内部監査
内部監査のアプローチ手法は、他の規格 (ISO9001,14001… )と違います。 !!
◆ 従来の監査アプローチとの違い
従来のプロセスアプローチ監査は、部署、もしくは、業務プロセス単位に、社内規程・ルール・マニュアル等で
規定されている手続きが実際に実施されているかどうかの確認が中心に行われます。
しかしながら、このアプローチでは
・この手続はどのリスクを低減するために設定されたもので、その目的に照らして効果的か
・規定されている手続が実施されない場合に、どのような影響があるか
等の観点が欠落しているので、"リスクが適切にコントロールされているか"は明確に判断できません。
ISO27001:2013では、
"リスクマネジメントプロセスを適用することによって情報の機密性,完全性及び可用性を維持し,かつ,
リスクを適切に管理しているという信頼を利害関係者に与える"ことが主目的の規格です。
従って、内部監査もリスクアプローチを採用し、"リスクが適切にコントロールされているか"を
監査する必要があります。
リスクアプローチによる内部監査
<準備>
①業務全般と対象業務の目的の理解
②管理策とリスク評価レベルの確認
③優先順位づけし、監査の実施計画
<監査> コントロール評価
⑤整備状況の有効性評価 ※
⑥運用状況の有効性評価 ※
⑦発見事項の確認
<マネジメントレビュー> リスクベースの監査報告
⑧監査結果の報告
⑨発見事項のフォロー
※ ⑤整備状況の有効性評価 (バフォーマンス評価)
リスク対応策は、管理策として有効かどうか判断します。
具体的には、規格要求事項に沿って、管理策を整備、実施、維持しているか監査します。
・その管理策はリスクの程度が許容可能なレベルにまで低減されているかどうか
・実施手順が文書化され、周知されているどうか
・人が増えたり、設備が増えた場合の対応状況に問題ないか ・・・
※ ⑥運用状況の有効性評価
⑤で有効であると判断された管理策も、実際にその運用状況を確認しないと、リスクに対して
本当に有効に作用しているとは判断できません。
具体的には、その管理策は有効だったか、改善の余地はないか、陳腐化していないか監査します。
ISO27001では、附属書Aの管理策をベースに、運用環境を整備、実施、維持すれば有効だとされています。
従って、運用状況にムリ、ムダ、改善の余地はないか、管理策が陳腐化していないかなどを確認します。
附属書A
ISO/IEC27001 付属書Aには、(2013年版)には、情報セキュリティリスクに対する管理目的及び管理策
(リスク対策)が、A5~A18までのカテゴリに分かれ、14の管理分野、35の管理目的、114の管理策が明示されています。
この管理策には、実施基準 (セキュリティ管理策のベースライン) として、組織が打つべき具体的な対策の指針が書かれています。
規格では、組織はリスク対応プロセスで決定した管理策を、附属書A に示す管理策と比較し,必要な管理策が見落とされていないことを検証するよう要求されています。
6.1.3 情報セキュリティリスク対応 | ||
c) 6.1.3 b) で決定した管理策を附属書A に示す管理策と比較し,必要な管理策が見落とされていないことを 検証する。 |
||
注記1 附属書A は,管理目的及び管理策の包括的なリストである。 この規格の利用者は,必要な管理策の見落としがないことを確実にするために, 附属書Aを参照することが求められている。 |
||
注記2 管理目的は,選択した管理策に暗に含まれている。 附属書A に規定した管理目的及び管理策は,全てを網羅してはいないため, 追加の管理目的及び管理策が必要となる場合がある。 |
||
附属書A 管理目的及び管理策 | ||
表A.1 に規定した管理目的及び管理策は,JIS Q 27002:2014の箇条5~箇条18 に規定したものをそのまま 取り入れており,両者の整合が保たれている。また,これらの管理目的及び管理策は,この規格の6.1.3に おいて用いる。 |
||
ISO27001 : 2013 |
(株)コンサルティングファーム
〒060-0013 札幌市中央区北13条西18丁目36-90
TEL:070-5048-1227
受付時間10~17時)
e-mail; info@isms-consal.jp