ISMS審査に落ちてしまう3つのケース

lrmcorp
LRM株式会社 記事一覧
カテゴリー: 審査,   タグ:
このエントリーをはてなブックマークに追加 LINEで送る

こんにちは、LRMの井崎です。

さて、今回は、コンサルティング中に、半数以上のお客様に聞かれる疑問についてお話したいと思います。

それは、「ISMS認証が取れない場合ってあるのですか?」ということです。

確かに、お客様側からすれば、決して安いとはいえないコンサルティング料金を支払い、時間的コストを割いて、ISMS取得という1つの目標のために動かれている訳ですから、このような不安に襲われることは自然なことだと思います。

しかし、私たちコンサルタントは、このような質問を聞かれるたびに、「ほぼ無いです!」と返しています。

実際、審査に落ちて、認証取得が取れないというケースは「滅多に」ありません。

少し余談になりますが、そのような「落ちない」審査制度だからこそ、多くの認証取得支援コンサルティング会社が「認証取得100%」を謳っています(弊社も例に漏れずですが…)。「認証取得100%」というのは、そのコンサルティング会社がすごいのではなく、そもそものISMS審査制度の特徴なのです。

しかし、やっぱり気になるのが、先ほど「認証取得が取れないというケースは滅多に無い」と言いましたが、その「滅多に」とは何なんだ、ということです。実は、この「滅多に」に該当してしまうケースは、大きく3つ考えられます。今回のブログでは、その3つのケースをご紹介いたします。

ケース1:PDCAが回っていない場合

まず、3つのケースで、一番可能性としてありえるのは、ISMSにおけるPDCAサイクルが回っていない場合です。

より具体的に言えば、リスクアセスメントやってません、内部監査やってません、マネジメントレビューやってません、といった場合です。

ここに上げた例は、ISMSの規格であるISO27001に実施しなければいけないことが明確に書かれていますし、ISMSを構築していくためにも最重要な要素になります。これらを未実施のまま、審査に望むと、「不適合」となり、その審査では、認証が取れず、再度審査を受ける必要があります。

ケース2:審査妨害や、審査に非協力的な態度をとった場合

これはほとんどありえない話なのですが、審査員が通常の審査を実施できないと判断した場合に、審査が途中で打ち切られる可能性があります。

審査では、実際に審査員が職場に立ち入って、働いている人に直接インタビューを行います。この時に、多少無理な例なのですが、働いている社員全員が審査に非協力的で、審査員が社員に何か尋ねようとしても、社員全員が「今忙しいので無理です」と言ったり、「聞こえないふりをして無視する」といった事があった場合、審査員は審査を行うことが出来ないと判断し、審査が打ち切られる可能性があります。

もちろん、社員の中には、どうしても手が離せず、審査員のインタビューに対応できないという場合もあると思います。その場合は、無理に応答しなくても「ちょっと忙しいので、他の人でお願いしてもいいですか?」と言えば、一切問題はありません。審査員側も、手が離せない業務をしている社員がいる可能性を、十分に理解しています。数人にインタビューを断られたぐらいで、審査は中止にはなりません。

ここで例として出したのは、あくまで、社員の大部分が、正当な理由無く、審査に非協力的な態度をとった場合です。

ケース3:大きなセキュリティインシデントが発生した場合

こちらもあまり考えにくいのですが、メディアで連日報道されてしまうような、大きな情報セキュリティインシデントが発生してしまった場合、認証が取得できない可能性があります。

認証を付与する側も、信頼性が重要ですから、インシデントが発生している会社に対して「あなたの会社のISMSはバッチリですよ!」というお墨付きを与えるわけには行きません。

しかし、だからといって、なにか大きなインシデントが発生してしまったら、未来永劫ISMS取得はできないかというと、そうではありません。一定期間後に再度、審査を受けることで、その時にマネジメントシステムがしっかりと出来ていると判断されれば、ISMS認証を取得することが出来ます。

以上、3つのケースを述べてみましたが、いずれの場合も発生する確率はとても低いと思います。

ただ、コンサルタントを入れずに、独力でISMS取得を目指されている会社さんは、場合によっては、「ケース1」が当てはまってしまうかもしれません。

だからといって、コンサルタントを無理に勧めるつもりはありませんが、何度も繰り返し規格を読んで、現在の社内のマネジメントシステムは本当に機能しているのか、情報セキュリティのリスクがしっかりと管理できているのか、確認することをおすすめします。

このエントリーをはてなブックマークに追加 LINEで送る

ISMS審査に落ちてしまう3つのケース

カテゴリー: 審査

こんにちは、LRMの井崎です。

さて、今回は、コンサルティング中に、半数以上のお客様に聞かれる疑問についてお話したいと思います。

それは、「ISMS認証が取れない場合ってあるのですか?」ということです。

確かに、お客様側からすれば、決して安いとはいえないコンサルティング料金を支払い、時間的コストを割いて、ISMS取得という1つの目標のために動かれている訳ですから、このような不安に襲われることは自然なことだと思います。

しかし、私たちコンサルタントは、このような質問を聞かれるたびに、「ほぼ無いです!」と返しています。

実際、審査に落ちて、認証取得が取れないというケースは「滅多に」ありません。

少し余談になりますが、そのような「落ちない」審査制度だからこそ、多くの認証取得支援コンサルティング会社が「認証取得100%」を謳っています(弊社も例に漏れずですが…)。「認証取得100%」というのは、そのコンサルティング会社がすごいのではなく、そもそものISMS審査制度の特徴なのです。

しかし、やっぱり気になるのが、先ほど「認証取得が取れないというケースは滅多に無い」と言いましたが、その「滅多に」とは何なんだ、ということです。実は、この「滅多に」に該当してしまうケースは、大きく3つ考えられます。今回のブログでは、その3つのケースをご紹介いたします。

ケース1:PDCAが回っていない場合

まず、3つのケースで、一番可能性としてありえるのは、ISMSにおけるPDCAサイクルが回っていない場合です。

より具体的に言えば、リスクアセスメントやってません、内部監査やってません、マネジメントレビューやってません、といった場合です。

ここに上げた例は、ISMSの規格であるISO27001に実施しなければいけないことが明確に書かれていますし、ISMSを構築していくためにも最重要な要素になります。これらを未実施のまま、審査に望むと、「不適合」となり、その審査では、認証が取れず、再度審査を受ける必要があります。

ケース2:審査妨害や、審査に非協力的な態度をとった場合

これはほとんどありえない話なのですが、審査員が通常の審査を実施できないと判断した場合に、審査が途中で打ち切られる可能性があります。

審査では、実際に審査員が職場に立ち入って、働いている人に直接インタビューを行います。この時に、多少無理な例なのですが、働いている社員全員が審査に非協力的で、審査員が社員に何か尋ねようとしても、社員全員が「今忙しいので無理です」と言ったり、「聞こえないふりをして無視する」といった事があった場合、審査員は審査を行うことが出来ないと判断し、審査が打ち切られる可能性があります。

もちろん、社員の中には、どうしても手が離せず、審査員のインタビューに対応できないという場合もあると思います。その場合は、無理に応答しなくても「ちょっと忙しいので、他の人でお願いしてもいいですか?」と言えば、一切問題はありません。審査員側も、手が離せない業務をしている社員がいる可能性を、十分に理解しています。数人にインタビューを断られたぐらいで、審査は中止にはなりません。

ここで例として出したのは、あくまで、社員の大部分が、正当な理由無く、審査に非協力的な態度をとった場合です。

ケース3:大きなセキュリティインシデントが発生した場合

こちらもあまり考えにくいのですが、メディアで連日報道されてしまうような、大きな情報セキュリティインシデントが発生してしまった場合、認証が取得できない可能性があります。

認証を付与する側も、信頼性が重要ですから、インシデントが発生している会社に対して「あなたの会社のISMSはバッチリですよ!」というお墨付きを与えるわけには行きません。

しかし、だからといって、なにか大きなインシデントが発生してしまったら、未来永劫ISMS取得はできないかというと、そうではありません。一定期間後に再度、審査を受けることで、その時にマネジメントシステムがしっかりと出来ていると判断されれば、ISMS認証を取得することが出来ます。

以上、3つのケースを述べてみましたが、いずれの場合も発生する確率はとても低いと思います。

ただ、コンサルタントを入れずに、独力でISMS取得を目指されている会社さんは、場合によっては、「ケース1」が当てはまってしまうかもしれません。

だからといって、コンサルタントを無理に勧めるつもりはありませんが、何度も繰り返し規格を読んで、現在の社内のマネジメントシステムは本当に機能しているのか、情報セキュリティのリスクがしっかりと管理できているのか、確認することをおすすめします。

Author: LRM株式会社
  • はてなブックマークに追加
  • ツイートする
  • facebookでシェアする
  • LINEでシェアする