IV.監査手続きの実施
この章は、監査手続を実施する際の留意点について主に記載しています。その内容は以下のとおりです。
|
次に、この章における重要なポイントについて解説していきます。
・コントロールの整備状況及び運用状況の評価
情報セキュリティ監査においては、コントロールの整備状況の評価をした後、運用状況の評価をすることになります。コントロールが適切に整備されているということは、リスクアセスメントの結果に基づき、適切な承認を経てコントロールが定義され、文書化されていることになります。
監査人はまず、監査対象にコントロールが適切に整備されていることを評価することになります。そして、その定義され文書化されたコントロールが適切に運用されていることを評価することになります。理想的にはコントロールが定義され、文書化されていることが望ましいですが、定義されているが文書化されていないコントロールが運用されていることがありえます。その場合は、文書化されていないことを持って「コントロールが整備されていない」と評価するのではなく、「コントロールは現時点では有効に機能しているが、文書化されていないために俗人的に行われており、継続的な実施が保証されない」といった評価が望ましいでしょう。
・法令違反の疑いのある行為を発見した場合の対応
情報セキュリティ監査を実施している過程で、監査対象組織が法令違反(例えば、個人情報保護法など)の疑いのある行為を行っていることを監査人が発見する場合が想定されます。そのような場合の対応について、本ガイドでは、次の対応をとることが望ましいと記載しています。
|
法令に違反しているか否かについての判断は、法律に関する専門能力が必要であり、情報セキュリティ監査人の能力を超える場合が多いため、明らかに法律違反をしているかどうかの判断に迷う場合は、法律の専門家でない監査人が助言を行わないことが望ましいとしています。このような場合は、監査人は法律の専門家の判断を仰ぐか、監査対象組織に法律の専門家の判断を仰ぐように助言することが望ましいと記載しています。
・緊急の対応が必要と思われる事象を発見した場合の対応
情報セキュリティ監査を実施している過程で、緊急の対応が必要と思われる事象を監査人が発見する場合が想定されます。例えば次のような場合です。
- 不正侵入が行われている事実に気づいた場合
- 管理者権限が管理者以外により利用されている事実に気づいた場合
- ウィルスやワームなどのマルウェアが検知された場合
- 無線LANなどのネットワーク上の情報の盗聴が行われていることに気づいた場合
- 重要かつ緊急のセキュリティパッチが当っていない状況を発見した場合
- ログ情報の改ざんや監査証跡の隠蔽などの不正を行っている事実に気づいた場合
このような場合に監査人が安易な助言を行うことがかえって会社の被害を拡大することにつながることが考えられため、助言を行う場合、自らの能力を勘案し、助言の内容を十分に吟味しなければなりません。監査人は、次の対応をとることが望ましいと記載しています。
|
・その他、監査対象範囲外の重要な問題を発見した場合の対応
情報セキュリティ監査を実施している過程で、管理者または担当者の発言、文書及び記録の閲覧等により、契約に基づく監査対象範囲外の重要な問題(法令違反等の不正の疑いのある事象、緊急の対応が必要と思われる事象等)を発見する場合が想定されます。このような場合、監査実施者は、速やかに、監査責任者に報告するように記載しています。また、契約で定めた監査対象範囲外の事象の取り扱いについては、当該事項の監査報告書への記載の是非、記載の方法等について監査対象組織と協議することを検討するよう求めています。
|
