 |
|
|
| 前のページ 1 2 3 4 次のページ
|
|
| 内部監査
|
ISMS認証基準上で要求されている内部監査とは、以下の4点からISMSを企業内部でチェックすることである。
組織は、当該ISMSの管理目的、管理策、プロセス及び手順が次の事項を満たしているか否かを明確にするために、あらかじめ定められた間隔でISMSの内部監査を実施すること。
- 本基準の要求事項に適合していること。また、関連する法令又は規制に適合していること
- 識別された情報セキュリティ要求事項に適合していること
- 有効に実施され維持されていること
- 期待どおりに実施されていること
|
|
表4:内部監査の内容
|
1〜4の要件を満たしているかどうかを確認するため、あらかじめ定められた間隔で内部監査を実施する。定期的でなくてもよいが、組織の年間スケジュールと組みあわせて、内部監査時期を決めておく必要がある。これが認証基準上の「あらかじめさだめられた間隔」ということである。内部監査によって被監査部門にISMS改善の機会をあたええるとともに、情報セキュリティ管理責任者を通して、経営陣にISMSの実施状況を報告して改善の必要性を判断する情報を提供する。
|
| プロセス監査
|
内部監査の要求事項は以下のようにわけられる。
- ISMSの適合性はISMSの要求事項に対する適合性を監査する
- ISMSの有効性はプロセス監査・パフォーマンス監査と呼ばれるものを含め、ISMSが効果的に実施されているかどうかの有効性について監査する
表5:内部監査の要求事項
ISMSの有効性の監査としては、プロセスアプローチの考え方にくわえてプロセスの有効性についても監査する必要がある。断片的な要求事項のチェックではなく各プロセスの流れで監査し、要求事項の相互関係についても監査する。
|
| 監査プログラムの策定
|
監査プログラムは以下のことを考慮して策定する。
- 監査の対象となるプロセスおよび領域の状態と重要性
- 監査の対象となるプロセスおよび領域の状態の重要性に基づいて、どのプロセスにウエイトをかけるのかを計画し、重要なプロセスの有効性の監査を行う。例えば、以下のような項目があげられる。
- 重要なプロセス・顧客クレームが発生しているプロセスはウエイトを大きくする
- 組織変更があったプロセス・設備変更があったプロセスはウエイトを大きくする
- これまでの監査結果
- これまでの監査結果を分析して監査方針を立てる。不適合が多い要求事項・不適合が多いプロセスなどはウエイトを大きくする。
表6:監査プログラムの考慮点
また、監査プログラムには以下のことを定める。
|
| 監査の基準 |
適合、不適合を判断する基準(ISMS 2.0、JIS X 5080など) |
| 監査の範囲 |
プロセスおよび領域 |
| 監査の頻度 |
年間にどこをどの程度行うか |
| 監査の方法 |
監査の手順 |
表7:監査プログラムの規定
|
| 監査員の策定および監査の実地
|
監査プロセスの客観性と公平性を確保するため、監査員の選定および監査の実施を行う。監査員は自らの仕事を監査しない。内部監査は社内のクロスチェックであり、自分のした仕事を監査しては客観的な監査が難しくなる。したがって、基本的に自分が行ったプロセスの監査は他の人が監査する。内部監査員は自社の者でなくても可能である。
また内部監査員は、内部監査が適正にできる能力をもつ人である必要がある。監査員は次のような条件が必要である。
- 適用される監査基準が理解できている
- 監査の技術がある
- 監査員としての資質がある
表8:内部監査に必要な能力
企業では一般的にこのような力量をもつ監査員の教育として、内部研修の他にISMSの内部監査員コースといった外部講習に参加させているケースが多い。
|
前のページ 1 2 3 4 次のページ
|
|
|
|
|
著者プロフィール
みずほ情報総研株式会社 青木 淳
みずほ情報総研株式会社 システムコンサルティング部 シニアマネジャー
情報セキュリティを中心としたコンサルティング業務を担当。最近のプロジェクトでは、ISMS適合性評価制度認証取得支援コンサルティング、情報セキュリティ監査、個人情報保護法対策支援コンサルティング、情報セキュリティポリシー・スタンダード策定コンサルティングなど。ITコーディネータ、ISMS審査員補。
|
|
|
|
|
|
