セキュリオの機能をISMSの観点から見てみよう【内部監査】
情報セキュリティコンサルタントの立場から、LRMが開発・提供する情報セキュリティ教育クラウド「セキュリオ」の機能がどういうふうにISMSの規格をカバーしているのか整理してみる企画第12回、今回は内部監査機能です!
※特に何か依頼されているわけでもなく、勝手に書いているので筆者の意見と思ってください(笑)
セキュリオ「内部監査」機能について
セキュリオ「内部監査」機能は、ISMSやPマークなどで必要な内部監査の取り組みを計画策定から監査記録まで実施・管理することができる機能です。
また、内部監査の指摘事項対応タスクを機能内で起票して合わせて管理することも可能です!
ISMS観点から見る内部監査機能
内部監査機能は規格のどこに当てはまる?対応できる?
【規格本文】
9.2 内部監査
<規格要求>
内部監査の実施、監査プログラムの実施及び監査結果の証拠の管理。
内部監査機能は、この規格要求をカバーするための機能そのものといっても過言ではありません。
また、監査プログラム(計画)から、チェックリストの作成、チェックした結果の記録、指摘事項まで監査証跡を一元管理することができます。9.3.2 マネジメントレビューのインプット
<規格要求>
規格の事項を考慮したインプットの実施。
考慮事項の一つとして「監査結果」が含まれています。
そして内部監査機能では監査結果を残すことができるので、そのままマネジメントレビューのインプットに活用することが可能です。10.2 不適合及び是正処置
<規格要求>
不適合は適切に管理し、不適合の内容や処置・是正処置の結果の証拠の管理。
内部監査機能では指摘事項と是正処置のタスクをまとめて管理することが可能です。
【附属書A】
5.35 情報セキュリティの独立したレビュー
<規格要求>
情報セキュリティの取り組みへの独立したレビューの実施。
内部監査も独立したレビューの一つに含まれるため、前述の内部監査の取り組みやその証跡が対応するものになります。5.36 情報セキュリティのための方針群、規則及び標準の順守
<規格要求>
方針やルールなどの順守状況の定期的なレビューの実施。
内部監査においてルールの順守状況もチェックするため、この管理策についても前述の内部監査の取り組みやその証跡が対応するものになります。
内部監査機能を使うメリット
ここまでは内部監査機能がISMSの規格とどのように関連しているか整理してきました。
続いてISMSでセキュリオの内部監査機能を使うメリットについて考えてみましょう。
計画から実施記録、是正処置記録まで一元管理できる
内部監査では一般的に「監査計画書」「監査報告書」「是正処置報告書」のように一つの取り組みの間に複数の記録を作成することになります。
その結果各記録での連携をイメージしづらかったり、何がどこにあるかわかりづらくなるといった課題があがってきやすいです。
その点、内部監査機能では計画から監査実施、実施記録の作成、是正処置記録を残すまで自然な流れとして一元管理することが可能です。監査事項を考える工数を削減できる
内部監査では、どこまでどのような内容を確認すべきなのかもよく課題としてあがってきます。
内部監査機能では、監査チェックリストのテンプレートを準備しており、それを機能上に登録し、機能を見ながら一つ一つ確認していくことができるので監査事項を考える工数などの削減にもつながるかもしれません。チェックリストと実施記録を一まとめにできる
従来の内部監査では多くのケースで、チェックリストに基づき内部監査を行った後、指摘事項だけ抜き出して実施記録(報告書)をあらためてまとめるという形が取られています。
その点、内部監査機能ではチェックリストでの判断がそのまま実施記録として残されるので、二度手間にならずに済みます。
まとめ
今回は第12回として「内部監査」機能を取り上げました。
これまでの内部監査は計画、監査結果、是正処置報告書がそれぞれ別物として発行されていたり、監査結果もチェックリストを作った後にそれを報告書としてまとめるといった複数の手間が発生しているものでした。
それがシステムを用いることで一つの流れの中で自然に全ての記録を残すことが可能になる内部監査機能は工数の削減や内部監査をやりやすいものにする上で活用できる機能になるかもしれません。
この記事が気に入ったらサポートをしてみませんか?