 |
||||||||||||
|
||||||||||||
| 1 2 3 4 次のページ | ||||||||||||
|
||||||||||||
| 審査対応 | ||||||||||||
|
ISMSの構築が終わり、それにしたがって運用を実施し、内部監査、マネジメントレビュー、是正・予防措置と、情報セキュリティに関する一連のPDCAのサイクルをまわすと、いよいよISMS認証取得の審査である。審査は主にISMS文書の審査を行うステージ1審査と、ISMSの実施状況を確認するステージ2審査の2段階に分かれて実施される。今回はそれぞれの審査の概要と審査対応として準備すべき内容について記載する。 |
||||||||||||
| ステージ1審査 | ||||||||||||
|
ステージ1審査は、ISMSが目的にそって計画されて文書化されていることを確認する審査である。この段階で不適合とされると、受審組織は次のステージ2審査(実地審査)の開始までに不適合の状態を解決する是正計画を提出する必要がある。 この段階でマネジメントシステムに大きな欠落や問題点などがある場合は、ステージ2審査に進むことができない。したがって、通常はステージ1審査の前に予備審査を行い、このようなことがないように事前の確認を行うことが一般的である。ただし、予備審査は本審査のオプションとなっており、本審査とは別に費用が発生するので、予算化の際には注意を払う必要がある。 ステージ1審査の目的は、以下の通りである。
表1:ステージ1審査
審査目的が前項のような内容で、ISMSの計画に焦点をあてた審査をするため、特に経営層(トップインタビュー)、ISMS管理部門(専任組織あるいはISMS推進プロジェクトチームなど)が審査の中心となる。各所管部署は特定したリスクが適切かどうかを確認するサイトツアーとして訪問される程度である。 審査内容をISMSの認証基準でみると、主に対象範囲のすべての情報資産を識別するためのリスク評価の結果とその方法、管理策の選択へのアプローチ、要求される保証の度合い、情報セキュリティポリシーとISMSの構造およびその手順についての確認と文書についてである。 審査の判定は、次のようになる。
表2:審査の適合度 重大な不適合が発生した場合、審査中止になることもあるので、そのようにならないような準備が必要である。また中間是正計画書には以下の記載を求められる。
表3:中間是正計画書に求められる内容 計画書の形式は特に定められていないので、上記の内容を踏まえて審査機関に提出を行う。この計画に大きな欠落や問題点がある場合、ステージ2審査に進めないこともあるので注意が必要である。 |
||||||||||||
|
1 2 3 4 次のページ |
||||||||||||
|
|
||||||||||||
|
|
||||||||||||
|
||||||||||||
|
|
||||||||||||
|
||||||||||||
-
-
連載
