内部監査は以下の流れに従って行われます
最後のステップで、トップマネジメントから承認を貰う前までは、以前のステップに戻ってデータを修正することもできます。
1. 【計画】監査計画を作成する
「新しい監査計画を作成する」をクリックして、監査計画を追加します。
基本的には、すべての部門の監査を行うのが良いでしょう。「対象」には、各部門の名前・監査の実施予定日・監査を実施する監査員を登録してください。
このとき、監査員は、自分が所属する部署の監査を行わないほうが望ましいです。詳しくは内部監査の独立性を確認してください。
2. 【準備】監査チェックリストを作成する
先ほど作成した「監査計画」を選択して、監査チェックリストを作成します。 「チェックリスト」タブから、各部門でチェックする内容を選択します。
(監査の所要時間は1部署あたり30分〜1時間程度)
また、監査チェックリストは「ISMSの規格要求事項」と「社内ルール」の両方を含む必要があります。
- 規格要求事項は、ISMS委員会やISMS責任者を監査するときのチェック項目として選ぶ
(初めての内部監査では構築してきたマネジメントシステムの総点検を推奨します) - 社内ルールは、現場の各部門を監査するときのチェック項目として選ぶ
テーマを決めて、テーマに沿った監査を実施いただくことを推奨します。
- 例
- 資産の管理・運用全般
- 発生したインシデント事例に紐づく社内の現状
- 従業員の基本行動
3. 【実施】監査を実施する
チェックリストの作成が終わったら、「内部監査を実施する」から、監査の実施に移ります。各部門のISMS担当者や、実際に働いている従業員にインタビューをしたり、PCの画面やキャビネットを確認しながら、監査結果を記録してください。
監査項目のチェックは、必ずしも、全ての従業員に対して漏れなく実施する必要はありません。一般的には、被監査部門の代表者にヒヤリングし、代表者だけでは足りない(他の人にも確認したほうが、セキュリティ的に良さそう)であれば、他の従業員にも確認することが多いです。
監査結果は、以下の基準に従って記録します
基準 | 基準の説明 |
---|---|
適合 | チェック項目が守られていること |
不適合 | チェック項目が守られていないこと |
また、仮にチェック項目が守られている「適合」であっても、現在のセキュリティ対策に改善の余地があったり、さらにセキュリティの改善が望まれる場合は「改善の機会」というフラグをたてることもできます。
改善の機会のフラグを立てた場合や、不適合となった場合は、その理由をコメントとして記載しておきます。
4.【報告】トップマネジメントに報告する
規格によると、監査結果は、経営層の承認を得ることとされています。監査が終わったら、トップマネジメントに報告を行い、その結果を承認してもらいましょう。