１．ISMS審査の概要

ISMSの審査は大まかに5つのステップで進みます。

①申請

新規取得する場合や、これまでと異なる認証機関で受審する場合は申請が必要です。

申請方法や申請時の準備物は認証機関によって異なるため、詳細は各認証機関のHPを確認しましょう。

②受理

認証機関側で申請書類を確認し、審査費用や審査工数（審査員の人数や審査日数）を算出します。

提示された審査費用と工数で問題がなければ、審査や認証登録のための業務契約・秘密保持契約を締結します。

③審査日程の確認

組織と認証機関との間で、審査日程の確認を行います。

メール上でのやり取りがほとんどです。

④審査

新規認証の場合は、1次審査、2次審査の2回に分けて行われます。

維持審査や更新審査の場合は、数日かけて行う場合もあるものの、審査工数に合わせて1回で行われます。

⑤認証・登録

認証機関側で認証判定会議が行われ、認証登録の最終チェックをします。

その後、認証書が発行され無事登録（又は更新）完了となります。

大まかな流れは以上ですが、大前提として申請までにISMSを構築する必要があります。

申請までのISMSの構築や取得全体の流れについては以下の記事をご覧ください。

https://ninsho-partner.com/isms/column/isms-syutoku-step/

２．審査の種類

ISMS（ISO27001）の審査には新規認証時の審査、更新審査と維持審査の3種類があります。

ISMS（ISO27001）は、認証後も毎年審査が行われ、3年後の有効期限を更新するための更新審査、それまでに受けるのが維持審査です。

（１）新規認証取得時の審査

名称

審査機関によっては初回審査ともいう

2回に分けて実施されるため、それぞれを一次審査（第一段階審査）、二次審査（第二段階審査）という

審査内容

ISMSを認証取得させて問題ない組織かどうかを確認する

審査の目的

1. 一次審査：文書フォーマットの確認を中心とした審査。ISMSの関連文書（マニュアル等の規程類）が適切に整備されているかを確認する
2. 二次審査：ISMSの関連文書に沿って、実際の運用状況を確認する。一次審査で確認した書面上のルールが実際に機能しているのか、従業員が守っているのかを確認する

審査の工数

適用範囲や拠点数、従業員数によって異なる

1次審査と2次審査は必ず分けて実施され、約1か月の間がある

（２）維持審査

名称

審査機関によっては定期審査やサーベイランス審査ともいう

審査内容

前回審査をしてからの運用状況を確認する

審査の目的

問題なく運用が続けられているかどうかを確認すること

審査の工数

更新審査よりも審査員または審査期間が少ないことが多い

（３）更新審査

名称

審査機関によっては再認証審査ともいう

審査内容

前回更新時から3年分の運用状況を確認する。

審査の目的

ISO認証の更新に問題はないかを確認すること、前回の更新からの変更事項や3年単位での運用を確認して問題ないかどうかを確認すること

審査の工数

維持審査よりも審査員または審査期間が増えることが多い

このように、3つの審査の中では初回審査が1番工数がかかります。

ISMSの関連文書や実際の現場の様子も細かくチェックされるため、不適合や推奨事項は必ず出るものだと思っておくとよいでしょう。

また、更新審査では、維持審査と比べると審査員数や審査期間も多くなることがあります。

維持審査と違って不適合が増えたり、今まで言われたことのない指摘が出る可能性があるので、注意が必要です。

３．審査に必要な7つの記録

審査を受けるには運用記録が必要です。維持審査は1年分、更新審査は３年間分です。
ISMS（ISO27001）の場合は次の7つの記録の他、現場で運用されている作業記録やセキュリティについて記録しているもの等が見られます。

1. 情報リスクアセスメント表
2. 目的目標管理
3. リスク対応計画
4. 教育の記録
5. 事業継続計画
6. 内部監査の記録
7. マネジメントレビューの記録

４．審査の流れ

ISMS（ISO27001）の審査は次のように行われます。
オープニングミーティング
↓
トップインタビュー
↓
現場視察（セキュリティ範囲の確認）
管理責任者へのヒアリング
前回審査の観察事項についての対応確認
↓
それぞれの部署へのヒアリング
↓
クロージングミーティング

大まかな流れでは維持審査でも更新審査でも同じですが、更新審査では最初に登録内容について再確認されますし、管理責任者や各部署へのヒアリングはより多くの時間を取って行われます。

５．ISMS審査費用

前述した通り、ISMS審査は毎年行われ、その都度費用がかかります。

審査費用は審査工数によって決まります。

それぞれの審査では審査工数が異なるため、審査費用に関しても違いがあります。

審査費用の概算

（１）初回審査

審査が2回に分けて行われること、実際の現場の様子も細かくチェックされることから

1番費用がかかります。

新規取得費用に関しては、以下の記事もご覧ください。

https://ninsho-partner.com/isms/column/isms_shinki-shutoku-hiyou/

（２）維持審査

従業員数や拠点数、適用業務に大きな変化がない限り、2回の維持審査は同じ料金になります。

1年間の運用状況のみ確認されるため、審査費用も抑えられます。

（３）更新審査

3年間の運用状況が確認されるため、維持審査と比較すると費用は高くなります。

６．不適合になるケースと対処

（１）重大な不適合

審査において審査員が「マネジメントシステムが成り立っていない」と判断した結果のことであり、

『メジャーな不適合』ともいいます。

主な例として内部監査やマネジメントレビューを実施できていない場合等が該当します。

審査中に重大な不適合が発見された場合、審査は一時中断となることもあります。

登録や更新が一旦保留とはなりますが、改めて再審査を受けて許可が下りれば認証まで完了させることができます。

（２）軽微な不適合

審査で出る不適合の多くが、この軽微な不適合です。

審査において、審査員が「要求事項の一部を満たしていない」と判断した結果のことであり、マイナーな不適合ともいいます。

軽微な不適合が出た場合には組織のルールに基づいて是正処置を行うと同時に、審査機関のルールにも則った是正処置報告書を作成し審査員に提出する必要があります。

（３）観察事項

不適合ではなくとも審査員の注意点が報告される場合があります。

審査機関によって呼び方が変わるため、観察事項・推奨事項・改善の機会など様々な名称があります。

必ずしも対応する必要はありませんが、審査員の視点でのアドバイスとして捉え、対応が必要かを検討し、必要であれば処置を行うようにしましょう。

７．審査で受けた指摘をプラスにする

不適合は出ない方がいいという人の方が大半ですが、実は指摘を受けることで次の2つのような改善につながることがあります。

・業務やマネジメントで抱える課題や改善箇所を見つけてもらえる

・第三者からの指摘により従業員の意識の変化や強制力、ルールの再認識が図れる

指摘を受けない組織の方が少数派であること、改善すべきことを見つけてもらえるものとして指摘をポジティブに捉えてください。

指摘は出るものだとして、準備をし過ぎず、出た不適合について是正処置を行う時間に充てていきましょう。

８．審査に落ちないためには

ISOの審査を受けられなかったり審査に落ちてしまったり、ISMS（ISO27001）が認証できないケースも稀にあります。

ISMS（ISO27001）の認証ができないのは、

1. 内部監査を実施していない場合
2. マネジメントレビューを実施していない場合
3. 審査の費用を支払わない場合
4. 審査の不適合に対応しなかった場合

の4つです。

ですので、この4つは必ず実行するようにしましょう。

また、認証範囲を拡大した場合などは、新しく範囲に入れたところの運用ができているかどうかは審査員もよく確認しますので、特に注意が必要です。

９．まとめ

ISMSの審査は、新規認証時の審査、更新審査と維持審査の3種類があります。

申請から認証取得（更新）完了まで5つのステップがあり、申請時の準備物は受審する認証機関によって異なるため、各認証機関のHPを確認するようにしましょう。

ISMSの審査は落とすための審査ではありません。

指摘を受けたとしても、組織のセキュリティ体制を見直す改善の機会だと捉え、業務の改善や組織の運用のヒントにしましょう。