この記事でわかること
- ISMS認証取得後の運用サイクル(3年周期)
- サーベイランス審査(維持審査)の準備と対応方法
- PDCAサイクルの実践的な回し方
- ISMSの形骸化を防ぐポイント
- 更新審査(3年ごと)の準備
ISMS認証は「取得がゴール」ではない
ISMS(ISO 27001)認証を取得した後、「認証マークをWebサイトに載せて終わり」になっていませんか?ISMSは取得後の運用こそが本番です。認証は3年間有効ですが、その間に毎年のサーベイランス審査(維持審査)があり、3年後には更新審査を受ける必要があります。
運用が形骸化すると、サーベイランス審査で不適合を指摘され、最悪の場合は認証の一時停止や取消につながります。また、ISMSの本来の目的——情報セキュリティの継続的な改善——が達成できません。
ISMS認証取得は「スタートライン」であって「ゴール」ではありません。認証を取った企業の約30%が、取得後1年以内に運用が形骸化すると言われています。最も重要なのは「認証を維持すること」ではなく「情報セキュリティを継続的に改善すること」です。認証はその証明にすぎません。
ISMS認証の3年サイクル
| 時期 | イベント | 内容 |
|---|---|---|
| 初年度 | 初回認証審査 | Stage1(文書審査)+Stage2(現地審査) |
| 1年後 | サーベイランス審査① | 運用状況の確認。1〜2日 |
| 2年後 | サーベイランス審査② | 運用状況の確認。1〜2日 |
| 3年後 | 更新審査(再認証審査) | 全面的な審査。初回審査に近い規模 |
サーベイランス審査の準備
サーベイランス審査は初回審査より範囲が限定されますが、以下の項目は毎回チェックされます。
必ず確認される項目
- マネジメントレビュー — 経営者によるISMSの有効性の評価。年1回以上実施し、議事録を残す
- 内部監査 — 年1回以上の内部監査の実施記録と、指摘事項への対応状況
- リスクアセスメントの見直し — 環境変化を踏まえたリスクの再評価
- 是正処置 — 前回審査の指摘事項(観察事項含む)への対応完了状況
- インシデント対応記録 — 発生したインシデントの記録と対応内容
審査3ヶ月前からの準備スケジュール
- 3ヶ月前 — 内部監査の実施。指摘事項の是正着手
- 2ヶ月前 — マネジメントレビューの実施。リスクアセスメントの見直し
- 1ヶ月前 — 是正処置の完了確認。文書・記録の整理
- 1週間前 — 審査員への提出資料の準備。関係者への周知
PDCAサイクルの回し方
ISMSはPDCAサイクルで継続的に改善する仕組みです。
Plan(計画)
- 年間のISMS活動計画の策定
- リスクアセスメントの実施・更新
- 情報セキュリティ目的の設定(測定可能な目標)
Do(実行)
- リスク対応計画に基づく対策の実施
- 社員教育の実施(年1回以上)
- 日常的なセキュリティ運用(アクセス管理、バックアップ、パッチ適用等)
Check(点検)
- 内部監査の実施(年1回以上)
- 情報セキュリティ目的の達成状況の確認
- インシデント・ヒヤリハットの分析
- サーベイランス審査の結果レビュー
Act(改善)
- 不適合・観察事項への是正処置
- マネジメントレビューでの改善指示
- リスクアセスメントの更新(新たな脅威・脆弱性の追加)
- 文書・手順の改定
形骸化を防ぐ5つのポイント
- ①経営者のコミットメントを維持 — マネジメントレビューを形式的にしない。具体的な改善指示を出す
- ②セキュリティ担当者を孤立させない — 担当者だけが頑張るISMSは続かない。各部門に推進役を配置
- ③記録を溜めない — 月次でこまめに記録を更新。審査前に慌てて作成するのは品質が低下する
- ④実務と連動させる — ISMSのための作業ではなく、日常業務にセキュリティを組み込む
- ⑤教育を工夫する — 毎年同じスライドでは効果が薄い。実際のインシデント事例やフィッシング訓練で実感を持たせる
ISMS運用で最も苦労するのは「記録の維持」です。対策として、Googleスプレッドシートでリスク管理台帳・是正処置記録・教育記録を一元管理し、月次で更新する仕組みを作りましょう。審査前に慌てて書類を整える「審査前夜祭」は品質が下がるだけでなく、審査員にも見抜かれます。
更新審査(3年ごと)の準備
3年ごとの更新審査は初回審査に近い規模で行われます。特に以下の点が重点的にチェックされます。
- 3年間の改善実績 — PDCAが本当に回っていたか
- 環境変化への対応 — テレワーク、クラウド移行等の変化にISMSが追従しているか
- ISO 27001:2022への移行 — 最新版(2022年改訂版)への対応状況
まとめ
- ISMS認証は取得後の運用が本番。3年サイクルで維持審査+更新審査がある
- サーベイランス審査は年1回。マネジメントレビュー・内部監査・是正処置が必須
- 審査3ヶ月前から計画的に準備。直前の詰め込みは品質低下の原因
- PDCAを実務に組み込む。ISMSのための作業ではなく日常業務の一部にする
- 形骸化防止の鍵は経営者のコミットメントと記録のこまめな更新
- 更新審査では3年間の改善実績が問われる
ISMS運用の改善や更新審査の準備について詳しく知りたい方は、お問い合わせからご相談ください。FUNBREWでは、認証維持のための運用サポートを提供しています。
よくある質問
サーベイランス審査で確認される項目は?
年1回のサーベイランス審査では、マネジメントレビュー、内部監査、リスクアセスメント見直し、是正処置の状況が重点的にチェックされます。3ヶ月前からの計画的な準備が成功の鍵です。
ISMS運用の形骸化を防ぐには?
記録の継続的な更新、実務との連動、経営者のコミットメント維持が重要です。審査前の突貫工事ではなく、月次での定期的な記録更新と現場への浸透を図りましょう。
更新審査(3年ごと)では何がチェックされる?
3年間の改善実績とPDCAサイクルの実効性が重点的に審査されます。また、テレワークやクラウド移行などの環境変化にISMSが対応できているかも確認されます。
ISMS運用・維持のご相談
FUNBREWでは、ISMS運用・維持をトータルサポートいたします。サーベイランス審査の準備、PDCAサイクルの定着、記録管理の効率化まで、実務経験豊富なコンサルタントがご支援いたします。
この記事をシェア
セキュリティ対策のシステム構築はFUNBREWへ
ISMS認証の維持にお困りの方へ。形骸化を防ぎ、継続的改善を実現するための実践的な運用支援で、セキュリティレベルの向上と認証維持を両立いたします。まずはお気軽にお問い合わせください。