内部監査を計画する
ISO/IEC 27001(JIS Q 27001:2014)の要求事項では、「内部監査においては、ISMS の取組みが組織の規定した要求事項に従って実施されているか、 JIS Q 27001:2014 の要求事項に適合しているか、有効に実施され継続的に維持されているかを評価します。」と記載されています。 1年に一度程度で実施していくことで、あるべき姿への到達度やセキュリティの浸透度、ルールが守られているかを把握できます。
Point① 監査の特徴を理解し計画する
監査では「保証型」や「助言型」、「内部」や「外部」といった特徴が存在します。
出典:IPA(独立行政法人情報処理推進機構)
「セキュリティ評価の視点と他の評価方法との比較」をもとに作成
https://www.ipa.go.jp/security/benchmark/benchmark-hyouka.html
日本工業規格
「JIS Q 19011:2019 マネジメントシステム監査のための指針」をもとに作成
Point② 監査範囲(対象)と監査項目を選定する
監査の対象と項目を選定します。監査の目的や監査対象部門・業務が決まったら、目的を達成するためにどのような項目を確認すれば良いのかを検討します。
監査項目の例
| 監査項目 | 監査基準 | 監査方法 | 対象組織(部門) |
|---|---|---|---|
| 体制、権限、責任 | 情報セキュリティポリシー、 規程 |
レビュー ヒアリング |
セキュリティチーム |
| 関係資料をレビューしセキュリティ責任者へのインタビューを行う。情報セキュリティ対策に係る権限、責任、連絡体制が文書の定める通りになっており、承認されているかを確認する。 | |||
| 情報資産の保管 | 資産管理台帳 | ヒアリング 視察 |
〇〇部門 |
| 資産管理台帳で定める資産の場所を対象業務部門へヒアリングを行い、実際に存在するかを確認する。また、その際に、資産管理台帳に記載がない資産たり得るものが存在しないかを確認する。 | |||
この他にも、フロアレイアウトやシステムに関する項目も必要となる場合があります。ただし、監査項目の選定は悩むケースも多くなるため、初めはIPA(独立行政法人情報処理推進機構)が発表している、チェックリストや情報セキュリティ対策ベンチマーク(https://www.ipa.go.jp/security/benchmark/index.html)など外部のチェックリストを利用することも有効です。
Point③ 監査方法を選定する
監査の方法を選定します。目的を達成するためにどのような方法を行っていくことが良いかを検討します。
出典:一般財団法人 日本情報経済社会推進協会
「ISMSユーザズガイド(情報セキュリティマネジメントシステム)」をもとに作成
日本工業規格
「JIS Q 19011:2019 マネジメントシステム監査のための指針」をもとに作成
Point④ 監査人を選定する
監査を行う人は、監査対象業務や部署と因果関係が無い人が望ましいです。また、以下のような資質を持つ人が監査をするとより効果が高い監査を行うことができます。自組織内にこのような人材がいない場合には、代理人として、コンサルタントや専門家が実施するという方法もあります。費用は掛かりますが、細かい点に気付き、是正策まで相談することが可能です。
| 監査人の要件 | 留意すること |
|---|---|
| 独立・公正・誠実 |
|
| 専門能力 |
|
| 業務上の義務 |
|
| 品質管理 |
|
出典:一般財団法人 日本情報経済社会推進協会
「ISMSユーザズガイド(情報セキュリティマネジメントシステム)」をもとに作成
日本工業規格
「JIS Q 19011:2019 マネジメントシステム監査のための指針」をもとに作成
Point⑤ 監査の計画を作成する
監査を行う際の計画を作成します。監査計画では主に以下のような項目について検討を行います。
監査計画書の記載項目の例
| 項目 | 内容 | 記載の例 |
|---|---|---|
| 監査目的 | 監査を実施する目的 | セキュリティ規程の遵守の確認 |
| 監査テーマ | 監査の具体的なテーマや重点監査事項 | 規程の理解度と実施方法を確認 |
| 監査範囲 | 監査対象の業務、情報システム等の範囲 | 〇〇に関する業務 |
| 被監査部門 | 監査の対象となる部門 | 〇〇部門 |
| 監査方法 | 監査で適用する監査技法 | ヒアリング、文書調査 |
| 監査実施日程または期間 | 監査の計画から報告までの日程 または実施期間 |
yyyy/mm/dd ~ yyyy/mm/dd |
| 監査実施・管理体制 | 監査責任者・担当者 | 責任者:〇〇、担当:〇〇 |
| 監査項目 | 監査で確認する大項目 | 評価項目を作成し実施 |
| 適用基準 | 監査で適用する基準等 | セキュリティ規程 |
通常では、これらの項目をまとめて、監査計画書を作成します。目的が慣例化しないようにすることに注意し、経営計画やリスクアセスメントの結果、年間計画を考慮した目的とすることが重要です。特にリスクアセスメントの結果を受けリスク対応を進めていく中で、計画通りに対応できているか、対策はリスクに有効に働いているかを把握する必要があります。
出典:一般財団法人 日本情報経済社会推進協会
「ISMSユーザズガイド(情報セキュリティマネジメントシステム)」をもとに作成
日本工業規格
「JIS Q 19011:2019 マネジメントシステム監査のための指針」をもとに作成
Point⑥ 承認を得る
監査計画書として監査の内容が決まったら、承認を得て実施しましょう。セキュリティ責任者だけでなく、必要に応じて経営層の承認が必要な場合があります。経営層がセキュリティの必要性を理解していないと承認が得づらかったり、対象部門が協力してくれないといった問題が発生します。日頃のコミュニケーションが重要となります。
Point⑦ システムを確認する場合の注意点
対象として情報システムを確認する場合には、特に注意が必要です。技術にも理解がある人が実施する必要がありますが、情報システム部門を確認する場合には専門的な知識がないと適切な確認にならない場合があるからです。このような場合には内部だけで対応しようとせず、外部機関の利用を検討してください。
項目の例
| 監査項目 | 基準 | 方法 | 対象組織(部門) |
|---|---|---|---|
| システムの監視 | システム構成図 ネットワーク管理規程 |
レビュー ヒアリング、視察 |
情報システム部門 |
| システム構成図をレビューし監視対象機器を確認、取得しているログの種類・保存期間のヒアリングを行い、視察にて実際ログが取得・保存されているかを確認する。 | |||
このような場合には、各機器の役割や構成図を読み解く力、ログの違いや意味などを確認する人が理解しておく必要があります。また、保存されているログがレビューやヒアリングで聞いたログと一致していることを確認する必要があります。これらも技術的な理解が求められます。