さて、あなたはISO 27001の導入に長時間を費やし、さまざまな管理策の教育・コンサルティング・導入に大金を投資しました。 今度は認証機関から審査員がやってきまして。はたして認証に合格するでしょうか。
そのような心配は当然です。自分のISMS(情報セキュリティマネジメントシステム)が認証機関の要求をすべて満たしているかを知ることは決してできませんから。でも審査員は実際にどこを見るのでしょうか。
審査員はまず、「文書審査」と呼ばれる第一段階の審査を行います。審査員はこの審査で、文書化の範囲、ISMSの方針・目標、リスクアセスメント方法論の記述、リスクアセスメント報告、適用宣言書、リスク対応計画、文書管理・是正処置・予防処置および内部監査の手順を調べます。 また附属書Aの管理策の一部(適用宣言書の中で該当するとされている場合のみ)、つまり、資産目録(A.7.1.1)、資産利用の許容範囲(A.7.1.3)、従業員、建設業者、第三者の利用者の役割及び責任(A.8.1.1)、雇用条件(A.8.1.3)、情報処理設備の操作手順(A.10.1.1)、アクセス制御方針(A.11.1.1)、適用法令の識別(A.15.1.1)を文書化する必要があります。また内部監査やマネジメントレビューの記録が最低でも1部必要です。
以上の要素が1つでも欠けていると、第二段階の審査には進めません。 もちろん、必要だと思れば、これ以外の文書を準備することもできます。上記のリストは最低限のものです。
第二段階の審査は「実地審査」とも呼ばれており、通常、第一段階の審査の数週間後に行われます。 この審査の焦点は文書ではなく、文書やISO 27001の指示を組織が実際に実行しているかどうかです。 言い換えれば、審査員がチェックするのは、ISMSが実際に組織で実現されているか、それとも空手形に過ぎないのかということです。審査員はこれを、主に記録の検査や観察や従業員との面談を通じてチェックします。必須の記録としては、教育・訓練・技能・経験・資格(5.2.2)、内部監査(6)、マネジメントレビュー(7.1)、是正(8.2)・予防(8.3)措置などがあります。ただし審査員は、手順を実行した結果として作成された、他の記録も見たいと思っています。
ISMSの一部が審査だけのために作られた作り物であれば、経験豊かな審査員はそれに気づきます。気をつけてください。
あなたは以上のすべてを理解しましたね。それでもなお、審査員が大きな不適合を発見して、ISO 27001認証を発行できないと言うことがあります。これで万事休すでしょうか。
もちろん違います。 プロセスは次のように進みます。審査員は審査報告書に(主な不適合を含む)所見を記し、不適合を解決するまでの期限(通常は90日)を指定します。 あなたの仕事は適切な是正処置をとることです。ただし注意してください。この是正処置は不適合の原因を解決するものでなければなりません。さもないと審査員はそれを認めないことがあります。適切な処置を行ったと確信したら、それを審査員に通知して、自分のとった処置の証拠を送る必要があります。あなたが十分な仕事をしていれば、多くの場合、審査員はあなたの是正処置を認めて、認証発行プロセスを発動させます。
おめでとうごさいます。多少の時間はかかりましたが、これであなたは誇るべきISO/IEC 27001認証の取得者となりました。 (でも気をつけてください。認証の有効期間は3年間だけであり、認証機関が査察の際に大きな不適合を発見した場合には、有効期間内でも一時停止される可能性があります。)
—
矛盾点を解消し、軌道修正をはかるには、Conformio compliance software が便利です。