ISMS審査の流れを解説|期間・必要書類・注意点など

この記事でわかること
  • ISMS審査で必要な手続き・書類
  • ISMS審査の申込みから審査終了後までの流れ

ISMS審査について

ISMS認証を取得するには、組織内でISMSに関する取り組みを行った後に審査機関による審査を受審し、合格する必要があります。しかし初めてISMSの審査を受ける場合、「どのような流れで審査が行われるのか?」がよくわからず、不安になる方も多いと思います。
本ページでは、審査のおおまかな流れ・手続き・必要書類について、詳しく説明します。

審査申込みから審査終了までの流れ

では早速ですが、審査の流れをみていきましょう。
いわゆる「ISMSの審査対応」というのは、大きく分けると下記の4つで構成されます。

審査は2段階に分かれています。どちらも審査員からのヒアリング形式で実施されます。

所要期間

  • 審査申込みから認証取得までの所要期間は、短くて3~4ヶ月です。
  • 第一段階審査から第二段階審査までの間に約1ヶ月、第二段階審査で合格してから認証書が届くまでに約1ヶ月かかるので、審査が始まってから認証取得までにかかる期間は最短で約2ヶ月程度です。

審査日程

  • 組織と審査機関との間のやり取りで、審査日程を決定します。
  • 第一段階審査の日程を決める際に、第二段階審査の日程まで決める必要はありません。

それぞれ詳しく確認していきましょう。

1. 審査申込み・審査機関との契約

ISMS認証新規取得に向けた取り組みをおこなう中で、認証取得範囲などが決まってしまえば、実際にルールが出来上がる前に審査機関に審査の申込みをすることができます。

審査申込みとは、審査機関から求められる書類を提出して審査機関と契約をし、自組織の審査を依頼することを指します。

必要書類 見積もり依頼書
申込み方法
  • 各審査機関に審査費用の見積もり依頼をします。各審査機関によって異なりますが、見積もり依頼書に事業所の規模や事業内容など、組織の情報を記入します。審査機関はその情報をもとにして審査費用の見積もりを出します。
  • 審査機関から審査費用・工数などの見積書が送られてきます。記載内容を確認後、審査や認証登録を行うための業務契約や、秘密保持契約を審査機関と締結します。
所要期間 審査の見積もり依頼から審査の申込み、審査機関との契約までは最短で約1ヶ月程度です。

審査機関の選定

ISMS適合性評価制度を運用するISMS-ACのページで確認してみると、2020年8月3日現在でISMSの審査機関は全国に30あります。

ISO27001という規格は1つなのだから、どの審査機関でも同じでは?と思っている人もいるのではないかと思いますが、そうではありません。料金も審査内容も審査機関によって様々です。

構築したISMSが、規格に適合しているかどうかを審査することは共通していますが、審査機関によっては少しずつ重視する点が異なります。判断基準の一例である「マネジメントシステムの運用」を見る際には、ある機関は「規格に則して忠実にISMSが作られているのか?」という点を、またある機関は「現場の業務と情報セキュリティ対策のバランスはとれているのか?」という点を重視しているなどの違いがあります。

「どの審査機関が良い」とか「悪い」という訳ではなく、会社が目指すマネジメントシステムにとって「相性が良い審査機関」と「悪い審査機関」は存在します。

審査の際、それまでに作り上げてきたISMSが審査の傾向に合わないからといった理由で、組織にとって有効でない指摘をされないためにも、実際に審査機関の営業に問い合わせたり、コンサル会社に相談したりして、慎重に審査機関の選定を行いましょう。

2.第一段階審査

第一段階審査は、文書確認を中心としたマネジメントシステムの構築・運用確認の審査です。
PDCAサイクルで言うと、P(計画)の部分を重点的に見られます。

対象 ISMS事務局(実際に社内のISMSを構築した部署もしくは特定の人物)
所要時間 例) 9:30~17:30(昼休み1時間)※1拠点、従業員数50名の場合
審査内容 作成した社内文書が規格(ISO/IEC 27001)に則して作られているか
例)
  • 組織の外部及び内部の課題を決定しているか
  • 情報セキュリティ方針を作っているか
  • リスクを特定しているか
  • 作成した社内文書は版数管理されているか etc…
準備すべきもの ISMSを構築する上で作成した文書類
例)
  • ルールが記載されたハンドブックやガイドライン
  • 組織図、フロア図、ネットワーク図
  • 適用宣言書 etc…
出席すべき人物
  • ISMS事務局(情報セキュリティ管理者、情報セキュリティ担当者 他)
  • トップマネジメント

当日の流れ

1
    オープニング
  • 審査ポリシーの説明
  • 審査基準の説明
  • 審査方法の説明
2 トップインタビュー(トップマネジメントに対するインタビュー)※第二段階審査で行う場合もある
質問の例
  • 認証取得のきっかけは?
  • 情報セキュリティ方針のポイントは?
  • 今後の情報セキュリティの展望は? etc…
3 ISMS推進体制の確認
  • 認証範囲はどこか?
  • ISMSの枠組みができているか?
    • ISMS文書は正しく作られているか?
    • 情報セキュリティリスクアセスメントの手順は?
    • ISMSを評価するための方法は? etc…
4 クロージング
  • 審査員による審査総評

3.第二段階審査

第二段階審査では、構築したISMSが実際に運用されているのか、有効に機能しているのかを審査されます。つまり、従業員がきちんとルールを守っていますか?ということを見られます。

PDCAサイクルで言うと、D(運用)、C(評価)が実施済みで、A(改善)が実施済みまたは計画をしている状態になっていることがポイントです。

対象 ISMS認証取得範囲における事業所もしくは部署のすべて
所要時間
  • 部署数、従業員数、拠点数により変動
  • 1部署あたり約2時間
審査内容
  • ISMSが規格(ISO/IEC 27001)に則して構築・運用されているか
  • 現状の運用で情報セキュリティ上のリスクはないか
  • 従業員がルールを守って業務を行なっているか
準備すべきもの 情報セキュリティ運用のために必要になる記録類
  • ライセンス管理台帳
  • 機器管理台帳
  • サーバルーム入退室記録 etc…
出席すべき人物
  • 情報セキュリティ管理者/事務局
  • 各部署の責任者(各部署単位での業務ヒアリング時のみ)

審査機関によっては、第一段階審査でBCP試験結果やマネジメントレビュー結果を見ることもありますが、審査機関に連絡をとれば、それらを第二段階審査に変更することも可能です。

当日の流れ

1 オープニング
  • 審査ポリシーの説明
  • 審査基準の説明
  • 審査方法の説明
2 運用状況の確認(第一段階審査で確認できなかった項目を確認)
確認内容の例
  • 現場内部監査実施結果
  • マネジメントレビュー結果
  • BCP試験の実施結果 etc…
3 現場での実施状況の確認(各部署単位で現場の状況を確認)
確認内容の例
  • 現場にISMSが浸透しているか?
  • 実際にどのように業務を行なっているのか?どのように情報を扱っているのか?
  • 実際に働いている場所の状態 etc…
4 クロージング
  • 審査員による審査総評

審査で不合格になることってあるの?

きちんと取り組んでいれば、審査で不合格になることは基本的にはありません。
ただ、下記のような状態で審査に挑むと、審査が打ち切りとなり不合格となる可能性もあります。

  • 規格(ISO/IEC 27001)が要求する情報セキュリティマネジメントシステム(ISMS)の構築・運用ができていない
    • 情報セキュリティ目的を決めていない
    • 内部監査を行なっていない
    • 必要な文書が存在しない etc…
  • 審査妨害や、審査に非協力的な態度をとる
  • 大きなセキュリティインシデントが発生する

ISMSの審査では「規格の要求事項に則してISMSが構築・運用できているか」という観点が審査の対象になりますので、会社の売上や通常の業務内容が審査に影響することはありません。

審査終了後の流れ

審査の結果、構築したISMSが「規格上で実施が必須とされていることが実施できていない」「ルールを守れて運用できていない」と判断された場合、不適合という形で対応を求められる場合があります。不適合には「軽微な不適合」と「重大な不適合」があり、それぞれ対応方法が違います。

※不適合への対応方法は、審査機関によって異なる場合があります。下記は一例です。

軽微な不適合

不適合に対応するための計画書を作成して審査機関に提出し、1年後に行われる維持審査までに是正処置すれば問題ありません。

是正処置対応の流れ ※「軽微な不適合」の場合
①受審組織:不適合に対する是正処置計画書を作成し、審査機関へ提出
②審査機関:是正処置計画書を確認→審査議会にて最終判定

重大な不適合

指摘事項に対して是正処置を行い、行なった是正処置が十分効果的であるかどうかを確かめるための再審査を受ける必要があります。指摘事項文書の発行日から3ヶ月以内に対応しなければ不認定となるので、早急の対応が必要です。

是正処置対応の流れ ※「軽微な不適合」の場合
①受審組織:不適合に対応した結果をまとめた是正処置報告書を作成、審査機関に提出
②審査機関:是正処置報告書を確認し、必要に応じて再審査を実施して、行った是正処置が十分であることを確認→審査議会にて最終判定

最終判定を通過すると審査機関から認証書が発行されます。認証書が届くと晴れてISMS・ISO/IEC 27001の認証取得です。

なお、審査終了後、すぐに認証書が発行されるわけではありません。審査機関が定めた審査議会によって判定され、登録証や認証マークが手元に届くまで約1ヶ月ほどかかります。

上記が、一般的な審査対応の流れとなります。
とはいえ、上述のとおり審査機関によって、またそのときどきの状況によって変化することもありますので、不安な場合は審査機関への問い合わせや、コンサルタントなどの専門家への相談をおこなってください。

ISMS/ISO27001新規取得に関する無料相談・お見積り

ISMS取得できるのか?いつまでに取れそうか?どれくらいの費用がかかるのか?
取得される企業様の状況によって変わりますので、まずはお気軽にご相談ください。

ISMS/ISO27001認証取得コンサルティングへのお問合せはTEL:03-5719-6234 / 受付時間 10:00~18:00(平日)

メールフォーム (24時間受付)

ISMS/ISO27001認証取得コンサルティングへのお問い合わせフォームはこちら

ページの先頭へ戻る