「内部監査って、要するに自分たちで自分たちをチェックすること?」——そう、だいたいそれで合っている。
ISO27001の運用支援をしていると、担当者から一番よく聞かれる質問のひとつが「内部監査って具体的に何をするんですか?」だ。認証取得を目指す組織にとって義務ではあるが、「どうやればいいか分からない」という声は想像以上に多い。
今回は、内部監査の目的・進め方・チェックリストの作り方を、現場目線で解説していく。ISO27001の基礎を押さえたい方は、まず以下の記事から読んでほしい。
→ ISO27001とは何か?仕組み重視の情報セキュリティ入門【中小組織向け】
目次
1. 内部監査とは何か:「自己点検」ではなく「仕組みの検証」
内部監査とは、組織が自ら情報セキュリティマネジメントシステム(ISMS)の運用状況を確認する活動だ。ISO27001では年1回以上の実施が求められている。
よくある誤解が「自分たちで自分たちを評価するなら甘くなる」というものだ。確かにその傾向はある。ただ、内部監査の本質は「合否を判定すること」ではなく「仕組みが実態通りに動いているかを確認すること」だ。問題を見つけて改善につなげるプロセスが目的であって、高得点を取ることが目的ではない。
外部の審査機関が行う「外部審査」と違い、内部監査は組織の実態に深く踏み込める点が強みだ。毎日業務をしている人間が確認するからこそ、外からは見えない「ズレ」を発見できる。
2. なぜ内部監査が必要か:外部審査だけでは見えないもの
ISO27001の認証を維持するためには外部審査が必要だが、外部審査だけでは不十分な理由がある。
外部審査員は限られた時間の中でサンプリングを行う。組織の全部を確認するわけではない。「審査日に見せた資料と、日常の運用が一致しているか」——これを継続的に確認できるのは内部監査だけだ。
現場で実際に起きているのは、規程には書いてあるが誰も守っていないルール、台帳上は管理されているが実態が違うデータ、担当者が変わって引き継がれなかった手順——こういった「ズレ」の積み重ねだ。内部監査はそれを定期的にリセットする機会になる。
3. 内部監査の進め方:4つのステップ
内部監査は以下の4ステップで進める。規模を問わず、この流れは共通だ。
ステップ1:監査計画の策定
いつ・どの部門を・何を確認するかを決める。監査範囲・日程・担当者をあらかじめ文書化しておく。初めての場合は「主要な情報資産を扱う部門」から始めると整理しやすい。
ステップ2:チェックリストの準備
確認項目を事前にリスト化する。ISO27001の要求事項・自組織の規程・過去の是正処置内容をもとに作成する。詳細は次のセクションで説明する。
ステップ3:監査の実施
書類確認・現地サンプリング・担当者ヒアリングの3つを組み合わせて行う。「書いてあること」と「実際にやっていること」のズレを見つけることに集中する。
ステップ4:監査報告と是正処置
指摘事項を報告書にまとめ、是正処置の計画を立てる。指摘の重さに応じて「不適合」「観察事項」「改善提案」に分類すると整理しやすい。
4. チェックリストの作り方:ゼロから作らなくていい
チェックリストをゼロから作る必要はない。ISO27001の附属書Aに管理策が列挙されているので、それを自組織の文脈に合わせて絞り込むのが現実的だ。
確認項目は大きく3カテゴリに分けると使いやすい。
① 文書・記録の確認:規程・手順書・台帳が最新版か、必要な記録が残っているか
② 実施状況の確認:規程通りに運用されているか、担当者が手順を理解しているか
③ インシデント・リスクの確認:直近のインシデント対応は適切だったか、リスクの状況に変化はないか
AIを使うと、チェックリストのドラフト生成が大幅に効率化できる。「ISO27001附属書Aをもとに、医療系中小企業向けの内部監査チェックリストを作って」という指示で実用的な叩き台が出てくる。情報資産台帳とAIの活用については以下の記事でも触れている。
→ 棚卸しから始めるISO27001——情報資産台帳をAIで効率化した話
5. 指摘事項の扱い方:「不合格」ではなく「改善の種」
内部監査で指摘事項が出ることを恐れる担当者は多い。ただ、指摘事項が出ない内部監査は「機能していない監査」の可能性が高い。
指摘事項は3段階で分類するとその後の処理がしやすくなる。
不適合:ISO27001の要求事項または自組織の規程に明確に違反している状態。是正処置が必須。
観察事項:現時点では要求事項を満たしているが、このままでは不適合になりうる懸念がある状態。
改善提案:義務ではないが、改善すると効果が期待できる事項。
重要なのは、指摘事項が出た後に「是正処置→効果確認」まで記録として残すことだ。PDCAサイクルを回すという観点では、是正処置の記録こそがISMSの証拠になる。
6. 中小組織での現実的な運用:年1回でも十分機能する
人手が限られる中小組織では、内部監査に大きなリソースをかけるのが難しい。現実的な運用の工夫を3つ挙げる。
監査員は「その部門の担当者以外」から選ぶ:自分の部門を自分で監査すると客観性が失われる。他部門の担当者が相互に監査し合う形にすると機能しやすい。
チェックリストを使い回す:毎年ゼロから作らない。前回の指摘事項・是正状況の確認を前半に入れ、後半で新たな確認項目を加える形で積み上げていく。
記録はシンプルでいい:立派な報告書フォーマットよりも、「確認項目・結果・指摘事項・是正処置」の4列があれば十分だ。更新されない完璧な書式より、使い続けられるシンプルな記録の方が価値がある。
内部監査は「育てるもの」だ
最初の内部監査が完璧である必要はない。チェックリストが粗くても、指摘が少なくても、やり切ることに意味がある。
回を重ねるごとに「どこを見ればズレが分かるか」という勘が養われていく。内部監査は一発勝負ではなく、組織と一緒に育てていくものだ。
次回は、セキュリティ規程をAIに書かせてみた実体験を書いていく予定だ。
関連記事
・ISO27001とは何か?仕組み重視の情報セキュリティ入門【中小組織向け】
ISO27001の本質と「仕組み重視」の考え方を解説した入門記事。
・棚卸しから始めるISO27001——情報資産台帳をAIで効率化した話
情報資産台帳の作り方とAI活用の具体例を紹介した実践記事。
0 件のコメント:
コメントを投稿
注: コメントを投稿できるのは、このブログのメンバーだけです。