ISMSでは、定期的に「内部監査」を実施する必要があります。
ここでは、SecureNaviを利用した内部監査の方法を説明します。
この記事では以下のトピックについて説明してします。
(Pマーク用のマニュアルはこちらをご覧ください)
JIS Q 27001 対応箇所
本文 9.2
内部監査の目的
内部監査とは、その名の通り、組織の内部で監査を行うことです。規格を見てみると、以下の目的で内部監査を行う必要があると書かれています。
- 組織が、規格に書かれていることを守っているかどうかを確認する(規格の要求事項の適合性監査)
- 組織が、自ら定めた社内ルールを守っているかどうかを確認する(組織が定めた要求事項の適合性監査)
- ISMSの取り組みが、有効に機能している(有効性監査)
上記3つの目的を達成するために、内部監査を行います。 3つ目「有効性」はやや分かりにくいですが、ISMSの取り組みが情報セキュリティの向上につながっているのか、 組織の課題や利害関係者のニーズに答えられているのか、などを全般的にチェックします。
内部監査の登場人物
内部監査は、以下の2つのチームに分かれて行われます。
監査チーム
役割において定めた、「内部監査責任者」や「内部監査員」が該当します。後述する被監査部門を監査します。 内部監査の取り組みを計画し、実施し、結果をまとめ、トップマネジメントに報告することが求められています。
被監査部門
少しとっつきにくい表現ですが、漢字の通り「監査を受ける(被る)部門」のことです。「ひかんさぶもん」と読みます。 監査チームに所属する監査員から、インタビューや質問を受け、それらに対して正しく回答する必要があります。
内部監査の流れ
SecureNaviを使った内部監査は、以下の流れで進んでいきます。
- 【準備】監査チェックリストを作成する
- 【実施】監査を実施する
- 【報告】トップマネジメントに報告する
各ステップにおける具体的な流れについては、SecureNaviを使った内部監査の流れ を確認してください。