ISMSの審査には、初回の認証取得の審査のほか、種々の審査があります。
ここでは主に、定期審査の「維持審査」「更新審査」の違いと、ISO27001認証の「アドオン認証」の審査について説明します。末尾に定期審査当日の流れも掲載していますので、ぜひ参考になさってください。
訪問回数無制限! ご支援実績2,300社以上!
更新審査と維持審査の違いを知る
ISO27001の認証取得後も、定期審査(更新審査と維持審査)を受ける必要があります。
これらの審査の主な違いと特徴は以下のとおりです。
更新審査 | 維持審査 | |
---|---|---|
頻度 | 3年に1度 | 1年または半年に1度 |
主な目的 | 登録更新に問題ないか | 運用面で問題ないか |
確認範囲 | ISMS適用の全範囲 | ISMS運用のかなめの部分 |
指摘事項 | 有 | 有 |
更新審査と維持審査の違いは、審査目的と精査の程度にあります。更新審査では「認証登録の更新の可否」、維持審査では「ISMS運用面の適否」が見られています。
更新審査は初回の登録審査とほぼ同様に行われます。すべての認証範囲を対象とし、引き続き運用管理で重要な点をきちんと実施できているかの確認がメインになります。反面、維持審査はすべてを細かく見たりせず、ISMS運用の要となる部分を中心にチェックされます。
定期審査のうち更新審査が特別に厳しいイメージを持たれているのは、前回更新時と比べて運用レベルに変わりはないか、3年間を通して問題がなかったか見直しが行われるからです。
更新審査でも維持審査でも指摘事項が出されることがあります。更新審査時は是正処置を実行しないと認証登録の更新ができません。維持審査の場合は、次回の審査時に是正されているか確認されます。
更新審査と維持審査のいずれも、ISO27001規定のISMSの趣旨に則り、PDCAサイクルによる運用を期待した審査が行われます。たとえば、ISMS運用で生じた問題点の是正や、事業環境の変化にISMSを適合させること、これらが継続的にできているかチェックされます。
アドオン認証とは
アドオン認証とは、特定の認証を取得するとオプションで追加取得できる認証のことを指します。
ISMSの規格である「ISO27001」にはアドオン認証があります。ISO27001認証を取得し、さらにクラウドサービスに関する規格「ISO27017」「ISO27018」の認証取得を希望する場合、アドオン認証の審査にパスしなくてはなりません。
基本的に、アドオン認証審査は更新審査や維持審査と同時に実施しないのが普通です。とはいえ、更新審査や維持審査のタイミングに合わせた受審は可能ではあります。
ISMSの更新審査の準備
更新審査にパスしなければ認証が取り上げになり、再取得にはまた審査申請からやり直さなくてはならなくなります。それを回避するため、更新審査前に最低限これだけは準備しておきたいことを紹介します。3つポイントがあり、「記録書類」「審査前の作業」「審査後の対応」に関して見ていきます。
必須書類・記録の用意
ISMS(ISO27001認証)では、以下の7つの書類/運用記録の作成が必要とされます。このほか現場で運用している作業記録や、情報セキュリティに関する記録/書類があれば、あわせて確認しておきましょう。
- 活動目的と目標管理
- 内部監査の記録
- マネジメントレビュー
- 教育の記録
- リスクアセスメントに関する記録
- リスク対応の記録
- 不適合および是正処置に関する記録
上記の7つの書類は過去3年分を用意しなくてはなりません。各文書に関する注意点は次のとおりです。
ISMSに沿った諸活動の目的と目標管理、内部監査は実施頻度が高く、記録文書が散逸しやすいです。そのため普段からの整理がものをいいます。また組織のISMSを統括・管理する事務局の活動記録(会議録、実務対応記録)もまとめておきましょう。実施頻度の低いマネジメントレビューや研修・教育の記録はしっかり保管していれば問題ないはずです。
後半のリスクや審査の指摘に関する記録は、インシデント対応や指摘の内容、再発防止策の内容、対応した内容をすぐに閲覧・参照できるように整理しておきます。
そのほか更新審査前後で必要な対応
そのほか、更新審査の前後で必要な対応に下記の4つがあげられます。
- 審査前の作業
-
- 内部監査
- マネジメントレビュー
- 審査後の対応
-
- 審査不適合の指摘対応
- 審査費用の支払い
更新審査には、よほどのことがない限り落ちることはないでしょう。しかし、審査前からISMSのPDCAサイクルが未成立(内部監査やマネジメントレビューが未実施)の状態では、必ず指摘が入りますので審査の日までに完了しておきます。
まれなケースですが、更新審査で受けた指摘(不適合や是正処置)に対応しない、審査料金が払えない状態では認証が取り消されてしまいます。更新審査前に日程調整ができるので、関係者のスケジュールや資金面など、組織内でうまく連携を取り乗り切りましょう。
更新審査で指摘が出るのは残念なことだと思われるかもしれません。しかし、仮に不適合を指摘されても、セキュリティ体制を改善するきっかけだと前向きにとらえ、丁寧に対応していくのが大切です。
ISMSの維持審査/更新審査の流れ
最後に、ISMSの維持審査や更新審査はどのような流れになるのか、その一例を紹介します。
維持審査や更新審査はチェックの粒度は変わりますが、いずれも同様に以下の7つの手順に沿って実施されます。
- オープニングミーティング
- トップインタビュー
- 管理責任者に対するヒアリング
- 現場視察
- 部署ごとのヒアリング
- 更新審査の総括
- クロージングミーティング
それぞれの内容を簡単に説明します。
1. オープニングミーティング
審査機関の担当者をお迎えし、双方にて簡単に挨拶をします。口頭審査をスムーズに進めるため、この時点で出席者のリスト、もしくは役職者の名刺を渡すとよいでしょう。
2. トップインタビュー
審査員から組織の代表者に主にISMSの運用面について尋ねられます。
- 質問の例
-
- 運営事業の概況
- ISO 27001の認証取得後の変化
- インシデントの発生状況
- 今後のISMSの運営予定
- ISMS適用範囲の業務の状況
このほかにも、ISMSの運用に関係する事項について聞かれることがあります。
3. ISMS管理責任者にヒアリング
審査員が組織のISMS管理責任者に先回審査後からの運用状況を問いただし、必要があれば指摘があります。確認は口頭のほか、各種の文書類や運用記録によりなされます。
なお、先回審査時に伝達された「観察事項」についてのヒアリングもあります。審査における指摘には2種類あり、すぐに是正が必要な「不適合」と、認証取得・維持に問題のない軽微な指摘である「観察事項」があります。観察事項の対応は必須ではなく、組織の代表者の判断により保留することもできます。
4. 現場視察と責任者へのヒアリング
管理層の面談チェックが終了したら、実務上ISMSが適正に機能しているか、審査員が現場に行ってチェックします。社内で普段どおりに業務が行われるなかで、部門のISMS責任者がヒアリングを受けます。更新審査では規格の要求事項のすべての面について精査されます。
5. 個別ヒアリング
審査員はISMSの適用部門や業務部署に立ち入り、現場の従業員に直接ヒアリングすることがあります。
6. 審査の総括
審査が一通り完了すると、審査に対応した関係者を集め、審査員から簡単な講評がある場合があります。不適合の指摘があれば是正策の立案・実施が必要です。観察事項については対応の要否を慎重に判断しましょう。
7. クロージングミーティング
担当の審査員が退去します。
ISO 27001の規格が志向するのは、認証取得に問題なくても現状に最適化されたISMSの運用です。今後どのように運用を変えていけば、より良い体制となるか、審査員からアドバイスされることもあるでしょう。
まとめ
定期審査であれ、アドオン認証の審査であれ、たゆまず実践しているISMSの客観的な評価や、見直しの貴重な機会が得られます。審査対応のリソースのやり繰りだけに気を取られるのではなく、前向きに審査にのぞむと有意義な知見が得られるでしょう。
弊社LRMでは、ISMS認証取得/運用支援サービスを行っております。会社のスタイルに合わせ、自社で「運用できる」認証をこれまでに2,300社以上ご支援してまいりました。ISMS認証取得にご興味のある方、運用でお困りごとのある方は、まずはお気軽に無料でご相談ください。