内部監査とは？

内部監査とは「社内もしくは関係者による監査」です。認証機関による「本番の審査」に先立って行う事前チェックのような位置づけです。今回は、認証取得コンサルティングのLRM様に内部監査員を務めていただきました。

内部監査では、これまでに決めてきた各種セキュリティのルールと社内の実態にギャップがないかをひと通り確認します。紙資料の保管状態やデータの管理状態など、実際に社内を見て回り、直接確認をします。

当社はまだオフィスも一箇所で規模も小さいため、監査に要する時間も比較的少なくて済みますが、拠点が複数あったり事業が多岐にわたる企業であれば相応の時間を要することになります。

社員教育と理解度チェック

ひととおりの内部監査が終わった後、社員教育を行いました。この社員教育は、情報セキュリティに関する概要や目的など総論的な内容を伝え、意識を高めることが目的です。世間を賑わしているようなセキュリティ事故の事例なども交え、決して「他人ごとではない」という認識を、社員全員で共有できたのではないかと思います。

「セキュリティ対策は、うまくいって0点。何か問題が起きるとマイナス。決して派手な成果があがる活動ではないが、そのことを理解した上で全社員で取り組まなければいけない。」というお話がとても印象的でした。

そして、最後にセキュリティに対する理解度チェックを実施。「こんなの当たり前」と理解するのはスタートライン。きちんとISMSのルールを活用して、実践のサイクルを回していかなくてはいけないなと再認識しました。

さて、次はいよいよ認証機関による「審査」です。審査は、書類審査と現地審査の二回に分けて行われます。その様子もまたお伝えしていこうと思います。

おまけ

実は、LRM様もTeachme　Bizのユーザー様です。実際に作成されたマニュアルを見せていただきました。「同じことを二回以上繰り返す場合はマニュアルに残すようにしている。」という言葉どおり、多様なマニュアルが続々と作られているとのこと。貴重なご意見もたくさん聞かせていただきました！

＜あわせてお読みください。：ISMSへの道　記事一覧＞