★☆★JNSAメールマガジン 第194号 2020.9.4☆★☆

こんにちは
JNSAメールマガジン 第194号 をお届けします。
JNSAのホームページでもご覧いただけます。
JNSAメールマガジン 
https://www.jnsa.org/aboutus/ml.html#passed

コラム最後にワンクリックアンケートがあります。
ぜひこのコラムの感想をお寄せください。

今回のメールマガジンはJNSA日本ISMSユーザグループリーダーの魚脇雅晴様にご寄稿いただきました。

【連載リレーコラム】
リモートワーク時代におけるISMSの内部監査&外部審査についてのご紹介

日本ISMSユーザグループ リーダー 魚脇 雅晴


例年だと対面実施が当たり前の内部監査や外部審査ですが、従業員のほとんどが自宅という状況に合わせてリモートで実施されました。オフィスに出社することがあっても出社する人数を制限することで同じチームが一同に会することは避けるなどの対策がなされている中でどのようにして内部監査&外部審査を大きな混乱なく実施出来たのか事例を交えてご紹介させて頂きます。

まず対面とリモートとの違いからみていきましょう。
通常は文書確認&ヒアリングした結果を対面で紙媒体のエビデンスや個別システムなどを現場確認しますが、リモートの場合はできません。たまたま被監査組織のメンバーが出社していた場合にはカメラで写すことで確認出来ますが制限されます。そのためにヒアリングで詳細な確認を実施する必要があります。
また、突発的な事象が発生した場合に相談しながら進めることが難しいので事前準備が極めて重要となります。

また、タイムマネジメントが難しいという側面もあります。Web会議がベースとなるので資料提示に一定の時間がかかります。対面だと資料の一覧からこれという指示が出来ますが、リモートだと意図が伝わり難くなります。

リモートの特性から事前準備が非常に重要なポイントとなりますが、準備作業として下記の項目が挙げられます。

1)被監査組織に関する情報の入手
・インプット情報を事前に入手することでリスクの高い業務から優先度をつけて確認を実施できるようにする(重点確認項目の事前決定、タイムマネジメント)

2)会議設定の準備
Web会議の設定を被監査組織毎に個別に設定するのではなく一括して事務局でセットすることで設定漏れ等の混乱を少なくする

・利用するWeb会議が ゲスト招待する外部審査員の環境で利用可能か事前確認しておく
・会議の開設、オープニング、監査、クロージング等の流れや注意事項をまとめた全体像を提示し、事前説明を実施する
・外部審査の場合は被監査組織が設定したWeb会議にゲスト招待となるのでセキュリティの観点から一旦待合室で待機してもらい、主催者側の承諾で入室するようにする
・Web会議にハプニングはつきものなので予め責任者の連絡先を通知し、誰の指示でPCの再起動や映像のオフなどの対応を行うかスクリプトを示しておく

3)事前説明会や 内部監査員研修でリモート監査のやり方をレクチャー
・タイムマネジメントの仕方(リスクの高い重要業務から確認、質問に対しての回答やエビデンス提示に時間がかかる場合には別途確認など)も含めた内容とする

4)その他(ひと工夫)
・手書きサイン文書からの脱却
エビデンスとして残るメールやチャットなどの手段で承認を得て承認欄に手書きではなくテキストで名前入力する(AfterコロナもこれでOK)
・内部監査と違い現場の状況を把握されていない外部審査員向けに事前に撮影した現場写真などを提示することでどのような現場で業務が実施されているか状況把握がしやすくする
・初めての審査員の方の場合には必要に応じてカメラに名刺を映して頂くことで本人確認する

最後にリモートの監査・審査のメリット、デメリットを振り返りたいと思います。

まずはデメリットですが、確認出来る範囲が限定されるという本質的なことに加えてシステムの不具合との戦い(トラフィックとの戦い)が挙げられます。
通信環境が悪いと繋がらない、音声が途切れる、マイクが表示されない、突然切断されるなどということがWeb会議にはつきものです。そういう時にも慌てずに対応出来るようにスマホアプリでのWeb会議や最悪のケースでは音声通話などの別手段を用意することでBCP対策すれば安心できます。

次にメリットですが、意外とありました。物理的制約からの解放、距離の制約からの解放、移動時間ゼロの自由度(東京→九州→北海道が自由に移動して監査が可能)です。従来ならば参加出来なかった業務のキーマンが直前までお客様対応していても監査に参加可能となったことは大きな魅力です。物理的空間の制限からの解放としてはこれまで会議室の座席数の関係で参加出来なかったメンバーも参加可能となります。最終報告会のクロージングミーティングにおいて40~50人でも余裕で参加することが出来、審査員の指摘を直接聞くことで刺激を受ける事が出来るというメリットも享受出来ました。

Afterコロナでもリモート監査・審査の要素を加えながらワークスタイルを変革するのも楽しみの一つになってきました。

 

#連載リレーコラム、ここまで

<お断り>本稿の内容は著者の個人的見解であり、所属企業及びその業務と関係するものではありません。

<ワンクリックアンケートお願い>
今回のメールマガジン第194号の感想をお寄せください。
https://ux.nu/6K3Pj
※googleアンケートフォームを利用しています。


☆コラムに関するご意見、お問い合わせ等はJNSA事務局までお願いします。

jnsa-mail
============================================================

☆メールマガジンの配信停止は以下URLの「解除」よりお手続き下さい。
配信停止連絡 <http://www.jnsa.org/aboutus/ml.html>

*************************************
JNSAメールマガジン 第194号
発信日:2020年9月4日
発 行:JNSA事務局 jnsa-mail
*************************************
Copyright (C) Japan Network Security Association. All rights reserved.