LRMで行うISMS内部監査の流れ

そもそも内部監査とは

  • ISMS認証取得お取り組みにおけるPDCAの、C(check)にあたる項目
  • 日々の業務で、自社の情報セキュリティルールを守れているかをチェックする監査
  • お客様のオフィスなどにコンサルタントがお伺いして、1部署ずつ簡単な業務ヒアリングと、内部監査を実施

所要時間

  • LRMによる監査は、1部署約30分が標準

ヒアリングは、各部署の担当者1人のみでOK

  • 担当者は、部署全体の業務流れを把握している方なら誰でもよい。

基本的にお客様側での準備物は不要

  • 業務を説明できる資料(業務フロー図)などが既存であるならば準備するとよい。

担当者が内部監査で対応する項目

  • 口頭での質問対応
  • 実際の業務で使っている執務室(作業場)や、ツール・サービスなどを可能な範囲でコンサルタントに紹介
  • 個人情報等の外部に見せられないものがある場合は、コンサルタントにその旨を伝えてOK

実際の流れ

(1) 監査についての説明

  • 監査の目的説明
  • 監査の流れ説明
お客様側の対応者 部署の担当者(責任者)、
事務局(ISMS認証取得お取り組みをメインで担っている方々)(任意での参加)
対応場所 会議室など

(2) 業務ヒアリング(10分)

  • 部署の業務流れなどを確認
  • 部署の人数確認
  • 以下文書を参考に業務内容の確認
    • 情報資産をとりまとめた台帳 ※名称:情報資産管理台帳など
    • リスクをとりまとめた台帳 ※名称:リスク管理台帳
お客様側の対応者 部署の担当者(責任者)、事務局(任意での参加)
対応場所 会議室など

(3) 内部監査(15分)

ヒアリング項目例

  • 一日の流れ(業務内容)
  • 部門内での役割や立ち位置
  • よく使用するサービス・ツールの確認
    • インストール方法
    • アカウント管理状況
    • データの保存・管理状況
  • 情報資産の取り扱い状況
    • 保管場所確認
    • 保管期限は、情報資産管理台帳と整合性とれているのか
    • 廃棄の仕方
  • 業務上、生じると困ることの確認
    • 生じると困ることへの対策の有無
    • 生じると困ることがリスク管理表に反映されているか
    • 生じると困ることが実際に起きた際の上長への報告方法
  • 社内のルールが明文化されている場所
  • デスク周りや入口の鍵の物理的なセキュリティ状況
お客様側の対応者 部署の担当者(責任者)、事務局(任意での参加)
対応場所 実際の業務で使っている執務室(作業場)

(4) 監査まとめ(5分)

対応内容

  • インタビュー結果(良かった点や改善した方がよい点)を部署の担当者(責任者)と事務局に報告
  • 監査報告書へ記載する監査結果内容の確認
お客様側の対応者 部署の担当者(責任者)、事務局
対応場所 実際の業務で使っている執務室(作業場)や会議室など

(1)~(4)を監査対象部署全部に行い、現場内部監査終了です。

ISMS/ISO27001新規取得に関する無料相談・お見積り

ISMS取得できるのか?いつまでに取れそうか?どれくらいの費用がかかるのか?
取得される企業様の状況によって変わりますので、まずはお気軽にご相談ください。

ISMS/ISO27001認証取得コンサルティングへのお問合せはTEL:03-5719-6234 / 受付時間 10:00~18:00(平日)

メールフォーム (24時間受付)

ISMS/ISO27001認証取得コンサルティングへのお問い合わせフォームはこちら

ページの先頭へ戻る