監査とは、実際の情報システムの運用状態を、セキュリティポリシーに定められた「あるべき姿」に向けて近づける活動です。
監査は批判的に
情報セキュリティの監査は、作成されたセキュリティポリシーに従って運用・訓練されているか、技術的・定期的運用ができているかなどについて総合的に点検・評価する活動です。
基本的には調査行為といえますが、その調査結果を経営トップに助言・勧告するとともにフォローアップする一連の活動までを含むことに注意してください。調査のやりっぱなしでは、何もかわりません。監査において重要なのは、常に批判的でなければならないことです。一定の基準(セキュリティポリシー)に照らして批判することで、「情報セキュリティ」という目的の達成を援助します。監査には、大別すると外部監査と内部監査があります。
外部監査の場合、独立した第三者によって行われるため(外観的独立性)、客観的かつ批判的な立場で評価ができます(精神的独立性)。客観的な評価を得るには、外部のセキュリティベンダーによる監査サービスを利用するのが得策です。また、内部監査を行う場合は、精神的独立性を常に意識して実施しなければなりません。
監査の円滑な実施のために
監査には、関係部門からの独立性が必須ですが、逆に関係部門からの協力が不可欠です。この相反する側面を克服し、円滑な監査を行うには、全社的な土台作りが必要です。全社的な土台作りには、経営陣の理解と協力が重要です。監査の円滑な実施のためには、事前の準備が必須です。実施手順、評価方法、報告・フォローアップの手順、作成するドキュメントなどをあらかじめ具体化しておきましょう。
監査とは、現実を「あるべき婆」に向けて近づける活動
監査の流れは、
- 監査計画の立案
- 監査の実施
- 監査の報告
の3つに分けられます。「監査計画の立案」は、監査対象、範囲、日程といった個別かつ具体的な実施計画を立てます。「監査の実施」は、個別の実施計画に基づき予備調査、本調査、評価・結論の順に行います。「監査の報告」は、依頼者である経営陣へ改善勧告するための報告書を作成し、改善作業の円滑な実施を支援します。
コメント