ISO情報

情報セキュリティマネジメントシステム審査員になるためには

審査員になる為には(条件全般)

 JRCA審査員補登録をめざす方は、次の条件をすべて満たしている必要があります。

  • ① 大学教育と同等の専門教育又は訓練を修了
  • ② (訓練期間を含まない)申請日を遡る10年以内に4年以上の常勤による情報技術分野の実務経験
  • ③ 前述の実務経験において、2年以上の情報セキュリティ技術に関連した役割又は職務経験
  • ④ JRCAが承認する情報セキュリティマネジメントシステムのフォーマル研修コースを、申請日から過去5年以内に合格修了
  • ⑤ 審査員倫理綱領の遵守

<ステップ1> 審査員研修コースの合格修了

 弊社が提供する『JRCA承認 ISO/IEC 27001審査員研修コース(TT11)』(5日間)は、JRCA((一財)日本要員認証協会マネジメントシステム審査員評価登録センター)の研修コース承認基準を満たして運営されています。本コースを合格修了し、試験(JRCA筆記試験)に合格すると、JRCA審査員補に登録するための要件の一部を得ることができます。つまり、審査員研修コースの合格は前述の条件④に該当します。
本コースは審査員資格取得に向けた充実の合格サポート体制を設けております。また、お申込みいただきますと、事前に弊社よりお送りする規格書による予習等を行っていただきます。ただし、それでも不安のある方には、以下の講習会を事前にご受講いただくことをお奨めしております。
ISO/IEC 27001規格入門コース

 合格修了に向けてのポイントの一つに、事前学習があります。本コースはISO/IEC 27001規格の初学者向けのコースではありません。ISO/IEC 27001規格要求事項については一通り学んだレベルを期待しています。そのため弊社のISO/IEC 27001審査員研修コースにお申込みいただいた方には、しっかりと事前学習に取り組んで頂くための資料、教材類を事前(約3週間前)にお送りします。その教材類を使って、事前勉強に取り組んで頂いた方は、コースに入った初日から講師の期待するレベルでカリキュラム内容を吸収し、合格に向けて着実に審査員になる為に必要な力量を身に付けて行って頂いたおります。それが業界内で高い合格率を誇る理由にもなっております。
更にもう一点は、コース修了後、すぐに審査員になる予定はなく、あくまで組織内でのISMS推進責任者/担当者のお立場の方が多く参加されるコースになっておりますが、あくまでコースカリキュラム、内容は審査員になるために必要な力量を身に付けるためのコースです。審査をする側の視点を強く意識して学んでいかれることによって、合格レベルに到達されていくことも念頭に置いてご受講頂きたいと思います。

<ステップ2> JRCAへの登録

 審査員資格を取得するということは、審査員登録機関に審査員補として登録することとなります。登録するための資格基準は以下の通りとなります。

  • (1) 実務経験
    • ① 大学教育と同等なレベルの専門教育又は訓練を修了していること。
    • ② 申請日を遡る10年以内に4年以上の常勤による情報技術分野の実務経験(訓練期間は含まない)を有していること。
    • ③ 上記②の実務経験において、2年以上の情報セキュリティに関連した役割又は職務※に就いていること。
        ※情報セキュリティに関連した役割又は職務

      • 脆弱性対策(ウィルス対策等)
      • 機密保護(暗号、アクセスコントロール等)
      • 物理的セキュリティ
      • 安全性、可用性対策(バックアップ、媒体管理、監査ログ等)
  • (2) 審査員研修コースの修了
    • JRCAが承認する情報セキュリティマネジメントシステムのフォーマル研修コースを、申請日から過去5年以内に合格修了していること。
  • (3) 審査員倫理綱領の遵守

<ステップ3> 審査員資格の維持(更新)

 審査員資格を維持するため、各要員認証機関(JRCA等)は必要なCPD実績の提出を求めています。審査員資格維持に求められるCPDは年15時間など、要員認証機関及び保有資格(主任審査員等)によって変わってきます。

 ISOの審査は、組織運営の仕組みを審査することが主眼とは言え、世の中の最新動向への目配りも常に必要ですし、資格取得後の自己研鑽も非常に大事です。一度資格を取得したことによって、ずっと審査業務ができる、というわけではなく、資格自体は3年間の有効期限がある中で、登録料の支払い以外に、原則毎年能力向上のための学習をしたことを証明しなければ資格の維持ができない枠組みが、国際的なルールに基づいて存在します。

 毎年の継続的な学習は資格のレベルによって異なりますが、主任審査員は年間15時間以上、審査員補は年間5時間以上、というような形で各要員認証機関が基準を定めています。学習方法については、資格保有者に自由度が多く与えられており、専門機関による学習だけでなく、自学自習による方法でもCPD対応が可能です。研修機関としての関わりでは、登録コースというものがあります。JRCA登録コースは、以下のページで説明があります。
https://www.jsa.or.jp/jrca/jrca_kensyu_kensyu-4/

 登録コースに参加した場合は、当該コースの修了証を資格維持の申請書類を提出する際に添付することで資格維持が認められます。一方、自学自習の場合は、自分自身で力量強化が必要と考えるポイントを見い出し、その部分に関して、どのような方法で学習し、どのような成果を得たかをレポートとしてまとめ上げ提出し、その内容についての評価判定を受けることになります。テクノファでは、各分野でのISO審査員CPD登録コースを開催しています。詳しくは以下のページから各コースのご案内をご参照ください。
ISO/IEC 27001(情報セキュリティ)関連CPD登録コース

<ステップ4> 審査員としての活動

 ISO/IEC 27001の審査員資格を取得した後、実際に審査員として活動をするためには、ISO認証機関との契約が必要になります。外部契約審査員として契約を取り交わし、審査活動に入るのが一般的ですが、場合によってはその認証機関の職員になり、その上で審査活動に従事するケースもあります。

 以前は、主任審査員資格を保有していないとなかなか新たな認証機関での契約締結は難しかったのですが、最近は審査員補でも契約を交わしたい、という認証機関が出始めています。
ご自身の経験、専門分野によって機会の多い、少ないが変わってきます。全員の方に均等な機会があるわけではありませんので、そこはしっかり世の中の動向を踏まえながら、道を探って頂きたいと思います。

 資格を保有及び経験分野以外でも、内部監査の経験、管理責任者としての経験、二者監査の経験等も大事な要素になってきます。どのような立場で、どのような経験を積んでこられたか、ご自身のキャリアの棚卸しは基本的事項として、しっかり整理をしてください。

 また認証機関も日系認証機関、外資系認証機関、JAB認定取得の機関、海外認定機関(UKAS等)の認定取得の機関と色々なパターンがあります。外資系認証機関の場合は、報告書を英語で書く必要がある場合もある為、英語力の有無も問われることになります。英語力のある方にとっては、一歩有利になることができますので、認証機関探しの際には意識してみると良いでしょう。

 更に、昨今は審査員活動に対する報酬も認証機関によって相当の開きが出始めています。審査員補の段階では無給ですが、以前は交通費もすべて自腹でしたが、今では交通費だけは支給してくれる認証機関も出始めています。認証機関との契約にはご縁も大事ですが、このような情報もやはりその後の活動継続のモチベーションにはつながる話ですので、しっかりと事前情報の収集をされることをお勧めします。

 そして最後に一番大事なことは、5日間コースを苦労して合格修了されたとしても、審査員補としての契約は審査員活動のはじめの一歩でしかない点です。あくまで契約を交わしてから、その認証機関の初期トレーニングを受け、その上でオブザーバー参加、審査員補としての初回審査への参画と進み、経験と研鑽を積むことによって審査件数が増え、審査員補から審査員への昇格基準を満たす実績を持つことができます。審査はあくまでお客様(認証取得組織)からお金を頂いて行うものです。お客様に迎合するのは論外ですが、審査によって、お客様にきちんと価値の提供を行うことが審査員補の段階から既に求められています。

 審査員補はまだ見習いだから、という甘い気持ちでは、認証機関の内部評価で残念ながらよい評価、継続的な仕事の依頼は期待できません。審査員補としての初回から、プロ審査員であることの自覚を忘れずに、お客様組織の将来のためになる審査を行う気概でもって取り組む必要があります。

 そのためにも自分はどのような過去の実績を積み重ねてきたか、そしてどのような強みを持っているかをしっかり認識して臨むことが大事です。認証機関の採用時の手法は色々です。面接だけの機関もありますし、筆記試験まで行う機関もあります。その準備のためにも上記の自己理解はとても大事なことになります。是非とも本ページをご覧の皆様には、その壁を突破して頂きたいと思っております。ご相談事項がございましたら、req@technofer.co.jpまでお願い致します。2~3営業日以内にご返答させていただきます。