初めてISO27001の認証審査を受審する場合、文書審査である「第1段階審査」と実地審査としての「第2段階審査」の2段階の審査をクリアする必要があります。
そして、一度認証された後は1年毎に「継続審査」、3年毎に「更新審査」の受審が必要となります。
第1段階審査は、ISO27001の要求事項に適合した規程・手順書、管理様式等の文書化が実施されているかどうかについての審査です。
一方、第2段階審査では、その会社のISMSが確実に運用されているか、つまり情報セキュリティに関する現場のルールが守られているかについて審査が行われます。
第1段階審査に合格した場合のみ、第2段階審査に進むことができます。
この他、「予備審査」(有料)という制度もあり、あくまで受審は任意ですが、初めてISOの審査を受ける会社の場合は受審をお勧めします。
審査機関によって様々ですが、予備審査では本番審査と同じ審査員が文書審査を中心に簡易な審査を短時間で実施することが多いようです。
本番を前に審査員の審査の傾向を掴む意味でも、非常に有意義な機会となります。
審査の結果は、@重大な不適合、A軽微な不適合、B観察事項(推奨事項を含む)、C適合の4パターンとなります。
@重大な不適合・・・ISO27001の要求事項に応えるルールが欠落している、情報資産のリスクアセスメントが実施されていない、教育や内部監査が実施されていない、ルールが現場に全く認識されていないような場合で、是正義務があるためそのままでは認証されません。
A軽微な不適合・・・重大な不適合までとはいかなくても、次回の継続審査までには必ず是正が必要な事項が認められた場合で、認証されます。
例)第2段階審査(実地審査)の際、ルールについて現場の人5人に質問し、
5人中5人が答えられない ⇒ 重大な不適合
5人中1人が答えられない ⇒ 軽微な不適合
B観察事項・・・不適合ではないが、今後スパイラルアップの対象事項として取組みを検討してもらいたい場合や優れた取組み(推奨事項)が確認され場合で、認証されます。
C適合・・・ISO27001の要求事項に合致したISMSが構築・運用されており、問題なく認証されます。
|