2023年11月13日
ISMS(ISO27001)の内部監査では、決められた通りにできているかの適合性チェックと、今のルールや文書が有効かどうかという有効性チェックがあります。
ISMSの内部監査を実施する際は、内部監査計画・内部監査チェックリスト・内部監査報告書の3つの記録が必要です。
1.ISMS(ISO27001)の内部監査とは
ISMS(ISO27001)の内部監査とは、自社のルールや文書が要求事項(規格要求事項や法的要求事項など)を満たしているかどうか、自社のルールや文書通りに仕事ができているかどうかをチェックすることです。
また、内部監査をする際は、
①決められた通りにできているか(=適合性)
②今のルールや文書が有効かどうか(=有効性)
の2つの視点でみることが必要です。
内部監査はISMS(ISO27001)を運用するPDCAサイクルのC(Check)の部分にあたります。
計画を立てた通りに実施できているかチェックすることです。
2.内部監査の進め方
まず注意すべき点は、自分の部署は監査できないという点です。
自分が所属する部署を監査するのは禁止されています。
総務部の従業員が総務部の内部監査をすることはできない、といった感じです。そのため、内部監査するメンバー(内部監査員と呼びます)は2名以上で構成する必要があります。
では、実際にどのように進めるのか?大きく3つのフェーズに分かれます。
1)内部監査の計画を立てる
2)内部監査の実施
3)内部監査後のまとめ対応
ISMS(ISO27001)取得の流れとスケジュールについてはこちらの記事で詳しく説明しております。
(1)内部監査の計画を立てる
「どの部署の・誰に・いつ・何をチェックしにいくか」を事前に段取りしておきましょう。
「3月30日の13時~15時に総務部○○さんに、経理部の○○さんが、●●チェックリストの内容を見に行く」といった形です。
また、チェックリストの内容も今回特に重点にしていることや、前回と変わった点を盛り込んだ内容にしておくとより良い内部監査になります。
(2)内部監査の実施
計画したとおりに内部監査を実施しましょう。
特に、チェックリストに基づいた監査証拠を集めるようにしましょう。
この監査では適合も不適合も両方証拠を残していくようにしましょう。
(3)内部監査後のまとめ対応
実施できたら、監査の結果をとりまとめましょう。
マネジメントレビューとしてトップへの報告も必要になります。
不適合がある場合などは、各部署に是正してもらうよう伝える必要が出てきます。
3.内部監査で必要になる3つの記録
内部監査では、以下の3点が必要になります。
(1)内部監査計画
(2)内部監査チェックリスト
(3)内部監査報告書
場合によっては不適合の発生もあるので、不適合報告や是正処置に関わる記録も監査のタイミングで準備することもあります。
(1)内部監査計画
ISMSの内部監査は抜き打ちではなく、計画を立てて実施します。
実施時期、実施者、対象部門、監査範囲を事前に決める必要があります。
(2)内部監査チェックリスト
内部監査チェックリストは、内部監査の際に内部監査員が使用します。
このチェックリストがISMSの内部監査を行った文書記録となります。
チェックリストを用いることで、監査すべき内容が明確になり、効率良く内部監査を実施することができます。
(3)内部監査報告書
内部監査報告はISMSの内部監査の結果をまとめた文書記録です。
この報告書には、監査の実施結果、発見された問題点、提案された改善策、およびその他の重要な情報を記録します。
4. 良い内部監査と悪い内部監査の違いとは?
良い内部監査は、「しっかりと自社の課題を見つけられている内部監査」です。
一方、悪い内部監査では、ISMS(ISO27001)で求められているから単に実施しただけとなっており、改善すべき点や課題の指摘がない状態です。
内部監査はPDCAサイクルのC(Check)の機能ですので、Action=改善につながるチェックができたら良い内部監査と言えます。
5.良い内部監査を行うためのポイント
ISMS(ISO27001)を維持するためだけに内部監査を行うのではなく、ISMSを運用する上で効果的な問題点を見つけ、改善していく必要があります。
維持するためだけに実施すると、無駄なルールばかりになってしまい運用が非効率になります。
ISMSの運用がルール通りにできているかチェックするだけでなく、ルール自体が適切なのかをチェックすることもポイントです。
まとめ
いかがでしたでしょうか?
ISMS(ISO27001)の内部監査についてお分かりいただけましたでしょうか。
ISMS(ISO27001)の内部監査とは、自社のルールや文書がISMSの要求事項を満たしているか、そしてルール通りに実施できているかを自社内でチェックすることです。
ISMS(ISO27001)の内部監査は、PDCAサイクルのC(Check)の部分にあたります。
計画を立てた通りに実施できているか、改善点はないかをチェックします。
単にISMS(ISO27001)で求められているから実施するのではなく、自社の改善点を見つけるつもりで実施し、内容の濃い内部監査にできることが望ましいです。
内部監査とセットとも言えるマネジメントレビューについてはこちらもご覧ください。
ISO・Pマークについてのお悩みはありませんか?
← 記事の内容をまとめた動画はこちら!!
\ フォローしてね /
- SNSでシェア
- Tweet
ISO・Pマーク(プライバシーマーク)に関することなら
何でもお気軽にご相談ください
0120-068-268
お電話受付:平日9:30〜18:30
お電話受付:平日9:30〜18:30
-
今聞きたいこと、今すぐ回答!
最短即日・全国対応いたします!
お問合せは
こちらから -
全国どこでもzoomで対応!
気軽にご相談ください!
相談予約は
こちらから
新規取得・運用別に
役立つ資料をお届けします
新規認証や運用・更新にあたって当社が何を請け負うか、
わかりやすい資料でご検討の参考にしてください。
ISMS(ISO27001)認証パートナー
サービスのご案内
認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。
-
Pマーク
個人情報保護マネジメントシステム
高い保護レベルの個人情報保護マネジメントシステムを確立し、運用していることを示します。
認証パートナーなら、個人情報漏えい防止の観点も踏まえたサポートを実現します。Pマークの認証ページへ -
ISO9001
品質マネジメントシステム
品質マネジメントシステムは一貫した製品・サービスを提供し、顧客満足を向上させるための規格です。
認証パートナーなら、負担が増える形だけのISOではなく、より現場の実態に沿ったISOを実現します。ISO9001の認証ページへ -
ISO14001
環境マネジメントシステム
環境マネジメントシステムは環境を保護し、変化する環境状態に対応するための組織の枠組みを示します。
認証パートナーなら、課題になりがちな環境法令の対応についても一緒にサポート致します。ISO14001の認証ページへ -
ISMS・ISO27001
情報セキュリティマネジメントシステム
情報セキュリティマネジメントシステムは企業・組織の情報を守る規格です(ISMSとISO27001は同義)。
認証パートナーなら、情報セキュリティリスクへの対応計画、緊急時の対応計画踏まえPDCAサイクル回せるような仕組み作りを実現します。ISMS/ISO27001の認証ページへ