内部監査は、ISMSを継続的に維持していくためのPDCAサイクルにおけるC(Check:点検)とA(Act:処置)の役割を担います。監査機能が適切に実施されない場合、情報セキュリティーに関するルールと実施・運用の状況とが乖離し、ISMSが十分に機能しなくなります。内部監査は、ISMSの形骸化を防止する上での極めて重要な要素になります。
監査を行う者は、監査自体の知識・技術のほか、情報セキュリティーシステムやセキュリティー機器に関しても専門知識を有していなければなりません。自組織内から監査員を選任する場合は、これらの知識・能力に関する教育・研修を行い、適正な監査が行える人材を養成する必要があります。また、必要に応じて外部の専門家を監査員として活用することも、監査の精度を高める上での有効な手段となります。 |
| |
| 1.内部監査の判断事項 |
|
ISMSが準拠する「JIS Q 27001:2006」は内部監査について、「組織は、そのISMSの管理目的、管理策、プロセス及び手順について、次の事項を判断するために、あらかじめ定めた間隔でISMSの内部監査を実施しなければならない。」と規定し、以下の項目を判断事項として示しています。
内部監査は、これらの判断事項に対応するISMSの管理目的・管理策・プロセス・手順を対象として行われます。
@この規格及び関連する法令又は規制の要求事項に適合しているかどうか
ISMSの管理目的・管理策・プロセス・手順と「JIS Q 27001:2006」や関連法令(個人
情報保護法・不正アクセス防止法等)との適合性
A特定された情報セキュリティー要求事項に適合しているかどうか
ISMSの管理目的・管理策・プロセス・手順とリスクアセスメントの結果に基づく情報
セキュリティー上の要求事項との適合性
B有効に実施され、維持されているかどうか
@Aで適合性が確認されたISMSの管理目的・管理策・プロセス・手順が、有効に実施・
維持されているか否か
C期待したように実施されているかどうか
ISMSの管理目的・管理策・プロセス・手順の実効性が、確保されているか否か |
| |
| 2.内部監査プロセスの客観性・公平性 |
|
内部監査を行う監査員の選定・監査の実施に際しては、監査プロセスの客観性・公平性を確保しなければなりません。監査は、監査の知識・技術、情報セキュリティーシステム・セキュリティー機器に関する専門知識を有する監査員を選任した上で実施し、監査員自らが属するプロセス・部門の監査は、客観性・中立性を確保するため、別の監査員が行うようにします。 |
| |
| 3.内部監査プログラムの策定 |
|
内部監査は、監査プログラムを策定し、それにに基づいて実施されなければなりません。監査プログラムは、監査の基準・範囲・頻度・方法を定義した「ISMSの内部監査に関する規定」に基づき、内部監査計画として文書化されます。
監査プログラムは、以下の事項を考慮して策定されます。
@監査の対象となるプロセス
営業業務・経理業務・研究開発業務等の一連の業務の流れ
A監査の対象となる領域
営業部門・経理部門・研究開発部門等の業務のまとまり
Bプロセス・領域の状況
情報処理システムの変更を行ったプロセスや組織変更を行った部門等、監査の必要性
が高い状況にあるプロセス・部門
Cプロセス・領域の重要性
大量の個人情報や新製品の機密情報を取り扱うプロセス・部門等、監査の必要性が高
い状況にあるプロセス・部門
D前回までの監査結果
不適合事項が多く発見されたプロセス・部門、不適合事項の是正結果を確認する必要
があるプロセス・部門等、監査の必要性が高い状況にあるプロセス・部門 |
| |
| 4.内部監査計画 |
|
「JIS Q 27001:2006」は、「監査の計画・実施に関する責任及び要求事項、並びに結果報告・記録維持に関する責任及び要求事項を、文書化した手順の中で定義しなければならない。」と規定しています。監査計画は、内部監査の計画・実施、結果の評価・報告・記録の責任と手順を明らかにするために制定された
「ISMSの内部監査に関する規定」に基づき、以下の事項について策定されます。
@年間監査計画
ISMSの適用範囲について漏れなく監査を実施するため、一年を通しての監査プログラム
を策定します。
A個別監査計画
年間監査計画に基づいて、個別監査計画を策定します。個別監査計画では、監査責任者
を明示し、情報セキュリティー上の重要事項を監査のポイント(監査方針)として設定
します。また、監査実施日時等を被監査部門と調整し、効率的な監査の実施を図ります。
個別監査計画の策定では、監査の適正で効果的な実施を図るため、「内部監査チェック
リスト」を作成します。「内部監査チェックリスト」は、ISMS基本方針・管理策・手順、
リスクアセスメントの結果、セキュリティー事故の発生、監査方針、前回の内部監査の
結果等に基づいて作成されます。「内部監査チェックリスト」には、必要なチェック項目
を記載し、チェック漏れの発生を防ぎます。 |
| |
| 5.内部監査の実施 |
|
内部監査は、監査計画にしたがって、中立・公平な監査責任者の指揮の下に実施されます。監査計画の中で作成された「内部監査チェックリスト」を利用し、効率的・効果的な監査を行います。 |
| |
| 6.内部監査結果の評価・報告 |
|
内部監査の結果を記入した「内部監査チェックリスト」を基に、「JIS Q 27001:2006」が要求する監査の各判断事項についての評価を行います。評価は「ISMSの内部監査に関する規定」によって定義された基準にしたがって行い、評価結果を「内部監査報告書」としてまとめます。
監査結果の評価は、以下のような基準を用いて行います。
@重大な不適合
ISMSに重大な問題があり、必要な管理策が全く実施されていない
A不適合
ISMSに問題があり、必要な管理策の実施が不十分である
B軽微な不適合
ISMSに軽微な問題があり、必要な管理策の一部が実施されていない
C適合
ISMSに問題はなく、必要な管理策が実施されている
監査結果を評価し、「内部監査報告書」を作成した上で、監査で判明した不適合を是正する対策を「内部監査是正報告書」にまとめます。不適合に対する是正策は、不適合となっている現象(例えば、情報セキュリティーに関するルールを遵守しないこと)を正すことではなく、不適合となる根本的原因(なぜルールが遵守されないか)を解決するものである必要があります。
「内部監査報告書」と「内部監査是正報告書」は、代表者に提出され、その承認を得なければなりません。 |
| |
| 7.内部監査のフォローアップ |
|
不適合とされた事項には、「内部監査是正報告書」に基づく是正処置が実施され、その原因が解決されなければなりません。実施された是正策は、その効果を測定し、不適合となった原因が解決されたことを確認する必要があります。
是正策を実施した結果は、再監査(二次監査)や次回の内部監査で評価されます。 |
| |
|
| 前ページへ |
Top Page