ISMSの大切な工程の一つに、自己チェックともいうべき「内部監査」があります。監査員からすると、何をどこまでチェックすべきか迷いがちで、監査の水準を一定に保つには工夫が必要です。そこで「チェックリスト」を活用してみることをおすすめします。
ここでは、ISMSの内部監査におけるチェックリストとその活用法を重点的に解説します。
また、「セキュリオ」の内部監査機能をご利用いただくと、クラウド上で内部監査の計画~記録、発生した対応策のタスク管理までラクラク実施していただけます。チェック項目のサンプル付きで安心して内部監査を実施できます。
他にもISMS運用を効率的・効果的にする多様な機能や流行りの標的型攻撃メール訓練機能など、企業の情報セキュリティに必要十分なツールです。
ISMS(ISO27001)の内部監査
ISMS(ISO27001)の内部監査とは、ISMSが現場できちんと運用できているかの「定期的な自己チェック」のことです。公平性の観点から、内部監査員は所属部門以外の者(組織外の第三者も可)を任命します。
内部監査の主な目的は以下の2つです。
- 適合性の判定
- 有効性の判定
「適合性」とはルールを理解して手順どおりに実施できているか、「有効性」とは現状に即しルールや手順が機能しているかを意味します。ただ、部門によってはチェック項目が多かったり、精査のため何をどうヒアリングすべきか迷うこともあるでしょう。
それには「内部監査チェックリスト」を活用するのが一番です。ISMSではあらゆる面で文書化が義務づけられており、チェックリストにより一定の監査水準を確保しやすくなります。
ISMS内部監査チェックリストのメリットとデメリット
ISMS内部監査チェックリストとは、内部監査でヒアリングすべき内容を網羅的に示した、いわばチェックシートです。
内部監査チェックリストの活用にあたってはメリットもありますが、反面デメリットもあります。
内部監査チェックリストのメリット
チェックリスト活用のメリットは主に監査作業の効率アップです。
監査範囲及びチェックポイントが明確になる
内部規定はISMSに準じて作成され、非常に広範囲にわたるため、チェックリストなしでは個々の部門の監査範囲やチェックポイントの正確な把握が難しいこともあります。監査対象部門の関係者は内部監査員にはなれないのに、適切な監査には対象部門の業務やルールの適用範囲の正確な把握が必要です。
ここでチェックリストがあれば、内部監査の範囲やチェックポイントが明確なため、内部監査員も迷わずヒアリング作業をしやすくなります。
時間配分と継続性の維持
チェックリストにより内部監査員は担当範囲が明確になるため、内部監査の時間配分がしやすくなります。またチェックリストがあることで監査項目の抜けや漏れ、省略がなくなり、適切な監査の継続・維持ができるようになります。
ISMSはそもそも付随業務であり、できるだけ効率的かつ効果的な実施が期待されます。そのためにも内部監査チェックリストの活用が望まれます。
内部監査員の偏った考え方の抑止
内部監査は対象部門が大規模だったり、適用範囲が複雑でなければ、内部監査員一人で対応するものです。内部監査員に組織のISMSや現場の適用に関して認識の齟齬がある場合、適切な評価が下せない恐れがあります。
つまり、策定済みのISMSと内部監査員が考えるISMSのあり方の認識違いだったり、内部監査員が現場のISMSルールの意図をくみ取れず、監査員の考えるあるべき姿と現状に乖離があると受け止めてしまえば、適切な評価が下せない恐れがあります。
一つの部署を複数人で担当するのでなければ、組織的に統一・明示されたフォーマットのチェックリストの活用をすると、評価のブレやムラが生じにくくなります。
「セキュリオ」の内部監査機能では、現役ISMSコンサルタント監修のチェック項目サンプルも利用することが可能です。また、eラーニングで内部監査員向けの研修教材もご用意しておりますので、安心して内部監査に臨んでいただけます。
内部監査の文書記録として残せる
ISMSではあらゆる面で文書化を義務づけており、内部監査でも実施した内容を文書で残す必要があります。内部監査員がチェックリストを使って監査内容を記録することで、後々の審査において証拠として提出できます。ISMSでは定期審査が年に1回あり、認証の継続とスムーズな審査手続きのために内部監査チェックリストを活用しない手はありません。
内部監査チェックリストのデメリット
内部監査チェックリストにデメリットがないかというと、そうでもありません。
監査ポイントのまとめにすぎない
内部監査チェックリストは監査のポイントをまとめただけなので、実際の監査において不足がある場合もあります。内部監査時でヒアリング時に監査員が深堀りして質問することがよく見られます。ただ、そのような確認はチェックリストには盛り込まれていないこともよくあります。
もし、適否の判断の元となった内容が詳しくヒアリングされていれば、現状ルールの改良点が見えてくるかもしれません。効果的な内部監査には、チェックリストの項目だけに囚われず質問をすべきです。さらに今後の監査効率アップのため、チェックリストの改良も含めた仕組みづくりをしていけるといいでしょう。
実効性の評価までは困難
ISMSは継続的な改善を志向しており、PDCAの「C:チェック」工程に属する内部監査でも実効性を判断し改善に向けていくことが望まれます。ただ、内部監査チェックリストだけでは適合性(適切に実施されているか)を判断できても、実効性までは判断できず改善につなげることは難しいでしょう。
つまり、現場の運用がチェックリストに適合していても、リスト内容そのものが情報セキュリティに実効性があるかまでは踏み込めません。監査員がチェックリストの内容と現状を照らし合わせ、組織の情報セキュリティに役立つとは限らないと考えたとしても、リストに沿って適合性をチェックするしかないのです。
ISMS内部監査チェックリストの有効活用
内部監査チェックリストをマル・バツで埋めるだけの作業シートにしてしまっては、内部監査が形骸化します。内部監査時にチェックリストのチェック項目の適否を確認するだけでなく、見つかった問題や課題、確認内容の詳細項目を書き残し、今後の改善資料として生かします。
現行のチェックリストになくても、重要な確認事項があれば監査報告等の場で報告し、今後のリスト追加を検討するといった「監査の質の維持と向上」につなげられます。
「セキュリオ」の内部監査機能では、クラウド上での一元管理によってしっかり効果のある内部監査を実施することができます。
ISMS内部監査の流れとチェックリスト
最後に、ISMSの内部監査の流れとチェックリストの関係を説明します。
内部監査の計画
内部監査は定期監査のため実施時期は固定されていても、実施前には対象部門の調整やチェックリストの精査が欠かせません。監査対象部門とはあらかじめ日時、対応者、チェック事項を打ち合わせておきます。チェックリストも昨今の情勢を反映したり、前回の指摘事項に重点を置くなど、現状の課題に即した内容を盛り込むといいでしょう。
内部監査の実施
内部監査において、内部監査員はチェックリストに基づきヒアリングを実施、監査証拠を集めます。しかも、ISMS適合と不適合の両方において客観的な証拠を残すことが求められます。
これには専門の監査スキルがいるため、外部委託した第三者による内部監査を実施する組織もあります。
内部監査後のフィードバック
内部監査により不適合事項が判明した場合、該当部署に是正を求めます。内部監査に実効性を持たせるには、情報セキュリティに関する問題解決に向けてPDCAサイクルを回していかなくてはならないのです。内部監査ではチェックリストの項目確認にとどまらず、是正や改善が必要であれば指摘しなくてはなりません。
内部監査が完了したら結果をまとめ、マネジメントレビューの準備に移ります。
マネジメントレビューに引継
マネジメントレビューには内部監査の結果が反映されます。したがって、トップマネジメントには内部監査の内容と是正処置の結果報告が必要です。
なお、マネジメントレビューで個別のフィードバックがあれば、ISMS管理責任者より該当部門に伝えられます。
「セキュリオ」では、こうした一連の「やること」をクラウド上で一元管理できます。
まとめ
ISMSの内部監査チェックリストは監査の標準化と効率化に寄与します。限られた人員でISMSの仕組みを回すには、チェックリストのような統一的なフォーマットが役立ちます。
