初めてISO27001の認証審査を受審する場合、文書審査である「第１段階審査」と実地審査としての「第２段階審査」の２段階の審査をクリアする必要があります。
そして、一度認証された後は１年毎に「継続審査」、３年毎に「更新審査」の受審が必要となります。

第１段階審査は、ISO27001の要求事項に適合した規程・手順書、管理様式等の文書化が実施されているかどうかについての審査です。
一方、第２段階審査では、その会社のISMSが確実に運用されているか、つまり情報セキュリティに関する現場のルールが守られているかについて審査が行われます。
第１段階審査に合格した場合のみ、第２段階審査に進むことができます。

この他、「予備審査」（有料）という制度もあり、あくまで受審は任意ですが、初めてISOの審査を受ける会社の場合は受審をお勧めします。
審査機関によって様々ですが、予備審査では本番審査と同じ審査員が文書審査を中心に簡易な審査を短時間で実施することが多いようです。
本番を前に審査員の審査の傾向を掴む意味でも、非常に有意義な機会となります。

審査の結果は、�@重大な不適合、�A軽微な不適合、�B観察事項（推奨事項を含む）、�C適合の４パターンとなります。

�@重大な不適合・・・ISO27001の要求事項に応えるルールが欠落している、情報資産のリスクアセスメントが実施されていない、教育や内部監査が実施されていない、ルールが現場に全く認識されていないような場合で、是正義務があるためそのままでは認証されません。

�A軽微な不適合・・・重大な不適合までとはいかなくても、次回の継続審査までには必ず是正が必要な事項が認められた場合で、認証されます。

例）第２段階審査（実地審査）の際、ルールについて現場の人５人に質問し、

５人中５人が答えられない　⇒　重大な不適合

５人中１人が答えられない　⇒　軽微な不適合

�B観察事項・・・不適合ではないが、今後スパイラルアップの対象事項として取組みを検討してもらいたい場合や優れた取組み（推奨事項）が確認され場合で、認証されます。

�C適合・・・ISO27001の要求事項に合致したISMSが構築・運用されており、問題なく認証されます。

第１段階審査合格のポイント

第１段階審査は文書化についてのチェックが中心となります。
審査員は経営者インタビューを通じて情報セキュリティについての経営陣の基本姿勢を確認し、また、事務局インタビューを通して教育や内部監査の実施記録を確認します。
準備のポイントは、�@要求事項に沿った文書作成、�A自社の構築したISMSについての十分な理解等です。

第２段階審査合格のポイント

第２段階審査はISMSの運用状況のチェックが中心となります。
つまり、適用範囲となっている事業所内におけるルールの徹底状況についての審査です。審査員は、部門ごとの責任者に対するヒアリングを通してルールが現場にどの程度認識されているかを確認します。
ここで得られた情報については、その直後に実施される従業者インタビューで検証されることになります。
実際にはルールが存在していても、教育によるルール徹底が不十分だと“知らない”、“分らない”といった回答がなされることがあり、不適合や観察事項の原因となりがちです。