この記事では、ISMS審査における審査項目の1つである、各部門を対象とした「部門審査」について、その背景と想定問答を記載しています。
部門審査の概要
部門審査は、大きく「ヒヤリング」と「現場の確認」の、2つのセクションに分かれます。ヒヤリングでは、以下の「想定問答」に記載された内容がメインで確認されます。 現場の確認では、さきほどヒヤリングした内容をもとに、現場でヒヤリングどおりにルールが守られているか、セキュリティが担保されているかを確認します。
想定問答
ここで記載する内容はあくまで一例です。 実際の審査は、業種や業態、組織の人数などによって変化します。
部署の概要
従業者の人数や役割、業務内容などが確認されます。組織図やメンバー一覧があると説明しやすいでしょう。
以下の概要を確認することで、後段のヒアリング内容を特定していきます
- 個人情報の授受の有無や方法
- 入退室の権限や、ソースコードへのアクセス権など、部門内での使用範囲の考え方
- 勤務場所、不特定多数の往来がある場所での勤務はあるか
情報セキュリティ方針と目標
情報セキュリティ方針や目標を理解しているかについて確認されます。情報セキュリティ方針は、Webページに掲載されていることが一般的です。情報セキュリティ目標は、SecureNavi内で各部門ごとに作成していますので、自部門がどのような目標を設定しているかを確認しておきましょう。
部門内の情報資産とリスク
日々業務を行う上で、どのような情報資産があり、どのような情報セキュリティリスクがあるかが確認されます。 SecureNaviの資産管理機能や、リスク管理機能を見せながら、説明できると良いでしょう。
内部監査の結果
ISMSの取り組みで、各部門ごとに実施された内部監査の結果について確認されます。SecureNaviの内部監査機能を見せながら説明できると良いでしょう。
供給者管理(外部委託)の状況
外部委託を行っている場合は、その状況を確認されます。 SecureNaviの供給者管理機能を見せながら、説明できると良いでしょう。
最近のインシデント
ここ最近で発生した、情報セキュリティインシデントについて確認されます。 ISMSでは、インシデントの発生は記録しておくことが求められています。SecureNaviのインシデント管理機能を見せながら、説明できると良いでしょう。
法規制の確認
医療業界や保険・金融業界など、法規制が強い業界においては、業務を行う上で考慮すべき法規制などを確認されることもあります。
また、お客様との契約書や、自社が提供しているサービスの利用規約、プライバシーポリシーなどを確認されることもあります。