担当④
~情報セキュリティ監査担当~
セキュリティの取り組みを確認
情報セキュリティ監査担当はセキュリティ機能が正しく働いているか、取り組みがしっかりとできているかを評価します。
情報セキュリティの取り組みは計画を立てて実行するだけでは上手くいっているかわかりません。また、正しいリスク対策となっていることの確認も必要です。
求められるミッション
- 社内の情報セキュリティマネジメントや各種対策が効果的に実行できているかを監査する。
- できていない場合には指摘をし、是正措置のヒントを与える。
求められるスキルやノウハウ
- リスクアセスメントスキル・ノウハウ
- 資産管理のスキル・ノウハウ
- セキュリティマネジメントのスキル・ノウハウ
- コミュニケーションスキル
- 各種対策に関するスキル・ノウハウ
One point
セキュリティの監査には主に2つの方法があります。適切に使い分けることで効果的な監査にしていきましょう。
1、第3者が監査する方法
ISMS認証やPマークなどは外部の担当者が監査する代表例です。主に認証や第3者評価が必要な場合に実施します。第3者が実施することにより、公平・公正な監査となります。
2、社内担当者が監査する方法
社内担当者が監査をする場合には、時間や費用の制限が少ないという利点があります。自社ができていない点を見つめなおし、今後の対策に活かしていくことができます。
こんな事例も
セキュリティの監査を担当する人材がいないということはよくあります。ある会社ではこの危機を部署間監査という方法で乗り切りました。
同じ部署の人間が監査をすると、先入観や部内のつながりにより、正しく監査ができないという懸念があります。この会社では、事業においてあまり関わりがない部門の担当者が内部監査をしました。これにより、情報セキュリティ監査担当者は計画や監査評価に集中することができます。
そして、この監査にはもう一つ利点がありました。業務内容すら知らなかったそれぞれの部門がお互いの業務を把握するきっかけとなり、社内の連携がより活発化していきました。