2010年度 JASA月例セミナー 情報セキュリティ監査制度を有効活用した 内部監査のススメ ~外部監査との比較を含めて~ 2011年1月12日 佐々木 陽一 ニッセイ情報テクノロジ-株式会社 監査室 上席マネジメントスペシャリスト 公認情報セキュリティ主任監査人 Copyright 2010 Japan Information Security Audit Association. All rights reserved. www.jasa.jp 2010年度 JASA月例セミナー 講師の自己紹介 本日は、ニッセイ情報テクノロジー 監査室 ので、よろしくお願い申し上げます。 佐々木陽一 が講師を務めさせていただきます 【略歴】 ○昭和50年4月 日本生命保険相互会社入社 ○平成3年4月~平成10年3月 日本生命保険 監査室・専門課長 検査部・課長 ○平成10年7月~平成11年6月 株式会社ニッセイコンピュータ 監査室・担当部長 ○平成11年7月~平成16年3月 弊社 監査室・室長 ○平成16年4月~平成20年3月 弊社 品質監理部 上席マネジメントスペシャリスト (他社より受託した外部監査を担当) ○平成20年4月~現在 弊社・監査室 上席マネジメントスペシャリスト (内部監査部門に復帰) 【資格】 ○公認情報セキュリティ主任監査人 ○NPO日本セキュリティ監査協会 「監査人育成研修」「講師育成研修」認定講師 P.1 Copyright 2010 Japan Information Security Audit Association. All rights reserved. www.jasa.jp 2010年度 JASA月例セミナー 目 次 Ⅰ.多様な情報セキュリティ監査ニーズとJASAの取組み Ⅱ.内部監査の本質 Ⅲ.情報セキュリティ監査制度を有効活用した内部監査 ~保証型監査との相違点も含めて(一部私見あり) Ⅳ.それぞれのニーズ・目標に合ったコースの選択 P.2 Copyright 2010 Japan Information Security Audit Association. All rights reserved. www.jasa.jp 2010年度 JASA月例セミナー Ⅰ.多様な情報セキュリティ監査ニーズと JASAの取組み P.3 Copyright 2010 Japan Information Security Audit Association. All rights reserved. www.jasa.jp 2010年度 JASA月例セミナー 多様な監査人像 (1)他社の情報セキュリティ監査(保証型・助言型)を受託するプロの監査人 ⇒従来の「2日間研修+3日間トレーニング」を受講して「監査ビジネス」の プロとして活躍 (2)社内で高品質の監査を要求されている「プロの情報セキュリティ内部監査人」 ⇒従来の「2日間研修+3日間トレーニング」を受講して、いつでも監査ビジ ネスに転向可能な「一流の内部監査人」として活躍 (3)内部監査組織ではないが情報セキュリティ監査の依頼を受ける臨時(?)監査人 ⇒内部監査人としての監査マインドを養う場が必要 (4)畑違いの部署から内部監査部門に転入してきた新人監査人 ⇒初年度から機能発揮するための研鑽の場が必要 (いろいろな切り口があるが、情報セキュリティ監査の切り口から支援) (5)プロの内部監査人であるが、情報セキュリティやITは得意でない監査人 ⇒情報セキュリティのマネジメントについての基本的な知識取得の場が必要 P.4 Copyright 2010 Japan Information Security Audit Association. All rights reserved. www.jasa.jp 2010年度 JASA月例セミナー 内部監査人研修コースの新設① ■背景 ・情報セキュリティ監査制度創設の狙いとなっていた保証型監査の概念とその 実施方法が具体化されたことを契機に、CAIS研修は、保証型監査が実施可能 となるカリキュラムへの見直しが求められた。これにより、社内の内部監査を 専門に行う内部監査人に必要な実務上の知識・能力との間に乖離が生じた。 ■新コースの特徴 ・内部監査人に必要な知識・能力を付与することを目的とするため、従来の CAIS研修と比較して軽装備で分かりやすい(かつ安価な)研修とする。 ・原則的には、情報セキュリティ監査基準・情報セキュリティ管理基準に基づき、 かつ内部監査の現状からも違和感のない研修とする。 ■ただし、新コースは初心者が即機能発揮するためのものであり、 ・他社の内部監査(助言型監査)を受託する人、 経営から最高品質の内部監査を求められている人、 難易度の高い情報セキュリティ監査を行う人(金融機関・カード会社・IT会社等)、 社内のエースとならなければならない人は、 従来のCAIS研修受講を推奨。 P.5 Copyright 2010 Japan Information Security Audit Association. All rights reserved. www.jasa.jp 2010年度 JASA月例セミナー 内部監査人研修コースの新設② ■対象・・・自社の内部監査を専門に行う情報セキュリティ監査人 【主たる対象としている層】 ・内部監査組織ではないが情報セキュリティ監査の依頼を受ける臨時(?)監査人 ・畑違いの部署から内部監査部門に転入してきた新人監査人 可能であれば対象としたい層。 ・プロの内部監査人であるが、情報セキュリティやITは得意でない監査人 ■研修内容・・・2日間コース(講義プラス演習) ■修了試験合格者・・・資格または称号付与を検討中 (更に上位にある公認情報セキュリティ監査人資格にチャレンジする 際の2日間研修受講免除等も検討中) P.6 Copyright 2010 Japan Information Security Audit Association. All rights reserved. www.jasa.jp 2010年度 JASA月例セミナー Ⅱ.内部監査の本質 P.7 Copyright 2010 Japan Information Security Audit Association. All rights reserved. www.jasa.jp 2010年度 JASA月例セミナー 内部監査とは ■監査とは・・・「監察」プラス「審査」。組織の実状について(証拠 などを)詳しく調べ、(根拠に基づいて)適否を評価すること。 ■監査とは・・・経営者(責任者)による報告が適切か否か確認 すること、または経営者(責任者)の説明責任に保証を与える こと。 ■内部監査とは・・・監査対象部署の責任者と同じ視点だけでなく 異なる視点から業務を見ることで、課題やリスクを発見すること。 (S先生) ■内部監査とは・・・警察ではなく、町内会の見回りのようなもの。 (N先生) P.8 Copyright 2010 Japan Information Security Audit Association. All rights reserved. www.jasa.jp 2010年度 JASA月例セミナー 内部監査にとって重要なこと (佐々木的5要件) (1)自己流でなく、世の中一般的に客観性のある監査を行える こと。 (2)いわゆる「旧来型の監査人」ではなく、最新の技法・知識を 身につけていること。 (3)経営者が求める「内部監査」像を理解すること。 (「経営に資すること」が最重要) (4)ある時には厳しい姿勢、ある時には被監査部署を大きな 事故から守りたいという暖かい心が必要であること。 (5)近年では、監査資格も重要であること。 P.9 Copyright 2010 Japan Information Security Audit Association. All rights reserved. www.jasa.jp 2010年度 JASA月例セミナー 「存在感の薄い内部監査」から「頼りにされる内部監査」へ 【×・・・「存在感の薄い内部監査」の特徴、○・・・「頼りにされる内部監査」の特徴】 ■業務範囲 ×監査業務以外は行わない ○監査室を作った経営者の思いを把握し、著しく合理性のないことを除き、大きなリスクの 未然回避に努めている ■「独立性」の捉え方 ×不備指摘は行うが、改善提言は監査室の仕事ではない ○情報セキュリティの改善に向けた提言は行うが、提言内容の採用は強制しない ■監査方法 ×監査とは「内部統制を見ること」と思い込み、更に「内部統制=形式要件」と誤解している ○内部統制も見るが、リスクの大きい領域はリスク管理そのものを見ている ■受託業務との相違 ×要求仕様がないので(要求されていないので)、そこまでやる必要はない ○要求仕様がないので、一歩踏み込んで確認しておかないと責任を全うできない ■経営報告 ×「内部監査規程」に準拠し、大きなリスクがあった時に社長に報告している ○どのような監査を行い、将来に向けてどのような課題が見え隠れしているか報告している P.10 Copyright 2010 Japan Information Security Audit Association. All rights reserved. www.jasa.jp 2010年度 JASA月例セミナー 内部監査に関する雑感 (1)「監査チェックリストに準拠した監査を実施し、 なおかつ、監査チェックリストを超える」 (2)「監査チームに必要な人材」 (3)「監査」と「かんさ」 (4)「勝ちに不思議な勝ちあり、負けに不思議な 負けなし」 (5)「何故、『監査人の職業倫理』は重要か!」 P.11 Copyright 2010 Japan Information Security Audit Association. All rights reserved. www.jasa.jp 2010年度 JASA月例セミナー Ⅲ.情報セキュリティ監査制度を 有効活用した内部監査 ~保証型監査との相違点も含めて(一部私見あり) P.12 Copyright 2010 Japan Information Security Audit Association. All rights reserved. www.jasa.jp 2010年度 JASA月例セミナー 情報セキュリティ監査制度を活用した内部監査 ■情報セキュリティ監査制度は外部監査人による監査を想定 したものであり、内部監査を直接対象としたものではない が、制度を構成する要素を採り入れると内部監査の品質は 向上する。 ■情報セキュリティ監査制度の構成要素を採り入れれば、 「客観的な規範・基準に基づく内部監査」にキャッチアップで きる。 【情報セキュリティ監査制度を構成する基準】 ・情報セキュリティ監査基準 ・情報セキュリティ管理基準 P.13 Copyright 2010 Japan Information Security Audit Association. All rights reserved. www.jasa.jp 2010年度 JASA月例セミナー 情報セキュリティ監査基準の有効活用(一般基準)① 情報セキュリティ監査基準で定められている各事項は、具体的な対応は異なるもの の、考え方としては外部監査人による監査、内部監査に共通するものが多い。 ■一般基準 一般基準の構成要素 外部監査人による監査 (助言型・保証型) 内部監査人による監査 (内部監査) (1)目的、権限と責任 契約に明記するのが一般的。 内部監査規程に定めることが一般的。 (2)独立性、客観性と職業倫理 【外観上の独立性】 【外観上の独立性】 監査会社・担当する監査人が被監査 主体から独立していること。 内部監査組織は社長直結としたり、 監査対象となる各部門には属さない 組織としていることが多い。 【精神上の独立性】 【精神上の独立性】 公平かつ客観的な判断を行える関 係にあること。 以前に所属していた部署の監査は 一定期間回避することが多い。 【職業倫理と誠実性】 【職業倫理と誠実性】 同左 情報セキュリティ監査人は、職業倫 理に従い、誠実に業務を実施しなけ ればならない。 P.14 Copyright 2010 Japan Information Security Audit Association. All rights reserved. www.jasa.jp 2010年度 JASA月例セミナー 情報セキュリティ監査基準の有効活用(一般基準)② 一般基準の構成要素 外部監査人による監査 (助言型・保証型) 内部監査人による監査 (内部監査) (3)専門能力 情報セキュリティ監査人は、適切な教育 と監査経験を通じて、監査人としての専 門的な知識および技能を保持しなけれ ばならない。他社の監査を実施する外 部監査人は高いレベルを求められる。 人事ローテーションによって他部門から 転入し専ら社内の監査を実施する内部 監査人に要求されるレベルは左記とは 異なるが、基本的な考え方は同じ。 (4)業務上の義務 【注意義務】 同左 情報セキュリティ監査人は、職業専門家 として期待されるレベルの注意が求めら れる。(職業的懐疑心) 【守秘義務】 情報セキュリティ監査人は、外部監査 人・内部監査人を問わず、適切な権限な しに情報を開示してはならない。 (5)品質管理 監査チームから独立した品質管理者の 任命を求めている。 品質管理の重要性は変わりはないが、 内部監査の部門長が職責に基づき品質 管理を行うことが多い。 P.15 Copyright 2010 Japan Information Security Audit Association. All rights reserved. www.jasa.jp 2010年度 JASA月例セミナー 情報セキュリティ監査基準の有効活用(実施基準)① ■実施基準 実施基準の構成要素 外部監査人による監査 (助言型・保証型) 内部監査人による監査 (内部監査) (1)監査計画の立案 監査計画のうちの重要な部分(監査目 的、監査対象範囲、監査対象期間、判 断の尺度、概要スケジュール等)は文書 化し、被監査主体の経営者あるいは情 報セキュリティ委員会等による承認を受 ける必要がある。 監査計画のうちの重要な部分(監査目 的、監査対象範囲、監査対象期間、判 断の尺度、概要スケジュール等)につい ては、一般的に年度計画として作成され、 社内規程に基づき、経営者あるいは情 報セキュリティ委員会等の承認を受ける のが一般的である。 なお、年度途中において緊急に監査す べき事項が生じたときは、年度計画にか かわらず個別監査計画を作成して監査 を実施すべきである。 (2)監査の実施 複数の監査技法を組み合わせると監査 証拠としての信頼性は高まる。 基本的な考え方は同じであるが、内部 監査においては、リスクアセスメントが行 われていないことも多く、その場合は監 査項目を的確に絞り込むための工夫を しなければならない。 リスクアセスメントの結果と関連づけ、リ スクの高い領域はより強力な管理策、リ スクの低い領域は相応の管理策を適用 する。 P.16 Copyright 2010 Japan Information Security Audit Association. All rights reserved. www.jasa.jp 2010年度 JASA月例セミナー 情報セキュリティ監査基準の有効活用(実施基準)② 実施基準の構成要素 (3)監査業務の体制 (4)他の専門職の利用 外部監査人による監査 (助言型・保証型) 内部監査人による監査 (内部監査) 情報セキュリティ監査人は、情報セキュリ ティ監査の目的が有効かつ効率的に達成 されるように、適切な監査体制を整え、監 査計画の立案から監査報告書の提出及 び改善指導までの監査業務の全体を管 理しなければならない。 同左 ⇒このためには、監査責任者は、監査リーダ・監 査人が必要な知識を習得できる機会を提供する 必要がある。 情報セキュリティ監査人は、情報セキュリ ティ監査の目的達成上、必要かつ適切と 判断される場合には、他の専門職による 支援を考慮しなければならない。他の専 門職による支援を仰ぐ場合であっても、利 用の範囲、方法、及び結果の判断等は、 情報セキュリティ監査人の責任において 行わなければならない。 同左 ⇒技術的検証を伴うことが多い外部監査人による 情報セキュリティ監査においては、ネットワークや ウェブアプリケーションなどの検証のために技術 者の支援を必要とする場合がある。また、必要に 応じて、当該分野に堪能な弁護士や会計士などの 支援を受けることもある。 ⇒内部監査は、外部監査人による監査と比較し て、一般的に侵入テスト等の技術的検証は尐な いと思われるが、皆無というわけではない。その ような場合は、社内のネットワーク部門やウェブ アプリケーション部門と協力して対応すべきであ る。 P.17 Copyright 2010 Japan Information Security Audit Association. All rights reserved. www.jasa.jp 2010年度 JASA月例セミナー 情報セキュリティ監査基準の有効活用(報告基準)① ■報告基準 報告基準の構成要素 外部監査人による監査 (助言型・保証型) 内部監査人による監査 (内部監査) (1)監査報告書の提出と開示 情報セキュリティ監査人は、実施した監 査の目的に応じた適切な形式の監査報 告書を作成し、遅滞なく監査の依頼者 に提出しなければならない。監査報告 書の外部への開示が必要とされる場合 には、情報セキュリティ監査人は、監査 の依頼者と慎重に協議の上で開示方法 等を考慮しなければならない。 内部監査においては取引先などより要請 された場合の例外はあるが、原則として 外部への開示は行わない。 (2)監査報告の根拠 情報セキュリティ監査人が作成した監査 報告書は、監査証拠に裏付けられた合 理的な根拠に基づくものでなければなら ない。 同左 (3)監査報告書の記載事項 監査報告書には、実施した監査の対象、 実施した監査の概要、保証意見または 助言意見、制約または除外事項、その 他特記事項について、情報セキュリティ 監査人が監査の目的に応じて必要と判 断した事項を明瞭に記載しなければな らない。 内部監査はすべて助言型監査である。 ⇒監査人が検出事項のみを記述するか、改善提 言まで記述するかは各社の内部監査方針による が、近年では、改善提言は助言型監査の一環と 考えている会社が多い。なお、監査人は業務執 行には踏み込めないため、自らの提言の実施に ついての意思決定には関与できない。 P.18 Copyright 2010 Japan Information Security Audit Association. All rights reserved. www.jasa.jp 2010年度 JASA月例セミナー 情報セキュリティ監査基準の有効活用(報告基準)② 報告基準の構成要素 (4)監査報告についての責任 外部監査人による監査 (助言型・保証型) 内部監査人による監査 (内部監査) 監査報告の記載事項については、情報 セキュリティ監査人がその責任を負わな ければならない。 同左 ⇒ただし、その責任は、記載された監査対象期 間内(監査時点)に限定される。 ⇒監査報告書の提出後に新たに発生した事象 や組織の変化、新たに発生した脅威に伴うリス クによる影響があっても、その責任を負うことは ない。 (5)監査報告に基づく改善事項 情報セキュリティ監査人は、監査の結果 に基づいて所要の措置が講じられるよ う、適切な対応が必要である。 ⇒ただし、提言の有無・課題対処のフォローアッ プは契約の定めに従う。 同左 ⇒内部監査は、組織の情報セキュリティ対策の向 上が重要な目的であることから、課題の指摘だけ でなく、適切な助言を求められることが多い。また、 課題の対処についてフォローアップを行い、その 結果を確認することは内部監査人の重要な役割 ある。 P.19 Copyright 2010 Japan Information Security Audit Association. All rights reserved. www.jasa.jp 2010年度 JASA月例セミナー 情報セキュリティ管理基準の有効活用① ■情報セキュリティ監査基準が「監査人の監査の実施における 行為の規範」であるのに対して、情報セキュリティ管理基準は 情報セキュリティ監査を実施する場合の「点検・評価のための 判断の規範」である。 ■情報セキュリティ監査基準が、監査制度に特化した基準で あるのに対して、情報セキュリティ管理基準は、情報セキュリ ティマネジメントシステムの設計・導入においても利用できる 基準である。 P.20 Copyright 2010 Japan Information Security Audit Association. All rights reserved. www.jasa.jp 2010年度 JASA月例セミナー 情報セキュリティ管理基準の有効活用② 情報セキュリティ管理基準の 構成要素 (1)マネジメント基準 (5)管理策基準 各基準の具体的内容 監査実施時の留意事項 ①計画プロセス ⇒情報セキュリティマネジメントの確立 ②実行プロセス ⇒情報セキュリティマネジメントの導入 と運用 ③点検プロセス ⇒情報セキュリティマネジメントの監視 およびレビュー ④処置プロセス ⇒情報セキュリティマネジメントの維持 および改善 ⑤文書と記録の管理プロセス 外部監査人による保証型監査の場合は、左 記の一連の情報セキュリティマネジメントシス テムが機能していることが「保証意見」の必須 要件となっている。また、助言型監査の場合は、 監査の実施は可能であるが、本来の情報セ キュリティ監査制度に基づく高品質の監査は期 待できない。 主要な管理領域(11)ごとに管理目的(39) が示され、次いで管理目的を達成するた めの詳細管理策(1,153)を体系化。 業務内容・リスクの大きさに応じて管理策を選 択し、監査項目とする。 内部監査の場合は、情報セキュリティマネジ メントシステムが十分に機能していない場合も、 自ら監査項目を絞り込むための工夫(例:自己 点検)を行い、まず監査を実施すべきである。 当該監査における検出事項とあわせて、情報 セキュリティマネジメントシステムの構築を提言 すると、自社の情報セキュリティ対策の向上に 貢献することができる。 情報資産のリスクに応じた適切な管理策 が選択・実装され、リスクが適切なレベル に低減または抑止されているか点検・評 価する。 P.21 Copyright 2010 Japan Information Security Audit Association. All rights reserved. www.jasa.jp 2010年度 JASA月例セミナー 情報セキュリティ管理基準(管理策基準)の有効活用①<ご参考> 管理領域 主な内容 (例示) JISQ対応 1.情報セキュリティ 基本方針 ・情報セキュリティ基本方針の策定と見直しを実施すること ・基本方針文書は、経営陣に承認され、全従業員に周知すること ・基本方針文書は、定期的に見直すこと A5 2.情報セキュリティ のための組織 ・情報セキュリティのための内部組織と外部組織についての要件を定め管理すること ・情報セキュリティ委員会を設置し、効果的に運用すること ・第三者によるアクセスについてセキュリティ管理策を実施すること ・外部委託の管理を行うこと A6 3.資産の管理 ・情報資産の責任者(オーナ)を定めること ・組織の情報資産の管理ルールを定めること ・情報資産の目録を作成し、ラベル付けを行うこと ・情報資産のリスクに応じた取扱いの手順を定めること ・情報資産の分類に基づき、適切なリスク管理を実施すること A7 4.人的資源のセキュ リティ ・雇用前、雇用期間中、雇用終了後の人的なセキュリティ管理を実施すること ・組織の変更について考慮しておくこと ・規程や雇用条件により情報セキュリティを維持すること ・情報セキュリティ順守のための教育・訓練を実施すること ・事故への対応、誤動作への対応を定めること A8 P.22 Copyright 2010 Japan Information Security Audit Association. All rights reserved. www.jasa.jp 2010年度 JASA月例セミナー 情報セキュリティ管理基準(管理策基準)の有効活用②<ご参考> 管理領域 主な内容 (例示) JISQ対応 5.物理的及び環境 的セキュリティ ・セキュリティ領域を明確にすること ・装置を保護、保守しセキュリティを管理すること ・設備の物理的・環境的セキュリティを管理すること ・電力、ネットワークなどインフラのセキュリティを確保すること A9 6.通信及び運用管 理 ・組織のシステム運用と相互通信の手順と責任を明確にし、セキュリティを維持 すること ・第三者が提供するサービスのセキュリティを管理すること ・情報システムのセキュリティ計画を作成し管理すること ・情報システム受入についてセキュリティを考慮すること ・悪意のあるコード及びモバイルコードからの保護対策をたてること ・セキュリティのためのバックアップ対策をたてること ・媒体の取扱のセキュリティ対策をたてること ・情報交換、メール、ウエブのセキュリティ対策をたてること A10 7.アクセス制御 ・アクセス制御全体の必要事項を明確にして対策をたてること ・利用者アクセス管理のためのセキュリティ対策をたてること ・ネットワーク、OS、アプリケーションのアクセス管理のためのセキュリティ対策を たてること ・ネットワークのアクセスを管理・監視すること ・パスワード等によるアクセス制御を行うこと ・ノートパソコン、携帯電話、遠隔操作等の管理策を定めること A11 P.23 Copyright 2010 Japan Information Security Audit Association. All rights reserved. www.jasa.jp 2010年度 JASA月例セミナー 情報セキュリティ管理基準(管理策基準)の有効活用③<ご参考> 管理領域 主な内容 JISQ対応 8.情報システムの取 得、開発及び保守 ・業務用の情報システムの取得、開発及び保守のセキュリティ対策をたてること ・暗号の利用について考慮すること ・開発及びサポートプロセスにおけるセキュリティを管理すること ・システムファイルのセキュリティを管理すること ・システムの変更を確実に管理すること A12 9.情報セキュリティイ ンシデントの管理 ・情報セキュリティ事象と弱点の報告のルールを定めること ・情報セキュリティインシデントの管理及び改善のための対策を実施すること A13 10.事業継続管理 ・事業継続への対応計画、見直し等の管理手順を定めること ・情報セキュリティ対策に関わる事業継続の対策は全社的な対策と整合性を とって実施すること A14 11.順守 ・法的要求事項などを順守すること ・セキュリティ方針及び技術標準を順守すること ・情報システム監査に関する留意点を考慮すること A15 P.24 Copyright 2010 Japan Information Security Audit Association. All rights reserved. www.jasa.jp 2010年度 JASA月例セミナー 情報セキュリティ内部監査組織の整備と監査人の育成 ■JASAの監査人倫理規程「第3条(監査人の基本的責務)」第1項は、 「監査技術の向上」、「監査主体の質の向上」を求めており、 内部監査組織の整備、監査人の育成は、情報セキュリティ内部監査の 実施にあたって極めて重要な事項である。 ■情報セキュリティ監査は、重要な情報資産の漏洩や改ざんを未然防止 し、必要な時に利用が可能か点検・評価するとともに、必要に応じ セキュリティレベルの維持・改善等に資する制度である。 業種・業容によって内部監査組織の規模等は当然異なるが、 情報セキュリティ監査が全く不要という企業・組織はあり得ないはずで ある。 P.25 Copyright 2010 Japan Information Security Audit Association. All rights reserved. www.jasa.jp 2010年度 JASA月例セミナー 情報セキュリティ内部監査組織の整備① 【内部監査組織がない場合】 ■総務部等に、内部監査や点検の機能がある場合は、当該部門が情報セキュリ ティ監査を担ってもよいし、新たに情報セキュリティ監査担当部門を定めてもよい。 ただし、内部監査にも「独立性の原則」があり、自部門の監査は実施できないため 注意すること。 ■監査体制の確立に必要なこと。 (1)監査責任者の選定 (2)監査のキーマンとなる者(監査リーダ)の育成 ⇒技量的に可能であれば、監査責任者が兼務しても可 ⇒キーマンに対して「習熟の場」の提供 (3)監査要員の確保 ⇒情報セキュリティ監査の範囲を定める ⇒監査期間を定める(年間or一定期間に集中) ⇒現実には、確保できた要員数から逆算して、監査範囲や監査スケ ジュールを定めることもある P.26 Copyright 2010 Japan Information Security Audit Association. All rights reserved. www.jasa.jp 2010年度 JASA月例セミナー 情報セキュリティ内部監査組織の整備② 【内部監査組織の役割と分担】 役割 監査責任者 経営者が任命する。監査の責任者として監査方 針を定め、毎年度の監査計画や監査結果を経 営者に報告する。 責任者として監査品質を管理し、品質向上に向 けた諸施策を行う。 監査リーダ 監査責任者の指示を受けて監査を実施し、監査 結果をとりまとめる。 監査技量の向上に向け、外部研修機関の研修 の受講等、自己研鑽に努める。 監査人 (監査要員) 監査リーダの指示に基づき監査を実施し、報告 する。 業務分担 監査方針、監査計画を立案し、人的リソースを手配す る。 監査品質の向上に向け、経営資源(ヒト、モノ、カネ、情 報)の有効活用を行う。 監査の各プロセスにおいてレビューを行う。 監査プログラムを作成し、実施し、結果のとりまとめと フォローに責任を持つ。 監査対象部門との窓口になり、良好な関係を築く。 監査人を指導支援し、監査品質の向上に努める。 監査手続を実施し、監査調書を作成する。 監査技量の向上に向け、外部研修機関の研修 の受講等、自己研鑽に努める。 P.27 Copyright 2010 Japan Information Security Audit Association. All rights reserved. www.jasa.jp 2010年度 JASA月例セミナー 情報セキュリティ内部監査組織の整備③ 【小規模な内部監査組織の場合】 ■ここでは、自社の情報セキュリティ関連規程への準拠性を中心とした内部監査は 実施しているものの、情報セキュリティ監査制度については詳しくない内部監査 組織を対象とする。 組織のイメージ:監査責任者と数名の監査スタッフ 運営のイメージ:①それぞれのスタッフが主担当領域を持って監査プログラムを 作成し、現地監査は全員で分担 ②専門領域(含む情報セキュリティ)については他部門が応援 することもあり ■監査体制の確立に必要なこと。 (1)監査のキーマンとなる者(監査リーダ)の育成 ・情報セキュリティ監査を主担当としている内部監査組織のスタッフ or ・情報セキュリティ監査の応援を行っている他部門のスタッフ (2)キーマンに対する情報セキュリティ監査制度「習熟の場」の提供 P.28 Copyright 2010 Japan Information Security Audit Association. All rights reserved. www.jasa.jp 2010年度 JASA月例セミナー 情報セキュリティ内部監査組織の整備④ 【大規模な内部監査組織の場合】 ■内部監査組織は大規模であっても、その中で情報セキュリティ監査に携わる要員 がわずかな場合は、前ページの【小規模な内部監査組織の場合】を参照。 組織のイメージ:監査責任者、監査リーダ、監査要員を含めて10名程度 あるいはそれ以上が情報セキュリティ監査に携わっている ただし、それに満たなくても、業種・業容によっては十分な組織と言える場合もある。 ■業界によっては多くのシステム監査人を抱え、システム監査とともに情報セキュリ ティ監査を実施しているケースがある。ただし、システム監査基準によれば、 「情報セキュリティの観点から監査を実施する場合には、情報セキュリティ監査 制度に基づく情報セキュリティ監査を行うことが要請される」とされている。 ■多くの大規模内部監査組織では上記に対応しているが、まだこの水準に達して いない場合はキャッチアップが必要。また、対応できている組織においても、 情報セキュリティ監査制度に基づく監査を実施できる要員の継続的育成が必要。 P.29 Copyright 2010 Japan Information Security Audit Association. All rights reserved. www.jasa.jp 2010年度 JASA月例セミナー 情報セキュリティ内部監査人の育成① ■情報セキュリティ内部監査の実施に相応しい力量の修得 ・知識教育 ・実践訓練(OJT:on the job training) ・社外研修機関による研修や実践トレーニングへの参加も有効な手段 ■以前は「資格」よりも「力量」が重要と言われていたが、近年、監査人のモラル およびスキル向上の視点から資格の取得もまた重視されている。 ■監査の力量に加え、内部監査人は、監査対象組織との信頼の確保に努め なければならない。信頼の確保のために特に遵守すべき事項は以下のとおり。 ①極力、被監査側の業務を妨げない。 ②極力、被監査側に無駄な労力をかけさせない。 ③被監査側の発言の尊重 ④意思疎通の強化 ⑤礼儀正しい態度 P.30 Copyright 2010 Japan Information Security Audit Association. All rights reserved. www.jasa.jp 2010年度 JASA月例セミナー 情報セキュリティ内部監査人の育成②<ご参考> ■「 JIS Q 19011:2003 品質及び/又は環境マネジメントシステムの監査のための 指針」は、様々なマネジメントシステム監査のガイドラインとして活用されている。 これによれば、監査人は以下のような個人的資質を備えていることが望ましいと されている。 ①倫理的である。すなわち、公正である、信用できる、誠実である、 正直である、そして分別がある。 ②心が広い。すなわち、別の考え方又は視点を進んで考慮する。 ③外向的である。すなわち、目的を達成できるように人と上手に接する。 ④観察力がある。すなわち、物理的な周囲の状況及び活動を積極的に 意識する。 ⑤知覚が鋭い。すなわち、状況を直感的に認知し、理解できる。 ⑥適応性がある。すなわち、異なる状況に容易に合わせる。 ⑦粘り強い。すなわち、根気があり、目的の達成に集中する。 ⑧決断力がある。すなわち、根気があり、目的の達成に集中する。 ⑨自立的である。すなわち、他人と効果的なやりとりをしながらも独立して 行動し、役割を果たす。 P.31 Copyright 2010 Japan Information Security Audit Association. All rights reserved. www.jasa.jp 2010年度 JASA月例セミナー 情報セキュリティ内部監査の効率的な進め方 ■情報セキュリティ監査制度は外部監査人による監査を想定しているため、内部監査に なじむよう再構成した。 情報セキュリティ監査制度 内部監査への置き換え ○監査契約の締結 ○年間監査計画書の作成・承認 ○監査基本方針の立案 ○監査基本方針の立案 ○監査実施計画の立案 ○予備調査の実施 ○監査手続の実施 ○監査実施計画の立案 ○監査意見の形成 ○監査手続の実施 ○監査報告書の作成 ○監査意見の形成 ○監査報告書の作成 ○フォローアップ P.32 Copyright 2010 Japan Information Security Audit Association. All rights reserved. www.jasa.jp 2010年度 JASA月例セミナー 情報セキュリティ内部監査の効率的な進め方「年間監査計画の作成・承認」① ■「年間監査計画のない内部監査はない」と言っても過言ではない。 ■「監査は経営の下支え」であり、社長(or CISO or 情報セキュリティ委員会等)の承認 を必要とするのが一般的である。 ■年間監査計画書の書式は会社によって異なる。 ・情報セキュリティ監査に限定した年間計画 ・情報セキュリティ監査以外も含んだ内部監査全体の年間計画 ■主な監査項目 ・監査目的、監査対象、監査の重点、監査スケジュール、監査人等 ※外部監査人が行う保証型監査・助言型監査においても、被監査会社の経営陣(社長 or CISO or 情報セキュリティ委員会)の承認が必要。 ※内部監査人向け研修においては、「社内の情報セキュリティ監査」、「受託業務の情報セキュ リティ監査」、「外部委託先の情報セキュリティ監査」から構成される年間監査計画書を雛型 として提示。 P.33 Copyright 2010 Japan Information Security Audit Association. All rights reserved. www.jasa.jp 2010年度 JASA月例セミナー 情報セキュリティ内部監査の効率的な進め方「年間監査計画の作成・承認」② ■高品質の年間監査計画作成の秘訣! 具体的監査項目を絞り込むために行う「予備調査」は先フェーズとされているが、 年間監査計画に影響を与えそうな領域については早めに予備調査を行うのがコツ。 ・組織改正・・・新設された組織はどのような機能を持ち、どのような情報資産を所持 しているか。 ・規定改正・・・直近の規定改正は何にウエイトが置かれており、その定着状況を 検証するためにはどのような監査を行えばよいか。 ・事務改正・・・管理ルールや事務ルールが変わったため、監査の行い方が変わる ものはないか。 また、以下のような社外情報を入手しておくと更に上流工程から品質が高まる。 ・マスコミ報道された新たな情報セキュリティリスク ・社外研修会に参加して学んだ最近の監査のトレンドやノウハウ ・法令、業界基準および技術的基準の改定の反映 P.34 Copyright 2010 Japan Information Security Audit Association. All rights reserved. www.jasa.jp 2010年度 JASA月例セミナー 情報セキュリティ内部監査の効率的な進め方「監査基本方針の立案」 ■経営者により承認された年間監査計画を遂行するために、内部監査組織全体および 各監査への経営資源の分配方法を立案する。与えられた経営資源を有効に使って 最高のパフォーマンスを発揮することは「監査の品質」そのものである。 ■個々の監査の基本的要素を定める。 ・監査リーダおよび監査実施者⇒監査チームの編成 ・監査対象の明確化 ・適用する基準の明確化 ・品質管理方法の決定(⇒最も基本的なものはレビュールール・スケジュールの決定)等 ■新たに情報セキュリティ監査制度の視点を採り入れた監査を実施する場合は、 その方針を明確に打ち出すことも効果的。 ⇒情報セキュリティ監査基準や情報セキュリティ管理基準の勉強会につながることも! P.35 Copyright 2010 Japan Information Security Audit Association. All rights reserved. www.jasa.jp 2010年度 JASA月例セミナー 情報セキュリティ内部監査の効率的な進め方「予備調査」① ■予備調査の目的は、監査の種類によって異なる。 ・外部監査人による助言型監査・・・監査基本計画から具体的な監査項目を絞り込み、 監査実施計画の作成に役立てる。(最も一般的) ・外部監査人による保証型監査・・・場合によっては、予備調査後に行う保証型監査を 受託できないこともある。(例:情報セキュリティマネジメントシステムが確立できて いない、必要な監査手続を実施できない、監査への協力を得られない 等。) ・内部監査・・・根本的な考え方は、外部監査人による助言型監査と同じ。ただし、 社内には閲覧できるデータベースも多く、更に品質を高めるための予備調査が 可能である。(後掲) また、年間監査計画に影響がありそうな領域については早めに予備調査を行うと 年間監査計画書の品質が向上する。 P.36 Copyright 2010 Japan Information Security Audit Association. All rights reserved. www.jasa.jp 2010年度 JASA月例セミナー 情報セキュリティ内部監査の効率的な進め方「予備調査」② ■実態に合った内部監査を行うためには、監査対象業務の概要把握が必要である。 ・業務内容の把握・・・情報セキュリティ管理面からリスクの高い領域を把握 (例:情報資産の管理、装置の管理、アクセス制御、セキュリティエリアの管理、 インシデントの管理、法令順守等) ・マネジメント体制の把握・・・管理組織、社内規程、運用手順書等 ・リスクマネジメント体制の把握・・・リスクアセスメントに基づくリスク対策 (情報セキュリティ監査制度においては必須とされているが、内部監査を実施 する場合には、実施されていない場合が多い。 その場合は、特に重点を置く監査項目、監査方法を絞り込むための工夫が 必要である。) ・コントロールの把握・・・コントロールが適切に整備され文書化されていること (予備調査の中で、実運用について回答を求めることもあるが、 あくまで参考であり、監査に代えることはできない。) P.37 Copyright 2010 Japan Information Security Audit Association. All rights reserved. www.jasa.jp 2010年度 JASA月例セミナー 情報セキュリティ内部監査の効率的な進め方「予備調査」③<ご参考> ■予備調査とは、本来、監査の計画段階において、監査ポイント、重点監査項目の絞込みを 行う目的で実施する事前の調査のことである。(例:リスクアセスメント、自己点検) ■社内の監査を行う場合には、閲覧できるデータベースがあり、事前にいろいろな情報を 入手可能である。つまり、監査の品質を更に高めるというもう一つの切り口からの予備調査 を行うことが可能である。 例 ・今年度改正された規定は何か、改正の背景は・・・ ・行政担当部門が今啓発を図っていることは何か、その背景は・・・ ・自部門でサーバを管理している部署はどこか、その用途は、運用ルールは・・・ ・関係者以外に秘匿すべきノーツDBは何か・・・ ・どのようなセキュリティ事故が発生しているか、発生した背景は・・・ ■あわせて、今、マスコミや専門誌、研究会・セミナー等でよく採り上げられている 情報セキュリティ事象にも注意する。(監査人の注意義務) ・個人情報保護 ・外部委託先の監督 ・WEBセキュリティ ・ファイル交換ソフト ・特権IDの管理 ・事業継続計画(広域災害対策・新型インフルエンザ対策) P.38 Copyright 2010 Japan Information Security Audit Association. All rights reserved. www.jasa.jp 2010年度 JASA月例セミナー 情報セキュリティ内部監査の効率的な進め方「監査手続書の作成」① ■「監査実施計画」のフェーズに含まれる。個別監査実施計画書と並行して作成して もよい。 ■監査計画に基づいて、時期や範囲など詳しい監査の実施方法を記述したもの。 監査要点と実施すべき手続きの関係を示す。 ■監査人にとっては、漏れなく監査手続を実施するためのツールであり、監査責任者 や 品質管理者にとっては、必要な手続が実施されているかどうか確認するために利用 する。 ■内部監査人研修では、監査手続書(監査チェックリスト)作成の模擬演習を 実施予定。 ※監査手続書(監査チェックリスト)については、外部監査・内部監査とも同じ書式を 使用可能。 P.39 Copyright 2010 Japan Information Security Audit Association. All rights reserved. www.jasa.jp 2010年度 JASA月例セミナー 情報セキュリティ内部監査の効率的な進め方「監査手続書の作成」② ■個別管理基準が作成されていない組織の内部監査を実施する場合は、社内規程 をべースに、情報セキュリティ管理基準や情報セキュリティ監査手続ガイドライン をリファレンスとして、社内ルールと客観的基準を融合させながら監査手続書を 作成することが多い。監査手続書は、一般的に監査チェックリストとも呼ばれている。 ■「監査手続の基本4要素」を理解していると監査チェックリスト作成の作業は効率的 かつ漏れがなくなる。 ①定義されているか ②ルールがあるか ③ルールに基づき実装されているか ④ルールに基づき記録が作成、検証、保存されているか ■監査実施前に想定エビデンスを記載しておく。(あくまで「想定」で可) ※保証型監査においては、被監査主体の経営者が作成した言明書に対して、 「情報セキュリティ管理基準」に基づき作成された「監査手続ガイドライン」をリファ レンスとして監査手続書(監査チェックリスト)を作成し、監査を行う。 P.40 Copyright 2010 Japan Information Security Audit Association. All rights reserved. www.jasa.jp 2010年度 JASA月例セミナー 情報セキュリティ内部監査の効率的な進め方「監査手続書の作成」③<ご参考 項目 管理目的 1.アク セス制 御に対 する業 務上の 要求事 項 電話受付 システムの 情報への 認可されて いないアク セスを制御 するため 1.②電話受付システム の利用者のアカウントは、 年に2回(1月、7月)見直 しを行う ア ク セ ス 制 御 A:定義、 B:ルール、 > 管理手続(言明に相当す るレベル) C:実装・運用、 1 A 監査手続 想定エビデンス 電話受付システムの利用者のアカ ウントの見直しについて、範囲・対 象が明確に定義されているかどう かを確認する *文書や記録の【閲覧】 ・情報セキュリティ規程 ・文書管理規程 ・利用者アカウント管理手順 ・アクセス権に関する定義書 ・職務分掌一覧 2 B 電話受付システムの利用者のアカ ウントを年に2回(1月、7月)見直し を行う公式な手順が規定されてい るかどうか確認する *文書や記録の【閲覧】 ・利用者アカウント管理手順 ⇒承認結果や改版履歴 ・情報セキュリティ委員会議事録 *記録の保管状況の【質問/観察】 3 C 公式な手順に従って、電話受付シ ステムの利用者のアカウントを年 に2回(1月、7月)見直しを行った記 録を確認する *文書や記録の【閲覧】 ・アカウント申請書 ・情報システム部の作業日誌 ・アカウント設定ログ ・アカウント管理台帳 4 D 見直しの結果とアカウント変更記録 または実際の設定情報あるいは運 用ログが整合が取れているかどう か確認する *文書や記録の【閲覧】 ・情報セキュリティ委員会議事録 *アカウント管理状況の【閲覧】 ⇒#cat /etc/passwd *アカウント管理状況の【再実施】 ⇒#su <削除されたユーザ> D:記録の作成・検証・保存 P.41 Copyright 2010 Japan Information Security Audit Association. All rights reserved. www.jasa.jp 2010年度 JASA月例セミナー 情報セキュリティ内部監査の効率的な進め方「監査通知書の作成」 ■「監査実施計画」のフェーズに含まれる。現地監査実施に先立ち、監査責任者より、被監査部門 の部門長宛に送付する。 ■各社によって異なるが、現地監査実施日の「3週間前までに送付」あるいは「2週間前までに 送付」のように定めていることが多い。 ■監査通知の事前送付の目的は以下のとおりである。 ・監査の目的や真意を被監査部門に理解してもらう。 ・監査の受入れ体制が整備され、円滑かつ効率的に監査を進められる。 ・日程調整が可能となり、お互いの業務活動に大きな齟齬をきたさない。 ・監査に対する無用の警戒心や不信感を与えることなく、被監査部門との円滑な 協調関係が維持できる。 ■よく記載される項目 ・監査の目的 ・監査人 ・監査スケジュール(監査当日のタイムスケジュールを含む) ・事前提出資料 ・当日準備資料 等 ※保証型監査においても考え方は同じであるが、社外宛文書という視点から特に留意する 必要がある。 P.42 Copyright 2010 Japan Information Security Audit Association. All rights reserved. www.jasa.jp 2010年度 JASA月例セミナー 情報セキュリティ内部監査の効率的な進め方「監査手続の実施」① ■実施手順は以下のとおり。 ・初回会議の開催(監査の目的、主なポイント、スケジュールについて説明し、相互理解 を図る。) ・コントロールの整備状況の評価(文書・記録の閲覧、質問などの監査技法を適用。) ・コントロールの運用状況の評価(整備されたコントロールが、実際に正しく運用されて いることを評価。質問・閲覧・観察・再実施などの監査技法を適用。) ・監査証拠の収集と評価(適切かつ十分か。) ■監査技法 ・質問(またはヒアリング) ・閲覧(またはレビュー) ・観察(または視察) ・再実施(またはテスト) ■監査手続終了後、監査手続書に監査結果を反映したものを監査調書と言う。 ※保証型監査においても考え方は同じであるが、内部監査と比較して、人為的な検証よりも 技術的な検証が必要になることが多い。 P.43 Copyright 2010 Japan Information Security Audit Association. All rights reserved. www.jasa.jp 2010年度 JASA月例セミナー 情報セキュリティ内部監査の効率的な進め方「監査手続の実施」②<ご参考> ■監査手続を実施するにあたり留意すべき事項として以下のようなものがある。以下は外部監査人による 監査の例であるが、内部監査においても参考となる。 ①秘密事項 ・被監査部門から秘密であることを理由に文書や記録の提示を拒否された場合は、監査責任者と 被監査部者の間で協議を行う。結果として提示されない場合、監査対象から除外し、監査報告書 には除外の旨および除外理由を記載する。 ②監査目的の達成が困難と判明した場合 ・経営陣と監査責任者、被監査部門が協議し、中断、一時停止、延期等により対応する。 または、監査目的を変更することで対応する。 ③法令、契約違反の疑義を発見した場合 ・組織内のコンプライアンス責任者と相談の上、対応する。 ④緊急対応の必要と思われる事象を発見した場合 ・システムにおいて重大な事象が発見された場合などが該当する。被監査部門や情報システム管理部 門 に対して対応を依頼する。 -不正侵入 -ウイルス・ワームの検知 -緊急かつ重要なセキュリティパッチ未適用 -管理者以外の者の管理者権限使用 -ネットワーク上の盗聴 -ログ改ざん・監査証拠隠蔽 等 ⑤監査対象範囲外の重大な問題を発見した場合 ・監査責任者が事実を確認の上、経営陣(部門長)に報告し協議する。必要に応じて改善のための 助言を行う。 P.44 Copyright 2010 Japan Information Security Audit Association. All rights reserved. www.jasa.jp 2010年度 JASA月例セミナー 情報セキュリティ内部監査の効率的な進め方「監査意見の形成」① 【監査調書の作成】 ■監査人が実施した監査手続の結果と、監査手続に関連して入手した資料等 は、監査の結論に至った経緯がわかるように監査調書として作成し、情報 漏洩や紛失等を考慮し、適切に保管しなければならない。被監査側から 提出された資料だけでなく、組織体外部の第三者から入手した資料等を 含むこともある。 ■監査調書は、主として監査意見の根拠とするために作成されるが、それ以外 にも、次回以降の情報セキュリティ監査を実施する際の資料としても役立ち、 また監査の品質管理の手段としても役立つ。更には、情報セキュリティ監査 人が正当な注意を払って監査業務を遂行したことの証ともなる。 ■監査調書は、監査終了後も、相当の期間、整理保存しておく必要がある。 監査調書には、被監査側の機密情報が含まれることがあり、保管場所や 保管責任者の特定を行う等、監査調書の保管には十分な注意が求められる。 P.45 Copyright 2010 Japan Information Security Audit Association. All rights reserved. www.jasa.jp 2010年度 JASA月例セミナー 情報セキュリティ内部監査の効率的な進め方「監査意見の形成」② 【監査意見の検討】 ■検出事項の洗い出し ・適用した基準に対して逸脱した事実や行為 ・監査手続によって発見された事実 ・文書や記録に基づく客観的な証拠に基づく事実 ■重要性(緊急性、リスク顕在時の重大性)に応じた整理 ・重要性はあくまで監査チームの判断による旨記載すること ■組織のルールに外れた行為に対する着眼点 ・ルールを守っていなかった ・守ることのできないルールがあった ⇒マネジメントの観点からはルールの問題を指摘することが重要 ■改善提言を行うか否かは組織の文化によって異なる。しかし、近年では、 助言型監査の趣旨に基づき、内部監査組織に提言機能を求める経営者が 多い。 P.46 Copyright 2010 Japan Information Security Audit Association. All rights reserved. www.jasa.jp 2010年度 JASA月例セミナー 情報セキュリティ内部監査の効率的な進め方「監査意見の形成」③<ご参考> 項目 管理目的 1.アク セス制 御に対 する業 務上の 要求事 項 電話受付シ ステムの情 報への認可 されていな いアクセス を制御する ため 管理手続 (言明に相当する レベル) 1.①電話受付シ ステムのアクセス 制御規則に基づ き、不要なアクセ ス権限を速やか に削除する 監査手続 1 2 A B 電話受付システムに関わ るアクセス権限の削除を 行うべき条件・時期が定義 されていることを確認する 電話受付システムのア クセス権限削除に関す る公式の手順があるこ とを確認する エビデンス 評 価 検出事項/理由 ○ ・業務システム利用者アカウント管 理手順 ・情報セキュリティ委員会議事録 (2008年4月1日) × アク セス 制御 4 C D 電話受付システムに関わ るアクセス権限が公式の 手順に従って削除されて いることを確認する ・・・・・・・・・・ 電話受付システムに関わ るアクセス権限が公式の 手順に従って削除されて いることを示す記録が検証 され、完全性を保って保管 されていることを確認する ・・・・・・・・・・ なし 以下の規則を 承認する公式 の手続きが確 認できなかった。 ・業務システム 利用者アカウン ト管理手順 ○ なし なし ○ 当該文書に ついて、全 社で適用す る、または、 特定の業務 に適用する といった適 用範囲を明 確にし、正 式な文書名 での承認を 行うこと。 なし なし なし なし P.47 Copyright 2010 Japan Information Security Audit Association. All rights reserved. 備考 ・・・・・・・・・・ 2008年4月1日 付情報セキュリ ティ委員会で承 認された規則は 以下の通りで、 実際に運用して いる文書名と異 なるため、正式 に承認されてい るとは言えない。 ・アカウント管 理手順(IS09M01) 3 改善提言/総 合所見 www.jasa.jp 情報セキュリ ティ委員会議事 録(2009年4月 開催予定)にて、 以下の承認結 果を確認する 1) 情報セキュ リティ文書体系 の承認につい て ・業務システム 利用者アカウン ト管理手順 (IS-09M01) なし なし 2010年度 JASA月例セミナー 情報セキュリティ内部監査の効率的な進め方「監査報告書の作成」① ■内部監査は助言型監査のため、監査報告書を作成する際には、「助言型 意見の表明方法」が適用される。 ・監査人の自由裁量で行わない (情報セキュリティ管理基準や社内ルールに照らして監査意見を述べる) ・改善提言の記載は、各社の監査に対する考え方による ・助言に基づく是正を強要しない ・保証を付与しているような誤解を与えない ■情報セキュリティ監査制度に基づく助言型監査・保証型監査では、助言意見 または保証意見を適切に述べることが求められる。このため、助言とも保証 とも解釈できず、あいまいな記述になりがちな総評は監査報告書には記載 しないのが一般的である。 ■一方、内部監査においては、仮に「概ね良好」というあいまいな意見であって も、簡潔な総評を記載することが一般的であることから、総評については、 各社の文化に委ねる。 P.48 Copyright 2010 Japan Information Security Audit Association. All rights reserved. www.jasa.jp 2010年度 JASA月例セミナー 情報セキュリティ内部監査の効率的な進め方「監査報告書の作成」② ■監査責任者/監査リーダは監査報告書Draftを作成し、レビューを受ける。 (相互レビュー/監査責任者によるレビュー) ■レビュー合格後、監査責任者/監査リーダは、被監査部門の責任者の確認 を受ける。 ■見解の相違が発生した場合は、以下のように解決する。 ・事実に関する見解の相違・・・再調査によって見解の相違を解決できる 場合もあるが、余計なコスト・時間を要するため、双方が自らの見解 の裏付けとなる証拠を出し合い、お互いの意見をすり合わせること が多い。 ・判断に関する見解の相違・・・検出された事象から懸念されるリスクに ついてお互いの意見をすり合わせることが多い。 ■その上で合意に至らない場合は、監査人の意見と被監査部門の責任者の 意見を併記することになる。 ■監査報告書提出後、関係者を交えて監査報告会を実施することが望ましい。 P.49 Copyright 2010 Japan Information Security Audit Association. All rights reserved. www.jasa.jp 2010年度 JASA月例セミナー 情報セキュリティ内部監査の効率的な進め方「フォローアップ」 ■情報セキュリティ内部監査は、組織の情報セキュリティの改善を目的として おり、監査結果のフォローアップは必須である。 ■ただし、すべて「監査」の形をとってフォローアップを行う必要はなく、どのよう な場合に、内部監査部門が「フォローアップ監査」を行うか基準を作っておく とよい。 <例>・部門全体として、情報セキュリティ向上に向けた取組みが遅れて いるという評価になった部門 ・重大な検出事項があり、当該項目の改善状況の確認のみ必要と 判断される部門 ・大規模な改善が行われたため、その取組を支援するためにも、 的確か否かの確認を行いたい部門 ■フォローアップ監査は、本監査と同じ監査手続を行う必要はなく、改善計画が 妥当か否かを判断の上、それが適切に行われているかフォローアップする ことが多い。 P.50 Copyright 2010 Japan Information Security Audit Association. All rights reserved. www.jasa.jp 2010年度 JASA月例セミナー 最後に・・・・・「監査リスク」と「監査の限界」 ■監査リスク=固有リスク×統制リスク×発見リスク ■監査人がコントロールできるものは発見リスクである。固有リスク・統制リスク が高いと思われる場合には、その領域に重点的に監査の要員や時間を投入 し、全体としての監査リスクを一定の範囲内に保つ努力が必要。 ■監査の限界 ・費用や時間の制約による限界 ・守秘義務による限界 ・非対称性から来る限界 ・能力の限界 ■品質管理の重要性 ・監査の各プロセスにおいて当然実施されていなければならないこと ばかりであリ、これらが確実に実施されていてるか管理することが、 品質管理の第一歩である。 P.51 Copyright 2010 Japan Information Security Audit Association. All rights reserved. www.jasa.jp 2010年度 JASA月例セミナー Ⅳ.それぞれのニーズ・目標に合った コースの選択 P.52 Copyright 2010 Japan Information Security Audit Association. All rights reserved. www.jasa.jp 2010年度 JASA月例セミナー すぐに実績を残せる新戦力は「会社の宝」である! ■入団して1年目から2桁勝てるピッチャーは将来性豊かな新戦力として、 チーム内、ファンから大いに期待される。 ■良い先輩に学び、自ら努力を続ければ、「球団の宝(エース)」になれる 可能性がある。 ■「情報セキュリティ内部監査人」(仮称)研修・資格も、転入初年度より 大いに機能発揮し、その後、研鑽を積むことで、「会社の宝」とも言える 監査人になるためのものである。 P.53 Copyright 2010 Japan Information Security Audit Association. All rights reserved. www.jasa.jp 2010年度 JASA月例セミナー 保証型監査を行える監査人は「社会の宝」である! ■目前に迫った「保証型監査時代」! ・監査会社側では保証型監査を実施できるCAIS、監査を受ける側 では保証型監査を受ける前に的確な内部監査を実施できるCAIS が求められる時代が目の前に来ている。 ・現在、内部監査を担当しているか外部監査を担当しているかを 問わず、優秀なCAIS資格保持者は更に研鑽し、「社会の宝」を 目指していただきたい! ■同時に、各社の内部監査の強化も必要! ・CAISの皆さんは、自社の情報セキュリティ内部監査の初心者が 適切な監査を実施できるよう、新しい研修コースについての情報 連携をしていただき、初心者のスキルアップに向けた伝道師的な 役割を果たしていただきたい。 P.54 Copyright 2010 Japan Information Security Audit Association. All rights reserved. www.jasa.jp 2010年度 JASA月例セミナー THANKS! From Y-Sasaki P.55 Copyright 2010 Japan Information Security Audit Association. All rights reserved. www.jasa.jp
© Copyright 2024 Paperzz