27-19. 第19章. セキュリティ対策状況の有効性評価
19-1. 内部監査
19-2. 外部監査
章の目的
第19章では、セキュリティ対策をした結果、効果があったのか、目標に近づいているかを判断するための取組として、監査について理解することを目的とします。
主な達成目標
・ 内部監査および外部監査の重要性について理解すること。
主なキーワード 内部監査、外部監査
要旨
19章の全体概要
19章では、セキュリティ対策の効果を確認するための監査について説明しています。内部監査とは、セキュリティのルールや扱っている文書などが、自社で規定した要求事項を満たしており、決められたルールに沿って業務が実施されているかをチェックすることです。最初は、内部監査により組織内のルールや手順が適切に守られているかを確認し、運用に慣れたら、その有効性について評価します。次に、外部監査を通じて第三者による客観的な視点から評価し、改善点を見つけることが推奨されます。内部と外部の監査を組み合わせることで、ルールの形骸化を防ぎ、目的達成に向けた対策が継続的に改善されるよう努めます。
19-1. 内部監査
セキュリティのルールを整備したばかりの段階では、関係者がルールを理解し、遵守できているか適合性を重視してチェックします。運用に慣れてきたら、社内のルールや文書の内容が適切か否か有効性をチェックします。内部監査の視点を適合性から有効性へと移していくことで、ルールが形骸化し、目的が見失われる状態を防げるでしょう。
19-2. 外部監査
セキュリティ対策の実施状況について外部監査を受けることは、情報漏えいやサイバー攻撃などのリスクに対する対策が適切かつ有効であるか否かをチェックする手段の1つです。情報セキュリティ監査を受ければ、自社のセキュリティ対策が正しく行われているか確認でき、不十分な点を洗い出して迅速に対処できます。また、顧客や取引先に、セキュリティ対策を適切に行っていることをアピールできます。
詳細理解のため参考となる文献(参考文献)
