東京都産業労働局 令和5年度中⼩企業サイバー
セキュリティ対策継続支援事業

文字サイズ

18

セキュリティ対策状況の有効性評価 18-1. 内部監査・外部監査

章の目的

第18章では、セキュリティ対策をした結果、効果があったのか、目標に近づいているかを判断するための取組みとして、監査について理解することを目的とします。

主な達成目標

  • 内部監査および外部監査の重要性について理解すること。

18-1-1. 内部監査

内部監査とは、セキュリティのルールや扱っている文書などが、自社で規定した要求事項を満たしており、決められたルールに沿って業務が実施されているかをチェックすることです。セキュリティのルールを整備して日が浅いうちは、関係者がルールを理解し、遵守しながら仕事ができているかを重視して判断します。運用に慣れてきたら、設けられた社内のルールや使っている文書の内容が適切か、その有効性を判断していきます。内部監査の視点を適合性から有効性へと移していくことで、ルールが形骸化し、目的が見失われている状態になることを防げるでしょう。

内部監査の進め方については、第7回のテキストで説明している内容をご参照ください。

図71. 内部監査の進め方