第99回 ISMS運用中です4(内部監査)
お世話になっております。プログラマーのSです。
秋晴れの空に、色づき始めた木々が映える季節となりました。
スケジュールが立て込みまして、しばらくぶりの更新となりました。
おかげ様で、東日本大震災への寄付や、東北応援!を兼ねた社員旅行実施といった話題も、
年末のブログに掲載できそうです。
さて、何度かお伝えしております、
ISMS(情報セキュリティマネジメントシステム)の運用についてですが、
先日、今年2回目の内部監査が行われました。
監査については、内部監査員を毎回社員の中から2名選抜して行っています。
ほぼ全員が監査員を経験し、今回の監査員は、2度目の監査になります。
一度目の経験をいかして、より掘り下げた確認内容、
また今まであたってこなかった事項の確認などに努めました。
こちらをご覧の皆様にも、ぜひ知って頂きたい内容を抜粋してみました。
少しでもご参考になればと思います。
【写真:経営者へのISMS運用確認の様子】
・経営者への確認
経営者に対しても、しっかり運用や残留リスクの確認が行われ、
また新しい懸念事項についても意見交換が行われております。
→情報セキュリティや社内に潜むリスクに対して、「担当者まかせで把握していない」
という状況はございませんでしょうか?
担当者は問題ないと感じていても、経営者からすれば「事業継続のリスクになる!」という事象もございます。
相互に状況を把握し、事前に対策や計画を立てることは重要です。
【写真:社員へのパソコンの状態の確認】
こちらは、情報やセキュリティに関するルールが守られているか?
実際に社員のパソコンの確認作業と、社員へ質問をしている様子です。
例えば・・・
・確認事項1
Adobe Flash Player / Adobe PDF Reader / Java ・・・等のソフトが最新のバージョンであるか?
の確認を行なっております。
→「あまりパソコンを使わないから大丈夫」
「インターネットをほとんどやらないから大丈夫」という事はございません。
インターネットをみたり、データファイルを開いたり。私たちは日常的に「ソフトウェア」を利用しております。
こういったソフトウェアの脆弱性を狙ったウィルスから守るには、ウィルス対策ソフトだけでなく、
利用するソフトウェアも最新の状態にしておく事も、大変重要な事です。
・確認事項2
離席の際は、ロック付スクリーンセーバーをかけているか?自動でかかる時間は15分以内か?
→画面に情報を残したままという事は大変危険です。
弊社では、事務所内に入るにも入退室許可がないとお通しできませんが、
人が多い、また出入りが多い事務所ならなおさらです。
OSがウィンドウズならば「Windowsキー」+「L」で簡単にロックする事が出来ます。
・質問事項1
「お客様へ重要なデータをメールでお送りする場合、どのような手順で行なっているか?」
→当社では、データをZipファイルに圧縮し、パスワードで保護した上で送信。
パスワードは別メールで再度送信しております。
情報の流失は、どこで発生するかわかりません。
誤ってメールの送り先を間違えてなどいないか?また送られた先でも、簡単に誰でも閲覧ができないよう、
メールの送信には慎重にならなければなりません。
【写真:経理・総務への確認の様子】
今回は特に、経理・総務に関して監査が行われました。
・経理/総務担当者への確認
社内の各申請書や契約書類に不備がないか?
給与や財務データのバックアップが、手順どおりとられているか?
確認作業をしております。
→パソコンやソフトが故障した際、復旧には多額の費用がかかります。
また完全復旧するとも限りません。
バックアップの手間と費用を、情報消失のリスクに対して考えた時に、
最適な対応策は行われていますでしょうか?
バックアップする媒体自体の故障・不良・紛失に対するリスクも考える必要がございます。
また、担当者が変更になった場合の、ソフトウェアのパスワード変更なども見落としがちです。
さらに今回は、通常2名の内部監査員(入社3年目以上の社員)+新人社員も参加する事で、
社内の情報教育にも役立てるよう行われました。
初めて監査に参加した新人社員の感想も掲載させて頂きます。
入社前はISMSについてまったくと言っていいほど理解していませんでしたが、
今回の内部監査員をさせていただくことにより、
業務内容とISMSのつながりについて理解することができました。
例えば、入退館記録簿や預り・返却証、 持ち出し パソコンチェック表を記入していますが
それらはすべて手順書が定められており、情報セキュリティを守るために行っています。
内部監査を行うことで、社員の情報セキュリティモラルが維持できていると思いました。
実際の監査を通じて、より深く理解が得られたと思います。
やはり、情報に携わる以上、全員が認識をもって、日々の運用にあたることが大切だと感じます。
以上、監査の一部をご紹介させて頂きました。
IT技術について、どうしても「便利」や「安さ」ばかりに目がいってしまいますが、
それに伴うバックアップの重要性や、トラブルやリスクを予測し、お伝えすること。
それに対する対応と認識、運用ルールを作った上で利用して頂く事が、
お客様と弊社にとって、良い状態であると考えております。
年末に向けて、いま一度、社内の情報セキュリティの再確認をお奨め致します。
以上、ISMS運用中です4(内部監査)をお伝えしました。