第99回 ISMS運用中です4(内部監査)

お世話になっております。プログラマーのSです。
秋晴れの空に、色づき始めた木々が映える季節となりました。

スケジュールが立て込みまして、しばらくぶりの更新となりました。
おかげ様で、東日本大震災への寄付や、東北応援!を兼ねた社員旅行実施といった話題も、
年末のブログに掲載できそうです。

さて、何度かお伝えしております、
ISMS(情報セキュリティマネジメントシステム)の運用についてですが、
先日、今年2回目の内部監査が行われました。


監査については、内部監査員を毎回社員の中から2名選抜して行っています。
ほぼ全員が監査員を経験し、今回の監査員は、2度目の監査になります。

一度目の経験をいかして、より掘り下げた確認内容、
また今まであたってこなかった事項の確認などに努めました。


こちらをご覧の皆様にも、ぜひ知って頂きたい内容を抜粋してみました。
少しでもご参考になればと思います。


【写真:経営者へのISMS運用確認の様子】

・経営者への確認
経営者に対しても、しっかり運用や残留リスクの確認が行われ、
また新しい懸念事項についても意見交換が行われております。

→情報セキュリティや社内に潜むリスクに対して、「担当者まかせで把握していない
という状況はございませんでしょうか?
担当者は問題ないと感じていても、経営者からすれば「事業継続のリスクになる!」という事象もございます。
相互に状況を把握し、事前に対策や計画を立てることは重要です。


【写真:社員へのパソコンの状態の確認】

こちらは、情報やセキュリティに関するルールが守られているか?
実際に社員のパソコンの確認作業と、社員へ質問をしている様子です。

例えば・・・

・確認事項1
Adobe Flash Player / Adobe PDF Reader / Java ・・・等のソフトが最新のバージョンであるか?
の確認を行なっております。

→「あまりパソコンを使わないから大丈夫
インターネットをほとんどやらないから大丈夫」という事はございません。
インターネットをみたり、データファイルを開いたり。私たちは日常的に「ソフトウェア」を利用しております。
こういったソフトウェアの脆弱性を狙ったウィルスから守るには、ウィルス対策ソフトだけでなく、
利用するソフトウェアも最新の状態にしておく事も、大変重要な事です。

・確認事項2
離席の際は、ロック付スクリーンセーバーをかけているか?自動でかかる時間は15分以内か?

→画面に情報を残したままという事は大変危険です。
弊社では、事務所内に入るにも入退室許可がないとお通しできませんが、
人が多い、また出入りが多い事務所ならなおさらです。
OSがウィンドウズならば「Windowsキー」+「L」で簡単にロックする事が出来ます。

・質問事項1
「お客様へ重要なデータをメールでお送りする場合、どのような手順で行なっているか?」

→当社では、データをZipファイルに圧縮し、パスワードで保護した上で送信。
パスワードは別メールで再度送信しております。
情報の流失は、どこで発生するかわかりません。
誤ってメールの送り先を間違えてなどいないか?また送られた先でも、簡単に誰でも閲覧ができないよう、
メールの送信には慎重にならなければなりません。


【写真:経理・総務への確認の様子】

今回は特に、経理・総務に関して監査が行われました。

・経理/総務担当者への確認
社内の各申請書や契約書類に不備がないか?
給与や財務データのバックアップが、手順どおりとられているか?
確認作業をしております。

→パソコンやソフトが故障した際、復旧には多額の費用がかかります。
また完全復旧するとも限りません。
バックアップの手間と費用を、情報消失のリスクに対して考えた時に、
最適な対応策は行われていますでしょうか?
バックアップする媒体自体の故障・不良・紛失に対するリスクも考える必要がございます。
また、担当者が変更になった場合の、ソフトウェアのパスワード変更なども見落としがちです。


さらに今回は、通常2名の内部監査員(入社3年目以上の社員)+新人社員も参加する事で、
社内の情報教育にも役立てるよう行われました。

初めて監査に参加した新人社員の感想も掲載させて頂きます。



入社前はISMSについてまったくと言っていいほど理解していませんでしたが、
今回の内部監査員をさせていただくことにより、
業務内容とISMSのつながりについて理解することができました。

例えば、入退館記録簿や預り・返却証、 持ち出し パソコンチェック表を記入していますが
それらはすべて手順書が定められており、情報セキュリティを守るために行っています。

内部監査を行うことで、社員の情報セキュリティモラルが維持できていると思いました。


実際の監査を通じて、より深く理解が得られたと思います。
やはり、情報に携わる以上、全員が認識をもって、日々の運用にあたることが大切だと感じます。

以上、監査の一部をご紹介させて頂きました。

IT技術について、どうしても「便利」や「安さ」ばかりに目がいってしまいますが、
それに伴うバックアップの重要性や、トラブルやリスクを予測し、お伝えすること。

それに対する対応認識運用ルールを作った上で利用して頂く事が、
お客様と弊社にとって、良い状態であると考えております。

年末に向けて、いま一度、社内の情報セキュリティの再確認をお奨め致します。

以上、ISMS運用中です4(内部監査)をお伝えしました。

お問い合わせ方法について

お電話・FAXでのお問い合わせ

024-963-2150 024-959-1111
受付時間 9:00~18:00(土・日・祝祭日、弊社規定の休業日を除きます)

オンラインからのお問い合わせ