 |
|
|
| 前のページ 1 2 3 4 次のページ
|
|
| 審査登録機関の選定
|
ISMS認証取得において、審査登録機関の選定は重要である。審査登録機関によって多少審査の方法が異なるので、企業の考え方にあった審査登録機関を選定するのがよい。まずはJIPDECのWbeサイトに審査登録機関の一覧があるので、どのような審査登録機関があるのかを把握しよう。
|
|
「知り合いの企業が認証取得した審査機関で…」というのは審査登録機関選定の1つの目安にはなると思うが、やはり情報を収集と分析を慎重に行うべきである。ここでは、審査登録機関選びのポイントなる事項をいくつか提示する。
- 価格
-
ISMS認証取得における審査に要する費用は決して安価ではない。やはりいくつかの審査機関から見積りをとって比較することが大事である。比較するとわかると思うが、審査機関によって審査登録費用が大きく異なる。
これは以降で示すポイントに関連するのだが、審査登録機関よって審査の方法がそれぞれ異なることに起因する。単に価格だけを比較するのではなく、以降のポイントを考慮しながら総合的に判断すべきである。
- 審査員の質
-
これは営業段階で見わけることはなかなかに難しいが、審査登録機関の営業担当者によく確認をする、あるいは審査員と面接してどのような審査員かをよく見極めておく必要がある。
質の悪い審査員にあたると、不必要な業務を多数押しつけれられ、日常の業務で無駄なコストが発生して、審査登録費用は安くても、それらのコストが何倍にもなってしまう可能性がある。
例えば、下記のような内容は、決して規格の条文に明記されているものではない。これらは企業側で決めることができるものである。
- 情報資産をさらに詳細に分析したほうがよい
- 規格の条文に沿った形で文書を作成する
- リスク分析はスコアリング方式、金額で算出する
これらのことに実際に対応すると、企業側に多くの負担がかかるばかりでなく、実際の運用が回らなくなる可能性もある。
- 審査の実績
-
当然、審査実績が豊富であれば、様々な企業の審査を実施しているので経験も豊富で、企業にあった対応を実施してくれると思われる。また、ただ実績だけをみるのではなく、受審する企業と同じ規模の審査の経験や、受審する企業と同業種の審査経験についても確認するとよい。
- 審査の方法
-
審査の方法は基本的に、本審査は2段階にわかれ、その前に予備審査がオプションとして加わるというのが一般的である。ただし、それぞれの審査の方法は、審査機関によってやはり若干異なるので、どのような審査になるのかを審査機関によく確認すべきである。
例えば、本審査の前に文書の確認を行う審査機関や予備審査と本審査では審査員が異なるといったことがある。従って、それぞれの審査段階でどのようなことを審査するかを把握しておかないと、審査対応のスケジュールにも影響してくるので、十分に注意を払いたい。
- 審査日程
-
審査日程は審査方法や適用範囲の大きさによっても異なるが、それぞれの段階の審査がどのくらいかかり、各審査のインターバルがどのくらい必要であるかを明確にする必要がある。
また、認証取得をプレス発表やWebサイトへの記載をする予定であれば、審査結果の判定や登録証の発行もどのくらいの期間で受領できるのかも把握しておく必要があると思われる。
|
表4:審査員の見極めるポイント
|
審査登録機関の選定は上記のようなポイントを踏まえながら行う必要がある。なぜなら、審査登録機関との契約は認証取得をして終わりではなく、以降の更新審査もあり、認証取得を放棄する、あるいは審査登録機関を変更するまでは永久にお付き合いをするパートナーとなるからである。このようなことを考えれば、審査機関選びがいかに重要であるかはご理解いただけるかと思う。
|
前のページ 1 2 3 4 次のページ
|
|
|
|
|
著者プロフィール
みずほ情報総研株式会社 青木 淳
みずほ情報総研株式会社 システムコンサルティング部 シニアマネジャー
情報セキュリティを中心としたコンサルティング業務を担当。最近のプロジェクトでは、ISMS適合性評価制度認証取得支援コンサルティング、情報セキュリティ監査、個人情報保護法対策支援コンサルティング、情報セキュリティポリシー・スタンダード策定コンサルティングなど。ITコーディネータ、ISMS審査員補。
|
|
|
|
|
|
