ISO27001新米担当者の奮闘記 〜ISMS構築プロジェクトの進め方〜 第10回 いよいよISO27001の審査へ | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.08.17(木)

ISO27001新米担当者の奮闘記 〜ISMS構築プロジェクトの進め方〜 第10回 いよいよISO27001の審査へ

特集 特集

 ISO27001新米担当者、磯一郎が試行錯誤しながらISMS構築を進める物語です。物語を通して、ISO27001取得までの過程や気をつけるべきポイント、スムーズに構築を進めるためのノウハウなどをご紹介します。
(※このコラムはJMCリスクソリューションズ社Webサイトからの一部抜粋です)

株式会社JMCリスクソリューションズ
http://rs.jmc.ne.jp/service/iso27001/27column10.html

タイトル:いよいよISO27001の審査へ

<ISO27001新米担当者のつぶやき>

■審査って、どんなことをするの?

 こんにちは、磯です。

 ISMSの運用も内部監査、マネジメントレビューが終了し、いよいよ審査が近づいてきてます。

 何とか必要な資料なども揃えたと思うのですが、審査では「どのような流れで進み、どのようなことを審査されるのか?」不安が募ってくるこの頃です。

 今度の打ち合わせで、コンサルタントの方に確認してみます。

<ISO27001コンサルタントからのアドバイス>

 本日は、ISMSの審査(初回審査)に関してのご説明です。まず、審査はどのような流れで進み、どのような質問があるのかをお話します。

■審査の流れ

 審査機関によって呼び方は変わってきますが、以下の二つの審査ステップを踏みます。

1.文書審査の流れ

 主にプロジェクトメンバーが審査対象となります。

 審査の内容としては、御社のセキュリティに関する手順書(マニュアル)や、リスクアセスメントなどが、ISO27001の規格要求事項に準拠して作成されているかの確認です。

 文書の審査では、作成した文書類の審査が中心となり、基本的には審査員が従業員の方に質問する行為はほとんどないと考えていただいてよいと思います。

2.現場審査の流れ

 プロジェクトメンバーと現場(各部門の代表者、メンバー)が審査の対象となります。

 審査の内容としては、文書審査の結果を踏まえ、規格に合致したルールを現場の皆さんがきちんと実行しているかを確認します。

 よって現場審査においては、審査員が現場で質問し、対象部門の環境を確認します。

■審査時にされる質問

1.文書審査時での質問

 審査員は、主にプロジェクトメンバーに対して、規格の要求事項をどのように実現してきたかを確認してきます。

 例えば、リスクアセスメントのやり方、内部監査のやり方、附属書Aをどのように実現してきたか…などです。

 審査前には、規格の要求事項と自社のマニュアルを照らし合わせて、どのように実現しているのかを最終チェックされるとよろしいかと思います。

2.現場審査時での質問

 プロジェクトメンバーと各現場に対して、セキュリティマニュアルの実施状況を確認していきます。

 具体的な質問の内容としては…

【執筆:JMCリスクソリューションズ】

※このコラムはJMCリスクソリューションズ社Webサイトからの一部抜粋です。
コラムの全文は、同社下記情報サイトから利用可能です。
http://rs.jmc.ne.jp/service/iso27001/27column10.html
《ScanNetSecurity》

Scan PREMIUM 会員限定

もっと見る

Scan PREMIUM 会員限定特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. [セキュリティ ホットトピック] 起動領域を破壊し PC を完全にロックするランサムウェア「Petya亜種」

    [セキュリティ ホットトピック] 起動領域を破壊し PC を完全にロックするランサムウェア「Petya亜種」

  2. [セキュリティホットトピック] サイバー攻撃に対して備えるべき機能・組織・文書など、総務省が「防御モデル」として策定

    [セキュリティホットトピック] サイバー攻撃に対して備えるべき機能・組織・文書など、総務省が「防御モデル」として策定

  3. Heart of Darknet - インターネット闇の奥 第1回「プロローグ」

    Heart of Darknet - インターネット闇の奥 第1回「プロローグ」

  4. ここが変だよ日本のセキュリティ 第29回「大事な人。忘れちゃダメな人。忘れたくなかった人。誰、誰……君の名前は……セキュリティ人材!」

  5. ISMS認証とは何か■第1回■

  6. 工藤伸治のセキュリティ事件簿 シーズン6 「誤算」 第1回「プロローグ:七月十日 夕方 犯人」

  7. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  8. スマホが標的のフィッシング詐欺「スミッシング」とは、現状と対策(アンラボ)

  9. [数字でわかるサイバーセキュリティ] 低年齢層のネット利用 8 割超え、サイバー犯罪カジュアル化も

  10. ペネトレーションテスターは見た! 第1回「ペンテスターの苦悩 ~ 脆弱性が見つからないのは○○だから?」

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×