ISMSのサーベイランス審査(維持審査)は、認証取得後の1〜2年目に実施される定期審査です。更新審査に比べてスコープが限定されているため「なんとかなるだろう」と油断しがちですが、実際には審査当日に慌てるケースが少なくありません。

この記事では、審査の直前期に特に確認すべき5つのポイントを、実務レビューの観点から解説します。

1. SoA(適用宣言書)は最新の状態になっているか

SoA(Statement of Applicability)は、ISMSの管理策ごとに「適用/除外」を宣言し、その理由を記述するドキュメントです。認証取得後も、組織の変化(システム変更、新サービス導入、事業範囲の変更など)に応じて更新が必要です。

審査員は、SoAと実際の運用記録の整合性を確認します。特に「適用」と宣言している管理策に対して、実態が伴っているかどうかは厳しく見られます。取得後のSoAが認証時のままになっているケースは多く、最初に確認すべきポイントです。

確認すべき観点:SoAの最終更新日が適切か。管理策の適用判断に組織変化が反映されているか。除外管理策の理由が引き続き妥当か。また、適用としている附属書Aの各管理策が、リスクアセスメントで識別したリスクへの対応として論理的に紐づいているかも重要です。「なぜこの管理策を適用しているのか」を説明できる状態になっているかを確認しておくと安心です。

2. リスクアセスメントは定期的に見直されているか

ISO 27001では、リスクアセスメントの定期的な実施が求められています。取得後に一度実施したきり、更新されていないというケースが散見されます。

審査では「いつ実施したか」「誰が承認したか」「前回との差分はどこか」を確認されることが多いです。新たなクラウドサービスの導入や、重要な業務プロセスの変更があった場合には、都度リスクの再評価が必要になります。

  • 直近のリスクアセスメント実施日と承認者を確認する
  • 組織変化(新システム導入、人員異動、外部委託変更等)が反映されているか確認する
  • リスク受容の根拠が記録されているか確認する
  • 識別したリスクへの対応策が附属書Aの管理策として具体的に特定されており、SoAの記載内容と一貫性があるか確認する

3. 前回の是正処置は完了しているか

前回の審査(初回認証審査またはサーベイランス審査)で不適合や観察事項が指摘された場合、是正処置の実施と有効性の確認が求められます。是正処置が未完了のまま次の審査を迎えると、重大な問題として扱われる可能性があります。

「是正処置を実施した」という事実だけでなく、「有効であったか(再発防止につながっているか)」の確認記録まで整備しておく必要があります。また、是正処置の内容を示すエビデンスは、審査員を含む第三者が見ても何をいつ誰が実施したかを把握できる形で保管されていることが求められます。口頭で経緯を説明するだけでは記録として認められない場合があります。

よくある失敗:是正処置の「完了」を宣言したものの、根本原因への対処が不十分で同様の問題が繰り返されているケース。有効性の確認手順を記録に残しておくことが重要です。

4. 内部監査は計画通り実施されているか

内部監査は、年1回以上の実施が一般的に求められます。実施計画、チェックリスト、監査報告書、指摘事項への対応記録——これらが一連の流れで揃っているかが確認ポイントです。

「計画書はあるが実施記録がない」「チェックリストが形式的で実質的な確認ができていない」といったケースは、審査員から厳しく指摘されます。内部監査の品質そのものも問われます。

  • 直近1年以内に内部監査が完了しているか
  • 監査計画、実施記録、報告書が揃っているか
  • 監査で確認した管理策のエビデンス(設定画面、ログ、承認記録等)が、第三者にも内容が分かる形で保管されているか
  • 指摘事項への対応が追跡・確認されているか

5. マネジメントレビューの記録は整備されているか

マネジメントレビューは、経営層がISMSの状況を定期的にレビューする仕組みです。審査では、会議の実施記録(議事録)と、そこで確認された事項・決定事項の記録が求められます。

「会議は実施したが議事録がない」「レビューのインプット情報が不足している」というケースが多いです。ISO 27001が求めるインプット(内部監査結果、リスク評価、目標達成状況等)が実際に議題として扱われているか、記録に残しておくことが重要です。

  • 直近のマネジメントレビュー日時と参加者を確認する
  • 議事録にISO 27001規定のインプット項目が含まれているか確認する
  • 決定事項の実施状況が追跡されているか確認する

まとめ:審査の2〜4週間前に一巡する

上記5つのポイントは、いずれも「取得後の継続的な管理」が問われる領域です。認証取得時の勢いで整備したものが、時間の経過とともに形骸化していることに審査の直前になって気づく——このパターンを避けるために、審査の2〜4週間前に一度整合性を確認することをお勧めします。

「どこから手をつければよいかわからない」「資料は揃っているつもりだが自信が持てない」という場合は、スポットでのレビュー支援もご相談ください。

  • SoAは最新の組織状況を反映しているか
  • リスクアセスメントは定期的に実施・更新されているか
  • リスクへの対応策と附属書Aの管理策が紐づいており、SoAとの一貫性が保たれているか
  • 前回審査の是正処置は完了・有効性確認まで済んでいるか
  • 各管理策のエビデンスが、第三者にも内容が分かる形で整備・保管されているか
  • 内部監査の計画・実施・記録が一連で揃っているか
  • マネジメントレビューの議事録にインプット項目が含まれているか
Masahide Inoue
TrustAxis / IT統制・ISMS・クラウド統制のレビュー支援
監査法人系ファームでのJ-SOX・IT全般統制・ISMS実務を経て、TrustAxisを設立。スタートアップ〜中堅企業向けに、レビュー・壁打ち主体の支援を提供しています。