「サーベイランス審査(維持審査)」の概要
このページでは、サーベイランス審査(維持審査)について説明します。
認証取得後、組織(貴社)は1年または6ヶ月ごと(周期は組織が選択します)に、
認証を維持するためのサーベイランス審査(維持審査)を受ける必要があります。
サーベイランス審査(維持審査)では、認証登録審査のように全てが確認されるのではなく、
認証されたISMSが維持されているかどうかを部分的に確認します。
今回の維持審査ではどの部分が確認されるか?について
または日程や参加者の詳細は、審査機関から発行される「審査計画書」に記載されているためそちらをご確認ください。(審査日の約1ヶ月前までには発行されることが多いです)
また認証審査の時に指摘事項を受けていた場合
それらの指摘事項に対して改善が確認できないと登録の維持ができません。
そのため審査時の指摘事項について改めて確認し、改善を実施しておきましょう。
「サーベイランス審査(維持審査)」までにSecureNaviでやっておくこと
SecureNavi内の左側メニューに表示されている項目に対して、上から順にチェックし、
貴社の最新状況に沿って更新されているかをご確認ください。
また、「見落としがちな、注意すべきポイント」について、具体例を以下にまとめております。
以下をご参考に、情報を更新していきましょう。
【まとめ】見落としがちな、注意すべきポイント
⚠️太字のポイントは漏れている場合「不適合」の指摘を受けやすいです。
- 「役割」の人の退職や人事異動が情報反映されているか
- 「目標」が ”確立" されているか?(継続的な目標を立てているか)
- 「情報セキュリティ継続」の検証が実施されているか(検証後の改善は進んでいるか)
- 「供給者モニタリング」の状況は最新か
- 「リスク対応」について、リスクレベル許容を超過しているリスク対応の計画の有無
- 「内部監査」の定期実施はされているか
- 「マネジメントレビュー」の定期実施はされているか
- 過去の「改善」タスクの実践状況、正しく実践し改善活動は進んでいるか
(※ 認証取得審査時での「指摘事項」を含む) - 「情報資産」の保管期限満了資料の廃棄実施や、その記録はされているか
- 事業の進捗による「情報資産」の増減・見直し、それに伴うリスクとリスク対応の設定と実施はされているか
- 「力量(テスト)」の維持はされているか(新入社員等への受講実施、または既存社員等への新教材の配布&実施など)
- 「法規制管理」で設定した法規制のモニタリングは正しく実施されているか
- ISMS委員会の実施状況について(議事録の有・無もチェックを推奨いたします)
- 「タスク」期限の遵守状況(期限切れのタスクはないか、あるならば再設定はされているか)
- 「適用宣言書」の適用状況確認(前回審査時より変更点はないか?)
以上です。
もしご不明点がございましたら、いつでもチャット等でご相談くださいませ。