ISMS内部監査とマネジメントレビューの実施

要求事項
『組織は、そのISMSの管理目的、管理策、プロセス及び手順について次の事項が満たされているか否かを明確にするために、あらかじめ定められた間隔でISMS内部監査を実施しなければならない
a)この規格の要求事項に適合していること。また関連する法令又は規制に適合していること。
b)明確にされた情報セキュリティ要求事項に適合していること。
c)有効に実施され、維持されていること。
d)期待したように実施されていること 』
（BS7799-2:2002　ISMS内部監査　6.4より引用）

ISMS内部監査の目的は、ISMSで定めたリスク評価などの内容が機能していることを、定期的に点検することです。ISMSで定めた内容を社員同士でチェックを行い、ISMS適合性の問題点を抽出し改善していきます。ISMSの管理者は監査内容を証明するために記録を残し、その記録を参考に、経営者に対してマネジメントレビューを行います。

適合性の評価
1.BS7799-2／ISMS認証基準の要求事項に管理策や手順が合致しているか。
2.関連する法令または規制（適用法規一覧表などに特定したもの）に管理策や手順が合致しているか。
3.社内で決めた情報セキュリティルールに従業員が準じて業務を行っているか。

監査の実施手順
1.監査の目的を明確化
2.監査の間隔（6ヶ月〜1年）を設定
3.監査計画を立てる（基準・範囲・方法）
4.監査員を選出する（客観性・公平性）
5.手順を文書化
6.再発防止策を検討・実施
7.再発防止策の有効性を検証

ISMS内部監査を行う目的
1.策定したルールがリスクに対し、有効に機能しているか。
2.定期的に実施しているか。
3.期待したとおりに実施されているか。

ISMSでは認証時や更新時などは客観的な信用が必要のため、外部の審査機関から審査を受ける必要があります。適合性の評価をする審査員はプロフェッショナルですが、組織に合わせたリスク評価の正確な有効性までは短時間で評価できません。社内業務に精通している従業員が重点的に評価すべきです。

ISMS内部監査は策定したルールが組織にとって有益なのかを改めて見直す良い機会です。策定したルールや管理策は外部環境だけでなく、内部環境でも変化するため、一度決めたルールも定期的に見直すべきです。 この作業を定期的に行うことで、ISMSの形骸化を防ぐことができます。

ISMS審査でのポイントは、ISMS内部監査の手順の整備です。ISMS監査責任者やISMS監査員の教育と認定手順、監査計画策定から、監査実施、監査報告までの一連の手順書が要求されます。内部監査員には、監査技術の習得だけでなく、ISMS要求事項と社内ルールの知識も要求されます。監査技術については、ISO9001やISO14001と同様のため、これらを認証取得している組織は、改めて教育は不要ですが、初めての監査を実施する組織は、一度、外部の講習を受けることが望ましいでしょう。

内部監査を実施した結果に対して、適切な是正処置が施され、再発防止策が施されているかどうかも、重要な審査ポイントです。内部監査を綿密に実施している組織には、外部審査員は寛容になります。なぜなら、外部から細かい指摘をしなくても、自組織で問題点を見出し、継続的改善ができると評価するからです。ISMS内部監査は監査計画をもとにしっかりと行ってください。

要求事項
レビューへのインプット
a)内部監査結果、外部監査結果
b)利害関係者（顧客、協力会社など）からの要望、進言など
c)ISMSの実施の状況および有効性を改善するために組織が利用できる技術、製品または手順
d)実施した予防処置および是正処置
e)前回までのマネジメントレビューの結果に対するフォローアップ
f)ISMSに影響を及ぼす可能性がある、あらゆる変更（組織、システム）
g)改善のための提案
（BS7799-2:2002　ISMSのマネジメントレビュー　6.2より引用）

レビューへのアウトプット
a)ISMSの有効性の改善
b)ISMSに影響を及ぼすことのある内部および外部の事象に対処するために必要な、情報セキュリティ
　を実現する手順の修正。この事象には次の事項の変化を含めなければならない。
　1)ビジネス要求事項（契約内容、顧客要望など）
　2)セキュリティ要求事項（社内のルール）
　3)現在のビジネス要求事項を実現するビジネスプロセス（業務）
　4)規制上または法令の環境
　5)リスクのレベルまたはリスク需要のレベル
c)資源の必要性
（BS7799-2:2002　ISMSのマネジメントレビュー　6.3より引用）

マネジメントレビューとは経営者がISMSに対してどのように考えているかをレビューすることです。マネジメントレビューはインプットとアウトプットがあります。ISMSの管理責任者は経営者がISMSの運用状況などを判断する材料として、内部監査の結果を経営者に報告しなければなりません。またその監査結果を経営に取り入れ、経営者から判断を仰ぐことがポイントです。

マネジメントレビューを行う目的
1.ISMS改善の機会の評価
2.セキュリティ基本方針およびセキュリティ目標を含むISMSに対する変更の必要性の評価
3.レビュー結果の文書化

マネジメントレビューを行う際には、情報セキュリティ管理責任者が直接経営者へ報告することが望ましいでしょう。経営者のみに実施してもかまいませんが、経営会議など経営層が揃う会議で実施することで、ISMSの実施状況が多くの人に理解できる場合は、そのほうをおすすめします。ISMSは、組織全体で取り組むべき課題であり、できる限り多くの人を巻き込むことで、効果的に運用することができるからです。

また小規模な組織では、月次報告会などを利用してISMSの問題提起をする機会が多いことでしょう。そのような場合は、スピーディーな経営判断を仰ぐため、マネジメントレビューをその会議体に割り当てることで効率化が図れます。そしてISMSの運用状況を定期的に確認し、議事録などで運用記録を文書として残すことが重要になります。

ISMS審査員は、マネジメントレビューを非常に重要視しています。なぜならISMSはトップダウンの考え方であり、経営者とISMSとの関係をマネジメントレビューを通して直接判断できるためです。ISMS審査員は審査時に経営者へのインタビューとマネジメントレビューの結果をレビューするため、マネジメントレビューの記録は経営者の言葉で記録を残すとよいでしょう。