ISMSの初回審査って何をするの?
hirayama
2017年12月26日
カテゴリ:審査

ISMS認証を取得・維持し続けるためにはISMS認証機関による審査を受ける必要があり、審査の種類は大きく分けて5つあります。

  1. 予備審査
  2. 1次審査
  3. 2次審査
  4. 継続審査
  5. 再認証審査

その中で、ISMS認証を新規取得するために関わってくる審査は1~3が該当し、まとめて初回審査と言われています。

本記事ではISMS審査を初めて受ける方が、審査ではどういったことをされるのか、どういった準備をしておかなければいけないのかと言った不安を取り除くための解説をしていきたいと思います。

予備審査

予備審査は正式な審査ではなく、認証機関が1次審査の実施前に、「1次審査を実施できる状態なのか」を確認をするための「事前調査」のようなものです。

正式な審査ではないため、認証機関によって実施の有無はまちまちですし、受審側は実施を拒否することも可能です。

というのも、1次審査を実施できるか否かは「規格本文の要求事項の内容を含めたISMS運用に関する文書」が作成されているか否かで判断されます。

コンサルタントを導入している組織などはもちろんのこと、大抵の組織では、1次審査の時点で文書が存在していないという可能性はほぼゼロに等しいため、1次審査を実施できない事態に陥ることがそもそも少なく、予備審査を認証機関から申し入れられることはほとんどありません。

また、認証機関によっては予備審査を実施するために別途費用を請求してくる場合もあります。

1次審査

1次審査はISMS認証を取得する企業が初めて受ける正式な審査です。

1次審査の目的は、今まで構築してきたISMSの運用ルールが規格要求事項を満たしているかを確認するためのものです。

したがって、組織で作成したISMSの運用ルールをまとめた文書を審査員の方がチェックします。

文書の中で、「●●は台帳で管理する」というようにルールを定めていれば、作成した台帳のチェックも実施します。

ここでは文書をチェックすることから、内部監査において文書監査(事務局監査)をしっかりおこない、対策することをオススメします。

また、審査時にはサイトツアーという形でオフィス、部屋、施設などの物理的エリアやネットワークの分離状況を、審査員が現場に入って確認することがあります。

「クリアデスクを実施する」や「ホワイトボードに記載された情報は放置しない」といったルールを文書の中に記載していた場合、ルールに則って対応をおこなっていないと、サイトツアーの際に審査員の目に留まって注意を受けることがありますので、対応を徹底しましょう。

1次審査までに主にすること

  • 情報セキュリティ目標の設定
  • 情報セキュリティリスクアセスメント
  • ISMS運用に関する文書の作成
  • 力量評価(教育)の実施
  • 内部監査(事務局)

2次審査

2次審査では1次審査でチェックしたISMSの運用ルールが実際に現場で実施されているかをチェックします。

2次審査は、1次審査の実施日から一ヶ月後くらいにおこなわれることが多いです。

トップインタビューでは、マネジメントレビューで求められていることを尋ねられるほか、認証の範囲を決定した理由も聞かれることがあるため、あらかじめトップインタビューを受ける方は確認しておくと良いでしょう。

現場チェックは、審査員の方によってチェックの仕方が異なります。

とある審査員の方の場合、たまたま居合わせた社員に文書内容に則った業務を行っているかやパスワードの管理が出来ているかなどをチェックすることがあります。

社員の方には、あらかじめルールをしっかりと認識してもらえるようにコミュニケーションや連絡をすることが重要です。

また、1次審査の段階で「2次審査ではどのように審査をしますか」と審査員の方に雑談混じりで質問することも1つ有効な手段なので試してみてはいかがでしょうか。

2次審査までに主にすること

  • BCPリスクアセスメント
  • BCP実地試験
  • ISMS有効性のチェック
  • 内部監査(現場)
  • マネジメントレビュー

補足

まれに、審査員の方が作成した審査計画書には、1次審査の段階でトップインタビューを実施するというようにスケジュールを組まれていることがあります。

しかし、1次審査を実施する段階においては、内部監査の結果やISMSの有効性結果などを報告する必要があるマネジメントレビューは未実施であるという組織が大半なのではないでしょうか。

トップインタビューは、原則マネジメントレビューが終わってから受けるべきものです。

そのため、マネジメントレビューがまだ終わっていない場合には、無理に1次審査でトップインタビューを実施せず、認証機関、もしくは審査員の方に「トップインタビューを2次審査へ延ばしてください」とお願いすれば、審査スケジュールを組み直してもらえますので、遠慮なくお願いしましょう。

初回審査が終了してからがISMS運用の始まり

初回審査が終了した後、問題がなければ認証機関に認証され、ISMS認証登録証が一ヶ月後くらいを目安に届きます。

ここで重要なことは、認証取得をゴールとしないことです。

認証取得に向けて作成してきた文書の内容やルールが現場に反映されているか、出てきたリスク対応を計画的に実施しているか、といったことを定期的に確認し、組織の情報セキュリティが向上していくような運用を認証取得後から実施していきましょう。

訪問回数制限なしでサポートします。ISMS/ISO27001の認証取得をお考えの方はこちら訪問回数制限なしでサポートします。ISMS/ISO27001の認証取得をお考えの方はこちら 情報セキュリティに関する最新情報を随時配信中。最新トピックやよくある事故事例など、役立つ情報が満載です。
カテゴリー: 審査

ISMSの初回審査って何をするの?

ISMS認証を取得・維持し続けるためにはISMS認証機関による審査を受ける必要があり、審査の種類は大きく分けて5つあります。

  1. 予備審査
  2. 1次審査
  3. 2次審査
  4. 継続審査
  5. 再認証審査

その中で、ISMS認証を新規取得するために関わってくる審査は1~3が該当し、まとめて初回審査と言われています。

本記事ではISMS審査を初めて受ける方が、審査ではどういったことをされるのか、どういった準備をしておかなければいけないのかと言った不安を取り除くための解説をしていきたいと思います。

予備審査

予備審査は正式な審査ではなく、認証機関が1次審査の実施前に、「1次審査を実施できる状態なのか」を確認をするための「事前調査」のようなものです。

正式な審査ではないため、認証機関によって実施の有無はまちまちですし、受審側は実施を拒否することも可能です。

というのも、1次審査を実施できるか否かは「規格本文の要求事項の内容を含めたISMS運用に関する文書」が作成されているか否かで判断されます。

コンサルタントを導入している組織などはもちろんのこと、大抵の組織では、1次審査の時点で文書が存在していないという可能性はほぼゼロに等しいため、1次審査を実施できない事態に陥ることがそもそも少なく、予備審査を認証機関から申し入れられることはほとんどありません。

また、認証機関によっては予備審査を実施するために別途費用を請求してくる場合もあります。

1次審査

1次審査はISMS認証を取得する企業が初めて受ける正式な審査です。

1次審査の目的は、今まで構築してきたISMSの運用ルールが規格要求事項を満たしているかを確認するためのものです。

したがって、組織で作成したISMSの運用ルールをまとめた文書を審査員の方がチェックします。

文書の中で、「●●は台帳で管理する」というようにルールを定めていれば、作成した台帳のチェックも実施します。

ここでは文書をチェックすることから、内部監査において文書監査(事務局監査)をしっかりおこない、対策することをオススメします。

また、審査時にはサイトツアーという形でオフィス、部屋、施設などの物理的エリアやネットワークの分離状況を、審査員が現場に入って確認することがあります。

「クリアデスクを実施する」や「ホワイトボードに記載された情報は放置しない」といったルールを文書の中に記載していた場合、ルールに則って対応をおこなっていないと、サイトツアーの際に審査員の目に留まって注意を受けることがありますので、対応を徹底しましょう。

1次審査までに主にすること

  • 情報セキュリティ目標の設定
  • 情報セキュリティリスクアセスメント
  • ISMS運用に関する文書の作成
  • 力量評価(教育)の実施
  • 内部監査(事務局)

2次審査

2次審査では1次審査でチェックしたISMSの運用ルールが実際に現場で実施されているかをチェックします。

2次審査は、1次審査の実施日から一ヶ月後くらいにおこなわれることが多いです。

トップインタビューでは、マネジメントレビューで求められていることを尋ねられるほか、認証の範囲を決定した理由も聞かれることがあるため、あらかじめトップインタビューを受ける方は確認しておくと良いでしょう。

現場チェックは、審査員の方によってチェックの仕方が異なります。

とある審査員の方の場合、たまたま居合わせた社員に文書内容に則った業務を行っているかやパスワードの管理が出来ているかなどをチェックすることがあります。

社員の方には、あらかじめルールをしっかりと認識してもらえるようにコミュニケーションや連絡をすることが重要です。

また、1次審査の段階で「2次審査ではどのように審査をしますか」と審査員の方に雑談混じりで質問することも1つ有効な手段なので試してみてはいかがでしょうか。

2次審査までに主にすること

  • BCPリスクアセスメント
  • BCP実地試験
  • ISMS有効性のチェック
  • 内部監査(現場)
  • マネジメントレビュー

補足

まれに、審査員の方が作成した審査計画書には、1次審査の段階でトップインタビューを実施するというようにスケジュールを組まれていることがあります。

しかし、1次審査を実施する段階においては、内部監査の結果やISMSの有効性結果などを報告する必要があるマネジメントレビューは未実施であるという組織が大半なのではないでしょうか。

トップインタビューは、原則マネジメントレビューが終わってから受けるべきものです。

そのため、マネジメントレビューがまだ終わっていない場合には、無理に1次審査でトップインタビューを実施せず、認証機関、もしくは審査員の方に「トップインタビューを2次審査へ延ばしてください」とお願いすれば、審査スケジュールを組み直してもらえますので、遠慮なくお願いしましょう。

初回審査が終了してからがISMS運用の始まり

初回審査が終了した後、問題がなければ認証機関に認証され、ISMS認証登録証が一ヶ月後くらいを目安に届きます。

ここで重要なことは、認証取得をゴールとしないことです。

認証取得に向けて作成してきた文書の内容やルールが現場に反映されているか、出てきたリスク対応を計画的に実施しているか、といったことを定期的に確認し、組織の情報セキュリティが向上していくような運用を認証取得後から実施していきましょう。

Author: 平山 倫太郎
  • はてなブックマークに追加
  • ツイートする
  • facebookでシェアする
  • google+に追加
  • LINEでシェアする

訪問回数制限なしでサポートします。ISMS/ISO27001の認証取得をお考えの方はこちら

情報セキュリティに関する最新情報を随時配信中。メールマガジン登録(無料)