ISO27001新米担当者、磯一郎が試行錯誤しながらISMS構築を進める物語です。物語を通して、ISO27001取得までの過程や気をつけるべきポイント、スムーズに構築を進めるためのノウハウなどをご紹介します。(※このコラムはJMCリスクソリューションズ社Webサイトからの一部抜粋です)株式会社JMCリスクソリューションズ http://rs.jmc.ne.jp/service/iso27001/27column10.html タイトル:いよいよISO27001の審査へ<ISO27001新米担当者のつぶやき>■審査って、どんなことをするの? こんにちは、磯です。 ISMSの運用も内部監査、マネジメントレビューが終了し、いよいよ審査が近づいてきてます。 何とか必要な資料なども揃えたと思うのですが、審査では「どのような流れで進み、どのようなことを審査されるのか?」不安が募ってくるこの頃です。 今度の打ち合わせで、コンサルタントの方に確認してみます。<ISO27001コンサルタントからのアドバイス> 本日は、ISMSの審査(初回審査)に関してのご説明です。まず、審査はどのような流れで進み、どのような質問があるのかをお話します。■審査の流れ 審査機関によって呼び方は変わってきますが、以下の二つの審査ステップを踏みます。1.文書審査の流れ 主にプロジェクトメンバーが審査対象となります。 審査の内容としては、御社のセキュリティに関する手順書(マニュアル)や、リスクアセスメントなどが、ISO27001の規格要求事項に準拠して作成されているかの確認です。 文書の審査では、作成した文書類の審査が中心となり、基本的には審査員が従業員の方に質問する行為はほとんどないと考えていただいてよいと思います。2.現場審査の流れ プロジェクトメンバーと現場(各部門の代表者、メンバー)が審査の対象となります。 審査の内容としては、文書審査の結果を踏まえ、規格に合致したルールを現場の皆さんがきちんと実行しているかを確認します。 よって現場審査においては、審査員が現場で質問し、対象部門の環境を確認します。■審査時にされる質問1.文書審査時での質問 審査員は、主にプロジェクトメンバーに対して、規格の要求事項をどのように実現してきたかを確認してきます。 例えば、リスクアセスメントのやり方、内部監査のやり方、附属書Aをどのように実現してきたか…などです。 審査前には、規格の要求事項と自社のマニュアルを照らし合わせて、どのように実現しているのかを最終チェックされるとよろしいかと思います。2.現場審査時での質問 プロジェクトメンバーと各現場に対して、セキュリティマニュアルの実施状況を確認していきます。 具体的な質問の内容としては…【執筆:JMCリスクソリューションズ】※このコラムはJMCリスクソリューションズ社Webサイトからの一部抜粋です。コラムの全文は、同社下記情報サイトから利用可能です。 http://rs.jmc.ne.jp/service/iso27001/27column10.html
