コンテンツにスキップ

2025年度内部監査・外部審査対応質問集

committee 2025年度 2025-10-03 作成: ISMS委員会

編注: 本文中のSecureNaviリンクは2026年の解約により失効。エクスポートは archive/securenavi/ を、移行先文書は docs/registry/IDX-002_SecureNavi・Drive移行対応表.md を参照。

4. 組織の状況

4.1 内外課題は何ですか？
https://9c8213134c3f9vr4hl.app.secure-navi.jp/org
4.2 利害関係者は誰で、何を求めていますか？
https://9c8213134c3f9vr4hl.app.secure-navi.jp/org
4.3 適用範囲は？
https://9c8213134c3f9vr4hl.app.secure-navi.jp/org

5. リーダーシップ

5.2 方針はどう定めていますか？周知方法は？
POL-001_情報セキュリティ方針
5.3 役割・責任はどう割り当てていますか？
POL-003_情報セキュリティ組織・責任規程

6. 計画

6.2 情報セキュリティ目標は？
https://9c8213134c3f9vr4hl.app.secure-navi.jp/objectives
6.3 年間計画は？変更時の対応は？
https://9c8213134c3f9vr4hl.app.secure-navi.jp/periods

7. 支援

7.2 力量はどう定義・確認していますか？
POL-005_従業員向け基本規程
 POL-010_人的セキュリティ規程
 2025
7.3 従業員は方針・目標を理解していますか？
→ 回答：教育を通じて周知（POL-010）
→ 証跡：教育受講記録、SecureNavi 目標周知資料
7.4 内部コミュニケーションはどうやっていますか？
→ 回答：POL-003「組織・責任規程」、POL-002「文書管理方針」
→ 証跡：社内メール／Slackアナウンスの記録
7.5 文書化情報はどう管理していますか？
→ 回答：POL-002「文書管理方針」
→ 証跡：文書体系図（IDX-001）、各POL/MNL/FRMの承認版

8. 運用

8.1 年間計画に従った運用は？
→ 回答：SecureNaviで管理（計画・進捗）
→ 証跡：教育ログ・監査記録・レビュー議事録
8.2 リスクアセスメントをどう実施しましたか？
→ 回答：POL-004「情報セキュリティ管理規程」
→ 証跡：リスクアセスメントシート（SecureNaviに格納可）、委員会議事録
8.3 リスク対応はどう実施しましたか？
→ 回答：POL-004、POL-016「システム開発セキュリティ規程」
→ 証跡：リスク対応計画書、是正処置記録

9. パフォーマンス評価

9.1 監視・測定はどうしていますか？
→ 回答：POL-004「情報セキュリティ管理規程」
→ 証跡：KPI管理表（教育受講率、インシデント件数等）
9.2 内部監査はどう実施しましたか？
→ 回答：MNL-001 内部監査マニュアル（今回作成中）
→ 証跡：内部監査計画書（FRM）、監査報告書
9.3 マネジメントレビューはどう実施しましたか？
→ 回答：POL-003、SecureNaviで記録管理
→ 証跡：マネジメントレビュー議事録

10. 改善

10.2 是正処置はどう行いますか？
→ 回答：POL-009「インシデント管理規程」＋ POL-004「情報セキュリティ管理規程」
→ 証跡：是正処置報告書、再発防止の記録