第4回 ISMS認証取得の審査はどうなるか：いまさら聞けないISMS

ISMS認証について、2013年の改訂内容を踏まえた流れを解説していきます。前回まではISMSの構築について触れてきましたが、最終回の今回はISMS認証での審査を紹介します。

[持田広志，ITmedia]

※編注：本稿で述べられたものは、執筆者の私見であり、執筆者が所属する法人の意見ではありません。

シリーズ記事

• 第1回 いま一度ISMSとは？　メリットとデメリット
• 第2回 ISMSの進め方（準備・計画〜実施編）
• 第3回 ISMSの進め方（運用と内部監査編）

　これまでISMS認証の取得で求められるISMSの構築について紹介しました。今回は、認証取得の審査を解説します。

ISMS認証を取得する流れ

1. 方針および体制の準備・計画
2. リスクアセスメントの実施
3. アセスメント結果への対応実施
4. 運用の開始
5. 内部監査の実施
6. 是正予防対応
7. 審査

7.審査

　ISMSの構築が終わり、内部監査やマネジメントレビュー、是正措置といったPDCAサイクルを回した後は、ISMS認証取得の審査を受けることになります。審査は、文書審査と実施状況審査の2段階で実施されます。

文書審査

　文書審査では情報セキュリティポリシーやISMSの方針・目的に沿って、ISMSが構築されているかどうかが、文書で確認されます。この段階では詳細な管理策の細かい内容までは審査されません。しかしながら、この段階で「不適合」とされると、実施状況審査の開始までに不適合の状態を解決する是正計画を提出しなければなりません。

実施状況審査

　実施状況審査では、文書審査で確認されたISMSを実際に組織が実施・運用できているかを確認します。

　実施状況審査にあたっては、想定問答集の作成や模擬審査の準備が必要です。文書審査はISMSの構築をメインで担当してきた担当者が審査対象だったため、ある程度の受け答えは出来る下地がありましたが、実施状況審査ではユーザー部門への審査も入るため、想定問答集や模擬審査などの事前準備をより徹底し、審査に慣れておく必要があります。

マネジメントの関わり

　ISMSにおいてマネジメントの関与は必要不可欠です。組織として情報セキュリティをどのように管理していくかという方針、リーダーシップについてマネジメントが方向性を示すことが大切になってきます。マネジメントが他人事のように考えていると、“仏作って魂入れず”の状態となり、決して有効なISMSとはなりません。

　第2回で紹介した要求事項内には、以下の項目にトップマネジメントの役割として実施すべき事項が記載されています。

• 5.1 リーダーシップ及びコミットメント＝方針の策定やISMS構築、改善においてリーダーシップ及びコミットメントを実証しなければなりません
• 5.2 方針＝情報セキュリティ方針を確立し、組織内に周知しなければなりません
• 5.3 組織の役割，責任及び権限＝情報セキュリティに関連する役割に対して、責任及び権限を割り当て、伝達することを確実にしなければなりません
• 9.3 マネジメントレビュー＝マネジメントレビューでは内部監査等の結果、顧客等の利害関係者からのフィードバック、予防措置及び是正措置の状況等の情報をインプットとし、改善等の方向性を検討する必要があります

　これらの項目で要求されている事項にマネジメント層が主体的に取り組むことで、リーダーシップを取り、組織の情報セキュリティを向上・改善していくという姿を見せることができます。

終わりに

　これまでISMS認証について、概要から2013年の改訂内容、認証取得の流れ、マネジメントの関わりについて述べてきました。ともすると情報セキュリティは、コストがかかるだけという否定的な目を持つ方もいますが、いったんセキュリティ事故が起きると、組織だけでなく取引先や顧客に対しても多大な被害が及びます。ISMS認証が組織の情報セキュリティを向上させる一つの方法として認識し、前向きに取り組んでいけると有効性も高まります。

　忘れてはならないことは、ISMS認証を取得すればセキュリティが万全というわけではありません。入札や取引上の付き合いでISMS認証が必要という場合もあるかと思います。その場合でも、形式的な対応ではなく組織にとって適切な形で認証を取得し、運用を維持できるようにISMSを構築しましょう。

執筆者プロフィール：持田広志

デロイトトーマツリスクサービス／シニアコンサルタント。大手SIerを経て2008年に監査法人トーマツに入所。大手流通、マスコミ、人材関連、中央省庁、IT企業をはじめとする多様な業種・業界に対して個人情報をはじめとする情報管理やセキュリティマネジメントに関するリスクコンサルティングや監査サービスを多数提供。CISA（公認情報システム監査人）、PCI-QSA（PCI DSSに関する審査資格）などの資格を有する。