企業にとってISMS認証を取ることは大きな目標の一つと言えるでしょう。このISMS認証の取得は決して難しいものではありませんが、場合によっては認証の取得に失敗することもあります。ISMS認証が取れないというケースは、どのようなケースなのでしょうか。この記事では、ISMS認証の取得に失敗してしまうケースを3つご紹介いたします。
思い立ってから審査当日まで!やるべきことが一目瞭然!
ケース1:PDCAが回っていない
ISMS審査に落ちてしまうケースの1つ目は、ISMSの審査合格に向けたPDCAサイクルが回っていないことがあげられます。
PDCAサイクルとはPlan・Do・Check・Actionの4つの活動を順番に繰り返すサイクルのことです。
ISMS審査におけるPDCAサイクルの不備とは、具体的に言えば、リスクアセスメントや内部監査、マネジメントレビューなど必要な手続きを行っていないケースなどです。
上記の手続きは、ISMSの規格であるISO27001にて実施しなければならないことが明記されており、ISMSの構築に欠かせない最重要な要素です。これらを未実施のままで審査に臨んでしまうと、「不適合」という結果となり、認証がとれず、再度の審査が必要となります。
ケース2:審査妨害や、審査に非協力的な態度をとった
レアなケースになるのですが、ISMSの審査時に、審査妨害したり審査に非協力的な態度を取ったりしてしまうと、ISMSの審査に不合格となります。
このようなことはほとんどあり得ないのですが、上記のような理由で審査員が通常の審査を実施できないと判断すると、審査が途中で打ち切られる可能性があります。
審査では、実際に審査員が職場に立ち入って、働いている人に直接インタビューを行います。
このように働いている人に直接インタビューした時に、インタビューされた社員全員が非協力的な態度を取ったり、審査員が社員に何か尋ねたときにも、社員全員が「今、忙しいので無理です」と言ったり、「聞こえないふりをして無視する」などの態度を取ってしまうと、審査員は審査できないと判断し、審査が打ち切られる可能性があります。
もちろん、社員の中には、どうしても手が離せず、審査員のインタビューに対応できないという場合もあると思います。その場合は、無理に応答しなくても「ちょっと忙しいので、他の人でお願いしてもいいですか?」と言えば、一切問題はありません。
審査員側も、手が離せない業務をしている社員がいる可能性を、十分に理解しています。数人にインタビューを断られたぐらいで、審査は中止にはなりません。
ここで例として出したのは、あくまで、社員の大部分が、正当な理由無く、審査に非協力的な態度をとった場合です。
ケース3:大きな情報セキュリティインシデントが発生した
ISMSの審査中に大規模な情報セキュリティインシデントが発生した場合にも、ISMSの認証が取得できない可能性があります。
ISMS認証を付与する側も信頼性を重視する必要があるため、情報セキュリティインシデントが発生している会社に対して「あなたの会社のISMSはバッチリですよ!」というお墨付きを与えるわけには行きません。
しかし、一度でも何か大きなインシデントが発生してしまったら未来永劫ISMS取得はできないかというと、そうではありません。一定期間後に再度、審査を受けることで、その時にマネジメントシステムがしっかりと出来ていると判断されれば、ISMS認証を取得することが出来ます。
ISMSの概要をおさらい
ここでISMS認証の概要をざっとおさらいしましょう。
ISMSとは
ISMS(情報セキュリティマネジメントシステム)とは、情報資産のセキュリティを管理するためのシステム(仕組み)を取り決め、実行していくことを指す言葉です。現在、日本ではISMSとしてISMS27001が採用されています。日本語版での表記ですと、JISQ27001が正確な名称となります。
ISMSの目的
ISMSを策定する目的とは、情報の機密性・完全性・可用性を維持して、自社が信頼できる企業・組織であることをステークホルダーへアピールすることです。
情報セキュリティの分野では、情報の機密性・完全性・可用性の3つは情報セキュリティの三大要素と言われています。この3つについて解説します。
情報の機密性
情報の機密性とは、情報に対するアクセスを制限して保護・管理することです。例えば社内で管理している機密情報や個人情報に対して、アクセス制限をかけて閲覧できる社員を制限することは、情報の機密性を高める活動と言えるでしょう。
情報の完全性
情報の完全性とは、情報の改ざんや欠如がなく、正確に保存されている状態を指します。情報の完全性が失われている状態とは、情報の正確性や信頼性が損なわれている状態であり、情報の利用価値が失われてしまいます。情報の完全性を維持するためには、情報にデジタル署名を付けたり、バックアップを取ったりして、正確な情報へアクセスできる状態にする必要があります。
情報の可用性
情報の可用性とは、必要なときにいつでも情報へアクセスできる状態のことです。例えば多くのクラウドサービスでは24時間365日いつでも利用できる状態となっています。クラウドストレージに保存されているファイルがいつでも閲覧や編集できるのは、そのクラウドストレージには情報の可用性が備わっているからです。
ISMSの基準となるISO27001
ISMSの基準となっている国際規格がISO27001です。ISO27001とは、非政府組織ISO(International Organization for Standardization/国際標準化機構)が定めるマネジメントシステム規格の一つであり、情報セキュリティ分野について体系化されているものです。日本では、ISMSの標準としてISO27001の日本語版「JISQ27001」が用いられています。
ISMS審査について
ISMSの審査申込から審査終了までの具体的な流れは以下の記事にて詳しくご説明していますので、ぜひご覧ください。
ISMSの審査の種類について
またISMSには、「維持審査」と「更新審査」の2つの種類があります。これらの審査の内容については、以下の記事にて詳しくご説明していますので、こちらも合わせて、ぜひご覧ください。
まとめ
この記事ではISMSの認証に失敗する3つのケースをご紹介しました。実際にこれら3つのケースのいずれかが発生する確率は低いでしょう。しかしあり得ないとも言い切れません。もしこれからISMS認証の取得を目指しているのでしたら、まずはこの記事で紹介した3つのケースに当てはまっていないことを確認しましょう。
また、これからISMS認証取得をお考えの皆様に向けて、こちらの資料では、ISMS認証取得の始めの検討段階から審査当日までの一連の流れを23項目のチェックリストにいたしました。認証取得までの流れを把握していただくために、また、抜け漏れなく取得していただくために、ぜひまずは無料でダウンロードしてお確かめください。