ISO 27001 の審査の手続き

1. ISO 27001 によるメリットの認識

管理者がまず情報セキュリティマネジメントシステムを適用してISO 27001資格を取得することで得られるメリットを認識しなければならない。

メリットを認識した上、ISO 27001 資格を取得するための経験と必要な知識を持っている専門家に依頼する。

2. リスク評価

組織に対するセキュリティに関わるリスクを特定し評価する。

特定されたリスクについて、ハザードになる可能性及び組織への影響度が評価される。

3. 対策実施・管理

特定したセキュリティリスクに対して適切な対策を実施し、リスクを許容できるレベルまで下げます。

その後、既存のリスク・セキュリティ事故の管理と新たに発生しそうなリスクの特定が出来るような仕組みを構築し、継続的に見直しを行います。

審査の実施

初回審査に入ります。

まず、審査員が関係書類をチェックし、実際の運営に合っていることを確認します。改正が必要と見られた場合アドバイスを出します。

必要な改正を実施した後、第三者の認証機関による正式な審査が受けられます。認証機関はUKASにより認められたものにしたほうがいいです。

書類の管理

適切な書類保管と取り扱いを通じて効率的なシステムが維持されることが期待できます。

是正措置

どこかのプロセスがもう正しくなくなる時がある。そのような時の前に確定した修理措置・再発生措置が必要である。

実施した対策について記録を残し管理すべきである。可能であれば、ハザードになりそうなリスクを判断しハザードにならないように防止対策又は緩和対策を実施する仕組みを整えたほうがいい。

継続審査

適用したシステムについて、頻繁に内部で審査を行う必要がある。審査の対象ではない御社における人間に審査を実施してもらっても可能である。

審査員が、御社がシステムを遵守しているかを審査し、改善が必要なところを見つければ改善を要求する。

御社が審査計画を作成し、審査を受け、議事録を残すという手続きに従えなければならない。

ACS Registrars UKASに認定されている認証機関である。詳しく知りたい方は、弊社の電話番号までご連絡ください。又は要求書に情報をご記入ください。