制度の概要
ISMS適合性評価制度は、企業等の組織が構築したISMSがJIS Q 27001(ISO/IEC 27001)に適合しているかを、第三者機関が審査し、審査に合格した組織を登録する制度です。
審査を行い認証する機関を認証機関といい、その認証機関を認定する機関を認定機関といいます。日本での認定機関はJIPDEC(日本情報処理開発協会)です。
審査を行うのは認証機関の審査員です。審査員になるには、一定の経験、研修受講、試験合格が必要です。
審査に合格すると、認証機関は申請組織を認証登録し認定機関に通知します。認定機関がそれを公開します。
日本ではISO/IEC 27001をJIS Q 27001として国内規格としているように、各国もISO/IEC 27001と互換性のある国内規格をもち、認定機関があります。認定機関はそれぞれ相互認定しているので、日本で認証を受けたことは世界でも通用するのです。
申請方法
審査を希望する組織は、認証機関に申請します。認証機関の選択は申請組織の自由です。
申請をするには、適用範囲(審査・認証を受ける範囲)を定め、適用範囲内の保護すべき情報資産を特定し,リスク対策を決めます。そして、それが実際に継続的活動としてマネジメントされていることを示す資料を整理して書類を作成し、認証機関に提出します。
適用範囲は、組織全体が望ましいのですが、大阪支店だけ、営業部門だけ、Web販売事業だけというように、事業所単位、部門単位、事業単位で限定することもできます。
当初は範囲を限定して経験を重ね、次第に範囲を拡大していくことができます。
これに対して、個人情報保護のプライバシーマーク制度では、組織全体が対象になり、限定することはできません。
審査・認証の手順
- 審査を希望する組織は、認証機関に申請します。
- 第1段階審査は書類審査です。
申請した組織が作成した ISMS基本方針文書や関連文書が、JIS Q 27001のすべての要求事項に適合していることを確認します。 - 第2段階審査は登録審査です。
書類審査
第1段階審査で指摘した事項が、適切に是正されているかの確認をします。
実践審査
組織が自ら定めた基本方針、目的、及び手順を遵守していることを確認します。
これによって、当該ISMSが組織の基本方針及び目的を実現しつつあることを確認します。 - 審査に合格したときは、認証機関は、該当ISMSがISMS適合性を満たしていると認証し、認証登録をします。
- 認証機関は、その登録情報をJIPDECに報告し、JIPDECは、その情報をWebページで公開します。
認定を受けた組織は、認定書を表示すること、ISMS適合性認証マーク(右図)を使用することが許されます。
継続的改善
ISMSは、継続的な改善が要求されます。認証登録されたら、通常1年毎に当該ISMSが効果的に継続されていることを検証するためのサーベイランス審査が行われます。
そして、3年ごとに再認証審査を行います。