ISMS認証

ISMS内部監査やってます

こんにちは!たのしー(^o^)cです♪

GFCでは「ISO27001(別名ISMS)」の認証を2010年4月に取得していることは、以前ブログでもご紹 介しました。ISMSってどんなものなの?と思った方は『GFCのセキュリティ事情』でご紹介していますので、ぜひご覧ください。

さて、この規格は取ったらずっと認証を持ち続けられるというものではありません。お客様からの信頼を損なわない為にも、この認証を持ち続けていくことが重要です。

GFCでは毎年6月になるとISMSの内部監査を行ないます。今回はGFCで取り組んでいるISMSの内部監査のことをご紹介します。

私の所属している部署は事務局を担当していますので準備から活動が始まりますが、一般的には各部署から選出された内部監査員の勉強会から始まります。初めて監査員になった人が必ず参加するのはもちろん、経験者も含めて内部監査の実施方法について勉強します。また、勉強会では講義だけでなくワークショップを行い、本番を想定した質疑応答の練習もします。

勉強会が終わると、内部監査員は監査対象部署と相談してスケジュールを決め、いよいよ内部監査が始まり ます。

内部監査には、「自分の所属部署の監査はできない」というルールがあるのですが、他の部署の業務を知る機会にもなるので、他部署の業務への理解が深まります。

「どうしてこういうやり方をしているのかな?」とか「この作業方法は、すごくいいね」等、第三者の視点で質問を投げかけるからこそ大きな気づきを得られることがあります。その結果、セキュリティが甘い箇所を発見できたり、良いやり方があると「高評価」として社内に広めることができたりします。

監査結果が「不適合」となった場合は「指摘に対する対応」を行ないます。「発生の根本原因」および「再発防止改善策」を検討して実行した後に、同じ監査員によるフォローアップ監査を行っていき、「効果あり」となるまでこれを繰り返します。

実は現在、内部監査のまっただ中なんです。監査される人はルールマニュアルを見て質問に答えて良いのですが、やはり当日はドキドキします。

今年も無事に内部監査が終わりますように。

セキュリティポリシーをWebで公開しています!

Pocket
このエントリーをはてなブックマークに追加

コメントを書く

名前
必須