情報セキュリティ講座(11)　システム監査

情報セキュリティを一定のレベルに保つためには、定期的に監査を行うことが有効です。一般的には、システム監査を行う際や、定例監査の中で、情報セキュリティを監査項目として実施します。

システム監査は、既に別の項で書きましたが、システム管理基準が制定され、2018年に大きく改訂されました。システム監査を実施するにあたり、実務的な観点から12の基準に整理されています。具体的には、システム監査の体制整備に係る基準、システム監査人の独立性・客観性及び慎重な姿勢に係る基準、システム監査計画策定に係る基準、システム監査実施に係る基準、システム監査報告とフォローアップに係る基準です。

情報セキュリティについては、情報システム部署の担当者は、内部犯罪の不正を犯すリスクにさらされていますし、適切な職務分離が行われていない場合、外部の侵入を許してしまうこともあります。例えば、パスワード管理が適切に行われていない場合、だれでも重要な情報にアクセスできてしまうなどのケースです。独立した立場のシステム監査人が、情報セキュリティの観点で監査を行うことで、一定の犯罪防止にも役立ちますので、監査の観点は重要だと思います。