ISO27001 COLUMNISO規格の知識コラム(ISO27001)
ISO27001 コラム
ISMS認証を受けようという場合、じつは認証機関(審査機関)選びは重要なポイントとなります。
認証機関にはそれぞれ違いがあり、相性があるためです。
しかしなかなかどんな点をチェックしたらよいかわからないものではないでしょうか。
この記事では、ISMS認証機関(審査機関)について解説します。
どんな点に違いが生じるのか、比較検討するポイントは何かなどについてまとめます。
ISMS認証をご検討中の企業のご担当者様はぜひ参考にしてみてください。
「ISMS認証機関」とは、ISO27001(ISMS)認証取得を希望する企業の審査を行う機関を指します。
企業が構築・運用しているISMS(情報セキュリティマネジメントシステム)が規格であるISO 27001の定めた条件に沿っているか審査する機関です。
ISMS認証機関は公平な審査を行っているか定期的に確認を受けているため、どの認証機関で認証を受けても認証の意味や重みに違いはありません。
とはいえ、認証機関にはそれぞれ特徴があります。どんな点で異なるか、例を表にまとめました。
筆者が所属する ISMS認証機関 は「D社」に該当します。
ISMS審査・認証サービス
主な違いについて、以下解説します。
認証機関により提出書類の種類・内容・点数が異なります。
認証機関への提出書類は、事前提出書類と審査のために必要な書類の2種類です。
どちらについても認証機関により違いがあります。
また提出の仕方も、メールによる送信、原本の書類を郵送など指定の方法が分かれます。
さらに認証機関によっては、書類のフォーマットを認証機関の指定に合わせなくてはなりません。
そのほかISMS規格で文書化要求されている以上の書類が求められる認証機関もあります。
上記の内容からもわかるように、認証機関により書類準備にかかる手間が大きく異なります。
審査に合格後、認証書(認証されたことの証明)が発行されるまでの期間も認証機関により異なります。
取引先の要望や入札のために期限がシビアである場合には、時間がかかる認証機関だと間に合わないなどということになりかねません。
この日数にも注意した方が良いといえます。
審査時の指摘内容も認証機関によって異なります。
残念ながら、重箱の隅をつつくような指摘が多い認証機関や、審査員の指摘内容がわかりにくい認証機関も存在します。
しかし対照的に、改善すべき点に関して親身に説明してくれる認証機関があるのも事実です。
あるいは上から目線の審査員もいれば、審査される側の立場を尊重する審査員もいます。
指摘内容は認証機関による品質や相性が大きいと言えるでしょう。
自社の社員審査員が多い認証機関もあれば、業務委託契約(外注)審査員しかいない認証機関もあります。
審査員数の違いにより、以下のような違いが生じます。
このように、社員審査員が多い認証機関の方が料金やコミュニケーション、審査などさまざまな面で安定します。
ISMSに関しては、審査員の平均年齢が若い方が一定の品質が期待できます。
ISO業界は全般的に高齢の審査員が多い傾向があります。
ISO審査員は高齢であることはマイナスにならないという見方があるためです。
これは、ビジネスキャリアやその分野での業務経験が豊富であるという考えによるものです。
しかし、ことISO27001(ISMS認証)に関しては、著しく進化するIT業界、セキュリティトレンドに関する知見も問われます。
そのため高齢審査員の場合リテラシー不足が懸念され、平均年齢が若い方が安心感が高まると言えるでしょう。
すでに見たようにISMS認証機関はそれぞれ違いがあり、相性が大切です。
そのため、自社に合うところを選ぶ必要があります。以下のポイントを比較して検討しましょう。
順に見ていきましょう。
ISMSをはじめ、ISO認証機関の選び方は以下の記事でくわしく解説しています。
ISO認証機関(ISO審査機関)の選び方|前提条件と3つのポイント
まず費用が適切か確認しましょう。
認証機関によって料金設定が異なります。
これはすでに述べたように、社員の審査員の人数などによるものです。
そのほか、認証を受ける範囲や企業の規模によっても金額は異なります。
コンサルタントを利用する場合は、その費用も考慮に入れる必要があります。
安い方を選びがちですが、安いのには相応の理由があることもあります。適正な料金かどうかが大切です。
ISO認証の費用については、以下の記事で解説しています。
ISO認証の費用を知ろう!取得費用・維持費用と費用対効果の考え方を解説
認証機関によって得意な業種、重視するポイントが異なるので、自社に合っているかどうか確認しておきましょう。
認証機関に自社の業種の知見がないと、構築したISMSを理解しきれない可能性があります。
あるいは、マニュアルなどルール面を重視するか、現場の実務面を重視するかも機関によって異なります。
相性が悪いと、希望する審査が受けられない、認証後の運用が難しくなるなどのリスクが高まります。
どちらの点も事前に確認するのをおすすめします。
実績があるかどうかもチェックしておくのをおすすめします。
実績はわかりやすい評価軸と言え、信頼性の目安となります。
具体的には、認証の数が多い、大企業を担当したといった認証機関は安心感があると言えるでしょう。
どんな業種の実績が多いかもチェックすると、上記のように自社との相性もイメージしやすくなります。
さらに、認証のスピードも確認しておきましょう。
希望の日程で進められるかどうかが重要になるケースもあります。
たとえば先にも述べたように、入札の条件を満たすために取得する場合は入札に間に合わないと困るでしょう。
また認証には期限があるため後に更新が必要となりますが、更新の際に間に合わなければ認証が途切れてしまうことになります。
スピードの遅い機関は不安感が残ります。
契約前のやり取りのレスポンスのスピードなどで判断しましょう。
認証機関選びのチェックポイントとして認定機関の1つISMS-ACの認定を受けているかどうかが挙げられることもありますが、この点は重要ではありません。
審査機関の認定には国際的な相互承認制度があるため、どの国の認定機関から認定を受けてもその効果は同じためです。
ISMS-ACであるかどうかを選ぶポイントに挙げている記事をみかけますが、理由を見ると説得力のあるものではありません。
認定機関よりも、認証機関の得意分野や重視するポイントの方が認証に直接大きな影響があり、大切だと言えます。
認証機関をどこが認定したかよりも認証の内容や傾向を確認しましょう。
最後に、ISMS認証機関のよくある疑問についてお答えします。
ISMS認証機関の口コミ・評判を自力で調べるのは難しいでしょう。
個人が何か調べものをする場合インターネットで検索するのが一般的ですが、インターネット上に認証機関の口コミはほぼ見当たりません。
また以前は認証機関の格付けを行っている専門誌がありましたが、現在休刊となっています。
現実的には無理だと言ってよいでしょう。
認証機関の評判を知りたい場合は、コンサルタントに相談・確認してみるのが一般的です。
あるいは取引先やグループ会社で取得しているところなど、つてを頼るしかありません。
認証機関との相性が悪かった場合、変更することも可能です。
審査中でも可能ですが、契約の条件を確認した方がよいでしょう。
変更する場合、自社に不利な条件になっている可能性もあります。
できれば後でトラブルとならないよう、契約前に慎重に選ぶことが大切です。
もちろん、サーベイランス審査や更新審査のタイミングでほかの機関に依頼することも可能です。
その場合はそれほど手間もかけず変更できます。
避けた方がよい認証機関の特徴としては、以下の点が挙げられます。
違和感を感じたら情報を集めるか、ほかの認証機関を当たった方が無難です。
初めから候補を1か所に絞り込まず、比較して検討することもリスクを減らすのに役立ちます。
ISMSの認証機関は、それぞれ特徴があるため自社との相性がよいかどうか事前に確認しておくのがおすすめです。
認証を受けること自体が目的の場合も管理運用に役立てたい場合もどちらも同じです。
複数の認証機関に相談してみて、比較検討してみてください。
SNSでシェアする
株式会社GCERTI-JAPANは
ISO審査機関です。
コラムの内容やISOに関することでお困りの際はお気軽にご相談ください。
ISO審査員がお答えします。
一審査員として、社会貢献ができるよう努めてまいります。 また、営業面ではお客様にとって、より良い提案ができるよう、お客様とのコミュニケーションを大事にしております。
お問い合わせはこちら
0800-888-0442
