制度・基準：ISMS（JIS Q 27001）審査員

制度・基準

｜QMS審査員｜ISMS審査員｜AS審査員｜

ISMS（JIS Q 27001）審査員

制度
新基準への移行の概要
新基準変更点の概要
基準書

制度

ISMS適合性評価制度は、組織が構築したISMSがJIS Q 27001（ISO/IEC 27001）に適合しているか審査し登録する「認証機関」、審査員の資格を付与する「要員認証機関」、及びこれら各機関がその業務を行う能力を備えているかを見る「認定機関」からなる総合的な仕組みです。

ISMSの全体概要につきましては、認定機関である日本情報処理開発協会（JIPDEC）のホームページに詳細が記載されておりますのでご参照ください。
情報セキュリティマネジメントシステム(ISMS)適合性評価制度の概要（JIPDEC）

日本規格協会（JRCA）は「要員認証機関」にあたりますので、本ページでは、JRCAが担当しております要員認証に関することについて掲載しております。

▲TOPに戻る

新基準への移行の概要

1. 開始時期

新審査員評価登録制度は、2009年9月1日からその運用を開始します。

2. 移行期間

移行期間は2009年9月1日から2012年8月31日までの3年間とします。個々の審査員については、登録カード記載の有効期限が2009年9月1日の方から順次新制度へ移行していただき、3年間で全審査員の移行を終了します。この移行期間中は、現行審査員評価登録制度と新審査員評価登録制度が併存し、審査員も現行制度審査員と新制度審査員が双方存在します。

3. 審査員名称、資格

移行後の審査員名称は審査員補(コンピテンス)、審査員(コンピテンス)、主任審査員(コンピテンス)となり、登録番号は引き継ぎます。現行制度審査員が移行できる新制度審査員の資格は、同じ審査員資格（審査員補は新制度の審査員補(コンピテンス)、審査員は新制度の審査員(コンピテンス)、主任審査員は新制度の主任審査員(コンピテンス))とします。

4. 移行の時期、条件

移行期間中における現行制度審査員の新制度への移行は、以下の時点で行います。

(1)更新登録時(一般的なケース)

更新時に現行制度の更新要件(ISMS審査員資格基準(JRCA AI100))を満たせば更新登録と同時に新制度へ移行します。

(2)維持登録時移行時

早めに新基準への移行をされたい場合、更新登録時期を待たずに維持登録時に移行することも可能です。「維持登録時移行」は、通常3年目に行う更新（含む移行）を前倒しで行うという考え方です。通常は3年ごとの更新時に現行基準に沿った報告（教育実績、審査実績）とともに更新登録を行うことで新基準への移行が可能となりますが、「維持登録時移行」は、現行基準に沿った実績（教育実績、審査実績）を2年間、ないし1年間で前倒し実施した場合に可能となります。有効期限は維持登録移行時点から3年とします。

(3)格上げ登録時

格上げ登録時に現行制度の格上げ要件(ISMS審査員資格基準(JRCA AI100))を満たせば格上げ登録と同時に新制度へ移行します。ただし、審査実績の条件は現行基準条件、新基準条件いずれの基準の条件でも構いません。「新基準変更点の概要 5.格上げ」を参照ください。

上記(1)、(2)、(3)の場合、現行基準での申請になりますので、いずれも申請書は現行基準のものを使用してください。

移行パターンの例 (PDF) を示します。

移行時期が遅くなる審査員の例としては、2009年8月に初回登録、あるいは更新登録を行った方は、2010年8月、2011年8月に現行基準での維持登録、2012年8月に現行基準での更新登録を行っていただき、2012年9月より新基準審査員となります。

5. 審査員による証明等の扱い

新制度で要求する新制度に登録された審査員による証明等は、移行期間においては現行制度の審査員でも構いません。

6. 移行に必要な料金

更新あるいは格上げに伴って移行を行う場合、必要な料金は更新あるいは格上げの料金だけとなります。維持と同時に移行を申請する場合、必要な料金は更新料金と同額となります。料金を参照ください。

7. 継続的専門能力開発（CPD）実績の書き方

移行後は新たに維持登録時、更新登録時にCPD実績の提出を求めております。ISMS審査員CPD実績の書き方(PDF)を参照の上、CPD実績報告をお願いします。

8. ISMS研修について

初回申請時は、JRCAが承認した研修を受講する必要があります。現行基準に準拠した研修（JIPDEC承認も含む）を受講されても、新基準に準拠した研修を受講されても、2009年9月1日以降に登録された場合は新基準準拠の審査員(コンピテンス)となります。現行基準の研修はISO27001に準拠している必要がありますので、ISO27001以前の研修を受講された場合はさらにISO27001との差分研修を受講している必要があります。

新基準の研修であるISMS審査員(コンピテンス)研修コース（フォーマルコース又は資格拡大コース）の有効期間は修了証記載の修了日から5年以内といたします。併せて従来有効期間の設定が無かった現行基準の研修コースにつきましても以下の有効期間を設定いたしますのでご注意ください。

修了日が2009年8月31日以前の方： 2009年9月1日より5年間
修了日が2009年9月1日以降の方：修了日より5年間

▲TOPに戻る

新基準変更点の概要

新基準での変更点の概要を説明いたします。本項では変更点のすべてを記述しているわけではありませんので詳細は ISMS審査員 (コンピテンス) 資格基準 (JRCA AI110）(PDF) を参照ください。また新基準は個々の審査員が新基準の審査員(コンピテンス)となった時点から適用されます。

1. 初回登録

審査員倫理綱領遵守の制約書の提出が必要となります。
情報セキュリティ業務経験を他の資格（知識）で代替することはできなくなります。

2. 維持登録、更新登録

1年ごとの維持登録時、3年ごとの更新登録時に実績の報告が必要となります。報告内容の概要は以下のとおりですが、詳細は ISMS審査員 (コンピテンス) 資格基準 (JRCA AI110）(PDF) を参照ください。

（1）審査員補

	現行基準	新基準
維持	・申請書・維持登録料	・申請書・継続的評価：直近1年間、(1)～(3)のいずれか一つ (1) 教育実績5時間以上 1 (2) CPD（5時間）以上 2 (3) 審査実績1件 *3 ・維持登録料
更新	・申請書・教育実績20時間・所属組織の推薦書・申請料・更新登録料	・申請書・継続的評価：直近1年間、(1)～(3)のいずれか一つ (1) 教育実績5時間以上 1 (2) CPD（5時間）以上 2 (3) 審査実績1件 *3 ・所属組織からの個人的特質に関する推薦書・申請料・更新登録料

*1：	受講した教育の出席が確認出来る資料、内容が確認出来るエビデンス資料をお送りください。
*2：	能力開発した結果を所定のレポート様式にて報告してください。1はエビデンス方式、2は自己申告方式です。ある研修を受講した場合、それを教育実績として報告しても結構ですし、CPDとして報告頂いても構いません。
*3：	審査員補の維持、更新時の審査実績については、有効な審査（4項）に加え、以下の条件を満たした内部監査も認められます。ただし、この内部監査は「4.有効な審査実績」とは条件が異なりますので、格上げ時の審査実績に含めることは出来ません。審査種別（内部監査、第二者監査、第三者監査）は問いません。主任審査員の同行は不要です。審査には以下の項目を含むこと（用語はISO19011　6.1章より）。 -　「現地監査活動の準備」の「作業文書の作成」 -　「現地監査活動の実施」の「初回会議の開催」 -　「現地監査活動の実施」の「情報の収集および検証」 -　「現地監査活動の実施」の「最終会議の開催」 -　「監査報告書の作成」の「監査報告書の作成」以上全体で7時間以上とします。1日である必要はありません（エビデンスをお送りください）。審査手順はISO19011に沿っていることが必要です（エビデンスをお送りください）。書式は様式3Cを使用してください。

（2）審査員、主任審査員

	現行基準	新基準
維持	・申請書・維持登録料	・申請書・継続的専門能力開発（CPD）15時間以上またはリフレッシュ研修コースの修了（直近1年）・有効な審査実績1件以上（簡易報告：資料の添付不要）主任審査員：リーダー実績、審査員：メンバー実績（直近1年）・維持登録料
更新	・申請書・教育実績20時間・審査実績3件以上・主任審査員：リーダー実績審査員：メンバー実績・所属組織の推薦書・申請料・更新登録料	・申請書・継続的専門能力開発（CPD）15時間以上またはリフレッシュ研修コースの修了（直近1年）・有効な審査実績3年間で3件以上（異なるISMS）主任審査員：リーダー実績審査員：メンバー実績（直近3年）・所属組織からの個人的特質に関する推薦書・申請料・更新登録料

3. 教育実績

相互啓発の有無については条件といたしません。
講師、OJT、審査、内部監査は「教育」には含めません。

4. 有効な審査実績

格上げ時、あるいは審査員、主任審査員の維持、更新時の審査実績は、以下の有効な審査の条件を満足している必要があります。

審査の手順はJIS Q 19011に従っている必要があります。
第二者監査、内部監査の場合は、JIS Q 27001規格の規格本文と管理策のすべてを対象として監査を行う必要があります。
有効な審査に必要な時間数は現地審査活動実働7時間／日となります。ただし移行期間中は6時間でも構いません。
審査員補(コンピテンス)が審査を行う際は、主任審査員が常に行動を共にする必要があります。
1名のISMS主任審査員が指導及び助言を行うISMS審査員補(コンピテンス)は1名である必要があります。
審査員(コンピテンス)が審査リーダーを務める際は、主任審査員が常に行動を共にする必要があります。
新基準審査員となった後の情報セキュリティ監査は審査実績としては認められません。
審査実績の報告は様式3を使用してください。
審査員、主任審査員の方（更新時）及び審査員補の方：様式3
審査員、主任審査員の方（維持時）：様式3の青字部分を除いた項目
詳細は ISMS審査員（コンピテンス）申請手引き(JRCA AI310）(PDF) の8項、9項を参照ください。以前の様式3A、3Bにて報告書を作成済みの場合は、3A、3Bを提出いただいて構いません。

5. 格上げ

現行基準と新基準における格上げ条件の差異を以下に示します。

審査員への格上げ

	現行基準条件	新基準条件
オブザーバー経験	なし	メンバー実績の前に1回以上
審査実績	3年以内に4回以上	3年以内に異なるISMSに対し 4回以上
審査実績	20日間以上	日数の制限は設けない
審査能力の確認	2名の主任審査員の証明	同行した2名の主任審査員の証明、指導は1名のみ

主任審査員への格上げ

	現行基準条件	新基準条件
メンバー審査実績	3年以内に4回20日間内2年以内に3回15日間以上のリーダー実績	ISMS審査員（コンピテンス）として異なるISMSに対し3回以上
リーダー審査実績		2年以内に異なるISMSに対し 3回以上
リーダー審査実績		日数の制限は設けない
リーダー能力習得の確認	2名の主任審査員の証明	同行した2名の主任審査員の証明

移行期間中に格上げを申請される場合、審査員資格が現行基準であっても新基準（コンピテンス）であっても、審査実績の条件は現行基準条件、新基準条件いずれの基準の条件でも構いませんが、どちらかの基準で統一して申請をお願いいたします。審査実績の条件（現行基準、新基準）の如何にかかわらず、申請書につきましては、現行基準審査員として申請される場合は現行基準申請書、新基準審査員として申請される場合は新基準申請書をご使用ください。またどちらの基準で申請するかを現行基準様式3、あるいは新基準様式3の（実績報告の準拠基準）欄で該当項目にチェックを記してください。申請日が移行期間終了時点（2012年9月1日）以降の場合は、新基準の格上げ条件のみ有効となります。

以下の場合、異なるISMSと判断します。
認証機関が発行する「ISMS認証証」記載の登録番号が異なっている場合
「ISMS基本方針」の承認者が異なっている場合(「ISMS認証証」がない場合)

▲TOPに戻る

基準書

ISMS（JIS Q 27001）新審査員評価登録制度 PDF

ISMS（JIS Q 27001）現行審査員評価登録制度 PDF

現行基準は2012年8月31日まで有効です。

注1：「情報セキュリティマネジメントシステム審査員の評価登録手順（JRCA AI200）」においては申請書類の電子媒体による提出をお願いしておりますが、運用上、「提出は不要」ということにいたしました。

備考

各文書はPDFファイルで掲載しております。
PDFファイルについてはサイトポリシーの「6. Adobe Readerについて」をご覧ください。

▲TOPに戻る