質問
マネジメント基準に複数年を軸とした監査サイクルの適用を希望しています。適用するためのプロセスや要件について教えてください。
回答
マネジメント基準に複数年を軸とした監査サイクルを適用するにあたっては、ISMAPクラウドサービス登録規則様式3別添7で定める「他の認証・監査制度の取得状況に関する情報」の提供により適用要件を満たしていることを示すことを求めており、現時点では他の認証・監査制度としてISMS(ISO/IEC 27001)の取得を前提としています。
当該監査サイクルを適用するためには、更新申請であることに加えて、以下の要件を満たすことを求めています。
・ISMSの有効期限内(更新見込期間も含む)に監査対象期間が含まれていること。
・ISMS(JIS Q 27001)認証、又はIAF(国際認定フォーラム)に属する認定機関によって認定された認証機関によるISO/IEC 27001認証を取得していること。
・ISMSの登録範囲にISMAPの言明対象となるクラウドサービス及びマネジメント基準における個別管理策を適用する組織が含まれていること、並びにその説明がなされていること。
当該監査サイクルの適用を希望する場合は、監査実施に先立ち、適用可否について原則としてISMAP運用支援機関へ相談を行うことを推奨しています。(FAQ 事前相談の推奨について)
また、外部監査機関の業務開始時点までに、事業者から監査機関に対して当該監査サイクルの適用を希望し、ISMAP運用支援機関からもその妥当性について確認されたことを伝達してください。
なお、ISMAPクラウドサービス登録規則様式3別添7の記載例については、「ISMAPクラウドサービス登録申請の手引き」をご参照ください。
(参考)
・ISMAPクラウドサービス登録申請の手引き
https://www.ismap.go.jp/csm?id=kb_article_view&sysparm_article=KB0010010