2024年11月13日
ISO27017のコンサルってどうやって選べばいいの?
ISO27017(クラウドセキュリティ認証)のコンサルを選定するポイントは、実績数、専門知識、サポート体制の3点です。
具体的には、どれだけの支援実績があるか、そして業界特有の知識があるか、書類作成など作業まで支援してもらえるのか、打ち合わせはオンライン会議か訪問かなど、自分たちの要望に合うか確認しましょう。
2024年3月21日
ISMS(ISO27001)の有効期限は3年間で、更新しないと返上になってしまいます。ISMS認証を維持するには年1回の維持審査と3年に1回の更新審査を受けて更新し続ける必要があります。つまり毎年審査があります。認証取得から更新までの流れを詳しく説明します。
認証の1年後および2年後に維持審査を受けます。
認証の3年後(2回目の維持審査の翌年)に更新審査を受けて合格することで、有効期限が3年延長され、更新となります。
ISMS(ISO27001)の審査には新規認証時の審査、維持審査、更新審査と3種類の審査があります。
名称 初回審査 定期審査
サーベイランス審査再認証審査 審査内容 ISMSを認証取得させて問題ない組織かどうかを確認する 前回審査をしてからの運用状況を確認する 前回更新時から3年分の運用状況を確認する。 審査の目的 一次審査:文書フォーマットの確認
二次審査:実際の運用状況を確認する。問題なく運用が続けられているかどうかを確認すること ISO認証の更新に問題はないかを確認すること
前回の更新からの変更事項や3年単位での運用が問題ないかどうかを確認すること審査の工数 1次審査と2次審査は必ず分けて実施され、約1か月の間がある 更新審査よりも審査員または審査期間が少ないことが多い 維持審査よりも審査員または審査期間が増えることが多い
認証維持のための「維持審査」と「更新審査」について説明します。
維持審査は、前回審査からの1年間を振り返り、ISMSの運用状況を確認する審査です。
「定期審査」や「サーベイランス審査」と呼ばれることもあります。
問題なく運用が続けられているかを確認されます。更新審査と比較すると審査日数が少ないことが多いです。
認証範囲や審査機関にもよりますが、全項目を漏れなく見るというよりは要点・項目を絞った審査が一般的です。
一方、更新審査はISMS認証の有効期限が切れる前に行われる審査で、直近1年間だけでなく3年間の運用結果の確認がなされます。
組織がISMS(ISO27001)を更新しても問題ないか確認する審査です。
「再認証審査」と呼ばれることもあります。
審査の工数が増え、全拠点・全項目を審査するケースが多いです。かかる日数も維持審査より長いことが多いです。
マネジメントシステムのPDCAを終えている状態で審査に臨みますので、計画通り運用できたか確認をしておく必要があります。
特に、教育や内部監査など一定期間をかけて実施するプロジェクトもありますので、完了しているかどうか事前に確認しましょう。
PDCAが終えられていることを確認できたら、次は必要な書類の確認です。
基本的には運用の計画と実施した結果(各種記録)を提出できれば問題ありません。
特に内部監査、マネジメントレビューはISMS(ISO27001)の肝となる部分ですので、3年分の記録を審査時に確認されるケースが多いです。
すぐ見せられるようにどこに保管されているか確認しておきましょう。
教育テストやNDA等、ISMS担当者が作成せず回収が必要な記録が戻ってきているかの確認も併せて行うと良いです。
審査後の対応は2パターンあります。
不適合が発見された場合、審査機関指定の期日(多くは発見から3週間以内)までに処置と是正を行い、報告書を提出する必要があります。
この報告が遅れてしまうと、最悪の場合認証取り消し(更新出来ない)になりかねません。
不適合が発見されても、是正報告に了承を得られれば、更新できますので落ちついて対応してください。
不適合以外(観察事項等)については、直近での対応・確認は求められないため、そのまま認証更新に進むでしょう。
審査機関ごとに用語の定義が異なるため、対応しなければ更新に影響するものがないかは必ず確認してください。
出席者の簡単な自己紹介を行います。
審査員から名刺を求められることもあるため、事前に用意しておいた方が無難です。
運用状況について、代表者がインタビューを受けます。
具体的には、ISMS(ISO27001)認証取得に関する取り組み後に起きた変化、現在の売り上げ状況、インシデントが発生していないか、今後の展望やISMS(ISO27001)認証のプログラムを運用している業務などについて聞かれます。
管理責任者に対して、まず前回の観察事項への対応を確認します。
観察事項に対しては、代表者の決定のもと「対応しない」というのもひとつの判断です。
すべて何かしらの対応を行わなければならないというわけではありません。
その後、文書・記録を確認し、気になる事案に関して管理責任者に指摘します。
もちろん社内のISMS(ISO27001)事務局が同席することも可能です。
審査のために、審査員が実際に業務している従業員の姿を見ながら、グループを担当する事務局メンバーにいろいろと質問します。
更新審査は3年に一度あり、要求事項のすべての項目がチェックされ、過去2年間の維持審査(サーベイランス審査)の結果も改めて確認されます。
審査員が各部署内に入り、気になったことを、直接作業員にヒアリングします。
審査に参加した人が集まり、審査員から簡単に講評が行われます。
観察事項や不適合があった場合、更新のために改善策を社内で検討する必要があります。
審査機関はISMSの運用に問題なかったとしても、常に現状維持以上の改善を求めるケースがほとんどです。
そのため、次回までにどのようにすればさらに良いマネジメントシステムを運用できるのか、
審査員よりアドバイスを受け、一緒に次期の目標を策定していきます。
以上、ISMS(ISO27001)認証取得後の審査までの流れについてご紹介しました。
ISMS(ISO27001)認証を保持し続けるためには、毎年1回は維持審査や更新審査を受ける必要があります。
せっかく取得したISMS(ISO27001)認証を維持するためにも、維持審査や更新審査のための準備をしっかりしておきましょう。
ISMSの疑問を解決! ISMSに関する疑問をお問い合わせください。些細な事でもご相談に乗ります!
今聞きたいこと、今すぐ回答!
最短即日・全国対応いたします!
お問合せは
こちらから
全国どこでもオンラインで対応!
気軽にご相談ください!
相談予約は
こちらから
8,000社以上の支援実績に裏付けされた、
弊社サービスの概要を紹介しております。
資料の内容
認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。
個人情報保護マネジメントシステム
高い保護レベルの個人情報保護マネジメントシステムを確立し、運用していることを示します。
認証パートナーなら、個人情報漏えい防止の観点も踏まえたサポートを実現します。
品質マネジメントシステム
品質マネジメントシステムは一貫した製品・サービスを提供し、顧客満足を向上させるための規格です。
認証パートナーなら、負担が増える形だけのISOではなく、より現場の実態に沿ったISOを実現します。
情報セキュリティマネジメントシステム
情報セキュリティマネジメントシステムは企業・組織の情報を守る規格です(ISMSとISO27001は同義)。
認証パートナーなら、情報セキュリティリスクへの対応計画、緊急時の対応計画踏まえPDCAサイクル回せるような仕組み作りを実現します。
環境マネジメントシステム
環境マネジメントシステムは環境を保護し、変化する環境状態に対応するための組織の枠組みを示します。
認証パートナーなら、課題になりがちな環境法令の対応についても一緒にサポート致します。
ISO27017やISO22000など各種規格もお得に 新規取得や運用・更新ができます。ご気軽にお見積りください。
ISOやプライバシーマークを同時に認証取得すると費用や工数を抑えることができます。安心してご相談ください