ISMSの外部監査まであと1ヶ月ですね。
何か確認しておいた方がいいことありますか?
もうそんな時期なんだね、PDCAサイクルは回ってるかな?
た、多分大丈夫だと思うんですけど(汗)
それじゃあ今回は、ISMSの外部監査前に確認しておきたいことを紹介するね。
私はISMSの運用に携わって7年が経ちますが外部監査の前になるといつも不安になります。
監査時にいろいろな指摘をされて慌てないようにきっちり準備を整えておきましょう。
ちなみに一通りの業務をこなしており、マネジメントレビューまで済んでいる場合は監査準備は1週間前でもOKです。十分間に合います。
群馬県在住40代サラリーマン
転職して東京の大企業で講師を務めつつISMS運用にも携わる。- インフラSEから講師へキャリアチェンジ
- 30名ほどの中小企業でCISO(情報セキュリティ責任者)として7年間従事
- ISO27001(ISMS)導入
- テレワークなどクラウドを利用してのサービス導入に携わる
- 資産管理ツールやクラウドセキュリティなど導入実績多数
- 情報セキュリティマネジメント保有
- 情報処理安全確保支援士取得
外部監査前に確認しておく3項目
ISMSの運用は監査前だけに限らず一年に渡り実施されます。
外部監査はその実行の成果を監査会社の審査員にチェックもらうことです。
今回は監査に通らなくなってしまう重要なチェック1つと監査時に慌てなくて済むようなチェック項目を2つご紹介します。
PCDAサイクルが回っているか確認する
特に重要なのが「PDCAサイクルが回っているか」です。
外部監査の時によく審査員からお話があるのですが、「PDCAサイクルが回っていないと審査が継続できません。」
その中でも重要なのが以下の2つです。
- 内部監査
- マネジメントレビュー
この2つが未実施の場合はそこで「今回は審査を通らない。」ことが確定します。
それ以外については継続して審査が行われますが、サーベイランス、再認証どちらにしても
ISMSを継続するためには必要な業務を実施後もう一度外部監査を受ける必要があります。
外部監査1ヶ月前で内部監査やマネジメントレビューが終わっておらず、計画にも入っていない場合は速やかに実施を進めてください。
内部監査すらしていない場合は1ヶ月だとかなり調整を頑張らないと間に合いません、急ぎましょう。
再審査になると時間も費用も無駄にかかってしまいます、ないとは思いますが、もし未実施の場合は速やかに実施してください。
あとはPDCAの主にPDにあたるところですが、以下のような項目があります。
この辺りは審査が通らない訳ではありませんが、実施していないと不適合や改善の機会ということで指摘されてしまします。
教育の開始、各種試験、見直し、についてはそれぞれ年間スケジュールに落とし込んで実施できているかをチェックしておきましょう。
- 前回の外部監査の指摘事項のチェック
- 教育
- 適用法令の改定
- 事業継続管理の試験
- リスク対応計画の進捗
- その他定期的に計画されている試験
- アクセス権の見直し
- アカウントの見直し
- 各種ログの見直し
PDCAサイクルが回っていないと審査不合格となります、気をつけましょう。
情報セキュリティ目的について書いた記事があります、情報セキュリティ目的についてお悩みの方、是非ご覧ください。
各文書の更新日が合っているか確認する
外部監査で各種文書をチェックしますが、文書の名前と日付は全てチェックされます。
管理文書一覧表などで管理をしている場合は一覧のバージョンと日付が各種文書と一致しているか確認してください。
私がよくやらかすのがファイル名の日付を変えただけで満足してしまい、文書内の日付を変え忘れてしまうことです。
直前にチェックして修正をしますが、本来であればきちんとその都度更新するといいですね。
念の為外部監査前には全ての文書を開いて確認しておきましょう。
机や書棚の整理ができているか確認する
監査を受ける部署受けない部署関係なく全員の机をきれいにしてもらいましょう。
- 積み上がっている書類と自分のものではない書類は指定のキャビネットに入れる。
- いらない書類はシュレッダーにかけて捨てる。
- 机上の不要なおもちゃやガラクタは片付ける。
- 机の下に押し込んだ書類は片付ける。
- デスクマットに挟んである書類に機密情報があったら片付ける。
机はこんなもので大丈夫でしょう。
審査員は机の中までは見ませんので、何かあれば机に入れて鍵をかけておけば大丈夫です。
続いて書棚です。
簡単にサンプル画像を用意しましたので、ご覧ください。
赤い点線で囲まれたところは注意が必要です。
- 平積みにされたファイルリングされていない書類
- ラベルに何も書かれていないファイル
- 同じくラベルがついていないクリアファイル
- 何が入っているかわからない書棚
キャビネットを開けてこの状態のものがあると全てチェックされます。
特に2のラベルに何も書かれていないファイルは「A.8.2.2情報のラベル付け」を適用している場合は不適合にもなりかねませんのでご注意ください。
整理されていない書類があったら片付けておきましょう。
まとめ
どれも常日頃からISMS運用をしていれば特に慌てなくても済むようなことばかりです。
ISMSはISOでの要求はありますが、中身については自分の会社で決めたことを実行するだけでいいので、品質などのISOと比べると少し楽なのかもしれません。
とはいえ、決めたことをやっていないと不適合になりしますし、PDCAが回っていなければ審査落ち、ということになってしまいます。
今回の記事は「外部監査間に確認しておくこと3項目」でした。
情報セキュリティを初めて運用する方や効果的な内部監査については別記事でご紹介しておりますので是非ご覧ください。
他にも情報セキュリティ担当者目線で書いた仕事術があります。ぜひご覧ください。
コメント