 |
|
| サーベイランスは審査機関によって「維持審査」・「継続審査」・「定期審査」とも称されます。ISO27001認証取得後は、構築したマネジメントシステムの有効性を確認するため、定期的に「サーベイランス」と「更新審査」を受審し、体制の維持・向上を図っていくことが求められます。 |
|
|
 |
|
 |
|
 |
|
サーベイランスは「認証の有効期間中」に自社が認証登録を受けた審査機関によって定期的に行われる審査で、1年に1回(または自社と審査登録機関との合意によって半年に1回)実施されます。サーベイランスでは、初回審査(もしくは更新審査)の際に指摘された「是正処置」が実施されているかの確認(フォローアップ)と、初回審査(もしくは更新審査)の継続として自社の認証範囲全体をカバーする方向で審査が行なわれます。
なお、審査機関によって「初回審査(もしくは更新審査)で認証された適合性の維持を重視する機関」、「認証後の継続的な運用・改善の実施状況を重視する機関」などの特徴があります。
|
|
|
 |
|
| 「サーベイランス」とは別に3年に1回、認証登録した審査機関による「更新審査」が義務付けられます。この審査では「認証登録の継続と更新の妥当性」を審査のポイントとして、自社の「情報セキュリティマネジメントシステム(ISMS)の適合性の維持と改善の状況」についての確認を受けることになります。 |
|
|
 |
|
 |
|
サーベイランスや更新審査において求められる「改善」のレベルは、企業や事業所の状況、事業上の要求・セキュリティに関する義務などによって要求される程度は異なりますが、必要以上のレベルアップを要求されるというわけではありません。ISOマネジメントシステムは「仕組み」が審査される規格です。
認証取得後は自社・審査機関の双方にとって定期的かつ必須の義務となることから『審査のための審査』に終始することなく、自社で行なう内部監査と関連させ、ともすると甘くなりがちな内部監査を補完するための機会と捉えて、ぜひ前向きに取組むべき局面です。 |
|
|
