ISMSの内部監査とは? 目的や具体的な進め方、必要書類を解説
ISMS(Information Security Management System:情報セキュリティマネジメントシステム)の内部監査は、組織の情報資産を守り、認証取得や維持に不可欠なプロセスです。しかし、監査の目的や具体的な進め方、必要な書類・報告書の書き方など、初めての方にはわかりづらい部分も多いのではないでしょうか。
本記事では、ISMSの内部監査の目的や具体的な進め方、必要書類などを解説します。
ISMSの内部監査とは、ISMSの運用状況を評価し、規格への適合性や有効性を確認すること
ISMSの内部監査とは、組織内でISMSが適切に運用されているかを評価し、ISO/IEC 27001といった規格で要求されている事項や、社内で定めたルールへの適合性と有効性を確認することです。ISMSとは、組織が保有している情報のセキュリティリスクを管理する取り組みで、その整備状況を第三者機関が評価・認証するための基準としてISO/IEC 27001が定められています。
内部監査では、情報セキュリティリスクの管理状況や業務運用の実態をチェックし、改善すべき点を洗い出して、継続的な改善を促します。
ISO/IEC 27001とISMSの内部監査の関係
ISO/IEC 27001は、ISMSの構築・運用に関する国際規格です。情報セキュリティリスクを体系的かつ継続的に管理するための枠組みで、PDCAサイクルに沿った運用が求められます。ISMSの内部監査は、そのうちの「Check(確認)」に該当し、組織が規格の要求事項を満たす上で不可欠な取り組みとして位置づけられています。
ISMSの認証を取得している組織にとって、内部監査は単なる形式的な手続きではなく、運用状況を把握し、改善につなげるための重要な手続きです。適切に実施されることで、情報セキュリティ体制の継続的な強化と、認証の維持が可能になります。
ISMSの内部監査の主な目的
ISMSの内部監査の主な目的は、「適合性の判定」と「有効性の判定」の2つに大別されます。
「適合性の判定」とは、業務がISO/IEC 27001の規格や社内のルール・手順に則って実施されているかを確認することです。また、「有効性の判定」では、それらのルールや対策が実際に効果を発揮しているか、情報セキュリティの維持・向上に貢献しているかを評価します。
これらの評価を通じて、ISMSの形骸化を防ぎ、情報資産の機密性・完全性・可用性の確保につなげることができます。
ISMSの内部監査を実施する効果
内部監査を適切に実施することで、いくつかの効果が期待できます。
例えば、情報セキュリティリスクの早期発見ができるようになり、情報漏洩やセキュリティインシデントを防止できる可能性が高まります。また、監査を通じて業務プロセスの改善点が明らかになることで、業務の効率化や従業員のセキュリティ意識の向上につなげることも可能です。
加えて、内部監査は、認証取得前の準備や規格の更新審査といった外部監査への事前対応にも有効です。事前に課題を洗い出して対処しておくことで、認証の取得やその後の維持がスムーズになります。
ISMSの内部監査の具体的な進め方
ISMSの内部監査を計画的かつ体系的に進めると、組織の情報セキュリティ体制の改善が図れます。監査は通常、以下の4つのステップで構成され、それぞれが相互に関連しながら進んでいきます。
| ステップ | 概要 |
|---|---|
| 1.監査員の選定 | 監査の公平性を確保するため、監査対象と利害関係のない人物を選定。ISMSやISO/IEC 27001の知識、監査スキルを持つ人物が望ましい |
| 2.監査計画の立案 | リスクの高い領域を重点的に監査するための計画を策定。監査計画書を作成し、対象部門と調整を行う |
| 3.監査の実施 | チェックリストを基にヒアリングや現場確認を行い、適合・不適合事項を評価。監査対象部門と円滑に対話を行い、証拠を記録する |
| 4.監査報告書の作成 | 監査結果を文書化し、指摘事項や良好な点を報告書にまとめる。改善活動やマネジメントレビューに活用される |
これらのステップをしっかりと実施することで、監査の精度と実効性が高まり、継続的な改善活動につなげることが可能です。また、ISMSの内部監査は年1回以上定期的に実施するのが一般的で、ルールや運用状況の見直しを行うことで、情報セキュリティを強化できます。
ISMSの内部監査を成功させるための4つのステップについて、以下でそれぞれ詳しく確認していきましょう。
1.監査員の選定
ISMSの内部監査で最初に行うのが、監査員の選定です。監査の信頼性を確保するためには、監査対象となる部門と利害関係のない中立的な立場の人物を選ぶ必要があります。監査の客観性・公平性が損なわれると、正しい判断ができず、ISMS全体の改善につながらない可能性もあるため、適切な人物の選定が不可欠です。
監査員には、ISMSやISO/IEC 27001の規格に関する知識はもちろん、監査技法やヒアリングスキル、報告書作成能力などの実務的なスキルも求められます。候補者のスキルに不安がある場合は、必要に応じて、外部研修の受講や関連資格の取得を検討すると良いでしょう。
2.監査計画の立案
監査員を選定したら、次に行うのが監査計画の立案です。監査を効果的に実施するためには、重点的に調査すべきリスク領域を明確にし、無理のないスケジュールと体制で監査を進めることが重要です。情報漏洩やセキュリティインシデントのリスクが高い業務、部署を優先的に監査対象とすることで、実効性の高い監査が可能になります。
監査計画では、監査の目的や対象部門、スケジュールなどを盛り込んだ監査計画書を作成します。計画書は監査対象部門と共有し、業務への影響を最小限に抑えながら、円滑に監査が実施できるよう調整することも必要です。
関係者全員に監査の目的や流れを事前に周知し、共通認識を持つことが、スムーズな監査実施と現場の協力を得るためのカギとなります。
3.監査の実施
監査計画を策定したら、計画に基づいて監査を実施します。一般的な監査の流れは、下記の通りです。
- ISMSの内部監査を実施する際の流れ
-
- 1.チェックリストの事前配布
- 2.監査対象部門へのヒアリング
- 3.現場の確認(業務状況の観察、文書のレビュー)
- 4.指摘事項の記録・整理
まず、監査対象部門には、事前にチェックリストを配布しておくことで、当日の監査をスムーズに進めることができます。その後、ヒアリングや現場確認を通じて、実際の運用が規定通りに行われているか、改善が必要な点がないかを確認します。
監査では、ヒアリングに加えて業務状況の観察や文書のレビューも組み合わせて評価を行い、適合している事項と不適合事項の両方について、証拠を客観的に収集・記録することが必要です。
また、監査を成功させるポイントは、監査対象部門との円滑なコミュニケーションです。一方的にチェックする場として実施するのではなく、業務改善のための対話の場ととらえ、協力的な関係を築くことが求められます。
4.監査報告書の作成
監査が終了したら、その結果を取りまとめた監査報告書を作成します。報告書には、監査で確認された適合事項や不適合事項、改善点、良好な点などを客観的に記載し、経営層や関係部門と共有することが重要です。
監査報告書は、マネジメントレビューや改善活動の起点となる資料であり、ISMSの運用改善に直結する重要なドキュメントです。不適合が見つかった場合には、不適合報告書を別途作成し、具体的な不適合内容と改善案、是正措置の期限などを明確に記載します。
また、報告書では指摘事項だけでなく、監査対象部門の良好な点にも言及することで、監査員や監査を行う部署との信頼関係の構築にもつながります。
報告書の作成後は、関係者へのフィードバックや、是正措置のフォローアップを含めたアクションプランを検討・実行し、PDCAサイクルの「Action(改善)」へとつなげていくことも必要です。
内部監査に必要な書類
ISMSの内部監査を円滑かつ効果的に実施するには、監査時に使用する書類を適切に整備しておくことが不可欠です。常に必要となるのは下記の3つの書類です。
| 書類名 | 概要 |
|---|---|
| 内部監査計画書 | 監査の目的や対象範囲、実施時期、監査員などを明記し、監査の全体像を示す文書。監査の計画段階で作成され、関係者間の認識を一致させるために活用する |
| 内部監査チェックリスト | 監査時に確認すべき項目を体系的に整理したリスト。漏れなく効率的に監査を進めるためのツールであり、質問や記録のベースになる |
| 内部監査報告書 | 監査で得られた結果を客観的にまとめた文書。適合・不適合事項や改善提案などを記録し、今後の是正措置やマネジメントレビューの資料として活用される |
ここでは、内部監査計画書と内部監査報告書の記載項目について解説します。なお、内部監査チェックリストの記載項目は組織や部門によって大きく異なるため、詳細は割愛します。
内部監査計画書の記載項目
内部監査計画書は、監査をどのように進めるかの全体像を示す文書で、監査の透明性と効率性を確保するために重要な役割を担います。計画書には、下記のような項目を記載するのが一般的です。
- 内部監査計画書の記載項目の例
-
- 監査の目的や方針
- 監査対象部門
- 監査の範囲
- 監査の実施者(監査員)
- 監査項目
- 監査の日時
これらの項目を明確にすることで、関係者間での認識のずれを防ぎ、スムーズな監査実施につながります。
なお、計画を立てる際には、過去の内部監査報告書やISMSの基本方針、リスクアセスメント結果などを参考にすることで、より実効性の高い監査を計画できます。
内部監査報告書の記載項目
内部監査報告書は、監査の実施結果をまとめ、改善活動につなげるための基礎資料です。報告書には、一般的に以下のような項目を記載することが求められます。
- 内部監査報告書の記載項目の例
-
- 監査対象部門
- 監査の実施者(監査員)
- 監査の日時
- 監査の内容(チェック項目ごとの確認結果)
- 監査結果(適合、不適合など)
報告書の目的は、個人の責任を追及することではなく、マネジメント上の課題を明らかにし、改善を促すことにあります。そのため、表現は冷静かつ客観的に記述し、監査対象部門と建設的な関係を維持できる内容にすることが重要です。
不適合や重大な課題が発見された場合は、不適合報告書を別途作成します。不適合報告書の記載項目の例は、下記の通りです。
- 不適合報告書の記載項目の例
-
- 不適合の具体的な内容と発生要因
- 改善案や是正措置の内容
- 是正措置の期限と責任者の氏名
これらの記載を基に、フォローアップや再監査が実施され、ISMSの継続的な改善につながっていきます。
内部監査チェックリストの効果的な活用法
ISMSの内部監査では、監査対象が多岐にわたるため、内部監査チェックリストを活用することで監査の質と効率を向上させることができます。チェックリストは、監査すべき項目を漏れなく網羅し、監査の一貫性を保つための有効なツールです。
チェックリストを使用する際は、単なる形式的なチェックに終わらせず、質問項目ごとに「なぜそうしているのか」「どのように運用されているのか」といった掘り下げた確認を行うことで、より実態に即した監査が可能になります。
また、組織や業務環境は常に変化しているため、チェックリストも定期的に見直し・更新することが重要です。実際の監査結果や改善報告を反映させながら、常に最適な状態を維持することで、監査の信頼性と有効性が高まります。
チェックリストの活用により、監査員の判断基準を明確にし、複数の監査員が関与する場合でも評価のばらつきを防ぐことも可能です。結果として、組織全体のセキュリティレベルの底上げにつながります。
内部監査員に必要なスキル
ISMSの内部監査を成功させるには、一般的には下記のようなスキルが必要とされます。
| スキル | 説明 |
|---|---|
| 監査の実施スキル | 監査計画の立案から実施、報告までのプロセスを適切に遂行できる能力 |
| コミュニケーション能力 | 監査対象部門との信頼関係を構築し、効果的なヒアリングや対話ができる能力 |
| 問題解決能力 | 指摘事項に対して、原因分析や具体的な改善策を提案できる能力 |
| ITスキル | 情報システムやセキュリティツールの知識を有し、技術的な監査に対応できる能力 |
これらのスキルをバランスよく備えることで、監査の実効性が高まり、現場との建設的な対話も可能になります。
ISMSの内部監査に役立つ資格
ISMSの内部監査に関する知識や信頼性を高めるためには、関連資格の取得が有効です。ISMSの内部監査に役立つ資格の代表例は以下の通りです。
| 資格名 | 概要 |
|---|---|
| ISMS審査員資格 | ISO/IEC 27001に基づいた監査の知識とスキルを認定する資格で、外部審査への対応力の強化にもつながる |
| CISA(公認情報システム監査人) | 国際的に認知された情報システム監査の資格で、IT監査やリスク管理に関する専門性を証明できる |
これらの資格を取得することで、監査員としての専門性を高めるだけでなく、組織内外からの信頼獲得にもつながります。
ISMSの内部監査を成功させるポイント
ISMSの内部監査を効果的に機能させるには、単に適切な手順を踏むだけでなく、組織運営上のポイントを押さえて監査を実施することが不可欠です。ここでは、内部監査を成功に導くための5つのポイントを解説します。
| 成功のポイント | 概要 |
|---|---|
| 監査員の独立性と専門性を確保する | 中立的でスキルを備えた監査員の選定が不可欠となる |
| 監査対象部門と内部監査の責任者は同格者にする | 監査員と監査対象部門との力関係に上下が生じないように調整する |
| 従業員に内部監査の重要性を理解してもらう | ISMS運用の意義と内部監査の役割を共有する |
| 適切なコミュニケーションと信頼関係の構築を心掛ける | 監査対象部門との良好な関係を築ければ、円滑な監査の実施ができる |
| ルールが適切かどうかも判断する | ルールの妥当性も確認することで、監査対象部門の従業員の協力も得られやすくなる |
監査員の独立性と専門性を確保する
監査員は、必ず監査対象から独立した立場の人を選定しましょう。内部監査の信頼性は、監査員の独立性と専門性に大きく依存します。監査対象部門と利害関係がある人物が監査を行うと、客観性が損なわれるリスクがあります。
加えて、情報セキュリティやISMSの知識、監査技法を備えていることも重要です。社内研修や外部資格を通じてスキル強化を図ることが、内部監査の質を高めるカギとなります。
監査対象部門と内部監査の責任者は同じ役職クラスにする
監査対象部門の責任者が、内部監査の責任者よりも上位の役職にある場合、不適合事項の指摘や改善案の提案がしづらくなる傾向があります。反対に、内部監査の責任者のほうが上位の場合、一方的に指摘事項を押し付けるような監査にもなりかねません。
指摘事項が受け入れられなかったり、あるいは軽視されたりする事態を避けるためにも、監査の実行責任者は同格または対等な立場の人材を選ぶことが理想的です。
従業員に内部監査の重要性を理解してもらう
内部監査が形骸化しないためには、その重要性を現場の従業員に理解してもらい、協力を得ることが欠かせません。内部監査が組織全体の安全性の向上に寄与することを明確に伝え、単なるチェックのための監査ではなく、改善のための活動であるという認識を持ってもらうことが重要です。
適切なコミュニケーションと信頼関係の構築を心掛ける
内部監査では、監査対象部門との適切なコミュニケーションと信頼関係の構築を心掛けましょう。監査対象部門に対しては、事前・事後の説明を丁寧に行い、監査中もコミュニケーションを重視することで、現場の実態を把握できる効果的なヒアリングが期待できます。そうした取り組みで信頼関係を構築できれば、内部監査を単に不備を探す場ではなく、改善のきっかけをつくるプロセスにすることが可能です。
例えば、報告書に指摘だけでなく「良好な点」も明記することは、現場の内部監査対応へのモチベーション維持にもつながる良い方法です。
ルールが適切かどうかも判断する
内部監査では、「ルールを守っているか」に加え、「そのルールが現実的で妥当かどうか」も評価対象に含めることが重要です。
例えば、ルールが複雑すぎて現場で運用できていなかった場合、ルールを守れなかった従業員に非があるわけではなく、ルール設計自体に課題があると考えられます。監査を通じてルールの改善につなげることで、従業員のISMSへの理解と協力も得やすくなります。
内部監査を適切に進めて、セキュリティ体制を万全にしよう
ISMSの内部監査は、組織の情報セキュリティを守り、ISO/IEC 27001の認証取得や維持において不可欠なプロセスです。単なるルールの確認ではなく、情報資産の保護と業務改善を目的とした取り組みとして位置づける必要があります。
監査の目的や手順、必要書類、報告書の記載項目などを正しく理解し、計画的に監査を進めることで、セキュリティレベルの継続的な向上にもつながるでしょう。
内部監査を効率化したり、情報漏洩対策を導入したりしたい場合は、インターコムが提供する「MaLion」シリーズが役立ちます。内部監査の重要な資料となるファイルなどの操作ログの収集・管理や、セキュリティポリシーに反する操作の検知・制御などができ、効率的なセキュリティ体制を構築しやすくなります。これらの機能により、内部監査の準備や日頃の証跡管理の負担を軽減することが可能です。
「MaLion」は、ISMSの運用上の課題をサポートし、組織全体のセキュリティレベル向上に貢献します。内部監査の実施を効率化したい場合や、効果的な情報漏洩対策ツールを導入したい場合は、ぜひ一度ご相談ください。
