 |
|
|
| 1 2 3 4 次のページ
|
|
| 審査対応
|
ISMSの構築が終わり、それにしたがって運用を実施し、内部監査、マネジメントレビュー、是正・予防措置と、情報セキュリティに関する一連のPDCAのサイクルをまわすと、いよいよISMS認証取得の審査である。審査は主にISMS文書の審査を行うステージ1審査と、ISMSの実施状況を確認するステージ2審査の2段階に分かれて実施される。今回はそれぞれの審査の概要と審査対応として準備すべき内容について記載する。
|
| ステージ1審査
|
ステージ1審査は、ISMSが目的にそって計画されて文書化されていることを確認する審査である。この段階で不適合とされると、受審組織は次のステージ2審査(実地審査)の開始までに不適合の状態を解決する是正計画を提出する必要がある。
この段階でマネジメントシステムに大きな欠落や問題点などがある場合は、ステージ2審査に進むことができない。したがって、通常はステージ1審査の前に予備審査を行い、このようなことがないように事前の確認を行うことが一般的である。ただし、予備審査は本審査のオプションとなっており、本審査とは別に費用が発生するので、予算化の際には注意を払う必要がある。
ステージ1審査の目的は、以下の通りである。
- ISMS認証基準の第4〜第7に規定するISMSが構築・維持されていることを審査する。ここでは、詳細管理策の細かい内容までは審査されない
- 情報セキュリティポリシーやISMSの目的にそって、ISMSが構築されていることを文書で確認する。ISMSの構築で準備した文書類については一通り見て審査されるので、審査員が対応しやすいように準備しておく
- 被審査組織のステージ2審査への準備準状況を確認する
- ステージ2審査での審査項目を明確にする
- ステージ2審査で、すべての管理策の内容を見るわけではなく、あくまでサンプリングで管理策の内容と実施状況を確認するので、3と4でどのように実施すれば効果的に審査ができるのかを明確にする
表1:ステージ1審査
審査目的が前項のような内容で、ISMSの計画に焦点をあてた審査をするため、特に経営層(トップインタビュー)、ISMS管理部門(専任組織あるいはISMS推進プロジェクトチームなど)が審査の中心となる。各所管部署は特定したリスクが適切かどうかを確認するサイトツアーとして訪問される程度である。
審査内容をISMSの認証基準でみると、主に対象範囲のすべての情報資産を識別するためのリスク評価の結果とその方法、管理策の選択へのアプローチ、要求される保証の度合い、情報セキュリティポリシーとISMSの構造およびその手順についての確認と文書についてである。
審査の判定は、次のようになる。
- 適合
- 軽微な不適合(ステージ2審査での再確認、中間是正計画の提出)
- 重大な不適合(中間是正計画の提出、審査の中止)
表2:審査の適合度
重大な不適合が発生した場合、審査中止になることもあるので、そのようにならないような準備が必要である。また中間是正計画書には以下の記載を求められる。
- 不適合をどのように是正するのか
- 不適合をいつまでに是正するのか
表3:中間是正計画書に求められる内容
計画書の形式は特に定められていないので、上記の内容を踏まえて審査機関に提出を行う。この計画に大きな欠落や問題点がある場合、ステージ2審査に進めないこともあるので注意が必要である。
|
1 2 3 4 次のページ
|
|
|
|
|
著者プロフィール
みずほ情報総研株式会社 青木 淳
みずほ情報総研株式会社 システムコンサルティング部 シニアマネジャー
情報セキュリティを中心としたコンサルティング業務を担当。最近のプロジェクトでは、ISMS適合性評価制度認証取得支援コンサルティング、情報セキュリティ監査、個人情報保護法対策支援コンサルティング、情報セキュリティポリシー・スタンダード策定コンサルティングなど。ITコーディネータ、ISMS審査員補。
|
|
|
|
|
|
