認証審査

認証審査とはどのような内容なのでしょうか？
ISO/IEC27001の認証審査は体裁面の審査をする第1段階審査と運用面の審査をする第2段階審査に分けて実施されます。

第1段階審査

原則的に第1段階審査は審査対象組織のサイトで実施することになっています。
主に以下の項目が第1段階審査の対象となります。

• ISMSの適用範囲
• 情報セキュリティ方針
• ISMS文書
• リスクアセスメントの結果
• 教育訓練や認識向上プログラムの結果
• 内部監査の結果
• マネジメントレビューの結果

ここで致命的なシステムの欠陥（重大な不適合）が存在してしまうと第2段階審査へ進めないこともあります。
第1段階審査の報告書には不適合、観察事項、第2段階審査の実施可否について記述されます。
不適合が発見された場合は、その是正処置の実施を約束することが第2段階審査へ進む条件となり、第2段階審査の前までに是正処置を計画・実施します。
また、その内容は第2段階審査で確認されます。

第2段階審査

第2段階審査へ進むと、構築したISMSの運用状況、情報セキュリティ方針などが、目的にかなった仕組みとなっているか？を確認します。
また、運用についてのインタビューも実施しますが、その対象はプロセスの責任者だけでなく、各スタッフも対象者になっています。
主に以下の項目が第2段階審査の対象です。

• 運用状況のインタビューや観察
• 運用について手順書・記録による確認

第2段階審査の報告書には不適合、観察事項の他に、認証の推薦の可否についても記述されます。
第2段階審査で不適合が発見された場合、その是正処置を行うことが推薦の条件となり、不適合の是正をするための計画を提出する必要があります。
また、推薦はその是正計画が不適合の原因を取り除くのに充分なものであると判断された後に行われます。