CTO室情報システム担当の吉澤です！

前回ISMSとPマークの違いについて 書かせていただきました。 今回も引き続き紹介させていただきます。

先日、ISMSの内部監査を行いました。ROXXでは2回目、私のキャリアとしては初の監査となりました。

今回の記事ではこの内部監査にお話します。

監査に必要なタスクの洗い出し

監査に備え、必要なタスクを洗い出しました。

マインドマップを利用したので、イメージをつかんでいただければと思います。

このマインドマップで全体のタスク量を把握しつつ順に準備を進めていきました。

各部署へのヒアリング内容

具体的な業務は各部署ごとにヒアリングをしながら項目の確認をすすめていきます。

ヒアリング内容は主に3点を担当しました。

• 情報資産の洗い出し
• リスクアセスメント
• 教育

3点とはいえ業務としては多岐にわたっていたので、作業として最も時間を要したリスク管理について書いてみたいと思います。

リスク管理について リスクアセスメントでは、生じる恐れがあるすべてのリスクを想定します。

次に、リスクごとに発生頻度、業務・会社への影響度を設定していきます。

そして、発生頻度と影響度が高いリスクについて、対策を年内実施する計画としてタスクに落とし込みます。

今回は内部監査の日程が控えていたため、発生頻度と影響度が高いと想定されたもののうち、内部監査までに対応できそうなものを中心にすすめてきました。

承認フローの見直しなど内部監査に間に合わない、長期的に実施するべきもの については年次の計画の中で対応してく予定です。

内部監査を実施した印象

私の実務としてはリスク管理に関してオペレーションに最も時間がかかったのですが、内部監査では、情報区分、教育、手順やプライバシーポリシー及び情報セキュリティ方針の運用状況について指摘される事項が多かったです。

事前の自分のイメージと現実のずれも感じとても勉強になりました。

最後に ROXXではAgent Bank、Back Checkとサービス及び組織が急拡大しています。

このような状況の中でISMSの内部監査を体験できたことは、自分にとって大きな経験となりました。

ISMSについては引き続き本番の審査、年次計画もあるので、継続的な運用に努めていきます。