ISMS内部監査を進化させる！効果を生む2つのポイント

こんにちは。Confit開発担当の大場です。私事ですが、数年前に花粉症を発症し、この時期は薬を服用しても目のかゆみや鼻のムズムズに悩まされています。花粉症と無縁だった頃が懐かしいです…。
さて今回は、先日実施したISMS(情報セキュリティマネジメントシステム)の内部監査についてお話ししようと思います。5年前にも「ISMSの内部監査を実施しました！」という記事を書きましたが、今回の内部監査では大幅な改善を行いました。その取り組みについて詳しくご紹介します。

内部監査の目的と流れ

アトラスでは、2010年に国際規格「ISO/IEC27001」の認証を取得し、規格改定に伴い、2024年6月27日に JIS Q 27001:2023 （ISO/IEC 27001：2022）へ移行しました。
※ISO27001とは、情報セキュリティマネジメントシステム(ISMS)を確立、導入、運用、監視、見直し、維持および改善するためのモデルを提供する国際規格です。
内部監査の目的は、定めた情報セキュリティルールが適切に守られ、有効に運用されているかを定期的に確認することです。その基本的な流れについては、過去の記事「ISMSの内部監査を実施しました！」に詳しく記載していますのでご覧ください。

内部監査の改善ポイント

1. 内部監査人向けの教育資料を整備

今回の内部監査では、従来とは異なり、情報セキュリティ委員会（ISMSのセキュリティマネジメントシステムを全社横断的に推進するチーム）に関わったことのないメンバーが監査人を担当しました。そのため、ISMSや内部監査の基本知識、運用ルールをしっかり理解してもらう必要がありました。
そこで、社内情報管理ツールであるNotionに教育用の資料を作成しました。この資料には、ISMSの基本から内部監査のポイント、監査人としての心得などをまとめています。今後、内部監査人がこの資料を活用し、より効果的な監査を実施できるようにブラッシュアップしていく予定です。

Notionについては、「いま話題のオールインワンワークスペース「Notion」で社内情報を一元管理！ 〜導入準備編〜」や「Notionでプロダクト管理すると情報共有のための手間が減って開発に集中できるようになった話」などの記事で紹介しているので、ぜひご参照ください。

2. 内部監査で使用するチェックリストの改定

監査の際には、チェックリストの項目に沿って質問し、適合性や有効性を確認します。これまでのチェックリストは8年以上前に作成したもので、少しずつ更新を重ねてきましたが、「内容がわかりにくい」という声が上がっていました。
そこで、外部監査でよく質問されるポイントを参考に、チェックリストの項目を見直しました。また、教育資料に規格の項番ごとに簡単な説明や関連する社内文書のリンクを付け、チェックリストの要求事項の項番との関連をわかりやすくしました。
このチェックリストは、基本の確認項目にプラスして、疑問点があれば深掘りできるよう追加の質問を加えるようにしています。今後も柔軟性を持たせつつ、より実効性の高いものへとアップデートしていく予定です。

内部監査人の感想

今回の改善により、内部監査人から以下のような感想がありました。

• 教育資料ができたのが、自分で本を使ってある程度勉強した後だったため、確認として活用した。本では分からなかった「アトラスではどのような文書で管理しているか」が明確になり参考になった。
• 今後の内部監査人向けの教育資料として活用し、ブラッシュアップして後任に引き継いでいきたいと考えている。
• チェックリストの改定により、ISMSとチェックリストの紐づけが分かりやすくなったため、質問を考えやすくなった。

このように、監査人の理解度向上や実施のしやすさが改善される効果が見られました。引き続き内部監査の進め方を見直しながら、より良い運用を目指していければと思います。

まとめ

情報セキュリティの取り組みは、情報セキュリティ委員会のメンバーだけでなく、会社全体で意識し、一人ひとりが当事者意識を持つことが重要です。
今回の内部監査の改善を通じて、監査の質を向上させるとともに、形骸化しない仕組みづくりを進めました。ISMSの運用や内部監査に取り組んでいる企業の皆さまにとって、本記事が少しでも参考になれば幸いです。