この記事では、ISMS審査の基本的な知識について紹介しています。初めてISMSの審査を受ける方は、以下の内容を参考に、審査に挑んでみてください。
審査の種類
ISMSの審査には、受審するタイミングによって、以下の3つの種類があります。
- 初回審査:
- ISMS認証を取得していない組織が、認証を取得するために受審する審査です。第一段階審査と第二段階審査の、2回の審査に分けて行われます。通常、この2回の審査は、2週間〜1ヶ月程度の間を開けて行われます。
- 詳細は「初回審査の流れ」で説明します
- 継続審査:
- ISMS認証を取得した組織が、毎年1回、定期的に受審する審査です。英語で「サーベイランス審査」と呼ばれることもあります。
- 再認証審査:
- ISMS認証を取得した組織が、3年に1回、定期的に受審する審査です。再認証審査の年には、継続審査は行われません(継続審査の代わりに再認証審査が行われます)。更新審査と呼ばれることもあります。
また、定期的ではなく、臨時で受審する審査として、以下の審査もあります。
- 拡大審査:
- ISMSの対象となる業務内容が増えたり、拠点が増えたりした場合に、臨時で受審する必要がある審査です
- 移転審査:
- ISMSの対象となる拠点が移転した場合に、臨時で受審する必要がある審査です
- 縮小審査:
- ISMSの対象となる業務内容が縮小したり、拠点が減ったりした場合に、受審する可能性がある審査です
審査の目的・観点
ISMS審査の審査員は、どのような観点から審査を行うのでしょうか?大きく分けて2つの観点があります。
- 適合性の観点:
- 構築・運用しているISMSが、審査基準である JIS Q 27001 に適合していること、社内の規程やISMSで定めた社内ルールに適合していることが確認されます
- 「適合している」という言葉に馴染みがない場合は、「違反していない」と言い換えても良いでしょう
- 構築・運用しているISMSが、審査基準である JIS Q 27001 に適合していること、社内の規程やISMSで定めた社内ルールに適合していることが確認されます
- 有効性の観点:
- 構築・運用しているISMSや、情報セキュリティに対する取り組みが、有効に機能している(情報セキュリティインシデントの削減や、セキュリティレベルの向上などに、適切に寄与している)ことが確認されます
審査の指摘事項
審査が終了すると、その成果物として、審査報告書が発行されます。審査報告書には様々な内容が書かれていますが、まずは「指摘事項」がどの程度あるかを確認するのが良いでしょう。指摘事項は、大きく分けて、以下の2つがあります。
- 重大な不適合
- 審査基準である JIS Q 27001 や社内ルールに違反しており、その程度が非常に大きいもの
- (例)リスクアセスメントが全部門において実施されていない、力量の確認(教育など)が、全く実施されていない、など
- 審査基準である JIS Q 27001 や社内ルールに違反しており、その程度が非常に大きいもの
- 軽微な不適合
- 審査基準である JIS Q 27001 や社内ルールに違反しており、その程度が大きくはないもの
- (例)ある特定の部門においてリスクアセスメントの実施漏れがあった、社内ルールで定めたパスワードの桁数に違反した状態が見つかった、など
- 審査基準である JIS Q 27001 や社内ルールに違反しており、その程度が大きくはないもの
- 改善の機会
- 違反はしていないが、改善が望ましいもの
- 審査機関によって呼び方が異なり、「観察事項」「一般観察事項」などと呼ばれることもあります
不適合は、違反状態が検出されているため、この状態が改善されない限りはISMS認証を取得することができません。一方で、改善の機会は、改善しなくともISMS認証を取得することができます。
なお、不適合が発見されたからといって、ISMS認証が取得できなくなるわけではありません。是正処置書の提出など、所定の手続きを経ることで、ISMS認証を取得する事が可能です。
「不適合の考え方」にて詳細を説明しています。
審査に対する心構え
指摘事項があることは当たり前であることを意識する
ISMSを10年以上運用している会社でも、審査において指摘事項は発見されます。完璧なISMS・完璧な情報セキュリティはないため、審査においては、必ず何らかの指摘が出ると考えてください。
とくに、初回審査においては、1回の審査で、10〜20個の指摘がでることも良くあります。仮に不適合の指摘があったとしても、所定の手続きに従って、それらを改善すればISMS認証は取得できますので、指摘を過度に恐れないようにすることが重要です。
「せっかくお金を払って、セキュリティのプロに審査をしてもらっているのだから、いっぱい指摘をしてもらい、セキュリティの粗をなるべく洗い出そう!」くらいの心持ちで審査に挑めるのがベストです!
嘘をつかない・正直に回答する
実施していないことを「実施している」と回答したり、記録を偽装して作成する必要はありません。前述の通り、ISMS認証取得ができなくなることはありませんので、できていないことは正直に「できていません」と申告・報告してください。
指摘事項への対応は、お気軽にSecureNaviまでご相談を
審査を終えると、審査報告書が渡されますが、そこに記載された指摘に対して、どう対応すればよいか分からないこともあるでしょう。困ったときは、お気軽にチャットサポートもしくは定期的なお打ち合わせの場で、SecureNaviスタッフにお問い合わせください。一緒になって対応方法について考えていければと思います。