監査の舞台
架空のソフトウェア開発人材派遣業を主な事業とする「(株)テクノヒューマンソリューションズ」の社員として、あなたは内部監査員メンバーに選出されて、これから他のメンバーとともに内部監査に取り組むことになりました。
内部監査先は人材サービス事業部です。ISMS並びに情報セキュリティ管理状況を確認するために、次の4つの事前情報を入手することができました。
内部監査先は人材サービス事業部です。ISMS並びに情報セキュリティ管理状況を確認するために、次の4つの事前情報を入手することができました。
【事前入手情報】
1.主な業務は派遣先となる企業の発掘、契約まで行い、人材サービス事業部に引継ぎを行う。
2.顧客情報やマーケティング分析資料等の情報資産を保有しており、営業活動のため各自モバイルPCを出張、外出先に携行している。
3.モバイルPCを持つ社員は、外出先から社内サーバにアクセスする権限を与えられているが、監査の前月に顧客訪問先近くのカフェにパスワードを解除したままのPCを置き忘れて帰社してしまうというインシデントが発生していることが事前の情報収集で判明した。
4.顧客とのデータ授受については、最近営業部で契約した外部クラウドサービスの利用を推進していると聞いている。
ISMSマニュアル(抜粋)
7.2 力量
管理部は当社全社員に対して、人材サービス事業部は派遣契約者に対して、以下のことを行う。
a) 情報セキュリティパフォーマンスを維持するためのISMS教育を年1回実施する。新入社員及び新規派遣契約者には契約締結時に実施する。
b) 当社マニュアル及び規則等の改定や重要な法令改正、その他当社ISMSに影響を与える変更があった場合は、その都度、教育が必要な要員に対し理解させる。
c) 有効性評価のため、教育後3か月以内に業務での適用状況をアンケート調査する。
d) 教育後は「教育実施記録」を起票し保存、有効性評価結果はその記録に追記する。
8.2 情報セキュリティリスクアセスメント
各部は、毎年4月に情報セキュリティリスクアセスメントを実施する。これ以外にも重大な変更・変化が生じた場合には、その都度情報セキュリティリスクアセスメントを実施する。
実施したアセスメント結果は「リスクアセスメントシート(情報)」に記入し保存する。
8.3 情報セキュリティリスク対応
各部は、8.2のアセスメント結果に基づき定めたリスク対応計画を実施する。
実施したリスク対応結果は「リスク対応表(情報)」に記入し保存する。
管理部は当社全社員に対して、人材サービス事業部は派遣契約者に対して、以下のことを行う。
a) 情報セキュリティパフォーマンスを維持するためのISMS教育を年1回実施する。新入社員及び新規派遣契約者には契約締結時に実施する。
b) 当社マニュアル及び規則等の改定や重要な法令改正、その他当社ISMSに影響を与える変更があった場合は、その都度、教育が必要な要員に対し理解させる。
c) 有効性評価のため、教育後3か月以内に業務での適用状況をアンケート調査する。
d) 教育後は「教育実施記録」を起票し保存、有効性評価結果はその記録に追記する。
8.2 情報セキュリティリスクアセスメント
各部は、毎年4月に情報セキュリティリスクアセスメントを実施する。これ以外にも重大な変更・変化が生じた場合には、その都度情報セキュリティリスクアセスメントを実施する。
実施したアセスメント結果は「リスクアセスメントシート(情報)」に記入し保存する。
8.3 情報セキュリティリスク対応
各部は、8.2のアセスメント結果に基づき定めたリスク対応計画を実施する。
実施したリスク対応結果は「リスク対応表(情報)」に記入し保存する。
< 情報セキュリティ管理規則 >
A-5-1 購買・業務委託
各部は、外部から製品・サービス供給を受ける又は業務委託を行う場合「購買・外部委託規程」に基づき、情報セキュリティリスクの管理を行い、委託先ごとに情報セキュリティ要求事項を定め、合意し、契約する。
A-5-2 インシデント管理
各部は、情報セキュリティインシデントが発生した場合、速やかにISMS管理責任者に報告する。その後は「インシデント管理手順」に従って対応する。
A-5-3 PIIの保護
管理部および人材サービス事業部は、採用・契約時に授受されるPII(個人識別可能情報)が含まれる履歴書・経歴書・契約書は、高機密文書として権限の与えられた要員のみがアクセスできる鍵付きの機密ロッカー庫に保管する。
A-6-1 リモートワーク
外出先や在宅での業務は、管理部に申請して機能を制限されたモバイルPCの貸与を受けることにより承認される。管理部は、認められた要員に対して「リモート就業規則」に従って勤怠管理を行う。
A-7-1 セキュリティエリア区分
当社の情報セキュリティエリアは以下のレベルに区分されている。当社の情報資産は、その機密レベルに応じて適切に管理する。
・レベル1:共用エリア(受付入口、打合せコーナ―)
・レベル2:業務エリア(事務所内職員机)
・レベル3:管理エリア(事務所内サーバ室、機密ロッカー庫、社長室)
A-8-1 モバイルPCの利用
モバイルPCを貸与された要員は、「モバイルPC利用規則」を順守した行動に努める。特に外出時は電源を入れた状態でPCから離れてはならず、周囲に画面表示内容を知られてはならない。
A-5-1 購買・業務委託
各部は、外部から製品・サービス供給を受ける又は業務委託を行う場合「購買・外部委託規程」に基づき、情報セキュリティリスクの管理を行い、委託先ごとに情報セキュリティ要求事項を定め、合意し、契約する。
A-5-2 インシデント管理
各部は、情報セキュリティインシデントが発生した場合、速やかにISMS管理責任者に報告する。その後は「インシデント管理手順」に従って対応する。
A-5-3 PIIの保護
管理部および人材サービス事業部は、採用・契約時に授受されるPII(個人識別可能情報)が含まれる履歴書・経歴書・契約書は、高機密文書として権限の与えられた要員のみがアクセスできる鍵付きの機密ロッカー庫に保管する。
A-6-1 リモートワーク
外出先や在宅での業務は、管理部に申請して機能を制限されたモバイルPCの貸与を受けることにより承認される。管理部は、認められた要員に対して「リモート就業規則」に従って勤怠管理を行う。
A-7-1 セキュリティエリア区分
当社の情報セキュリティエリアは以下のレベルに区分されている。当社の情報資産は、その機密レベルに応じて適切に管理する。
・レベル1:共用エリア(受付入口、打合せコーナ―)
・レベル2:業務エリア(事務所内職員机)
・レベル3:管理エリア(事務所内サーバ室、機密ロッカー庫、社長室)
A-8-1 モバイルPCの利用
モバイルPCを貸与された要員は、「モバイルPC利用規則」を順守した行動に努める。特に外出時は電源を入れた状態でPCから離れてはならず、周囲に画面表示内容を知られてはならない。
演習の進め方
次のページからは監査員(あなた)と被監査者の会話が表示されます。
ある程度会話が進んだ、資料が呈示された際に「監査員として次に発言する内容としてもっともふさわしいもの」を選択する設問に解答していただきます。
最終的に不適合の事実までたどり着くと、監査基準であるISMSマニュアル又は情報セキュリティ管理規則のどの箇条との不適合になるか箇条番号を記入します。
この人材サービス事業部では1つの不適合を摘出していただきます。