ISMSの取得はなぜ最短でも4ヶ月かかるのか

izaki
井崎 友博 記事一覧
カテゴリー: ISMS/ISO27001,   タグ:
このエントリーをはてなブックマークに追加 LINEで送る

こんにちは、LRMの井崎です。

ISMSの取得を検討している多くの企業は、「ISMSって何ヶ月で取得できるの?」という疑問をお持ちかと思います。

取引先企業や、会社の上層部から、「ISMSを○月までに取得してほしい」と依頼されるケースも多いようです。

では、ISMS認証は、取り組み開始から認証取得まで、最短でどの程度の期間がかかるのでしょうか。

答えは、「ISMS 最短」などで検索するといろいろと表示されますが、弊社の見解としては、(余りおすすめしませんが)「4ヶ月程度」ではないかと思っております。

では何故4ヶ月なのか、1ヶ月や2ヶ月では何故取得できないのか、その理由をご説明します。

ISMS認証取得の仕組み

まず、ISMSの認証取得の仕組みについて、ご説明します。

ISMSを取得するためには、大きく2つのステップがあります。

まず「ISO 27001」とよばれる規格(ルール)に従って、社内の規定やマニュアルを作成、整理する必要があります。

そして次に、認証機関と呼ばれる会社から「審査」を受ける必要があります。

この審査は「第一段階審査」と「第二段階審査」に分かれています。

これらの審査を受審して、認証機関からOKを貰えれば、無事に、ISMS認証を取得することが出来ます。

認証機関が守る規格、ISO 17021

さて、ISMS認証を取得するための会社が守るべき規格(ルール)として「ISO 27001」があるという説明をしましたが、実は、それと同様に、「認証機関が守るべき規格(ルール)」も存在しています。それが「ISO 17021」というルールになります。(*1)

この「ISO 17021」には、認証機関が、これからISMSを取りたいと思っている企業の審査を実施するときに、守らなければいけないルールが書かれています。

その中には、こんな記述が存在しています。

第二段階審査の目的は,有効性を含む,依頼者のマネジメントシステムの実施を評価することである。

(引用:JIS Q 17021:2011 (ISO/IEC 17021:2011))

よって、これからISMSを取得しようとする企業は、第二段階審査までに、ある程度のマネジメントシステム(社内ルール)の実施(運用実績)が必要なわけです。しかし、これだけでは、具体的にどの程度の運用実績必要なのかは明確には定められていません。

そこで、実際に認証機関のWebページを見てみましょう。

ISMS認証機関の最大手である「BSIグループジャパン株式会社」の「受審ガイドブック」には、以下の様な記述があります。

第一段階は、通常、次の事項を目的に実施します。
~中略~
10) マネジメントシステムの運用が第二段階審査の際に、少なくとも3ヵ月程度の効果的な運用実績があることの証拠を確認

つまり、少しややこしいですが、第一段階審査の時点で、第二段階審査を実施するときに「少なくとも3ヵ月程度の効果的な運用実績がある」かどうかを確認されるわけです。

一方、別の認証機関である「一般財団法人日本科学技術連盟」のWebページには、こんな記述があります。

Q5:審査を受ける上で目安となる運用期間(試運転期間)はどのくらいでしょうか?
審査は初回一次審査(文書審査=システム構築状況の確認)と初回二次審査(実地審査=システム運用状況の確認)の二段階の審査で行われますが、二次審査までに3ヶ月程度の運用期間を見ておいていただくことが望ましいと思います。

(引用:ISO審査登録センター「Q&A 共通」、アクセス日:2017/07/12)

3ヶ月の運用実績がないとどうなるのか…という明確な内容は記載されていませんが、少なくとも多くの認証機関は、「第二段階審査までに3ヶ月程度の運用実績」を求めている事がわかります。

社内ルールの整備ってどのくらい時間を要するの?

さて、話を元に戻すと、ISMS認証を取得するためには、「ISO 27001に基づいた社内ルールの整備」と「認証機関による審査の受審」が必要でした。

審査を受けるためには、約3ヶ月程度のルールの運用実績が必要という事もわかりました。では、そのルールを作るのに、どの程度の時間がかかるのでしょうか。

弊社は、短期間でルールを作成することは余りおすすめしていません、という前置きの元で話を進めさせていただくと、ルールの作成には、どれだけ頑張っても最短で2週間~1ヶ月はかかります(通常は数ヶ月~半年をかけるのが一般的です)。

それに、一つ重要な事を忘れていましたが、第二段階審査が終了した時点で、審査員からすぐにISMS認証がもらえるわけではありません。

審査員が、審査の結果を認証機関に持ち帰り、必要な手続きを得た上で、やっと認証を得ることができます。

これらもろもろの時間をすべて足し合わせると、すべてが上手く行ったとしても、4ヶ月程度になってしまいます。

これが、私がはじめに申し上げた「ISMS取得はどれだけ最短でも4ヶ月程度はかかる」という根拠になります。

(*1)ISMS認証機関が守るべきルールは、他にも「ISO 27006」があります。正確には、ISO 17021は「マネジメントシステムの審査及び認証を行う機関に対する要求事項」であり、ISO 27006は「情報セキュリティマネジメントシステムの審査及び認証を行う機関に対する要求事項」です。

訪問回数制限なしでサポートします。ISMS/ISO27001の認証取得をお考えの方はこちら訪問回数制限なしでサポートします。ISMS/ISO27001の認証取得をお考えの方はこちら 情報セキュリティに関する最新情報を随時配信中。最新トピックやよくある事故事例など、役立つ情報が満載です。
このエントリーをはてなブックマークに追加 LINEで送る
カテゴリー: ISMS/ISO27001

ISMSの取得はなぜ最短でも4ヶ月かかるのか

こんにちは、LRMの井崎です。

ISMSの取得を検討している多くの企業は、「ISMSって何ヶ月で取得できるの?」という疑問をお持ちかと思います。

取引先企業や、会社の上層部から、「ISMSを○月までに取得してほしい」と依頼されるケースも多いようです。

では、ISMS認証は、取り組み開始から認証取得まで、最短でどの程度の期間がかかるのでしょうか。

答えは、「ISMS 最短」などで検索するといろいろと表示されますが、弊社の見解としては、(余りおすすめしませんが)「4ヶ月程度」ではないかと思っております。

では何故4ヶ月なのか、1ヶ月や2ヶ月では何故取得できないのか、その理由をご説明します。

ISMS認証取得の仕組み

まず、ISMSの認証取得の仕組みについて、ご説明します。

ISMSを取得するためには、大きく2つのステップがあります。

まず「ISO 27001」とよばれる規格(ルール)に従って、社内の規定やマニュアルを作成、整理する必要があります。

そして次に、認証機関と呼ばれる会社から「審査」を受ける必要があります。

この審査は「第一段階審査」と「第二段階審査」に分かれています。

これらの審査を受審して、認証機関からOKを貰えれば、無事に、ISMS認証を取得することが出来ます。

認証機関が守る規格、ISO 17021

さて、ISMS認証を取得するための会社が守るべき規格(ルール)として「ISO 27001」があるという説明をしましたが、実は、それと同様に、「認証機関が守るべき規格(ルール)」も存在しています。それが「ISO 17021」というルールになります。(*1)

この「ISO 17021」には、認証機関が、これからISMSを取りたいと思っている企業の審査を実施するときに、守らなければいけないルールが書かれています。

その中には、こんな記述が存在しています。

第二段階審査の目的は,有効性を含む,依頼者のマネジメントシステムの実施を評価することである。

(引用:JIS Q 17021:2011 (ISO/IEC 17021:2011))

よって、これからISMSを取得しようとする企業は、第二段階審査までに、ある程度のマネジメントシステム(社内ルール)の実施(運用実績)が必要なわけです。しかし、これだけでは、具体的にどの程度の運用実績必要なのかは明確には定められていません。

そこで、実際に認証機関のWebページを見てみましょう。

ISMS認証機関の最大手である「BSIグループジャパン株式会社」の「受審ガイドブック」には、以下の様な記述があります。

第一段階は、通常、次の事項を目的に実施します。
~中略~
10) マネジメントシステムの運用が第二段階審査の際に、少なくとも3ヵ月程度の効果的な運用実績があることの証拠を確認

つまり、少しややこしいですが、第一段階審査の時点で、第二段階審査を実施するときに「少なくとも3ヵ月程度の効果的な運用実績がある」かどうかを確認されるわけです。

一方、別の認証機関である「一般財団法人日本科学技術連盟」のWebページには、こんな記述があります。

Q5:審査を受ける上で目安となる運用期間(試運転期間)はどのくらいでしょうか?
審査は初回一次審査(文書審査=システム構築状況の確認)と初回二次審査(実地審査=システム運用状況の確認)の二段階の審査で行われますが、二次審査までに3ヶ月程度の運用期間を見ておいていただくことが望ましいと思います。

(引用:ISO審査登録センター「Q&A 共通」、アクセス日:2017/07/12)

3ヶ月の運用実績がないとどうなるのか…という明確な内容は記載されていませんが、少なくとも多くの認証機関は、「第二段階審査までに3ヶ月程度の運用実績」を求めている事がわかります。

社内ルールの整備ってどのくらい時間を要するの?

さて、話を元に戻すと、ISMS認証を取得するためには、「ISO 27001に基づいた社内ルールの整備」と「認証機関による審査の受審」が必要でした。

審査を受けるためには、約3ヶ月程度のルールの運用実績が必要という事もわかりました。では、そのルールを作るのに、どの程度の時間がかかるのでしょうか。

弊社は、短期間でルールを作成することは余りおすすめしていません、という前置きの元で話を進めさせていただくと、ルールの作成には、どれだけ頑張っても最短で2週間~1ヶ月はかかります(通常は数ヶ月~半年をかけるのが一般的です)。

それに、一つ重要な事を忘れていましたが、第二段階審査が終了した時点で、審査員からすぐにISMS認証がもらえるわけではありません。

審査員が、審査の結果を認証機関に持ち帰り、必要な手続きを得た上で、やっと認証を得ることができます。

これらもろもろの時間をすべて足し合わせると、すべてが上手く行ったとしても、4ヶ月程度になってしまいます。

これが、私がはじめに申し上げた「ISMS取得はどれだけ最短でも4ヶ月程度はかかる」という根拠になります。

(*1)ISMS認証機関が守るべきルールは、他にも「ISO 27006」があります。正確には、ISO 17021は「マネジメントシステムの審査及び認証を行う機関に対する要求事項」であり、ISO 27006は「情報セキュリティマネジメントシステムの審査及び認証を行う機関に対する要求事項」です。

Author: 井崎 友博
  • はてなブックマークに追加
  • ツイートする
  • facebookでシェアする
  • google+に追加
  • LINEでシェアする

訪問回数制限なしでサポートします。ISMS/ISO27001の認証取得をお考えの方はこちら

情報セキュリティに関する最新情報を随時配信中。メールマガジン登録(無料)