情報セキュリティ監査制度とは①

今日は自社の情報セキュリティの状態を公平な目で評価を受けることができる『情報セキュリティ監査制度』について解説してみます。

みなさんは『情報セキュリティ監査制度』についてどれくらい知っていますか?また興味はありますでしょうか?

この監査制度は大きく「内部監査」と「外部監査」の二つに分かれます。内部監査とは自社内の社員が自ら監査するもので、目的は自社の情報セキュリティの状況を把握し、サイバー攻撃に強い組織にする為のものです。(まれに外部の監査人が内部監査をすることもあります)そして外部監査の主な目的は、自社のサービスは情報セキュリティにきちんと対応していますよ、と不特定多数もしくは取引先や親会社などに証明することになります。

昨今は情報漏洩も毎日のように起こっていますが、監査を受けお墨付きを得ていれば、自社サービスのアピールにもなり得ますね。このお墨付きをもらう監査のことを「保証型監査」と言いますが、これは基本的には情報セキュリティ監査人の資格を持つ外部の監査人によって監査を受ける組織のセキュリティの状況をつぶさに観察し、全てが基準に達していると認められ、初めて保証を受けることができます。

もちろん、監査を受ける組織が大きくなればなるほどその監査にかかる人員や時間もかかることになります。また全組織ではなく、一部分だけの監査を受ける部分監査もあります。

しかし、いきなり保証型監査を受けても、合格することは難しいため、まずは助言型と言われる、セキュリティの弱いところや足りていないところを監査人に指摘してもらうことから始めることが一般的です。指摘されたことをしっかりと修正対応した上で、保証型監査を受ければいいわけですね。

さてでは監査は何を基にされるのでしょうか?

まさか監査人がいきなりやってきて組織全体を把握することはまず不可能ですよね。

そこで大事になるのが「情報セキュリティポリシー」になります。ポリシーには、「ガバメント」「マネジメント」「コントロール」の3つの要素が記載されていることが基本です。この「マネジメント」と「コントロール」の部分について監査を行います。

さて次回は具体的に監査をうけるには?について解説したいと思います。

尚監査制度には行っているところがいくつかありますが国の組織の一つであるJASA提唱の監査制度がメジャーです。

詳細;JASA

<