月刊情報セキュリティ

ISO27001/ISMS/BS7799、プライバシーマーク、セキュリティ監査、セキュリティポリシー
当サイトは民間企業や自治体における情報セキュリティマネジメントシステム構築を支援する
総合サイトです。
HOME 会社概要お問い合わせ
基本構想策定
基本方針の策定
リスクアセスメントとは
リスクアセスメントの流れ
資産の評価、脅威と脆弱性の評価
リスク値の算出
詳細管理策の選択
対応計画
ISMS文書の策定
対応策の導入
ISMS導入後のプロジェクトの進め方・前編
ISMS導入後のプロジェクトの進め方・後編
ISMS内部監査と
マネジメントレビューの実施
審査の実状

ISMS構築の成功ポイント

審査の実状

ISMSが構築できたら、認証取得のための第三者認証審査を受審します。審査の体系や工数、費用などは審査機関によって異なりますので、実際に審査申し込みされる場合には、各審査機関に確認してください。JIPDECホームページにISMS適合性評価制度の審査機関一覧表があります。

ISMSの審査方法や呼び方、実施回数は審査機関によって異なります。
多くの審査機関は、3段階で進めます。
予備審査(オプション)→ 文書審査(ファーストステージ)→ 現場審査(セカンドステージ)

4段階で進める審査機関は、下記のようになります。
予備審査(オプション)→ 書類審査 → 初動審査 → 本審査

今回は3段階の審査方法の解説します。

  予備審査(オプション)

予備審査は認証取得準備としてのオプションであり、必須ではありませんが、ISO9001(QMS)やISO14001(EMS)などの認証審査を受けた経験のない場合は受けておいたほうがよいでしょう。「審査はこういうものか」というものが事前にわかっていると、万が一の審査結果に備えて、対策を立てられる準備時間ができます。

予備審査の審査員の着眼ポイントは、「致命的な問題」を確認することです。そのために要求事項で要求されている4章から7章のことをメインに確認します。要求事項4.2.1で要求されている下記の内容はしっかりとした準備をしておくことをおすすめします。

 ・情報セキュリティ基本方針の文書化
 ・適用範囲の明文化
 ・リスクアセスメント実施と結果のまとめ
 ・残留リスクの経営者による承認
 ・適用宣言書の作成
 ・教育手順の作成
 ・文書管理手順の作成
 ・記録管理手順の作成
 ・ISMS内部監査手順の作成
 ・是正処置手順の作成
 ・予防処置手順の作成
 ・マネジメントレビュー実施手順の作成

ポイントとして適用宣言書は、主に適用除外項目に注目し、除外することの妥当性を評価します。そのため、適用除外項目の一覧表を作成するとスムーズに進むでしょう。

  文書審査(ファーストステージ)

文書審査は規定文書がISMSの規格どおりに構築されているかどうかを審査します。多くの場合は、既存の規定文書を元に、経営者および情報セキュリティ管理責任者のトップインタビューを行います。トップインタビューでは、経営者の求めているセキュリティの方向性や目標を確認します。つまり、組織としての受容レベルを確認し、「リスクアセスメントに正しく反映されているか」を確認するのです。

トップインタビューの後は、主に事務局が中心となって対応することが多くなります。予備審査の内容と重複しますが、要求事項で要求されていることをメインに確認します。ただし、予備審査と比較すると、リスクアセスメントの内容を時間をかけて詳細にチェックします。

リスクアセスメントと同様に、適用宣言書も詳細に内容を確認します。審査機関によっては、リスクアセスメントとの紐付けを詳細にチェックします。これらの作成した文書類の整合性を取るように注意を払ってください。

文書審査から現場審査の間は6週間しか空けてはいけません。内部監査やマネジメントレビューという必須のイベントが終了していない場合は、必ず現場審査までには終了するようにしてください。また、文書審査では、ネガティブな事象が発見されると審査員から不適合が出されるケースもあります。不適合には2種類あり、重大な不適合(メジャー不適合)と軽微な不適合(マイナー不適合)があります。重大な不適合(メジャー不適合)の場合は、その時点で審査が終了してしまいます。

  現場審査(セカンドステージ)

規定文書の適合性評価で問題がないことが確認できたら、規定文書の運用状況の評価を行う最終審査が始まります。一部門あたりの審査時間は、約2時間です。ただし、付属書Aの管理策に該当する項目の多い、システム管理部門は3時間以上かかる傾向があります。

審査では、各部門の代表者によるヒアリングがあり、最後に現場で規則などの遵守状況の確認と、記録の確認を行います。ISMSの要求事項が欠落したり、まったく運用されている証拠が見られない場合は重大な不適合(メジャー不適合)が提示されてしまいます。それにくらべて軽微な不適合(マイナー不適合)の場合は提示されても、審査は終了しません。例えば、一部の従業員が遵守していないなどの単純なミスの場合ですが、これらは数が多くても審査終了にはなりません。ただし、各部門で出された軽微な不適合をつなげると、重大な不適合に格上げされるケースもありますので注意が必要です。

もうひとつ、不適合ではありませんが、観察事項(オブザベーション)という改善提案があります。是正処置は必須ではありませんが、審査員の視点から見ると、「不適合ではないが、改善の余地が見られる」場合に提示されます。後日、組織内で採用するか否かを検討してください。

不適合が提示された場合は、是正処置計画書を提示し、内容が審査員に認められれば、認証推薦になります。約3週間から6週間で認証が降りるケースが多いようです。

ここで重要なことは、審査員の指摘が不適合か観察事項かをよく確認することです。不適合を提示された場合は、是正処置、つまり再発防止を検討しなければなりません。ISMS規格で要求されていないことを不適合として判断されることもあります。不適合が提示された場合は、不適合の理由をきちんと確認して、審査結果を受け入れる慎重さも必要です。
 
| サイトポリシー | リンクポリシー | プライバシーポリシー | サイトマップ Copyright JMC Co.,Ltd. All rights reserved.