ISMSの取得後に関するよくあるご質問をQ&Aとしてまとめました。

Q. ISO27001を取得した後の社員研修は、どのようなことを行えばいいのでしょうか?

教育は必要ですが、その形式の指定はありません。したがって、研修形式である必要はありません。

Q. ISO27001/ISMSを取得した後は、審査を受ける必要がありますか?

ISO27001/ISMSを取得した後は、定期的に継続審査(定期審査)と再認証審査(更新審査)を受けることになります。再認証審査は3年毎にあります。再認証審査が無い年には、継続審査があります。

ISO9001審査サイクル(初年度から6年目まで)
Q. ISO27001を取得した後に事件や事故が発生した場合どうなるのでしょうか?

事件や事故が発生したという一事のみをもって認証が取り消されることは稀です。

ただし、事件・事故原因によっては取り消されることも有り得ます。例えば社会的影響の大きい事件・事故で、原因が明らかなコンプライアンス違反であるような場合です。

また、事件・事故発生後の対応状況によっては、取り消されることも有り得ます。これは、マネジメントシステムが運用されていないと判断されたようなケースです。例えば、必要性があるにも関わらず修正や原因の除去を行わずに放置した場合が挙げられます。

Q. 長年ISMSを運用していて情報リスクの洗出しが困難になりました。

ISMSを5年、10年と長期間運用していると、新たな情報リスクを発見することが困難になってきて、審査の際に指摘を受けるケースが散見されます。

そのような場合は、リスクを特定するスキームそのものを変えてしまう、もしくは既存のスキームに異なるスキームを加えて複合的に特定を行う等の対処方法が考えられます。

まずは現在のスキームを教えてください。よろしければ確認にお伺いします。

Q. 構築したISMSをもっと簡単にしたいのですが、可能でしょうか?

まずは、「なぜ簡単にしたいのか」をお聞かせください。例えば「文書量が多くて管理負荷が高いから」「規程類の内容が実態と乖離しているから」等です。「どこに困っているのか、どこに負担を感じているのか」お聞かせいただけると、改善のご提案ができるかもしれません。

なお、大抵のケースは「簡単にできる」余地があるのですが、場合によってはその余地が無いケースも考えられるので、まずは現在のISMSについて調査させていただけると、妥当なご提案ができます。

Q. ISMS認証の取得後に適用範囲を変更できますか?

適用範囲の拡大・縮小いずれも変更可能です。ただし、完全に自由に設定できるわけではなく、いくつか条件があります。

Q. 認証取得後のコンサルティングは必要ですか?

認証取得された後、外部の支援を受けずに認証を維持されている組織はたくさんあります。

とは言え、以下のようなケースは支援をご要望いただくことがあります。

  • 多忙で内部監査等をこなすことができない
  • スキルの問題で研修を外部に任せたほうが効果的
  • 事業内容が変わってしまったのでリスクを見直したい

また、最初から支援を受けずに認証を取得したり、他社の支援を受けられた組織からは、ISMSそのものの見直しをご要望いただくことがあります。具体的には、リスクアセスメントのスキーム見直しや、文書量の圧縮等を挙げることができます。

作業のご支援から、顧問契約的にアドバイザーとしてご契約させていただくような支援まで、ご要望に応じて承ります。

なお、変わったところでは、認証は不要になったので返上するが、構築されたISMSは運用し続けるので、審査が不要になったことに合わせてISMSを最適化したいというご要望をいただいたこともあります。

Q. ISMS認証を取得した後も、運用支援をしてもらえますか?

もちろん支援させていただきます。ISMSの運用支援では、文書関連支援や教育訓練関連支援、外部監査・内部監査オブザーバ支援、審査申請書類作成支援、審査立ち会い支援などを通じて、全面的なご支援から部分的なご支援まで、お客様のご事情に合わせてご提案いたします。アドバイスのみのコンサルティング支援にも対応いたします。

Q. 2022年にISMS(ISO/IEC 27001:2022)が改訂された変更点を教えてください。

JIS Q 27001:2014(ISO/IEC 27001:2013)からJIS Q 27001:2023(ISO/IEC27001:2022)への改訂の目的は、他のISO認証規格との整合性確保、ICT環境等の変化に合わせた管理策の追加、内容が似通った管理策の整頓による企画要求のスマート化です。

本文は、要求事項の追加・変更と項番変更がなされました。附属書Aでは、管理策の統合と追加がなされました。

各要求事項の変更点や、その変更で何をしたらいいのかを解説をいたしました。こちらからご覧ください。

  1. JIS Q 27001:2023(ISO/IEC27001:2022)改訂解説1「4. 組織の状況」
  2. JIS Q 27001:2023(ISO/IEC27001:2022)改訂解説2「5.リーダーシップ」
  3. JIS Q 27001:2023(ISO/IEC27001:2022)改訂解説3「6.計画」
  4. JIS Q 27001:2023(ISO/IEC27001:2022)改訂解説4「7.支援」
  5. JIS Q 27001:2023(ISO/IEC27001:2022)改訂解説5「8.運用」
  6. JIS Q 27001:2023(ISO/IEC27001:2022)改訂解説6「9.パフォーマンス評価」
  7. JIS Q 27001:2023(ISO/IEC27001:2022)改訂解説7「10.改善」

ご相談やお見積りは、下記の電話番号、
もしくはメールフォームにて承っております。
お気軽にご相談ください。

受付時間:平日 9:00~18:00