セキュリティマネジメントの
推進

ISMS/ITSMS/BCMS/CSMS認証を取得するには

ISMS/ITSMS/BCMS/CSMS※認証を取得する場合の一般的な内容について概要を説明します。
ISMS/ITSMS/BCMS/CSMS認証登録は認証機関が行いますので、具体的な内容については認証機関にご相談下さい。

※各マネジメントシステムについては、以下をご参照下さい。


1. 認証取得の申請先

  • ISMS/ITSMS/BCMS/CSMS認証取得の為の申請先(相談先)は、認定された認証機関です。

  • 認証機関の認定は、一般社団法人情報マネジメントシステム認定センター(ISMS-AC)が行います。
    ISMS-ACは認証機関を認定する機関であり、組織に対するISMS認証登録は行いません。

2. 認証機関の選択

  • 認定された認証機関は、業種による制限はありませんので、どの業種の組織でも審査することができます。
    但し、審査において業種特有な専門的知識が必要な場合は、認証機関として審査を受付けない場合がありますので、事前に確認して下さい。また、利害が絡む場合等で審査を受付けられない場合があります。
  • 認証機関を選択したら、認証審査・登録に関する条件について事前に確認し、合意されたら申請します。
  • 認証登録に関わる料金は、適用範囲や受審組織の規模等の他、認証機関によっても異なります。見積りをとることも出来ます。
  • 申請に必要な書類や様式等は、認証機関にお問合せ下さい。

3. 審査及び登録

  • 申請が受理され、審査に入れる状態になったら審査が始まります。

  • 審査は原則として第一段階審査と第二段階審査の2段階で行われます。これらの審査の目的は、以下のとおりです。
    【ISMS認証審査の目的】
     第一段階審査の目的は、組織のISMS基本方針及び目的に照らして当該ISMSを理解し、また特に当該審査に対する組織の準備状況を理解することにより、第二段階審査計画の焦点を定めることである。
     第二段階審査の目的は、組織が自ら定めた基本方針、目的、及び手順を遵守していることを確認すること、及び当該ISMSがISMS規格JIS Q 27001のすべての要求事項に適合していること、並びに当該ISMSが組織の基本方針及び目的を実現しつつあることを確認することである。

    【ITSMS認証審査の目的】
     第一段階審査の目的は、組織のITサービスマネジメントの方針及び目標に照らして当該ITSMSを理解し、また特に当該審査に対する組織の準備状況を理解することにより、第二段階審査計画の焦点を定めることである。
     第二段階審査の目的は、組織が自ら定めた方針、目標、及び手順を遵守していることを確認すること、及び当該ITSMSがITSMS規格JIS Q 20000-1のすべての要求事項に適合していること、並びに当該ITSMSが組織の方針及び目標を実現しつつあることを確認することである。

    【BCMS認証審査の目的】
     第一段階審査の目的は、依頼組織の事業継続マネジメントの方針、目的に照らしてそのBCMS を理解すること、及び、特に、依頼組織の審査に対する準備状況を理解することによって、第二段階審査を計画する上での焦点を明確にすることである。
     第二段階審査の目的は、組織が自ら定めた事業継続マネジメントの方針、目的、及び手順を順守していることを確認すること、及び当該BCMSがBS 25999-2:2007のすべての要求事項に適合していること、並びに当該BCMSが組織の事業継続マネジメントの方針及び目的を実現しつつあることを確認することである。

    【CSMS認証審査の目的】
     第一段階審査の目的は、依頼組織のサイバーセキュリティマネジメントの方針、目的に照らしてそのCSMS を理解すること、及び、特に、依頼組織の審査に対する準備状況を理解することによって、第二段階審査を計画する上での焦点を明確にすることである。
     第二段階審査の目的は、組織が自ら定めたサイバーセキュリティマネジメントの方針、目的、及び手順を順守していることを確認すること、及び当該CSMSがCSMS認証基準(IEC 62443-2-1:2010)のすべての要求事項に適合していること、並びに当該CSMSが組織のサイバーセキュリティマネジメントの方針及び目的を実現しつつあることを確認することである。

  • 審査日数や審査工数は、適用範囲、受審組織の規模等によって異なります。
  • 申請から登録までの期間は、規模、適用範囲等の他、不適合の状況によっても異なります。
  • 登録された情報は、認証機関から情報マネジメントシステム認定センター(ISMS-AC)に報告されます。情報マネジメントシステム認定センター(ISMS-AC)はこれによりホームページに公開しますが、報告時期により1ケ月程度ずれる場合があります。

4. 登録の維持

  • 認証登録されたら、通常1年毎にサーベイランス審査が行われます。サーベイランス審査はもっと短い間隔で行われる場合もあります。
  • 再認証審査は3年毎に行われます。

参考:関連文書等の入手先
①認証に関するガイド等は以下の「情報マネジメントシステム関連文書」より入手できます。

②認証取得に関する質問については、制度・認証に関するFAQ(よくある質問)の「FAQ2:認証取得条件」も参照して下さい。