ISMS認証を取得・運用するにあたって必要となる内部監査ですが、実施する際にどこまで突っ込んでヒアリング・チェックをすべきか迷われる企業様が多いです。

実際、内部監査に慣れていたとしても、チェックすべき点や内容の「さじ加減」はなかなか難しいと言えます。

そこで今回は、ISMS運用時の内部監査でどこまで踏み込むべきか、例示等を踏まえてご紹介したいと思います。

内部監査の基本

ISMSにおいて、内部監査は「マネジメントシステムを運用出来ているか」の確認をおこなう重要なイベントです。

内部監査をしっかりしないとリスクに対応できているのか確認できませんし、そもそもPDCAを回し切ることができなくなってしまいます。

しかし一方で、「どこまで監査でチェックすべきなのか」という点は、人によって見解が様々となっており明確な基準がないため、どうすればよいかわからず、迷ってしまう方が多いのです。

とはいえISMSの内部監査においては「見なければならない項目」というのが決まっているため、まずはそれらのポイントをしっかり押さえた監査をおこなうことが基本です。

その項目は何かと言うと、皆さんの会社にある情報セキュリティに関するマニュアルに記載されたルールが守られているか、ということです。

内部監査では「会社のルールが守れているか」を判断することが基本です。「ルールを守れている」「守れていない」といった簡単な判断で構いませんので確認しておきましょう。

どこまで踏み込むべきか

では次に、内部監査で「どこまで深掘りして質問・ヒアリングをするか」という点についてです。

例えば、「私物のスマートフォンまでチェックすべきか」や「PCのフォルダを1つ1つまで細かくチェックすべきか」といった点がよく挙がります。

こういった判断は、内部監査員の経験や性格などによるところが大きいですが、基本的には「会社のルールでどこまで定めているか」を1つの指針としてもらえればと思います。

例えば、会社のルールの中に私物スマホで業務をおこなう際のルール(「業務で利用するスマホには必ず●ケタ以上のパスワードロックを設定する」など)があれば、私物スマホについても内部監査のチェック対象になります。

また、会社のルールで「私物スマホでは業務をしないこと」といったルールを設けている場合は、私物スマホを業務利用していないかヒアリングをおこない、その内容を踏まえて適合・不適合等の判断をおこなっていくことになります。

何人に対して監査すべきか

内部監査を踏み込んで実施する場合にもう1つ悩ましいのが、1部署につき何人程度監査すべきか、という点です。

これについては「明確な基準は存在していない」というのが正直なところです。

ただ、内部監査時に被監査対象となる部署の全員を総チェックする、というようなことになると企業によっては膨大な数になってしまいます。

たくさん内部監査を実施した結果、「本来の業務がおろそかになってしまった」「従業員がISMSの運用に否定的になってしまった」というような事態に陥れば本末転倒ですので、自社の状況にあわせて総合的な判断をおこなっていくべきです。

分母の数にもよりますが、やはり1部署につき2~3つはサンプルとして監査することができれば、よりリアルなルール遵守状況を把握できるように思います。

内部監査は外せないイベントではありますが、どこまで見るかは各会社、各内部監査員によって微妙にブレることもあり、非常に奥深いです。

毎年の取り組みの中で自社にあった度合いを見出していただき、有効なISMSにしていただければと思います。

ISMSの内部監査、どこまで踏み込める?どこまで踏み込むべき?

カテゴリー: 内部監査

ISMS認証を取得・運用するにあたって必要となる内部監査ですが、実施する際にどこまで突っ込んでヒアリング・チェックをすべきか迷われる企業様が多いです。

実際、内部監査に慣れていたとしても、チェックすべき点や内容の「さじ加減」はなかなか難しいと言えます。

そこで今回は、ISMS運用時の内部監査でどこまで踏み込むべきか、例示等を踏まえてご紹介したいと思います。

内部監査の基本

ISMSにおいて、内部監査は「マネジメントシステムを運用出来ているか」の確認をおこなう重要なイベントです。

内部監査をしっかりしないとリスクに対応できているのか確認できませんし、そもそもPDCAを回し切ることができなくなってしまいます。

しかし一方で、「どこまで監査でチェックすべきなのか」という点は、人によって見解が様々となっており明確な基準がないため、どうすればよいかわからず、迷ってしまう方が多いのです。

とはいえISMSの内部監査においては「見なければならない項目」というのが決まっているため、まずはそれらのポイントをしっかり押さえた監査をおこなうことが基本です。

その項目は何かと言うと、皆さんの会社にある情報セキュリティに関するマニュアルに記載されたルールが守られているか、ということです。

内部監査では「会社のルールが守れているか」を判断することが基本です。「ルールを守れている」「守れていない」といった簡単な判断で構いませんので確認しておきましょう。

どこまで踏み込むべきか

では次に、内部監査で「どこまで深掘りして質問・ヒアリングをするか」という点についてです。

例えば、「私物のスマートフォンまでチェックすべきか」や「PCのフォルダを1つ1つまで細かくチェックすべきか」といった点がよく挙がります。

こういった判断は、内部監査員の経験や性格などによるところが大きいですが、基本的には「会社のルールでどこまで定めているか」を1つの指針としてもらえればと思います。

例えば、会社のルールの中に私物スマホで業務をおこなう際のルール(「業務で利用するスマホには必ず●ケタ以上のパスワードロックを設定する」など)があれば、私物スマホについても内部監査のチェック対象になります。

また、会社のルールで「私物スマホでは業務をしないこと」といったルールを設けている場合は、私物スマホを業務利用していないかヒアリングをおこない、その内容を踏まえて適合・不適合等の判断をおこなっていくことになります。

何人に対して監査すべきか

内部監査を踏み込んで実施する場合にもう1つ悩ましいのが、1部署につき何人程度監査すべきか、という点です。

これについては「明確な基準は存在していない」というのが正直なところです。

ただ、内部監査時に被監査対象となる部署の全員を総チェックする、というようなことになると企業によっては膨大な数になってしまいます。

たくさん内部監査を実施した結果、「本来の業務がおろそかになってしまった」「従業員がISMSの運用に否定的になってしまった」というような事態に陥れば本末転倒ですので、自社の状況にあわせて総合的な判断をおこなっていくべきです。

分母の数にもよりますが、やはり1部署につき2~3つはサンプルとして監査することができれば、よりリアルなルール遵守状況を把握できるように思います。

内部監査は外せないイベントではありますが、どこまで見るかは各会社、各内部監査員によって微妙にブレることもあり、非常に奥深いです。

毎年の取り組みの中で自社にあった度合いを見出していただき、有効なISMSにしていただければと思います。

Author: LRM株式会社
  • はてなブックマークに追加
  • ツイートする
  • facebookでシェアする
  • LINEでシェアする