ISMSの内部監査の流れ

そもそも内部監査とは

  • ISMS認証取得お取り組みにおけるPDCAの、C(check)にあたる項目
  • 日々の業務で、自社の情報セキュリティルールを守れているかをチェックする監査
  • お客様のオフィスなどにコンサルタントがお伺いして、1部署ずつ簡単な業務ヒアリングと、内部監査を実施

所要時間

  • LRMによる監査は、1部署約30分が標準

ヒアリングは、各部署の担当者1人のみでOK

  • 担当者は、部署全体の業務流れを把握している方なら誰でもよい。

基本的にお客様側での準備物は不要

  • 業務を説明できる資料(業務フロー図)などが既存であるならば準備するとよい。

担当者が内部監査で対応する項目

  • 口頭での質問対応
  • 実際の業務で使っている執務室(作業場)や、ツール・サービスなどを可能な範囲でコンサルタントに紹介
  • 個人情報等の外部に見せられないものがある場合は、コンサルタントにその旨を伝えてOK

1: 実際の流れ

1. 監査についての説明

  • 監査の目的説明
  • 監査の流れ説明
お客様側の対応者 部署の担当者(責任者)、
事務局(ISMS認証取得お取り組みをメインで担っている方々)(任意での参加)
対応場所 会議室など

2. 業務ヒアリング(10分)

  • 部署の業務流れなどを確認
  • 部署の人数確認
  • 以下文書を参考に業務内容の確認
    ・情報資産をとりまとめた台帳 ※名称:情報資産管理台帳など
    ・リスクをとりまとめた台帳 ※名称:リスク管理台帳
お客様側の対応者 部署の担当者(責任者)、
事務局(任意での参加)
対応場所 会議室など

3. 内部監査(15分)

◆ヒアリング項目例:
  • 一日の流れ(業務内容)
  • 部門内での役割や立ち位置
  • よく使用するサービス・ツールの確認
    ・インストール方法
    ・アカウント管理状況
    ・データの保存・管理状況
  • 情報資産の取り扱い状況
    ・保管場所確認
    ・保管期限は、情報資産管理台帳と整合性とれているのか
    ・廃棄の仕方
  • 業務上、生じると困ることの確認
    ・生じると困ることへの対策の有無
    ・生じると困ることがリスク管理表に反映されているか
    ・生じると困ることが実際に起きた際の上長への報告方法
  • 社内のルールが明文化されている場所
  • デスク周りや入口の鍵の物理的なセキュリティ状況

お客様側の対応者 部署の担当者(責任者)、
事務局(任意での参加)
対応場所 実際の業務で使っている執務室(作業場)

4. 監査まとめ(5分)

◆対応内容:
  • インタビュー結果(良かった点や改善した方がよい点)を部署の担当者(責任者)と事務局に報告
  • 監査報告書へ記載する監査結果内容の確認

お客様側の対応者 部署の担当者(責任者)、
事務局
対応場所 実際の業務で使っている執務室(作業場) or 会議室など

1~4を監査対象部署全部に行い、現場内部監査終了です。

ISMS/ISO27001新規取得に関する無料相談・お見積り

ISMS取得できるのか?いつまでに取れそうか?どれくらいの費用がかかるのか?
取得される企業様の状況によって変わりますので、まずはお気軽にご相談ください。

ISMS/ISO27001認証取得コンサルティングへのお問合せはTEL:0120-991-481(受付時間)平日9:00~18:00

メールフォーム (24時間受付)

ISMS/ISO27001認証取得コンサルティングへのお問合せはTEL:0120-991-481(受付時間)平日9:00~18:00

ページの先頭へ戻る