情セキマネテキスト_８章：システム監査 – インフラエンジニアの備忘録

タグ:

第三者が監査することで、問題を未然に防いだり、早期に発見することが可能になる。また、そうした取り組みによって外部から信頼を得ることができる。

情報システムを対象にした、第三者の評価のこと。システムの高度化に伴い、当事者以外のステークホルダーがシステムの実体を把握することが難しくなっている昨今、システム監査の重要度はますます高まっている。

システム監査においては、依頼を受けた専門家や担当部署がシステムの企画・開発・運用・保守・利用までの状況を客観的に評価する・

組織の情報セキュリティマネジメント体制を対象とした、第三者による評価のこと。情報セキュリティに特化した監査であり、組織の情報資産すべてを対象に、情報セキュリティの取り組み・対策が適切に実施されているかを客観的に評価する。

経済産業省によって策定された、情報セキュリティ監査に関する以下の基準がある。

情報セキュリティ管理基準	情報セキュリティ監査を受ける組織の実践規範。情報セキュリティ監査において組織が行うべき推奨事例をまとめたもの
情報セキュリティ監査基準	監査人の行動規範。独立性の確保や守秘義務などについてまとめられている。

表：情報セキュリティ監査のための基準

システム監査が情報セキュリティを含むシステムの信頼性・安全性・効率性・有効性を監査するのに対し、情報セキュリティ監査は組織における情報セキュリティ確保のためのマネジメント実施状況を監査する。

企業が財務会計でミスや不正を行わないように、組織の内部ルールや仕事のやり方を整備・実施・証明すること。（例：従業員同士の相互チェックルール）

内部統制の内、ITに関連する部分のこと。システムやシステムを用いた業務について、ルールや仕事のやり方を整備・実施・証明する。

IT統制には、予防統制と発見統制の２段階がある。

・予防統制：ミスや不正を防ぐための統制のこと
・発見統制：ミスや不正を見つけるための統制のこと

また、統制の対象には以下の２種類がある。

・IT業務処理統制：システムを使った業務を統制すること。
・IT全般統制：適切なシステムを開発・運用すること

企業が経営目標を達成するために、ITを過不足なく活用すること。経営戦略に沿ったIT戦略の策定や、セキュリティ事故を防止するために従業員によるIT利用を制限したりする。

投稿者