ISMSの内部監査に欠かせない!チェックリストの作り方やおさえておきたいポイントを解説 | オプティマ・ソリューションズ株式会社 オプティマ・ソリューションズ株式会社

Pマーク

ISMS/他のISO

その他

お役立ち情報

装飾 装飾 装飾
助太刀記事の背景画像 雲の装飾
の画像

助太刀記事
  1. ホーム
  2. 助太刀記事
  3. ISMS
  4. ISMSの内部監査に欠かせない!チェックリストの作り方やおさえておきたいポイントを解説

  1. ホーム
  2. 助太刀記事
  3. ISMS
  4. ISMSの内部監査に欠かせない!チェックリストの作り方やおさえておきたいポイントを解説

ISMSの内部監査に欠かせない!チェックリストの作り方やおさえておきたいポイントを解説

2025.11.21

オプティマ・ソリューションズ編集部のアバター
オプティマ・ソリューションズ編集部

プライバシーマークとISMSの認証取得/更新のお手伝いをしています。担当者の皆様自身に情報セキュリティに関する様々な知識やコツを身に付けていただいて、皆様の会社自体が成長していただけることを心掛けています。しっかりと皆様のお話をお聞きして、親身に寄り添いながらサポートするのが当社のコンサルティングです。

ISMS(ISO27001)における内部監査とは、自社の情報セキュリティマネジメントシステムが、ISO27001の要求事項ならびに自社のルールに適合しているか、そして有効に運用されているかを確認する活動です。不適合や弱点を見つけて「罰する」のが目的ではなく、それらを改善のきっかけとして、PDCAサイクルの「Check」と「Act」につなげていきます。

今回は、そんな内部監査には欠かせない「チェックリスト」の作り方について、詳しく解説していきたいと思います。 

この機会に、自社のセキュリティ体制を見直したいという方には、ISMSの取得もサポートしております。ISMSを取得するメリットや、取得までの流れについては、以下の記事でまとめていますので、あわせてご覧ください。

あわせて読みたい
ISMSとは?認証取得のメリットと、取得までの流れをプロが解説 ISMSとは「情報セキュリティマネジメントシステム(Information Security Management System)」の頭文字をとったものです。組織として情報セキュリティを強固にするた...

コンサルタントが親身にサポート ISMS取得支援◆お客様満足度99%
https://www.optima-solutions.co.jp/isms-acquisition

チェックリスト作成の基本ステップ

ISMSの内部監査のチェックリストは、抜け漏れを防ぎ、客観的・効率的に監査を進めるためのリストです。チェックリストがあることによって、複数の監査人が同じ基準で確認できるようになるため、監査結果の一貫性を保てるようになります。

チェックリストを使わない場合、監査人の知識や感覚に依存してしまうおそれがあり、特定の担当者がいないと内部監査が進められない可能性も出てきます。改善活動を形骸化させないためにも、チェックリストの導入は欠かせないでしょう。 

作成の基本ステップは、以下のとおりです。

・ISO27001と自社のルールが合致していることを確認する

・自社のルールに基づくチェック項目を作成する

・確認方法を明確にする

・結果欄と評価欄を設ける 

まずは、自社のルール自体がISO27001に合致していることを確認する必要があります。これ自体が一つの監査となります(適合性監査といいます)。ISO27001の規格本文と附属書Aの各項目が自社のISMS規程に記載されていることを確認してください。

次に、自社のルールに基づくチェックリストを作成しましょう。自社のISMS規程の中で、特に守られていることを確認したい項目をピックアップして、チェック項目を作成しします。

チェック項目の作成が終わったら、それぞれどのように確認すればいいか、確認方法も明確にしておきます。たとえば「情報セキュリティ定期教育の実施」というチェック項目があるとすれば、確認方法は「教育記録の確認」、必要な資料として「受講者リスト、教育資料」が挙げられるでしょう。

内部監査の結果については、客観的に記録しておく必要があります。そのため、チェックリストには「〇△X(事実に基づく結果)」と「コメント(評価)」を記載できる欄を設けてください。

チェックリスト作成のポイント

チェックリストは、監査人の経験や知識によって監査結果に偏りが出ないよう、実用性が求められます。以下のポイントに留意しながら作成するようにしてください。

■チェック項目はYes/Noで答えられる質問形式にする

「~していますか?」「~の記録はありますか?」といったように、Yes/Noで簡潔に答えられるようにしましょう。

■確認すべき証拠を明確にする

確認すべき証拠を明確にし、口頭でのやりとり以外に、文書やログ・記録などで証跡を残しましょう。

■毎年ブラッシュアップする

チェック項目は、ISMSの運用状況や組織の変更などに合わせ、更新するようにしましょう。理想論ではなく、実務と照らし合わせて現実的になるよう、注意が必要です。

チェックリストの作成は、工数が多くて負担が大きいと思う場合には、コンサルティング会社へ依頼するのもおすすめです。コンサルティング会社は、豊富な経験をもとに効率よく監査が進められるよう、それぞれの企業に合わせた提案が可能です。

チェックリストが完成した後にやること

ISMSの内部監査のためのチェックリストが完成したら、まずは内部監査を担当する監査人の間でレビューをするといいでしょう。質問の意味が分かりづらくないか?内容の重複がないか?など、複数人で見直しながら意見交換をすることによって、より「使える」チェックリストになります。

監査人の間でレビューを終えたら、内部監査計画と合わせて経営層に承認してもらいます。これで、無事にチェックリストが完成です。

しかし、チェックリストが完成したからと言って終わりというわけではありません。先述したとおり、チェックリストは状況に合わせたブラッシュアップが必要です。「ベースが完成した」と考え、よりよいチェックリストへと進化させることを目指してください。

チェックリストは、企業や組織の成長と継続的な改善を実現するために必要不可欠なツールです。内部監査に関わる従業員はもちろん、現場スタッフや管理職・経営層を巻き込みながら、進捗を一緒に見守っていく仕組みづくりを目指すようにしましょう。

Pマーク・ISMSのための内部監査サポート
https://www.optima-solutions.co.jp/internal-audit-support

オプティマ・ソリューションズでは、ISMS取得を徹底的にサポートいたします!

弊社では数多くのお客様のISMS取得のお手伝いをしております。弊社は下記のような特長を持っています。

・メールへの返信や見積などへの対応スピードが速いので最短取得のサポートができる
・月々定額の分割払いができる
・東京、大阪、名古屋に支社がある
・オリジナルテンプレートからのカスタマイズができるので、工数の削減が可能
・使いやすいE-Learningツールを無料提供している(運用時に年に1度の教育が必須)
・コンサルティングを行う際、担当者の皆様自身にISMSの知識やコツを見つけていただいて、皆様の会社自体が成長していいただけることを心掛けています

しっかりと皆様のお話をお聞きして、御社に必要なことだけを説明して、親身に寄り添いながらサポートするのが当社のコンサルティングです。

創業20年、実績数も3,500件を超えました。
本Webサイトで認証取得/更新の体験談を多数公開していますので、ぜひご覧になってください。

お客様の声
 www.optima-solutions.co.jp/voice

これからISMSを取得される、または、更新をご希望される事業者様はぜひお気軽にご相談ください。

ランタン画像 関連記事

バナーの背景画像

Yellowボタン

メールで問い合わせる

 Yellowボタン

セミナーに参加する

Yellowボタン

資料ダウンロード

 Yellowボタン

メルマガに登録する

バナーにいる侍
旗が付いているデコレーション

Pマーク

ISMS/他のISO

その他のサービス

お役立ち情報

セミナー・イベント

会社情報

  • 東京オフィス

    東京都港区西新橋1-18-6クロスオフィス内幸町5階

  • 大阪オフィス

    大阪市北区梅田1-11-4-923 大阪駅前第4ビル9階

  • 名古屋オフィス

    愛知県名古屋市中区栄5丁目26-39 GS栄ビル3階

弊社もPマーク・ISMS・PIMSを取得しています。

プライバシーポリシー セキュリティ方針

©Optima Solutions inc.