ISMSの内部監査を実施しました！

こんにちは、Confit開発担当の大場です。2016年4月〜2018年9月まで学術大会ソリューション部に所属していたので、久しぶりの登場です。
今回は、先日実施したISMS(情報セキュリティマネジメントシステム)の取り組みの一つである内部監査について紹介したいと思います。
アトラスでは、2010年に国際規格「ISO/IEC27001」の認証を取得し、2015年4月1日より、ISO/IEC 27001の新規格「ISO/IEC 27001：2013」での運用を開始しています。
※ISO27001とは、情報セキュリティマネジメントシステム(ISMS)を確立、導入、運用、監視、見直し、維持および改善するためのモデルを提供する国際規格です。

内部監査の目的

ISO27001では内部監査に関して、「あらかじめ定めた間隔で内部監査を実施しなければならない。」とあり、弊社では最低年一回内部監査を実施すること、としています。内部監査では、組織が定めた要求事項とISO27001の要求事項に適合しているかどうか、また、定められているルールが有効かどうか、を判定します。
・・・と、難しく書きましたが、簡単にまとめると、定期的に定めた情報セキュリティルールがきちんと守れて、有効に維持され運用されているかチェックすることが目的です。

内部監査の流れ

内部監査は、社内から数名の内部監査人が選ばれ、所属部署以外の部署を担当します。
監査の約1か月前ぐらいの内部監査のキックオフから始まり、セキュリティや監査についてレクチャーがあります。その後、各部署ごとに監査項目を決め、実際にヒアリングするポイントなど詳細を詰めていきます。最後に監査内容をレビューして確定し、内部監査の当日を迎えます。
監査当日は、内部監査人が被監査部署の担当上長・ISMSグループ管理者にインタビューし、現場確認が必要であれば被監査部署のメンバーにヒアリングしていきます。
各部署すべての監査結果から、不適合項目・観察事項をまとめ、最後にマネジメントレビューとして経営陣と情報セキュリティ委員長に結果を報告して内部監査が終わります。

実際に内部監査人になってみて

今回、私は内部監査人になり、実際にインタビューを実施しましたが、一番難しく感じたのは監査内容を決めるところでした。自分の担当外の部署を監査し、内部監査の目的である適合性・有効性を判定するためには、各監査項目に対して、どのように聞いていくのが一番良いのだろうか、と悩みました。
ただ今回の内部監査では、重点監査事項の一つに「当たり前のことを当たり前に 〜凡事徹底〜 に基づいた観点」がありました。それを確認できるように意識し、そういえばこれはどう運用しているんだろうなと思うところを監査内容にしていくようにしました。実際にインタビューでその辺りのことを聞いていくことによって、あれは、これは、と広く聞くことができたので気付きも多くなったと思います。
他の内部監査人も感想で話していたのですが、他部署についての業務内容やISMSの取り組みを知れたことはとても勉強になりましたし、やってみてよかったなと思いました。また、最初にみんなで規格を読み込んでレクチャーを受けることで、改めて理解が深まりました。

最後に

内部監査は現場のヒアリングもあるため、メンバーみんな当日はドキドキしていたはずですが、ヒアリングされていた人は落ち着いて答えていたと思います。これも日頃から、運用ルールが決まっていて、手順がきちんと整備され、それらの資料に簡単にアクセスできるようになって運用できているからだと思います。
運用が長くなっても、こうやってアトラスメンバー全員が、改めて情報セキュリティに関することについて見直したりチェックしたりするタイミングをきちんと設けて、PDCAサイクルを回していくことが大切だと思いました。
この記事を読んで、最近情報セキュリティについて確認していないなと思ったら、ぜひ再確認してみてください。