aaaiiuie

学習(備忘録)のため運用

情報処理安全確保支援士 4.10 情報セキュリティ監査及びシステム監査

4.10.1 情報セキュリティ監査の必要性と監査制度の概要

情報セキュリティ監査の必要性

情報セキュリティ監査とは、企業などの情報セキュリティ対策について、独立かつ専門的知識を要する仙mんかが客観的評価を行うことである。情報セキュリティ監査は、情報セキュリティマネジメントにおけるPDCAサイクルのうちチェックに該当する。

その内容としては実施しているセキュリティ対策に不備がなく、適切に機能しているかどうかをチェックし、問題点があれば洗い出すというものである。 このような取り組みがなされないとすれば、実施しているセキュリティ対策の問題点が認識されることなく放置され、結果組織のセキュリティレベルがれいかしてしまうことになる。 こうした状況を防ぐためには、定期的に監査を実施し、問題点を改善していく必要がある。

監査によって期待される効果

監査を定期的・継続的に実施することによって、次のような効果が期待できる

  1. 情報セキュリティ対策の欠陥箇所の発見
  2. 情報セキュリティマネジメントの確立
  3. 顧客や社会からの信頼の獲得

4.10.2 システム監査制度の概要

システム管理基準の骨子

1)ITガバナンス定義

ITガバナンスとは経営陣がステークフォウrだのにー図に基づき、組織の価値を高めるために実践する行動であり、情報システムのあるべき姿を示す情報システム戦略の策定及び実現に必要となる組織能力である。

2)ITガバナンスにおけるEDMモデル

ITガバナンスの定義における経営陣の行動を、情報システムの企画、開発、保守、運用に関わるITマネジメントとそのプロセスに対して、経営陣が評価し、指示し、モニタすることとする。またITガバナンスに関する規格より、評価、指示、モニタ、の頭文字をとってEDMモデルと呼ぶ。

3)ITガバナンスにおける6つの原則

ITガバナンスを成功に導くため、経営陣は次の6つの原則を採用することが望ましい。

1 責任

役割に責任を負う人は、その役割を遂行する権限を持つ。

2 戦略

情報システム戦略は、情報システムの現在及び将来の能力を考慮して策定し、現在及び将来のニーズを満たす必要がある。

3 取得

情報システムの導入は、短期・長期の両面で効果、リスク、資源のバランスが取れた意思決定に基づく必要がある。

4 パフォーマンス

情報システムは、現在及び将来のニーズを満たすサービスを提供する必要がある。

5 適合

情報システムは、関連する全ての法律及び規則に適合する必要がある。

6 人間行動

情報システムのパフォーマンスの維持に関わる人間お行動を尊重する必要がある。

また、情報システムの管理において共通している留意すべき基本的な事項を以下に示す。

  1. ITガバナンス
  2. 企画フィーズ
  3. 開発フェーズ
  4. アジャイル開発
  5. 運用・利用フェーズ
  6. 保守フェーズ
  7. 外部サービス管理
  8. 事業継続管理
  9. 人的資源管理
  10. ドキュメント管理