見出し画像

ISO/IEC 27001内部監査員研修を受講してみた

つっかーです。外気温は安定の氷点下。リモートワーク民の我が家では、暖房費が家計の一番の悩みの種です。日中は私しか在宅していないので勿体無いなと、自宅用のダウンシャケットを購入しました。

さて、昨年 11 月から弊社その 2 の ISMS 事務局に参画しました。IPA の情報処理安全確保支援士資格を持っているメンバー有志で運営しています。参画にあたり、内部監査員の外部研修を受講してね、とアドバイスを受け、計 3 日間のオンライン講習を受けてきました。本記事は講習の体験記となります。

本題の前に

ISO/IEC 27001 とは

情報セキュリティマネジメントシステム、いわゆるISMSについての国際規格です。 本規格について認証を取得することで、情報セキュリティ管理について組織的な取り組みを行なっていると示すことができ、一定の信頼を得ることができます。

ISO では様々なマネジメントシステムに関する標準が定められています。有名なものは製品の品質管理に関する ISO 9001、環境マネジメント 14001 があげられます。

監査とは

一般的には「遵守すべき法令や社内規程などの規準に照らして、業務や成果物がそれらに則っているか評価すること」です。要はルールに沿ってるかチェックするで!ってことですね。

マネジメントシステム(組織管理のためのルールや体制)全般の監査の指針は ISO 19011 として規格化されています。ISMS の監査方針であるISO 27001 は、ISO 19011 に準拠しています。

内部監査とは

監査は大まかに内部監査と外部監査に分けることができます。

内部監査は、被監査組織の構成員が実施するセルフチェックのことです。
これに対して外部監査は組織外部の専門機関によって実施される第三者チェックを指します。

内部監査は、組織が自らの健康状態を把握し、健全な運営に努めるための維持機構といえます。

受講した研修について

今回受講したのは bsi japan が主催する「ISO/IEC 27001 内部監査員研修」です。bsi ジャパンはマネジメントシステム全般の審査や研修・トレーニングを提供する企業です。

本研修は 2 日間のオンライン集合研修で、事前に用意されたテキストを講師の方が解説しつつ、受講者参加のグループワークで、実際の企業における ISMS 内部監査のユースケースを体験するというものでした。

  • 1日目:9:30 〜 17:30

    • 自己紹介

    • 情報セキュリティの基礎

    • ISOマネジメントシステム規格のあらまし

    • ISO 19011 の要求事項

    • ISO 27001 の要求事項

  • 2日目:9:30 〜 17:00

    • 内部監査グループワーク

      • 計画策定

      • ヒアリング

      • 報告

1日目

開始 10 分前に Zoom にログインすると、講師ならびに私以外の受講者全員揃ってました。全部で 11 名です。

研修が開始すると簡単に自己紹介タイム。各自のバックグラウンドや受講動機について話しました。大半の方は私と同様に、所属組織の ISMS 事務局に参加、または新たに ISMS 認証を取得するということで受講されているようでした。業界は IT 企業が多め、他は製造業や食品業の方でした。

自己紹介の後は本題開始。最初はテキストに沿った座学中心でした。
情報セキュリティの3要素(機密性、完全性、可用性)のおさらいに始まり、ISO規格の読み解き方、ISO19011・ISO27001 それぞれの要求事項を学びました。

まとめ

弊社その 1 で情報セキュリティ事務局の立ち上げや J-SOX 対応を経験したものの、実務上必要な知識をつまみ食いしてたので、監査に関する体系的な知識がありませんでした。今回、ISO の関連文書の全体像を把握することができ、自力で読む勘所を掴めたのが大きな収穫です。

今回の講習を経て、監査という活動に興味が湧きました。今後のキャリアにおいてシステム監査にも手を出してみたいと思います。

以上、つっかーでした。

いいなと思ったら応援しよう!