ISMS認証を取得するためには審査機関による認証審査を受ける必要がありますが、審査機関が提示する審査費用はなにをもって決められているのでしょうか。
いきなり結論を申し上げると、主にはその審査に必要な人と時間から計算されています。
一日の審査に必要な人の数を表す指標を審査工数といいますが、では一体どのような基準で審査工数を計算しているのでしょうか。
今回は、審査機関が審査工数を決めるための要因について説明したいと思います。
審査工数を決めるための基準
ISMS認証審査を受けるために審査機関と契約をする際、審査費用を気にする方は多いのではないでしょうか。複数の審査機関から見積り依頼をした場合、審査機関ごとに審査費用が大きく異なる場合があります。なぜかというと、審査工数に対して設定している金額が審査機関によって異なるからです。
審査費用は審査機関が独自で決めるものですが、審査工数はそうではありません。審査工数は、国際的な基準に則って決められていて、その基準を示している規格がISO/IEC 27006です。この規格は「情報セキュリティマネジメントシステムの審査及び認証を行う機関に対する要求事項」について書かれています。要約すると、審査機関が認証審査をする際に守らなくてはいけないルールが書かれています。そして、規格の構成の1つに附属書Bというものがあります。ここで審査工数に関するルールが規定されています。
附属書Bの構成は以下となります。
- 審査工数の計算に使用する概念
- 審査の異なる段階において審査工数を決定するための手順に関する要求事項
- 複数サイトの審査に関する要求事項
今回は1と2について見ていきたいと思います。
審査工数の計算に使用する概念
ここでは、審査工数を決めるための要素とは何かが書かれています。
1つ目は「組織の管理下で働く人の数」です。これが審査工数を決めるための出発点となります。
2つ目は「1日の審査で費やす人」です。附属書Bでは1日当たりの労働時間を8時間と仮定しています。つまり、1日当たり8時間として必要な審査員の数を表しています。これによって示されるのが審査工数です。
3つ目は「一時的サイト」です。認証範囲の業務を前提として、一定期間、認証範囲とは別の場所で業務を行うときのことを考えます。その別の場所を一時的サイトといい、通常の業務を行う場所とは別のリスクが存在する可能性があります。よって、審査工数を決める際には、一時的サイトも考慮する必要があります。
審査の異なる段階において審査工数を決定するための手順に関する要求事項
ここでは「審査工数の計算は文書化された手順に従わなければならない」とあります。文書化された手順があるので、それぞれの審査機関は一律の基準で審査工数を決めることができます。実際に審査工数を決めるときに参照しているのが審査工数表です。これは、審査計画を決める際の土台的なイメージです。つまり、審査工数表をもとにして審査工数を決定します。
しかし、「審査工数表は、それ単独では利用してはならない」とあります。なぜなら組織によって事業内容や提供サービスの数、扱っている情報資産は様々であって、審査工数に影響する要因になり得ます。よって、これらの要因を考慮して審査工数の増減を調整します。実際に考慮される要因の一例を以下となります。
事業の複雑さ
- ISMSの複雑さ(情報セキュリティ要求事項、重要な資産の数、提供サービスの数)
- ISMS適用範囲内で実施される事業の数
- ISMSの既に実証されたパフォーマンス(認証はされていないが既にISMSがある等)
ITの複雑さ
- ISMSの構築に使用される技術の範囲及び多様性(ITインフラの複雑性、分離したネットワーク数)
- ISMS適用範囲内で用いられる外部委託及び第三者契約の範囲
- 情報システムの開発の程度
上記に通り、審査工数に影響を与える要因は複数存在し、「事業に関する複雑さ」と「ITに関する複雑さ」に分けられます。
おわりに
今回は、審査工数を決めるための要因について説明しました。
次回は、実際にどのような手順で審査工数が決まるのかについて、例を用いて説明していきたいと思います。