最終回 システム監査と情報セキュリティ監査を学ぶ対策に最適な制度を活用する(1/3 ページ)

個人情報に関する各種制度を解説するシリーズの最終回。今回は個人情報保護にかかわる監査制度として、システム監査制度と情報セキュリティ監査制度について解説する。

» 2005年02月10日 08時00分 公開
[丸山満彦,ITmedia]

2つの制度

 システム監査制度および情報セキュリティ監査制度は、プライバシーマーク制度やISMS適合性評価制度と異なり、認定、認証制度でもなくシール制度でもない。システム監査やセキュリティ監査の「結果を利用する者」「監査を受ける者」「監査を実施する者」の3者間の認識の共通化を図るための制度といえる。

1.システム監査制度

 システム監査制度は、「組織体の情報システムにまつわるリスクに対するコントロールがリスクアセスメントに基づいて適切に整備・運用されているかを、独立かつ専門的な立場のシステム監査人が検証又は評価することによって、保証を与えあるいは助言を行い、もってITガバナンスの実現に寄与すること」(システム監査基準/NPOシステム監査人協会)を目的とした制度で、1985年に制度が開始された。そういう意味では、本連載で紹介してきた制度の中で最も歴史が古い。

 システム監査の監査対象は、情報システムのライフサイクルに従った情報システム戦略および計画、設計、運用、保守といったプロセスに含まれる内部統制である。システム監査制度では、システム管理基準を判断基準として監査を実施するのが原則だ(ただし、セキュリティ部分については、情報セキュリティ管理基準を利用する)。システム管理基準の概要は以下の通りである。

表1●システム管理基準の概要:2004年10月8日策定(出展:システム管理基準/NPOシステム監査人協会
大項目 中項目 小項目数
T. 情報戦略 01. 全体最適化 18 47
02. 組織体制 9
03. 情報化投資 6
04. 情報資産管理の方針 4
05. 事業継続計画 5
06. コンプライアンス 5
U. 企画業務 01. 開発計画 9 23
02. 分析 8
03. 調達 6
V. 開発業務 01. 開発手順 4 49
02. システム設計 15
03. プログラム設計 5
04. プログラミング 4
05. システムテスト・ユーザ受入れテスト 13
06. 移行 8
W. 運用業務 01. 運用管理ルール 4 73
02. 運用管理 16
03. 入力管理 5
04. データ管理 10
05. 出力管理 7
06. ソフトウェア管理 9
07. ハードウェア管理 6
08. ネットワーク管理 6
09. 構成管理 4
10. 建物・関連設備管理 6
X. 保守業務 01. 保守手順 3 19
02. 保守計画 3
03. 保守の実施 3
04. 保守の確認 5
05. 移行 3
06. 情報システムの廃棄 2
Y. 共通業務 01. ドキュメント管理 9 76
02. 進捗管理 6
03. 品質管理 4
04. 人的資源管理 13
05. 委託・受託 25
06. 変更管理 6
07. 災害対策 13
      287

 なお、情報システムコントロール協会(ISACA)もCOBIT(Control Obective Information and Related Technology)というシステムの内部統制目標の一覧表を公表している。COBITもシステムのライフサイクルに従って、300以上の内部統制目標が整理されている。COBITの概要については、以下の通りである。

表2●COBITの概要(出展:COBIT Ver.3を仮訳/ISACA
ドメイン ハイレベルコントロール
PO 計画と組織 01 戦略的IT計画の定義
02 情報アーキテクチャの定義
03 技術指針の決定
04 ITの組織とそのかかわりの定義
05 IT投資の管理
06 マネジメントの意図と指針の周知
07 人的資源の管理
08 外部要求事項の遵守の保証
09 リスク評価
10 プロジェクト管理
11 品質管理
AI 取得と実施 01 コンピュータ化対応策の明確化
02 アプリケーションソフトウェアの調達と保守
03 技術インフラの調達と保守
04 操作、運用手続の作成と維持
05 システムの導入と受入信認
06 変更管理
DS デリバリーとサポート 01 サービスレベルの定義と管理
02 サードパーティのサービスの管理
03 成果と能力(キャパシティ)の管理
04 継続的なサービスの保証
05 システムセキュリティの保証
06 コストの捕捉と配賦
07 利用者の教育と研修
08 利用者に対する支援と助言
09 構成管理
10 問題と事故の管理
11 データ管理
12 設備管理
13 オペレーション管理
M モニタリング 01 プロセスのモニタリング
02 内部統制の十分性の評価
03 独立した第三者の保証の獲得
04 独立監査の実施

 システム監査については、NPOシステム監査人協会(SAAJ)が主体となって制度の普及・啓発に努めている。SAAJでは、システム監査の資格認定、システム監査学会(JSSA)が情報セキュリティ、個人情報保護、会計システムについての専門監査人資格認定も行っている。

 また、グローバルという視点では、ISACAがあり、システム監査の普及啓発、システム監査人の認定を行っている。

参考サイト
SAAJ
JSSA
ISACA本部
ISACA東京支部
ISACA大阪支部
システム監査企業台帳(経済産業省)

情報セキュリティ監査

       1|2|3 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ