ISMS(ISO27001)の内部監査とは?
ISMS(ISO27001)の内部監査は、組織内で策定されたルールや扱われている文書がISO/IEC 27001の要求事項に適合しているかを確認し、従業員がルールに基づいて業務を遂行しているかをチェックすることです。
内部監査は、情報セキュリティマネジメントシステムの継続的な改善を促進するために必要です。
内部監査の実施により、組織の情報セキュリティ体制の現状が明確化され、ルールや運用上の課題が浮き彫りになります。その結果をもとに組織のトップがマネジメントレビューを行い、必要に応じて改善措置を講じます。
ISMS(ISO27001)の内部監査を行う理由・目的
ISMS(ISO27001)の内部監査を実施する理由は次のとおりです。
適合性の判定
内部監査の目的は、適合性の判定です。これは、従業員が社内で定められたルールや手順に従って業務を遂行しているかを確認するものです。
ISMSの導入直後や運用がまだ浅い段階では、従業員がルールを正しく理解し、それを実行できているかが重視されます。
有効性の判定
運用に慣れてきた頃には、有効性の判定を目的に内部監査を実施します。ルールや手順が実際に組織の目的に合致し、効果的に機能しているかを確認することで、実用性のある情報セキュリティ体制の維持が可能です。
ISMS(ISO27001)の内部監査の進め方
ISMS(ISO27001)の内部監査は次の手順で進めます。
- 内部監査の計画を立てる
- 監査チェックリストの作成
- 内部監査の実施
- 監査報告書の作成
- フィードバック
- マネジメントレビューに引き継ぐ
それぞれ詳しく見ていきましょう。
1.内部監査の計画を立てる
内部監査を効果的に実施するためには、計画段階での詳細な準備が欠かせません。下記を明確に定めましょう。
- 内部監査員(部署・名前)
- 対象部門
- 日時
- チェック項目
例えば、「2025年10月25日の13〜15時に総務部に対して、経理部の内部監査員「〇〇」がチェックリストを基に監査を行う」といった形で、業務内容に応じた計画を立てます。
2.監査チェックリストの作成
監査チェックリストは、内部監査を効率的かつ的確に進めるために必要です。監査対象となる組織や部門の特性に基づき、チェック項目を事前にリストアップすることで監査をスムーズに進行できます。
監査項目は、組織や部門の業務内容に応じて異なるため、一般的なチェックリストをそのまま使用するのではなく、自社の状況に合わせてカスタマイズしましょう。
監査チェックリストの作成方法は後述します。
3.内部監査の実施
内部監査員が被監査部門を訪れ、現場担当者へのヒアリングや業務プロセスの確認を行います。
ISMSの運用実態や関連文書の整備状況、手順が適切に運用されているかを検証すると同時に、従業員がISMSのルールや目的をどれだけ理解しているかも評価します。
現場でのヒアリングや確認の結果は、監査証拠として記録に残すことが不可欠です。観察内容や会話の詳細を正確に記録します。
内部監査の重要なポイントの一つは、不適合事項だけでなく、適合事項についても必要に応じて記録することです。組織の強みや成功事例を把握することができ、今後の改善活動や他部門への展開に役立ちます。
4.監査報告書の作成
内部監査の完了後は、監査結果を詳細に記録した監査報告書を作成します。組織のトップがマネジメントレビューを行う際の重要な判断材料となります。
監査報告書は、問題点を列挙するものではなく、組織全体のISMS運用状況を包括的に捉えるものでなければなりません。不適合事項が見つかった場合、具体的な内容と原因、是正するための対策を明確にしましょう。
一方、適合事項についても詳細に記録し、現場の努力を評価するとともに、成功事例を他部門に共有します。
5.マネジメントレビューに引き継ぐ
内部監査で得られた情報は監査報告書としてまとめ、経営トップに報告します。報告書は、現行のISMSが組織にとって妥当で効果的であるかを評価するための基盤となり、マネジメントレビューでの議論や意思決定に活用されます。
マネジメントレビューの対応内容は、下記のとおりです。
- 監査結果を基に組織の情報セキュリティ管理体制の現状を評価する
- 不適合事項や改善が必要な点があれば具体的な指摘や修正方針を示す
6.フィードバック
マネジメントレビューでの指摘内容を部門にフィードバックし、不適合事項の是正を求めます。是正された後は、その結果を改めて監査報告書にまとめ、組織のトップへ報告します。
ISMS(ISO27001)の内部監査における記録
ISMS(ISO27001)の内部監査においては、内部監査チェックリストと内部監査報告書を作成します。それぞれの作成のポイントについて、詳しく見ていきましょう。
内部監査チェックリスト
内部監査チェックリストを使用することで、監査すべき内容を明確化し、監査手順を標準化できます。さらに、監査の記録として文書化する役割も果たします。
チェックリストを活用することで得られる主なメリットは下記のとおりです。
- 作業負荷の軽減
- 時間配分の適正化
- 属人性の抑止
チェックリストはあくまでツールであり、表層的な確認作業にとどまらないようにする必要があります。たとえば、「セキュリティポリシーが従業員に周知されている」と記載がある場合、単に「YES/NO」で回答を求めるのではなく、実際にどのような形で周知が行われているのかを具体的に確認する必要があります。
「研修資料や記録が存在するのか」「周知後に従業員からの質問や意見を受け付ける仕組みがあるのか」といった観点を掘り下げて尋ねることで、形式的ではなく実際に機能しているかを評価することが可能です。
内部監査報告書
内部監査報告書は、ISMSの内部監査結果を包括的にまとめた文書で、マネジメントレビューにおける重要な判断材料です。下記の内容を記載します。
- 監査対象部門
- 内部監査員名
- 監査の内容
- 実施日時
- 監査の実施結果
- 問題点
経営層は、内部監査報告書を基に現行のISMSが適切であるかどうかを評価し、必要に応じて欠陥の修正や運用改善の指示を行います。そのため、報告内容に曖昧さや不足があると、適切な見直しが難しくなる可能性があります。
不適合報告書
不適合報告書は、内部監査で発見された問題点を記録する文書です。客観的な事実に基づいて不適合の内容を具体的に明示することで改善を促します。
不適合報告書を作成する際は、問題点が明確になるよう、指摘事項ごとに事実を詳細に記載する必要があります。たとえば、「セキュリティ対策に不備があった」だけではなく、「情報セキュリティポリシーが従業員に適切に共有されていない」のように、具体的に言及しましょう。
また、改善方法を決定するのはマネジメントレビューの段階であるものの、内部監査員が改善案や是正措置の提案も不適合報告書に記載することが通常です。
ISMS(ISO27001)の適切な内部監査を行う際の注意点
ISMS(ISO27001)の内部監査を行う際は、次の注意点を押さえましょう。
企業内での関係悪化につながる可能性がある
企業内での内部監査を行う際には、人間関係の悪化が問題となる可能性があります。特に、監査専任の部門を設けていない場合、通常業務を行う従業員が内部監査を兼任するケースが多く見られます。
このような状況では、内部監査員と監査対象部門の従業員が日常的に業務上の接点を持つことが一般的です。その結果、監査における指摘や改善提案が、人間関係に悪影響を及ぼすリスクが生じることがあります。
社内ルール改善に抵抗感を持つ場合がある
社内ルールの改善が必要となる場合、変更に対して抵抗感を抱くことがあります。改善の必要性が十分に理解されず、結果として組織全体での取り組みが進まない要因となり得ます。
社内で改善に向けた動きが停滞すれば、内部監査は単に現行ルールの適合性を確認する作業に終始し、本来の目的である問題の発見や解決ができなくなりかねません。
さらに、内部監査によって指摘を受けた部門がその評価に反発する場合、組織全体の協力体制が損なわれる可能性もあります。
ISMS(ISO27001)の内部監査を成功させるコツ
ISMS(ISO27001)の内部監査を成功させるために、次のポイントを押さえましょう。
ISMS および内部監査の重要性を周知させる
ISMS(ISO27001)の内部監査を成功させるためには、その重要性を従業員全体に周知し、理解を深めることが欠かせません。
従業員がISMSや内部監査の目的を十分に理解していなければ、ルール改善において反発を受け、監査が形骸化して単なるルールの確認に留まるようになる可能性があります。
組織全体で情報セキュリティの重要性を共有し、全従業員が協力的な姿勢を持てるような雰囲気を作ることが求められます。
下記のように取り組みましょう。
- 定期的な研修を実施し、情報セキュリティの基本概念や内部監査の目的を従業員に繰り返し伝え、理解を促進する
- 研修では、具体的な事例を交え、情報セキュリティの重要性や内部監査の必要性をわかりやすく説明する
- 外部監査を活用し、審査機関や取引先、顧客による評価を受けることで、自社に求められるセキュリティ基準を明確化する
そもそもルールが適切かの確認が必要
ISMSを効果的に運用するためには、ルールに基づいて業務が行われているかを確認するだけでなく、ルール自体が適切であるかどうかを判断する必要があります。
適切なルールが設定されていれば、従業員の理解と協力を得やすく、ISMS全体の運用がスムーズに進みます。一方で、適切でないルールが存在すると、業務効率やセキュリティの向上を阻害しかねません。
内部監査で指摘事項が発生した場合、原因を単純に従業員の不備と決めつけることはできません。ルールが十分に周知されていなかったり、内容が難解であったり、現実的に遵守が困難なものであった場合、問題はルールの設計や運用プロセスに起因している可能性があります。
「機密性」「完全性」「可用性」を確認する
ISMS内部監査を行う際は、情報セキュリティを支える「機密性」「完全性」「可用性」の3つの要素が、企業のビジネスプロセスにしっかりと組み込まれていることが重要です。これらが不十分であれば、業務の無駄や非効率が生じ、組織の競争力や信頼性を低下させる恐れがあります。
機密性とは、情報へのアクセスを正当な権限を持つ者に限定し、不正アクセスや情報漏えいを防ぐことを指します。機密情報は、新製品の開発情報や顧客データ、社員の個人情報などです。
完全性は、データが正確かつ改ざんされていないことを保証する概念です。個人情報の漏えいをだけでなく、データの改ざんによる企業の信用失墜を目的とするサイバー攻撃が増えています。
可用性は、必要なデータを必要なときに利用できる状態を指します。システムがダウンしたり、天災などの災害が発生したりした場合でも、迅速に復旧できる体制が必要です。
これらの3要素を内部監査で確認し、適切に運用されているかを評価することで、ISMSの信頼性と有効性を高め、組織全体の情報セキュリティ体制を強固なものにできます。
ISMS(ISO27001)の内部監査員の選び方
内部監査員は、公正で客観的な監査を行うために下記の条件を満たす人物を選びましょう。
ISO/IEC 27001の要求事項を十分に理解している
ISO/IEC 27001の要求事項を十分に理解していることが重要です。監査を通じて組織が基準を満たしているかを評価する上で欠かせない知識であり、ISMSの適切な運用と維持に直結します。
適用範囲に該当する社内ルールを把握している
内部監査員は、監査対象となるISMSの適用範囲に含まれる社内ルールを正確に理解している必要があります。理解が欠けていると、適切な評価ができず、ルールの適合性や有効性を十分に確認することが困難になります。
情報セキュリティポリシー、運用手順、リスク管理計画など、組織が定めたルールやプロセスについて深い知識を持つことが重要です。
監査対象の部門責任者と同格(内部監査の責任者のみ)
内部監査の責任者が、監査対象の部門責任者と同格の立場にあることは、公正で効果的な監査を実施するための重要な条件です。
もし内部監査の責任者が対象部門の責任者よりも低い立場にある場合、力関係により指摘事項を伝えづらくなったり、必要な改善提案が行えなかったりする可能性があります。これでは、監査の目的が十分に達成されず、組織全体の情報セキュリティ体制に悪影響を及ぼす恐れがあります。
同格の立場であれば、建設的な議論を通じて改善点を共有しやすいでしょう。
監査対象の部門と接点がない人物
監査対象の部門と接点がない人物を選ぶことも重要です。日常的な業務で関わりが多い場合、関係性が原因で監査が不公平になるリスクがあります。そのため、利害関係がなく、客観的な視点で監査を実施できる人物が理想的です。
ISMS(ISO27001)の内部監査に役立つ資格
ISMSの内部監査は、その範囲が広く、複雑な監査が求められる分野です。そのため、監査員には専門的な知識とスキルが必要不可欠です。専門的な知識とスキルを習得し、それを証明する方法として資格取得が挙げられます。
ISMSの内部監査に役立つ資格は次の2つです。
ISMS審査員資格
ISMS審査員資格は、ISMS審査員に必要な知識とスキルを認定する資格です。
以前は「ISMS内部監査員資格」との名称でしたが、現在ではISMS審査員資格へと変更されています。資格を取得するには、学歴や業務経験、監査経験といった一定の要件を満たしたうえで審査員研修コースを受講し、合格修了する必要があります。
資格の有効期間は3年間で、更新には継続的専門能力開発(CPD)の実績提出が必要です。
CISA®(公認情報システム監査人)
CISA®(公認情報システム監査人)は、情報システムコントロール協会(ISACA)が認定する国際的な資格です。情報システムの監査やセキュリティ、コントロールに関する知識とスキルを証明できます。欧米では広く認知されており、グローバルに通用する監査の専門家としての証明となります。
ISMSの監査に限らず、広範な情報システム監査の分野で活用できるため、グローバル企業で活躍したい監査員にとって有用な資格です。
参考:ISACA
ISMS(ISO27001)の内部監査について解説しました
ISMS(ISO27001)の内部監査は、単なる形式的なチェックにとどまらず、組織全体のセキュリティレベル向上と業務効率化につながる重要な取り組みです。
監査の質を高め、効果的な改善を実現するためには、適切な準備と実行が欠かせません。情報セキュリティのさらなる強化を目指し、本記事を参考に内部監査の運用を進めてください。