SecureNaviを活用したISMS内部監査の進め方
ゆなぴー
ISMS(情報セキュリティマネジメントシステム)の運用において、内部監査は必須のプロセスであり、ISO/IEC 27001におけるPDCAサイクルの「C(Check)」に該当します。
しかし、実際に内部監査を行ってみると、
- ExcelやWordベースの文書が散在しており、内部監査の準備や実施が非効率…
- 監査員ごとに監査の質がバラついてしまう…
- 監査の準備や記録作成に時間がかかり過ぎる…
といった課題に直面する組織も少なくありません。
そこで本記事では、クラウドサービス「SecureNavi」を活用し、ISMS内部監査を効率的かつ確実に進める方法を具体的に紹介します。
目次
ISMS内部監査の基本と課題
ISMS内部監査で求められる2つの事柄
ISMS内部監査とは、組織のルールや文書がISO/IEC 27001の要求事項に適合しているか、また有効に運用されているかを確認する活動です。
ISMS内部監査で求められるのは、
- 適合性の判定(規格や社内ルールとの整合)
- 有効性の判定(ISMSの取り組みが有効に機能しているか)
の2つであり、これらを定期的に確認することでISMS運用の形骸化を防ぎます。
しかし現実には、チェックリストや監査記録の作成負荷、監査員の力量 など、ISMS内部監査には多くの課題が存在します。
内部監査をスムーズに行うための秘策
SecureNavi には、ISMS内部監査をスムーズに行うための機能が備わっており、以下のようなメリットがあります!
- ① 文書・記録の管理がクラウドで一元化
- ExcelやWordベースでの運用から脱却し、管理の抜け漏れを防止できるため、監査準備の手間を大幅に削減できます。。
- ② 監査チェックリストの管理が容易
- ブラウザ上で監査項目をリスト化し、編集・共有が簡単に行えるため、監査の質が標準化されます。
- ③ 監査結果の記録と報告書作成がスムーズ
- ブラウザ上で監査記録を記載すると報告書が自動作成され、報告書の承認までの流れがスムーズになります。
ISMS内部監査は一般的に次のステップで実施しますが、SecureNavi を活用することで各ステップを効率化できます。
STEP1 内部監査員の決定
監査の公正性確保のため、監査対象部門(被監査部門)と利害関係のない人物を内部監査員として選任します。
▼
STEP2 内部監査計画の立案
監査計画には、「監査基準」「対象範囲」「実施予定日」「監査員」 を記載する必要があります。
▼
STEP3 チェックリストの作成①
ISMS内部監査では、チェックリストの活用が非常に効果的です。
チェックリストを活用することで、
- 監査項目の範囲が明確になる。
- 抜け漏れを防止できる。
- 監査員の判断のバラつきを防ぐ。
といったメリットがあります。
▼
STEP4 チェックリストの作成②
監査対象部門に関係する項目のうち、今回の内部監査でチェックすべき項目を、「規格要求事項」や、管理策に紐づく「社内ルール」から選択します。
その際、以下の点を考慮してください。
- 監査の所要時間は、1部門あたり30分~1時間程度を目安とし、時間内にチェックできる量の項目を選択する。(部門ごとに監査時間を変えてよい)
- 「守られていなさそうなルール」を中心に網羅的に項目を選択する。
- 「規格要求事項」と「社内ルール」のうち、下記のように監査対象部門により監査項目を分けると網羅性が向上する。
- ISMS委員会・事務局: 「規格要求事項」から監査項目を選択
- 各業務部門: 「社内ルール」から監査項目を選択
▼
STEP5 内部監査の実施
内部監査計画とチェックリストに沿って、監査対象部門への監査を行います。
▼
STEP6 監査報告書の作成
監査結果を報告書としてまとめ、マネジメントレビューで活用します。
SecureNavi を導入することで、ISMS内部監査業務は次のように変わります!
| Before(従来の運用) | After(SecureNavi活用) |
|---|---|
| Excel・Wordでのファイル管理で混乱… | 文書・記録がクラウドで一元管理! |
| 監査準備だけで数日かかる… | 必要情報が揃っており準備が短縮! |
| 社内担監査員のスキルで監査の質がバラつく… | チェックリストの標準化で品質を均一化! |
| 報告書作成が手作業で非効率… | 監査記録をもとに報告書作成が自動化! |
まとめ
ISMS内部監査は「認証維持のための作業」ではなく、組織の情報セキュリティを強化するための重要な活動です。
SecureNavi を活用すれば、
- 内部監査の準備
- チェックリストの管理
- 記録・証跡の整理
- 監査報告書の作成
といった一連の業務が効率化され、ISMS内部監査の質も向上します。
ISMS運用が形骸化しがちな組織にこそ、SecureNavi の導入は大きな効果をもたらすでしょう。
当社は「SecureNavi」を活用し、ISMSの構築・認証取得から運用までを効率的かつ確実に実施しております。
さらに、SecureNavi の有用性を十分認識したうえで、SecureNavi株式会社と代理店契約を締結させていただきました。
SecureNavi の導入だけでなく当社独自のサービスによりISMSの構築から運用までご支援させていただきますので、下記のようなお悩みをお持ちの企業様は是非お気軽にお問い合わせください!
- ISMSを取得する必要性を認識しているものの、どうすればよいかわからない…
- ISMSを取得済みだが、社内ルールや文書管理が煩雑になりすぎ、運用が形骸化してしまっている…
また、当社独自サービスの「内部監査 実施支援」も是非ご活用ください!
ISMS取得、何から始めるか迷っていませんか?
はじめてのISMS取得、SecureNaviにお任せを
専門知識がなくても大丈夫。取得準備から認証取得・運用まで、効率よく進められます。
サービス詳細を見る →
本件に関するお問い合わせは以下のリンクから。
お問い合わせ
ご依頼及び業務内容へのご質問などお気軽にお問い合わせください
