ISMS(ISO27001)は更新が必要？有効期限はあるの？

１．ISMS(ISO27001)認証の有効期限と更新の流れ

ISMS(ISO27001)の認証を受けると、3年間の有効期限が設定されます。
認証を受けたら、3年間何もしなくてよいと勘違いされがちですが、そうではありません。
認証取得後も毎年審査を受けることでISMS認証を維持・更新していく必要があります。

認証の1年後および2年後に維持審査を受けます。
認証の3年後（2回目の維持審査の翌年）に更新審査を受けて合格することで、有効期限が3年延長され、更新となります。

２．維持審査と更新審査の違い

ISMS（ISO27001）の審査には新規認証時の審査、維持審査、更新審査と3種類の審査があります。

	新規認証時の審査	維持審査	更新審査
名称	初回審査	定期審査 サーベイランス審査	再認証審査
審査内容	ISMSを認証取得させて問題ない組織かどうかを確認する	前回審査をしてからの運用状況を確認する	前回更新時から3年分の運用状況を確認する。
審査の目的	一次審査：文書フォーマットの確認 二次審査：実際の運用状況を確認する。	問題なく運用が続けられているかどうかを確認すること	ISO認証の更新に問題はないかを確認すること 前回の更新からの変更事項や3年単位での運用が問題ないかどうかを確認すること
審査の工数	1次審査と2次審査は必ず分けて実施され、約1か月の間がある	更新審査よりも審査員または審査期間が少ないことが多い	維持審査よりも審査員または審査期間が増えることが多い

認証維持のための「維持審査」と「更新審査」について説明します。

（１）維持審査

維持審査は、前回審査からの1年間を振り返り、ISMSの運用状況を確認する審査です。
「定期審査」や「サーベイランス審査」と呼ばれることもあります。
問題なく運用が続けられているかを確認されます。更新審査と比較すると審査日数が少ないことが多いです。

認証範囲や審査機関にもよりますが、全項目を漏れなく見るというよりは要点・項目を絞った審査が一般的です。

（２）更新審査

一方、更新審査はISMS認証の有効期限が切れる前に行われる審査で、直近１年間だけでなく３年間の運用結果の確認がなされます。
組織がISMS（ISO27001）を更新しても問題ないか確認する審査です。
「再認証審査」と呼ばれることもあります。

審査の工数が増え、全拠点・全項目を審査するケースが多いです。かかる日数も維持審査より長いことが多いです。

３.ISMSの更新審査の準備と必要な書類

（１）更新審査前の準備

マネジメントシステムのPDCAを終えている状態で審査に臨みますので、計画通り運用できたか確認をしておく必要があります。

特に、教育や内部監査など一定期間をかけて実施するプロジェクトもありますので、完了しているかどうか事前に確認しましょう。

（２）更新審査に必要な書類

PDCAが終えられていることを確認できたら、次は必要な書類の確認です。

基本的には運用の計画と実施した結果（各種記録）を提出できれば問題ありません。

特に内部監査、マネジメントレビューはISMS(ISO27001)の肝となる部分ですので、3年分の記録を審査時に確認されるケースが多いです。
すぐ見せられるようにどこに保管されているか確認しておきましょう。

教育テストやNDA等、ISMS担当者が作成せず回収が必要な記録が戻ってきているかの確認も併せて行うと良いです。

（３）更新審査後の対応

審査後の対応は2パターンあります。

不適合が発見された場合、審査機関指定の期日（多くは発見から3週間以内）までに処置と是正を行い、報告書を提出する必要があります。
この報告が遅れてしまうと、最悪の場合認証取り消し（更新出来ない）になりかねません。
不適合が発見されても、是正報告に了承を得られれば、更新できますので落ちついて対応してください。

不適合以外（観察事項等）については、直近での対応・確認は求められないため、そのまま認証更新に進むでしょう。

審査機関ごとに用語の定義が異なるため、対応しなければ更新に影響するものがないかは必ず確認してください。

４．ISMSの更新審査の具体的な流れ

①オープニングミーティング

出席者の簡単な自己紹介を行います。
審査員から名刺を求められることもあるため、事前に用意しておいた方が無難です。

② トップインタビュー

運用状況について、代表者がインタビューを受けます。
具体的には、ISMS(ISO27001)認証取得に関する取り組み後に起きた変化、現在の売り上げ状況、インシデントが発生していないか、今後の展望やISMS(ISO27001)認証のプログラムを運用している業務などについて聞かれます。

③ 管理責任者に対するヒアリング

管理責任者に対して、まず前回の観察事項への対応を確認します。
観察事項に対しては、代表者の決定のもと「対応しない」というのもひとつの判断です。
すべて何かしらの対応を行わなければならないというわけではありません。

その後、文書・記録を確認し、気になる事案に関して管理責任者に指摘します。
もちろん社内のISMS(ISO27001)事務局が同席することも可能です。

④現場視察

審査のために、審査員が実際に業務している従業員の姿を見ながら、グループを担当する事務局メンバーにいろいろと質問します。

更新審査は3年に一度あり、要求事項のすべての項目がチェックされ、過去2年間の維持審査（サーベイランス審査）の結果も改めて確認されます。

⑤部署ごとのヒアリング

審査員が各部署内に入り、気になったことを、直接作業員にヒアリングします。

⑥更新審査の総括

審査に参加した人が集まり、審査員から簡単に講評が行われます。
観察事項や不適合があった場合、更新のために改善策を社内で検討する必要があります。

⑦クロージングミーティング

審査機関はISMSの運用に問題なかったとしても、常に現状維持以上の改善を求めるケースがほとんどです。
そのため、次回までにどのようにすればさらに良いマネジメントシステムを運用できるのか、
審査員よりアドバイスを受け、一緒に次期の目標を策定していきます。

５．まとめ

以上、ISMS(ISO27001)認証取得後の審査までの流れについてご紹介しました。

ISMS(ISO27001)認証を保持し続けるためには、毎年１回は維持審査や更新審査を受ける必要があります。
せっかく取得したISMS(ISO27001)認証を維持するためにも、維持審査や更新審査のための準備をしっかりしておきましょう。

ISMSの疑問を解決！ ISMSに関する疑問をお問い合わせください。些細な事でもご相談に乗ります！