ISMSの内部監査
ISMSは、企業などの情報資産を守るためのマネジメントシステム。ISMSを取得することで情報セキュリティシステムを安全に管理し、継続的な改善をしながら運用を続けていくことが可能になります。そして、ISMSが適切に運用がなされているかを確認するためには、内部監査が最も有効な手段となります。
このページではISMSの内部監査について、その重要性と監査の流れや注意点などを解説しています。
ISMS(ISO27001)の内部監査について
ISMS(ISO27001)の内部監査は、なぜ必要なのでしょうか。
ISO27001を認証取得することは、情報を取り扱う企業において非常に重要なことです。しかし、一度取得してしまえばその後も正しく運用されているとは限りません。
ISMSの内部監査は、ISMSが適切に運用されているかを確認するために必要であり、また、変化する情報社会の中で継続的に改善をおこなうためにも、内部監査は必要なのです。
内部監査には、ISMSが企業内できちんと運用されているかどうかという、定期的な自己チェックの意味合いもあり、主な目的は「適合性」と「有効性」の判定になります。
また、公平性という視点から内部監査員は所属部門以外の者(組織外の第三者も可)を任命する必要があります。具体的には「適合性」では、ルールを手順どおりに実施できているか、「有効性」では、ルールや手順が機能しているかを意味します。
ISMS(ISO2001)の内部監査の流れ
内部監査に関する説明
内部監査の担当者から、監査の流れを説明します。このときに、内部監査の目的なども簡単に説明しておくことで、作業がスムーズにおこなえます。
業務ヒアリング
ヒアリングは、各部署の担当者からおこないますが、この場合、業務を説明できる方、部署全体の業務の流れを把握している方であればひとりでもかまいません。
業務内容の確認は、リスク管理台帳や情報資産管理台帳などのような情報資産をまとめたものを参考におこないます。
さらに、業務フロー図などもあれば準備してもらうとよいでしょう。
ヒアリング項目は、使用するツールの確認、アカウント管理状況、データの管理状況、保管場所の確認、保管期限、廃棄の仕方、リスクが実際に起きた際の報告方法、物理的な鍵のセキュリティ状況などです。
まとめ
部署の担当者と報告書へ記載する監査結果の内容の確認をします。
以上のような流れを監査対象の部署全部におこないます。
ISMS(ISO2001)の内部監査の注意点
自社のISMS規定が規格や法的な要求事項を満たしているか確認するためにおこなわれるのがISMS(ISO27001)の内部監査です。
公平性と客観性を保つためにも、内部監査員には監査対象の部門に所属していない者を任命する必要があるほか、以下の注意点があります。
- 自分の部署は監査できない
- 内部監査員は2名以上で構成する必要がある
- 「内部監査計画」「内部監査チェックリスト」「内部監査報告書」が必要
ISMS(ISO2001)の内部監査の有効性を担保するための取り組み
ISMSでは、内部監査の実施が義務づけられています。しかし、形だけの内部監査、いわゆる形式的になっており、有効な監査がなされていないという課題も浮上しています。
そのような、内部監査の形骸化やマンネリ化に陥らないためにも、担当者は次のようなことに注意する必要があります。
- 有効性を担保できる仕組みを構築する
- 研修でISMSの意義の理解してもらい協力が得られる風土を醸成する
- 目の前のリスクに気づくことができ、監査対象の組織の業務内容を把握している監査員を任命する
- 監査対象と利害関係のない者を監査人に任命する
- 内部監査責任者と部門責任者の地位格差を無くし同格の者を任命する
もちろん、監査項目の基準をしっかりと定めることは大事なことですが、企業が内部監査の有効性を高める近道は、社員の意識やモラルの向上といった人材育成であり、その取り組みも欠かすことのできない課題です。
まとめ
ISMSの内部監査では、規定が有効に機能しているか調査することも重要な役割です。
さらに、不適合箇所を継続的に改善していくことで、企業の価値の向上や組織を強化することにつながるといった側面もある優れた仕組みでもあります。
しかし、難易度の高い書類作成や社員の意識やモラルの向上のための研修などを考えると、社内リソースが足りないといった企業も多く、内部監査員の確保ができない、内部監査員の育成が追いつかない、無駄なコストをかけたくないなど、多くの課題を抱えている現状があります。
当サイトでは、こうした課題に悩んでいる企業のご担当の方やISMS認証取得のためにコンサルティングを頼もうと検討している方に向けて、ISMSを得意とするコンサルティング会社をご紹介していますので、そちらも参考にしていただければと思います。
ISMS認証コンサル
ISMS認証コンサルを選ぶ際、選ぶポイントは大きく「費用」「対応業種」の2つに分かれます。無駄なコストをかけないためにも、自社の目的に応じたISMSを得意とするコンサルティング会社を選ぶようにしましょう。ここでは2024年1月24日に「ISMS認証コンサル」で検索し表示されたコンサルティング会社のうち、ISMS認証取得のコンサルティングを主業務とする企業の中から、ISMS(ISO27001)の審査通過率が100%で、支援実績数が1,000件以上(調査時点)ある2社をご紹介します。
で選ぶなら

- 業界最安値※13.3万円/月
- 実働不要フルアウトソーシング
- 取得後も負担がない運⽤サポート
で選ぶなら

- 幅広い業種への対応実績
- 企業実態に合わせたISO取得
- 顧客の工数を約80%カット
ISOサポート | ISOプロ | |
---|---|---|
費用 | 月額3.3万円 (税込) |
月額4.4万円 (税込) |
期間 | 通常6か月 | 通常6~7か月 |
支援実績 | 1,450社 | 1,500件超 |
継続率 | 97% | 90.8% |
【選定基準】
※2024年1月24時点、Google検索において「ISMS認証コンサル」と検索して検索結果100位までに表示された企業のうち、ISMS(ISO27001)認証取得コンサルティング業務を行っている会社の中から、ISMS(ISO27001)の審査通過率が100%で、今回の調査時点で支援実績数が1,000以上であることが記載されている企業。