ISMSの内部監査

ISMSは、企業などの情報資産を守るためのマネジメントシステム。ISMSを取得することで情報セキュリティシステムを安全に管理し、継続的な改善をしながら運用を続けていくことが可能になります。そして、ISMSが適切に運用がなされているかを確認するためには、内部監査が最も有効な手段となります。

このページではISMSの内部監査について、その重要性と監査の流れや注意点などを解説しています。

ISMS(ISO27001)の内部監査について

ISMS（ISO27001）の内部監査は、なぜ必要なのでしょうか。

ISO27001を認証取得することは、情報を取り扱う企業において非常に重要なことです。しかし、一度取得してしまえばその後も正しく運用されているとは限りません。

ISMSの内部監査は、ISMSが適切に運用されているかを確認するために必要であり、また、変化する情報社会の中で継続的に改善をおこなうためにも、内部監査は必要なのです。

内部監査には、ISMSが企業内できちんと運用されているかどうかという、定期的な自己チェックの意味合いもあり、主な目的は「適合性」と「有効性」の判定になります。

また、公平性という視点から内部監査員は所属部門以外の者（組織外の第三者も可）を任命する必要があります。具体的には「適合性」では、ルールを手順どおりに実施できているか、「有効性」では、ルールや手順が機能しているかを意味します。

ISMS(ISO2001)の内部監査の流れ

内部監査に関する説明

内部監査の担当者から、監査の流れを説明します。このときに、内部監査の目的なども簡単に説明しておくことで、作業がスムーズにおこなえます。

業務ヒアリング

ヒアリングは、各部署の担当者からおこないますが、この場合、業務を説明できる方、部署全体の業務の流れを把握している方であればひとりでもかまいません。

業務内容の確認は、リスク管理台帳や情報資産管理台帳などのような情報資産をまとめたものを参考におこないます。

さらに、業務フロー図などもあれば準備してもらうとよいでしょう。

ヒアリング項目は、使用するツールの確認、アカウント管理状況、データの管理状況、保管場所の確認、保管期限、廃棄の仕方、リスクが実際に起きた際の報告方法、物理的な鍵のセキュリティ状況などです。

まとめ

部署の担当者と報告書へ記載する監査結果の内容の確認をします。

以上のような流れを監査対象の部署全部におこないます。

費用、期間、実績別
おすすめISMS認証コンサルはこちら

ISMS(ISO2001)の内部監査の注意点

自社のISMS規定が規格や法的な要求事項を満たしているか確認するためにおこなわれるのがISMS（ISO27001）の内部監査です。

公平性と客観性を保つためにも、内部監査員には監査対象の部門に所属していない者を任命する必要があるほか、以下の注意点があります。

• 自分の部署は監査できない
• 内部監査員は2名以上で構成する必要がある
• 「内部監査計画」「内部監査チェックリスト」「内部監査報告書」が必要

ISMS（ISO2001)の内部監査の有効性を担保するための取り組み

ISMSでは、内部監査の実施が義務づけられています。しかし、形だけの内部監査、いわゆる形式的になっており、有効な監査がなされていないという課題も浮上しています。

そのような、内部監査の形骸化やマンネリ化に陥らないためにも、担当者は次のようなことに注意する必要があります。

• 有効性を担保できる仕組みを構築する
• 研修でISMSの意義の理解してもらい協力が得られる風土を醸成する
• 目の前のリスクに気づくことができ、監査対象の組織の業務内容を把握している監査員を任命する
• 監査対象と利害関係のない者を監査人に任命する
• 内部監査責任者と部門責任者の地位格差を無くし同格の者を任命する

もちろん、監査項目の基準をしっかりと定めることは大事なことですが、企業が内部監査の有効性を高める近道は、社員の意識やモラルの向上といった人材育成であり、その取り組みも欠かすことのできない課題です。

まとめ

ISMSの内部監査では、規定が有効に機能しているか調査することも重要な役割です。

さらに、不適合箇所を継続的に改善していくことで、企業の価値の向上や組織を強化することにつながるといった側面もある優れた仕組みでもあります。

しかし、難易度の高い書類作成や社員の意識やモラルの向上のための研修などを考えると、社内リソースが足りないといった企業も多く、内部監査員の確保ができない、内部監査員の育成が追いつかない、無駄なコストをかけたくないなど、多くの課題を抱えている現状があります。

当サイトでは、こうした課題に悩んでいる企業のご担当の方やISMS認証取得のためにコンサルティングを頼もうと検討している方に向けて、ISMSを得意とするコンサルティング会社をご紹介していますので、そちらも参考にしていただければと思います。

ISMS認証取得にかかる費用を見てみる

目的別に選べる！
ISMS認証コンサルおすすめ3社
【コスト・対応力・運用重視】

ISMS（ISO27001）認証を取得する企業が増える中で、「自社のリソースが限られている」「取得したはいいが運用が続かない」といった課題を抱える企業は少なくありません。そこで重要になるのが、自社の状況に合ったコンサルティング会社の選定です。
ISMS認証コンサルを活用することで、「専門知識や担当者が不在でも取得を実現」「取得後も運用が続く“使える体制”を構築」といったメリットを得られます。
今回は、こうしたニーズに応えるISMS認証支援会社の中でも、「費用」「対応業種」「実務運用力」という観点に強みを持つ3社をご紹介します。

コストを抑えて手間なく
「まず取得したい」
なら

ISOサポート

※引用元：ISOサポート公式HP（引用元：https://www.iso-sp.co.jp/2700.html ）

特徴

• 専任不要＆月額3.3万円の低コスト
  情報セキュリティ担当がいなくても導入可能。人員・予算に限りがある中小・スタートアップ向け。
• 中小企業向けフルアウトソーシング支援
  書類作成からプロセス設計まで丸ごと対応。初めての企業でも安心。
• 維持運用しやすい実務重視の設計
  最小限の設計で、取得後も1名体制で継続しやすい。

公式サイトで
サービスの詳細を確認

電話で問い合わせる

複雑な組織や業種にも
柔軟に対応
してほしいなら

ISOプロ

※引用元：ISOプロ公式HP（https://activation-service.jp/iso/lp/）

特徴

• 現役審査員が直接サポート＆訪問無制限
  複雑な多拠点対応も、現場に即した導入設計が可能。
• 業種特化・6か月以内の取得も相談可
  業界特有の運用にも対応し、スピード重視の企業にもおすすめ。
• ISO事務局も代行し全工程を一括支援
  社内対応の手間を減らし、効率・品質を向上。

公式サイトで
サービスの詳細を確認

電話で問い合わせる

中小企業で
運用負担を削減
したいなら

ワークストラスト

※引用元：ワークストラスト公式HP（https://www.workstrust.com/）

特徴

• 書類作成の負担が少ない
  提供される書類は全てサンプル付きで、確認・加筆修正を行うだけで活用できるため作業負担を大きく軽減。
• 取得時も取得後も運用の負担が少ない
  負担の少ない運用を行うためには、管理すべき（作成すべき）書類は最小限に留めることが重要。
•                          取得後は自社で維持、運用が可能
  必要最小限な運用が可能なため、自社だけでも準備が容易。

公式サイトで
サービスの詳細を確認

電話で問い合わせる