FAQ −よくある質問とその回答集−

FAQ2:認証取得条件
 
21.認証の取得
22.適用範囲
23.認証取得費用
24.認定シンボルの使用条件
25.認証取得組織の情報公開

認定された認証機関の一覧は下記URLを参照下さい。
ISMS: http://www.isms.jipdec.jp/lst/isr/
ITSMS: http://www.isms.jipdec.jp/itsms/lst/isr/

21.認証の取得
認証取得の申請と登録の概要:
Q2101.ISMS/ITSMS認証を取得する場合どこに申し込めば良いのでしょうか。また、登録はどのようになっているのでしょうか。
A.組織がISMS/ITSMS認証を取得する場合の一般的な流れは下記URLの「ISMS認証取得について」を参照下さい。
http://www.isms.jipdec.jp/ninsyou/index.html
※ISMS認証の記載となっていますが、ITSMS認証についても同じ流れとなります。

以下に概略を説明します。具体的には認証機関にお問い合せ下さい。
 1)認証登録の申請窓口は認証機関となります。認定された認証機関の一覧及び問い合せ先は下記URLを参照下さい。
ISMS: http://www.isms.jipdec.jp/lst/isr/
ITSMS: http://www.isms.jipdec.jp/itsms/lst/isr/
この認証機関を選択するために、事前に相談や見積りを取ることができます。
 2)申請に合意したら通常契約を交わし、審査に入ります。正式な審査に入る前に、審査に入れるレベルかどうか確認する場合があります。
 3)審査は原則として第一段階審査と第二段階審査の2段階で行われます。審査日数や審査員数は、規模、適用範囲その他の状況によって異なります。Q2302も参照下さい。
 4)審査の過程で不適合が見つかった場合、是正処置を行います。認証機関によって是正の完了が確認されたら登録されます。登録情報の一部は認証機関経由でJIPDECに報告され、JIPDECはこれをもとにホームページで公開します。
 5)申請から登録までの期間は、不適合の状況等によりますが、最短で3〜4ケ月位と言われています。
 6)登録されたら、通常1年毎にサーベイランス審査が、3年毎に再認証審査が行われます。
 
認証取得するために必要な資料:
Q2102.ISMS/ITSMSの認証取得に必要な文書・記録等はどの程度用意すれば良いのでしょうか。
A.認証取得しようとする組織の規模や業種・業務の特性がありますので、どのような文書を作成すべきか一概には言えません。認証基準の文書化の要求事項に沿って考えて下さい。認証基準では、文書管理手順や記録管理手順など「文書化した手順」を求めている部分もありますが、基本的な考え方は、組織のISMS/ITSMSを効果的に運用実施するために「組織が必要と判断した、文書化された手順」をどのように具体化するかがポイントとなります。
また、認証機関によっては、申請時にISMS/ITSMSの概要が分かる文書や、適用範囲の詳細を説明した資料の提出を求めるケースもありますので、事前に認証機関に確認することも重要です。
なお、文書化に対する要求事項に関しては下記も参照下さい。
・ISMS:ISMSユーザーズガイド−JIS Q 27001(ISO/IEC 20000)対応− 4.5項
・ITSMS:ITSMSユーザーズガイド−JIS Q 20000(ISO/IEC 20000)対応− 3.2項
これらのガイドは下記URLからダウンロードできます。
ISMS:http://www.isms.jipdec.jp/std/
ITSMS:http://www.isms.jipdec.jp/itsms/std/
 
海外企業の認証取得:
Q2103.海外における日系企業等がISMS/ITSMS認証を取得することが出来ますか。
A.現在海外のISMS/ITSMS認証機関を認定しておりませんので、海外の企業が認証取得するためには、日本の認証機関による認証登録が必要です。この方法として、日本の認証機関が直接審査に出かける場合と、審査のみ海外の機関に業務委託する方法があります。後者については、業務委託契約に関して条件がありますのでJIPDECにお問い合わせ下さい。
 
認定されていない認証機関による認証登録の有効性:
Q2104.JIPDECに認定されていない認証機関によりISMS/ITSMS認証登録を受けた場合、どのような扱いになりますか。
A.これは2通りのケースが考えられます。
 1)認証機関として認定を申請するための実績作りとして認証登録する場合:
 これは認定の申請を前提としており、認定されたら遡って認定された認証機関による認証登録とみなされます。万一認定されなかった場合は下記2)の扱いとなります。
 2)認証機関として認定を受けないで独自に認証登録する場合:
 認証機関として認定されるレベルかどうか分かりませんので、認証登録は認証機関のリスクで実施することになります。従い、組織もそれを承知で認証登録を受ける必要があります。この場合、認証を取得したことを表示することは可能ですが、JIPDECの認定シンボルは使用できません。
 
認証機関が認証登録を維持できなくなった場合:
Q2105.認証機関が認定された機関としての認証登録を維持できなくなった場合、組織の認証登録はどうなりますか。
A.認証機関が、認定機関から認定を取り消された場合や自己都合で認定を取下げた場合などで、認定された機関としての認証登録を維持できなくなった場合、下記の方法が考えられます。
 1)他の認証機関に認証登録を引継いで貰う。一般的にはこの方法が殆どで、引継ぎの条件によっては初回登録時期や有効期限等も引継がれます。また、引継ぎに伴う審査の内容によっては、引継ぎ時点から更新扱いとすることも可能です。引継ぎ条件や手続き等に関して、引継ぎ先認証機関との十分な相談が必要です。
 2)改めて他の認証機関に認証登録の申請を行う。この場合は新規の扱いになります。
 3)認証登録をあきらめる。
 
認証取得した組織が事故を起こした場合:
Q2106.認証取得した組織が、関係者にダメージを与えるセキュリティ事故/大規模なシステム障害や法律違反等を起こした場合、認証機関等に報告する必要がありますか。また、認証登録が取り消されることがありますか。
A.ISMS/ITSMS制度では、認証登録に適用範囲の概念があり、この範囲内の事故等かどうかがポイントになります。適用範囲内の場合認証機関に報告が必要で、状況により認証機関が臨時の審査を行います。ここで、原因や改善プロセス、改善結果などを確認し、認証に値しないと判断した場合は認証登録の一時停止や取消しが行われます。適用範囲外の事故等の場合、複雑な状況の場合がありますので何とも言えません。
 
認証登録の申請を受け付けてもらえないケース:
Q2107.ISMS/ITSMS認証登録の申請を行う場合、認証機関によって審査を断られる場合がありますか。
A.ISMS/ITSMS制度の場合、認証機関の認定において業種に関する適用範囲を設けていません。従って審査できる能力があれば、全ての業種(分野)に対して審査できます。逆に、審査できる審査員がいない場合は、その分野に対して審査を断ることができます。但し、公平性の面から同じ分野に対して、認証機関の好みで選択することは出来ません。
 

22.適用範囲
認証取得における業種や規模の条件:
Q2201.ISMS/ITSMS認証取得において業種や組織の規模に制限がありますか。政府機関や地方公共団体も対象となりますか。個人経営のような小さな組織でも認証取得は可能でしょうか。
A.ISMS/ITSMS制度では、認証取得において業種や組織の規模に条件を設けていません。法人化されているか否かにかかわらず、公共又は民間の会社、法人、企業、機関、あるいはそれらの一部又は組み合わせで、独自の機能及び管理を有し、情報セキュリティ/ITサービスのマネジメントを実施する能力をもつ組織であれば、ISMS/ITSMSの認証を取得することができます。
 
全社で認証取得すべきものか:
Q2202.ISMS/ITSMS認証は全社で取得すべきものですか。事業所、部門、プロジェクト、また企業グループでも取得できますか。
A.認証取得の範囲に制限はありませんので、必ずしも全社で取得することを要求しておりません。事業部・部・課単位、プロジェクト単位等でも認証取得可能です。但し、一時的なプロジェクトは認証取得の有効性を検討すべきでしょう。会社の規模や適用範囲にもよりますが、一般的には特定の情報サービスに関係した関連部門で認証取得するケースが多くみられます。
また、企業グループで認証取得する場合、それがどのようなマネジメント組織として運営されるのか、企業グループの場合ISMS/ITSMSが有効に機能するか、認証の範囲があいまいにならないか等が判断ポイントとなります。具体的な組織の条件等を明確にし、認証機関にご相談下さい。
 
電気通信組織のISMS認証取得は意味があるか:
Q2203電気通信組織(キャリア)など特定の法律等でセキュリティ対策が義務づけられた業界では、あえてISMSの認証を受けなくても良いでしょうか。
A.例えば電気通信事業法で定められた「通信の秘密」の保護義務などは、ISMS認証基準の法的規制事項に相当します。これはISMS構築の観点では、組織が必要とする、情報セキュリティの要求事項の一部分にしかすぎません。保護すべき情報資産全般を対象とし、セキュリティ対策の継続的改善を図ることのできるマネジメントシステムの運用は、社内のセキュリティ意識改革となり、より効果的なセキュリティを確保することへと繋がるのでISMS認証取得は有効と思われます。
 
「紙」の情報保護だけのISMS認証取得は可能か:
Q2204.ISMSでは、コンピュータを使っていないと認証取得できないのでしょうか。書類に記載された個人情報を保護するだけでもISMS認証取得可能でしょうか。
A.ISMSは情報保護のマネジメントシステムです。情報が存在する媒体(メディア)を限定していないので、紙に記載された個人情報でも保護する必要がある場合、保護すべき情報資産となりますので、ISMS認証取得の対象とすることができます。
 
認証取得後の社名変更の扱い:
Q2205.ISMS/ITSMS認証取得後に、会社の合併や組織改正等で社名や組織が変更された場合、認証資格はどうなるのでしょうか。新会社や新組織に継承されるのでしょうか。
A.会社名や組織名の単純な変更の場合は、一般的には認証機関への登録内容の変更手続きにより、認証の資格は新会社等に継続されます。しかし、実際には会社の合併や組織改正の内容により、認証を受けたISMS/ITSMSにどのように影響したかによって状況は変わってきます。例えば組織運用体制や適用範囲等に大幅な変更が生じた場合は、臨時の審査を行う場合がありますので、認証機関にお問い合わせ下さい。
 
ISMS認証取得範囲の安全対策の確認方法:
Q2206.例えばデータセンターがISMS認証を取得していれば、センターの建物への安全対策、センター設備等への対策が取られていると解釈して良いのでしょうか。そうでない場合、外部から見てどの範囲の対策がとられているかの確認方法はあるのでしょうか。
A.ISMS認証の場合、適用範囲が明記されます。この範囲として例えば「データセンター」として公開されている場合、一般的にデータセンターは情報処理に関する運用が目的ですから、情報処理施設(建物、設備等)の物理的セキュリティ対策や、システム運用面でのセキュリティ対策がとられていると想定されます。
しかし、具体的にどの範囲の対策がどのレベルでとられているかを確認するには、適用宣言書を確認する必要があります。これは一般に公開されませんが、このデータセンターの顧客の立場などで開示を求めたり、安全対策の実施状況の説明を求めることはできます。
 

23.認証取得費用
認証取得費用:
Q2301.ISMS/ITSMS認証取得にはどの位の費用がかかるのでしょうか。
A.ISMS/ITSMS認証取得に関わる直接的な費用としては、認証機関に支払う審査登録費用、ISMS:セキュリティ対策費/ITSMS:サービスデスクツールの導入費用、教育費、マネジメントシステムの構築に係わる人件費、コンサルタントなど支援業務委託費用などが考えられます。これらの費用は、認証取得する組織の方針や状況(適用範囲、規模、セキュリティ/ITサービスの保証の程度など)によって異なります。審査登録費用に関しては認証機関にご相談下さい。
 
審査工数:
Q2302.認証審査に関する標準的な工数があれば教えて下さい。
A.認証審査工数は、審査の種類(初回認証審査、サーベイランス審査、再認証審査、臨時の審査、フォローアップ審査等)や審査対象となるISMS/ITSMSの状況(組織の人数、関連部門の数、組織の業務特性、サイト・事務所の数、情報処理設備の量、技術の複雑さ、ISMS:セキュリティ要求の程度/ITSMS:提供するサービスの信頼性の程度、法的要件の程度等)によって異なり、認証機関の見積りによります。詳細は、認証機関に問い合わせて下さい。
 

24.認定シンボルの使用条件
備考:「認定マーク」という表現は、認定機関が従うべき規格JIS Q 17011の適用に伴い、「認定シンボル」と表現することになりましたので、今後は「認定シンボル」を使用します。

認定シンボルとは:
Q2401.ISMS/ITSMS認定シンボルとはどのようなものですか。
A.ISMS/ITSMS認定シンボルは、JIPDECが認定した認証機関や要員認証機関等に付与するもので、ISMS/ITSMS適合性評価制度のシンボルマークとしての図形部分の下に、その機関がJIPDECから認定された機関であることを示す、ISR001やITR001のような認定番号が付与されています。
なお、図形部分は、情報やセキュリティは人によって守られることをイメージしてデザインされたもので、JIPDECが商標登録(登録第4605292号)しています。 また、ISMS/ITSMS認証を取得した組織が認定シンボルを使用する場合は、認証機関のマークと並べて表示することになっています。具体的な使用条件は認証機関が定めた規定に従って下さい。当然ながら、認証を取得していない組織者、認証登録を取り消された組織は、認定シンボルを使用できません。
なお、認定番号のない認定のシンボルマークを使用する場合の条件については、Q2406を参照下さい。
 
認定シンボルのサイズ:
Q2402.認定シンボルの最小サイズに制限がありますか
A.認定シンボルの最小サイズは、識別可能な範囲で小さくすることが出来ます。
 
認定シンボルの電子データ:
Q2403.ISMS/ITSMSの認定シンボルの電子データを入手できますか。
A.認定された認証機関には、JIPDECより認定シンボルの電子データを渡しています。認証取得組織がこの電子データを使用したい場合は、認証機関にお問い合わせ下さい。
 
認定シンボルを名刺に使用できる者:
Q2404.ISMS/ITSMS認証を取得した組織が、認定シンボルを名刺に表示する場合、どの範囲の人が表示できますか。また、表示上の制限はありますか。
A.認証範囲の業務に直接携っている者が、認証範囲の業務に関わる目的で使用可能です。認定シンボルを使用する場合は、認証機関が定めた規定に従って下さい。
 
認定シンボルをカタログやホームページに表示する場合の条件:
Q2405.ISMS/ITSMS認証取得しましたが、認定シンボルを自社のカタログやホームページに表示する場合の条件はありますか。
A.認証取得組織が、認定シンボルをカタログ、封筒、自社のホームページなどに使用する場合は、適用範囲が分かるような表示が必要です。具体的な使用条件は認証機関が定めた規定に従って下さい。
 
認定番号のない認定シンボルマークの使用:
Q2406.認定番号のない認定シンボルマークを使用できるのはどのような場合ですか。
A.出版物やその他の媒体においてISMS/ITSMS適合性評価制度を紹介する場合、以下の条件で認定番号のない認定シンボルマークを使用できます。この場合、当協会の手順に従い許可願を提出して頂きます。許可願についてはFAQ5を参照して下さい。
 1)ISMS/ITSMS適合性評価制度やこれに関連する規格類を客観的に紹介する内容で、広く公開する媒体(例:書籍、雑誌記事、広報誌、論文等)であること
 2)上記制度や規格類の紹介は、独自の解説や説明を含まないこと
 3)認定シンボルマークを付与したことにより、該当以外の部分もJIPDECが承認したと誤解されないこと
 
認定シンボルの色指定:
Q2407.認定シンボルをホームページに表示する場合の色の指定はどうなりますか。
A.認定シンボルの指定色は、DIC:DIC220又はプロセスカラー:C100%+M70%となっています。ホームページに表示する場合は、Webカラースライダー:003399、又はRGBカラー:R=000、G=051、B=153を使用して下さい。
 

25.認証取得組織の情報公開
認証取得組織の状況:
Q2501.現在のISMS/ITSMS認証取得組織の一覧を見ることができますか。
A.認証取得した組織は、JIPDECのホームページの下記URLで公開しています(非公開希望を除く)。全体の一覧は検索条件なしの検索で表示できますが、一度に表示できるのは100件(設定要)までです。一覧表としては提供しておりません。
ISMS:http://www.isms.jipdec.jp/lst/ind/
ITSMS:http://www.isms.jipdec.jp/itsms/lst/ind/
 
認証取得した組織情報の公開時期と手続き:
Q2502.JIPDECのホームページで公開されている認証取得組織の情報は、どの様なタイミングで更新されているのでしょうか。また、公開に関する手続きはどうなっていますか。
A.認証を取得した組織情報は、認証機関よりJIPDECに報告され、JIPDECはこれを基に公開しています。通常この組織情報は、認証機関が組織に公開の可否を問い合わせた後、JIPDECにまとめて報告されますので、JIPDECへの報告が遅れる場合があります。JIPDECは報告された後、通常1週間以内に公開しています。認証取得後、JIPDECのホームページでの情報公開が遅い場合は、認証機関に問い合わせて下さい。公開内容の変更を希望する場合も、認証機関にご連絡下さい。
 
認証取得した組織情報の非公開について:
Q2503.認証取得組織情報が非公開の場合があるのは何故ですか。
A.JIPDECのホームページに認証取得組織情報を公開するか否かは組織の希望によります。セキュリティ対策等の理由で公開を希望されない組織の情報は公開しておりません。なお、JIPDECとしてはできるだけ公開して頂く様お願いしています。Q2502も参照下さい。
 
認証取得組織の分析情報:
Q2504.認証取得組織の月別推移や認証機関別、県別、業種別などの分類別情報は入手可能でしょうか。
A.ISMS認証取得組織の月別推移、認証機関別、県別の登録数情報はJIPDECのホームページの下記URLに掲載しています。なお、業種別の情報については、正確なデータが得られていないので現時点では公開しておりません。Q2505を参照下さい。
http://www.isms.jipdec.jp/lst/ind/suii.html
ITSMS認証組織に関しては、件数が少ないため上記分析情報は公開しておりません。
 
業種別の認証取得組織情報:
Q2505.業種別のISMS/ITSMS認証取得組織を調べる方法はありますか。
A.認証取得組織の業種情報は、ISMS/ITSMSでは正確なデータが得られません。理由は、業種の分類基準としてQMS(ISO9001)での分類を使用した場合現実と合わないためです。従って、業種データとして管理していないので公開していませんし、JIPDEC内部でも検索できません。公開された組織情報から推測して頂くしかありません。
 

トップページ

[Home]
Last modified: Tue Jul 28 11:52 JST 2009
Copyright © 2000-2010 JIPDEC All Rights Reserved.