最終回 システム監査と情報セキュリティ監査を学ぶ:対策に最適な制度を活用する(1/3 ページ)
個人情報に関する各種制度を解説するシリーズの最終回。今回は個人情報保護にかかわる監査制度として、システム監査制度と情報セキュリティ監査制度について解説する。
2つの制度
システム監査制度および情報セキュリティ監査制度は、プライバシーマーク制度やISMS適合性評価制度と異なり、認定、認証制度でもなくシール制度でもない。システム監査やセキュリティ監査の「結果を利用する者」「監査を受ける者」「監査を実施する者」の3者間の認識の共通化を図るための制度といえる。
1.システム監査制度
システム監査制度は、「組織体の情報システムにまつわるリスクに対するコントロールがリスクアセスメントに基づいて適切に整備・運用されているかを、独立かつ専門的な立場のシステム監査人が検証又は評価することによって、保証を与えあるいは助言を行い、もってITガバナンスの実現に寄与すること」(システム監査基準/NPOシステム監査人協会)を目的とした制度で、1985年に制度が開始された。そういう意味では、本連載で紹介してきた制度の中で最も歴史が古い。
システム監査の監査対象は、情報システムのライフサイクルに従った情報システム戦略および計画、設計、運用、保守といったプロセスに含まれる内部統制である。システム監査制度では、システム管理基準を判断基準として監査を実施するのが原則だ(ただし、セキュリティ部分については、情報セキュリティ管理基準を利用する)。システム管理基準の概要は以下の通りである。
*** 一部省略されたコンテンツがあります。PC版でご覧ください。 ***
なお、情報システムコントロール協会(ISACA)もCOBIT(Control Obective Information and Related Technology)というシステムの内部統制目標の一覧表を公表している。COBITもシステムのライフサイクルに従って、300以上の内部統制目標が整理されている。COBITの概要については、以下の通りである。
*** 一部省略されたコンテンツがあります。PC版でご覧ください。 ***
システム監査については、NPOシステム監査人協会(SAAJ)が主体となって制度の普及・啓発に努めている。SAAJでは、システム監査の資格認定、システム監査学会(JSSA)が情報セキュリティ、個人情報保護、会計システムについての専門監査人資格認定も行っている。
また、グローバルという視点では、ISACAがあり、システム監査の普及啓発、システム監査人の認定を行っている。
参考サイト
SAAJ
JSSA
ISACA本部
ISACA東京支部
ISACA大阪支部
システム監査企業台帳(経済産業省)
情報セキュリティ監査
Copyright © ITmedia, Inc. All Rights Reserved.