初動審査では何を準備すべきか

初回審査は、文書審査、初動審査、本審査の順で進められる。

文書審査

文書審査は、重要文書（ISMS構築の要点となる文書）を審査するもので、審査員が当該組織を訪問しない。ISMSマニュアルに相当する文書類、特にリスクアセスメント関連、適用範囲関連は重要である。基本的なスキームのミスはISMS活動全体への影響が大きいため、早い段階で問題の有無を確認するものです。

文書審査は、資料を審査機関に送ることになるが、そのこと自体がリスクを伴うものであるため、電子環境の利用なども一部実施されている。リスクの質が変わるだけで、必ずしも軽減されるわけではない。印刷コストなどの軽減は図れる期待がある。電子環境での文書審査は、俯瞰性が下がるため審査員には必ずしも歓迎されていないようだ。

文書審査時に求める文書類は審査機関毎に定めている。

文書審査の前に予備審査あるいは予備調査が実施されることもある。審査という名称は相応しくないということで最近は調査辺りの用語としている。一種のコンサル行為に相当するという懸念を払うためだが、やっていることは変わりはない。審査を受けることが出来るかどうかの見極め。

審査機関によっては、予備調査に出た人（審査員）は、審査を担当しないというルールを設定している。予備調査にコンサル的側面が入ることを避けるためである。この程度でも受審出来るとした人が、審査の中でこれでは駄目ですとは言えない空と言うのが基本的な理由。（事務局が内部監査をやるのと似た構造ですね）

審査機関によってはお構いなし。クライアントから見れば安心では有るが、いい加減差を見逃しはしないでしょう。「それなりの付き合い」になるのでしょうね。

初動審査

文書審査で、是正が済むと初動審査で往査の形になる。現場に入る。メインサイトの訪問。文書の是正確認とサンプリングした部署の訪問も行う。リスクアセスメントの実際の状況も確認する。教育計画、内部監査計画（または実績）、事業継続計画（予定）についても確認する。運用計画の全体を見る。既に、ISMSの運用を開始しているところも有るが、計画に指摘が入ることもあるので、多くの場合は初動審査の指摘を踏まえて是正後に運用開始の日程を組む。初動審査では本審査のねらい目を見極めることも目的になっている。当該組織の重要リスク領域と管理策が有効に働くかの視点で本審査計画の概要を検討する。

本審査の日程もここで最終確認する。初動審査と本審査の間があまり短いと運用期間が短くなって色々無理矛盾が出てくるので要注意。そのため、無理を承知で初動審査前に運用を開始するケースも出てくる。手戻りのリスクを咥え込むので勧められないが時間切れ見切りのケース。

本審査

文書審査、初動審査で確認したことも含めて、ISMSの運用を審査する。マネジメントレビュー（インプットとアウトプット、特にトップの指示事項の取り扱い）、内部監査、それに伴う是正、リスクアセスメントとリスク対応計画の進捗、事業継続計画の訓練と是正、有効性指標とデータ収集、採用・退職を含む人的セキュリティ、サイトは全て訪問する。データセンターなど重要資産を外部に預けてある場合はその管理状況の確認も行う。

マネジメントレビューなどキーアクティビティが欠落すると重大な不適合で再審査。

本審査では審査員チームとして認証の是非判断が行われます。（最終判定は判定委員会）

経営者インタビュー

トップインタビューはマネジメントレビューの関連があるので本審査冒頭に実施することが多い。インタビューの狙いは、トップがISMSにどの程度関与しているかを直接伺うことであるが、もっと基本的なところでは、トップのISMSに対する意志（狙い・価値観）を正しく理解すること。

規格適合性というクールな側面と、トップの意志が現場で正しく具現しているかというホットな側面がある。その意味では、経営者インタビューの形式は取らなくても、初動審査の段階で「トップ懇談」の機会を設けることは有意義である。経営者インタビューでも余計な緊張を強いられずより有意義と言えます。

.*.

第1段階、第2段階だけで進める審査もあります。訪問による文書審査と初動審査を第1段階。第2段階は本審査と同じ内容です。手順がコンパクトでクライアントの負担が一見小さいように見えますが、全体のマネジメントスキームへの影響が大きいため、慎重に手順を踏む方が後々の負担は抑えることが出来ます。手軽に簡易型で進めてしまうと、手軽な簡易型からより有効性の高いマネジメントに移行することが出来にくくなります。

ここは手軽に一件落着を目指すコンサルと審査員と事務局の利害が一致して経営者が置いてけぼりを食らう勘定になるので要注意のうえにも要注意です。更に第三者的な立場のアドバイザーを活用するところでしょう。

.*.