この記事では、ISMS審査における審査項目の1つである「トップインタビュー」(代表者インタビュー)について、その背景と想定問答を記載しています。
トップインタビューとは
ISMSのトップマネジメントに対して行う審査です。通常は、第二段階審査の前半に行われることが多く、30分前後の時間が設けられます。
トップインタビューの背景
ISMSの規格では、トップマネジメントに対して以下のような内容の実施が求められています。トップインタビューでは、以下の内容が、適切に実施されているかについて、インタビュー形式での審査が行われます。
- 情報セキュリティ方針を制定し、組織を導くこと
- 組織の普段の業務に、ISMS活動を浸透させること
- ISMSや情報セキュリティに対して、経営資源(ヒト・モノ・カネ・情報)を割くこと
- ISMSや情報セキュリティの重要性を理解し、従業者に伝えること
- ISMS責任者や、ISMS担当者といった、ISMS活動を行うリーダーの取り組みを支えること
想定問答
トップインタビューでは、一般的に以下のような内容が聞かれる傾向にあります。いずれの質問にも正解はありませんので、ありのままの気持ちを回答頂いて構いません。
- 事業の概要(最近の景気、マーケットの概況、会社の未来像、競合他社など)
- 業務拡大やオフィス移転の目的(新規事業の開始や、オフィス移転があった場合のみ)
- ISMS取得のきっかけと必要性(新規事業のため既存の適用範囲から拡大する、顧客からの強い要望、など)
- 組織内で、セキュリティリスクだと考えている部分はどこか?
- ISMSでは、各部署の担当者がリスクアセスメントを行っています。その結果と整合していると良いでしょう
- 情報セキュリティ方針について認識しているか?(掲示されている場所、その内容など)
- 多くの場合、情報セキュリティ方針は、会社のWebページに記載されています。トップマネジメントのお名前で掲載されているので、内容は把握しておきましょう
- ここ最近での、情報セキュリティに対する経営資源の投資(ヒト・モノ・カネ・情報)
- 「〇〇というセキュリティ製品を導入した」「セキュリティ体制強化のために〇〇円の予算を確保した」などの回答が考えられます
- 「〇〇さんをセキュリティの担当者としてアサインしました」というのも、立派な経営資源のセキュリティ投資です
- 社内の従業者に対して、情報セキュリティの重要性をどのように伝えているか
- 「全社MTGなどを通して、従業者にセキュリティ意識を持ってもらえるよう呼びかけています」などの回答が考えられます
- 最近の、ISMS責任者の取り組みに関する評価
- 大きなクレーム、インシデントの経験(無理に探さず、なければないでOK)
- 今後の情報セキュリティへの取り組みの展望 (自社の展望、審査員に期待するのはセキュリティの向上か、認証取得重視か、など)