情報セキュリティ監査基準について

■監査人の能力について

税の専門家は税理士、会計の専門家は会計士というように、専門家の能力を表す目安として資格があります。しかし、2004年7月現在では、「情報セキュリティ監査人」の能力を示す国家資格や民間資格はまだ存在していません。経済産業省、（財）日本情報処理開発協会（JIPDEC）などでは検討を始めているかもしれませんが、公式な発表はありません。 監査される側からすると、情報セキュリティ監査を実施する専門家の技術や能力を確認する必要性が出てくるでしょう。今後は「情報セキュリティ監査人」の能力を持っている、と客観的に示せる資格制度が必要なってくると思われます。

情報セキュリティ監査人に必要な能力とは何でしょうか。端的に言ってしまうと客観的な立場で、適正な情報セキュリティ監査を実施する能力を持っているということでしょう。「客観的な立場」ということでは、倫理性・独立性・観察力などが求められます。「適正な」ということでは、監査スキルおよび技術力などが必要になります。

監査スキルでは、監査制度の理解は当然ですが、有効な監査証拠の収集能力や、監査証拠から検出事項を適切に導き出せることなどが必須となります。また、保証型の場合と助言型の場合では、必須となる能力は異なります。そのほかに、情報セキュリティを保つためにはマネジメントも必要となるため、マネジメントシステムに関する知識も当然必要となります。

技術力では、ITセキュリティの知識が必要になります。もちろん、前提としてIT全般の知識がなければなりません。技術力と言ってもテクニカル的なものだけではなく、運用管理方法についての知識も必要です。

情報セキュリティ監査人は情報資産のマネジメントができているかという視点を重要視しているので、セキュリティマネジメントの知識は必須でしょう。その他、リスクマネジメント、法律、監査技法など多くの知識や技能が必要となります。大きな組織に対して情報セキュリティ監査を実施する場合には、各分野の専門家と経験を積んだリーダーの組み合わせでチームを組み、グループとして情報セキュリティ監査を実施するのが一般的ですが、その場合には、監査責任者にはチームリーダーとしての能力も必要になります。