最終回 システム監査と情報セキュリティ監査を学ぶ:対策に最適な制度を活用する(1/3 ページ)
個人情報に関する各種制度を解説するシリーズの最終回。今回は個人情報保護にかかわる監査制度として、システム監査制度と情報セキュリティ監査制度について解説する。
2つの制度
システム監査制度および情報セキュリティ監査制度は、プライバシーマーク制度やISMS適合性評価制度と異なり、認定、認証制度でもなくシール制度でもない。システム監査やセキュリティ監査の「結果を利用する者」「監査を受ける者」「監査を実施する者」の3者間の認識の共通化を図るための制度といえる。
1.システム監査制度
システム監査制度は、「組織体の情報システムにまつわるリスクに対するコントロールがリスクアセスメントに基づいて適切に整備・運用されているかを、独立かつ専門的な立場のシステム監査人が検証又は評価することによって、保証を与えあるいは助言を行い、もってITガバナンスの実現に寄与すること」(システム監査基準/NPOシステム監査人協会)を目的とした制度で、1985年に制度が開始された。そういう意味では、本連載で紹介してきた制度の中で最も歴史が古い。
システム監査の監査対象は、情報システムのライフサイクルに従った情報システム戦略および計画、設計、運用、保守といったプロセスに含まれる内部統制である。システム監査制度では、システム管理基準を判断基準として監査を実施するのが原則だ(ただし、セキュリティ部分については、情報セキュリティ管理基準を利用する)。システム管理基準の概要は以下の通りである。
| 大項目 | 中項目 | 小項目数 | |
|---|---|---|---|
| I. 情報戦略 | 01. 全体最適化 | 18 | 47 |
| 02. 組織体制 | 9 | ||
| 03. 情報化投資 | 6 | ||
| 04. 情報資産管理の方針 | 4 | ||
| 05. 事業継続計画 | 5 | ||
| 06. コンプライアンス | 5 | ||
| II. 企画業務 | 01. 開発計画 | 9 | 23 |
| 02. 分析 | 8 | ||
| 03. 調達 | 6 | ||
| III. 開発業務 | 01. 開発手順 | 4 | 49 |
| 02. システム設計 | 15 | ||
| 03. プログラム設計 | 5 | ||
| 04. プログラミング | 4 | ||
| 05. システムテスト・ユーザ受入れテスト | 13 | ||
| 06. 移行 | 8 | ||
| IV. 運用業務 | 01. 運用管理ルール | 4 | 73 |
| 02. 運用管理 | 16 | ||
| 03. 入力管理 | 5 | ||
| 04. データ管理 | 10 | ||
| 05. 出力管理 | 7 | ||
| 06. ソフトウェア管理 | 9 | ||
| 07. ハードウェア管理 | 6 | ||
| 08. ネットワーク管理 | 6 | ||
| 09. 構成管理 | 4 | ||
| 10. 建物・関連設備管理 | 6 | ||
| V. 保守業務 | 01. 保守手順 | 3 | 19 |
| 02. 保守計画 | 3 | ||
| 03. 保守の実施 | 3 | ||
| 04. 保守の確認 | 5 | ||
| 05. 移行 | 3 | ||
| 06. 情報システムの廃棄 | 2 | ||
| VI. 共通業務 | 01. ドキュメント管理 | 9 | 76 |
| 02. 進捗管理 | 6 | ||
| 03. 品質管理 | 4 | ||
| 04. 人的資源管理 | 13 | ||
| 05. 委託・受託 | 25 | ||
| 06. 変更管理 | 6 | ||
| 07. 災害対策 | 13 | ||
| 287 | |||
| 表1●システム管理基準の概要:2004年10月8日策定(出展:システム管理基準/NPOシステム監査人協会) | |||
なお、情報システムコントロール協会(ISACA)もCOBIT(Control Obective Information and Related Technology)というシステムの内部統制目標の一覧表を公表している。COBITもシステムのライフサイクルに従って、300以上の内部統制目標が整理されている。COBITの概要については、以下の通りである。
| ドメイン | ハイレベルコントロール |
|---|---|
| PO 計画と組織 | 01 戦略的IT計画の定義 |
| 02 情報アーキテクチャの定義 | |
| 03 技術指針の決定 | |
| 04 ITの組織とそのかかわりの定義 | |
| 05 IT投資の管理 | |
| 06 マネジメントの意図と指針の周知 | |
| 07 人的資源の管理 | |
| 08 外部要求事項の順守の保証 | |
| 09 リスク評価 | |
| 10 プロジェクト管理 | |
| 11 品質管理 | |
| AI 取得と実施 | 01 コンピュータ化対応策の明確化 |
| 02 アプリケーションソフトウェアの調達と保守 | |
| 03 技術インフラの調達と保守 | |
| 04 操作、運用手続の作成と維持 | |
| 05 システムの導入と受入信認 | |
| 06 変更管理 | |
| DS デリバリーとサポート | 01 サービスレベルの定義と管理 |
| 02 サードパーティのサービスの管理 | |
| 03 成果と能力(キャパシティ)の管理 | |
| 04 継続的なサービスの保証 | |
| 05 システムセキュリティの保証 | |
| 06 コストの捕捉と配賦 | |
| 07 利用者の教育と研修 | |
| 08 利用者に対する支援と助言 | |
| 09 構成管理 | |
| 10 問題と事故の管理 | |
| 11 データ管理 | |
| 12 設備管理 | |
| 13 オペレーション管理 | |
| M モニタリング | 01 プロセスのモニタリング |
| 02 内部統制の十分性の評価 | |
| 03 独立した第三者の保証の獲得 | |
| 04 独立監査の実施 | |
| 表2●COBITの概要(出展:COBIT Ver.3を仮訳/ISACA) | |
システム監査については、NPOシステム監査人協会(SAAJ)が主体となって制度の普及・啓発に努めている。SAAJでは、システム監査の資格認定、システム監査学会(JSSA)が情報セキュリティ、個人情報保護、会計システムについての専門監査人資格認定も行っている。
また、グローバルという視点では、ISACAがあり、システム監査の普及啓発、システム監査人の認定を行っている。
参考サイト
SAAJ
JSSA
ISACA本部
ISACA東京支部
ISACA大阪支部
システム監査企業台帳(経済産業省)
情報セキュリティ監査
Copyright © ITmedia, Inc. All Rights Reserved.
アイティメディアからのお知らせ
注目のテーマ
人気記事ランキング
- 10万超のWebサイトに影響 WordPress人気プラグインに深刻なRCE脆弱性
- 生成AIの次に来るのは「フィジカルAI」 NVIDIAが語る、普及に向けた「4つの壁」
- セールスフォースにも決められない? AIエージェント、「いくらが適正価格か」問題が勃発
- 7-Zipに深刻な脆弱性 旧バージョンは早急なアップデートを
- ランサム被害の8割超が復旧失敗 浮き彫りになったバックアップ運用の欠陥
- Let's Encrypt、証明書有効期間を90日から45日へと短縮 2028年までに
- サイバー戦争は認知空間が主戦場に? 「詐欺被害額が1年で倍増」を招いた裏事情
- 「フリーWi-Fiは使うな」 一見真実に思える“安全神話”はもう時代遅れ
- ソニー、AWSのAI基盤で推論処理300倍増へ ファンエンゲージメントはどう変わる?
- Microsoft 365の値上げが訴訟 Copilotの抱き合わせ販売問題が再燃
ITmediaはアイティメディア株式会社の登録商標です。