情報セキュリティの国際規格、ISO27001では内部監査の実施を定めています。結果は内部監査報告書にまとめられ、現行のISMS検討の資料になります。
ここでは、ISMSの重要な文書の一つである内部監査報告書と、関連文書、関係する工程について説明します。
また、ISMS認証での内部監査について、現役審査員を含む専門家が代行するサービスを提供しています。「社内に監査できる人材がいない」「形骸化してしまっている」という方は、ぜひご活用ください。
ISMS(ISO27001)の内部監査
ISMS(ISO27001)の内部監査とは、自社のISMSルールや文書類が要求事項(規格や法的な要求事項)を満たしているか内部監査員が確認するものです。公平性と客観性を保つため、内部監査員は監査対象部門に所属していない者を任命します。
内部監査では以下の2つの観点で確認を行います。
- 適合性(決められた通りにできているか)
- 有効性(現行のルールや文書が有効か)
内部監査員は対象部門に出向き、部門の管理担当者にヒアリング形式で監査を実施します。内部監査時によく用いられるのが「内部監査チェックリスト」です。
内部監査の結果、適合性や有効性に問題がある点が見つかれば是正処置を求めます。
ISMS(ISO27001)内部監査報告書とは
内部監査報告書とは監査の結果をまとめた文書で、「マネジメントレビュー(代表者による見直し)」の重要な資料になります。「どの部署で」「どのルールが守られず、手順漏れがあったか」を明確にし、「報告を受ける側(経営層)の視点」を意識し作成しましょう。
内部監査報告書をもとに「自社のISMS(情報セキュリティマネジメントシステム)はこのままでよいのか」「自社のISMSのどこに欠陥があり、どう修復しなくてはならないのか」を経営層が判断します。したがって、報告内容にあいまいさや不足があると、ISMSの見直しが適切にできません。
なお、内部監査報告書では担当者個人の資質や責任を問うたりせず、マネジメントプロセスの問題点を冷静に指摘します。ファクトベースの記述に徹し、組織的な改善を促すほうが生産的です。
ISMS(ISO27001)内部監査報告書の作成
内部監査の報告書は監査の全容を報告するものであり、具体的には以下を報告します。
- 監査対象部門
- 担当の内部監査員
- 実施日時
- 内部監査の内容
- 結果(指摘事項や改善提案事項の有無など)
そして、内部監査で不適合が判明した場合、「不適合報告書」をあわせて作成します。不適合報告書とは、発見された指摘事項ごとにどのような不適合があったかを記した詳細文書です。被監査部門の部門長は不適合報告書の内容に基づき改善を指示します。
不適合報告書の作成ポイントは「具体的に記載すること」です。報告内容を見て「重大な不適合か否か?」が判断できる書き方をしなければなりません。
不適切な報告として、以下のような文例が考えられます。
- 「ISMS基本方針が理解されていない」
- 「記録が保管されていない」
- 「手順が不十分だった」
このように大雑把で具体的でない指摘を受けても、部門責任者が対応しにくいです。曖昧な指摘になるため、「理解できていないのは部門全員なのか」「保管されていないのはどの記録なのか」など、不適合報告書を受け取った側は改善対象の判断がつきません。したがって適切な改善指示が行えなくなります。
指摘事項の報告ではどう改善すべきかのプロセスを意識し、可能な限り具体的に、管理者が改善指示を出しやすい記述を心がけましょう。また、内部監査員の作業負担を軽減するため、「内部監査チェックリスト」を積極的に活用しましょう。
ISMS(ISO27001)内部監査のツールであるチェックリストとは
ISMS(ISO27001)内部監査チェックリストとは内部監査員が使うもので、監査すべき箇所を網羅的に示したチェックシートです。
ISMS(ISO27001)内部監査チェックリストのメリット
内部監査チェックリストを使用すると、次のメリットがあります。
- 作業負荷の軽減
- 時間配分の適正化
- 内部監査の記録として提出可
- 属人性の抑止
内部監査チェックリストには監査範囲と監査目的を記載しており、ベテランの監査員でなくてもポイントを押さえた監査が可能です。監査範囲が明確なので、時間配分を考えつつ能率的に監査が行えます。チェックリストの様式を工夫すれば、内部監査の記録としても残せます。
内部監査は専門性を要するため、人員確保や養成が困難です。しかし、チェックリストで監査手順をある程度標準化すれば、属人性の抑止と、業務の継続性・連続性が保てます。仮に偏向的な考えを持つ内部監査員がいても、チェックリストがあればいくらかはカバーできるでしょう。
ISMS(ISO27001)内部監査チェックリストの活用法
内部監査チェックリストはあくまでもチェックツールだという認識を持ち、表層的な項目チェックに陥らないようにします。有意義な内部監査にするには、チェックシートの記載事項を掘り下げて質問を展開するのがポイントです。
たとえば「パスワードのルール遵守」の項目があれば、YES/NOで答えさせず、システムやログインの条件に即して個別に尋ねるようにします。「クラウドシステムでは何の認証を設定し、未設定のユーザーはいませんか」といったようにです。
さらにチェックリストのバージョンアップをしていくことで「監査の質の維持と向上」が図れます。内部監査を実施するなかで重要な確認事項に気づいたら、監査報告などの場で報告し、リスト追加等の対応を求めていきましょう。
弊社でも、経験豊富な現役情報セキュリティコンサルタントが作成した「内部監査チェックリスト」をご用意しております。無料でダウンロードしていただけますので、ぜひ貴社での内部監査の参考にしてみてください。
ISMS(ISO27001)内部監査の流れと内部監査報告書
内部監査は抜き打ち式でなく、監査対象部門の協力のもと行います。ここで、内部監査の流れと内部監査報告書の関係を説明します。
内部監査の計画
ISMS(ISO27001)の内部監査は毎年決まった時期に行います。事前に実施日時や対応者について監査対象の部門と調整し、さらに監査の範囲もあらかじめ伝えておきます。
内部監査報告書が計画段階で影響を与えることはありません。代わりに監査計画時に内部監査チェックリストを現状にあわせて改訂してもいいでしょう。たとえば、システムの改変や法律改正を反映したり、前回の指摘事項を項目として設けるなどです。
内部監査の実施
内部監査の本番では監査員が被監査部門に出向き、現場担当者にヒアリングしたり、現場確認を行います。ISMSの運用実態と文書確認、手順の適正さのほか従業員のISMSの理解度も確かめます。
ヒアリングや現場確認の内容は、監査証拠としてチェックリストの記録欄などに詳細を記述し残します。
不適合事項はもちろんのこと、必要があれば適合事項の内容も記録しておきます。
内部監査後のフィードバック
内部監査を終え、被監査部門に口頭で報告する機会があれば直接伝えます。ただ、不適合事項が判明したら不適合報告書を作成し、まずは是正処置を求めます。
内部監査はあらかじめ決まった監査項目をチェックするものであり、いわば自己点検といえます。社内で決めたISMSルールが遵守されていなければ、現行の運用を修正・改善し、適正な運用に戻すために実施されます。
内部監査が完了し、不適合事項が是正されたら、結果を内部監査報告書にまとめてマネジメントレビューの準備に移ります。
マネジメントレビューに引き継ぎ
内部監査はISMSのPDCAサイクルの「C」にあたる工程で、マネジメントレビューはその後の「A」の工程になります。監査結果は内部監査報告書を介して経営トップに報告され、マネジメントレビューにて現行のISMSの妥当性がジャッジされます。
なお、マネジメントレビューで指摘事項や修正・改善点があれば、該当部門にフィードバックします。
まとめ
ISMS(ISO27001)の内部監査報告書は、監査記録というだけでなく、今後のISMS運用や改善の成否に影響します。内部監査を外部委託せず、社内の従業員が担う場合、形骸化させない工夫が望まれます。
また、弊社の情報セキュリティコンサルタントが作成した「内部監査チェックリスト」も併せてご活用いただけますと幸いです。無料でダウンロードしていただけますので、ご参考程度にもどうぞ。