個別内部監査プログラムの作成における「各部署ごとに監査する規格番号を設定する」は、どういった基準に基づいて設定するべきでしょうか。
内部監査についての質問です。
①COM-B04-1.00-D03個別内部監査プログラムの作成には、「各部署ごとに監査する規格番号を設定する」というステップが必要です。
この設定はどういった基準に基づいて、どう設定するべきでしょうか。
②ISMSの規程と管理策を反映する「内部監査チェックリスト」があるが、内部監査の時、社内全部署合わせて、このチェックリストのすべての項目をカバーしなければならないでしょうか。
①に関してですが、これはISO27001で要求されている各事項に関連する人または部署が、設定の基準になります。
ISO27001にて、「トップマネジメントは…」など具体的な主語があれば、トップ等に対する要求事項となりますが、情報の取り扱い方や管理方法などにより、どの人や部署等が関連するのかは、組織により異なります。
見分け方の例としては、ISO27001の各要求事項が、「ISMSマニュアル」や「規程書」のどこに記載されているのかを把握します。次に、該当箇所の記述を確認し、「誰が」又は「どの部署」が、実施または遵守するように規定されているのかを把握します。これで、関連を見つけることができるかと思います。
②に関してですが、先の①で明確になった関連する要求事項のみで構いません。
なお、特に初回の審査では、ISMS文書の新規構築・運用となるので、全ての審査機関ではありませんが、暗黙の了解として適用範囲関連資料の組織図に記載したトップマネジメント(社長など)や部署などの全てが対象で全てを合わせてチェックリストの全ての項目をカバーするように言われてます。ご注意ください。