ISMS審査の基礎知識のうち、初回審査の流れを記載します。
全体スケジュール
ISMS構築取り組み開始から最短4ヶ月で認証取得は可能ですが、 見積もり〜契約までのリードタイムも発生します。考慮の上で、全体の日程を計画しましょう。
- 見積もり〜契約:1ヶ月
- 一次審査〜2次審査完了前:1ヶ月
- 審査終了後の是正報告〜認証取得:1ヶ月
審査計画書
一次審査、二次審査前に、審査機関から受領できます。 タイムスケジュールも記載されますので、当日の段取りは審査計画書にて確認しましょう。
- 審査対象:組織名称、適用範囲、対象規格
- 審査内容:審査目的、審査種別、審査工数
- 審査日程:開始日時、終了日時、詳細スケジュール
- 審査チーム:リーダー、メンバー、オブザーバー
- 受審側担当者:ISMS責任者
所要時間は審査機関や適用範囲によって異なりますが、大体1日〜2日です(一次審査、二次審査ともに)。
一次審査
文書審査または予備審査とも呼ばれ、二次審査で認証を取得するための事前審査の意味合いです。 SecureNaviのISMS構築ガイドとしては、項番22までが対象となります。 審査機関によって多少準備事項が変わる場合があるので、詳細は審査計画書をご確認ください。 一般的な流れは以下になります。
受審側の参加者
- ①トップマネジメント
- SecureNaviの「役割」でトップマネジメントに指定されている人
- オープニング、トップインタビュー、クロージングへの同席を求められる(それ以外は同席はマストではない)
- ②ISMS構築の全体像を話せる人
- ISMS委員会、ISMS事務局、ISMS責任者などだが、SecureNaviの「役割」に指定されているかは問わない(語れれば誰でもOK)
- 極論としては、①②を同一人物で実施してもOK(監査観点では推奨はされないが、NGではない)
当日の流れ
- オープニング
- 両社担当者の自己紹介、審査計画書の認識合わせ、当日の流れの説明
- 審査結果の考え方と異議申し立てプロセスの説明
- サイトレビュー(サイトツアー)
- 総観的にオフィスレイアウトの確認
- 入口のセキュリティ(カード貸与、指紋認証、選別対象者、入退室管理方法)
- オフィススペース、監視カメラ、宅配便受け取り場所、鍵付きロッカー(中を見る場合もある)、消火器
- 通常業務の様子、PCをのぞき見できる場所か、書類置き場、ホワイトボード
- サーバ機器、WifiなどNW機器(ただしサーバルームは管理会社の許可が必要など、契約上見せられない場合はスルーでOK)
- 什器、OA機器(複合機、PC、シュレッダー)
- リモートの場合は写真を撮る可能性もある
- トップインタビュー
- 想定問答集「トップインタビュー」参照
- ISMS構築状況の概要確認
- 目標(設定状況と、測定結果があれば確認)
- 力量(教育の実施有無、今後の実施計画(「次は来年」でもOK))
- 情報セキュリティ方針の掲示場所
- リスクアセスメント状況(資産〜リスク〜リスク対策)
- 適用宣言書(適用 or 除外のそれぞれの理由)
- リスク対策内容
- 雇用契約書、就業規則や懲戒規定部分の記載は聞かれやすい
- ウィルス対策やパスワードルール、アクセス権、テレワークルールなど、わかりやすい部分は聞かれやすい
- あとはバックアップや冗長化など、全般的にセキュリティ対策を聞かれる。ルール化しているか?と問わても特別な文書作成は不要で、基本的には文書「情報セキュリティマニュアル」を提示して説明すればOK
- 監視測定(測定可能な設定がされているか)
- クロージング
- 現時点での「不適合」や「改善の機会」のコメント(後で報告書はもらえる。2次審査までに改善していく)
- 二次審査の審査計画概要(全体の流れ、複数拠点ある場合はサイトツアーのやりかた、部門担当者へのヒアリングを複数の審査員に分けておこなう、など)
- 1週間以内の審査報告書へのサインを求められる(審査機関によっては当日受領)
二次審査
本審査(本番)です。審査に参加される方は「情報セキュリティマニュアル」の記載内容を理解しておく必要があります。一次審査より具体的な会話が増えますが、即答はマストではないので確認後に返事でも大丈夫です(分かる人を呼ぶのもあり)
参加者
- ①トップマネジメント(一次審査と同様)
- ②ISMS構築の全体像を話せる人(一次審査と同様)
- 部門ごとの審査に立ち会うかどうかは受審者側の判断でOK
- 内部監査責任者、内部監査員の同席は不要(受審者側の判断でOK)
- ③各部門の人
- SecureNaviの「適用範囲>対象部門」に指定した部門の人
- リスク対策の詳細を語れる人であれば誰でもOK
- 審査内容によっては、まれに一次審査からの参加を求める
当日の流れ
- オープニング
- 両社担当者の自己紹介、審査計画書の認識合わせ、当日の流れの説明(一次審査同様)
- 一次審査の振り返り(重大な不適合、不適合、改善の機会の考え方の説明。詳細はインタビューにて)
- サイトレビュー(サイトツアー)
- 一次審査で確認できなかった拠点があれば実施
- 観点は一次審査と同様
- 拠点独自の資産や人員がいる場合は、リスク対応や教育についてインタビューもある
- 例えば「顧客データの保存期間が1か月」に対して、ファイルへのラベル付けやキャビネットの識別性により、取り違えや廃棄漏れなどが発生しないようになっているかなど
- トップインタビュー
- 一次審査から事業として変わったこと
- 一次審査の同様のヒアリング内容も結構ある。審査員が増えるため、角度が若干変わるくらい
- ISMS構築状況の確認
- 一次審査で聞いた内容の追加進捗確認
- 供給者管理
- 法規制管理
- 情報セキュリティ継続
- 最近の業務的なインシデント
- 内部監査、マネジメントレビューの結果
- 部門ごとインタビュー
- 想定問答集「部門ごとの審査」参照
- FAQ「定めたルールは、審査時にどれくらいの粒度で確認されるか?」参照
- エビデンスまで求められることはない(例えばアクセス権棚卸し台帳を見て正しく実施できているか、などは求められない)
- ただし、リスク対応に「XX台帳を作成する」と記載している場合は、その文書の提示を求められる場合がある
- その他、「インシデントの証拠となるようなログは記録して保管する」というリスク対応がある場合は、ログの提示を求められる場合がある
- クロージング
- 不適合の有無。不適合がある場合は是正計画の提出指示(大体は期間指定がある)
- 認証書が届くまでの期間の説明(初めにPDFが届き、その後原本が届く。認証取得はPDFで認められたといえる)