ISMSサーベイランス審査とは? 〜キュービストの事例をご紹介〜

 ISMSとは、情報セキュリティマネジメントシステム Information Security Management System の略称で、情報セキュリティを管理する仕組みのことです。当ブログでは以前にISMSの仕組みや当社キュービストが認証取得した際の体験談をご紹介しています(下記参照)。

「ISMSとは? その仕組みを5分でわかりやすく解説!」
「ISMSとは? キュービストが認証取得するまでの流れをご紹介します」

 おかげさまで認証取得後は大きな事故もなく、ISMSを運営できてはいますが、その理由のひとつに、定期的な外部の認証機関による審査があることが挙げられます。外部審査はISMSを運営していくうえで義務付けられており、その審査のひとつが「サーベイランス審査」です(「継続審査」や「定期審査」とも呼ばれます)。
 つい先日も、当社でISMSのサーベイランス審査が実施されたのですが、外部の認証機関による審査では、事前の準備がとても大切になります。
 そこで今回は、ISMS認証取得後の審査のサイクル、サーベイランス審査の下準備、実際のサーベイランス審査の体験談などをご紹介いたします。

 

 ISMS認証取得後の審査サイクル

 ISMS認証取得後は1年又は6ヶ月ごとのサーベイランス審査と、3年ごとの更新審査を受ける必要があります。当社ではサーベイランス審査を1年ごとに受けていますので、審査サイクルは次のようになります(更新審査の年はサーベイランス審査を受ける必要はありません)。


認証取得時……認証審査

1年目…………サーベイランス審査

2年目…………サーベイランス審査

3年目…………更新審査

※以後1年目から3年目を繰り返し

 

 3年ごとの更新審査は再認証審査とも呼ばれ、審査期間が長くかなり厳しく行われますが、サーベイランス審査は、承認されたISMSが引き続き実施されていることの確認が主な目的のため更新審査ほどは厳しくありません。
 しかしそうは言っても、サーベイランス審査で指摘事項を受けてそれが是正できない場合は、ISMS認証の登録が維持できなくなりますので、しっかり準備をしたうえでサーベイランス審査に臨まなければなりません。

 

 ISMSサーベイランス審査の下準備

 当社ではこれまでに3回のサーベイランス審査と1回の更新審査を受けてきたのですが、その経験からISMSサーベイランス審査の下準備のポイントをまとめてみました(これらのポイントは更新審査でも共通です)。

内部監査とマネジメントレビューの実施は必須

 サーベイランス審査では、前回の審査後に内部監査とマネジメントレビューが当然に実施されているものとして審査が進められます。ISMSを運用していれば必ず実施されているはずですが、もし内部監査やマネジメントレビューが実施されていない場合は、サーベイランス審査までに必ず実施しましょう。

前回の審査の「改善の余地」への対応

 前回の審査で不適合にならなかったものの、「改善の余地」として指摘された事項についても対応しておくことをオススメします。もし対応ができなかったとしても、なぜできなかったのか、今後どうする計画なのかくらいは回答できるようにしておきましょう。

リスクアセスメントの見直し

 1年目2年目くらいまでのサーベイランス審査ではさほど注目されませんでしたが、3年目の更新審査以降は、新たなリスクや脅威がリスクアセスメントシートに追加されているか、リスクは適切に評価されているか、リスクへの対応がされているかなど、リスクアセスメントへの質問や指摘が多くされるようになりました。
 最近ではテレワークが一気に普及したことによる新たなリスクも発生していますので、審査前にリスクアセスメントを見直しておきましょう。

ISMS文書の更新

 年次見直しなどのタイミングで定期的にISMS文書を更新しているかと思いますが、サーベイランス審査前にもISMS文書を確認しておきましょう。特にオフィスの移転後や新しい拠点が増えた時は要注意です。実は当社も最近オフィスを移転したため、以下のISMS文書の更新が必要になりました。

  • ・ISMS適用範囲定義書(平面図・ネットワーク構成図の変更など)
  • ・ISMSマニュアル(住所の変更など)
  • ・ISMSインシデントマニュアル(連絡網の変更など)

 
 また、オフィスを移転すると新たな課題が発生する場合や、逆にこれまでの課題が解決することもありますので、先のリスクアセスメントと合わせて、「組織及びその状況の理解」「利害関係者のニーズ及び期待の理解」についても見直しておくことをオススメします。

インタビュー対象者のスケジュール調整

 忘れがちなのが関係者のスケジュール調整です。サーベイランス審査では、経営者をはじめ現場の責任者など、忙しい方へのインタビューが必要になります。サーベイランス審査の1ヶ月前には、認証機関から審査計画書と呼ばれる審査当日の詳細なスケジュールが送られてきますので、インタビュー対象者の方のスケジュールを確保しておきましょう。

 

実際のISMSサーベイランス審査

 これまでのサーベイランス審査の期間は2日間でしたが、今回はオフィス移転や拠点が増えたこともあり、システム変更サーベイランス審査も合わせて実施されるため審査期間は2.5日で実施されることになりました。

1日目

 初日はオープニングミーティングで審査員の方からISMSサーベイランス審査の進め方の説明があり、その後に経営者にインタビューが行われます。前回までの審査では事業内容や方針など大枠の質問が中心だったのですが、今回はオフィス移転直後ということもあり、執務室のセキュリティやネットワークセキュリティなど細かい部分の質問が多かったことが印象的でした。

 その後は、ほぼ1日かけてISMS文書の確認やISMS事務局へのインタビューが行われます。ISMS適応範囲定義書など、オフィス移転に関するISMS文書はしっかり更新していたのですが、それ以外の部分で更新漏れがあり、ご指摘をいただきました。

 内部監査責任者へのインタビューはTV会議システムで行われたのですが、問題なくスムーズに進みました。前回の審査では新型コロナウィルス感染予防対策のため、急遽TV会議システムを使ったためにいろいろトラブルもありましたが、この一年でかなりTV会議システムに慣れたことを実感しました。

2日目

 2日目は各部門の責任者へのインタビューと、現場でのISMSの実施管理状況と有効性の審査が行われます。各部門の責任者はこれまでの審査でインタビューや現場審査の対応した経験があるメンバーだったこともあり、特に問題もなく審査が進みました。

 午後は場所を移動しての審査になりました。当社では今年からグラフィック部門が本社と離れた場所に営業所を開設していたためです。

 新しい拠点での初めての審査であることや、最近責任者が代わったこともあり、少し心配でしたが、新しい責任者はたまたま以前の会社でISO9001という国際規格の担当者をしていたこともあり、こちらもスムーズに審査が進み、ISMS事務局の出る幕すらありませんでした。(ISMS認証もISO27001という国際規格です)

3日目

 3日目の審査は半日(0.5日)になります。2日目までですべての審査が終了しましたので、再確認を要する事項の確認後、審査員の方が審査報告書を作成されます。作成された審査報告書はISMS事務局が内容確認し、必要であれば協議を行います。

 最後にクロージングミーティングで、審査員の方から経営者に審査結果が報告され、審査結果の内容に問題がなければ、経営者が審査報告書にサインをして終了となります。

 

審査結果

 というわけで、今回のISMSサーベイランス審査では不適合もなく、無事に認証の維持のご推薦をいただきました。

 しかし、不適合はありませんでしたが、「改善の余地」として主にISMS事務局運営に関する指摘がいくつかありました。認証審査も含めると今回のISMSサーベイランス審査で6回目の外部審査になるため、だいぶ審査にも慣れましたが、そのぶん油断していたのかもしれません。

「初心忘るべからず」。今後はさらに気を引き締めて、ISMSの運営に取り組んでいきたいと思います。

■関連リンク

・コーポレートサイト
https://www.qbist.co.jp/

・QBISTの特長
https://www.qbist.co.jp/feature/index.html

関連記事