ISO 27001(情報セキュリティ)
JQAは、情報資産活用の効果をより高めていく情報セキュリティマネジメントシステム(ISMS)審査を目指します。
審査登録の流れ
![Plan(計画):[お客さま]経営者による認証取得の決定と宣言、社内推進体制(事務局など)の確立、適用範囲/境界の決定、キックオフ(経営陣の決意表明)、事務局/推進メンバーを中心とした実務担当者への情報セキュリティ教育、情報セキュリティ基本方針の策定、リスクアセスメント手順の作成、情報資産の洗い出し、リスクアセスメントの実施、適用宣言書の作成。[JQA]ISO 27001 審査登録申込(※1)/審査登録契約、日程申込、受付。 Do(実行):[お客さま]リスク対応計画の作成/実施、事業継続計画の作成/試験/再評価、規程類の作成/教育、ISMS運用開始、ISMSに基づく日常業務の実行/管理。 [JQA]日程連絡、日程確認。審査日程決定。 Check(点検):[お客さま]セキュリティ事象/インシデントの監視、ISMSの見直し/管理策の有効性測定、内部監査、マネジメントレビュー。 Act(処置):[お客さま]是正処置/予防処置の実施 [JQA]審査計画提出(※2)、審査計画合意(お客さま)、登録審査(ファーストステージ審査)。(※3)、登録審査(セカンドステージ審査)(※4)、審査判定会、認証登録・登録証の発行。](img/flow_img01.gif)
登録後のステップ
- ※1 審査登録申込時に提出いただいた資料の内容確認のために、審査員が現地を訪問することがあります(現地調査)。
- ※2 審査登録申込時にいただいた情報および電話・メール等でのヒアリングで得られた情報をもとにファーストマネージ審査の実施が可能と判断された場合は、ファーストステージ審査計画を提出します。なお、この時点で内部監査およびマネジメントレビューが少なくとも1回は実施されていることが必要です。
- ※3 システム文書審査に加え、内部監査、マネジメントレビューの実施状況等を確認します。ファーストステージ審査の結果、審査員がセカンドステージ審査に移行することが可能と判断した場合に、セカンドステージ審査へ移行することになり、セカンドステージ審査計画を提出します。ただし、審査員がセカンドステージ審査に移行できないと判断した場合は、再度ファーストステージ審査を受審していただく必要があります。ファーストステージ審査とセカンドステージ審査の間隔が6ヵ月を超える場合も再度ファーストステージ審査を受審していただくことになります。
- ※4 ISO 27001の規格要求事項に適合しているかを判断するために実施します。審査計画に従い、規格要求事項のすべての項目と対象となる責任者・すべての組織について網羅的に審査します。ファーストステージ審査とセカンドステージ審査の間隔は最短でも1ヵ月あける必要があります。審査チームの結論は審査終了後に審査報告書にて報告します。なお、セカンドステージ審査にて改善指摘事項が検出された場合、所定の期限までに是正処置計画書または是正処置報告書を担当審査員に提出するか、限定再審査もしくは全面再審査を実施することがあります。
- ※5 第1回の定期審査はセカンドステージ審査終了日から12ヶ月以内に終了する必要があります。
- ※6 更新審査は登録証の有効期限の30日前までに終了する必要があります。
