LRMで行うISMS内部監査の流れ

• ISMS認証取得お取り組みにおけるPDCAの、C(check)にあたる項目
• 日々の業務で、自社の情報セキュリティルールを守れているかをチェックする監査
• お客様のオフィスなどにコンサルタントがお伺いして、1部署ずつ簡単な業務ヒアリングと、内部監査を実施

• LRMによる監査は、1部署約30分が標準

• 担当者は、部署全体の業務流れを把握している方なら誰でもよい。

• 業務を説明できる資料(業務フロー図)などが既存であるならば準備するとよい。

• 口頭での質問対応
• 実際の業務で使っている執務室(作業場)や、ツール・サービスなどを可能な範囲でコンサルタントに紹介
• 個人情報等の外部に見せられないものがある場合は、コンサルタントにその旨を伝えてOK

• 監査の目的説明
• 監査の流れ説明

• 一日の流れ(業務内容)
• 部門内での役割や立ち位置
• よく使用するサービス・ツールの確認
  • インストール方法
  • アカウント管理状況
  • データの保存・管理状況
• 情報資産の取り扱い状況
  • 保管場所確認
  • 保管期限は、情報資産管理台帳と整合性とれているのか
  • 廃棄の仕方
• 業務上、生じると困ることの確認
  • 生じると困ることへの対策の有無
  • 生じると困ることがリスク管理表に反映されているか
  • 生じると困ることが実際に起きた際の上長への報告方法
• 社内のルールが明文化されている場所
• デスク周りや入口の鍵の物理的なセキュリティ状況

• インタビュー結果(良かった点や改善した方がよい点)を部署の担当者(責任者)と事務局に報告
• 監査報告書へ記載する監査結果内容の確認

(1)～(4)を監査対象部署全部に行い、現場内部監査終了です。