内部監査及び外部審査体制

日本IBMグループは、定期的に全部門、全グループ会社に対してISMS内部監査を実施するために、適切な資格・能力を持った監査人を構成し、被監査部門やグループ会社とは独立した位置に監査体制を確立しています。監査対象が、日本IBMの全部門及び全グループに及ぶため、長期にわたって、監査を実施します。
内部監査結果は、「内部監査規程」に基づいて、不適合レベル（重欠点、軽欠点、推奨事項）が評価され、セキュリティ委員会に報告され承認されます。不適合があった場合は、各部門及び各グループ会社は、不適合レベルに応じて、改善アクションが必要となります。

日本IBMグループは、2009年度は、ISMS統一認証として、日本IBMの全部門に対する定期審査と、グループ会社に対する拡大審査による二種類のISMS審査を受審します。
ISMS審査においては、第三者のISMS審査登録機関に、国際規格ISO/IEC27001に適合していること、すなわちISO/IEC27001に準拠して適切にセキュリティ管理が実践されている事が審査されます。2009年度は、ISMS適用範囲が全部門、全グループ会社に渡っているため、物理的にも日本全国の事業所、組織的にも日本IBMグループの全ての部門から抽出された多くの部門の参加によるISMS審査の受審を予定しています。