今回はISMS(ISO/IEC 27001:2013)更新審査を受審する際の本番対応について説明したいと思う。なお、どの審査機関で受審しても同様のスキームであると思うが細かい点は異なるかもしれないことを了承していただきたい。
本審査の流れ
本審査は審査機関から予め提出された審査計画書に基づいて実施される。当日はその内容確認から始まり、変更希望などがある場合は審査員と直接交渉を行う。審査計画書の流れは大体以下のような形で進められる。
オープニングミーティング
↓
トップインタビュー
↓
事務局インタビュー
↓
各部門インタビュー
↓
サイトツアー
↓
クロージングミーティング
組織規模や適用範囲によって審査日数が異なるが、中小規模の審査なら2~4日程度であると思う。各部門インタビューとサイトツアーをどれだけ実施するのかで日数が決まる。
本審査で心がけたいこと
たまにいるのがやたらと審査員を敵対視してしまい、インタビューが険悪な雰囲気で進んでしまうような場合がある。審査員も粗探しをしに来ているのではなく、公正で客観的に情報セキュリティに対するマネジメントシステムが運用されているのかを確認するために来ているのであって、必要以上に敵対視する必要はない。第三者的に事実に基づく気付いた点を記録し、良いところは称賛したいと考えているのである。ここでは簡単に本審査で心がけておきたい事項を記載したいと思う。各部門インタビューを想定している。
インタビューの準備をしておく
部門責任者と担当者が事前に準備する事項として、その部門が「どのような業務を行っていて、どのような情報資産を保有し、どのようにリスクアセスメントをしたか」ということを資料にまとめておく必要がある。業務説明は口頭で済ませる場合もあるが、できれば簡単な紹介資料などがあると審査員側もわかりやすいのでスムーズにインタビューが進むだろう。情報資産の洗い出しとリスクアセスメントは必須なので、キチンと説明できるよう準備しておく必要がある。
うそはつかない
故意なのかどうか判断しにくいが、インタビューの質問に対して平気で嘘を言ってしまう人がたまにいる。これはいけない。わからないのであれば確認すればいいだけの話なので、素直に「確認するので少し時間をください」と言えばいいのである。あまりにも嘘が多いような場合は審査員側もわかるので、言い訳できないようなエビデンスを求めてくる。その場しのぎの嘘でごまかすのではなく、キチンとした対応をすることが重要であると思う。
説明できる人員をアサインする
よくあるパターンとしては部門責任者と担当者の二人体制でインタビューに応じるというものがあるが、たまになんらかの理由でアサインできずに、部門業務を全然分かっていないような人がインタビューに応じる場合がある。これもいけない。何を聞いても「恐らく」とか「たぶん」とか曖昧な受け答えしかできずに終わってしまい、結果として指摘を受けてしまうことがある。事前に説明できる人員をアサインしておくことも重要である。
まとめ
本審査ではトップと事務局はやるきマンマンでも各部門が追い付いていない場合も少なくない。こういった審査に慣れていない人も多く、その上多くが兼任として本業があるうえに対応している場合も多いので、負担が大きく、あまり気が進まないという人も多いだろう。それゆえに本審査でどれだけ指摘を受けるのか、カギとなるのが各部門になるため、負荷分散も含めて全社的な対応が必要になってくると思われる。
コメント