ISMS適合性評価制度は、企業等の組織が構築したISMSがJIS Q 27001(ISO/IEC 27001)に適合しているかを、第三者機関が審査し、審査に合格した組織を登録する制度です。
審査を行い認証する機関を認証機関といい、その認証機関を認定する機関を認定機関といいます。日本での認定機関はJIPDEC(日本情報処理開発協会)です。
審査員になるには、一定の経験、研修受講、試験合格が必要です。
日本ではISO/IEC 27001をJIS Q 27001として国内規格としているように、各国もISO/IEC 27001と互換性のある国内規格をもち、認定機関があります。認定機関はそれぞれ相互認定しているので、日本で認証を受けたことは世界でも通用するのです。
審査・認証は、次の手順で行われます。
- 審査を希望する組織は、認証機関に申請します。
- 第1段階審査は書類審査です。
申請した組織が作成した ISMS基本方針文書や関連文書が、JIS Q 27001のすべての要求事項に適合していることを確認します。 - 第2段階審査は登録審査です。
書類審査
第1段階審査で指摘した事項が、適切に是正されているかの確認をします。
実践審査
組織が自ら定めた基本方針、目的、及び手順を遵守していることを確認します。
これによって、当該ISMSが組織の基本方針及び目的を実現しつつあることを確認します。 - 審査に合格したときは、認証機関は、該当ISMSがISMS適合性を満たしていると認証し、認証登録をします。
- 認証機関は、その登録情報をJIPDECに報告し、JIPDECは、その情報をWebページで公開します。
認定を受けた組織は、認定書を表示すること、ISMS適合性認証マーク(右図)を使用することが許されます。
ISMSは、継続的な改善が要求されます。認証登録されたら、通常1年毎に当該ISMSが効果的に継続されていることを検証するためのサーベイランス審査が行われます。
そして、3年ごとに再認証審査を行います。