FAQ1:認証機関認定
注1:このFAQ1では、基準等を略称で表示しています。正式名称はFAQのトップページを参照下さい。
注2:このFAQでの「認定基準」は「ISMS/ITSMS/BCMS/CSMS認証機関認定基準及び指針」を示しています。
11.認定の申請・登録
認証機関認定申請の手続き:
Q1101.認証機関として認定を受けるための基準、及び認定を申請する場合の手続きを教えて下さい。
A.認定のための基準は「ISMS/ITSMS/BCMS/CSMS認証機関認定基準及び指針」です。申請の方法や様式は「IMS認証機関認定の手順」によります。申請から審査、登録、維持等に関する業務の流れや条件については「IMS認証機関認定の手引き」を参照して下さい。これらは以下よりダウンロードできます。
※「認証機関認定基準及び指針」は、以下の「認証機関の認定に関する文書類」の「2.各マネジメントシステム固有の文書」の各マネジメントシステム文書を参照してください。
認定申請書の様式をWord形式で入手:
Q1102.認証機関認定のための申請書の様式をWord形式等で入手出来ますか。
A.申請書の様式は以下よりダウンロードできます。
なお、既に認定されている認証機関の変更届の様式は以下よりダウンロードできます。
申請書類に下位文書や様式は必要か:
Q1103.提出する認定申請書類には、品質マニュアルのほか、下位文書や様式の添付も必要ですか。
A.品質システム文書の構成にもよりますが、申請書の様式2及び5に記載された下位文書(規程類)及び関連する様式も添付して下さい。なお、記録は事務所審査において確認させて頂きますので添付は不要です。
申請時認証審査実績が必要な理由とその様式:
Q1104.申請時に、認証審査実績を示すための書類が必要とありますが、この目的は何でしょうか。またこの様式はありますか。
A.認定の手順5.1(2)e)に「初めて認定を申請する機関は、申請前に組織の認証を1回以上実施したことを示す文書が必要」と明記されています。これは初回認定審査の事務所審査において、認証機関として構築したマネジメントシステムによる認証の申請受付から登録までの実効性を、実施した記録で確認するためです。このため、認定申請までに組織の認証登録を実施し、記録を残して頂く必要があります。この場合、まだ認定されていないので、事情を了解して受審して頂ける組織を探す必要があります。様式は申請書の様式6(Q1102参照)を使用して下さい。
認定審査の内容と審査日数:
Q1105.認証機関の初回認定に関わる審査の内容と日数をお教えください。
A.認定審査は下記の段階で行われます。
1)申請書類審査:ISMS-AC内にて実施。
2)事務所審査:申請機関の事務所で実施。
3)立会審査:認証機関による認証審査の状況を審査。通常第一段階審査と第二段階審査の全スケジュールに立会する。
4)フォローアップ審査:審査の過程で重大な不適合があった場合、その是正処置の状況を確認するために実施する場合がある。
5)最終審査:ISMS-AC内にて実施。
審査の工数は申請内容や品質文書の状況によって異なりますが「IMS認証機関認定の手引き」(JIP-IMAC111)附属書2に目安が表示されていますので参照して下さい。これは以下の「認証機関の認定に関する文書類」の「1.共通文書」よりダウンロードできます。
認定登録までに要する期間:
Q1106.認証機関として認定を申請してから登録されるまで、どの位期間がかかりますか。
A.不適合の有無や立会審査のスケジュール等によって異なります。不適合が無く、事務所審査及び立会審査がスムーズに行われた場合、通常は申請後4~5ケ月で認定登録されます。
認定に関わる費用:
Q1107.認証機関の認定に関わる費用を教えて下さい。料金表はありますか。
A.初回認定登録及び登録維持に関する料金は「IMS認証機関の認定に関わる料金」(JIP-IMAC610)によります。これは以下の「認証機関の認定に関する文書類」の「1.共通文書」よりダウンロードできます。
認定前の認証機関による組織の認証の扱い:
Q1108.認定申請及び立会審査のために2件以上の組織の認証審査が必要となりますが、認証機関として認定されたら、これらの組織は認定された認証機関により認証されたとみなされますか。また登録日はどうなりますか。
A.認証機関として認定されるまでは、認定されていない認証機関による認証として扱われますが、認定されたら遡って認定された認証機関により認証されたとみなされます。この場合、認証登録日は当初の登録日のままです。
認定シンボルの取り扱いに関する手順の作成:
Q1109.認定を受ける場合、認定シンボルの取り扱い規定を作成する必要がありますが、申請書類にこれらを含める必要性がありますか。また認定シンボルのデータは何時入手できますか。
A.認定された認証機関が認定シンボルを使用するための文書は、ISMS/ITSMS/BCMS/CSMS共通の「IMS認定シンボル使用規定」(JIP-IMAC510)です。これは以下の「認証機関の認定に関する文書類」の「1.共通文書」よりダウンロードできます。
これにより作成して申請書類に含めて下さい。認定番号の付いた認定シンボルのデータは、認定後に送付しますのでこの時点では表示は不要です。なお、シンボルのマーク(図形)部分の色や形は「IMS認定シンボル規定」(JIP-IMAC500)にて規定しており、認定後、認証機関に送付します。
認定シンボルの電子データ:
Q1110.認定されたら認定シンボルの電子データを頂けますか。
A.認定されたら認定番号付きの認定シンボルの電子データを送付しています。事前に準備する場合は、「IMS認定シンボル規定」(JIP-IMAC500)(Q1109参照)を参照して作成し、認定されてから認定番号を記入して頂くことになります。IMS認定シンボル規定は請求があれば認証機関にお渡ししています。
認定シンボルを並べて表示:
Q1111.ISMS-AC及び他の認定機関よりISMS/ITSMS/BCMS/CSMS認証機関として認定を受けている場合、自機関、ISMS-AC及び他の認定機関のマーク/シンボルを並べて表示できますか。
A.例えばA認定機関とISMS-ACよりISMS認証機関として認定を受けて認証を行っている場合、自機関、A認定機関およびISMS-ACの3つのマーク/シンボルを並べて表示できます。本件は、「IMS認定シンボル使用規定」(JIP- IMAC510)3.3項に関連しています。ただし、A認定機関の規定を確認する必要があります。
認証登録組織情報の報告:
Q1112.認証登録した組織情報はどのような様式で、いつISMS-ACに報告するのでしょうか。
A.認証機関として認定されると、インターフェース仕様書と様式を送付しますので、これを使用下さい。報告時期は、登録の都度でも良いし月1回程度にまとめても結構です。なお、変更があった場合も1ケ月以内に報告して下さい。「IMS認証機関認定の手引き」(JIP-IMAC111)の2.3.4項も参照下さい。これは以下の「認証機関の認定に関する文書類」の「1.共通文書」よりダウンロードできます。
12.認定登録の維持
サーベイランスの準備及び手続き:
Q1201.サーベイランスの準備に必要な事項について教えて下さい。
A.サーベイランス時期の6~3ケ月前位になったらISMS-ACから案内します。機関からの申請は必要ありません。準備内容はおよそ下記の様になります。「IMS認証機関認定の手引き」3項も参照下さい。
1)現在提出頂いている文書等に対して変更されたものがあれば事前に差替え。
2)前回審査以降の認証審査実績及び今後の予定の提出。
3)前回審査での審査報告書において、次回審査で確認すると記述された改善事項があれば、その対応の記録の提出。
4)前回審査以降、内部監査及びマネジメントレビューを実施した事を示す文書の提出。
5)その他、変更予定など必要と思われる事項。
サーベイランスに要する工数は、上記手引きの附属書2に目安が表示されていますので参照下さい。また、審査費用については「IMS認証機関の認定に関わる料金」(JIP-IMAC610)を参照下さい。
これは以下の「認証機関の認定に関する文書類」の「1.共通文書」よりダウンロードできます。
変更届:
Q1202.認証機関として、組織体制や文書等に変更が生じた場合の手続きはどうすれば良いのでしょうか。
A.「認定申請/登録内容変更届」を作成し、変更に伴う文書とともにISMS-ACに送付して下さい。内容により臨時の審査(特別審査)を行う場合があります。変更届の様式は以下よりダウンロードできます。Word形式の他Excel形式の様式も必要な場合がありますので確認下さい。
Q1203.認定登録証を破損や紛失した場合、再発行の手続きはどうなりますか。
A.再発行可能です。上記「認定に関わる様式(変更届等)」の「認定登録証発行依頼書」(ISF213-1)を参照して下さい。
認定登録証のレプリカの注文:
Q1204.認定登録証のレプリカを入手できますか。サイズや費用はどうなりますか。
A.認定登録証のレプリカ(複写)を希望する場合は、以下の「認定に関わる様式(変更届等)」の「認定登録証「複写」注文書」(ISF213-2)により注文できます。サイズや費用も注文書に記載されていますので参照して下さい。
認証の一時停止または取消しの報告:
Q1205.認証機関が組織の認証を一時停止または取消した場合、ISMS-ACには何時報告すれば良いのでしょうか。また、ISMS-ACのホームページでの表示はどうなるのでしょうか。
A.一時停止又は取消しを行った時、認証組織情報の変更として速やかに又は定期の報告時にISMS-ACに報告して下さい。これによりISMS-ACのホームページでの登録組織の表示を削除します。
認証機関のホームページでの組織情報の公開:
Q1206.認証機関に対して、認証取得組織情報の公開は義務付けられているのでしょうか。
A.認証取得組織情報の公開は義務付けられていませんが、認定基準8.1.2により、認証機関は認証取得組織情報を要請に応じて提供する義務があります。なお、認定基準8.1.2の注記1にあります様に、依頼者からの要請により特定の情報へのアクセスを制限することができます。
特別審査とは:
Q1207.特別審査という表現がありますが、どのような審査か教えて下さい。
A.初回審査、更新審査及びサーベイランスにおける審査以外の審査を特別審査と呼んでいます。「IMS認証機関認定の手引き」2.2.7項を参照下さい。この文書は以下よりダウンロードできます。
13.認証機関認定基準
認定基準の解説書:
Q1301:認定基準を解説した資料はありますか。
A.認定基準の解説書は現在の所ありません。なお、「ISMS認証機関認定基準及び指針」はJIS Q 27006をそのまま適用しており、「ITSMS認証機関認定基準及び指針」は、ISO/IEC 20000-6をそのまま適用しています。
「BCMS認証機関認定基準及び指針」及び「CSMS認証機関認定基準及び指針」は、JIS Q 27006を参考にして、JIS Q 17021-1にBCMS/CSMS特有の部分を追加しています。
また、ISMSクラウドセキュリティ認証を行う認証機関に対する基準及び指針として、「ISMS認証機関認定基準及び指針」の附属書E、Fを追加しています。
損害賠償保険等の必要性:
Q1302.認定基準5.3.1は損害賠償保険の加入を義務付けているのでしょうか。
A.基準では、例として保険を挙げていますが具体的な手段を定めていません。認証機関が有効と判断した適切な手段を実行することを求めています。
下請負契約条件の開示:
Q1303.認証機関が外部審査員と下請負契約(外部委託)をした場合、この事を対外的に公表する義務はありますか。
A.公表についての義務はありません。但し、認定基準9.2.3.5により受審組織は特定の審査員や技術専門家に異議を唱えることができますので、審査員の氏名を提示し、要請に応じて、経歴を提供できるようにしておく必要があります。
審査員の人数・資質:
Q1304.認証審査員の資質や人数についても認定審査の対象になると思いますが、具体的な資格や人数に決まりがありますか。
A.認証機関は、 認定基準の7.1.2等により審査員の能力に関する基準を作成して評価する必要があります。審査員の人数の規定はありませんが、認定基準の7.2.2で認証活動をする上で十分な人数の審査員を利用できるように求められています。
審査員の資格条件:
Q1305.審査員及び主任審査員は、要員認証機関への登録が必須条件ですか。また、専門分野の扱いはどうなりますか。
A.認証機関で活動する審査員は、要員認証機関への登録は必須ではありません。認定基準の7.1.2.1及び7.2.1 IS 7.2などの要求事項により認証機関で資格基準を作成して評価した審査員により審査を行って下さい。審査対象組織の専門性に関しては、認定基準の9.2.2等が関係し、技術専門家を含めた審査チームとして審査できる力量があるかどうか判断して下さい。
複数サイトサンプリング:
Q1306.一つの認証対象に複数のサイトが含まれる場合のサンプリング方法に決まりがありますか。
A.マルチサイトサンプリングに関しては認定基準の9.1.5及び9.1.5.1 IS 9.1.5等に記述されています。IMS認証機関認定基準に関する指針MD1 (JIP-IMAC102)も参照下さい。
これらは以下Lよりダウンロードできます。
立会審査の回数:
Q1307.立会審査は、登録組織数に応じて回数が異なるのでしょうか。
A.認定機関による立会審査の回数に関しては、認定機関が適用すべき規格JIS Q 17011:2005に記述されています。本制度もこの規格に従って立会審査の回数を決めています。