お役立ち情報 ISMSの取得はなぜ最短でも4ヶ月かかるのか
ISMSの取得を検討している多くの企業は、「ISMSって何ヶ月で取得できるの?」という疑問をお持ちかと思います。
取引先企業や、会社の上層部から、「ISMSを○月までに取得してほしい」と依頼されるケースも多いようです。
では、ISMS認証は、取り組み開始から認証取得まで、最短でどの程度の期間がかかるのでしょうか。
答えは、「ISMS 最短」などで検索するといろいろと表示されますが、弊社の見解としては、(余りおすすめしませんが)「4ヶ月程度」ではないかと思っております。
では何故4ヶ月なのか、1ヶ月や2ヶ月では何故取得できないのか、その理由をご説明します。
ISMS認証取得審査の仕組み
まず、ISMS認証取得の仕組みについてご説明します。
ISMS認証を取得するためには、大きく2つのステップがあります。
- 「ISO 27001」とよばれる規格(ルール)に従って、社内の規程やマニュアルおよび記録を作成し、運用する
- 認証機関の審査を受ける
認証機関の審査は「第一段階審査」と「第二段階審査」に分かれています。
2つの審査を受審して、認証機関からOKが貰えれば、無事にISMS認証を取得することが出来ます。
※ISMS認証取得までの詳細なステップが知りたい方はこちらをご参照ください。
認証機関が守るべき規格「ISO17021」と審査までに求める運用実績の期間
認証機関にも、ISMS認証の審査を行う際に守るべき規格(ルール)が存在します。
それが「ISO 17021」というルールです。
ISMS認証機関が守るべきルールは、他にも「ISO 27006」があります。
正確には、ISO 17021は「マネジメントシステムの審査及び認証を行う機関に対する要求事項」であり、ISO 27006は「情報セキュリティマネジメントシステムの審査及び認証を行う機関に対する要求事項」です。
ISO 17021には、下記のような記述が存在しています。
第二段階審査の目的は,有効性を含む,依頼者のマネジメントシステムの実施を評価することである。
引用:JIS Q 17021:2015 (ISO/IEC 17021:2015)
有効性を含むマネジメントシステムの実施とは、情報セキュリティに関する社内ルールが整備され、きちんと運用されており、見直しや改善までを含めたサイクルがきちんと回せている状況を指します。
つまり、これからISMSを取得しようとする企業には、第二段階審査までに、社内ルールを決めておくだけではなく、運用実績が求められます。
では、具体的にどの程度の運用実績があれば有効性を含むといえるのか、審査でOKがもらえるのかと疑問を抱かれる方もいらっしゃると思います。
認証機関のWebサイトをいくつか例に挙げていきます。
BSIグループジャパン株式会社
ISMS認証機関の最大手であるBSIグループジャパン株式会社の「受審ガイドブック」には、以下のような記述があります。
第一段階は、通常、次の事項を目的に実施します。
引用:BSI グループジャパン株式会社「BSI 受審ガイドブック」 – アクセス日:2022/11/25
~中略~
10) マネジメントシステムの運用が第二段階審査の際に、少なくとも3ヵ月程度の効果的な運用実績があることの証拠を確認
つまり、第一段階審査の時点で、第二段階審査の実施予定日に「少なくとも3ヵ月程度の効果的な運用実績があるかどうか」を確認されるわけです。
一般財団法人日本科学技術連盟
別の認証機関である一般財団法人日本科学技術連盟のWebサイトには、以下のような記述があります。
Q5:審査を受ける上で目安となる運用期間(試運転期間)はどのくらいでしょうか?
審査は初回一次審査(文書審査=システム構築状況の確認)と初回二次審査(実地審査=システム運用状況の確認)の二段階の審査で行われますが、二次審査までに3ヶ月程度の運用期間を見ておいていただくことが望ましいと思います。
引用:ISO審査登録センター「Q&A ISO基礎知識」 – アクセス日:2022/11/22
3ヶ月の運用実績がないと受審できないなど、明確な記載はされていませんが、少なくとも「第二段階審査までに3ヶ月程度の運用実績」を求めている認証機関は多く存在します。
また、第二段階審査が終了した時点で、審査員からすぐにISMS認証がもらえるわけではありません。
審査員が、審査の結果を認証機関に持ち帰り、必要な手続きを得た上で、やっと認証を得ることができます。
社内ルールの整備ってどのくらい時間を要するの?
ISMS認証を取得するためには、「ISO 27001に基づいた社内の規程やマニュアルおよび記録の作成」と「認証機関による審査の受審」が必要でした。
審査を受けるためには、約3ヶ月程度のルールの運用実績が必要ということをお伝えしましたが、社内の規程やマニュアルおよび記録を作るのに、どの程度の時間がかかるのでしょうか。
代表的な作成物としては以下の通りです。
- 自社の保有する情報資産の台帳
- 自社にまつわるリスクの台帳
- 一般従業員向けセキュリティルール規程
- 特定業務(人事や開発、委託先選定・管理など)におけるセキュリティルール規程
- ISMS運用マニュアル
認証範囲における組織規模や状況によっても異なりますが、規程やマニュアルおよび記録の作成には、最短で2週間~1か月はかかります。
ただ、これらの記録やルールは作成したら、運用しなければなりません。極端な例をあげると、パスワードを100桁に設定して毎月変更するというルールを決めると、それを実際に行う必要がありますが、業務を阻害したり、そもそも有効性はあるのかと疑問を抱いて反発が生まれたりする可能性があります。
このように、セキュリティルールと自社の状況に齟齬が生まれないようにするために、ルールの検討は、数か月~半年をかけるのが一般的です。
ISMS認証取得は手戻りを最小限に、長く運用していくことを考えると半年以上の準備が望ましい。
前述した通り、「ISO 27001に基づいた社内の規程やマニュアルおよび記録の作成」に2週間~1か月、「ルールの運用」に3か月、「認証機関による審査の受審~認証付与」2週間~1か月を足し合わせると、すべてが上手く行ったとしても、4ヶ月程度になってしまいます。
しかし、ISMS認証は取得することがゴールではありません。ISMSという仕組みを導入して、ルールを運用し続けていくことが重要です。その時々の自社に合ったルールや仕組みを、しっかり検討・構築していくことが、結果として、手戻りを無くすことや見直し作業の負担軽減に繋がります。そのためには、準備期間は半年ほどがひとつの目安です。
弊社では、スタートアップ企業から大手企業まで、豊富なご支援実績があります。
ISMSを自社に合った形で長く無理なく運用し続けたいという方は、ぜひお気軽にお問い合わせください。