改善を行う

監査結果の取りまとめと並行して、指摘事項がある場合には、改善を行う必要があります。また、PDCAの観点では、改善実施後あらためて確認を行うと効果が高まります。

監査報告書がまとまったら、依頼者に対して報告会などを開催し、監査の結果を報告します。それだけでなく、監査対象部門や対象業務従事者に対しても報告会を開催し、監査結果を説明することもセキュリティ意識を高めるためには有益です。報告会では、次の事項を意識し説明します。

監査証拠の取得方法

監査の証拠として得た情報は、違法な方法で取得した情報ではなく、正当な入手方法により入手したサンプルであること。

監査の方法

監査報告書に従い、一連の監査の流れや目的・監査手段・期間などを明確にする。

監査後の活動

監査の結果を受けた指摘事項と改善方法を説明し、今後どのような是正策を行うのかを説明する。

指摘事項の説明だけではなく、監査対象部門において、優れた実践活動が認められる場合は、報告会で評価することが望ましいです。

出典：一般財団法人日本情報経済社会推進協会
「ISMSユーザズガイド（情報セキュリティマネジメントシステム）」をもとに作成
日本工業規格
「JIS Q 19011：2019 マネジメントシステム監査のための指針」をもとに作成

指摘事項があった場合には、改善を行う必要があります。助言型監査の場合には、監査担当者が指摘事項に対応した改善案を提示し報告書や報告会で共有します。また、改善策を監査対象部門で検討し実施するという方法があります。ただしこの場合には、対策が有効であるかを有識者が確認する必要があります。

指摘事項と改善提言の例

指摘事項例	改善提言例
権限、責任、連絡体制の項目において、連絡体制に部署異動した人が記載されていたため、権限を有する適切な人員に連絡が取れない。	連絡体制図を見直し、更新を行う。
資産管理台帳には、鍵のかかるキャビネット保管となっていた資料が鍵がかからないキャビネットに保管されているため、保管場所の変更が必要。	鍵のかかるキャビネットを用意し、施錠をした上で保管する。また、併せて鍵の保管等についてもルールを明確にする。
システムへの作業承認が得られておらず、作業の手順が不明瞭なまま設定変更作業が行われている。	作業手順を明確にし、手順書通りの作業を行うことをルールに定める。また、承認履歴を確実に残し、作業ログの保管を行い、定期的に実施状況の確認を行うルールへ変更する。