ISO27001 COLUMNISO規格の知識コラム(ISO27001)
ISO27001 コラム
ISMS(ISO27001)は取得したら後は何もしなくてもよいというものではありません。
認証された状態を維持するためには、更新のため年に1回審査を受け続けなければなりません。
しかし認証を受けたばかりだったり、担当を引き継いだばかりだったりすると具体的にどうすればよいのかわからないのではないでしょうか。
この記事では、ISMS(ISO27001)の更新について解説します。ISMSのご担当者様はぜひお読みください。
目次
ISMS(ISO27001)認証には有効期限があり、3年間となっています。
認証された状態を保つためには、毎年審査を受ける必要があります。
取得から1年後・2年後の2回「維持審査」を受けることが必要です。
そして3年後には「更新審査」を受ける必要があります。
維持審査は運用状況の確認のための審査で、通常確認する項目をしぼって行われます。
更新審査は、更新してもよいかの審査です。確認する対象も広くなるため、維持審査より時間がかかります。
ISMS(ISO27001)認証を継続するための大きな流れについては、以下の記事で詳しく説明しています。
ISMSの審査の全体像を把握したい!概要をISO審査員が解説します
では、2つの審査のうち更新審査について、どのように準備するかを解説します。以下の通り分けてまとめます。
順に見ていきましょう。
1年ごとの維持審査でも確認されますが、内部監査・マネジメントレビューは毎年行い記録を取っておくことが不可欠です。必ず行いましょう。
決められたルールを決められたとおりに行うことが準備になります。
そのうえで、更新審査を受けるためには有効期限の5~6か月前に審査機関に連絡しましょう。
そして有効期限の3~4か月ぐらい前に更新審査を受けられるよう日程を調整します。
更新審査には、ISMS(ISO27001)の運用記録が必要となります。
具体的には以下の7つです。
更新審査では過去3年分の上記の書類が必要となります。
あらかじめ揃っているか確認しておきましょう。
参考に、維持審査で必要となる記録の種類も上記と同じ7つとなります。
ISMS(ISO27001)をはじめとしたISOの文書管理については、以下の記事で詳しく説明しています。
ISOにおける文書管理の基本事項と押さえておくべきポイント
繰り返しになりますが、更新審査の事前の対策としては内部監査・マネジメントレビューを毎年実施することが大前提です。
そのうえで審査を受けるにあたっては、関係社員が審査に参加できるようスケジュールを調整しておきましょう。
さらに記録の確認と取りまとめも必要です。
ISMS(ISO27001)担当者以外が作成する書類は回収しておきます。
そのほか、運用状態を把握しておきます。
具体的には、前回の審査で指摘された点があればその対応と結果、情報事故の発生状況と対応などです。
ISMS(ISO27001)の運用の基礎となる規格要求事項や是正処置については、それぞれ以下の記事で詳しく説明しています。
ISO27001(ISMS)の規格要求事項とは? – ジーサーティ・ジャパン
ISOで求められる是正処置とは? – ジーサーティ・ジャパン
準備をして審査日を迎えたら、当日は以下の流れで審査が行われます。
それぞれについて順に見ていきましょう。
まずオープニングミーティングとして、審査機関側・企業側それぞれ簡単な自己紹介を行います。
さらに計画書の内容確認と同意の確認、審査の進行方法の確認、中断条件の合意など、審査前の認識のすり合わせも行います。
続いてはトップインタビューです。
理解度や関与、今後の展望などに関してトップにインタビューを行います。
具体的に聞かれる主な内容は次の通りです。
審査当日の前に、担当者と情報を確認・共有しておきましょう。
次は、運用について管理者にインタビューを行います。
具体的には以下の内容となります。
こちらも事前に確認しておき、必要な書類は出しやすいようまとめておきましょう。
続いては現場視察です。審査員が部門ごとに現場での運用状況を確認します。
このとき、要求事項のすべてをチェックされます。
さらに各部門のISMS(ISO27001)責任者へのインタビューも行われます。
続いては、部署別インタビューです。
実際に作業している人に運用についてインタビューを行います。
なお、不適合や改善の指摘に該当しそうな点についてはその旨が伝えられます。
証拠などを示したり説明したりして反論することも可能です。
反論しなければ後日指摘される可能性があります。
インタビューや視察が一通り終わると、審査員で審査のまとめミーティングを行い審査参加者に対して簡単に総括が行われます。
改善点があった場合は改善点についても共有されます。
最後にクロージングミーティングが行われ当日は終了となります。
クロージングミーティングでは、次回の審査に向けた改善計画の策定や改善提案を行ったり、審査の判定会議の期日を共有したりします。
更新審査の費用については、登録審査と同じく認証機関によって金額が異なります。
また同じ認証機関でも認証の範囲や業種などによって金額が異なるのも、登録審査と同様です。
更新審査費用の目安としては、登録審査の2/3程度です。
正確な金額と内訳は認証機関に確認しておきましょう。
金額に限らず希望とズレがある場合など、認証機関を変更することも可能です。
それほど労力を使うことなく変更できます。
なお変更した場合も変更しない場合も、審査費用を払わないと更新ができません。
払い忘れには注意が必要です。
ISMS(ISO27001)をはじめとしたISOの費用については、以下の記事で詳しく説明しています。
ISO認証の費用を知ろう!取得費用・維持費用と費用対効果の考え方を解説
最後に、更新審査ではなく維持審査についてまとめます。
維持審査は、取得/更新の1年後と2年後に実施します。
審査内容は、更新審査よりは軽くなります。
確認される項目も要点に絞られ、取得審査の1/3程度をイメージするとよいでしょう。
時間もその分短くなります。
なお更新審査と同じく、内部監査・マネジメントレビューを実施していることが必須です。
毎年行う必要があります。
なおすでに軽く述べましたが、準備しておく書類は更新審査と同じ7種類です。
ただし維持審査は前回の審査後の1年分だけしか必要ありません。
費用は取得審査の1/3が目安です。
ISMS(ISO27001)をはじめとしたISOの維持審査(サーベイランス審査)については、以下の記事で詳しく説明しています。
ISOにおけるサーベイランス審査とは?ISO審査員が解説します!
ISMS(ISO27001)は、いったん認証されたら終わりというものではありません。
維持するための努力と審査が必要です。
しかし特別な準備が必要となるわけではなく、決められたルールを決められたとおりに日常的に運用していれば問題ありません。
普段から適切に運用して、焦ったり不安に思ったりすることなく更新審査や維持審査に臨んでいください。
SNSでシェアする
株式会社GCERTI-JAPANは
ISO審査機関です。
コラムの内容やISOに関することでお困りの際はお気軽にご相談ください。
ISO審査員がお答えします。
一審査員として、社会貢献ができるよう努めてまいります。 また、営業面ではお客様にとって、より良い提案ができるよう、お客様とのコミュニケーションを大事にしております。
お問い合わせはこちら
0800-888-0442
