文書審査では、ISMS関連文書が適切に整備されているかがチェックされます
組織のISMSがISO27001の要求事項に基づいて適切に設計されていることを確認するための文書を審査します。審査対象となる文章には、組織の実施した情報セキュリティに関するリスクアセスメント方法と結果、適用宣言書、その他組織が必要であると判断した各種の規定や手順所などが含まれます。
審査中に不適合事項が発見された場合、審査対象組織は、審査登録機関が実地審査(セカンドステージ)で是正状況を確認できる内容の実施計画を策定し、審査登録機関の合意を得る必要があります。特に発見された不適合事項が重大である場合、実地審査に進むことができないケースもあります。
さらに、ISMS整備に関する状況を確認するため、経営者および情報セキュリティ管理責任者に対してトップインタビューも行われます。ISMS認証基準では、経営陣に対す要求事項が列挙されています。これらの要求事項に対して、経営者が満足のいく回答をできるかどうかが、審査のポイントとなります。