“ユーザー視点”の情報セキュリティ監査、普及のカギを握るのは?:企業セキュリティ古今東西(3/3 ページ)
情報セキュリティ監査制度確立のために設立された日本セキュリティ監査協会。そこでは、立ち遅れていた保証型監査制度普及のため、利用者視点での3つのフレームワークが作成された。
ISMSは汎用的、保証型セキュリティ監査は個別的
ここで改めて、ISMS(情報セキュリティマネジメントシステム)適合性評価制度と保証型情報セキュリティ監査の違いについてまとめると、表1のようになる。
制度 | ISMS適合性評価制度 | 保証型情報セキュリティ監査 |
---|---|---|
制度利用の目的 | 情報セキュリティマネジメントシステムの認証 | 顧客などが期待する情報セキュリティマネジメントの整備・運用状況の保証 |
目指すべきセキュリティ水準 | 経営者が目指す水準 | 顧客などが期待する水準 |
対象範囲 | 組織体(*1)を中心に特定業務・サービスなど | 特定業務・サービスなどを中心に組織体(*1) |
評価に用いる基準 | JIS Q 27001(包括的) | 情報セキュリティ管理基準などを参照し作成された個別管理基準(個別的) |
評価者 | 審査員(第三者評価) | 監査人(第三者評価) |
評価のアウトプット | ISMS認証登録証 | 保証意見 |
*1:組織体とは、組織の全部/一部/複合組織を指す。複合組織とは、複数の連携した組織群をグループとして評価するケースを指す |
ISMS適合性評価制度は、組織の全部または一部を中心に、特定業務/サービスなどを対象範囲として認証の取得が可能だ。ISMS認証基準であるJIS Q 27001の要求事項に適合しているかどうかが評価され、認証取得する側の状況に応じてこの基準を作り変えることはできない。ただ、ISMS認証を取得するための要求事項には、必須のものと除外可能なものがあり、その際にはその管理策がなぜ必要で、なぜ不要かの根拠を、リスクアセスメントの結果に基づいて示すことが求められる。そして、経営陣や責任者が判断して正式に残留リスクの受容が決定されたことを示す証拠を、文書(適用宣言書)に記載する必要がある。
一方、保証型情報セキュリティ監査では、特定の業務/サービスなどを対象範囲として監査が行われるが、評価に用いる基準は、顧客など監査報告書利用者の期待する情報セキュリティ水準に応じて被監査組織などが作成した個別管理基準である。監査ではこれに対応した個別の監査手続きが作成され、脆弱性対策やアクセス制御などの技術的部分についてより詳細な監査が、あるいは業界特有のリスクに対応した個別管理基準に対して監査が行われるものである。
つまり、ISMS適合性評価制度は汎用的、網羅的、包括的な評価であるのに対し、保証型情報セキュリティ監査は、監査報告書利用者の期待に対応した、より詳細かつ個別的な評価(監査)が行われることになる。
「情報セキュリティ監査では、制度自体に解を求めるのではなく、監査報告書を利用する利用者を明確にイメージする必要がある。取引先や顧客、ユーザーなどの視点から情報セキュリティ監査制度を有効に利用することを考えるべき」と下村氏は強調する。
真に価値ある情報セキュリティ対策に向け、日本でも利用者視点の保証型監査を普及させることが重要になったといえるだろう。
関連記事
- あなたの企業のセキュリティ対策を評価する「新基準」
国際標準の成熟度モデルや内部監査のノウハウを取り入れ、経産省の肝いりでスタートした情報セキュリティ監査制度。その目的は、情報セキュリティ対策の有効性を実証し、ステークホルダーの信頼を裏付けることだ。 - 情報セキュリティを取り巻く各種制度
- 「うちは大丈夫」「資金がない」が招く情報漏えい
今やセキュリティ対策は、過酷な企業競争に打ち勝つ上で必要不可欠なファクターだ。しかし実際には、その存在を軽視したばかりに多大な損害を被った企業も数多く存在する。 - 【特集】運用管理の過去・現在・未来
システム管理者がノウハウを蓄積し、自らの評価につなげるために「システムアナリスト」としてステップアップする道を探る。システム管理者よ、今こそ起て!
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.