本ウェブサイトでは、Cookieを利用しています。本ウェブサイトを継続してご利用いただく際には、当社のCookieの利用方針に同意いただいたものとみなします。

  • 2024/06/25公開

ISMSの内部監査とは?目的や実施のフロー、役立つ資格を解説

ISMSの内部監査とは?目的や実施のフロー、役立つ資格を解説

ISMS(情報セキュリティマネジメントシステム)は、国際的に認められた組織の情報資産を守るための管理体制です。組織にISMSを取り入れることで、情報セキュリティリスクの低減と信頼性の向上につながります。

ISMSの認証取得には内部監査が欠かせません。本記事では、ISMSの内部監査の目的、実施のフロー、役立つ資格について解説します。

目次
ISMSの内部監査とは
ISMSの内部監査を実施する目的
ISMSの内部監査のフロー
ISMSの内部監査チェックリストの効果的な活用
ISMSの内部監査報告書の記載内容
ISMSの内部監査に役立つ資格
ISMSの内部監査は取得・維持に不可欠な工程

ISMSの内部監査とは

ISMSは、Information Security Management System(情報セキュリティマネジメントシステム)の略で、組織の情報資産を守るための包括的な管理体制を指します。

ISMSの内部監査とは、組織内部の監査員がISMSの運用状況を確認し、改善点を見つけるための活動です。

ISO/IEC 27001の要求事項を満たしていることを確認し、情報セキュリティ対策の有効性を評価します。

内部監査を通じて、情報セキュリティ対策の脆弱性や改善点を早期に発見し、必要に応じて是正措置を講じることが可能になります。

ISMSの内部監査は信頼性を維持し、情報漏洩や不正アクセスなどのインシデントを未然に防ぐのはもちろん、ISMS認証の取得及び維持に不可欠な工程であり欠かせないものです。

ISO/IEC 27001とは

ISO/IEC 27001とは、ISMSに関する国際規格です。国際標準化機構(ISO)と国際電気標準会議(IEC)が共同で開発・発行し、ISMSの確立、実施、維持、継続的改善のための要求事項を定めています。

情報を有効活用するための組織の枠組みを示しており、情報リスクの低減、社員の情報セキュリティ意識やモラルの向上などの効果を有します。

規格の構成に、Plan(計画)・Do(実行)・Check(評価)・Act(改善)というPDCAサイクルが組み込まれているのが特徴です。

ISO/IEC 27001認証を取得すると、組織の情報セキュリティ対策が国際的に認められた基準に適合していることが明示できるため、顧客や取引先からの信頼性向上につながります。業種を問わず、あらゆる組織で取得できる規格です。

ISMSの内部監査を実施する目的

ISMSの内部監査を実施する目的は「適合性の判定」と「有効性の判定」の2つです。

目的 概要
適合性の判定 従業員がルールを理解し、決められたとおりに業務を行っているかを確認
有効性の判定 社内ルールや文書の内容が有効か

適合性の判定は初期段階で行います。従業員がルールを理解し、守りながら業務を行っていることを確認します。一方、有効性の判定は、運用に慣れた段階で、社内ルールや文書の内容の有効性について評価するものです。

これらを判定することで、ルールだけが形骸化して残るのを防ぎます。また、組織のセキュリティレベルの維持・向上として、情報資産の機密性、完全性、可用性の確保を目指しています。

ISMSの内部監査のフロー

ISMSの内部監査は、組織のセキュリティレベルを維持・向上させるために欠かせないプロセスです。ISMSの適切な運用や継続的な改善を確認するために、ISO/IEC 27001の要求事項に基づいて実施します。

ISMSの内部監査は次の4ステップで構成されています。

  1. 1. 内部監査員の選定
  2. 2. 内部監査計画の立案
  3. 3. 内部監査の実施
  4. 4. 内部監査における報告書の作成

内部監査は、通常、年に1回以上の頻度で実施されます。各ステップについて、詳しく見ていきましょう。

1.内部監査員の選定

内部監査員の選定は、内部監査の客観性と公平性を確保するための重要なプロセスです。監査の独立性を保ち公正な評価を実施するために、監査員は監査対象の部門との間に利害関係がないことが求められます。

内部監査員には、ISMSに関する十分な知識と監査スキルやISO/IEC 27001についての深い理解が必要です。

選定後、内部監査員は監査の準備を行います。監査対象の範囲を明確にし、ISO/IEC 27001の要求事項に基づく具体的な確認項目を含むチェックリストを作成します。このチェックリストは、内部監査を効率的かつ効果的に実施するために重要です。

2.内部監査計画の立案

内部監査計画の立案は、監査の成功に不可欠です。内部監査は抜き打ちではなく、被監査部門の協力のもと実施します。

監査計画では、監査の範囲、目的、日程、および対象部門やプロセスを明確に定めます。内部監査を効率的かつ効果的に実施するために、監査範囲を定める際に優先度の高い領域に重点を置くことが重要です。

被監査部門の業務への影響を最小限に抑え、監査を円滑に実施するためには、内部監査員と被監査部門の間で、綿密な日程調整や監査計画の合意が必要です。

3.内部監査の実施

計画に基づき、チェックリストを使って内部監査を実施します。

監査員は文書のレビュー、インタビュー、観察などを通じて、ISMSのルールやプロセスが組織の現在の状況に合っているか、適切に更新されているかを確認します。特に、ISMSの適合性と有効性に沿っているかどうか、評価することが重要です。

監査の際には、監査結果の客観性と信頼性を確保するため、適合事項と不適合事項、双方の証拠を収集、記録します。

4.内部監査における報告書の作成

内部監査報告書は、ISMSの維持・改善に欠かせません。

監査員は、内部監査の結果に基づき、問題点や改善点、適合性に関する評価を含む報告書を作成します。報告書の記載内容は監査の目的、範囲、方法、結果などです。

作成した報告書をマネジメントレビューのための重要な資料として、企業のトップへ提出します。

マネジメントレビューでは、指摘事項や修正・改善点を確認し、該当部門へのフィードバックを実施します。フィードバックを受けた部門は、適切な是正措置を講じ、ISMSの継続的改善につなげることが重要です。

ISMSの内部監査チェックリストの効果的な活用

ISMSの内部監査は監査範囲が広いのが特徴です。チェックリストを導入することで、監査手順を標準化し、効率的かつ効果的に実施できます。また、監査に一貫性が確保でき、質の向上につながります。

チェックリストを使用する際は、単に項目をチェックするだけでなく、各項目について深く掘り下げた質問を投げかけるなどの工夫が欠かせません。質問を掘り下げ、現場から詳細な情報を得ることで、問題点の特定や改善につなげます。

ISMSの内部監査を効果的に行うには、組織のニーズや環境の変化に合わせて内部監査チェックリストを更新し、常に最適な状態に保つことが重要です。定期的にレビューを行い、必要に応じてバージョンアップを行うことで、継続的な質の向上が見込めます。

ISMSの内部監査報告書の記載内容

ISMSの内部監査報告書に記載する主な事項は次の5つです。

  • 監査対象部門
  • 担当の内部監査員
  • 実施日時
  • 監査の内容
  • 監査結果

報告書の記載は客観的な事実に基づいて作成します。監査の目的は、組織全体のISMS向上です。そのため、個人の責任を問うのではなく、マネジメントプロセスの指摘や改善を目的として作成することが重要です。

報告書には、指摘事項だけでなく、良好な箇所についても記載することが大切です。組織内のある部署で効果的に機能しているプロセスや、優れた取り組みは、他部署でも活用できる可能性があるため、情報共有が求められます。

内部監査報告書は、単なる監査結果の記録ではなく、組織におけるISMS改善のための重要なツールです。適切な記載内容と表現により、建設的な議論を促し、継続的なセキュリティ向上につなげていきます。

不適合報告書の記載内容

内部監査で問題点や改善点などを発見した場合は、「不適合報告書」を作成します。不適合報告書では、具体的にどのような不適合があったかを指摘事項ごとに明示することが重要です。

不適合報告書の目的は、個人の責任を追及することではなく、組織全体の改善を促すことです。報告書では、個人的な感情は含めず、客観的な事実にのみ基づいて具体的に指摘します。

報告書の記述には、具体的な改善案や是正措置の提案を含めることが大切です。改善を促進するために、指示内容は現実的かつ実現可能なものとし、期限や責任者を明確に示すことが求められます。

ISMSの内部監査に役立つ資格

ISMSの内部監査は広範囲に及びます。また、ISMSの要求事項は多岐にわたり、複雑な監査が必要です。

指摘事項が組織に与える影響も大きいため、監査の質や信頼性を確保するには、内部監査員に専門的な知識やスキルが求められます。

ここでは、ISMSの内部監査に役立つ資格を2つ紹介します。

  • ISMS審査員資格
  • CISA®(公認情報システム監査人)

それぞれの資格について、詳しく見ていきましょう。

ISMS審査員資格

ISMS審査員資格は、ISO/IEC 27001を認証基準とする組織でISMS審査員として活動するために必要な知識とスキルを認定する資格です。かつては「ISMS内部監査員資格」でしたが、現在はISMS審査員資格に移行されました。

学歴、業務経験、監査経験など一定の要件を満たした上で、審査員研修コースを受講し合格修了することが必要です。その後、JRCA(マネジメントシステム審査員評価登録センター)に登録すると、正式に資格を取得できます。

審査員としての知識とスキルの維持・向上が求められるため、資格には3年の有効期間が設けられています。資格の継続には、CPD(継続的専門能力開発)実績の提出が義務付けられています。

参照:一般財団法人日本要員認証協会「ISMS審査員」

CISA®(公認情報システム監査人)

CISA®(公認情報システム監査人)は、ISACA(情報システムコントロール協会)が認定する国際的な資格です。取得することで、情報システムの監査、セキュリティ、コントロールについての知識とスキルがあることを証明します。

ISMSだけでなく、情報システム監査の知識を体系的に学ぶためにも有用な資格といえるでしょう。また、CISA®は欧米の企業では広く知られており、情報システム監査の専門家として、グローバルに通用する資格です。

関連ページ:アビタス CISA®「公認情報システム監査人(CISA®) とは?資格の概要や魅力を解説」

CISAについてもっと知りたい方はこちら

ISMSの内部監査は取得・維持に不可欠な工程

ISMSの内部監査とは、組織内部の監査員がISMSの運用状況を確認し、改善点を見つけるための活動を指します。具体的には、ISO/IEC 27001の要求事項を満たしていることを確認し、情報セキュリティ対策の有効性を評価します。

ISMSの内部監査は、認証取得・維持に不可欠な工程です。これからISMSの認証取得を目指す組織や企業は内部監査の流れを確認しておくことが重要です。既にISMS認証を取得している組織や企業も、定期的に内部監査の有効性を見直すことが推奨されています。

また、ISMSの内部監査に取り組むだけでなく、システム監査の実施を検討してみるのもよいでしょう。

情報システム監査の知識を体系的に学ぶのであれば、CISA®(公認情報システム監査人)の資格取得も有効な手段の1つです。情報セキュリティを守る意味でも、取得を検討してみましょう。

CISA®(公認情報システム監査人)を目指すならアビタス

CISA®の取得を目指すなら、2007年4月の開講以来、圧倒的な合格者を輩出し続けているアビタスのプログラムの利用を検討してみましょう。

アビタスでは、重要ポイントに絞った論点中心のオリジナルテキストを使用しています。テキスト・問題集・講義がそれぞれリンクしており、最短5カ月、250時間で合格を狙うことが可能です。

学習項目を細分化したスモールユニット方式TMを採用しており、隙間時間に無駄なく学習を進められます。

アビタスでは、無料の説明会と体験講義を実施していますので、ぜひお気軽にご参加ください。

CISAについてもっと知りたい方はこちら

合わせてお読みください

最近のエントリー

カテゴリから探す