監修・NPO日本ネットワークセキュリティ協会
セキュリティ監査WG
文・丸山満彦(監査法人トーマツ 公認会計士 公認情報システム監査人)
今回は、特定非営利活動法人日本セキュリティ監査協会(以下、JASA)から公表された助言型監査ガイド(ただし、8月19日現在、JASAのWebページでは公開されていません)を、いち早くご紹介したいと思います。助言型監査とは情報セキュリティの基準への準拠の不備を指摘するものです。これに対して、基準への準拠を保証する「保証型監査」があります。
・助言型監査ガイドの生い立ち
JASAは「情報セキュリティ監査制度」を社会に普及・浸透するために情報セキュリティ監査を実施する団体で、一般企業や団体などの内部監査実施部門が中心となり設立された団体です。情報セキュリティ監査を社会に普及・浸透するためには監査主体による「公正かつ公平な情報セキュリティ監査」の実施が欠かせないため、JASAでは標準的な監査手法や監査技術を確立し、監査の質(高い倫理観、高い専門的な能力)が一定水準以上であることを担保する仕組み作りを行っています。JASAの組織図は下図のとおりですが、「助言型監査ガイド」は、標準的な助言型監査を確立するために、技術部会で作成されました。
■JASA組織図 |
・助言型監査ガイドの位置付け
助言型監査ガイド(以下、本ガイド)は、
情報セキュリティ監査基準に基づいて、組織体外部の監査主体が助言型監査を実施する際の監査手順及び監査実施上の留意点
を示したものです。基本的に監査対象組織、監査依頼者の所属している組織とは別の組織の監査主体が監査することを想定していることに留意してください。
このガイドに記載されていない事項については、「情報セキュリティ監査基準実施基準ガイドライン」及び「情報セキュリティ監査基準報告基準ガイドライン」によることになります。 情報セキュリティ監査人が従うべき監査規範の優先順位は、「情報セキュリティ監査基準」、「情報セキュリティ監査基準実施基準ガイドライン」及び「報告基準ガイドライン」、「助言型監査ガイド」の順になります。従って、情報セキュリティ監査基準に準拠して監査を実施する場合は、監査人は基本的にこの助言型監査ガイドに従った監査を実施することが要請されることになります。裏返せば、「情報セキュリティ監査基準に準拠して監査を実施した」と監査報告書に記載する場合は、本ガイドにも従ったものであることが必要となります。
また、総務省から発表されている「地方公共団体における情報セキュリティ監査の在り方に関する調査研究報告書 別添2地方公共団体情報セキュリティ監査実施手順」(以下、総務省監査実施手順)との関係で言うと、総務省の監査実施手順は地方公共団体が外部の情報セキュリティ監査人に監査を依頼し、実施する際の手順を示したものであるのに対し、本ガイドはそれを受けて実際に監査人が実施する監査手順及び監査実施上の留意点を示したものという関係になります。
・助言型監査ガイドの作成方針
本ガイドは、
- 情報セキュリティ監査基準
- 同基準 実施基準ガイドライン
- 同報告基準ガイドライン
に加え、
- JIS Q 19011(品質及び/または環境マネジメントシステム監査のための指針)
- 会計士協会の監査基準委員会報告書
- 総務省監査実施手順
を参考に作成されています。
既存の監査規範とは矛盾することのないようになっています。ただし、情報セキュリティ監査基準が経済産業省告示として交付されていること、また情報セキュリティ監査制度全般の位置付けを明確にするために、用語等の使い方については情報セキュリティ監査基準、実施基準ガイドライン、報告基準ガイドラインを優先させています。
・助言型監査ガイドの構成
本ガイドは、以下のような構成となっております。
|
監査実施手順に従って、おおむね時系列に書かれています。この章立てに沿って、概要を解説していきます。
・用語の定義
情報セキュリティ監査基準やガイドラインにおいては、用語の定義が明確にされていませんでした。そこで、助言型監査マニュアルでは用語の定義を行いました。今回はそのうち重要な用語について、抜粋します。
|
|