内部監査を実施する
計画の承認を得たら次は監査を実行していきます。定められた期間で定められた部署・業務を監査します。監査対応では、資料の確認なども行うため、対象部署には事前に連絡をし、資料などを用意しておいてもらうとスムーズです。
Point① 監査証拠をもとにした監査を実施
監査では、複数の資料や関連規程をもとに「何を行うのか」、「どのような方法で行っているのか?」、「本当に行っているのか?」などを確認していきます。
Point② 監査の証拠となり得るかを慎重に判断する
監査人が入手した資料・記録がそのまま証拠となるわけではありません。資料や記録の入手方法や入手時の状況等を加味して、証拠となり得るかを判断します。
Point③ システムの設定を確認する
文書や業務実態だけでなく、システムやシステムの運用についても確認を行う必要があります。システムを確認する際は、会社の基幹システムや事業を行うためのシステムなどについて、効率性・信頼性・安全性を客観的な視点に基づき評価する必要があります。
システムの確認では、実際に機器の設定や保存されているログが規程の定める通りになっているかを確認します。また、運用面として、作業方法などについても確認する場合があります。
機器の設定などが規程通りとなっていることを確認する
<主に確認すること>
- パスワードの強度が規程通りである。
- アクセス制御が規程通りである。
- ログの保存期間が規程通りである。
- リモートアクセスのタイムアウトが規程通りである。
- 保存期間を超えたログが保存されていな
い。 - アカウントは管理台帳に定める通りであり、用途不明なものは存在しない。
運用面が規程通りとなっていることを確認する
<主に確認すること>
- 作業をする際には承認された手順書を用いて作業が行われている。
- 作業をする際には複数名体制で実施している。
- 外部のものが作業をする際は、必要な権限のみを付与したアカウントを貸与して作業が行われている。
- 作業時のログを記録し、規程で定められた期間保存されている。
One point
情報セキュリティに関する監査とは別に、システム監査というものがあります。システム監査基準では、「システム監査とは、専門性と客観性を備えたシステム監査人が、一定の基準に基づいて情報システムを総合的に点検・評価・検証をして、監査報告の利用者に情報システムのガバナンス、マネジメント、コントロールの適切性等に対する保証を与える、又は改善のための助言を行う監査の一類型である」と定めています。ただし、システム監査の目的は、「組織体の経営活動と業務活動の効果的かつ効率的な遂行および変革」、「組織体の目標達成に寄与」、「利害関係者に対する説明責任を果たすこと」とされており、必ずしもセキュリティに特化しているわけではありません。
出典:経済産業省
「システム監査基準」をもとに作成
https://www.meti.go.jp/policy/netsecurity/downloadfiles/system_kansa_h30.pdf