ISMS審査合格率100%
0120-068-268
お電話受付:平日9:30〜17:00

ISMS(ISO27001)審査の準備におけるポイントと審査前に気をつけること

スタッフ写真
スタッフ写真

2025年1月7日

ISMS(ISO27001)審査の準備におけるポイントと審査前に気をつけること

ISMS(ISO27001)の審査を受ける際に必要な準備のポイントや注意点について解説します。審査前には、準備が間に合わず慌ただしくなる企業様も多く見受けられます。しかし、ISMS(ISO27001)の審査は、適合性を評価するものであり、点数をつけたり、不合格にすることを目的としたものではありません。そのため、事前にしっかりと準備を整えておくことが重要です。

1.ISMS(ISO27001)とは?

ISMS認証とは、「情報セキュリティマネジメントシステム(ISMS)」が国際規格であるISO/IEC 27001の要求事項に適合していることを第三者機関が認証する制度です。

この認証を取得することで、企業や組織が情報の機密性、完全性、可用性を適切に管理し、情報セキュリティリスクに対する対策を講じていることを対外的に証明できます。認証取得は、顧客や取引先からの信頼向上や、情報漏洩リスクの低減、法令遵守の強化などに役立ちます。

2.ISMS審査の種類

ISMSの審査は、以下の3種類に分類されます。それぞれの審査についてご説明します。

  1. 取得審査(初回審査・登録審査とも呼ばれます)
  2. 維持審査(サーベイランス審査・定期審査とも呼ばれます)
  3. 更新審査(再認証審査とも呼ばれます)

(1)取得審査(初回審査・登録審査)

取得審査は、ISMS認証を初めて取得する際に実施される審査です。この審査では、組織がISO27001の要求事項を満たしているかどうかを確認します。取得審査は「文書審査」と「現地審査」の2段階で行われます。

①文書審査

文書審査では、ISMSの基本的な文書(情報セキュリティ方針、リスクアセスメント結果、運用手順など)がISO27001の基準に適合しているかを確認します。主に書類や記録の確認が中心です。

②現地審査

現地審査では、文書審査で確認した文書が実際の運用に反映されているかを現場で確認します。審査員が現場を訪問し、運用状況や従業員の理解度を確認します。

この審査を通過すると、ISMS認証が発行され、組織は正式に認証を取得したことになります。

(2)維持審査(サーベイランス審査・定期審査)

維持審査は、ISMS認証を取得した後、認証の有効性を維持するために毎年実施される審査です。この審査では、ISMSが適切に運用され、継続的に改善されているかを確認します。

<目的>
認証取得後も、組織がISO27001の基準を満たし続けていることを確認するために行われます。

<審査内容>
審査員が、リスクアセスメントの更新状況、内部監査の実施状況、是正措置の履行状況などを確認します。

また、情報セキュリティに関する新たなリスクや課題に対して適切な対応が取られているかどうかも評価されます。

維持審査は、通常、認証取得後1年目と2年目に実施されます。

(3)更新審査(再認証審査)

更新審査は、ISMS認証の有効期限(通常3年)が切れる前に実施される審査です。

この審査では、組織が引き続きISO27001の基準を満たしているかを確認し、認証の更新を行います。

<目的>
認証の有効期限を延長するために、ISMSの全体的な運用状況を再評価します。

<審査内容>
取得審査と同様に、文書審査と実地審査が行われます。

維持審査よりも審査範囲が広く、ISMS全体の運用状況や改善状況が詳細に確認されます。

更新審査に合格すると、認証の有効期限がさらに3年間延長されます。

3.ISMS(ISO27001)審査準備における8つのポイント

ISMSの審査では、審査終了後に不適合箇所がすぐに指摘され、その後の対応期間として約2~3週間が設けられます。

「条件付き合格」のようなイメージを持っていただければと思います。

ここでは、審査準備における8つのポイントを紹介します。

  1. 従業員のスケジュール調整を行う
  2. 規格内容を正しく理解する
  3. 前回審査の結果に基づく対応を準備する
  4. 役割分担を明確にする
  5. 認証取得の範囲を決定する
  6. 情報セキュリティの方針と目標を設定する
  7. トップインタビューの質問と回答を準備する
  8. 必要な文書類を提出できるように整備する

(1)従業員のスケジュール調整を行う

ISMSの審査をスムーズに進めるためには、従業員のスケジュール調整が重要です。審査にはトップマネジメントや各部署の担当者が参加する必要があるため、早めにスケジュールを確保しておくことが求められます。

特にトップのスケジュールは調整が難しい場合が多いため、審査日の1か月前から準備を始めることをおすすめします。理想的には、審査が終わった直後から次回の審査に向けた準備と運用を進めておくと、余裕を持って対応することができます。

(2)規格内容を正しく理解する

ISMSの規格を正しく理解するためには、まずその内容を確認することが重要です。

この規格は「ISO/IEC 27001」と呼ばれ、もともと英語で記載されています。そのため、日本語で内容を確認したい場合は、日本語訳された「JIS Q 27001」を参照することをおすすめします。

規格は主に2つの部分で構成されています。

1つ目は「本文」です。この部分には、ISMS認証を取得する際に必ず実施しなければならない「要求事項」が記載されています。これらの要求事項は、どの企業でも対応可能な内容で構成されており、確実に対応することが求められます。

2つ目は「附属書A」です。附属書Aには、情報セキュリティマネジメントシステムを構築し、自社のセキュリティリスクを管理するために推奨される「管理策」が93項目記載されています。ただし、これらすべてに対応する必要はありません。自社にとって必要な項目を選定し、それに対応していくことが求められます。

ISMSの規格を正しく理解し、自社に適した対応を進めることで、効果的かつ実践的な情報セキュリティマネジメントシステムの構築が可能となります。

(3)前回審査の結果に基づく対応を準備する

新規取得時の一次審査では該当しませんが、それ以降の審査では、前回の審査における対応状況が必ず確認されます。

不適合事項については、何らかの処置を講じる必要があります。

また、観察事項や改善事項についても、検討結果を説明できるよう準備しておくことが求められます。

例えば、「費用の都合で今回は見送りました」といった回答でも問題ありません。

(4)役割分担を明確にする

ISMSの運用を成功させるためには、適切な役割分担とその実行が欠かせません。

それぞれの役割を明確にし、適任者を選定することで、効率的かつ効果的な運用が可能になります。

以下に、主な役割とその概要を整理しました。

役割分担を明確にする

①トップマネジメント

<役割>
企業の情報の取り扱いに関する最終的な判断を下す責任者。

<主な業務>

  • ISMS取得に向けた取り組みを全体的に統括する。
  • 従業員が円滑に取り組めるよう支援する。

<適任者>
組織(認証範囲内)の代表者が適しています。

②情報セキュリティ管理者

<役割>
情報セキュリティ活動を統括し、責任を負う人。

<主な業務>

  • 現場と経営陣の橋渡し役を担う。
  • 情報セキュリティに関する全体的な管理を行う。

<適任者>
現場の状況を理解し、経営陣とも連携できる人が適しています。

③情報セキュリティ担当者

<役割>
情報セキュリティ管理者の指示のもと、現場での運用をサポートする。

<主な業務>

  • 情報セキュリティマネジメントシステムを現場に浸透させる。

<適任者>
現場の業務に精通している人が適しています。

④システム管理者

<役割>
社内システムの情報セキュリティに責任を負う人。

<主な業務>

  • 社内システムのセキュリティ対策を管理・実施する。

<適任者>
情報システム部門の担当者が選ばれることが一般的です。

⑤ 内部監査員

<役割>
情報セキュリティマネジメントシステムが適切に機能しているかを第三者の立場から評価する。

<主な業務>

  • 内部監査を実施し、システムの有効性を確認する。

<適任者>

  • 独立した視点を持つ人。
  • 規格の要求事項や内部監査に関する知識を持つ人。

※場合によっては、コンサルタントなど社外の専門家が担うこともあります。

【必須の役割と任意の役割】

<必須>
トップマネジメント、情報セキュリティ管理者、内部監査員は必ず設ける必要があります。

<任意>
情報セキュリティ担当者やシステム管理者は、必要に応じて設定すれば問題ありません。

役割を担う人を選出する際は、「その役割にふさわしい人」を選ぶことが重要です。また、選出後に必要に応じて教育を行うことも求められます。ただし、「ふさわしい人」の基準は各企業が自由に設定できます。

(5)認証取得の範囲を決定する

ISMSの認証範囲は、企業側で自由に設定することが可能です。

以下の観点から、取得範囲を検討することができます。

  • どの事業所(オフィス)で取得するのか
  • どの業務を対象とするのか
  • どの部署で取得するのか

具体的には、次のような選択肢が考えられます。

  • 全社で取得する
  • グループ会社を含めて取得する
  • 特定の部署(例:システム開発部)のみで取得する
  • 特定の拠点(例:東京本社)のみで取得する

取得範囲の設定によって、審査やコンサルティングにかかる費用や時間が大きく変わるため、最初から全社で取得するのではなく、まずは必要最低限の範囲で取得し、徐々に範囲を拡大していく方法が推奨されます。

このように段階的に進めることで、金銭的な負担や時間的なコストを抑えながら、効率的にISMSを運用することが可能です。自社にとって最適な取得範囲を慎重に検討することが、効果的な情報セキュリティ体制の構築につながります。

(6)情報セキュリティの方針と目標を設定する

ISMSにおける「情報セキュリティ方針の作成」と「情報セキュリティ目標の設定」は、組織の情報セキュリティ体制を構築・運用する上で欠かせない重要な要素です。これらは、組織全体のセキュリティ意識を高め、具体的な行動指針を示す役割を果たします。

<情報セキュリティ方針の作成>

情報セキュリティ方針は、ISMSの目的や方向性、トップマネジメントのセキュリティに対する考え方を明確に示す文書です。この方針は、組織全体の指針として機能し、従業員に周知することが求められます。また、必要に応じて利害関係者が入手できる状態にしておく必要があります。

審査においても必ず確認される重要な項目であり、組織のセキュリティ体制の基盤となるものです。

情報セキュリティ方針は、組織がセキュリティ面で目指す方向性を示し、全体の取り組みを統一する役割を担います。

< 情報セキュリティ目標の設定>

情報セキュリティ方針に基づき、具体的な目標として「情報セキュリティ目標」を設定します。初年度は「情報セキュリティルールを文書化する」などの基本的な目標を掲げる企業が多いですが、2年度目以降は初年度の反省を活かし、より実践的で具体的な目標を設定することが一般的です。

例えば、以下のような目標が挙げられます。

  • 情報セキュリティルールを文書化する
  • 従業員のセキュリティリテラシーを向上させる
  • インシデントをゼロ件に抑える

これらの目標は、日常的なセキュリティ意識を高めるだけでなく、組織全体の改善にもつながる内容であることが望まれます。

(7)トップインタビューの質問と回答を準備する

審査が始まると、最初にトップに対するインタビューが実施されます。

質問にはそのまま回答すれば問題ありませんが、マネジメントレビュー記録の内容と大きな差異がある場合には、その理由を尋ねられることがあります。そのため、事前にトップへ内容を伝えておくことが重要です。

特に、マネジメントレビューの実施から審査までに期間が空いてしまうと、トップが内容を忘れていることも多いため、注意が必要です。

(8)必要な文書類を提出できるように整備する

<ISMS方針に関する文書>

ISMS方針は、ISMSを構築する上で基盤となる重要な文書です。代表的な例として、「情報セキュリティポリシー」や「適用宣言書」が挙げられます。これらの文書は、組織の情報セキュリティにおける基本方針を明確にし、ISMSの最上位に位置する宣言として機能します。

また、近年ではこれらの文書をホームページ上で公開する企業も増えています。

<リスクマネジメントに関する文書>

情報セキュリティにおけるリスクマネジメントは、マネジメントシステムを構築する際に欠かせない要素です。ISO27001では、まず自社の情報資産を特定し、それぞれの資産に関連するリスクを分析・評価した上で、適切な対応策を検討する「リスクアセスメント」を実施することが求められます。

このプロセスを進めるにあたり、方針や規定、手順書などを文書化することが必要不可欠です。これらの文書は、リスクマネジメントの実効性を確保するための基盤となります。

<内部監査に関する文書>

内部監査は、構築したマネジメントシステムがISO27001の要求事項に適合しているか、また有効に機能しているかを確認するための重要なプロセスです。

このプロセスを適切に実施するためには、内部監査の実施記録や監査時に使用したチェックリストを作成し、保存しておく必要があります。これらの文書を保管することで、前回の監査結果と比較しながら、継続的な改善を進めることが可能となります。

<マネジメントレビューに関する文書>

マネジメントレビューは、トップマネジメントがマネジメントシステムの現状を評価し、改善の方向性を示すための重要なプロセスです。

このプロセスでは、現状の評価内容や改善指示、方針などを文書として記録することが求められます。これらの記録は、次の運用に向けた具体的な指針となり、マネジメントシステムの継続的な改善を支える重要な資料となります。

ISMSを構築・運用するためには、これらの文書を適切に作成し、管理することが求められます。これらの文書は、組織の情報セキュリティ体制を支える基盤であり、審査や運用の際に重要な役割を果たします。

適切な文書管理を行うことで、ISMSの有効性を高め、継続的な改善を実現することが可能です。

4.準備が出来ていないとどうなるの?

ISMSの審査では、要求事項を満たしていない場合やシステムに問題がある場合、「不適合」と判断されます。

不適合には「軽微な不適合」と「重大な不適合」の2種類があり、それぞれに応じた対応が求められます。

(1)軽微な不適合への対応

軽微な不適合とは、ISMSの要求事項の一部が満たされていないと審査員が判断した場合を指します。

この場合、マネジメントシステム全体を根本的に見直す必要はなく、不足している部分を是正することで対応が可能です。

軽微な不適合が指摘されても、認証審査が中断されることはありません。

ただし、指摘された箇所を期日内に是正し、改善内容を報告書として提出する必要があります。

(2)重大な不適合への対応

重大な不適合とは、情報セキュリティ管理に重大な欠陥があると判断された場合を指します。

この場合、軽微な不適合とは異なり、審査の継続が困難となり、一時的に審査が中断されることがあります。

しかし、重大な不適合が指摘された場合でも、認証取得が完全に不可能になるわけではありません。再審査を受け、指摘された問題を是正し、要求事項を満たすことで認証を取得することが可能です。

不適合が指摘された場合でも、適切に対応することで認証取得は可能です。不適合を防ぐためには、ISMSの要求事項やマネジメントシステムについての理解を深め、事前に十分な準備を行うことが重要です。

まとめ

本記事では、「ISMS審査の準備におけるポイントと審査前に気をつけること」をテーマに解説しました。

ここで、要点を整理しておきます。

まず、ISMSの審査について以下の3種類を解説しました。

  1. 取得審査(初回審査・登録審査)
  2. 維持審査(サーベイランス審査・定期審査)
  3. 更新審査(再認証審査)

次に、ISMS審査の準備における8つのポイントを詳しく説明しました。

  1. 従業員のスケジュール調整を行う
  2. 規格内容を正しく理解する
  3. 前回審査の結果に基づく対応を準備する
  4. 役割分担を明確にする
  5. 認証取得の範囲を決定する
  6. 情報セキュリティの方針と目標を設定する
  7. トップインタビューの質問と回答を準備する
  8. 必要な文書類を提出できるように整備する

準備で最も重要なことは、余裕を持って進めることです。

ぎりぎりになってから準備を始めると、対応が間に合わなくなる可能性があります。計画的に進め、いつでも対応できる状態を整えておきましょう。

また、ISMS(ISO27001)の運用は、本業とは関係がないと考えられがちですが、実際にはセキュリティに関わる重要な取り組みであり、本業そのものといえます。本業とISMSを切り離して考えると、後回しにしてしまう原因になります。

審査が終わったタイミングから、次回の審査に向けてISMSを本業の一部として運用し、日常的に取り組むことが大切です。これにより、審査直前に慌てることなく、スムーズに対応できるようになります。

ISO・Pマーク認証更新でお悩みの方へ

Pマークについてお悩み、ご質問がある方はこちら

認証パートナーは、8000社を超える企業様に認証率100%で支援してきた実績と経験豊富なコンサルタントの知見を活かし、お客様の目標達成を全力でサポートいたします。
アドバイスや取り次ぎだけでなく、書類作成や監督に向けての準備、年々変化するルールへの対応まで、お客様のパートナーとして共に歩んでまいります。
認証取得したいけれど、何をすれば良いか分からない方も、まずはお気軽にご相談ください。

\SNSでシェアしてね/

クリップボードにコピーしました

  ← 記事の内容をまとめた動画はこちら!!

ISO・Pマーク(プライバシーマーク)に関することなら
何でもお気軽にご相談ください

0120-068-268
お電話受付:平日9:30〜17:00

認証パートナーのサービスご説明資料

8,000社以上の支援実績に裏付けされた、
弊社サービスの概要を紹介しております。

資料の内容

  • ・当社のサポート内容
  • ・規格の概要
  • ・取得までに必要な審査費用

ISMS(ISO27001)認証パートナー
サービスのご案内認証パートナーロゴ

認証パートナーロゴ

認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。