よくある質問
よくある質問
PCI DSSについて
非保持化かPCI準拠にするか検討しています。ICMSに相談はできますか?
はい、できます。
非保持化含むカード情報セキュリティ対策のエキスパートとして、QSA(PCI DSSの監査を行うPCI SSC認定監査員)が、
事業者のビジネス効果や業務を考慮し、最適なカード情報セキュリティ対策支援について、お応えします。相談初回は無料ですので、お気軽にお問い合わせ下さい。
PCI DSSの準拠を検討していますが、ICMSは最初の相談から費用はかかりますか?
いいえ、初回は無料です。
ICMSの準拠支援は、ICMSのQSA(PCI DSSの監査を行うPCI SSC認定監査員)が対応します。
最初の打合せでPCI DSS準拠を進める具体的なイメージを把握する事ができます。
ICMSのPCI DSS監査の特徴はどのようなものですか?
ICMSの最大の強みは、多数の監査実績から積み重ねたノウハウにより、それぞれの事業者ビジネスに適したPCI DSS準拠を実現できる監査スキルです。
1) PCI DSS監査実績とスキル
ICMSは、2008年より国内で先駆的にPIC DSS監査を提供しています。多様な業界における監査実績は、国内最多クラスといえます。要件を深いレベルで理解している ハイレベルの監査スキルは、それぞれの事業者にとって実用的なPCI DSS準拠を実現することができます。
2)QSAは元エンジニア
ICMSのQSA(PCI DSSの監査を行うPCI SSC認定監査員)は元エンジニアで構成されており、ビジネスの実態に合わせた支援・監査が可能です。
QSAは外部研修や内部の勉強会により、常に最新のPCIや情報セキュリティ関連の高い知識レベルを保つようにしています。監査実績のないQSAは一人もいません。
3)ビジネスに規格をあわせる
ICMSの最大の特徴は、規格に合わせるのではなく、ビジネスに規格を合わせる支援・監査を行います。 要件の目的を堅実に満たす一方で、それぞれの事業者様のビジネスや予算に負荷をかけない、プロフェッショナルな監査を提供します。
ICMSのPCI DSS監査の費用と期間はどれくらいですか?
準拠が適用される範囲の規模により異なります。 適用範囲が小さい場合、監査日数1日で26万円~、大規模なシステムで広範囲にわたる適用範囲の場合、監査日数は3週間以上、1千万円以上かかる場合があります。 ICMSの監査では出来るだけ適用範囲を少なくコストを抑え、円滑な準拠、運用を行えるPCI DSS準拠支援を提供しています。詳しくはお問い合わせ下さい。
新規の監査はどれくらい前に申し込みが必要でしょうか?
3ヶ月以上前から可能です。お急ぎの場合は別途ご相談下さい。
自社でSAQ(自己問診票)を完成すれば、PCI DSS準拠になりますか?
はい、PCI DSS準拠となります。
PCI DSSはセキュリティ基準です。該当するタイプの全要件を適切に満たす事で、PCI DSSに準拠したセキュリティレベルという事になります。
SAQ(自己問診票)の質問を回答するには、ネットワーク、サーバなどシステム構築や情報セキュリティに関する知識が求められます。
間違ったSAQタイプを選ぶ事もあれば、事業者の意思を反映した要件解釈を行っている場合がありますので、ご注意下さい。
PCI DSS準拠証明書(SAQ AOC)の署名は、事業者責任者の署名であり、事業者の責任においてのPCI DSS準拠となります。
ICMSはQSA(PCI DSSの監査を行うPCI SSC認定監査員)がSAQ(自己問診票)の作成をサポートする SAQ(自己問診票)策定支援サービスを提供しています。
また、PCI DSS準拠証明書(SAQ AOC)に第三者機関の署名をご希望の場合、SAQ(自己問診票)を作成した事業者にオンサイト監査を実施、
ICMSのQSAが署名するSAQ(自己問診票) AOCサービスを提供しています。お気軽にご相談下さい。
ISMS審査について
国際マネジメントシステム認証機構(略称:ICMS)のISMS審査の特徴はどのようなものですか?
当認証機構と当審査員は被審査企業と共にリスクアセスメントを通じ対象とすべき事業リスクを明らかにし、クライアント企業との間でISMSの対象と目的の理解を同じとします。
以下の4つのポイントが当社の特徴です。
1)審査の考え方
当社は形式ではなく、クライアント企業の事業リスクに直結する情報セキュリティの実態を評価し、その精度と運用についての審査を行います。
2)顧客満足の追求
当社はサービス提供会社として、認証活動を通じてクライアント企業様が経営上の便益を感じていただける審査を実現しています。
3)ITの理解の深さ
今やITは経営上の最重要な基盤となりつつあります。ゆえにISMSはITの深い理解がなければ本質的な審査は実施できません。 当機構の審査員は全てセキュリティ技術者であり、システムに対する詳細な審査を希望されるクライアントのご要望にお応えすることが可能です。
4)スピード
審査は厳格に実施します。一方で審査の前後の当機構内の業務プロセスを効率化することにより、可能な限りスピーディーに対応し、クライアント企業の満足度を向上していきます。
一般に初回のISMS審査はどのように行われますか?認証の申込みから登録までの流れを教えてください。
初回審査は、大きく二段階によって実施されます。第一段階はステージ1審査(文書を中心とした現地審査)、第二段階はステージ2審査(実地審査)となります。
ステージ2審査までの審査結果を、審査チームが当機構の判定チームに推薦し、厳格なレビューののち初回の認証が決定されます。
ISMS審査の日数は、どのくらいかかりますか?
審査対象組織の規模等によって変動しますが、審査日程としては下記の通りとなります。
ステージ1審査(文書を中心とした現地審査)→1日~2日間、 ステージ2審査(実地審査)→2日~3日間、 ステージ1 審査とステージ2審査の間隔 →1ヶ月程度
ISMSステージ2審査(実地審査)終了後、認証取得までどのくらいの日数がかかりますか?
ステージ2審査(実地審査)の最終会議の時点で不適合が検出されない場合は、おおむね1ヶ月以内で認証登録証が発行されます。 当社は登録判定の専門組織をもっており、都度登録判定を行いますので迅速な対応が可能です。 また仮に不適合が検出された場合は、原則その是正措置が評価/確認された後から1ヶ月以内に発行となります。
ISMS審査料金の見積りを取りたいのですが、どのような手続きが必要ですか?
ISMS(JIS Q 27001)認証の有効期限は、どのくらいですか?また期限が過ぎると、どうなりますか?
初回審査の登録判定の翌日を初回登録日とし、3年間有効となります。また有効期限が到来する3〜4ヶ月前に再認証審査を実施することにより、認証期限が更に3年間に更新されます。
初回のISMS審査から更新までの間には、どのようなことがありますか?
認証取得後、半年または1年毎にサーベイランス(維持)審査を行います。
これは、認証した組織のISMSが規格の要求に対して、引き続き適合し、かつ有効に稼動していることを確認します。
当社ではサーベイランス審査は年2回を推奨しています。
企業の多くは四半期毎に様々な見直しや修正を行っており、それはリスクが変動していることでもあります。
自社による内部監査を年2回、サーベイランスを年2回行うことで、リスクの変動に備えることが必要というのが、当社の基本的な考え方です。
尚、審査費用は1年に1回と比べてもほとんど変わりません。
現在、別の認証機関でISMS(JIS Q 27001)を登録しています。認証機関の変更はできますか?
認証機関の変更は可能です。
当社のようなITセキュリティに強い認証機関への要望は、昨今のインターネットシステムにおける事故などの影響で高くなっております。
また、違った角度の情報セキュリティに関する所見を期待し、3年毎に認証機関を変更することを前提としている企業も出てきています。
PCI DSSの準拠を検討しています。同時にISMS(JIS Q 27001)も取得したいのですが、メリットはありますか?
あります。ISMSとPCI DSSは同じ情報セキュリティ基準ですが、PCI DSSはクレジットカード情報の保護に限定した基準に対し、ISMSは組織全体に対するマネジメントシステムです。 PCI DSS実装基準とISMSの管理策は、概ね80%は重なっているといえます。 ICMSでは二つの目的の審査を同時に行うブリッジ審査を行い、重複する部分の監査を一本化します。PCIの工数の低減と受審組織の負担を軽減する事ができます。
- お問い合わせはこちらから
- お電話からのお問い合わせはこちらから