ISO NEXT
ISOコンサルタント/個人情報保護士/ISO9001審査員補/ISO14001審査員補
結石 一樹 KEISHI KAZUKI
ISMSの審査前には、運用記録の確認やトップインタビューの準備等が必要です。準備不足だと、審査に落ちる可能性もあります。しっかりとスケジュールをたてて、ISMS審査前には十分な準備期間を確保しましょう。
INDEX
ISMSの審査を受ける前には、準備が必要です。
審査前に準備することは主に以下の9つです。
審査の1ヶ月前から準備を始めることで、審査に向けた準備期間を十分に確保することができます。
審査日程が確定したら、関係者全員のスケジュールを調整し、審査に参加できるようにします。
また、関係者が審査に参加できない場合は、代理人を立てるなどの対応が必要になります。
前回の審査で指摘された点や改善が必要だった点について、具体的な改善策を立て、それを実行した結果
を明確にしておきます。
経営者自身がISMSの重要性を理解し、それを社内に浸透させるための具体的な取り組みについて説明でき
るようにしておきます。
審査の進行をスムーズにするために重要です。
ISMSの方針や目標、リスク評価結果、内部監査報告書など、審査に必要な文書類を整理し、審査員が容易
に閲覧できるようにしておきます。
ISMSが適切に運用されていることを証明するために必要です。
具体的には、リスク評価の記録、情報セキュリティ教育の記録、インシデント対応の記録などが該当しま
す。
組織が自己監査を適切に行っていることを証明するために必要です。
内部監査報告書や、監査結果の改善活動の記録などを整理し、審査員が容易に確認できるようにしておき ます。
経営層がISMSの運用状況を適切に把握し、必要な改善活動を行っていることを証明するために必要です。
マネジメントレビューの議事録や、その結果に基づく改善活動の記録などを確認できるようにしておきま
す。
審査の進行をスムーズにするために重要です。
漏れがあった場合には、審査前にそれを補完することで、審査結果に悪影響を及ぼすことを防ぐことができます。
ISMS認証を取得した後には、維持審査と更新審査の2つの定期審査があります。
維持審査は、認証取得後の1年目と2年目に行われ、ISMSが適切に運用されているかを確認するための審査です。
具体的には、情報セキュリティマネジメントシステム(ISMS)の運用状況や、情報セキュリティポリシーの遵守状況、リスクアセスメントの実施状況などを審査します。
また、前回の審査からの改善点や課題に 対する対応状況も確認します。
更新審査は、認証取得から3年目に行われます。内容は、初回審査と同等の審査です。
この審査では、組織全体の情報セキュリティマネジメントシステム(ISMS)の運用状況を詳細に審査します。
また、組織の情報セキュリティポリシーが適切に運用されているか、リスクアセスメントが適切に行われているか、前回の審査からの改善点や課題に対する対応状況なども確認します。
ISMSの審査に必要な書類は、規定類・記録類・帳票類に分類できます。
情報セキュリティ基本方針、リスクアセスメント規程、リスク対策規程などがあります。
これらの規程は、組織が情報セキュリティをどのように管理し、リスクをどのように評価・対策するかを明確に定めたもので、ISMSの基盤となる重要な文書です。
リスクアセスメント結果記録、内部監査報告書、マネジメントレビュー議事録などがあります。
これらの記録は、ISMSの運用状況を具体的に示すもので、審査時にはこれらの記録を基に組織の情報セ キュリティ管理の適切性が評価されます。
リスクアセスメント結果一覧表、内部監査計画表、教育訓練参加者リストなどがあります。
これらの帳票は、ISMSの運用状況を視覚的に把握するためのもので、規程や記録と合わせて情報セキュリティ管理の全体像を描き出します。
ISMSの審査は、以下のような流れで進められます。
審査目的や審査範囲、審査方法、審査スケジュールなどを確認します。
また、審査員と審査対象者の間で共通理解を持つための重要な時間でもあります。
審査員から審査の進行方法や審査結果の報告方法などについて説明があります。
経営者や経営層が情報セキュリティマネジメントシステム(ISMS)に対する理解度や関与度、組織全体の情報セキュリティに対する取り組みや意識などを確認します。
また、組織の情報セキュリティポリシーや 目標に対する理解度も確認します。
実際の業務現場での情報セキュリティ対策の運用状況を確認します。
具体的には、情報資産の管理状況やアクセス制御、物理的なセキュリティ対策などが適切に行われているかをチェックします。
管理責任者のヒアリングでは、情報セキュリティマネジメントシステム(ISMS)の運用状況や、情報セキュリティに関するリスク管理の取り組み状況などを確認します。また、組織全体の情報セキュリティに対する意識や理解度も確認します。
前回の審査で指摘された事項に対する改善状況を確認します。
具体的には、改善計画の進行状況や改善結果、再発防止策の実施状況などをチェックします。
各部署の情報セキュリティ対策の運用状況や、部署ごとの情報セキュリティに関する課題や改善点などを確認します。
また、部署ごとの情報セキュリティに対する意識や理解度も確認します。
審査結果の報告や評価、審査中に見つかった問題点や改善点の共有を行います。
また、次回の審査に向けた改善計画の策定や、審査の結果をもとにした情報セキュリティマネジメントシステム(ISMS)の改善提案などを行います。
ISMSの審査に落ちる可能性はあります。
ISMSの審査は、情報セキュリティマネジメントシステムが適切に運用されているかを確認するためのもので、その基準を満たしていない場合、審査に通過することはできません。
ISMSの審査で落ちる基準や理由は、いくつか考えられますが、
まず、情報セキュリティポリシーが明確に定められていない、またはそれが適切に運用されていない場合、審査に落ちる可能性があります。
また、リスクアセスメントやリスク処理計画が適切に行われていない場合も同様です。
さらに、情報セキュリティに関する教育や訓練が不十分であると判断された場合も、審査に落ちる可能性があります。
一日、一週間では、審査の準備は完了しません。
しっかりと次回審査までのスケジュールを立てて、審査直前で困らないように運用を行っていきましょう。
また、手順書やチェックリスト等を作成し、使用することで漏れを防ぐこともできます。
このナレッジの監修者
結石 一樹 KEISHI KAZUKI
株式会社スリーエーコンサルティング 執行役員。
ISO・ISMS・Pマークに関するコンサルティング歴10年、担当企業数380社以上。
大手企業や上場企業のサポート経験が豊富。
効率的で効果的な認証取得はもちろん、運用のマンネリ化や形骸化、ダブルスタンダード化などの問題解決に日々取り組んでいる。