ISMSの確立及び維持状況などの点検・評価を行う内部監査
ISMSでは、PDCAモデルの確立が求められていますが、内部監査はこのうちCheckに相当するもので、「現状のルールが規格及び法規に適しているか」「ルールや法規制を遵守しているか」「ルールが役立っているか」「期待通りの成果が出ているか」という観点から、ISMSの確立及び維持状況などの点検・評価を行います。
内部監査は、マネジメントレビューとともにISMSの有効性の継続的改善のための有力な機会の一つです。実施に際しては、教育訓練を受けて選任される内部監査人が、自分の担当外の業務について、文書・記録のチェック、ヒアリング、現地確認などにより上記の4点をを確認し、トップに報告します。
監査計画を策定する際には、「情報資産の価値とリスクの両面から考慮する」「前回の監査で指摘が多かった部門や業務について重点的に監査を行う」ことがポイントとなります。また、組織として、不適合の判断基準及び不適合の取り扱い基準を明確にしておく必要があります。そして、不適合減少の除去、再発防止策、処置の検証については、結果まで確実に記録して、事後に確認できるようにする必要があります。
内部監査の記録には、定期内部監査なのか臨時なのかの識別が必要です。定期内部監査では、ISMSの全ての項目、全ての対象部門、役割・責任が網羅されていなければなりません。