サイバーセキュリティーサービスの比較・資料請求サイト|中小企業向けのセキュリティ対策を考える「サイバーセキュリティ」に関する情報メディア。日本の中小企業の情報を守るため、最新のセミナー・人材育成・製品・中小企業向けのセキュリティ対策を考えるサイバーセキュリティ情報サイトです。

ISMS運用|「内部監査」と「マネジメントレビュー」について



ISMSの運用開始後は、“ちゃんと運用できているか”という定期的な確認である「内部監査」が必要となります。また、内部監査の結果を踏まえ次のアクションへ移るためには「マネジメントレビュー」を実施することとなります。

今回は、ISMSの運用にに必要不可欠なチェック&アクション、内部監査とマネジメントレビューについてお伝えしていきます。

内部監査について

“ちゃんと計画通りの運用が行われているか”の確認である内部監査ですが、“形式だけ”となっている組織が多いように見受けられます。

なぜその様に軽く扱われているのでしょうか?内部監査における問題点を考えてみましょう。

社内的地位の問題

内部監査責任者とISMS責任者の力関係はどうなっているでしょうか。ISMS責任者の方が社内的にポジションが上ということはないでしょうか。この場合、積極的な指摘が行われない可能性があります。社内的ポジションが下の者から上の者に対して「これはダメですよ」とは言い難いですよね。

逆もまた然りです。ISMS責任者より内部監査責任者の方が社内的にポジションが上であると、仮に的外れな指摘であっても訂正できず、唯々諾々と従ってしまうことになるでしょう。

つまり、どちらにしてもPDCAスパイラルの有効な運用にとってはマイナスということになります。ISMS責任者と内部監査責任者は、社内的に“同格の者”が選ばれることが望ましいのです。

社内の人間関係の問題

こちらに関しては、“内部監査員の心理”から発生する問題です。

監査部門が独立しているような大規模企業でもない限り、内部監査員と被監査部門担当者は顔見知りです。その場合、どうしても「今後のこともあるから、あまり波風を立てたくない」といった思考が働いてしまいます。その結果、指摘事項を伝えることが難しくなってしまうのです。監査の結果「これはだめ」と判断した事項について、“口頭での注意”留め、報告書に記載しないなど、上層部に情報が伝わらないということが起こります。

この様な状況を避けるためには、下記の様な評価方式の導入が有効です。

  • マルバツ(○×)式で評価せず、段階評価にする
  • 不適合が出ないことより、業務改善の事実を高評価する

マルバツ(○×)式の場合、優秀な部門に「○」が付く分には問題ありませんが、“不適合を出しづらいからギリギリセーフ”の部門に「○」が付いてしまう可能性があります。すると、“出来る限り労力をかけずに、ギリギリでも「○」が貰えればいいや”といった意識が働き、組織全体が低いレベルへ移行してしまう危険性があるのです。

内部監査による「変革」を嫌う傾向

一般的に「変革」は「対応漏れ」を生じやすくしてしまう傾向があります。その為、不適合を出さないためには“できる限り変えないこと”が有効と言えます。

しかし、できる限り変えないということは、各部門最低限のことのみしか行わず、徐々に“じり貧”の状態となってしますのです。これでは、せっかくのマネジメントシステムが有効的に機能しません。

ISMSの規格自体には“「適合確認」は内部監査の一方の目的でしかない”と表示されています。

  • a)適合性の確認
  • b)有効性と維持の確認

9.2内部監査の項目より

マネジメントシステムにおける有効性とは、PDCAが適切に行われていることが第一です。つまり業務改善が出来ていなければならないということです。何年も前に制定された規程の「適合確認」よりも、今の「業務改善」の方が重要なのです。

日本における内部監査は、なぜかa)ばかりを行い、b)が疎かになりがちに見えます。これも内部監査の形骸化の要因と言えます。

マネジメントレビューについて

内部監査などの結果も踏まえ次のアクションを起こすため、PDCA最後のポイントである「マネジメントレビュー」を実施します。

この際の最重要ポイントは「トップが自らの責任で判断を下すこと」です。もちろん、ISMS規格で決められたインプット事項を議事に上げることは当然なのですが、担当者に任せきりではいけません。あくまで「リーダーシップ」に基づき、トップマネジメントが判断することが重要です。

これは昨年国から発表された「サイバーセキュリティ経営ガイドライン」にも合致するところです。セキュリティ対策は“経営責任”ですので、組織全体で認識しましょう。マネジメントレビューのアウトプットは、その組織のトップマネジメントの認識レベルがそのまま表れます。そして、それが組織のセキュリティレベルを表すことにもなるのです。

PDCAの最終ステップであるマネジメントレビューアウトプット。実際の審査でも、ISMSの有効性を図るには、この記録の確認から始まることが多いのです。

まとめ

今回までの連載で、ISMSにおけるPDCAが朧気ながらも見えたかと思います。

  1. ISMS(Information Security Management System)とは何か
  2. ISO27001(ISMS)とプライバシーマークの違い
  3. ISMS構築の第一歩!自社分析の考え方について
  4. ISMS構築の第二段階!情報セキュリティの“リーダーシップ”について
  5. ISMS構築の第三段階!「情報セキュリティの目的」とは
  6. ISMS構築の第四段階!情報セキュリティ計画の「リスクと機会」
  7. 情報セキュリティにおける「リスク所有者」とは
  8. 情報資産管理の基本概念「情報セキュリティの三大要素」とは
  9. ISMS最大の課題「管理策の考え方」について
  10. ISMS運用に欠かせない「情報セキュリティ対応計画」の考え方

次回から「附属書A管理目的及び管理策」の誤解を受けやすい点を解説していきます。





書籍「情報漏洩対策のキホン」プレゼント


当サイトへの会員登録で、下記内容の書籍「情報漏洩対策のキホン」3000円相当PDFプレゼント
(実際にAmazonで売られている書籍のPDF版を無料プレゼント:中小企業向け大企業向け

下記は中小企業向けの目次になります。

  1. 1.はじめに

  2. 2.あなたの会社の情報が漏洩したら?

  3. 3.正しく恐れるべき脅威トップ5を事例付きで
    •  3-1.ランサムウェアによる被害
    •  3-2.標的型攻撃による機密情報の窃取
    •  3-3.テレワーク等のニューノーマルな働き方を狙った攻撃
    •  3-4.サプライチェーンの弱点を悪用した攻撃
    •  3-5.ビジネスメール詐欺による金銭被害
    •  3-6.内部不正による情報漏洩

  4. 4.情報漏洩事件・被害事例一覧

  5. 5.高度化するサイバー犯罪
    •  5-1.ランサムウェア✕標的型攻撃のあわせ技
    •  5-2.大人数で・じっくりと・大規模に攻める
    •  5-3.境界の曖昧化 内と外の概念が崩壊

  6. 6.中小企業がITセキュリティ対策としてできること
    •  6-1.経営層必読!まず行うべき組織的対策
    •  6-2.構想を具体化する技術的対策
    •  6-3.人的対策およびノウハウ・知的対策

  7. 7.サイバーセキュリティ知っ得用語集

無料でここまでわかります!
ぜひ下記より会員登録をして無料ダウンロードしてみてはいかがでしょうか?

無料会員登録はこちら

SNSでもご購読できます。