ISO27001 COLUMNISO規格の知識コラム(ISO27001)

ISO27001 コラム

ISO27001

ISMSの審査の全体像を把握したい!概要をISO審査員が解説します

2024.04.05
ISMSの審査の全体像を把握したい!概要をISO審査員が解説します

この記事の3つのポイント

  1. ISMSの審査は「初回審査(認証審査)」「維持審査(サーペイランス審査)」「更新審査」の3種類ある
  2. 審査機関(認証機関)は数多く存在し、いずれも認定機関より認定を受け審査活動を行っている
  3. 審査で不適合が出ても認証が取得できない、というわけではない

本記事では、ISMS審査の全体像について解説します。

ISMS審査を受けることが確定している方、ISMS認証(または更新)を検討されている方が、審査において何が必要で何をしないといけないのか?をざっくり把握できるよう、参考になればと思います。

ISO・ISMS審査に関するご質問は
お気軽にお問い合わせください!
お問い合わせフォーム

ISMSの審査とは【種類・目的・内容・期間】

ISMSの審査には、「初回審査(認証審査)」「維持審査(サーペイランス審査)」「更新審査」の3種類があります。
ISMSを含めてISO審査は基本的に3年サイクルで動いており(有効期限が3年間であるため)、毎年1回、審査があります。

審査受審の大きな流れ

初回審査(認証取得審査)
↓ 1年後
維持審査(サーペイランス審査) 1回目
↓ 1年後
維持審査(サーペイランス審査) 2回目
↓ 1年後
更新審査(再認証審査)
↓ 1年後 ※更新後は維持審査1回目・維持審査2回目・更新審査の繰り返し
維持審査(サーペイランス審査) 1回目

下記にて、各審査の種類についてそれぞれの目的を解説していきます。

初回審査(認証取得審査)

初めて認証を取得する場合、「第一段階審査」「第二段階審査」の計2回審査を受審する必要があります。

「第一段階審査」の目的は、主にマネジメントシステム(会社の運用の仕組み)自体が存在しているか、審査を実施するにあたって必要な文書記録類が存在しているか、の確認を行うことです。
文書審査がメインのような形となり、第二段階審査を受審できる状態かどうかを確認します。

第一段階審査が問題なく通過できると、次に「第二段階審査」を受審します。
この審査の目的は、第一段階審査で確認した文書記録を元に運用状況を確認することです。(「本審査」とも呼ばれます)

審査にかかる時間は、認証取得の範囲(取得する事業範囲・拠点数・人数等)によって変動するため一概にどの程度とはお伝えしがたいですが、いずれにしても2回審査があることをまずは把握いただければ良いと思います。

維持審査(サーペイランス審査)

維持審査は文字通り認証を維持するための審査です。

認証を取得した後、年に1回(2年間=計2回)維持審査を受審します。
主な目的は前回の審査受審からの変更点やその期間のパフォーマンスを確認することです。

審査の流れは下記記事にて参考スケジュールを載せているので、ご覧いただければと思います。
ISO認証取得の流れって?全体の流れや手順、審査までに準備すべきことまで徹底解説!
ISO27001(ISMS)とは?要求事項や認証取得のメリットについて基本から解説します!

更新審査(再認証審査)

更新審査は3年に1度、認証の有効期限が近いタイミングで行う審査です。
前回の認証書を取得してから3年間のパフォーマンスを確認し、再び認証しても問題ないかを判断することが目的です。

前述の維持審査と比べ、審査で確認することが多くなるため(規程類も更新審査ではよりしっかり確認されます)、審査工数は維持審査より多くなります。

ISMS審査の費用

さて、気にされている方も多いであろう審査費用に関しては基本的に下記条件により変動します。

  1. 適用人数
  2. 適用拠点数
  3. 適用規格
  4. 適用業務内容
  5. 設計開発業務の有無

審査費用は業種・業態に関わらず人数や拠点数によって大きく異なってきます。
また、人数や拠点数などが同様の組織規模であったとしても業務内容により変動します。

そのため、審査費用について知りたい場合は、お見積を取られることをお勧めします。

また、ISMS認証取得・運用維持においてはコンサルタントの力を借りる組織も非常に多いのですが、その場合は別途コンサル費用もかかります。
ISMS取得費用に関する解説は下記記事にも記載しているので、ぜひご参考ください。
ISO取得に必要な費用について【審査費用とコンサル費用】

ISMSの審査機関

「審査機関(認証機関)」と「認定機関」の違い

まず、混同されることの多い「審査機関(認証機関)」と「認定機関」の違いについてご説明します。

「認定機関」とは、ISOマネジメントシステム認証の第三者認証という形式を保つために存在する機関で、世界各国にあります。
審査機関(認証機関)が「国際的な基準を遵守して審査を行うことができるか」、「公平性や透明性を維持しているか」の評価を行い認証機関として認定する機関です。

「審査機関(認証機関)」とは、ISO認証を取得しようとする組織に対して「マネジメントシステムが規格に合致しているかどうか」を審査する機関です。
各審査機関(認証機関)は、認定機関に認められた上で審査活動を行っています。

弊社ジーサーティ・ジャパンは審査機関(認証機関)であり、認定機関に認定を受け審査活動を行っています。(アメリカのIASに認定を受けています)

いずれの審査機関(認証機関)であっても、認定機関からの認定を受けて審査活動を行っていますが、審査機関(認証機関)によって特徴はさまざまです。

審査機関(認証機関)選びのポイント

審査機関(認証機関)によって、審査上で重視するポイントや審査費用が異なります。
そのため可能な限り自社の意向に沿う審査機関(認証機関)を選びたいところです。

審査機関を選ぶ際には、

  • 費用は適切か
  • 実績があるか
  • 自社の希望に合うか(重視するポイントなど)
  • 対応のスピードが早いか

といった点に着目して選定いただくと良いでしょう。

審査機関の選定に関連するコラムとして、下記も参考にしていただければと思います。
ISOにおけるサーベイランス審査とは?ISO審査員が解説します!
ISO認証機関(ISO審査機関)の選び方

審査機関(認証機関)は変更可能!

審査機関(認証機関)は審査後に変更することができます。

一般的には、最初に初回審査を実施した審査機関に維持審査・更新審査も依頼することが多いですが、初回審査や更新審査の後に別の審査機関に移転(変更)を行い、審査サイクルを引き継いで審査を受審することは可能です。

今の審査機関(認証機関)と合わないと感じることがあった場合には、他の審査機関への移転(変更)を検討してみるのもよいかと思います。

GCERTIのISO27001(ISMS)審査は審査がスピーディ・審査料が安い・お客様の負担が少ない

ISMS審査の不合格・不適合とは

審査では不適合が出ることがあります。
表現は各審査機関(認証機関)により若干異なることがありますが、審査で発生する指摘として大きく下記3種類があります。

重大な不適合

重大な不適合は、情報セキュリティの管理において重大な欠陥があると判断された指摘となります。
審査員がISMS審査を実施することが難しいと判断し、審査が一時中断となり再審査になる場合もあります。
重大な不適合と判断されたら取得不可ということではなく、必要な是正がなされた上で再審査を受審し、要求事項を満たせていれば認証を取得することが可能です。

軽微な不適合

軽微な不適合は、審査員が「組織の情報セキュリティ運用管理においてISMSの要求事項の一部を満たしていない」と判断した指摘となります。
根本的に運用管理を変えないといけないというわけではなく、不足点を是正すれば問題はありません。
また、軽微な不適合として指摘が上がっても審査が中止になることはなく、審査後既定の期間内に是正対応を実施し、是正処置報告書を審査員に提出すれば問題ありません。
(審査員が是正処置報告書を確認し、問題ないと判断した場合)

観察事項

不適合とは異なる指摘として、観察事項という指摘があります。
これは審査員視点での気づきのようなもので、是正の対応を必須としているものではありません。
(次回の審査時に状況の確認はあるが、対応していなくても問題はない)

ISMSの審査への対策・対応

審査内でのヒアリングについて

ISMS審査では、「トップ」、「管理責任者」、「現場」それぞれに対してヒアリングがあります。

①トップへのヒアリング:主にマネジメントレビュー等の各記録を確認しながら、組織の状況や戦略など組織の方向性をヒアリングします。(実務的なことはほぼなく、組織全体の大枠の話)/②管理責任者へのヒアリング:ISO27001の具体的な運用状況を確認します。課題・目標の達成状況・進捗・各記録の詳細・認証ロゴマークの運用に関することなど、さまざまなことをヒアリングします。/③現場へのヒアリング:トップの意向や組織の方針、組織が定めたルールや規定に従った上で、実業務がどのようになされているのかをヒアリングします。実運用ベースでISO27001の取組みが行われているかを確認します。

不適合が出た場合はどうすればいい?

審査を行った結果、不適合が出る場合があります。
前述したように、その際にはまず是正を行う必要があります。

①重大な不適合:是正の対応を行い、再審査を受ける/②軽微な不適合:既定の期間内に是正の対応及び是正処置の記録を担当審査員に提出し問題がないことを確認してもらう

認証取得や是正処置に関することは下記コラムでも解説していますのでご参考ください。
ISO認証取得の流れって?全体の流れや手順、審査までに準備すべきことまで徹底解説!
ISOで求められる是正処置とは?

まとめ

今回はISMSの審査機関(認証機関)やISMS審査についてお話させていただきました。
審査機関(認証機関)選びや審査対応について、みなさまのご参考になれば幸いです。

  • SNSでシェアする

1分でカンタン!
なんでも質問フォーム

株式会社GCERTI-JAPAN
ISO審査機関です。
コラムの内容やISOに関することでお困りの際はお気軽にご相談ください。
ISO審査員がお答えします。

小林 卓慈
小林 卓慈ISO審査員

一審査員として、社会貢献ができるよう努めてまいります。 また、営業面ではお客様にとって、より良い提案ができるよう、お客様とのコミュニケーションを大事にしております。

お問い合わせはこちら
お問い合わせはこちら
お見積もり依頼 お問い合わせ

Social media & sharing icons powered by UltimatelySocial