19-2-18. 第18章. セキュリティ対策状況の有効性評価
18-1. 内部監査・外部監査
章の目的
第18章では、セキュリティ対策をした結果、効果があったのか、目標に近づいているかを判断するための取組として、監査について理解することを目的とします。
主な達成目標
内部監査および外部監査の重要性について理解すること。
主なキーワード
内部監査、外部監査
要旨
18章の全体概要
セキュリティ対策状況の有効性評価として、内部監査と外部監査について説明しています。内部監査では、セキュリティのルールや扱っている文書などが、自社で規定した要求事項を満たしており、決められたルールに沿って業務が実際されているかをチェックします。外部監査では、企業が保有する情報資産を守るための体制や環境が整っているかを第三者がチェックします。
18-1. 内部監査・外部監査
-
内部監査
セキュリティのルールを整備したばかりの段階では、関係者がルールを理解し、遵守できてるか適合性を重視してチェックします。運用に慣れてきたら、社内のルールや文書の内容が適切かどうか有効性をチェックします。内部監査の視点を適合性から有効性へと移していくことで、ルールが形骸化し、目的が見失われる状態を防げるでしょう。 -
外部監査
セキュリティ対策の実施状況について外部監査を受けることは、情報漏えいやサイバー攻撃などのリスクに対する対策が適切かつ有効であるかどうかをチェックする手段の1つです。情報セキュリティ監査を受ければ、自社のセキュリティ対策が正しく行われているか確認でき、不十分な点を洗い出して迅速に対処できます。また、顧客や取引先に、セキュリティ対策を適切に行っていることをアピールできます。
訴求ポイント
章を通した気づき・学び
企業や組織は、セキュリティ対策状況の有効性評価として定期的に内部・外部監査を実施することが重要です。
認識していただきたい実施概要
- 外部監査を行うことで、第三者視点で企業が保有する情報資産を守るための体制や環境が整っているかをチェックでき、また顧客や取引先に、セキュリティ対策を適切に行っているというアピールにも繋がること。
- 内部監査を行うことで、セキュリティのルールや文書の内容が適切かどうかの有効性をチェックでき、形骸化し、目的が見失われている状態を防止することに繋がること。
実践のために参考となる文献(参考文献)