ISMS(情報セキュリティマネジメントシステム)の規格、「ISO27001」の認証は、いったん取得してしまえばそれで終わりというわけではありません。その後も引き続き審査機関による定期的なチェックが入ります。
ここではISMSの認証取得後に受けなくてはならない2つの審査について説明しています。
また、ISMS認証取得企業のご担当者様必見。2022年ISO27001規格改訂の変更内容と取るべき対応をまとめた資料を無料で配布しています。ぜひご一読ください。
ISO27001の認証取得後にある定期審査
ISO27001の認証制度では、認証を取得した後も定期的な審査が義務づけられています。
ISO27001の定期審査は2つあり、1年ごとの「維持審査」と、3年の認証期限が切れる直前に行う「更新審査」があります。維持審査および更新審査の実施にあたり、その約6か月前に認証機関から通知が来ます。その後に具体的な日程を調整し、審査機関から審査計画書が送付されます。
維持審査
ISO27001の認証取得後、実施される審査を維持審査といいます。維持審査は年1回または半年に1度の頻度で実施されます。維持審査は「継続審査」「定期審査」と呼ばれることもあります。
維持審査は初回の認証審査のようにすべてを確認することはありません。認証時に定めたISMSの仕組みがちゃんと維持されているか、ISMS上、要となる活動だけを抜き出して部分的にチェックします。
維持審査で指摘事項があった場合、是正処置の実施が課せられます。なお、指摘事項の改善が確認できない限り、認証登録を維持することは認められません。
更新審査
ISO27001の規格認証の登録の有効期限は3年間です。認証登録の更新を希望するなら、3年ごとに更新審査にパスしなくてはなりません。更新審査は維持審査よりも細かくチェックが入り、数日かかるのが普通です。ISMSの運用管理がきちんと継続できているかの確認がメインになります。
維持審査と同様に、更新審査で指摘事項があった場合、是正処置の実施が義務づけられます。そもそも指摘事項とは認証に値しない事柄であり、これが取り除かれないと認証登録の期限の延長はできません。
この更新審査や、さらにその後の維持審査では、PDCAサイクルによるISMSの運用の視点が加味されます。たとえば、ISMSの有効性を高めるため、どのように運用改善や最適化が図られているかといった観点が加わります。
ISMSの更新審査の準備
更新審査にパスしなければ認証が取り上げになり、再取得にはまた審査申請からやり直さなくてはならなくなります。それを回避するため、更新審査前に最低限これだけは準備しておきたいことを紹介します。
3つポイントがあり、「記録書類」「審査前の作業」「審査後の対応」に関して見ていきます。
必須書類・記録の用意
ISMS(ISO27001認証)では、以下の7つの書類/運用記録の作成が必要とされます。このほか現場で運用している作業記録や、情報セキュリティに関する記録/書類があれば、あわせて確認しておきましょう。
- 活動目的と目標管理
- 内部監査の記録
- マネジメントレビュー
- 教育の記録
- リスクアセスメントに関する記録
- リスク対応の記録
- 不適合および是正処置に関する記録
上記の7つの書類は過去3年分を用意しなくてはなりません。各文書に関する注意点は次のとおりです。
ISMSに沿った諸活動の目的と目標管理、内部監査は実施頻度が高く、記録文書が散逸しやすいです。そのため普段からの整理がものをいいます。また組織のISMSを統括・管理する事務局の活動記録(会議録、実務対応記録)もまとめておきましょう。実施頻度の低いマネジメントレビューや研修・教育の記録はしっかり保管していれば問題ないはずです。
後半のリスクや審査の指摘に関する記録は、インシデント対応や指摘の内容、再発防止策の内容、対応した内容をすぐに閲覧・参照できるように整理しておきます。
そのほか更新審査前後で必要な対応
そのほか、更新審査の前後で必要な対応に下記の4つがあげられます。
- 審査前の作業
-
- 内部監査
- マネジメントレビュー
- 審査後の対応
-
- 審査不適合の指摘対応
- 審査費用の支払い
更新審査には、よほどのことがない限り落ちることはないでしょう。しかし、審査前からISMSのPDCAサイクルが未成立(内部監査やマネジメントレビューが未実施)の状態では、必ず指摘が入りますので審査の日までに完了しておきます。
まれなケースですが、更新審査で受けた指摘(不適合や是正処置)に対応しない、審査料金が払えない状態では認証が取り消されてしまいます。更新審査前に日程調整ができるので、関係者のスケジュールや資金面など、組織内でうまく連携を取り乗り切りましょう。
更新審査で指摘が出るのは残念なことだと思われるかもしれません。しかし、仮に不適合を指摘されても、セキュリティ体制を改善するきっかけだと前向きにとらえ、丁寧に対応していくのが大切です。
また、ISMS規格は2022年に改訂され、新規格となりました。LRMでは、新規格に際し、企業が取るべき対応を網羅的に学べるオンデマンド講座をご提供しています。まずは無料のサンプル動画をご覧ください。
ISMSの維持審査/更新審査の流れ
最後に、ISMSの維持審査や更新審査はどのような流れで実施されるのか、その一例を紹介します。
維持審査や更新審査におけるチェックはその粒度は違っても、いずれも以下の7つの手順に沿って実施されます。
- オープニングミーティング
- トップインタビュー
- ISMS管理責任者にヒアリング
- 現場視察と責任者へのヒアリング
- 個別ヒアリング
- 審査の総括
- クロージングミーティング
次項以降で、それぞれの内容を簡単に説明します。
1. オープニングミーティング
審査機関の担当者をお迎えし、双方とも簡単に挨拶をします。口頭審査をスムーズに進めるため、この時点で出席者のリスト、もしくは役職者の名刺を渡すとよいでしょう。
2. トップインタビュー
審査員から組織の代表者に主にISMSの運用面について尋ねられます。
- 質問の例
-
- 運営事業全体の概況
- ISO27001の認証取得後の変化
- インシデントの発生状況
- 今後のISMSの運営予定
- ISMS適用中の業務の状況
このほかにも、ISMSの運用に関係する事柄について聞かれることがあります。
3. ISMS管理責任者にヒアリング
審査員が組織のISMS管理責任者に先回の審査からの運用状況を問いただし、必要があれば指摘があります。確認は口頭のほか、各種の文書や運用記録のチェックによりなされます。
なお、先回審査時に伝達された「観察事項」についてのヒアリングもあります。審査における指摘には2種類あり、すぐに是正が必要な「不適合」と、認証取得・維持に問題のない軽微な指摘である「観察事項」があります。観察事項の対応は必須ではなく、組織の代表者の判断により保留することもできます。
4. 現場視察と責任者へのヒアリング
管理層との面談チェックが終了したら、実務上ISMSが適正に機能しているか、審査員が現場に行ってチェックします。普段どおりに業務が行われるなかで、部門のISMS責任者がヒアリングを受けます。更新審査では規格の要求事項のすべての面について精査されます。
5. 個別ヒアリング
審査員はISMSの適用部門や業務部署に立ち入り、現場の従業員に直接ヒアリングすることがあります。
6. 審査の総括
審査が一通り完了すると、審査に対応した関係者を集め、審査員から簡単に講評される場合があります。不適合の指摘があれば是正策の立案・実施が必要です。観察事項については対応の要否を慎重に判断しましょう。
7. クロージングミーティング
担当の審査員が退去します。
ISO27001の規格が志向しているのは、認証取得には問題なくても現状に最善/最適化されたISMSの運用です。今後どのように運用を変えていけば、より良い体制となるか、審査員からアドバイスされることもあるでしょう。
まとめ
情報セキュリティ体制の対外的な証明になるISO27001は、認証取得後も毎年審査を受け続けなくてはなりません。ISO27001認証の取得を検討中であれば、取得後の定期業務と化す受審のため、社内リソースの準備やスケジュール組み込みなどの用意が必要です。
また、ISMS認証取得をお考えの皆様に向けて、こちらの資料では、ISMS認証取得の始めの検討段階から審査当日までの一連の流れを23項目のチェックリストにいたしました。認証取得までの流れを抜け漏れなく把握していただくために、ぜひまずは無料でダウンロードしてお確かめください。
