ここからはPDCAのCheck。これには3つの工程がある。
内部監査、
マネジメントレビュー
(これをcheckではなくactとするサイトもあるけど、JIPDECの
ISMSユーザーズガイド71ページによるとcheckにあたるらしい。)、
外部機関のISMS認証審査(若しくは「サーベランス」。監視という意味の英語で、審査したあとの適合チェックのこと。)だ。
ここでは一番始めに行う
内部監査について説明しよう。
まず…内部監査という言葉を聞いてどんなことを思い浮かべるだろう。
「自分たちの組織の中で、会計とか、ごまかしてないかどうか調べるってこと??」
普通監査といえばそうかもしれないが、ここで言っているのは予算健全執行というより、ここに至るまでに構築したISMSがちゃんとうまくできているかどうかをチェックするもの。
規格書の中には監査方法について特にこの通りやりなさい!という既成のプログラムやスケジュールがあるわけではなく、
内部監査人の選定についてや、内部監査プログラムの策定条件、内部監査基準の文書化についてなど、クリアしなければならない条件やしなければならないこと、してはいけないことが書かれている。