内部監査員の力量
ISO19011 (マネジメントシステム監査のための指針) では、監査員が備えるべき知識、技能を
以下のように定めています。
< 監査員 共通の知識及び技能 >
a) 監査の原則、手順及び方法の理解し、監査に適用できる
b) マネジメントシステム及び基準文書の理解し、監査基準を適用できること
c) 被監査者の組織構造、事業及びその管理の実施状況を理解している
d) 適用される法的及び契約上の要求事項を理解し、
並びに、被監査者に適用されるその他の要求事項の認識していること
< 監査分野固有の知識及び技能 >
e) ISO27001 ( 情報セキュリティ分野 )固有の知識及び技能を持っていること
f) ISO27001 ( 事業継続分野 )固有の知識及び技能を持っていること
※ "監査員は、監査するのに適切な、その分野及び業種に固有の知識及び技能を
備えていることが望ましい"ですが、 監査チーム全体としての力量が監査目的を
達成するのに十分であれば、監査チームにおける個々の監査員が同じ力量を備え
ている必要はありません。
具多的には、以下のように例示されています。
a) 監査の原則、手順及び方法の理解し、監査に適用できる
b) マネジメントシステム及び基準文書の理解し、監査基準を適用できること
c) 被監査者の組織構造、事業及びその管理の実施状況を理解している
d) 適用される法的及び契約上の要求事項を理解し、
並びに被監査者に適用されるその他の要求事項の認識していること
< 監査員 監査分野固有の知識及び技能 >
専門監査員として望まれる知識及び技能は以下の通りです。
※ マネジメントシステムを調査し、適切な監査所見及び結論を作成するのに必要とされる
知識、及び技能とは ?
ISO27001 ( 情報セキュリティ分野 )では、以下のように例示されています。
例えば
4. 情報セキュリティマネジメントの基礎となるプロセス、科学及び技術に関する知識がある。
5. リスクアセスメントに関する知識がある。
(特定、分析及び評価)及び技術動向、脅威及びぜい(脆)弱性
6. 情報セキュリティリスクマネジメントに関する知識がある。
7. 情報セキュリティ管理策(電子的及び物理的)の方法の知識があり、
一般的に行われている対応策を適用できる
8.情報の完全性及び影響の受けやすさの方法の知識があり、
一般的に行われている対応策を適用できる
9.情報セキュリティマネジメントシステム及び関連する管理策の有効性の測定
及び、評価の方法の知識があり、一般的に行われている評価策を適用できる
10.(試験、監査及びレビューを含む)パフォーマンスの測定、監視及び記録の方法の知識があり、
一般的に行われている方法を適用できる
ISO27001 ( 事業継続分野 )では、以下のように例示されています。
1.事業継続マネジメント等の基となるプロセス、科学及び技術について知識がある
例えば
2. 機密情報の収集及び監視の方法について知識がある
3. 停止・中断事象のリスクの管理について、知識がある
(停止・中断事象の予期、回避、予防、保護、軽減、対応及び停止・中断事象からの復旧)
4. リスクアセスメントについて知識がある
(資産の洗い出し及び価値評価、リスクの特定、分析、評価)
5. 影響度分析について知識がある (人的、物理的及び無形の資産並びに環境関連)
6. リスク対応について知識がある (採用可能な、事前及び事後の対応策)
7. 情報の完全性及び影響の受けやすさに対する方法の知識があり、
一般的に行われている対応策を適用できる
8. 要員のセキュリティ及び個人の保護の方法の知識があり、
一般的に行われている対応策を適用できる
9. 資産保護及び物理的セキュリティの方法の知識があり、
一般的に行われている対応策を適用できる
10. 予防、抑止及びセキュリティマネジメントの方法の知識があり、
一般的に行われている対応策を適用できる
11. 事態の 軽減、対応及び危機管理の方法の知識があり、
一般的に行われている対応策を適用できる
12. 事業継続、緊急事態及び復旧マネジメントの方法の知識があり、
一般的に行われている対応策を適用できる
13.(演習及び試験の手法を含む)パフォーマンスの監視、測定及び報告の方法の知識があり、
一般的に行われている方法を適用できる
(株)コンサルティングファーム
〒060-0013 札幌市中央区北13条西18丁目36-90
TEL:070-5048-1227
受付時間10~17時)
e-mail; info@isms-consal.jp