 |
||||||||||||
|
||||||||||||
| 前のページ 1 2 3 4 次のページ | ||||||||||||
|
||||||||||||
| 内部監査 | ||||||||||||
|
ISMS認証基準上で要求されている内部監査とは、以下の4点からISMSを企業内部でチェックすることである。
組織は、当該ISMSの管理目的、管理策、プロセス及び手順が次の事項を満たしているか否かを明確にするために、あらかじめ定められた間隔でISMSの内部監査を実施すること。
|
||||||||||||
|
表4:内部監査の内容 |
||||||||||||
| 1〜4の要件を満たしているかどうかを確認するため、あらかじめ定められた間隔で内部監査を実施する。定期的でなくてもよいが、組織の年間スケジュールと組みあわせて、内部監査時期を決めておく必要がある。これが認証基準上の「あらかじめさだめられた間隔」ということである。内部監査によって被監査部門にISMS改善の機会をあたええるとともに、情報セキュリティ管理責任者を通して、経営陣にISMSの実施状況を報告して改善の必要性を判断する情報を提供する。 |
||||||||||||
| プロセス監査 | ||||||||||||
|
内部監査の要求事項は以下のようにわけられる。
表5:内部監査の要求事項
ISMSの有効性の監査としては、プロセスアプローチの考え方にくわえてプロセスの有効性についても監査する必要がある。断片的な要求事項のチェックではなく各プロセスの流れで監査し、要求事項の相互関係についても監査する。 |
||||||||||||
| 監査プログラムの策定 | ||||||||||||
|
監査プログラムは以下のことを考慮して策定する。
表6:監査プログラムの考慮点 また、監査プログラムには以下のことを定める。 |
||||||||||||
表7:監査プログラムの規定 |
||||||||||||
| 監査員の策定および監査の実地 | ||||||||||||
|
監査プロセスの客観性と公平性を確保するため、監査員の選定および監査の実施を行う。監査員は自らの仕事を監査しない。内部監査は社内のクロスチェックであり、自分のした仕事を監査しては客観的な監査が難しくなる。したがって、基本的に自分が行ったプロセスの監査は他の人が監査する。内部監査員は自社の者でなくても可能である。 また内部監査員は、内部監査が適正にできる能力をもつ人である必要がある。監査員は次のような条件が必要である。
表8:内部監査に必要な能力
企業では一般的にこのような力量をもつ監査員の教育として、内部研修の他にISMSの内部監査員コースといった外部講習に参加させているケースが多い。 |
||||||||||||
|
前のページ 1 2 3 4 次のページ |
||||||||||||
|
|
||||||||||||
|
|
||||||||||||
|
||||||||||||
|
|
||||||||||||
|
||||||||||||
-
-
連載
