ISO27001（ISMS）更新審査のポイント

2023年2月1日

保有する情報資産を適切に取り扱い、それを証明するためにISO27001（ISMS）を取得する企業は多くいます。
ISO27001（ISMS）は取得して終わりではなく、その後も定期的な審査が必要なことを知っていますか？

更新審査に合格できないと認証登録の更新が認められないので、何としてもクリアしたいところですよね。
そこで今回は、更新審査の目的から審査に通過するためのポイントまでご紹介します。

当社のISOコンサル実績はこちら

更新審査とは？

ISO27001（ISMS）認証の取得後に発生する更新審査について知りたい方は多いですよね。
まずは更新審査の頻度や実施する目的、維持審査との違いについて解説します。

更新審査は、初回審査で認証取得してから3年に1度実施されます。
認証登録の継続を希望するのであれば、必ず更新審査に通過しなければなりません。

更新審査は、認証登録証の有効期限が切れる３ヶ月程度前に、それまで３年間のISO27001（ISMS）運用状況を視野に入れて、当座１年間の運用についてISO27001規格に対するルール面の適合性と、運用面の適合性及び有効性（効果的かどうか）の確認を行い、登録更新に問題がないかどうかを確認します。

初回審査の約3/4、維持審査の約倍程度の工数（審査日数）をかけて、各認証拠点や部門審査をまわって、行いきます。

そのため、確認される証拠のサンプリング数も増えますので、維持審査に比較して指摘が出る可能性は高いかもしれません。

また、更新審査で不適合指摘が出た場合、是が非でも認証登録証の有効期限が切れるまでに、是正（修正処置、原因究明、再発防止、有効性評価の実施など）を完了し、審査機関内で実施される判定会議で合格をもらっておく必要があります。

維持審査とは？

ISO27001（ISMS））認証では更新審査とは別に、維持審査もあります。
維持審査は初回審査登録後、毎年1年のスパンで認証登録の有効期限内３年間で２度実施される審査です。

こちらも更新審査と同様に、ISO27001規格に対するルール面の適合性と、運用面の適合性及び有効性（効果的かどうか）チェックする審査となります。

維持審査では、組織規模にもよりますが、更新審査に比べて工数は少ないですが、人拠点や部門に対して少し時間をかけて深く確認される場合が多いようです。

もちろん、指摘がでることもありますので、不適合指摘を受けた場合には、維持審査で指摘部分が是正されているかチェックされるので、しっかり是正処置（修正処置、原因究明、再発防止、有効性評価の実施など）を行いましょう。

ISO27001（ISMS）認証の更新審査前に必要な準備とは？

・必要な書類と記録
ISO27001（ISMS）の更新審査では、事前に審査機関に以下の資料を提出します。（審査機関によっては異なる場合もあります）

・情報セキュリティマニュアル（任意ですが、一般的には作成する場合が多いようです）
・適用宣言書
・リスクアセスメントの結果
・内部監査の記録（3年間分）
・マネジメントレビューの結果（3年間分）　等

更新審査を受ける時には、過去3年分の書類・記録の用意しておきましょう。
各記録の保管期間や保管場所は、認証当時にルールで決めていると思いますので、審査員に提示を要請されたらスピーディに出せるよう、普段から各記録をしっかり取り、すぐに閲覧・参照できるように整理しておくことが大事ですね。

ISO27001（ISMS）の更新審査の流れとポイントとは？

ここでISO27001（ISMS）認証の更新審査の流れを紹介しつつ、審査をクリアするためのポイントも解説していきますね。

・オープニングミーティング
まずは審査機関の審査員と面談し、審査側、審査を受ける側共に自己紹介をし、続いて審査員から以下の説明がされます。
更新審査の目的
審査の範囲（対象事業、拠点など）
審査基準（ISO27001:2013、情報セキュリティマニュアルの版）の確認
具体的な審査のスケジュールの確認、指摘区分
審査員の守秘義務
等など。

・トップインタビュー
審査員からトップマネジメント（最高責任者）代表者に対して、ISMSの運用に関していくつか質問されます。
具体的に質問される内容（例）は以下のとおりです。

・経営概況（企業として外部、内部の課題、利害関係者からのニーズ、それらに対するリスクやチャンスの評価、リスクやチャンスに対する実施状況の確認（規格6章）運用事業の概況
・情報セキュリティ方針、目的、目標の展開や結果（規格5章、6章）
・情報事故、インシデントの発生状況
・ISMSの実施状況、成果についての社内からの報告と、それに対するトップとしての指示、決定事項（9章　マネジメント・レビュー）

・推進事務局、ISMSの管理者へのヒアリング
ISMS推進事務局、ISMSの管理者にも、以下（例）のような確認をされます。

・適用範囲（登録証の中味の確認、つまり審査を受ける適用範囲である、事業内容や事業拠点などに変更がないか）
・登録証や、認証ロゴマークの使用状況
・情報セキュリティマネジメントシステム（マニュアル）の変化点
・前回審査時の不適合や改善指摘に対する実施状況
・情報事故、インシデントの詳細（発生件数、発生内容、その後の修正、再発防止など）
・内部監査の結果
・情報セキュリティの実施活動に対するモニタリング状況

事務局だけでは作成出来ない記録、証拠も多くあるため、関連する部門から事前に入手、まとめておく必要がありそうですね。

・現場視察
管理層との面談が終了すると、今度は審査員が各部門毎、プロセス毎に、その仕事をしている事務所や作業現場に行って机上での確認、作業状況についてチェックします。

作業現場では、各部門の責任者（部門長等）や部門・部署ごとの現場担当者に対してもヒアリングが行われます。

仮に、不適合や改善指摘二なりそうな事項があれば、指摘候補であることを審査員から告げられます。そこで皆さんが納得、了承すれば、最終会議で指摘として正式に通知される可能性があります。

しかし、その指摘に納得できない場合には、ルールに従って適切に業務を実施していることを説明したり、証拠を示したりして反論することも可能です。

・更新審査のまとめ会議（審査員チームで実施）
推進事務局や各部門への審査が終わると、審査チームの中で、今回の審査の中で指摘候補について、どれを最終会議で通知するのかのミーティングが行われます。

・クロージングミーティング
クロージングミーティングでは、大凡以下のような事項を説明されます。
・審査の目的と適用範囲の確認
・審査結果の結論・講評（認証更新を審査チームとして推薦できるか、審査全体の感想、充実点の説明など）
・不適合、改善指摘の説明と受審企業の受け入れ確認
・再発防止完了の期日
・判定会議（今回の審査が適切であったかを審査機関の中で評価する会議体）の期日
等など

不適合と指摘された場合は、是正策を立案して実施していきましょう。

また、審査員からコンサルにならない程度で運用のアドバイスをくれることもあります。
より良い運用体制にするためのヒントとなることもあるので、助言を活かしながら運用を続けていきましょう。

最後までご覧いただき、ありがとうございます。
ISO27001（ISMS）認証の更新審査の内容や流れについて知り、ISMSの構築、運用に興味を持たれましたでしょうか。

審査で、不適合を受け、是正が期限に間に合わないと、認証の一時停止などの措置が下されてしまう可能性があります。
そうならないように、ご紹介した事前準備やポイントを参考に自社でしっかり管理することが大切です。

ただ、自社での管理がまだ不安がある、という場合には、取得や更新の支援を行うプロへの相談がおすすめです。

ISOコム当社では、経験が豊富で、わかりやすくて使いやすい、スリムなISMSの構築、運用、更新を支援するコンサルタントが揃っています。

ご興味のある方は今すぐこちらまでご相談を！
ISOコム株式会社お問合せ窓口 0120-549-330