情報セキュリティ監査基準について

■監査計画の立案

経済産業省の出している「情報セキュリティ監査基準　実施基準ガイドライン」では、監査計画の立案について、監査基本計画と監査実施計画の2つに分けて説明しています。

監査基本計画は、文字通り監査に関する基本的な計画であり、監査対象とする範囲・期間・段階や監査目標、監査業務の管理体制、専門職の利用の必要性と範囲などが盛り込まれています。具体的には、「2004年度に策定された情報セキュリティポリシーが、従業員（職員）に理解され、かつ適切に運用されているかを判定する」というような監査目標などが考えられます。

「情報セキュリティ監査基準　実施基準ガイドライン」には、リスクアセスメントが実施されていない場合は、情報セキュリティ監査人がリスクアセスメントをすることが望ましいと書かれています。このような場合、個々の組織が抱えるリスクの実状を把握することや、作業工数やリスク判断など考慮すると、情報セキュリティ監査人がリスクアセスメントを実施するのは非常に難しいものとなります。

監査実施計画は、監査基本計画を実施するにあたって具体的に「いつ、誰が、どこで、どのように」監査手続を実施するかということを文書化したものです。監査手続の実施は、言い換えると監査証拠の入手と評価をすることなので、漏れのないように慎重に監査実施計画を立案する必要があります。

監査実施計画を立案する場合に注意する点は、リスクアセスメントの結果を考慮することや、前回の監査結果の検出事項があれば、その検出した内容を優先したほうがよいということです。また、実際に監査を実施する場合には、情報セキュリティ監査人の効率を優先させるより、監査対象部門の業務負荷がなるべく少なくなるように計画を組むのが望ましいでしょう。