「isms 内部監査」
ISMSは情報資産を取り扱う企業や組織において、それを取り巻くリスクを管理するための仕組みです。そして、その仕組みを取り入れた企業で、継続的に適切な運用がなされているかを確認するためには、内部監査は有効な手段です。ここではISMSの内部監査について、その重要性と監査方法を解説します。
ISMSとは
ISMSの内部監査に関してお話しする前に、ここで改めてISMSとは何か解説しておきましょう。ISMS
とは、企業や組織の情報資産を守るためのマネジメントシステムのことで、日本語では「情報セキュリティマネジメントシステム」と呼ばれています。
ISMSは情報の「機密性」「完全性」「可用性」を守るために作られたシステムで、ISMSを取得し活用することで企業や組織は情報セキュリティシステムを安全に管理・運用でき、継続的な改善をし続けていくことが可能になります。つまり、ISMSは現在の企業が置かれている高度な情報社会において、非常に有効な仕組みであると言えます。
ISMSの内部監査とは?なぜ必要なのか
ISMSの内部監査とは一体何なのでしょう。これは、日常的に企業や組織が行なっているさまざまな業務が、ISMS関連の規格や規定にきちんと適合していて、セキュリティ上問題なく進められているかを定期的に確認するためのものです。
ISMS認証を一度取得したからと言っても、組織、そして業務を取り巻く環境は日々変化し、進化しています。当然、今ある状態や状況が持続できるとは限りません。このような状況下では、あらかじめ定められた期間で内部監査を行い、常にこのセキュリティ対策が有効なのか?を確認し続けることは効果的で重要なことです。
ISMSの内部監査はどのようにして行うのか
内部監査を行うときには、あらかじめ、日程や監査を行う対象となる部署や部門をとり決め、予定した日程に行うことがルールとされています。そして、内部監査員はISMSの内部監査に関わる計画書を作成し、監査の目的や監査基準を明確にする必要があります。今までは、監査員が担当部署に赴き監査を行っていましたが、WEB会議システムを使った方法など環境に応じた方法に変化してきています。
ISMSの内部監査自体は、あらかじめ作成されたチェックリストに基づき行われることが多く、監査を受ける側は、チェックリストに記載されている質問に回答する必要があります。内部監査員は、監査結果を慎重に精査し、その企業や組織が現状のISMSに適合しているか否かを判断します。
定期的な内部監査で安心安全な情報運用を(まとめ)
ISMSを取り入れ、ISO27001を認証取得することは、情報を取り扱う企業や組織において非常に重要なことです。しかし、一度取得したからと言って、その後も正しく運用されているとは限りません。変化し続ける情報社会において、ISMSが適切に運用されているかを確認するために必要であり、またその内部監査のレビューによっては、ISMS自体の改善、改定へと発展し、継続的改善をおこなうことが重要な活動であり、そのために内部監査が必要なのです。ISMSを取りいれている企業や組織では、内部監査の目的や必要性を正しく理解し、継続的に確実に運用している状態を維持することがとても大切です。