當組織依照ISO 27001:2022所要求的活動制訂ISMS管理制度、運作執行並完成內部稽核與管理審查後,即算完成一個週期的ISMS活動,並即將要接受最終考驗,也就是第三方稽核 (符合性評鑑),通過第三方稽核,即會由驗證機構 (Certificate Body, CB) 頒發驗證符合證書,並將組織列名於該驗證單位之認證名錄,組織此時即可對外宣稱符合ISO 27001:2022標準。
ISO 27006-1:2024 9.1.3.5規定,組織應證明已完成驗證範圍內之內部稽核過程與管理審查過程,並能維持時,才能授予符合性證明,因此在組織完成內部稽核與管理審查前,不能進行第三方稽核。
在前面的符合性評鑑與稽核概念一文中,已說明符合性評鑑 (Conformity Assessment) 的概念與作法,這裡就來說明第三方稽核時會有哪些活動會進行。
驗證機構係由上層的國家認證資格單位 (Accreditation Body, AB) 評鑑合格可執行符合性評鑑的機構,台灣的AB為TAF,可至TAF的認證名錄中找尋可驗證ISMS的驗證機構的名冊。
在組織向驗證機構申請第三方稽核前,應先確認下列事項:
若組織完全依所制訂的管理系統制度執行,則原則上前三項都會具備,但第四項則要經由時間積累,因此組織申請第三方稽核前,要讓管理系統運作至少三個月以上,確保在管理系統制度內所設計的程序、流程都有足夠的記錄產生,以作為管理系統制度有持續運作的證據,否則屆時在第二階段稽核時可能會因無法查證或缺乏證據,導致無法執行稽核活動。
ISO 17021-1:2015 9.4.3.2已闡明若稽核證據顯示稽核目標無法實現或存有直接與重大風險時,稽核團隊得向受稽方報告後採取適當行動,包含停止稽核。
進行第三方稽核前,組織要向驗證機構提交驗證申請書,申請書中會載明組織的基本資訊、要驗證的管理系統類型 (如ISMS)、管理系統實作的範圍 (如主條文4.3所劃定的範圍)、組織場域 (單一場域或多場域)、是否有顧問輔導、是否有會影響稽核活動的因素等,並提供管理系統的制度的必要文件 (如政策、適用性聲明) 以及必要記錄 (如內部稽核報告與管理審查記錄等),作為驗證機構審查的依據,驗證機構會對申請進行審查後通知組織申請案是否成立;申請案成立後,驗證機構會向組織發送稽核計畫 (Audit Plan),包含稽核範圍、稽核人員名單 (視稽核的時間要求會有2至3位稽核員或更多)、隨行人員角色與名單 (如果有)、稽核地點 (以到組織場域內為原則,有必要的話可能會採遠端稽核)、稽核時程等內容,組織可先進行相關準備作業。
申請資訊的細節項目可參考ISO 17021-1:2015 9.1.1。
ISMS的稽核主要是要確認下列事項 (ISO 27006-1:2024 9.2.1.2):
ISMS的第三方稽核分為三個類型:
初次驗證稽核 (Initial certification audit) 分為兩個階段。
第一階段稽核 (Stage 1 audit) 為確認組織的管理系統制度文件已涵蓋必要的活動 (如組織全景、風險評鑑與處理、控制措施的選擇、資訊安全政策與目標等),並了解組織對稽核的準備程度後,規劃第二階段稽核活動;也就是說第一階段稽核的重點在於ISMS制度文件的完整性、設計邏輯的合理性 (風險評鑑、控制措施的選用、控制措施相關制度),以及所設定的組織資訊安全政策目標等;稽核員會將第一階段的稽核發現整理為第一階段稽核報告,其中會提出管理制度中可能的不符合事項,列為關注項目 (identified areas of concerns, IAC),關注項目會在第二階段稽核時再次確認,因此組織必須在第二階段稽核前先予以矯正完畢,否則可能會在第二階段稽核時升級為不符合事項,屆時就有可能影響是否可授予認證的資格。
第二階段稽核 (Stage 2 audit) 為確認組織是否依照所制訂的ISMS管理系統制度落實執行,因此稽核會採用實地檢視的方式進行,此時組織要準備好由管理制度執行所產生的相關證據 (記錄) 以備稽核員檢查,稽核員可能也會採用面談、觀察、實地確認等稽核方式確認組織的ISMS管理制度的落實程度,第二階段稽核時間通常會較第一階段長一些 (可能會分不同天或是在一天內由多位稽核員分擔完成);第二階段稽核的結果即分為主要不符合事項 (Major NC)、次要不符合事項 (Minor NC)、觀察事項 (OBS)、改善機會 (OFI) 及建議 (CM) 等,稽核員會在第二階段稽核報告中指出稽核發現的類型,由於不符合事項會直接影響到驗證的結果,因此視不符合事項的等級,驗證單位會要求組織在一定期限內改善後複查,主要不符合事項的期限多在兩週內,而次要不符合事項則三個月,且組織需將不符合事項的矯正行動計畫提報給驗證單位由稽核員審查,主要不符合事項除計畫外亦要提報矯正結果的證據,以作為驗證單位做出是否授予符合性證書的判斷依據。
ISO 17021-1:2015 9.5對驗證機構之驗證決定要求依據有較清楚的說明。
驗證機構確認稽核結果符合驗證資格後,即會授予組織符合性證明,證明內會載明驗證的管理系統 (如ISO 27001:2022)、管理系統的驗證範圍、證書有效期限等,證書有效期為三年 (ISO 17021-1:2015 9.1.3.2)。
驗證機構於授予組織符合性證明後,每年 (12個月) 會進行年度的追查稽核 (Surveillance audit) (ISO 17021-1:2015 9.1.3.3),用意在於確認組織有依照管理系統制度運作,且在過程中對制度缺失進行持續改善 (矯正或是其他因素驅使管理制度的異動),稽核方式會與初次驗證的第二階段稽核相同,但重點在於制度的落實,因此強度會比初次驗證的第二階段稽核要輕些;稽核結果一樣有分五大類型,原則上只要組織已有依照管理制度落實執行,要被開立到主要不符合事項的機率幾乎為零,但可能會有大小不一的觀察事項、改善事項,較嚴重一些的會開到次要不符合事項,只要在時限內予以矯正完畢即可;但要注意的是稽核發現如非為建議時,應在一個年度內矯正處理完畢,否則在次年追查稽核或重新驗證稽核時,會自動提升一個等級 (如改善機會升級為觀察事項、觀察事項升級為次要不符合事項、以及更嚴重的次要不符合事項升級為主要不符合事項),也會對組織持續保有證書資格有所影響。
但快樂的時光是過得很快的,當第三年證書屆期時,驗證機構會執行重新驗證稽核 (Recertification audit),重新驗證在於檢視過去三年以來組織對ISMS管理系統的異動、維持以及持續改善等是否能有效維持,以及檢視組織的ISMS範圍是否有異動的需要 (因組織的業務或營運發生改變);重新驗證的強度會與初次驗證的第二階段稽核類似;當驗證完成未發現重大缺失 (主要不符合事項) 時,通常不會影響重新驗證的結果。
當組織因業務或營運改變,要調整ISMS實作範圍時,得向驗證機構申請增列驗證範圍 (Expand scope),驗證機構會審查增列申請,必要時會安排稽核活動進行確認 (可與追查稽核一同進行);而當組織發生重大事件,或驗證機構因調查抱怨、對變更採取回應或跟催驗證暫時終止的組織時,得通知執行臨時通知稽核 (Short-notice audit),但通常臨時稽核較容易發生在組織出現重大不符合事項 (如個資外洩、客戶抱怨或面臨法律問題) 時才會執行,由於驗證機構發證也是一種替組織背書的行為,因此若組織發生重大事件時,驗證機構進行臨時稽核以確認管理制度是否失靈 (主要不符合事項的來源之一) 也是很正常的事。
另外,若組織在追查稽核或重新驗證稽核過程中出現主要不符合事項時,驗證機構能宣告組織的證書有效性暫時停止,待主要不符合事項解決後才會宣告恢復;或是驗證機構認為組織所設定的管理制度無法涵蓋所宣告的實作範圍時,得縮小 (減列) 驗證範圍至可符合要求的範圍內;這些都是驗證機構為組織背書時確保驗證單位本身的公信力所必要的活動。
ISO 17021-1:2015 9.6.4與9.6.5對特別稽核、驗證範圍之暫時終止、終止及減列活動有較詳細的說明。
最後要說明的是,有時組織會因為某些需要而在證書有效期限內要求更換驗證機構,國際認證論壇 (IAF) 對此種需要已訂定對驗證單位與受稽方的要求事項,組織向新驗證機構提出轉換申請,新驗證機構會進行審查以確認組織的ISMS有效性是否維持並符合要求,必要時新驗證機構得實地訪視,若新驗證機構審查通過,即會依原證書到期日為主核發新的證書,但若發現無法轉換時,則新驗證機構會將組織視為新的客戶,依照初次驗證的過程進行。
詳細的要求內容可參考IAF MD 2:2017 Mandatory Document for the Transfer of Accredited Certification of Management Systems