ISMS内部監査チェックリストの作り方|無料サンプル付き
最終更新日:2025年06月10日
ISMS内部監査を初めて任されたとき、いちばん悩むのは「どの視点で、何をチェックすればいいのか」という具体像が見えないことではないでしょうか。
本記事では、はじめての方でもISMSらしい監査を自信を持って実施できるよう、チェックリストのサンプルと作成・活用のコツをわかりやすく解説します。
ISMS内部監査って何をする?目的と全体の流れ
ISMS(情報セキュリティマネジメントシステム)の運用において、「内部監査」はその中核ともいえる存在です。
単に規格に沿ってやらなければならないから実施するものではなく、組織のセキュリティ体制を見直し、改善の機会を発見するための重要なプロセスです。
内部監査の目的:形だけではなく「有効性」を確かめる
ISMS内部監査の目的は、大きく分けて以下の3つです。
- 社内規程や手順書に対する適合性の確認
- ISO/IEC 27001の規格要求事項に対する適合性の確認
- ISMSが「有効に機能しているか」の確認
多くの担当者が見落としがちなのが3つ目の有効性の評価です。
たとえば、規程に「教育を年1回実施する」と書いてあって、実際に開催記録があれば「適合」と言えますが、教育を受けた社員がその内容を理解していなければ、「有効」とは言えません。
つまり、ISMS内部監査は紙の上でのルール確認にとどまらず、実務で本当に機能しているかどうかを確認する現場の実態チェックなのです。
規格で求められる内部監査の位置づけ
ISO/IEC 27001:2022では、内部監査について「箇条9.2」で明確に定義されています。規格では、以下の点が求められています。
- 計画的に内部監査を実施すること(1年に1回以上が一般的)
- 「監査プログラム」を策定し、記録を残すこと
- 監査範囲・監査基準・監査方法などを明確にして実施すること
- 監査員の公平性・独立性を確保すること
- 結果を報告し、必要な是正処置を実施・確認すること
また、2022年版では附属書Aの管理策が大きく改訂され、確認すべきポイントが変化しています。内部監査でもこの変更に対応したチェックが必要です。
監査員の選び方と注意点
内部監査員は①独立性、②客観性、③力量の3要件を満たす必要があります(ISO/IEC 27001:2022 9.2)。たとえば経理部門を監査する際は、経理以外の管理職が担当し、自己評価にならない体制を整えます。
- 独立性: 監査対象業務から切り離された立場であること
- 力量: ISMS規格と監査手法の基礎知識を有し、事前に研修を受講していること
- 客観性: 利害関係やバイアスがないこと(人事評価の関係等に注意)
スキル不足が懸念される場合は、外部研修やeラーニングでの教育に加え、部門間の相互監査や外部専門家の活用も検討しましょう。
監査体制の構築に不安がある場合は、ISMSに精通した外部コンサルタントに相談するのも一つの選択肢です。以下の記事では、認証支援の実績があるコンサル会社を比較しています。
ISMS内部監査チェックリストはこう作る!4ステップで解説
このセクションでは、誰でもISMS内部監査に使えるチェックリストを作れるようになるための手順を、4つのステップに分けて解説します。ISO27001の構成や、自社のルールに合わせた内容にすることがポイントです。
Step1:監査の目的・対象範囲・基準を明確にする
まず最初に行うべきは、「何を目的として」「どこを監査するのか」を明確にすることです。ここが曖昧だと、作成するチェックリストの精度も下がってしまいます。
例
- 目的:規格適合確認か、有効性評価か、両方か?
- 対象範囲:部門単位、プロセス単位、拠点単位など
- 基準:ISO27001:2022の各条文、附属書A、社内規程や手順書
ポイント:「適用宣言書(SoA)」を活用し、実施対象の管理策を明確化しておく。
Step2:確認すべき項目を洗い出す
次に、実際にチェックリストの項目を作成していきます。
ここではISO27001の本文(箇条4〜10)や附属書Aの管理策をベースに、確認する内容を一つひとつ具体化します。
例
-
6.1.2 情報セキュリティリスクアセスメント
┗ 「リスク評価の手順書は存在しているか?」
┗ 「リスク受容基準は明確か?」 -
7.3 認識(意識づけ)
┗ 「従業員にセキュリティ方針の内容は周知されているか?」 -
附属書A 5.23 クラウドサービス利用
┗ 「クラウドサービス導入時にセキュリティ要件を審査しているか?」
ポイント:質問文は「はい・いいえ」だけで終わらず、「どうやって?」「いつ?」「誰が?」の視点を加える。
Step3:証拠(エビデンス)や確認方法を明記する
監査では「確認したかどうか」だけでなく、どうやって確認したのか、その根拠が何だったのかを明確にする必要があります。
これを記録に残すことで、監査の信頼性を高め、外部審査や後日の振り返りにも備えることができます。
例
| チェック内容 | 確認方法 | エビデンスの例 |
|---|---|---|
| セキュリティ教育の実施 | 研修記録の確認 | 受講一覧表、eラーニングの履歴 |
| アクセス管理の状況 | システム設定の閲覧 | アカウント台帳、承認メール |
| バックアップの実施 | ログ確認 | バックアップ実行ログ、スケジュール設定画面 |
ポイント:チェックリストの「エビデンス欄」に、使用した文書名、画面のキャプチャ、確認日時などを明記しておく。
Step4:評価方法・判定基準を整える
最後に、監査結果を記録する欄を整備します。以下のような形式が一般的です。
| チェック項目 | 評価 | エビデンス | コメント・改善案 |
|---|---|---|---|
| A.9.2.1 利用者登録は定められているか? | □ 適合 □ 不適合 □ 観察事項 | ○○手順書、ログ | 権限申請書の保管が一部漏れている |
ポイント:評価区分は「適合/観察事項/不適合」に、重大度は「高・中・低」の3段階で設定し、是正処置の優先順位が明確にする。
リスクアセスメント結果や適用宣言書(SoA)、各部門の業務フローを反映して、自社の業務とリスクに即したチェックリストに仕上げる。
ISMSチェックリストのサンプルを大公開
| 規格 | 項目 | 質問 | 証拠 |
|---|---|---|---|
| 4.1 | 外部・内部課題の特定 | 組織の情報セキュリティに影響する外部・内部課題を文書化し、定期的に見直していますか? | SWOT/PEST分析資料、年次レビュー議事録 |
| 4.2 | 利害関係者と要求事項 | 顧客・委託先・規制当局などのニーズ/期待を一覧化し、ISMS計画へ反映していますか? | ステークホルダー一覧、法令一覧、契約要件表 |
| 4.3 | ISMS適用範囲の決定 | 適用範囲(組織単位・拠点・情報資産)が明確で、その決定根拠が記録されていますか? | 適用範囲文書、適用宣言書(SoA) |
| 4.4 | ISMSの確立・維持 | ISMSを構成するプロセスと相互関係を定義し、継続的改善の仕組みを運用していますか? | ISMSマニュアル、プロセスフロー図 |
| 5.1 | トップマネジメントのコミットメント | 経営層はISMS実施に必要な資源を提供し、重要性を社内へ周知していますか? | 予算配分記録、社長メッセージ、全社説明資料 |
| 5.2 | 情報セキュリティ方針 | 方針は文書化され、承認・配布・定期レビューが行われていますか? | 方針Ver管理表、イントラ掲載画面、改訂議事録 |
| 5.3 | 役割・責任・権限の割当 | ISMSに関わる役割と責任が定義され、従業員に通知されていますか? | 組織図、職務分掌、任命書(CISOなど) |
| 5.2+6.2 | 方針実現に向けたKPI/目標設定 | 方針を実行するための測定可能な目標が設定され、進捗を定期的にレビューしていますか? | 目標管理表、KPIダッシュボード、四半期レビュー議事録 |
| 6.1.1 | リスクと機会への対処(一般) | ISMSの意図した成果を得るために、対処すべき「リスクと機会」を特定し、行動を計画していますか? | リスク&機会一覧表、対処計画、レビュー議事録 |
| 6.1.2a | リスクアセスメント手順の確立 | リスクアセスメント方法(基準、頻度、責任)が文書化され、承認されていますか? | リスクアセスメント手順書、承認履歴 |
| 6.1.2b-d | リスクアセスメントの実施・記録 | 最新のリスクアセスメント結果は記録され、受容基準に基づき評価されていますか? | リスク台帳(最新版)、影響度/発生度計算シート |
| 6.1.3 | リスク対応計画と適用宣言書(SoA) | リスク低減策の選択理由を説明でき、SoAに管理策の適用可否と根拠を記載していますか? | リスク対応計画書、SoA Ver.○○、承認サイン |
| 6.2 | 情報セキュリティ目的の設定 | 測定可能な情報セキュリティ目的(KPI)が設定され、達成計画(担当・期限・手段)が策定されていますか? | 目的管理表、達成計画、進捗レポート |
| 7.1 | ISMSに必要な資源の提供 | ISMSを維持・改善するために十分な人員・予算・IT資源が割り当てられていますか? | 予算計画書、要員計画、設備投資稟議書 |
| 7.2 | 必要力量(コンピテンス)の定義と確保 | ISMS関連業務を行う要員に必要な知識・技能を定義し、教育訓練や資格で力量を確保していますか? | 力量マトリクス、研修計画・記録、資格証コピー |
| 7.3 | 認識(アウェアネス)の向上 | 全従業員は情報セキュリティ方針や各自の役割を認識し、定期的な啓発が行われていますか? | eラーニング受講ログ、啓発ポスター、社内アナウンス |
| 7.4 | ISMSに関するコミュニケーション計画 | 「誰が・何を・いつ・誰に・どの手段で」伝えるかを定義し、運用していますか? | コミュニケーション計画表、会議議事録、メール通知例 |
| 7.5.2 | 文書化した情報の作成・更新 | 文書の識別・版管理・承認手順が定義され、遵守されていますか? | 文書管理規程、変更履歴、承認ログ |
| 7.5.3 | 文書化した情報の管理 | 文書・記録は適切にアクセス制御され、保存期間・廃棄方法が明確ですか? | 文書管理台帳、アクセス権設定画面、廃棄記録 |
| 8.1 | 運用の計画・管理(プロセス定義) | ISMSで必要なプロセス(手順・責任・資源・基準)が文書化され、維持されていますか? | 運用手順書、プロセスフロー図、責任分担表 |
| 8.1 | 変更管理と外部委託プロセス | システム変更・業務変更・外部委託開始時に、セキュリティ影響を評価し、承認手続きを経ていますか? | 変更管理ログ、委託先審査チェックリスト、承認メール |
| 8.2 | 情報セキュリティリスクアセスメント(定期実施) | 計画した間隔または重大変更時にリスクアセスメントを再実施し、結果を記録していますか? | リスク再評価報告書、実施スケジュール、議事録 |
| 8.2 | リスクアセスメントのトリガ管理 | 新規サービス開始・法令改正などのイベント発生時に速やかにリスク再評価を行うルールがありますか? | トリガ定義文書、臨時評価ログ |
| 8.3 | 情報セキュリティリスク対応の実施・有効性確認 | 選択したリスク低減策は計画どおり実装され、効果(KPI、監視ログ)を測定・レビューしていますか? | リスク対応計画書、SoA更新記録、効果測定レポート |
| 9.1 | 監視・測定・分析・評価の計画 | 「何を・いつ・誰が・どの方法で」測定するかを定義し、ISMSパフォーマンス指標(KPI)が設定されていますか? | 監視測定計画書、KPI一覧、測定スケジュール |
| 9.1 | 監視・測定結果の記録と分析 | 収集したログやKPI値を分析し、傾向や問題を定期レポートとしてまとめていますか? | 月次分析レポート、ダッシュボード画面、統計グラフ |
| 9.2 | 内部監査プログラムの策定 | リスクや過去の監査結果を考慮して、年度監査計画(範囲・頻度・責任)を作成していますか? | 年度監査計画書、優先度評価表 |
| 9.2 | 内部監査の実施と記録 | 監査が計画どおりに実施され、チェックリスト・証拠・報告書が保存されていますか? | 監査チェックリスト、監査報告書、是正記録 |
| 9.2 | 内部監査後の是正処置フォロー | 指摘事項に対する是正処置が期限内に完了し、有効性が検証されていますか? | 是正処置報告、フォローアップ記録、再監査ログ |
| 9.3 | マネジメントレビューの実施 | トップマネジメントが定期的にレビューを行い、インプット/アウトプットを文書化していますか? | レビュー議事録、決定事項リスト、改善指示書 |
| 9.3 | レビュー結果に基づく改善 | マネジメントレビューで決定されたアクションが実行され、進捗が追跡されていますか? | 改善計画書、進捗報告、完了エビデンス |
| 10.1 | 継続的改善の仕組み | ISMSを継続的に改善するための仕組み(例:PDCAサイクル、改善提案制度)が機能していますか? | 改善提案ログ、PDCAレビュー議事録、KPIトレンド |
| 10.2-a | 不適合の識別と記録 | インシデント・内部監査・外部審査などで不適合が発生した際、速やかに記録していますか? | 不適合報告書、インシデント管理システム画面 |
| 10.2-b-c | 是正処置の計画と実施 | 不適合の原因を分析し、再発防止を含む是正処置計画(担当・期限・手段)を策定・実行していますか? | 根本原因分析シート、是正処置計画書、実施エビデンス |
| 10.2-d | 是正処置の有効性確認 | 是正処置完了後、効果を検証し(例:再発有無の確認、KPI改善)、結果を記録していますか? | 効果確認レポート、フォローアップ監査記録 |
| 10.2-e | 文書化した情報の更新 | 是正処置に伴う規程・手順・SoA等の文書更新が確実に行われていますか? | 改訂済み規程、改版履歴、承認ログ |
| 10.1+10.2 | 改善活動の総括とナレッジ共有 | 年次・半期ごとに改善活動をレビューし、教訓(Lessons Learned)を組織全体で共有していますか? | 改善活動総括レポート、社内共有資料、勉強会議事録 |
まとめ|ISMS内部監査は「改善」の起点
ISMS内部監査は、単なる形式的なチェックではなく、情報セキュリティの運用を継続的に見直すための貴重な機会です。適合性だけでなく有効性にも目を向け、現場と対話しながらチェックリストを柔軟にカスタマイズすることで、形だけにとどまらない「意味のある監査」が実現できます。
今回ご紹介したチェックリストはあくまで一例ですので、業種や組織の規模、扱う情報の性質に応じて、内容を取捨選択しながら自社に合った形に整えて活用してください。
監査体制の構築やチェックリストの整備に不安がある場合は、ISMS認証取得を支援するコンサルティング会社に相談するのも有効です。以下の記事では、認証支援の実績があるコンサル会社を比較形式で紹介しています。支援範囲や料金体系など、自社に合うパートナー選びの参考にぜひご活用ください。
本記事は、2025年5月時点の情報をもとに作成しています。掲載各社の情報・事例をはじめコンテンツ内容は、現時点で削除および変更されている可能性があります。あらかじめご了承ください。
