ISO27001の国際規格上のISMS(情報セキュリティマネジメントシステム)では、内部監査の実施が義務づけられています。ただ内部監査の実施時にISMSの基準の適合性にばかりとらわれて、有効な監査がなされていないという課題が浮上しています。
ここではISMSの内部監査における課題とその解決法について説明しています。
また、ISMS認証での内部監査について、現役審査員を含む専門家が代行するサービスを提供しています。「社内に監査できる人材がいない」「形骸化してしまっている」という方は、ぜひご活用ください。
ISMSの内部監査の概要と目的
まずはISMS(情報セキュリティマネジメントシステム)の内部監査について確認します。
ISMSの内部監査の概要
国際規格のISO27001では情報の安全な取り扱い要件を定めており、それを実現するための仕組みがISMS(情報セキュリティマネジメントシステム)です。内部監査はISMSのPDCAサイクルにおける「C(チェック)」の工程の一つで、平たくいえば「定期的な運用チェック」のことです。
- 監査人の選定
- 監査チェックリストの作成
- 監査の実施
- 監査報告書の作成
なお、公正で客観的な監査の観点から、監査人は自部門の監査ができないと定められています。また最後の監査報告書は組織の代表者による「マネジメントレビュー」に用いられ、ISMSの改良が図られていくことになります。
ISMSの内部監査の目的
ISMSの内部監査の主な目的は2つあります。
- 適合性の判定
- 有効性の判定
ISMSを構築して間もない、運用の開始時期であれば、社員がちゃんとISMSの手順を理解して実施できているか確認する「適合性の判定」を重視します。そしてISMSが浸透し、習熟度が高くなった頃から「有効性の判定」に内部監査の重点を移しましょう。
これは手順を「理解しているか?」「ちゃんと実施できているか?」を監査する視点から、「成果が出ているか?」「手順が有効に機能しているか?」の確認に移行することを意味します。このように内部監査の視点を変えることで、「内部監査のマンネリ化」「ISMSの形骸化」を防止できます。
ISMSの内部監査の有効性が弱まる要因
内部監査をめぐる課題「マンネリ化」「形骸化」を引き起こす主な要因に次のようなものがあります。
内部監査責任者と部門責任者の地位格差
監査を統括する内部監査責任者と、監査対象部門のISMS責任者が同格でないと、適切な監査が行えないことがあります。もし両者に大きな地位の格差(経営幹部と一般役職者)があると、是正勧告が困難になったり、因果を特定せず特定部門に責任を押しつけ対応させるような的外れな指摘がまかり通りかねません。
内部監査を実施する側と受ける側の力関係に差があると、社内の指揮系統を引きずりISMSの正当な活動を阻害しかねないので注意が必要です。
社内関係悪化の懸念
リソースの関係上、監査専任の部署を置かず、通常業務のかたわら監査を行う体制の組織は多くあります。そうなると、内部監査人と監査対象部門の所属者は日頃から接点を持っている可能が高くなります。監査で指摘することにより相手の心象を悪くしたり、改善にかかる負担や業務への影響等々、今後の関係性に影響させたくないという気持ちが生じがちです。
すなわち、ルール上、不適切でも指摘しなかったり、または目こぼしして基準以下の状態で妥協するといった事態を引き起こしかねません。ほかにも、文書記録が求められるISMSにおいて、口頭注意にとどめる間違った運用をしてしまうこともあります。
改善のためのルール変更に対する抵抗感
ISMSは情報セキュリティシステムを組織の現状や環境に適したものに変えていくことを良しとします。つまり、ISMS構築当初のルールが今にそぐわなければ、再検討したり運用を変えていくべきなのです。ただ、必要性が理解されないとその取り組みがなされず、内部監査は既存ルールの適合性判定の手続きになり下がってしまいます。
内部監査の有効性判定でルールや運用の変更を指摘され、反発してくる部門もあるかもしれません。その場合、当該部門との関係性改善を図り、セキュリティ意識の向上や改善への取り組みがリスクの削減に直結することを理解してもらいましょう。
ISMSの内部監査の有効性を取り戻すには
内部監査が形骸化する要因を取り除き、有効性を取り戻すにはどんな解決策があるのでしょうか。
各責任者は同格の者で揃える
ISMSの内部監査の形骸化を防止するため、各責任者の社内的なパワーバランスを保ちます。つまり、各責任者には同程度の職位の者を任命するのが理想的といえます。職位に差があると、監査が一方的になったり、ISMSを再構築するための建設的なやり取りが成立しにくくなることがあります。
特に、内部監査責任者と部門のISMS責任者の社内的な地位を揃えておくのが望ましいです。
監査対象と利害関係のない者を監査人に任命する
監査人は内部監査の実施者のことで、客観的な監査のために対象部門と利害関係を持たない人物を任命しましょう。普段から監査対象と関係がなければ、人間関係維持を優先して内部監査を軽んじたり、基準の判定や指摘に歪みがもたらされる可能性を低くできます。
研修でISMSの意義の理解と動機づけ
内部監査の仕組みだけでなく、ISMSが形骸化するのはその重要性をわかっていないのが原因です。教育研修によりISMSの意義を理解してもらい、内部監査の指摘を守り運用改善の協力が得られる風土を醸成します。
研修メニューは一般社員向けと幹部社員向けなど、職責や職域で複数の種類を用意します。社内で作成した教材・資料のほか、eラーニングを併用するのも効果的です。特に一般社員にセキュリティ事故のリスクを知ってもらい、監査の指摘事項を遵守する重要性を浸透させます。
弊社LRMでご提供しているセキュリティ教育クラウド「セキュリオ」では、eラーニング機能で40種類以上の情報セキュリティコンサルタント監修教材のご利用や、追加のオリジナル教材の作成もしていただけます。
他にも様々な機能で貴社のセキュリティ改善をご支援いたします。14日間無料でEPスタンダードプランの機能をお試しいただけるトライアルもご用意しておりますので、ぜひご検討ください。
有効性を判定する仕組みの構築
内部監査の実施において「規格の要求事項を遵守しているか?」という適合性の判定にばかり集中してしまいがちです。もちろん大事なことなのですが、規格の要求事項の順番どおりではなく、業務手順の流れに沿って確認していくとよいでしょう。
有効性を判定する仕組みの例
- 監査実施者
- 責任権限のある者が実施しているか?
- 参照情報
- 管理策の実行に必要な情報は最新で承認されたものか?
- 使用資源
- IT設備やセキュリティ設備は保全されているか?
- 管理目的
- リスクは何か? リスク抑止の観点から見た課題はないか?
このように、プロセスの開始(インプット)から成果物(アウトプット)創出までの流れを確認することで、監査される側も業務に即した回答がしやすくなります。内部監査の形骸化を防ぐひとつの手段となりえます。
さらに監査は合格/不合格の判定ではなく、段階的な評価制度を導入すると、達成度やあるべき姿との乖離が明確になってよいでしょう。指摘を受けた側も何が課題かはっきりし、取り組みがしやすくなります。
確実なマネジメントレビューの実施
内部監査の実効性を確保するには、ISMSのPDCAサイクルの最終段階にあるマネジメントレビューを確実に実施することです。マネジメントレビューとは、内部監査の報告や指摘事項をもとに、組織のISMS運用が適切になされているかトップマネジメントが判断することです。規格審査においても、マネジメントレビューの記録の確認から始まることが多く、政府の「サイバーセキュリティ経営ガイドライン」でも言及されている重要なプロセスです。
マネジメントレビューでは、経営層が自らの責任でISMSの適合性や有効性を判断を下すことが最も大事です。なお、内部監査と同様に年1回以上の実施が求められています。
まとめ
ISMSの内部監査は国際規格で実施が義務づけられているプロセスです。内部監査の実効性を確保するため、組織編成やISMS運用の評価方法、経営層の関与など、さまざまな面を考慮したり、働きかけをしていきましょう。
また、こちらのISMS内部監査チェックリストは、弊社セキュリティコンサルタントによる監修で、そのまま本番でのご使用も可能です。まずは無料でダウンロードしてお確かめください。
