• 更新日 : 2025年7月7日

ISMSの維持審査とは?更新審査・初回審査との違いや内容、期間、費用などを解説

情報セキュリティ対策が企業経営の重要課題となる現在、ISMS(情報セキュリティマネジメントシステム)/ ISO 27001認証は、組織の信頼性を高め、事業リスクを低減するための有効な手段です。しかし、情報セキュリティレベルを継続的に向上させるためには、認証取得後もISMSの維持審査や更新審査といった定期審査を受ける必要があります。

本記事では、ISMSの維持審査の目的や流れ、具体的な準備、費用相場、さらには更新審査や初回審査との違い、よくある質問まで分かりやすく解説します。

ISMSの維持審査とは

ISMSの維持審査とは、ISMS(ISO 27001)認証を取得した組織が、その後も規格要求事項に適合したマネジメントシステムを維持し、有効に運用しているかを定期的に確認するための審査です。

これは、認証を維持するための必須プロセスであると同時に、組織の情報セキュリティ体制を定期的に見直し、改善していくための重要な機会となります。

そもそもISMSとは

ISMS(Information Security Management System)とは、組織が持つ情報資産(データ、書類、ノウハウなど)の「機密性」「完全性」「可用性」を確保し、リスクを適切に管理するための組織的な仕組みです。国際規格「ISO/IEC 27001」がその要求事項を定めています。

ISMSを構築・運用し、認証を受けることで、情報漏洩、改ざん、サービス停止といったリスクから組織を守り、ステークホルダーからの信頼を得ることができます。

ISMSの維持審査の目的と重要性

ISMSの維持審査の主な目的は以下の3点です。

  1. 認証の有効性の確認
    認証登録後もISMSが規格要求事項を満たし、組織内で有効に機能し続けているかを客観的に検証します。
  2. 継続的な改善の促進
    定期的なチェックを通じて、運用上の課題や改善点を発見し、ISMSのパフォーマンス向上を促します。
  3. 信頼性の維持・向上
    認証を維持していることを示すことで、顧客、取引先、社会に対して、情報セキュリティへの取り組みを継続していることを証明します。

ISMSの維持審査の頻度

ISMSの維持審査は、通常、初回審査または前回の更新審査から起算して、年1回実施されます。審査機関から事前に日程調整の連絡があり、組織の業務スケジュールや内部監査・マネジメントレビューの実施時期を考慮して決定します。

ISMSの維持審査の期間

組織の規模や適用範囲によりますが、ISMSの維持審査は初回審査よりも短いのが一般的です。具体的な日数は審査計画書で確認できます。

ISMSの維持審査・更新審査・初回審査の違い

ISMSの審査には、タイミングと目的によって主に3つの種類があります。

審査の種類タイミング主な目的審査範囲・深さ
初回審査ISMS構築後、初めて認証を取得するISMSが規格要求事項に適合し、認証可能か判断適用範囲全体を対象とし、全ての要求事項について詳細に確認
維持審査初回審査または更新審査の翌年・翌々年(原則年1回)認証の有効性維持、ISMS運用の継続確認適用範囲全体から一部の部署・プロセス・要求事項をサンプリングして確認。運用状況を重点的に見る
更新審査認証有効期間(3年)の満了前認証の更新可否判断適用範囲全体を対象とし、初回審査に近いレベルで確認。3年間の運用実績と継続的改善を評価

ISMSの維持審査は、初回審査や更新審査に比べてサンプリング範囲での確認となることが多いのが一般的です。運用実態がより深く確認されるため、日頃からISMS運用が求められます。

ISMSの維持審査の流れ

ISMSの維持審査を円滑に進めるためには、審査プロセス全体の流れを把握しておくことが大切です。

審査機関との調整

審査時期が近づくと、契約中の審査機関から連絡があり、具体的な審査日程、審査範囲(重点的に確認される部門やプロセス)、審査員、準備資料などを示した「審査計画書」が送られてきます。内容を確認し、不明点があれば事前に審査機関に問い合わせて解消しておきましょう。

事前準備

ISMSの維持審査を受審する前提として、組織内で少なくとも年1回、以下の活動を実施し、記録を残しておく必要があります。

  • 内部監査
    ISMSのルールが組織内で守られ、有効に機能しているかをチェックし、発見された問題点(不適合)に対しては、是正処置が必要。
  • マネジメントレビュー
    経営層が、内部監査の結果、リスクアセスメントの結果、前回からの改善状況、利害関係者からの意見などをインプット情報として、ISMS全体の有効性、適切性、妥当性を評価し、改善命令、資源配分、方針見直しなどの必要な指示を出す

これらの活動記録は、ISMSの維持審査で必ず確認される最重要文書の一つです。

審査当日

審査当日は、審査計画書に沿って進められます。一般的な流れは以下の通りです。

  1. オープニングミーティング
    審査チームのリーダーから、審査の目的、範囲、スケジュール、確認事項、守秘義務などについて説明があり、関係者間で共有します。
  2. 文書レビュー
    ISMS文書(方針、規程関連、手順書など)や記録類(上記内部監査・マネジメントレビュー記録、リスク評価記録、教育記録、インシデント記録など)が適切に作成・管理・運用されているかを確認します。
  3. 現地審査
    審査員が、ISMS適用範囲内の部門を訪問し、担当者へのインタビューや実際の業務、作業現場の状況を確認します。ルールが理解され、実践されているか、記録と実態に乖離がないかなどを確かめます。
  4. 審査チーム内会議
    審査員間で、収集した証拠に基づき、ISMSの適合状況、有効性、改善点、不適合の有無などを評価・協議します。
  5. クロージングミーティング
    審査チームのリーダーから、組織の管理者・担当者に対して、審査結果が報告されます。適合状況、有効性に関する評価、改善の機会、そして不適合があればその内容と根拠が伝えられます。

不適合への対応

審査の結果、「不適合」が指摘された場合、組織は原因を分析し、是正処置計画を立て、実施する必要があります。その対応結果を定められた期日までに審査機関に提出し、承認を得なければなりません。不適合の内容や数によっては、フォローアップ審査が必要です。適切な対応がなされない場合、最悪、認証の一時停止や取り消しに至る場合もあります。

審査結果

不適合への対応を含め、審査プロセス全体が完了し、審査機関によって認証維持が適切であると判断されると、正式に認証維持が決定されます。これにより、次の定期審査まで認証の有効性が継続します。

ISMSの維持審査に向けた準備のポイント

ISMSの維持審査をスムーズに乗り越え、かつ組織のセキュリティレベル向上につなげるためには、以下の準備が重要です。

年間の運用記録の整理とレビュー

ISMSの維持審査では、規格適合と有効運用を示す証拠として過去1年間の活動記録が重要です。内部監査、マネジメントレビュー、リスク対応、教育などの主要な記録をいつでも提示できるよう整理・保管し、審査に備えましょう。提出前に内容をレビューしておくことも大切です。

内部監査の効果的な実施

形式的なチェックではなく、ISMSの有効性を高めるための内部監査を目指しましょう。

  • リスクベースでの監査計画
  • 客観性のある監査員の選定と力量確保
  • 具体的な証拠に基づいた評価と、根本原因に踏み込んだ指摘
  • 指摘事項に対する是正処置の有効性フォローアップ

マネジメントレビューの実質化

経営層のコミットメントを示す場として、実質的な議論と意思決定を行いましょう。

  • 規格要求事項を満たすインプット情報の網羅
  • ISMSの有効性・課題・改善方向性に関する経営層による議論
  • 具体的な改善指示や資源配分などのアウトプットの明確化と記録

従業員への教育と意識向上

ISMSは全従業員の協力があってこそ成り立ちます。

  • 役割に応じた定期的な教育・訓練の実施と有効性評価
  • 最新の脅威(フィッシング詐欺、マルウェアなど)に関する注意喚起
  • 日常業務におけるルール遵守(クリアデスク、パスワード管理など)の徹底

前回審査からの改善状況の確認

前回の審査で指摘された不適合や改善の機会について、どのような対応を行い、その結果どう改善されたのかを明確に説明できるように準備しておきます。継続的改善の実践を示す重要なポイントです。

規格改訂(ISO 27001:2022)への対応状況確認

2022年にISO 27001が改訂されたことで、移行期間内での対応が必要です。ISMSの維持審査においても、改訂版への対応計画や進捗状況が確認される可能性があります。特に管理策の変更点への対応状況を整理しておきましょう。

ISMSの維持審査でよくある指摘事項

ISMSの維持審査で指摘を受けやすいポイントを事前に把握し、対策しておくことが審査の鍵です。

文書・記録管理の不備

  • 指摘例:文書が最新版でない、承認がない、保管場所が不明確、記録が欠落している。
  • 対策:文書管理ルールを明確にし、周知徹底する。版管理、承認、保管、廃棄プロセスを確実に実行する。記録は適時に作成し、整理・保管する。

リスクアセスメント・リスク対応の形骸化

  • 指摘例:定期的な見直しがない、脅威や脆弱性の変化が反映されていない、リスク対応が具体性に欠け実施されていない。
  • 対策:年1回など定期的にリスクアセスメントを見直すプロセスを確立・実行する。リスク対応計画は具体的に策定し、実施・有効性確認の記録を残す。

内部監査・マネジメントレビューの不十分さ

  • 指摘例:計画通り実施されていない、形式的、指摘事項が是正されていない、経営層の関与が薄い。
  • 対策:年間計画に基づき確実に実施する。有効性の観点から評価・指摘する。経営層を巻き込み実質的な議論を行う。指摘・決定事項は必ずフォローアップする。

教育・訓練の不足

  • 指摘例:計画・記録がない、対象者・内容が不十分で、有効性が評価されていない。
  • 対策:教育計画を立て、対象者・役割に応じて実施し記録する。理解度テストなどで有効性を評価し、改善につなげる。

アクセス管理の問題

  • 指摘例:退職者・異動者の権限が残っている、不要な権限が付与されている、特権ID管理が不適切、定期的な見直しができていない。
  • 対策:アクセス権の付与・変更・削除プロセスを確立・遵守する。必要最小限の原則を適用する。定期的にアクセス権の棚卸しを実施・記録する。

ISMSの維持審査にかかる費用

ISMSの維持審査の費用は、初回審査と比べて安価になるとされていますが、以下の要素で変動する場合があります。

  • 組織規模:適用範囲の従業員数
  • 適用範囲:拠点数、業務内容、システム構成など
  • 審査機関:料金体系が異なる
  • 審査工数:審査に必要な日数
  • その他 :審査員への交通費・宿泊費など

正確な金額は契約している審査機関に見積もりを依頼して確認しましょう。

ISMSの維持審査に関するよくある質問

ISMSの維持審査に関して、疑問に思われやすい点をQ&A形式でまとめました。

ISMSの維持審査で指摘事項が多いと、認証は取り消されますか?

指摘事項が多くなったことで即取り消しになるわけではありません。重要なのは、指摘された不適合に対して、期限内に適切な原因分析と是正処置を行い、再発防止策を講じることです。

重大な不適合(システムの根幹に関わる問題など)が放置された、または多数の不適合に対して誠実な対応が見られない場合は、認証の一時停止や取り消しのリスクが高まります。

ISMSの維持審査の対応にコンサルタントを利用した方が良いですか?

ISMSの運用や審査対応に不安がある場合、専門のコンサルタントを活用するのは有効な選択肢の一つです。専門的な知識やノウハウに基づいたアドバイス、効率的な文書作成・審査準備の支援、規格改訂へのスムーズな対応などが期待できます。

ただし、当然ながらコンサルティング費用が発生します。また、コンサルタントに頼りすぎると、組織内にノウハウが蓄積されにくい側面もあります。 費用対効果や組織の状況を考慮して、必要性を判断するのが賢明です。なお、部分的な支援を利用する方法もあります。

ISMSの維持審査は組織の弱点を改善する好機

ISMSの維持審査は、ISO 27001認証を保持し、組織の情報セキュリティレベルを継続的に高めていく上で重要なプロセスです。本記事で解説した審査の目的、流れ、準備のポイント、費用、FAQなどを参考に、計画的かつ着実に準備を進めてください。

そして何より、ISMSの維持審査を組織の弱点を見つけ「改善する好機」と前向きに捉えることが大切です。指摘事項を真摯に受け止め、PDCAサイクルを継続的に回すことが、形骸化を防ぎ、価値のあるISMS運用へとつながります。

本記事が、皆様のISMSの維持審査への理解と、効果的な取り組みの一助となり、目標達成に貢献できれば幸いです。


※ 掲載している情報は記事更新時点のものです。

※本サイトは、法律的またはその他のアドバイスの提供を目的としたものではありません。当社は本サイトの記載内容(テンプレートを含む)の正確性、妥当性の確保に努めておりますが、ご利用にあたっては、個別の事情を適宜専門家にご相談いただくなど、ご自身の判断でご利用ください。

関連記事