説明
ISO/IEC 27001:2022 規格によると、内部監査とは、組織自体が情報セキュリティ管理システム (ISMS) の適合性と有効性を評価するために実施する監査です。この規格では、内部監査は客観的かつ公平な監査人によって実施されることが求められています。つまり、監査人の判断に影響を与えたり、誠実さを損なったりする可能性のある個人的または職業上の利害や偏見があってはなりません。この規格では、客観性と公平性の基準が満たされている限り、組織が内部監査機能を第三者にアウトソーシングすることも許可されています。
内部監査機能を第三者にアウトソーシングすることは、内部監査を自前で実施するための十分なリソース、スキル、経験がない小規模組織にとって、より良い選択肢となる可能性があります。外部監査人を雇うことで、組織は次のメリットを得ることができます。
外部監査人は、組織の ISMS に関する新鮮で独立した視点を提供し、内部スタッフには明らかでない可能性のある強み、弱み、機会、脅威を特定できます。
外部監査人は、他の組織や業界からの専門知識、専門技術、ベストプラクティスを取り入れ、組織が ISMS を改善し、目標を達成できるように支援します。
外部監査人は、社内スタッフが自身の作業や同僚の作業を監査する際に生じる可能性のある利益相反、偏見、または影響のリスクを軽減できます。
外部監査人は、内部監査をより効率的かつ効果的に実施し、作業の重複や不必要な遅延を回避することで、組織の時間と費用を節約できます。
したがって、ISO/IEC 27001 に基づく ISMS を実装している小規模組織では、内部監査機能を第三者にアウトソーシングすることが許容され、多くの場合は望ましいと言えます。
参考文献:
ISO/IEC 27001:2022、情報技術 - セキュリティ技術 - 情報セキュリティ管理システム - 要件、条項 9.2、内部監査 ISO/IEC 27007:2023、情報技術 - セキュリティ技術 - 情報セキュリティ管理システム監査のガイドライン PECB、ISO/IEC 27001 リード実装者コース、モジュール 12、内部監査 ISO 27001 内部監査の完全ガイド - Sprinto

ISO/IEC 27001:2022 によれば、情報セキュリティリスクは、リスクの回避、修正、共有とともに、リスク処理の 4 つの可能なオプションの 1 つとして受け入れることができます12。リスク受容とは、組織がリスクを軽減するためのさらなる措置を講じることなく、リスクのレベルを容認することを決定することを意味します3。リスク受容は、組織のリスク基準と残存リスクレベルに応じて、リスク処理プロセスの前、最中、または後に行うことができます4。

ISO/IEC 27001:2022 リードインプリメンターコースによると、内部監査人の役割と責任の 1 つは、監査結果に基づいて改善の推奨事項を提供することです1。したがって、Tessa は、ISMS の監視と測定の計画を作成し、会社の機能を改善する方法についてアドバイスする方法として、それを経営陣に提示することができます。ただし、Tessa は改善を実施したり、見つかった問題を経営陣に伝えたりする責任はありません。これらのタスクは、それぞれプロセス所有者と管理担当者に属します2。
参考資料: 1: PECB、ISO/IEC 27001 リード実装者コース、モジュール 9: 内部監査、スライド 14 2: PECB、ISO/IEC 27001 リード実装者コース、モジュール 9: 内部監査、スライド 15