ISMSの内部監査員と事務局は兼任できますか?メンバーを同じにする際の注意点は?
「ISMS-B07-D01-001:ISMS推進体制図」に関してです。
内部監査委員会のメンバーと、推進事務局のメンバーを同じにしたいのですが、特に問題ないでしょうか?
体制構築における「兼任」の可否について回答申し上げます。
結論から申し上げますと、特に問題はございません。兼任をされても結構です。
ただし、体制図上で同じメンバーを配置すること自体は「可能」ですが、実際に監査を実施する際には、ISMSの規格(JIS Q 27001 9.2項)が求める「客観性および公平性」を担保するための運用上の工夫が必須となります。
具体的には、以下の点に注意して運用してください。
1. 「自分たちの仕事を自分で監査しない」が大原則
ISMSの規格では、「監査員は、自らの仕事を監査してはならない」と定められています。
サンプル文書の「情報セキュリティ運営管理規程」において、事務局は「ISMSの運用・是正に関する事務」や「教育訓練の実施」といった実務を担う役割とされています。そのため、事務局メンバーが「事務局としての活動(教育の実施記録や是正処置の管理状況など)」を監査してしまうと、監査の客観性が失われていると審査で指摘を受けるリスクがあります。
2. 兼任する場合の現実的な解決策(運用のコツ)
メンバーが限られている中で公平性を保つには、以下の2つのパターンが推奨されます。
- クロス監査(相互監査)の実施:
事務局内に複数名いる場合、Aさんが担当した業務(例:教育訓練)はBさんが監査し、Bさんが担当した業務(例:リスクアセスメントの事務)はAさんが監査するというように、担当を分けることで「自己監査」を回避します。 - 監査対象を限定する:
事務局メンバーは「各現場部門」の監査のみを担当し、事務局自体の運用状況については、情報セキュリティ委員(他部門の責任者)や、外部の専門家に依頼して監査してもらう方法です。
3. 体制図(ISMS-B07-D01-001)の記述について
体制図上、メンバーが重複していても不備ではありませんが、実務上の役割を明確にするため、以下のような補足をしておくと審査員の納得感が高まります。
- 役割の分離:
推進事務局は「ISMSの維持・管理」を、内部監査委員会は「ISMSの適合性・有効性の検証」を目的とすることを明確に区別して記載する。 - 選定基準:
内部監査員を選定する際、「当該監査対象の業務に直接関与していないこと」を条件とする旨を「内部監査管理規程」等に明記しておく。
まとめ
兼任は「効率的な運用」という観点で非常に有効ですが、「実務を動かす人(事務局)」と「それをチェックする人(監査員)」の立場を、監査実施の瞬間だけは明確に分けることが成功の鍵となります。
サンプル文書集における「内部監査管理規程」等の雛形でも、こうした公平性を保つためのルール作りが反映されておりますので、ぜひ併せてご確認ください。
