内部監査はJIS Q 19011に沿って行うことが推奨されています。「平林良人の部屋」に掲載されている「内部監査とマネジメントレビューに関する質問100選」に加え、内部監査でのポイントをJIS Q 19011:2019に沿って分かりやすく解説します。

C:監査の実施
ここでは内部監査の実施段階の質問を扱います。

【質問26
監査員の分野固有の知識、ISO/IEC 27001情報セキュリティマネジメント監査をするときの知識について教えてください。

【回答26
 1.ISO/IEC27001規格の知識

ISO/IEC 2701の最新版は、2013年に第2版として発行されました。ISO/IEC 27001は、組織が情報セキュリティマネジメントシステム(ISMS)を構築するために作成されました。ISMSは,リスクマネジメントを応用することによって組織の情報の機密を守り関係する人に組織外には情報を漏洩しない安心感を与えます。ISMSを,組織のマネジメント構造全体の一部として組み込むことは,情報セキュリティの確保で重要であるが、組織のニーズに合った規模で行うことを規格では要求しています。

規格の構造は、附属書L(旧名附属書SL)に従っているので、ISO 9001、ISO 14001、ISO 45001と共通となっていますが、分野固有部分は以下のように他の規格とは異なっています。

0 序文
適用範囲
2 引用規格
3 用語及び定義
4 組織の状況
    4.1 組織及びその状況の理解
    4.2 利害関係者のニーズ及び期待の理解
    4.3 情報セキュリティマネジメントシステムの適用範囲の決定
    4.4 情報セキュリティマネジメントシステム
5 リーダーシップ
6 計画
     6.1 リスク及び機会に対処する活動
        6.1.1 一般
        6.1.2 情報セキュリティリスクアセスメント
        6.1.3 情報セキュリティリスク対応
      6.2 情報セキュリティ目的及びそれを達成するための計画策定
7 支援
8 運用
     8.1 運用の計画及び管理
     8.2 情報セキュリティリスクアセスメント
     8.3 情報セキュリティリスク対応
9 パフォーマンス評価
     9.1 監視,測定,分析及び評価
     9.2 内部監査
     9.3 マネジメントレビュー
10 改善
    10.1 不適合及び是正処置
    10.2 継続的改善

ISO/IEC 27001規格が他の規格と異なるのは、「附属書A(規定)管理目的及び管理策」が付いていることです。これは、組織がISMSを導入する場合に参照する35の管理目的(目的ともいう)と114の管理策を一覧で示しているもので、組織が管理策を決める場合の参考に使うように規格本文で要求しているものです。次の項目から成っています。

・A.5 情報セキュリティのための方針群
・A.6 情報セキュリティのための組織
・A.7 人的資源のセキュリティ
・A.8 資産の管理
・A.9 アクセス制御
・A.10 暗号
・A.11 物理的及び環境的セキュリティ
・A.12 運用のセキュリティ
・A.13 通信のセキュリティ
・A.14 システムの取得、開発及び保守
・A.15 供給者関係
・A.16 情報セキュリティインシデント管理
・A.17 事業継続マネジメントにおける情報セキュリティの側面
・A.18 順守 

2.情報セキュリティに関する法の知識

ISO/IEC 27001には法律の要求事項を遵守しなければならないという要求があります。組織ごとカバーする情報範囲が供給する製品及びサービスなどにより異なりますので、当然適用される法律も異なります。情報セキュリティに関する法は最近制定されたものが多く、聞きなれない法律のため、法律の専門家でない限りすべてを理解することは困難ですが、以下のような法律(例です)の知識を持つことをお勧めします。

・電気通信事業法
・電子署名及び認証業務に関する法律
・高度情報通信ネットワーク社会形成基本法
・サイバーセキュリティ基本法
・不正アクセス行為の禁止等に関する法律
・不正競争防止法
・著作権法
・個人情報の保護に関する法律
・行政手続における特定の個人を識別するための番号の利用等に関する法律
・個人情報の保護に関する法律についてのガイドライン
・個人データの漏えい等の事案が発生した場合等の対応について
・特定個人情報の適正な取扱いに関するガイドライン
・特定電子メールの送信の適正化等に関する法律
・民間事業者等が行う書面の保存等における情報通信の技術の利用に関する法律

3.情報セキュリティに関する知識

情報セキュリティの対象は電子媒体だけではありませんが、電子化の進展に伴い容易に、かつ短時間で大量のデータを取得できるようになりました。また電子情報は目に見えないため、情報漏洩・盗難(インシデント)が発生しても、検知できなかったり、検知が遅れたりします。この結果、一件の情報セキュリティインシデントによって、会社の存続だけでなく、顧客・協力会社も巻き込んだ損失につながります。従って、他のマネジメントシステム以上に、情報セキュリティマネジメントシステムでは予防管理が重要です。しかしながら、日本の組織は、“そんなことを行う人はいない”と楽観視する風土があり、インシデントが顕在化またはヒヤリハットを経験しないと予防管理の重要性に気付かないケースが多いのですが、それでは手遅れです。以下の用語について知識を持つことをお勧めします。

(1) 情報セキュリティ(information security)
情報の機密性,完全性及び可用性を維持すること。さらに,真正性,責任追跡性,否認防止,信頼性などの特性を維持することを含めることもある。

(2) 機密性(confidentiality)
情報について秘密を守ることを求めている特性である。定義では“開示しない”ことだけでなく“使用させない”ことも示している点に注意が必要である。“エンティティ”とは、辞書では“実在物、実態、本体、自主独立体など”とされている。情報へのアクセスを許可する対象には、個人だけでなく組織や団体、コンピュータシステム、通信機器など、多様なエンティティが存在する。

(3) 完全性(integrity)
過失・災害を含め権利を有さない相手から情報資産を改ざんされたり破壊されたりしないようにすることを指す。組織が保有する情報に正確さや完全さを欠くと、組織や個人に不利益をもたらすなどの事態につながる可能性がある。正確さは、何に対して正確であるか、その基準を明確にしておく必要がある。

(4) 可用性(availability)
認可されたエンティティであれば情報が使いたいときに使えるという特性である。情報の可用性は、それを保有したり伝達したりする機器が使いたいときに使えることにより確保される。

(5) 真正性(authenticity)
エンティティは,それが主張するとおりのものであるという特性

(6) 否認防止(non-repudiation)
主張された事象又は処置の発生,及びそれらを引き起こしたエンティティを証明する能力

(7) 信頼性(reliability)
意図する行動と結果とが一貫しているという特性

(8) 情報セキュリティ事象(information security event)
情報セキュリティ方針への違反若しくは管理策の不具合の可能性,又はセキュリティに関係し得る未知の状況を示す,システム,サービス若しくはネットワークの状態に関連する事象

(9) 情報処理施設,情報処理設備(information processing facilities)
あらゆる情報処理のシステム,サービス若しくは基盤,又はこれらを収納する物理的場所

(10) 脅威(threat
システム又は組織に損害を与える可能性がある,望ましくないインシデントの潜在的な原因

(11) ぜい弱性(vulnerability)
一つ以上の脅威によって付け込まれる可能性のある,資産又は管理策の弱点

(12) アクセス制御(access control)
資産へのアクセスが,事業上及びセキュリティの要求事項に基づいて認可及び制限されることを確実にする手段

(次号へつづく)

ISO関連用語解説「19011とは」はこちらから