情報セキュリティ管理における点検の一般的なものは監査です。監査は下記の様な分類がされています。また監査を実施する監査人には下記の様な資質が求められています。
監査の対象:準拠性監査と妥当性監査
- 準拠性監査:被監査部門は情報セキュリティポリシーに準拠して行動しているかを見ます。
- 組織の情報セキュリティポリシー(規定やマニュアル等)というルールに従って情報セキュリティ対策が実施されているか否かを点検・評価する
- 組織の担当者や責任者(被監査部門)が、情報セキュリティポリシーに従い、実施しているかどうかをチェックする
- 妥当性監査:情報セキュリティポリシー自体が妥当かを見ます。
- 組織の情報セキュリティポリシーというルールそのものが、ポリシーガイドラインをはじめ、JIS Q 27002 等の基準や当該団体の情報セキュリティを取り巻く状況等に照らし妥当なものかどうかを点検・評価する
- 組織に正しい情報セキュリティポリシー(規定やマニュアル等)が整っているか、妥当なものかをチェックする
監査の実施者:内部監査と外部監査
- 内部監査:組織内で監査人(監査を行う人)をたて、被監査部門に対して監査を行う
ただし、監査人は被監査部門、ポリシー策定部門と独立した部門(人)である必要があります。
費用があまりかからないので、比較的よく行われますが、組織内で行われるため、監査内容が甘くなるようなデメリットもあります。
- 外部監査:組織外で監査人を立て、被監査部門に対して監査を行う
外部の監査を行っているベンダー等に依頼して監査を行います。厳密な監査が期待できますが、費用等結構掛かります。 - その他:監査人(部門)と被監査部門を相互に入れ替えて実施する「相互監査」などもあります。
監査の型:助言型監査と保障型監査
- 助言型:組織の情報セキュリティ対策の改善の方向性を助言することを目的とする
- ベストプラクティス(最良と考えられている事例)に近づけるための手段、方策を提供する
- ごく一般的に行なわれる
- 保障型:組織の情報セキュリティの水準を保証することを目的とする
- ある情報セキュリティのレベル(ランク)にあることを監査人(組織)が保証する
- 現状、あまり行われない
監査人の要件:
監査人は下記の様な資質が求められます。(経産省 情報セキュリティ監査基準より)
- 外観上の独立性
情報セキュリティ監査人は、情報セキュリティ監査を客観的に実施するために、監査対象から独立していなければならない。監査の目的によっては、被監査主体と身分上、密接な利害関係を有することがあってはならない
- 精神上の独立性
情報セキュリティ監査人は、情報セキュリティ監査の実施に当たり、偏向を排し、常に公正かつ客観的に監査判断を行わなければならない
- 職業倫理と誠実性
情報セキュリティ監査人は、職業倫理に従い、誠実に業務を実施しなければならない
- 専門能力
情報セキュリティ監査人は、適切な教育と実務経験を通じて、専門職としての知識及び技能を保持しなければならない
- その他(業務上の義務)
注意義務:情報セキュリティ監査人は、専門職としての相当な注意をもって業務を実施しなければならない
守秘義務:情報セキュリティ監査人は、監査の業務上知り得た秘密を正当な理由なく他に開示し、自らの利益のために利用してはならない