ファイコムでは、様々なお客様の重要情報保護のため、2019 年にISMS(ISO/IEC27001)を取得し、現在も運用を続けています。
ファイコムが取得・運用しているISMS(ISO/IEC 27001)について
今回はその取り組みの一部である、「内部監査」について、簡単にご紹介します。
ISMS の内部監査を行う目的
ISMS の内部監査を行う目的は、主に以下の2 つです。
1つ目は、「適合性の判定」。
これは「定められたルール通りに仕事が回せているかを確認する」、ということです。
2つ目は、「有効性の判定」
これは「現在のルールや文書が有効かを確認する」、ということです。
まず、ISMS の運用を始めたての頃は、「全社員がルールを理解し、厳守して仕事ができているか」を重視して判断します。そのため、「適合性の判定」をメインに内部監査を行います。
運用に慣れてきたら、今度は「社内のルールや使っている文書の内容が適切か」を重視して判断します。そのため、「有効性の判定」をメインに内部監査を行います。
このように、内部監査の視点を適合性から有効性へと移していくことで、ISMSの目的が見失われてルールだけが残ってしまう、といった状況を防ぐことができます。
ファイコムでの「内部監査」の取り組み
2022 年まではファイコムでも「適合性の判定」をメインに全部門に対して「内部監査チェックシート」を作成し、規定・手順書に対し、ルールの理解・厳守ができているかを確認することで内部監査を行ってきました。
しかし、ISMS 運用4 年目になる2023 年は内部監査の方法を大きく変更し、「有効性の判定」をメインに「内部監査ヒアリングシート」を作成し、現在の内外的な課題に対して社内ルールや文書の内容が適切かを確認する新しい方法を取りました。
今回の方法ではより詳細な検討を行うため一部門に絞って、
- 現状の社内ルールでできている対策の見直し
- 現存の対策では対応できていないリスクの洗い出し
- 今後必要な対策の検討
- リスクとコストを鑑みた最終的な判断
を全社員で確認することで内部監査を行いました。
実際にどのようなことが起こりうるのか、どう対応できるのか、全社員で様々な視点の意見が飛び交い、今までのルールではカバーしきれていなかった点や新たな発見が得られ、より適切な運用への改善に一歩近づいたと思います。
このようにファイコムではお客様に提供するコンテンツやシステムの制作過程から運用実施において、「間違いない」信頼関係を築けるよう日々ISMSの運用に取り組んでいます。
また、もしもの緊急時にはどこより速い復旧が可能な仕組みと組織にレベルアップすることを目指し、様々な取り組みにチャレンジ中!
我々の取り組みについて、ご興味がありましたら、ぜひ担当者にお声がけください!
参考:ISMSの内部監査とは?目的や進め方、注意点を紹介
S.O
