マネジメントシステムは「Plan(計画) → Do(実行) → Check(確認) → Act(改善)」という一連の流れ(PDCAサイクル)を繰り返すことにより、継続的改善を図っていく仕組みです。その中でも、内部監査は「Check(確認)」の工程となります。
では、何を「Check(確認)」するのでしょうか?
それは「自分で決めたルールに則り、日々の情報セキュリティに関するお取り組みをしているか」ということを確認します。
もちろん確認しただけで終わってはいけませんので、「Act(改善)」に繋げるために、確認した結果を報告する必要があります。
つまり、内部監査員は「従業員の皆様が自社で決めたルールを理解し、遵守しているかを確認し、トップマネジメント(代表者)にその結果を報告する」という役割を担っています。
内部監査員になるための条件
内部監査員になるためには、以下の条件が必要となります。
1. JIS Q 27001(ISO/IEC 27001)を理解している
2. 自社のルールを理解している
3. 監査対象の業務を理解している
4. 内部監査に関する知識を有している
どういった人を内部監査員にすれば良いのか?
内部監査員は「独立した立場」で実施することが望まれます。
そのため、内部監査員は、自分の部署以外の内部監査を担当するようにしましょう。
また、ISMS事務局は内部監査員の条件を満たしているため、「ISMS事務局を務めた方が、翌年内部監査員を担当する」というお取組みはおすすめです。
内部監査員は誰でも良いと思いつつ、求められる条件が揃っている方はかなり限定されるのではないでしょうか。
実際に「内部監査員を担当できる者がいない」とご相談を受ける機会は多いです。
LRM株式会社では、情報セキュリティ教育クラウド「セキュリオ」にて、内部監査員向けの研修教材をご用意しております。
また、ご要望に応じ、コンサルタントがお客様向けに「内部監査員研修」を行うこともできます。
「内部監査員を育てたい」とお考えでしたら、ぜひご相談ください。
また、緊張感を持たせるために「内部監査は外部の専門家に依頼する」というお客様も多いです。お客様のご要望がありましたら、コンサルタントが内部監査を実施することも可能ですので、こちらもぜひLRM株式会社にご相談ください。
