ISMS認証の審査に関するご質問Q&A
ISMS認証の審査に関するよくあるご質問をQ&Aとしてまとめました。
- Q. ISO27001の審査はどこが実施するのですか?
-
審査に関連するのは、受審企業である皆様の他に、「認定機関」と「審査機関」があります。
ISO27001の認定機関は、審査機関を審査したうえで審査機関として認定する機関であり、実際に皆様の審査を行うのは、その認定された審査機関です。
各国に認定機関があり、そこから認定された審査機関が存在するわけですが、ISO27001の日本の認定機関は、
の2つで、併せて30社近い審査機関が認定されています。ただし、上記2組織に認定された審査機関だけでなく、海外の認定機関に認定された審査機関で受審することも可能です。
- Q. ISO27001の審査の流れを教えてください。
-
まず、複数あるISO27001の審査機関の中から1つを選び、依頼をします。通常は、審査を受審したい時期の3~4カ月前までに審査機関に審査申請することになります。どの審査機関に依頼すればわからない場合は、当社のコンサルティングにてアドバイスいたします。
次に、審査を受審し、不適合の指摘があれば是正し、それを報告します。
第1段階審査は、規格で要求されている文書が存在するかどうかの文書審査が中心です。また、通常は第1段階審査でトップインタビューが実施されます。第2段階審査は、コアメンバー以外の従業者を含めたインタビューと、オフィス等のサイトツアーが中心となります。
- Q. ISMSの審査の種類を教えてください。
-
審査の種類は、大きく「①初回審査」「②継続審査(定期審査)」「③再認証審査(更新審査)」に分けることができます。特殊な審査としては他に「④拡大審査(適用範囲を拡げる審査)」「⑤移行審査(規格が変わった際の差分審査)」等を挙げることができます。
上記①は最初に認証を取得する際に受ける審査です。③は認証の有効期間が3年であるため、3年毎に受ける審査です。② は、① と ③ の間に毎年最低1回受ける必要が有る審査です。
通常の審査規模は、① > ③ > ② となります。
なお、継続審査は、定期審査やサーベイランス審査と呼ばれることもあります。
- Q. 審査の所要時間はどのくらいでしょうか?
-
具体的には、適用範囲やその他のISOの審査状況(他のISOと同時に審査を受けるかどうか等)により、所要時間は変動します。ここで言う適用範囲とは、対象となる業務、従業者数、拠点を指します。当然、適用範囲が広ければ広いほど審査の所要時間も増えていくことになります。
例えば「ソフト受託開発をしている、従業者10人の、本社1拠点の組織」の場合、上記初回審査は、おそらく2~2.5日となりそうです。審査機関によって多少異なります。
なお、初回審査は第1段階と第2段階で構成されており、合計で2~2.5日ということになります。
上記の事例の場合、継続審査は1日、更新審査は1.5~2日といった見込みです。
- Q. 審査の内容はどのようなものでしょうか?
-
第1段階審査の内容は、文書審査が中心です。規格で要求されている文書が存在するかどうか、その内容を問われます。また、通常は第1段階審査でトップインタビューが実施されます。
続く第2段階審査の内容は、コアメンバー以外の従業者を含めたインタビューと、上記サイトツアーが中心となります。
- Q. ISMS認証(ISO27001)の審査で落ちるのはどのような場合ですか?
-
ISMSの審査で落ちるケースは、次のような場合です。
- 1. 規格要求の理解が極めて浅い
- 2. 構築したISMSを運用できていない
- 3. 規格で要求されている文書が存在しない
- 4. 法規制を遵守できていない
- Q. 審査で指摘を受けたら、どうしたらいいですか?
-
審査の指摘には、いくつかの種類があります。
- 重大な不適合
- 軽微な不適合
- 観察事項(放置しておくと不適合になりえる事項)
- 改善の機会(改善の余地がある点)
- 良いところ(Good Point)
重大な不適合と軽微な不適合は、是正しないと審査は通りません。観察事項は、是正が必須ではありませんが、次回の審査で確認される可能性が高いです。改善の機会の対応は任意です。なお、重大な不適合の例としては、「内部監査やマネジメントレビューを実施していない。」「必ず作成されている必要のある文書が作成されていない。」といったものがあります。
- Q. 登録範囲の拡大は、定期審査や再認証審査のタイミング以外でも可能ですか?
-
任意のタイミングで可能です。
- Q. 登録範囲の拡大をしたい場合、審査対象は拡大対象のみでしょうか?(元の登録範囲も審査対象となるのでしょうか?)
-
審査対象の拡大には、対象となる事業や業務の拡大、対象組織の拡大、対象となる事業所などの物理的な場所の拡大などがあります。いずれにしても、臨時審査の場合は拡大された範囲のみが審査の対象となります。
ただし、定期審査や再認証審査のタイミングで拡大する場合は、当然既存の登録範囲も審査対象となります。
ご相談やお見積りは、下記の電話番号、
もしくはメールフォームにて承っております。
お気軽にご相談ください。
受付時間:平日 9:00~18:00