Q&A

「ISO27001に関するQ&A」

Q;認証適用範囲はどのように決めるのでしょうか?
A: ISO27001は法人単位では無く、建物・部門・事業内容など企業の任意で取得範囲の選択肢が出来ます。一般的な傾向や業務実態、情報セキュリティマネジメントシステム構築の目的やコストなど複合的な検討が必要となりますので、事前にコンサルティング会社へご相談されることをお奨めします。

Q;取得までの期間はどれ位ですか?
A:取得方法や規模にもよりますが、1拠点、30名程度の組織であれば、第一段階審査まで4ヶ月前後、第二段階審査はその後1ヶ月半程度です。半年位が目安となります。

Q;作業が大変そうですが?
A:自力では大変です。コンサルティング会社は豊富な経験に基づいたコンパクトでシンプルな雛形を保有しています。全ての基本的な文書類は雛形を準備していますので、部分修正や項目に実施内容など記載するだけで完成します。作業や運用の負担が大幅に低減できます。

Q;コンサルタントは必要ですか?
A:コンサルタントのノウハウにより、取得までの計画通り進められるのは当然ですが、貴社の業務内容に応じた対策を講じる事が出来ます。自力の場合、必要以上の対策を施しがちで、取得後の運用に多大な負担がかかる場合が多いようです。

Q;専任の担当者がいなくても取得できますか?
A:通常の業務と兼務で十分取得は可能です。支援事例では、従業者50名程度1拠点事業者で2名程度のご担当者で取得されました。

Q;内部監査員は何かしらの資格は必要ですか?
A:資格は必要ありません。但し、力量が審査で問われます。なぜ任命したのか評価結果と説明が求められます。監査内容と認証規格を理解しており、規程および運用状況を適切に確認と評価出来る人材を任命しましょう。(新規取得時は構築期間で学んでください)

Q;設備投資はかかりますか?
A:ISO27001では「事業者がそのリスクをどのように考え、どのようにリスク低減をするか?」が求められますので、貴社の考え方と判断によります。昨今では、ほとんど設備投資をかけずに取得をされるケースが多いです。実際に運用してみてから判断する場合がほとんどです。

Q;取得に必要なコストを教えてください。
A:コンサルティング費用と審査費用が必要です。
コンサルティング費用は、業務内容、従業者数、拠点数の情報に基づき算出します。
審査費用もコンサルティング費用同様の情報に基づき算出されます。
コンサルティング会社や審査機関と事前に面談のうえ内容や特徴を聞いてから見積依頼をすることをお奨めします。

Q;審査機関はどこへ依頼すれば良いのですか?
A:通常は、JIPDEC(日本情報経済社会推進協会)に登録された26の審査機関の中から選択するケースが多いです。審査機関の選択は、特長や費用を調べるだけでなく、面談のうえ判断されることをお奨めします。コンサルティング会社へ支援を依頼している場合は、コンサルティング会社よりアドバイスをもらうことが出来ます。

Q;審査は何日間位かかりますか?
A:1次審査、2次審査ともに貴社へ審査員が現地へ訪問します。1次審査は文書審査になりますが、2次審査は運用の審査になりますので、認証適用範囲となる全拠点へ訪問して審査します。1拠点の場合でも部門数や業務内容で審査日数は変わります。
なお、審査機関が提出する見積書に必要日数が記載されています。

Q;審査機関へは、いつ審査の依頼をすればよいでしょうか?
A:ご希望の審査日程を押さえるためには、第一段階審査希望日の3ヶ月前に審査機関の選定および審査日程予約が審査機関からも推奨されています。

Q;ISO27001はどのような企業が取得するのでしょうか?
A:当初は情報技術関連分野(情報処理サービス業を含む)の企業としていましたが、2002年4月の本格運用からはこの制限を外し、全ての業種・業務分野を取得対象範囲となりました。情報技術関連の業種だけでなく、全ての業種を対象に情報セキュリティに対するマネジメントシステムの認証を行うことが可能になり、現在は様々な企業が取得される傾向にあります。

Q;取引先から取引条件としてプライバシーマークかISO27001のいずれかの取得を求められています。どちらを取得するのがよいのでしょうか?
A:貴社の業務で取り扱いの個人情報の種類や内容、個人情報以外に保有している重要な情報資産を把握し、対外的に並びに社内的にどちらを選択する方が好ましいかを考える必要があります。経験、実績のあるコンサルティング会社へ相談するのが賢明です。

Q;弊社はプライバシーマークを取得しています。ISO27001を新規取得する場合、プライバシーマークで作った文書類を流用し、不足分を補うくらいの対応ですみますか?
A:ISO27001は、個人情報以外の情報資産も保護する対象にしています。プライバシーマークで運用の文書類を使える場合もありますが、新規にISO27001を取得の場合は、ISO27001の文書類をベースにした方が効率的です。

Q;審査は何年ごとに実施されますか?
A:ISO27001を取得後、1年目、2年目に運用が怠りなく実施されているかのサーベイランス(維持審査)を受けなくてはなりません。取得後3年目は再認証審査が実施されます。

Q;現在は1部門で取得を検討しています。将来的に別の部門での追加取得も可能でしょうか。
A:適用範囲を広げる場合は、「拡大審査」を行ないます。新規で認証取得する場合同様、拡大する箇所はチェックされます。年に一度のサーベイランスに合わせて、または3年に一度の再認証審査に合わせて、拡大審査を行なう方が、審査費用は安価になります。

Q;ISO27001を取得した企業でセキュリティ事故が発生した場合、すぐに認証はく奪となるのでしょうか。
A:すぐにはく奪と言う事にはなりません。事故に対し原因を調査し、再発防止策を立て、確実な履行に努め、注視していきます。

Q;審査の過程で不適合が見つかった場合、認証は取れなくなるのでしょうか。
A:審査の過程で不適合が見つかった場合、是正処置を行います。認証機関によって是正の完了が確認されたら認証登録がされます。