ISMSは、認証機関の審査を受け、ISO/IEC 27001に準拠したマネジメントシステムを行っていると認められた場合に付与される認証です。
従って、認証を取得するためには、まず認証機関に審査を依頼する必要があります。
日本には、ISMS認証機関が2017年10月20日付けで26機関、ISMSクラウドセキュリティ認証機関が2017年4月18日付けで5機関あります。
JIPDEC:ISMS認証機関一覧
JIPDEC:ISMSクラウドセキュリティ認証機関一覧
ISMSクラウドセキュリティ認証を取得しようとする企業は認証機関が5つしかないことからそこまで悩むことはないと思いますが、ISMS認証を取得しようとする企業は選択肢が多いため、悩むことも多いのではないでしょうか。
コンサルタントと契約をしている場合は、コンサルタントにオススメの認証機関などを聞いてみるといいかと思いますが、そのようなツテのない企業は、ネットや他企業などから情報を得るしかありません。
様々な情報や条件を元に、認証機関を決定し、初回審査を受けたとしましょう。
認証取得後は毎年、継続的に構築した情報セキュリティマネジメントシステムが運用出来ているか審査を受ける必要があります。
しかしながら、2年目以降の審査において、1年目のときの認証機関が合わなかった、費用面を抑えたいなどの理由から認証機関を変更したいという要望が出て来る企業もあるのではないでしょうか。
そこで今回は、認証機関を変更する方法や注意点について、ご説明したいと思います。
認証機関を変更(移転)するには?
認証機関を変更することを、一般的に移転と言います。
移転をおこなう際には、移転先の認証機関によるレビューを受けます。
レビューでは、以下のようなことが確認されますので、準備をおこなう必要があります。
・現在認証されている範囲と、移転先認証機関に提出する認証範囲の齟齬
・移転する理由
・現在取得している認証のマネジメントシステムの規格に準拠しているという証拠
・今までに実施された審査で発生した未解決の不適合に関する検討内容
・インシデント状況と是正処置
・次に実施されるはずだった審査
・法令遵守の観点からみた規制当局との現在の関係
あくまで上記は指針として定められていることのみを述べていますので、認証機関や審査員によっては、上記のほかにも色々と追加で聞いてくることがあります。
しかし、ISMS認証を取得後、しっかりと運用を回している企業であれば、急な質問に対しても問題なく対応できると思いますので、そこまで心配する必要はありません。
認証機関が倒産したら…
滅多にないことですが、もし現在利用している認証機関が倒産してしまった場合には、どうすれば良いのでしょうか。
自社で持っている認証はどうなってしまうのか、不安ですよね。
しかし、安心してください。認証機関が倒産しても、自社が取得したISMS認証が剥奪されることはありません。
次回の継続審査、または再認証審査時に別の認証機関に審査をしてもらえば、継続的に認証を取得し続けることが出来ます。
1つ、普段の継続審査や再認証審査とは異なる点があるとするなら、移転前の認証機関が倒産していることで当時の審査情報などが入手困難なことから、追加審査が発生するということです。
この場合の追加審査費用は、全て審査を受ける企業が負担しなければなりません。