★☆★JNSAメールマガジン 第194号 2020.9.4☆★☆
2020/09/04 (Fri) 15:45
★☆★JNSAメールマガジン 第194号 2020.9.4☆★☆
こんにちは
JNSAメールマガジン 第194号 をお届けします。
JNSAのホームページでもご覧いただけます。
JNSAメールマガジン https://www.jnsa.org/aboutus/ml.html#passed
コラム最後にワンクリックアンケートがあります。
ぜひこのコラムの感想をお寄せください。
今回のメールマガジンはJNSA日本ISMSユーザグループリーダーの魚脇雅晴様に
ご寄稿いただきました。
【連載リレーコラム】
リモートワーク時代におけるISMSの内部監査&外部審査についてのご紹介
日本ISMSユーザグループ リーダー 魚脇 雅晴
例年だと対面実施が当たり前の内部監査や外部審査ですが、従業員のほとんど
が自宅という状況に合わせてリモートで実施されました。オフィスに出社する
ことがあっても出社する人数を制限することで同じチームが一同に会すること
は避けるなどの対策がなされている中でどのようにして内部監査&外部審査を
大きな混乱なく実施出来たのか事例を交えてご紹介させて頂きます。
まず対面とリモートとの違いからみていきましょう。
通常は文書確認&ヒアリングした結果を対面で紙媒体のエビデンスや個別シス
テムなどを現場確認しますが、リモートの場合はできません。たまたま被監査
組織のメンバーが出社していた場合にはカメラで写すことで確認出来ますが制
限されます。そのためにヒアリングで詳細な確認を実施する必要があります。
また、突発的な事象が発生した場合に相談しながら進めることが難しいので事
前準備が極めて重要となります。
また、タイムマネジメントが難しいという側面もあります。Web会議がベース
となるので資料提示に一定の時間がかかります。対面だと資料の一覧からこれ
という指示が出来ますが、リモートだと意図が伝わり難くなります。
リモートの特性から事前準備が非常に重要なポイントとなりますが、準備作業
として下記の項目が挙げられます。
1)被監査組織に関する情報の入手
・インプット情報を事前に入手することでリスクの高い業務から優先度をつけ
て確認を実施できるようにする(重点確認項目の事前決定、タイムマネジメント)
2)会議設定の準備
Web会議の設定を被監査組織毎に個別に設定するのではなく一括して事務局で
セットすることで設定漏れ等の混乱を少なくする
・利用するWeb会議が ゲスト招待する外部審査員の環境で利用可能か事前確
認しておく
・会議の開設、オープニング、監査、クロージング等の流れや注意事項をまと
めた全体像を提示し、事前説明を実施する
・外部審査の場合は被監査組織が設定したWeb会議にゲスト招待となるので
セキュリティの観点から一旦待合室で待機してもらい、主催者側の承諾で
入室するようにする
・Web会議にハプニングはつきものなので予め責任者の連絡先を通知し、誰の
指示でPCの再起動や映像のオフなどの対応を行うかスクリプトを示しておく
3)事前説明会や 内部監査員研修でリモート監査のやり方をレクチャー
・タイムマネジメントの仕方(リスクの高い重要業務から確認、質問に対して
の回答やエビデンス提示に時間がかかる場合には別途確認など)も含めた内容
とする
4)その他(ひと工夫)
・手書きサイン文書からの脱却
エビデンスとして残るメールやチャットなどの手段で承認を得て承認欄に
手書きではなくテキストで名前入力する(AfterコロナもこれでOK)
・内部監査と違い現場の状況を把握されていない外部審査員向けに事前に撮影
した現場写真などを提示することでどのような現場で業務が実施されているか
状況把握がしやすくする
・初めての審査員の方の場合には必要に応じてカメラに名刺を映して頂くこと
で本人確認する
最後にリモートの監査・審査のメリット、デメリットを振り返りたいと思いま
す。
まずはデメリットですが、確認出来る範囲が限定されるという本質的なことに
加えてシステムの不具合との戦い(トラフィックとの戦い)が挙げられます。
通信環境が悪いと繋がらない、音声が途切れる、マイクが表示されない、突然
切断されるなどということがWeb会議にはつきものです。そういう時にも慌てず
に対応出来るようにスマホアプリでのWeb会議や最悪のケースでは音声通話など
の別手段を用意することでBCP対策すれば安心できます。
次にメリットですが、意外とありました。物理的制約からの解放、距離の制約
からの解放、移動時間ゼロの自由度(東京→九州→北海道が自由に移動して監
査が可能)です。従来ならば参加出来なかった業務のキーマンが直前までお客
様対応していても監査に参加可能となったことは大きな魅力です。物理的空間
の制限からの解放としてはこれまで会議室の座席数の関係で参加出来なかった
メンバーも参加可能となります。最終報告会のクロージングミーティングにお
いて40~50人でも余裕で参加することが出来、審査員の指摘を直接聞くことで
刺激を受ける事が出来るというメリットも享受出来ました。
Afterコロナでもリモート監査・審査の要素を加えながらワークスタイルを変
革するのも楽しみの一つになってきました。
#連載リレーコラム、ここまで
<お断り>本稿の内容は著者の個人的見解であり、所属団体及びその業務と
関係するものではありません。
<ワンクリックアンケートお願い>
今回のメールマガジン第194号の感想をお寄せください。
https://ux.nu/6K3Pj
※googleアンケートフォームを利用しています。
【部会・WGからのお知らせ】
★JNSA『みんなの「サイバーセキュリティコミック」』9月中旬よりTwitter
で配信開始!原作担当作家は大島 悠( @haruka_red )先生、作画担当作家は
花園 あずき(@genjihikaru)先生です!ご期待下さい!
『みんなの「サイバーセキュリティコミック」』https://www.jnsa.org/comic/
JNSA twitter https://twitter.com/jnsa
★JNSAソリューションガイド活用WGによる「緊急事態宣言解除後のセキュリ
ティチェックリスト」とソリューションガイド対応検索を公開しました。
https://www.jnsa.org/telework_support/telework_security/solutionguide.html
★「CTF for GIRLS」では、9月18日に第14回女性向けCTFワークショップを
オンライン開催します。参加登録の締め切り間近です!
https://www.seccon.jp/2020/
【事務局からのお知らせ】
★JNSAインターンシップに秋期イベントの情報を掲載しています。
https://www.jnsa.org/internship/
定員に達し次第、締め切られますのでお申し込みはお早めに!
★2021年1月と3月のCISSPトレーニングがオンライン開催されます。
SANSトレーニング10月開催も受付中です。
JNSA会員の方は割引価格で受講できますので、ぜひご検討ください。
★テレワークから通常のオフィス勤務に戻るときに活用ください!
「緊急事態宣言解除後のセキュリティ・チェックリスト」
https://www.jnsa.org/telework_support/telework_security/index.html
★JNSA事務局を騙った詐欺事件が相変わらず頻発しています。
当協会から弁護士費用を請求したり、金銭受取の念書を発行することは一切
ありませんので、不審な点がありましたら当協会まで直接お問合せ下さい。
☆コラムに関するご意見、お問い合わせ等はJNSA事務局までお願いします。
office@jnsa.org
☆メールマガジンの配信停止は以下URLの「解除」よりお手続き下さい。
配信停止連絡 <http://www.jnsa.org/aboutus/ml.html>
*************************************
JNSAメールマガジン 第194号
発信日:2020年9月4日
発 行:JNSA事務局 office@jnsa.org
*************************************
こんにちは
JNSAメールマガジン 第194号 をお届けします。
JNSAのホームページでもご覧いただけます。
JNSAメールマガジン https://www.jnsa.org/aboutus/ml.html#passed
コラム最後にワンクリックアンケートがあります。
ぜひこのコラムの感想をお寄せください。
今回のメールマガジンはJNSA日本ISMSユーザグループリーダーの魚脇雅晴様に
ご寄稿いただきました。
【連載リレーコラム】
リモートワーク時代におけるISMSの内部監査&外部審査についてのご紹介
日本ISMSユーザグループ リーダー 魚脇 雅晴
例年だと対面実施が当たり前の内部監査や外部審査ですが、従業員のほとんど
が自宅という状況に合わせてリモートで実施されました。オフィスに出社する
ことがあっても出社する人数を制限することで同じチームが一同に会すること
は避けるなどの対策がなされている中でどのようにして内部監査&外部審査を
大きな混乱なく実施出来たのか事例を交えてご紹介させて頂きます。
まず対面とリモートとの違いからみていきましょう。
通常は文書確認&ヒアリングした結果を対面で紙媒体のエビデンスや個別シス
テムなどを現場確認しますが、リモートの場合はできません。たまたま被監査
組織のメンバーが出社していた場合にはカメラで写すことで確認出来ますが制
限されます。そのためにヒアリングで詳細な確認を実施する必要があります。
また、突発的な事象が発生した場合に相談しながら進めることが難しいので事
前準備が極めて重要となります。
また、タイムマネジメントが難しいという側面もあります。Web会議がベース
となるので資料提示に一定の時間がかかります。対面だと資料の一覧からこれ
という指示が出来ますが、リモートだと意図が伝わり難くなります。
リモートの特性から事前準備が非常に重要なポイントとなりますが、準備作業
として下記の項目が挙げられます。
1)被監査組織に関する情報の入手
・インプット情報を事前に入手することでリスクの高い業務から優先度をつけ
て確認を実施できるようにする(重点確認項目の事前決定、タイムマネジメント)
2)会議設定の準備
Web会議の設定を被監査組織毎に個別に設定するのではなく一括して事務局で
セットすることで設定漏れ等の混乱を少なくする
・利用するWeb会議が ゲスト招待する外部審査員の環境で利用可能か事前確
認しておく
・会議の開設、オープニング、監査、クロージング等の流れや注意事項をまと
めた全体像を提示し、事前説明を実施する
・外部審査の場合は被監査組織が設定したWeb会議にゲスト招待となるので
セキュリティの観点から一旦待合室で待機してもらい、主催者側の承諾で
入室するようにする
・Web会議にハプニングはつきものなので予め責任者の連絡先を通知し、誰の
指示でPCの再起動や映像のオフなどの対応を行うかスクリプトを示しておく
3)事前説明会や 内部監査員研修でリモート監査のやり方をレクチャー
・タイムマネジメントの仕方(リスクの高い重要業務から確認、質問に対して
の回答やエビデンス提示に時間がかかる場合には別途確認など)も含めた内容
とする
4)その他(ひと工夫)
・手書きサイン文書からの脱却
エビデンスとして残るメールやチャットなどの手段で承認を得て承認欄に
手書きではなくテキストで名前入力する(AfterコロナもこれでOK)
・内部監査と違い現場の状況を把握されていない外部審査員向けに事前に撮影
した現場写真などを提示することでどのような現場で業務が実施されているか
状況把握がしやすくする
・初めての審査員の方の場合には必要に応じてカメラに名刺を映して頂くこと
で本人確認する
最後にリモートの監査・審査のメリット、デメリットを振り返りたいと思いま
す。
まずはデメリットですが、確認出来る範囲が限定されるという本質的なことに
加えてシステムの不具合との戦い(トラフィックとの戦い)が挙げられます。
通信環境が悪いと繋がらない、音声が途切れる、マイクが表示されない、突然
切断されるなどということがWeb会議にはつきものです。そういう時にも慌てず
に対応出来るようにスマホアプリでのWeb会議や最悪のケースでは音声通話など
の別手段を用意することでBCP対策すれば安心できます。
次にメリットですが、意外とありました。物理的制約からの解放、距離の制約
からの解放、移動時間ゼロの自由度(東京→九州→北海道が自由に移動して監
査が可能)です。従来ならば参加出来なかった業務のキーマンが直前までお客
様対応していても監査に参加可能となったことは大きな魅力です。物理的空間
の制限からの解放としてはこれまで会議室の座席数の関係で参加出来なかった
メンバーも参加可能となります。最終報告会のクロージングミーティングにお
いて40~50人でも余裕で参加することが出来、審査員の指摘を直接聞くことで
刺激を受ける事が出来るというメリットも享受出来ました。
Afterコロナでもリモート監査・審査の要素を加えながらワークスタイルを変
革するのも楽しみの一つになってきました。
#連載リレーコラム、ここまで
<お断り>本稿の内容は著者の個人的見解であり、所属団体及びその業務と
関係するものではありません。
<ワンクリックアンケートお願い>
今回のメールマガジン第194号の感想をお寄せください。
https://ux.nu/6K3Pj
※googleアンケートフォームを利用しています。
【部会・WGからのお知らせ】
★JNSA『みんなの「サイバーセキュリティコミック」』9月中旬よりTwitter
で配信開始!原作担当作家は大島 悠( @haruka_red )先生、作画担当作家は
花園 あずき(@genjihikaru)先生です!ご期待下さい!
『みんなの「サイバーセキュリティコミック」』https://www.jnsa.org/comic/
JNSA twitter https://twitter.com/jnsa
★JNSAソリューションガイド活用WGによる「緊急事態宣言解除後のセキュリ
ティチェックリスト」とソリューションガイド対応検索を公開しました。
https://www.jnsa.org/telework_support/telework_security/solutionguide.html
★「CTF for GIRLS」では、9月18日に第14回女性向けCTFワークショップを
オンライン開催します。参加登録の締め切り間近です!
https://www.seccon.jp/2020/
【事務局からのお知らせ】
★JNSAインターンシップに秋期イベントの情報を掲載しています。
https://www.jnsa.org/internship/
定員に達し次第、締め切られますのでお申し込みはお早めに!
★2021年1月と3月のCISSPトレーニングがオンライン開催されます。
SANSトレーニング10月開催も受付中です。
JNSA会員の方は割引価格で受講できますので、ぜひご検討ください。
★テレワークから通常のオフィス勤務に戻るときに活用ください!
「緊急事態宣言解除後のセキュリティ・チェックリスト」
https://www.jnsa.org/telework_support/telework_security/index.html
★JNSA事務局を騙った詐欺事件が相変わらず頻発しています。
当協会から弁護士費用を請求したり、金銭受取の念書を発行することは一切
ありませんので、不審な点がありましたら当協会まで直接お問合せ下さい。
☆コラムに関するご意見、お問い合わせ等はJNSA事務局までお願いします。
office@jnsa.org
☆メールマガジンの配信停止は以下URLの「解除」よりお手続き下さい。
配信停止連絡 <http://www.jnsa.org/aboutus/ml.html>
*************************************
JNSAメールマガジン 第194号
発信日:2020年9月4日
発 行:JNSA事務局 office@jnsa.org
*************************************