ISO NEXT
ISOコンサルタント/個人情報保護士/ISO9001審査員補/ISO14001審査員補
結石 一樹 KEISHI KAZUKI
ISMSの更新は、単なる形式的な手続きではなく、組織の情報セキュリティレベルを維持・向上させるための機会です。
更新審査を受けるには、ISMSの運用に利用している規程や手順書、作成した記録などを提示できるよう準備が必要です。更新にかかる費用は組織の規模や業種によって異なります。
INDEX
更新審査は、ISO 27001認証の有効期限が切れる前に行われる審査です。この審査では、組織が引き続き規格の要件を満たしているかを確認し、認証の更新を行います。
ISMSの審査では、ISMS の有効性向上や問題点の改善が適切に行われているかといったPDCA サイクルに沿った ISMS 運用がなされているかどうかを確認します。
ISMS 認証の登録有効期限は3年間と定められているため、更新審査は通常3年ごとに実施されます。更新審査では有効期間の3年間を通してのPDCAを審査されるため、後述する維持審査よりも工数が大きくなり、審査時間も長くなります。
維持審査は、認証の有効期間中に定期的に行われる審査です。これにより、組織が継続的にISO 27001の要件を満たしていることを確認します。維持審査は通常、年に1回行われますが、審査機関によっては実施頻度を選択することも可能です。有効期間3年間のうち、有効期限が切れる前に行われる審査が更新審査であるため、それ以外の2回が維持審査です。
イメージとして下記表を参照ください。
(有効期限の月日が4月1日、審査実施月が毎年2月の場合を想定)
審査では、事前に審査員から審査計画書が送付されます。審査計画書通りに審査をスムーズに進めるため、事前の準備が必要です。
審査工数に応じて審査員は1名~複数名来られます。
審査員が複数名来られる場合、審査員が1名ずつ別の部門ヒアリングを同時進行で進められることもあります。そのため、審査計画書を基に会議室は何部屋必要か準備しておきましょう。
認証範囲が複数拠点ある場合(本社と●●支社など)は、別拠点でも審査があるため、協力を仰ぐようにしましょう。
審査は管理責任者(ISMS事務局)のみで進行するわけではありません。
トップマネジメント(代表者・部門認証の場合は認証部門の責任者)インタビューや、各部門のヒアリングがあります。どの時間帯でどの人たちの参加が必要なのか、事前に社内調整し、参加者のスケジュールを押さえておく必要があります。
スケジュールが難しい場合は、時間帯の変更が可能か審査員に相談されると良いです。
ISMSの運用に利用している規程や手順書、作成した記録などを審査員に提示できるよう準備しておきましょう。
審査書類はデータ上で画面に投影させる方法や、印刷してファイリングしておくなど、審査員から指定がなければ自分たちが受審しやすい方法を採用するとよいでしょう。
ISMSの審査を受けるためには、ISMS の運用記録が必要になります。基本的には、下記7つの記録が必要です。
・情報資産のリスクアセスメント記録
・目的・目標管理の記録
・リスク対応計画記録
・教育の記録
・事業継続計画の記録
・内部監査の記録
・マネジメントレビューの記録
これらの記録以外にもISMSの活動で利用している記録などがあれば準備しておきましょう。
維持審査は1年分の記録を提示する必要がありますが、更新審査を受けるためには3年分の記録を提示する必要があるため、注意が必要です。
更新審査終了後、審査員から指摘事項や改善事項の発表があります。
名称は審査機関によって異なりますが、不適合事項が発見された場合は定められた期日内に是正処置の報告書を作成し、審査員に提出後承認を得る必要があります。
是正処置の最中に有効期限を超過してしまった場合は、ISO27001の認証を抹消されてしまうため、すぐに対応する必要があります。
不適合ではなくても、改善事項があれば翌年の審査時に対応状況を確認されます。
ISMSの更新にかかる一般的な費用相場は、組織の規模や業種によりますが、数十万円から数百万円程度です。主に認証範囲の人数や、拠点数によって費用は変動します。維持審査と比べ審査工数が多いため、費用も相対的に高くなります。
審査機関によって同じ条件でも金額は異なるため、審査機関を選定する際には事前に見積りを取ったうえで選定すると良いです。
審査の開始時に、審査の目的やスケジュール、不適合などの判定基準を確認します。
経営層へのインタビューを通じて、組織のセキュリティ方針やリスク管理の取り組み、セキュリティにおける懸念点についてヒアリングがあります。
ISMSの管理責任者に対して、具体的な運用状況や改善活動についてヒアリングを行います。ここで必要な7つの記録が確認されます。
実際の業務現場を観察し、事務所の物理的なセキュリティ状況や、情報機器のセキュリティ対策などが適切に実施されているかを確認します。
各部署の担当者に対して、実際の業務内容をヒアリングしたうえで、セキュリティ管理の実施状況をヒアリングします。
審査結果を総括し、組織の強みや改善点を報告します。
審査の終了時に、審査結果の概要を共有し、今後の対応策について議論します。
ISO 27001の更新審査と維持審査は、組織が情報セキュリティのベストプラクティスを継続的に実践していることを確認する重要なプロセスです。適切な準備と記録管理を行うことで、審査をスムーズに進めることができます。
ISMSの更新は、組織のセキュリティ体制を強化し、信頼性を高めるための重要なステップです。
更新審査は維持審査と比べ、審査日数や費用、難易度も変わります。不適合となった場合には有効期限までに改善をしないと認証が抹消されてしまうため、しっかりと準備をしたうえで、余裕を持ったスケジュール感で受審するようにしましょう。
このナレッジの監修者
結石 一樹 KEISHI KAZUKI
株式会社スリーエーコンサルティング 執行役員。
ISO・ISMS・Pマークに関するコンサルティング歴10年、担当企業数380社以上。
大手企業や上場企業のサポート経験が豊富。
効率的で効果的な認証取得はもちろん、運用のマンネリ化や形骸化、ダブルスタンダード化などの問題解決に日々取り組んでいる。