外部監査とは？

さて、ISMS認証取得までの道のりも、いよいよ終盤。外部の第三者審査機関による審査を受けます。現在、日本国内には約30社の審査機関がありますが、その中から選んだ機関に審査を依頼します。（審査費用などに若干の違いがあるようなので、各社に問い合わせてみるのがよいと思います。）今回、当社はBSIグループジャパン様に依頼しました。

二回に分けて行われる審査

外部審査は2回に分けて実施されます。それぞれStage1、Stage2と呼ばれ、次のような内容と位置づけられています。

・Stage1：「ISO27001規格」と「当社ルール」の適合審査
・Stege2：「当社ルール」と「当社の実態」の適合審査

各ステージの所要期間は企業規模や拠点数によっても異なりますが、当社のような小規模スタートアップの場合、Stage1が1日、Stage2が1.5日でした。また、Stage1と2の間には約1ヶ月程度があらかじめ設けられており、修正等を行うことができます。

審査は細かく、具体的に

審査は、審査員が会社にやってきてひとつひとつ丁寧に行われます。社内ルールとして定めた文書類の内容チェックや、社内の実態が対応できているかどうかのチェックを行います。しかし、難しいことは求められません。セキュリティの観点から必要なことを着実に実行していれば、特に大きな指摘を受けることもないでしょう。

審査が終わると、このような審査レポートが発行されます。規格を満たさない重大な問題がある場合「不適合」とされ審査不合格となりますが、それ以外の軽微な懸念点や気付きは「観察事項」として伝えられます。観察事項は、企業の状況やタイミングに応じて対処していくことが望ましい事項との位置づけです。できること、できないことを企業側で判断していくことが重要と思います。

無事審査合格！あとは認定証を待つのみ

今回、Stage1、2ともに一回で審査を通過しました。この後、しばらくすると「認定証」が発行され、その時点で晴れて「認証取得企業」として対外的に宣言することができるようになります。

追記:認定証が発行されました

審査より数日後、正式な認定証が郵送されてきました。これにより、名刺や企業ウェブサイトにおいても認定取得企業であることを示すことができるようになりました。

準備に着手から審査完了まで約6ヶ月。準備にはそれなりに時間も費用もかかりますが、BtoBスタートアップはできるだけ早いうちに対応しておいたほうがよいということも感じました。今回のこの記事が、少しでもお役に立てば幸いです。

＜あわせてお読みください。：ISMSへの道　記事一覧＞