一般財団法人日本情報経済社会推進協会

ナビゲーションをスキップ

EN

お問い合わせ

FAQ2:認証取得条件

21.認証の取得

ISMS/ITSMS/BCMS/CSMS認証取得の為の申請先(相談先)は、認定された認証機関です。
認証から登録までの一般的な流れは、「ISMS/ITSMS/BCMS/CSMS認証を取得するには」を参照下さい。

認証取得しようとする組織の規模や業種・業務の特性がありますので、どのような文書を作成すべきか一概には言えません。認証基準の文書化の要求事項に沿って考えて下さい。
また、認証機関によっては、申請時にISMS/ITSMS/BCMS/CSMSの概要が分かる文書や、適用範囲の詳細を説明した資料の提出を求めるケースもありますので、事前に認証機関に確認することも重要です。
なお、文書化に対する要求事項に関しては下記のようなガイドも参照下さい。

  • ISMS:ISMSユーザーズガイド-JIS Q 27001(ISO/IEC 27001)対応- 7.5項
  • ITSMS:ITSMSユーザーズガイド-JIS Q 20000(ISO/IEC 20000)対応- 7.5項

これらのガイドは下記URLから入手できます。

現在海外のISMS/ITSMS/BCMS/CSMS認証機関を認定しておりませんので、海外の企業が認証取得するためには、日本の認証機関による認証登録が必要です。この方法として、日本の認証機関が直接審査に出かける場合と、審査のみ海外の機関に業務委託する方法があります。

これは2通りのケースが考えられます。
1)認証機関として認定を申請するための実績作りとして認証登録する場合:
これは認定の申請を前提としており、認定されたら遡って認定された認証機関による認証登録とみなされます。万一認定されなかった場合は下記2)の扱いとなります。

2)認証機関として認定を受けないで独自に認証登録する場合:
組織が当該認証機関からの認証を取得したことを表示することは可能ですが、認証機関としてISMS-ACの認定審査・認定を受けていないため、組織の認証にISMS-ACの認定シンボルは使用できません。

なお、以下のISMS-ACのWebページで公開されている認証取得組織は、ISMS-AC認定の認証機関によって認証を受けた組織であるため、このサイトには掲載されません。

認証機関が、認定機関から認定を取り消された場合や自己都合で認定を取下げた場合などで、認定された機関としての認証活動を維持できなくなった場合、下記の方法が考えられます。
1)他の認証機関に認証登録を引継いで貰う。一般的にはこの方法が殆どで、引継ぎの条件によっては初回登録時期や有効期限等も引継がれます。また、引継ぎに伴う審査の内容によっては、引継ぎ時点から更新扱いとすることも可能です。引継ぎ条件や手続き等に関して、引継ぎ先認証機関との十分な相談が必要です。
2)改めて他の認証機関に認証登録の申請を行う。この場合は新規の扱いになります。
3)上記1)又は2)に該当しない場合、認証の扱いは、上記Q2104の「A2)認証機関として認定を受けないで独自に認証登録する場合と同等になります。

ISMS/ITSMS/BCMS/CSMS制度では、認証登録に認証範囲の概念があり、この範囲内の事故等かどうかがポイントになります。認証範囲内の場合認証機関に報告 が必要で、状況により認証機関が臨時の審査を行います。ここで、原因や改善プロセス、改善結果などを確認し、認証に値しないと判断した場合は認証登録の一 時停止や取消しが行われます。認証範囲外の事故等の場合、状況により判断されますので認証機関にご相談下さい。

ISMS/ITSMS/CSMS制度の場合、認証機関の認定において業種に関する認定範囲を設けていません。従って認証機関は原則として全ての業種に対して審査を受け付けます。但し、特定の分野に対して審査できる審査員がいない場合は、その分野に対して審査を断られる場合があります。
BCMS制度については、特定事業分野を除いた全事業分野(一般事業分野)と特定事業分野があるため、認証機関にお問い合わせください。併せて、Q2201も参照してください。

22.適用範囲

ISMS/ITSMS/CSMS制度では、認証取得において業種や組織の規模に条件を設けていません。法人化されているか否かにかかわらず、公共又は民間の会社、法人、企業、機関、あるいはそれらの一部又は組み合わせで、独自の機能及び管理を有し、情報セキュリティ/ITサービスのマネジメントを実施する能力をもつ組織であれば、ISMS/ITSMS/CSMSの認証を取得することができます。
BCMS制度については、特定事業分野を除いた全事業分野(一般事業分野)と特定事業分野があります。詳細については、「IMS認証機関認定の手順(JIP-IMAC110-5.1)」の「附属書4.BCMSにおける事業分野別認定」を参照してください。

認証取得の範囲に制限はありませんので、必ずしも全社で取得することを要求しておりません。事業部・部・課単位、プロジェクト単位等でも認証取得可能です。但し、一時的なプロジェクトや極めて限定した範囲は避ける、利害関係者に対する情報セキュリティリスク側面の大きい活動を含めて認証取得する等を推奨しています。
 また、企業グループで認証取得する場合、それがどのようなマネジメント組織として運営されるのか、企業グループの場合ISMS/ITSMS/BCMS/CSMSが有効に機能するか、認証の範囲があいまいにならないか等が判断ポイントとなります。具体的な組織の条件等を明確にし、認証機関にご相談下さい。

会社名や組織名の単純な変更の場合は、一般的には認証機関への登録内容の変更手続きにより、認証の資格は新会社等に継続されます。しかし、実際には会社の合併や組織改正の内容により、認証を受けたISMS/ITSMS/BCMS/CSMSにどのように影響したかによって状況は変わってきます。例えば組織運用体制や適用範囲等に大幅な変更が生じた場合は、臨時の審査を行う場合がありますので、認証機関にお問い合わせ下さい。

ISMS認証の場合、認証範囲が明記されます。この範囲として例えば「データセンター」として公開されている場合、一般的にデータセンターは情報処理に関する運用が目的ですから、情報処理施設(建物、設備等)の物理的セキュリティ対策や、システム運用面でのセキュリティ対策がとられていると想定されます。
 しかし、具体的にどの範囲の対策がどのレベルでとられているかを確認するには、適用宣言書を確認する必要があります。これは一般に公開されませんが、このデータセンターの顧客の立場などで開示を求めたり、安全対策の実施状況の説明を求めることはできます。

23.認証取得費用

ISMS/ITSMS/BCMS/CSMS認証取得に関わる直接的な費用としては、認証機関に支払う審査登録費用、ISMS:セキュリティ対策費/ITSMS:サービスデスクツールの導入費用、教育費、マネジメントシステムの構築に係わる人件費、コンサルタントなど支援業務委託費用などが考えられます。これらの費用は、認証取得する組織の方針や状況(適用範囲、規模、セキュリティ/ITサービスの保証の程度など)によって異なります。審査登録費用に関しては認証機関にご相談下さい。

認証審査工数は、審査の種類(初回認証審査、サーベイランス審査、再認証審査、臨時の審査、フォローアップ審査等)や審査対象となるISMS/ITSMS/BCMS/CSMSの状況(組織の人数、関連部門の数、組織の業務特性、サイト・事務所の数、情報処理設備の量、技術の複雑さ、ISMS:セキュリティ要求の程度/ITSMS:提供するサービスの信頼性の程度、法的要件の程度等)によって異なり、認証機関の見積りによります。詳細は、認証機関に問い合わせて下さい。

24.認証取得組織の情報公開

認証取得した組織は、以下のISMS-ACのWebページで公開しています(非公開希望を除く)。
全体の一覧は検索条件なしの検索で表示できますが、一度に表示できるのは100件(設定要)までです。一覧表としては提供しておりません。