|
   |
|
 |
|
 HOME |
  会社概要お問い合わせ |
|
|
情報セキュリティ監査基準について ■セキュリティ監査手順監査実施計画書を作成して被監査主体に通知し、実際に監査を実施していきますが、今回はその手順について解説します。 情報セキュリティ監査は監査の内容、規模によって工数が変わります。一般的な監査手順としてはオープニングミーティングから始めます。オープニングミーティングでは監査の目的や実施計画書に提示済みのスケジュールの確認など行います。監査を行う際には、被監査主体が必要以上に緊張して身構えてしまうことが多いため、スムーズな進行のためには雰囲気を和らげることも有効でしょう。その場合、和やかな雰囲気の中での会話内容が、今後集める監査証拠に影響を与えないよう注意することも必要です。 監査でヒアリングを行う場合は、一人が質問し、もう一人が記録するというのが一般的です。監査証拠となる文書や記録は必要に応じて閲覧し、記録しておかなければなりません。監査証拠を集める技法としては、ヒアリングや文書の閲覧以外にも、管理策が実際に運用されているかどうかを現場で観察する方法や、「サーバルームは常に施錠すること」というルールなどがあった場合に施錠されているかを実際に確認する方法などがあります。 予定通り監査が終了した後は、監査結果について被監査主体と監査結果を確認します。決められた時間内で監査を実施するために、監査人が事実を取り違えていたり、被監査主体が質問を誤解して回答しているケースもあります。そのようなことを是正するためにも監査終了後の確認は重要です。複数日にまたがる監査などで、同一人物にヒアリングする場合は、確認をするのは当日ではなく翌日でも構いません。 監査を実施した結果、「緊急に改善が必要」と思われる検出事項があった場合は、監査結果の確認の場面で、「一監査人の意見」という前提で被監査主体に話すことも必要です。被監査主体は情報セキュリティに関して知識が豊富でない場合が多いので、なぜ緊急に改善が必要なのかという理由も伝え、被監査主体に緊急の度合いを理解してもらうことが重要になります。 監査が終了した後は、監査調書を作成します。複数のメンバーで監査を実施した場合は、監査チームのリーダーが各メンバーから監査調書の説明を受け、監査意見を調整するミーティングを開くのが一般的です。監査報告書の案がまとまったら、品質管理部門が監査内容を確認して、承認が下りると正式な監査報告書ということになります。 正式な監査報告書は、被監査主体の責任者に提出して最終的な確認を行います。ヒアリングを受けた人と被監査主体の責任者は違う場合がほとんどですので、監査報告書は提出するだけでなく、説明が必要になる場合が多くあります。監査内容の見解が違うという場合もでてきます。この場合は、充分意見を交えてコンセンサスを取る努力をすることが必要です。情報セキュリティ監査は対象のすべてを監査するのではなく、試査(サンプル)で行うことが多いので、被監査主体と見解が違うことも起きるのです。 監査報告書が完成した後は、提出するだけでなく、監査報告会を開催して検出事項に対する改善提言を報告し、被監査主体に対して改善を促すことも重要な役割です。 |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
| | サイトポリシー | リンクポリシー | プライバシーポリシー | サイトマップ | | Copyright JMC Co.,Ltd. All rights reserved. |
