3年に1回のISMS更新審査を受けました
目次
こんにちは、Confit開発担当の大場です。最近の悩みは、ブログのアイコンにもしていますが、実家で飼っているわんこが鼻水を容赦なく飛ばしてくることです。
・・・と、そんな悩みを話したいわけではなく。現在、私はアトラスの情報セキュリティ委員会の委員長も務めています。そこで、今回はISMS更新審査についてお話ししようと思います。ISMSについては、以前のブログ「ISMSの内部監査を実施しました!」を参照ください。
サーベイランス審査と更新審査
ISO/IEC 27001の認証は、登録審査で認証取得した後、6ヶ月または1年に1回実施のサーベイランス審査(維持審査)と、3年に1回実施の更新審査を受けて認証を維持します。
サーベイランス審査では、認証されたISMSが運用・維持されているか、部分的に確認していきます。一方、更新審査では、認証を更新するための審査が行われ、審査期間も長くなり細かい部分まで確認することになります。
2010年にISMS認証を取得したアトラスは今年、3年に1回の更新審査を受けることになりました。
ISMS更新審査へ向けての準備
更新審査はサーベイランス審査と違い、前回の更新審査後の3年間の振り返りにもなります。そのため、いつもの文書確認以外にも、3年間で対応したことやトピックなども資料や課題、議事録を見ながら確認しました。
3年間を振り返ってポイントだと思ったところは、コロナ禍をきっかけとしたリモートワーク中心の勤務形態へのシフトとオフィス移転でした(アトラスでの働き方)。この2つに対応するために社内のルールやオフィスの物理的なセキュリティなどで見直したところを、今一度確認しました。
また、これまでの外部監査や内部監査の指摘事項や観察事項などの是正・予防処置についても確認しました。内容は大小様々ですが、各グループの担当がきちんと対応してレビューされていることまで再確認できました。なかなか過去数年を遡ってじっくりと振り返る時間がないため、他に関係するような課題がないかなどを考えることができた時間となりました。
ISMS更新審査当日
今回の更新審査は、対象人員数が増えたこともあり、2人の審査員により2.5日間で実施されました。大まかな全体のスケジュールは以下です。
- 初回会議
- トップマネジメントインタビュー
- ISMSの運用に関する全般審査
- ISMSの運用に関する部門審査
- 最終会議
1日目
初回会議で審査の進め方などの説明があり、トップマネジメントインタビューから始まりました。今年度は代表交代もあったため、その経緯や方針などの質問が多くありました。
その後、ISMS運用に関する全般審査として、情報セキュリティ委員会へのインタビューが行われました。定期確認項目や年間スケジュールをもとにこの1年の活動などの話をしました。また、オフィスの現場視察も実施され、執務室や倉庫だけでなく消火器や非常階段の確認もされました。
2日目
2日目は各部門の責任者やISMSグループ管理者へのインタビューが実施されました。私は委員長として一部の部門審査のインタビューに同席していましたが、各グループ、日頃の取り組みと成果についてしっかり話せており、問題なく審査が進みました。
グループの取り組みとして、朝礼やミーティングでインシデントやセキュリティに関するQAを実施している点はとても評価されました。メンバーが積極的に参加しており、情報セキュリティの意識を高める上でも重要なポイントだと改めて思いました。
3日目
最終日の審査は半日で、最終会議のみとなりました。ここでは、1日目、2日目の審査で挙がった観察事項の説明と総括でした。観察事項に関しては、評価できる点と検討の余地がある点が報告されます。対応の要否は自分たちで決めてよく、アドバイスのようなものも含まれています。
審査員の方からは、メンバー各自の積極的なISMSへの参加や、取り組みに関しても高いレベルにあるといったことをコメントとしていただきました。
更新審査の結果
今回の更新審査では、6月の審査実施のあと、不適合もなく7月の下旬に認証の更新が承認されました!
観察事項でいくつか検討の余地がある点があったので、今後に向けてさらに検討していきたいと思います。
最後に
今回の更新審査は、私が委員長になってから初めての審査でもあったため、色々と準備をしたとはいえ緊張しました。ただ、審査が始まってしまえば、日々運用していることを話せばいいのでそこまででもなかったのですが。でも、こう思えるのも、ISMSグループ管理者をはじめメンバー全員がしっかり取り組んでいるおかげでもあるなと思いました。
また、審査中には審査員の方から、他社ではどのように運用しているかなど参考になる情報も聞くことができました。こちらも参考にしつつ、また新しい情報を集めながら、気を引き締めてISMSの運営に取り組んでいこうと思います。