 |
|
|
| 前のページ 1 2 3 4
|
|
| 定期・維持審査、更新審査の対応
|
ISMSは認証を取得すればそれで終わりというものではない。構築したISMSが認証取得以降もPDCAのサイクルが正しく機能しているかどうかの審査が入る。審査登録機関では、被審査者が認証取得以降も継続して認証基準に適合する効果的なISMSを維持していることを検証するために、サーベイランス(定期審査、維持審査)および更新審査を行うことになっている。
認証を維持するためには、情報セキュリティマネジメントシステムが継続して有効であるかを、定期的に確認するサーベイランスを少なくとも年に1回以上受けなければならない。1回以上と記載しているが、多くの企業は年1回としているケースが多い。
また、少なくとも3年毎に更新審査を受けて適合していれば更新される。
サーベイランスと更新審査における活動や手順は基本的に初回審査と変わらない。ただし、サーベイランスおよび更新審査においては変化した点や変更点、特に前回の指摘事項についてはよく審査されるので、被審査側は対応をしておく必要がある。そして、審査プログラムには次の点が含まれる。
- 審査対象事業所およびそれを取り巻く情報セキュリティ環境の変化の確認
- 変更された部分の確認(情報セキュリティポリシーの変更、手順の変更)
- 情報セキュリティポリシーの遵守状況の確認(内部監査、見直しなど)
表10:更新審査の内容
また、審査の工数は一般的に以下のようになるので、予算化する際、考慮する必要がある。
初回審査 → 更新審査 → サーベイランス
今回まででISMSの取得から運用・審査まで一通り解説してきた。次回からは、ISMS規格の今後の動向について見ていく。
|
前のページ 1 2 3 4
|
|
|
|
|
著者プロフィール
みずほ情報総研株式会社 青木 淳
みずほ情報総研株式会社 システムコンサルティング部 シニアマネジャー
情報セキュリティを中心としたコンサルティング業務を担当。最近のプロジェクトでは、ISMS適合性評価制度認証取得支援コンサルティング、情報セキュリティ監査、個人情報保護法対策支援コンサルティング、情報セキュリティポリシー・スタンダード策定コンサルティングなど。ITコーディネータ、ISMS審査員補。
|
|
|
|
|
|
