2021年3月17日

ISMS(ISO27001)の審査を受ける前に、更新審査(または再認証審査)か維持審査(または定期審査)かどちらなのかを確認しておく必要があります。本記事では、ISMS(ISO27001)更新審査、維持審査、それぞれの審査の違いや審査のポイントなどを解説していきます。
1.審査の種類
ISMS(ISO27001)の審査には更新審査と維持審査の2種類があります。
ISMS(ISO27001)は、認証後も毎年審査が行われ、3年後の有効期限を更新するための更新審査、それまでに受けるのが維持審査です。
①維持審査
名称 :審査機関によっては定期審査やサーベイランス審査ともいう
審査内容 :前回審査をしてからの運用状況を確認する
審査の目的 :問題なく運用が続けられているかどうかを確認すること
審査の工数 :更新審査よりも審査員または審査期間が少ないことが多い
②更新審査
名称 :審査機関によっては再認証審査ともいう
審査内容 :前回更新時から3年分の運用状況を確認する。
審査の目的 :ISO認証の更新に問題はないかを確認すること、前回の更新からの変更事項や3年単位での運用を確認して問題ないかどうかを確認すること
審査の工数 :維持審査よりも審査員または審査期間が増えることが多い
このように、維持審査に比べて更新審査の方が厳しく、審査員数や審査期間も多くなることがあります。
また、更新審査では、維持審査と違って不適合が増えたり、今まで言われたことのない指摘が出る可能性があります。
2.審査に必要な7つの記録
審査を受けるには運用記録が必要です。維持審査は1年分、更新審査は3年間分です。
ISMS(ISO27001)の場合は次の7つの記録の他、現場で運用されている作業記録やセキュリティについて記録しているもの等が見られます。
・情報リスクアセスメント表
・目的目標管理
・リスク対応計画
・教育の記録
・事業継続計画
・内部監査の記録
・マネジメントレビューの記録
3.審査の流れ
ISMS(ISO27001)の審査は次のように行われます。
オープニングミーティング
↓
トップインタビュー
↓
現場視察(セキュリティ範囲の確認)
管理責任者へのヒアリング
前回審査の観察事項についての対応確認
↓
それぞれの部署へのヒアリング
↓
クロージングミーティング
大まかな流れでは維持審査でも更新審査でも同じですが、更新審査では最初に登録内容について再確認されますし、管理責任者や各部署へのヒアリングはより多くの時間を取って行われます。
4.審査に落ちないためには
ISOの審査を受けられなかったり審査に落ちてしまったり、ISMS(ISO27001)が認証できないケースも稀にあります。
ISMS(ISO27001)の認証ができないのは、内部監査を実施していない場合・マネジメントレビューを実施していない場合・審査の費用を支払わない場合・審査の不適合に対応しなかった場合、の4つです。
ですので、この4つは必ず実行するようにしましょう。
また、認証範囲を拡大した場合などは、新しく範囲に入れたところの運用ができているかどうは審査員もよく確認しますので、特に注意が必要です。
5.審査で受けた指摘をプラスにする。
不適合は出ない方がいいという人の方が大半ですが、実は指摘を受けることで次の2つのような改善につながることがあります。
・業務やマネジメントで抱える課題や改善箇所を見つけてもらえる
・第三者からの指摘により従業員の意識の変化や強制力、ルールの再認識が図れる
指摘を受けない組織の方が少数派であること、改善すべきことを見つけてもらえるものとして指摘をポジティブに捉えてください。
指摘は出るものだとして、準備をし過ぎず、出た不適合について是正処置を行う時間に充てていきましょう。
6.まとめ
ISO取得後に受ける審査には2種類あり、更新審査では3年分の運用記録が見られます。また、いつもより審査員や審査期間が増えることがあります。
運用記録を審査時に出せるようにしておくことは必要ですが、指摘が出ないようにと審査前に書類を作り込むことはせず、
指摘を受けることで業務の改善や組織の運用のヒントにして、指摘をうまく使って見てください。
ISMS新規認証取得・運用について詳しく知りたい方はコチラ
← 記事の内容をまとめた動画はこちら!!
\ フォローしてね /
- SNSでシェア
- Tweet
ISO・Pマーク(プライバシーマーク)に関することなら
何でもお気軽にご相談ください
お電話受付:平日9:30〜18:30
-
今聞きたいこと、今すぐ回答!
最短即日・全国対応いたします!お問合せは
こちらから -
全国どこでもzoomで対応!
気軽にご相談ください!相談予約は
こちらから
ISMS(ISO27001)認証パートナー
サービスのご案内
認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。
-
Pマーク
個人情報保護マネジメントシステム
高い保護レベルの個人情報保護マネジメントシステムを確立し、運用していることを示します。
認証パートナーなら、個人情報漏えい防止の観点も踏まえたサポートを実現します。Pマークの認証ページへ -
ISO9001
品質マネジメントシステム
品質マネジメントシステムは一貫した製品・サービスを提供し、顧客満足を向上させるための規格です。
認証パートナーなら、負担が増える形だけのISOではなく、より現場の実態に沿ったISOを実現します。ISO9001の認証ページへ -
ISO14001
環境マネジメントシステム
環境マネジメントシステムは環境を保護し、変化する環境状態に対応するための組織の枠組みを示します。
認証パートナーなら、課題になりがちな環境法令の対応についても一緒にサポート致します。ISO14001の認証ページへ -
ISMS・ISO27001
情報セキュリティマネジメントシステム
情報セキュリティマネジメントシステムは企業・組織の情報を守る規格です(ISMSとISO27001は同義)。
認証パートナーなら、情報セキュリティリスクへの対応計画、緊急時の対応計画踏まえPDCAサイクル回せるような仕組み作りを実現します。ISMS/ISO27001の認証ページへ