ISMS（ISO27001）の審査を受ける前に、更新審査（または再認証審査）か維持審査（または定期審査）かどちらなのかを確認しておく必要があります。本記事では、ISMS（ISO27001）更新審査、維持審査、それぞれの審査の違いや審査のポイントなどを解説していきます。

１．審査の種類

ISMS（ISO27001）の審査には更新審査と維持審査の２種類があります。
ISMS（ISO27001）は、認証後も毎年審査が行われ、3年後の有効期限を更新するための更新審査、それまでに受けるのが維持審査です。

①維持審査

名称　　　　　：審査機関によっては定期審査やサーベイランス審査ともいう
審査内容　　　：前回審査をしてからの運用状況を確認する
審査の目的　　：問題なく運用が続けられているかどうかを確認すること
審査の工数　　：更新審査よりも審査員または審査期間が少ないことが多い

②更新審査

名称　　　　　：審査機関によっては再認証審査ともいう
審査内容　　　：前回更新時から3年分の運用状況を確認する。
審査の目的　　：ISO認証の更新に問題はないかを確認すること、前回の更新からの変更事項や3年単位での運用を確認して問題ないかどうかを確認すること
審査の工数　　：維持審査よりも審査員または審査期間が増えることが多い

このように、維持審査に比べて更新審査の方が厳しく、審査員数や審査期間も多くなることがあります。
また、更新審査では、維持審査と違って不適合が増えたり、今まで言われたことのない指摘が出る可能性があります。

２．審査に必要な7つの記録

審査を受けるには運用記録が必要です。維持審査は1年分、更新審査は３年間分です。
ISMS（ISO27001）の場合は次の7つの記録の他、現場で運用されている作業記録やセキュリティについて記録しているもの等が見られます。
・情報リスクアセスメント表
・目的目標管理
・リスク対応計画
・教育の記録
・事業継続計画
・内部監査の記録
・マネジメントレビューの記録

３．審査の流れ

ISMS（ISO27001）の審査は次のように行われます。
オープニングミーティング
↓
トップインタビュー
↓
現場視察（セキュリティ範囲の確認）
管理責任者へのヒアリング
前回審査の観察事項についての対応確認
↓
それぞれの部署へのヒアリング
↓
クロージングミーティング

大まかな流れでは維持審査でも更新審査でも同じですが、更新審査では最初に登録内容について再確認されますし、管理責任者や各部署へのヒアリングはより多くの時間を取って行われます。

４．審査に落ちないためには

ISOの審査を受けられなかったり審査に落ちてしまったり、ISMS（ISO27001）が認証できないケースも稀にあります。
ISMS（ISO27001）の認証ができないのは、内部監査を実施していない場合・マネジメントレビューを実施していない場合・審査の費用を支払わない場合・審査の不適合に対応しなかった場合、の4つです。
ですので、この4つは必ず実行するようにしましょう。
また、認証範囲を拡大した場合などは、新しく範囲に入れたところの運用ができているかどうは審査員もよく確認しますので、特に注意が必要です。

５．審査で受けた指摘をプラスにする。

不適合は出ない方がいいという人の方が大半ですが、実は指摘を受けることで次の2つのような改善につながることがあります。
・業務やマネジメントで抱える課題や改善箇所を見つけてもらえる
・第三者からの指摘により従業員の意識の変化や強制力、ルールの再認識が図れる

指摘を受けない組織の方が少数派であること、改善すべきことを見つけてもらえるものとして指摘をポジティブに捉えてください。
指摘は出るものだとして、準備をし過ぎず、出た不適合について是正処置を行う時間に充てていきましょう。

６．まとめ

ISO取得後に受ける審査には２種類あり、更新審査では3年分の運用記録が見られます。また、いつもより審査員や審査期間が増えることがあります。
運用記録を審査時に出せるようにしておくことは必要ですが、指摘が出ないようにと審査前に書類を作り込むことはせず、
指摘を受けることで業務の改善や組織の運用のヒントにして、指摘をうまく使って見てください。

ISMS新規認証取得・運用について詳しく知りたい方はコチラ

• 月額4万で全ての作業をサポート！新規認証コンサルティング
• 審査認証率100%！運用・更新コンサルティング