この動画は、無料公開期間を経た後、メンバーシップ限定動画になります。動画見放題のメンバーシップ(月額990円)を是非ご利用ください。
情報セキュリティは、常に正しく運用されているか、新しい対策はないかなどをチェックしていかなければ、いつの間にか対策が曖昧になってしまっていたり、新しい脅威に対応できなくなっているケースもあります。
そこで、定期的なシステム監査を実施することが求められます。なお、システム監査は「情報セキュリティ監査」よりもさらに広い視点で、システム全般を監査することで経営活動全般の評価や改善を促します。
内部統制の監査と、監査基準
監査では特に、内部統制についての評価が重要になります。脅威の種類でも紹介したとおり、外部からの攻撃を防ぐことはもちろん、内部からの犯行は非常に防ぎにくく、また発見や対策も遅れてしまいがちです。
正しくアクセスコントロールが設定されているかや、人のミスをシステムが防ぐ「フールプルーフ」の実装や運用などを、第三者的な視点でしっかりとチェックしなければなりません。
そこで重要なのが、監査基準を明確に定めることで、評価する人や立場よって評価の内容が変わってしまうことがないよう、数値で評価するなどして客観性を担保することが重要です。
また、監査を内部だけでなく、外部の機関に行ってもらうという方法もあります。
監査の種類
監査には、次の3種類があります。
第一者監査
組織自身による監査です。手軽に行えますが、評価の客観性に問題があります。
第二者監査
利害関係者による監査です。
第三者監査
独立した監査組織による監査です。
監査人は、次のような視点から選定する必要があります。
監査の流れ
監査は、次の流れで実施されます。
- 監査の開始
- 文書レビュー
- 現地監査活動の準備
- 現地監査活動の実施
- 報告
- 監査の終了
- フォローアップ
最初に「監査計画書」を作成し、それに沿って文書化されているものの内容のチェックや、実際の現地に行ってインタビューや目視検査などを計画・実施し、「監査調書」を作成します。
こうして、監査の結果が報告され、不備がある箇所を新たに対策したり、文書を修正したりする「是正処置」が行われ、監査の一連の流れが終了します。