トップページ > サービス > セキュリティマネジメントコンサルティング:情報セキュリティ監査(マネジメント系)

セキュリティマネジメントコンサルティング 情報セキュリティ監査(マネジメント系)

特徴

監査を行う

情報セキュリティの客観的評価

経済産業省は、2003年4月から「情報セキュリティ監査制度」の運用を開始しました。インフォセックの情報セキュリティ監査サービスは、この「情報セキュリティ監査基準」などに準拠し、情報資産の機密性、完全性、可用性を監査し、ご報告します。
監査対象から独立した情報セキュリティ監査人が、情報資産を総合的・客観的に評価するところに、情報セキュリティ監査の意義があります。
情報セキュリティ監査を実施することで、以下のような観点からの改善事項を洗い出すことが可能となります。

  • 情報セキュリティの管理体制と管理プロセス
  • 情報セキュリティに関連するポリシー・規程類の整備状況
  • 情報セキュリティ対策の整備状況および実際の運用状況

経済産業省の「情報セキュリティ管理基準」やJIS Q 27001「情報セキュリティ マネジメントシステム」に準拠した情報セキュリティ監査を提供する他、金融情報システムセンター(FISC)の金融機関等のシステム監査指針をはじめ、業界毎の情報セキュリティや個人情報保護の基準に準拠した情報セキュリティ監査もご提供します。
インフォセックの情報セキュリティ監査サービスは、マネジメント系ソリューションに加え、セキュリティ診断等のシステム系ソリューションも合わせて提供できるところに、その強みがあります。また、部門・全社といった広範囲な情報資産を対象とするだけではなく、特定のシステム・特定の業務サービスといった限定された情報資産を対象に、詳細な機密性、完全性、可用性の監査をご提供することもできます。

独立した外部の監査人として情報セキュリティ監査を実施するサービスの他に、情報セキュリティ監査に関連し以下のような教育、知識トランスファーを行うサービスもご提供します。

監査についての教育を行う
  • 経営者、業務担当者、システム開発者、システム運用者等、情報資産を扱うキー・パーソンに、情報セキュリティ監査に関する教育を行い、各関係者がそれぞれの立場で情報セキュリティのリスクをコントロールし、高いセキュリティをベースとしたより良い業務サービス提供ができる体制作りのサポートを行います。
監査人を育てる
  • 内部監査部門のメンバーに、情報セキュリティ監査に関する教育を行い、情報セキュリティ監査の計画策定、実施、フォローまでの全過程に関する知識トランスファーを行い、将来的には貴社内で独立して情報セキュリティ監査ができる体制を構築するサービスをご提供します。
  • 業務監査を行うメンバーに情報セキュリティ監査の教育を行い、業務プロセスの基本にある情報セキュリティの理解を深め、スムーズな業務監査ができる体制を構築するサービスをご提供します。

実施内容

情報セキュリティ監査計画立案支援サービス

情報セキュリティ監査の全体計画の立案をご支援します。
計画策定に当たっては、業務監査他の内部監査計画との整合性および情報セキュリティ監査の各テーマ間で整合性の確保、適切な現状把握に基づく効率的効果的な計画策定に留意します。また、オプションで、多年度にわたる計画案の策定や、環境の変化に応じ計画案の見直しが貴社内でできるよう、分析・評価の方法の知識トランスファーを行います。
具体的なご支援内容としては、以下の点があげられます。

  • 情報セキュリティ監査に関わる認識の共通化を図るための、情報セキュリティ監査知識教育
  • 貴社情報資産の分析・評価(計画策定の前提に必要な情報を収集)
  • 情報セキュリティ監査計画原案作成
情報セキュリティ監査実施サービス

情報セキュリティ監査を実施するサービスです。外部監査人として監査を実施する場合と、親会社等関係機関の依頼を受け子会社・外部委託先を監査する場合があります。実施にあたり、グローバルスタンダード、国内標準、業界標準を参考にし、監査基準や情報セキュリティ監査目的の明確化をはかり、監査結果を有効に活用できる効率的効果的な監査を実施します。
具体的なサービス内容としては、以下の点があげられます。

  • 情報セキュリティ監査に関わる認識の共通化を図るための、情報セキュリティ教育
  • 被監査主体の情報資産の分析・評価(対象となる情報資産・情報システムの情報を収集)
  • 情報セキュリティ監査計画の作成
    (その中には、情報セキュリティ監査基準、監査目的、監査テーマ、監査範囲・対象、監査方法、監査実施日程、監査実施体制、監査項目等が含まれます)
  • 監査計画に基いた監査の実施
    (その中には、セキュリティ・ポリシー等規定類の監査、運用記録の監査、現場視察・インタビュー、システムの調査等が含まれます)
  • 監査結果の分析・評価および改善提案の検討(監査基準とのギャップ分析)
  • 監査報告書の作成および報告
  • 監査後のフォローアップ(オプション)
    (これはフォローアップ監査という別の監査の形態をとることもあります)
情報セキュリティ内部監査実施支援サービス

情報セキュリティ内部監査の実施をご支援するサービスです。OJTによる監査スキルのトランスファーを目指します。ご支援に当たっては、グローバルスタンダード、国内標準、業界標準を参考にした、監査基準の確立、情報セキュリティ監査の目的明確化と結果の有効活用を重視した手続きの策定、適切な現状把握に基づく効率的効果的な計画策定に留意します。
具体的なご支援内容としては、以下の点があげられます。

  • 情報セキュリティ監査に関わる認識の共通化を図るための、情報セキュリティ内部監査知識教育
  • 被監査主体の情報資産の分析・評価支援(対象となる情報資産の情報を収集)
  • 情報セキュリティ内部監査計画の作成の支援
  • 情報セキュリティ内部監査実施補助(実際の監査に帯同し支援およびOJTによる監査スキルのトランスファー)
  • 監査結果の分析・評価および改善提案の検討(監査基準とのギャップ分析)
  • 監査報告書(案)の作成および報告支援
  • 監査後のフォローアップ支援(オプション)
テーマ別監査(特定システムの情報セキュリティ監査、システム診断など)

特定システムの情報セキュリティ監査、システム診断など、情報セキュリティのテーマ別監査をご支援するサービスです。監査を実施するサービスと、内部監査をご支援しOJTによる監査スキルのトランスファーを目指すサービスがありえます。ご支援に当たっては、貴社現状の優先順位を考慮したテーマ選定、必要なスキルを保有したスペシャリスト(外部リソース含む)の提供、具体的な発見事項と実効性のある改善提案の導出に留意します。
具体的なご支援内容としては、以下の点があげられます。

  • テーマ選定支援(対象とするトピックを現状の環境から選定)
  • 監査知識教育(前提として監査に関わる認識の共通化を図る)
  • テーマに応じて、対象となる情報資産・情報システムの環境を調査
  • テーマに応じた監査計画の策定
  • 監査の実施
  • 監査結果の分析と改善提案の作成(問題点の抽出と課題の設定および解決策の導出)
  • 評価結果報告書(案)の作成および報告支援
保証型情報セキュリティ監査にむけて

以上の情報セキュリティ監査サービスは、従来の助言型監査をベースとして記述をしました。助言型監査とは、監査対象の情報セキュリティ対策上の欠陥及び懸念事項等の問題点を検出し、必要に応じて当該検出事項に対応した改善提言を監査意見として表明する形態の監査をいいます。
一方、「情報セキュリティ監査基準」には、保証型監査の概念が記述されています。保証型監査とは、監査対象たる情報セキュリティのマネジメント又はコントロールが、監査手続を実施した限りにおいて適切である旨(又は不適切である旨)を監査意見として表明する形態の監査をいいます。
現在、インフォセックは日本セキュリティ監査協会(JASA)に協力し、保証型情報セキュリティ監査の具現化の努力をしています。
また、保証型監査の要求にこたえられる高度なセキュリティ環境の実現に向けたコンサルテーションも実施します。
具体的なご支援内容としては、以下の点があげられます。

  • 保証型情報セキュリティ監査の知識教育(保証型監査の中で定義されている様々な概念や方式の理解・教育)
  • 保証型情報セキュリティ監査の方式のうち、どの方式が貴社の現状にフィットするかの分析
  • 保証型情報セキュリティ監査に応えられる情報セキュリティのマネジメント又はコントロールの分析、対応の指導
  • 新しい情報セキュリティのマネジメント又はコントロール実装後の状況判断(実装後、一定期間の運用を行い、その後、調査をします。助言型セキュリティ監査の形態をとります。これにより保証型監査の準備ができているかの判断を行います。なお、このフェーズは保証を得られることを確約するものではありません)
  • 保証型情報セキュリティ監査の実施
関連するソリューションのご紹介
> 全サービス一覧はこちら
page top