ISMSの審査で不適合になってしまうケースとは?
この記事では、ISMSの審査で不適合になってしまうケースについて解説します。規格の要求事項を理解することはもちろんですが、不適合となるラインを意識していれば、落ちる可能性を下げられるでしょう。
ISMS審査で不適合になるケース
ISMS審査は、情報セキュリティマネジメントシステムが適切に運用されているかを確認するためのものです。その基準を満たしていない場合、不適合になってしまうこともあるため、不適合になってしまうケースについて具体例をあげながら解説します。
PDCAが回っていない
ISMS審査で不適合になってしまうケースのひとつに、PDCAサイクルが回っていないことがあげられます。
ISMSの審査におけるPDCAサイクルの不備では、必要な手続きを行っていないケースが多く、具体的には内部監査やマネジメントレビューなどです。これらの手続きはISMS構築に欠かせない重要な要素であり、ISMS規格でも実施の必要性が明記されています。そのため、実施しないままでは当然のことながら不適合という結果になるのです。
重大なインシデントの発生
ISMSの審査中に、大規模な情報セキュリティインシデントが発生した場合も不適合となり、認証が取得できない可能性があります。当然のことながら、情報セキュリティインシデントが発生している組織や企業に対して、認証を与えることはないためです。
しかし、インシデントが発生してしまったらISMSの取得ができないわけではありません。原因を除去し、再発を防止するための是正処置を実施したうえで、再度審査を受けることでISMS認証の取得が可能になります。
審査時に非協力的な対応をした
あまりないケースではありますが、ISMSの審査時に正当な理由無く、非協力的な対応をしてしまうと、ISMSの審査に不適合となります。審査員が審査を実施できないと判断すれば、審査は途中で打ち切られる可能性が高まるでしょう。
もちろん、日常業務が忙しく、どうしても手が離せず対応できない場合もあるかと思います。そんな場合は、「他の人にお願いしてもいいですか」といった対応ができれば問題はありません。
ISMSの審査で不適合を貰わないために
ISMS審査の不適合は「要求事項を満たしていない」と判断された結果です。ISMSの審査で不適合を貰わないためには、情報セキュリティマネジメントシステムが適切に運用を意識する必要があります。
また、ISMSの審査では、審査機関によって審査方法や審査員の経験値などが異なります。審査員ごとに意見が違うといった側面もあり、自社にノウハウがない場合には単独での取得が難しいケースもあるでしょう。
不適合を貰わないためには、ISMS取得に強いプロに相談するのもひとつの手段です。自社だけで取得しようとして費用や手間を費やしたが不適合を貰ったという事態を避けるにも確度の高い方法を選ぶようにしましょう。
ISMS認証コンサル
ISMS認証コンサルを選ぶ際、選ぶポイントは大きく「費用」「対応業種」の2つに分かれます。無駄なコストをかけないためにも、自社の目的に応じたISMSを得意とするコンサルティング会社を選ぶようにしましょう。ここでは2024年1月24日に「ISMS認証コンサル」で検索し表示されたコンサルティング会社のうち、ISMS認証取得のコンサルティングを主業務とする企業の中から、ISMS(ISO27001)の審査通過率が100%で、支援実績数が1,000件以上(調査時点)ある2社をご紹介します。
で選ぶなら

- 業界最安値※13.3万円/月
- 実働不要フルアウトソーシング
- 取得後も負担がない運⽤サポート
で選ぶなら

- 幅広い業種への対応実績
- 企業実態に合わせたISO取得
- 顧客の工数を約80%カット
ISOサポート | ISOプロ | |
---|---|---|
費用 | 月額3.3万円 (税込) |
月額4.4万円 (税込) |
期間 | 通常6か月 | 通常6~7か月 |
支援実績 | 1,450社 | 1,500件超 |
継続率 | 97% | 90.8% |
【選定基準】
※2024年1月24時点、Google検索において「ISMS認証コンサル」と検索して検索結果100位までに表示された企業のうち、ISMS(ISO27001)認証取得コンサルティング業務を行っている会社の中から、ISMS(ISO27001)の審査通過率が100%で、今回の調査時点で支援実績数が1,000以上であることが記載されている企業。