質の高いISMS・Pマーク内部監査を実施するポイントとは？　NG例も紹介

　内部監査とは、ISMS/ISO27001やプライバシーマーク運用の点検に該当するもので、組織の活動に関する客観的な評価を行い、改善につなげることを目的としている。年に1回以上の実施が求められており、対象部門が多い組織は、スケジュールの調整や監査計画書の作成を含む、事前準備に割かれる時間も多い。

　また監査を実施する内部監査員の手配も必要となる。内部監査員は、情報セキュリティに関する深い知識と、被監査者から情報を引き出すコミュニケーション能力が求められるため、人材の選定に苦労する組織もある。こうした負担から、毎年同じチェックシートを用いて、内部監査を形式的に実施してしまっているケースも少なくない。しかし、内部監査によって事前に脆弱性を検知することは、組織の情報セキュリティ対策の強化にもつながる。

　本資料では、「内部監査のキホン」「チェックリストの項目例」「監査員に求められる3つの力」「内部監査におけるNG集」について詳しく解説する。また内部監査をISMS（情報セキュリティ管理システム）、Pマークの専門家が代行するサービスも紹介するので、ぜひ参考にしてほしい。