実地審査では、運用面でのISMSが適切に機能しているかがチェックされます
文書審査の後に行われる実地審査は、対象組織の拠点で行われる最終審査となります。ここでは、文書確認や各部門の代表者のヒアリング、現場視察を行い、運用面でのISMSが適切に機能しているかどうかをチェックします。
具体的には、重要なサーバーのアクセスログやそれらに対する監視の実施記録などをサンプリングして確認し、現場におけるISMSの運用状況を確認・審査します。また、各部門の代表者のヒアリングでは、ISMS関連文書に明記されている各種手順と、現場で実際に行われている内容との間に食い違いがないかが、審査のポイントとなります。
審査報告書には、客観的証拠に基づく指摘事項とその重要度(重大、軽微、観察)が記載されます。指摘を受けた組織は、改善計画を策定し、審査登録機関の承認を受けた上で実施します。軽微な指摘事項については改善処置の実施と適切性、および実効性を、認証登録後に実施されるサーベイランスでフォローします。重大な指摘事項については、フォローアップ審査を行い、改善計画が実施されたことを確認します。