意味
情報セキュリティ監査とは、情報セキュリティ対策が方針や基準に沿って適切に整備・運用されているかを、独立した立場から点検・評価することをいう。
情報セキュリティポリシーを定めても、現場で守られているとは限らない。情報セキュリティ監査は、ポリシーやルールが文書のうえで整っているか(整備状況)と、実際に現場で守られ機能しているか(運用状況)を、対策を実施する当事者とは別の独立した立場から点検し、評価する取組である。
点検は、規程類が要件を満たしているかを見る面と、その規程どおりに運用されているかを記録や現地確認で見る面の両方に及ぶ。発見された不備は是正勧告として示され、組織はそれを受けて対策を改善する。この点検と改善の繰り返しが、セキュリティ水準を維持・向上させる仕組みになる。
自治体では、情報セキュリティポリシーに監査の実施を位置づけ、内部の監査担当が行う内部監査と、専門の外部事業者による外部監査を組み合わせるのが一般的である。脆弱性診断が技術的な弱点を機械的に探すのに対し、監査は規程・体制・運用までを含めて組織全体の対策の妥当性を評価する点が異なる。
ご意見箱(匿名でひとことから投稿できます)