる文献(参考文献) | |
| ISMS認証機関一覧 | https://isms.jp/lst/isr/index.html |
ISO/IEC 27001に準拠したISMSを実装するには、どのようなステップが必要なのか解説します。実装に際してはISO/IEC 27001の認証審査を受けることになります。そのため、審査対象となるISMSの構築を実施し、実際の運用状況について記録することになります。
| ISMSの構築 | |
| ステップ | 概要 |
| 適用範囲の決定 | 会社全体だけでなく、特定の部署・拠点のみといったようにISMSの範囲を限定することも可能なため、まずは適用範囲を決定します。 |
| 情報セキュリティ方針の策定 | ISMSの基本的な指針として、会社の情報セキュリティ方針を策定します。 |
| 体制の確立 | ISMS管理責任者、ISMS推進事務局、ISMS内部監査チームなど、ISMSの運用体制を決定します。 |
| ISMS文書化 | ISMSを運用・維持するための手順やガイドラインを文書化します。従業員や関係者が理解しやすく、利用・実践しやすい形式により作成することが重要です。 |
| リスクアセスメントの実施 | 会社が持つ情報資産を洗い出し、それらに想定しうるリスクと対策を決定します。リスクアセスメントの結果は記録を作成します。 |
| 従業員の教育 | ISMSの概要や手順、会社の情報セキュリティ方針について従業員に理解してもらうため、セキュリティ教育を実施します。教育の結果は記録を作成します。 |
| 内部監査 | ISMSの運用がはじまった後に、定めたルールが適切に運用されているかを確認します。運用が不十分な場合はリスクの指摘やルールの見直しを行い、改善につなげます。内部監査の結果は記録を作成します。 |
| マネジメントレビュー | 内部監査の結果をもとに、会社のISMSについての現状や課題、改善点などを経営陣に報告します。マネジメントレビューの結果は記録を作成します。 |
「ISMS認証」とは、組織の構築したISMSがISO/IEC 27001に基づいて適切に運用管理されているかを、第三者であるISMS認証機関が、利害関係のない公平な立場から審査し証明することです。この認証を公正に運用するために、国際的な枠組みが定められており、これを「ISMS適合性評価制度」と呼んでいます。この適合性評価制度は、以下の図に示したように「認証機関」「認定機関」「要員認証機関」から構成されています。
ISO/IEC 27001は、ISMS適合性評価制度において、第三者である認証機関がISMS認証を希望する組織の適合性を評価するための基準となります。認証審査においては、組織のISMSがISO/IEC27001の標準に適合しているかが評価されることになります。
図58. ISMS適合性評価制度
(出典)ISMS-AC「ISMS適合性評価制度」を基に作成
| 認定 | 認定機関が認証機関を審査し、認証を遂行する能力のあることを公式に承認する行為を認定といいます。日本におけるISMS適合性評価制度の認定機関はISMS-ACです。ISMS-ACは、認証機関が適切に審査を実施できる体制・能力を持ち、かつ公正な審査を実施しているかを、国際規格に照らして審査し、適合していると認められる機関を認定して、「認定シンボル」の使用を許可しています。そのため、認定を受けたISMS認証機関は、適切なISMS認証審査を実施することのできる、信頼のおける認証機関であることを意味します。 |
| 認証 | 第三者が文書で保証する手続きを認証といいます。
マネジメントシステム規格への適合性を保証する場合、認証の代わりに特に他と区別するため「審査登録」という用語を用いることがあります。この場合、認証の対象は、製品、サービスあるいはプロセスではなく、組織のマネジメントシステムそのものとなることに注意が必要です。 |
(出典)MSQA「ISMS推進マニュアル – 活用ガイドブック ISO/IEC 27001:2022 対応1.0版」を基に作成
ISMSの認証審査は、大まかに以下のようなステップで進みます。
| ステップ | 申請 | 審査日程の確認 | 初回認証審査 | 認証登録 | 報告・公開 |
| 概要 | 新規取得する際、今までと異なる認証機関で受審する場合は、申請が必要です。 | 組織と認証機関との間で、審査日程の確認を行います。 | 新規の場合は原則として1次審査と2次審査の2回で実施されます。 | 審査の結果、適合していることが確認されると認証書が発行され、登録完了となります。 | 認証された旨が認証機関からISMS-ACに報告され次第、ISMS-ACホームページ上で公開されます。 |
なお、審査に要する期間や工数、申請方法、申請時の準備物、認証登録料金などは、認証機関によって異なります。ISMS認証機関は、情報マネジメントシステム認定センター(ISMS-AC)のホームページで公開されているため、申請先選定の際は確認することが大切です。
ISMS認証取得後も、維持・更新のための審査があります。年に1回以上の維持審査(サーベイランス審査)と、3年ごとに認証の有効期限を更新するための全面的な審査(再認証審査)です。どちらにおいても、組織のISMSが引き続き規格に適合し、有効に維持されているかが確認されます。
