前回のISMS更新・新版への移行審査から早いもので3年が経ち、新版：ISO27001:2013での認証機関による初めての更新審査が2日間に渡って行われました。

今回の審査は、審査員2人体制で「Aチーム」「Bチーム」に分かれての審査となり、各部門の責任者は、ISMS管理責任者の手助けなく、部門内ですべての審査対応を行うことになり、ちょっとした緊張感もありました。

ISOと言えば、書類、書類、記録、記録...のイメージがありますが、新版のISO27001:2013では、イメージが大きく変わり、書類や記録のみの審査だけでなく、より現場に近く、実際にどのようなセキュリティ方針で、具体的にどのように管理されているのか、審査員がひとつひとつヒアリングして、審査を行う『考えるISO』に変わっています。

また、「インシデント」や、それに対する是正処置の管理も大きく変わり、従来は、インシデント＝事故が発生し、それに対する是正を行う、という考え方でしたが、新版では、「事故になる前に起きている『事象』」を集め、「事故になる前に改善・対策を行う」という考え方に変化しています。

今回の更新審査でも、各部門への具体的管理策のヒアリング、事象についても確認が行われ、GoodPoint（良い結果）も7件評価して頂き、審査終了会議でも、今後もしっかり継続して他社に良い影響を与えるようにとのコメントを頂きました。

弊社では取得当初から、記録や表面上だけでなく、本気のISO27001を目指して構築を進めており、この3年間は更にレベルアップ出来たのではないかと思います。

今後も更なるレベルアップを目指して行きたいと思います。

情報セキュリティ管理者：J