情報セキュリティ監査について


最近ではウイルス感染や不正アクセス、迷惑メールなど、様々な手法でサイバー攻撃が日常的に行われています。

このような中で、「いかにして情報資産を守るか」は大企業に限らず、中小企業、特に独自技術を有するような企業にとっては、重要な経営課題だと思います。

情報資産を守るには、まず現状把握を行う必要がありますが、現状把握を行う方法として外部監査を利用することが挙げられます。ここでは公認会計士による情報セキュリティ監査(検証業務)について説明します。


鍵


情報セキュリティ監査 | 公認会計士による検証業務とは


1.監査の専門家である公認会計士による情報セキュリティ検証業務であること

日本公認会計士協会では、「情報セキュリティ検証業務(IT委員会研究報告第39号)」というものを公表しています。当該文書に基づいて行われる情報セキュリティ監査が、公認会計士による情報セキュリティ監査の一つとして挙げられます。

類似の制度としてはISMS適合性評価制度が存在します。


2.企業側が評価した結果を公認会計士が検証する

外部監査となるため、まずは企業側で情報セキュリティに対する自社の評価を行う必要があります。その結果を独立した第三者の立場から、公認会計士が検証します。

より具体的には、「経営者の記述書」というものを上記「情報セキュリティ検証業務」に従って作成し、この文書が「企業の情報セキュリティに関する管理状況について、すべての重要な点について適正に表示されているかどうか」を公認会計士が検証します。


3.評価項目が数値化されること

上記の「経営者の記述書」の各項目は数値化されます。各項目は0〜2の3段階(または0〜5の6段階)で評価されます。例えば、情報セキュリティポリシーの策定は「3(管理規準に準拠して文書化され、運用がなされている)」、ネットワークセキュリティ管理は「4(コントロールは組織全体として正式に文書化され運用されており、モニタリングされている)」といったように評価されます。

それに対してISMSは数値化による評価は行われません。従って、項目を数値化する点は、情報セキュリティ検証業務の特徴といえます。


以上、公認会計士による情報セキュリティ監査(検証業務)について解説しました。

興味ある方は「情報セキュリティ検証業務」でネット検索してみてください。
 ある程度制度化された情報セキュリティ監査であり、どちらかというと大企業向けだと思います。

一方で、当事務所では中小企業を対象とし、情報セキュリティの現状把握(診断)や今後の施策提案など柔軟に対応します。



【関連ページ】
 情報セキュリティチェックシート | Web上で簡単に状況診断できます(無料)。

お問い合わせ、仕事のご依頼は、【お問い合わせページ】より承ります。
主な質問と回答は【Q&A(ご質問と回答)】に記載しています。