ISMS運用・維持のコツ｜サーベイランス審査の準備と継続的改善の進め方

ISMS認証は「取得がゴール」ではない

ISMS（ISO 27001）認証を取得した後、「認証マークをWebサイトに載せて終わり」になっていませんか？ISMSは取得後の運用こそが本番です。認証は3年間有効ですが、その間に毎年のサーベイランス審査（維持審査）があり、3年後には更新審査を受ける必要があります。

運用が形骸化すると、サーベイランス審査で不適合を指摘され、最悪の場合は認証の一時停止や取消につながります。また、ISMSの本来の目的——情報セキュリティの継続的な改善——が達成できません。

ISMS認証の3年サイクル

サーベイランス審査の準備

サーベイランス審査は初回審査より範囲が限定されますが、以下の項目は毎回チェックされます。

必ず確認される項目

• マネジメントレビュー — 経営者によるISMSの有効性の評価。年1回以上実施し、議事録を残す
• 内部監査 — 年1回以上の内部監査の実施記録と、指摘事項への対応状況
• リスクアセスメントの見直し — 環境変化を踏まえたリスクの再評価
• 是正処置 — 前回審査の指摘事項（観察事項含む）への対応完了状況
• インシデント対応記録 — 発生したインシデントの記録と対応内容

審査3ヶ月前からの準備スケジュール

1. 3ヶ月前 — 内部監査の実施。指摘事項の是正着手
2. 2ヶ月前 — マネジメントレビューの実施。リスクアセスメントの見直し
3. 1ヶ月前 — 是正処置の完了確認。文書・記録の整理
4. 1週間前 — 審査員への提出資料の準備。関係者への周知

PDCAサイクルの回し方

ISMSはPDCAサイクルで継続的に改善する仕組みです。

Plan（計画）

• 年間のISMS活動計画の策定
• リスクアセスメントの実施・更新
• 情報セキュリティ目的の設定（測定可能な目標）

Do（実行）

• リスク対応計画に基づく対策の実施
• 社員教育の実施（年1回以上）
• 日常的なセキュリティ運用（アクセス管理、バックアップ、パッチ適用等）

Check（点検）

• 内部監査の実施（年1回以上）
• 情報セキュリティ目的の達成状況の確認
• インシデント・ヒヤリハットの分析
• サーベイランス審査の結果レビュー

Act（改善）

• 不適合・観察事項への是正処置
• マネジメントレビューでの改善指示
• リスクアセスメントの更新（新たな脅威・脆弱性の追加）
• 文書・手順の改定

形骸化を防ぐ5つのポイント

• ①経営者のコミットメントを維持 — マネジメントレビューを形式的にしない。具体的な改善指示を出す
• ②セキュリティ担当者を孤立させない — 担当者だけが頑張るISMSは続かない。各部門に推進役を配置
• ③記録を溜めない — 月次でこまめに記録を更新。審査前に慌てて作成するのは品質が低下する
• ④実務と連動させる — ISMSのための作業ではなく、日常業務にセキュリティを組み込む
• ⑤教育を工夫する — 毎年同じスライドでは効果が薄い。実際のインシデント事例やフィッシング訓練で実感を持たせる

更新審査（3年ごと）の準備

3年ごとの更新審査は初回審査に近い規模で行われます。特に以下の点が重点的にチェックされます。

• 3年間の改善実績 — PDCAが本当に回っていたか
• 環境変化への対応 — テレワーク、クラウド移行等の変化にISMSが追従しているか
• ISO 27001:2022への移行 — 最新版（2022年改訂版）への対応状況

あわせて読みたい

• ISMS・Pマーク取得ガイド｜中小企業の情報セキュリティ認証の進め方
• ISMS（ISO27001）取得の手順｜審査対応と必要書類を完全解説
• ISMSのリスクアセスメント実践ガイド｜リスク特定・評価・対応計画の作り方
• 情報セキュリティポリシーの作り方｜中小企業向けテンプレートと記載項目
• 情報セキュリティ監査の進め方｜社内監査のチェックリストと実施手順

まとめ

• ISMS認証は取得後の運用が本番。3年サイクルで維持審査＋更新審査がある
• サーベイランス審査は年1回。マネジメントレビュー・内部監査・是正処置が必須
• 審査3ヶ月前から計画的に準備。直前の詰め込みは品質低下の原因
• PDCAを実務に組み込む。ISMSのための作業ではなく日常業務の一部にする
• 形骸化防止の鍵は経営者のコミットメントと記録のこまめな更新
• 更新審査では3年間の改善実績が問われる

ISMS運用の改善や更新審査の準備は、お問い合わせからご相談ください。FUNBREWでは、認証維持のための運用サポートを提供しています。