18-1-2. 外部監査
外部監査とは、組織に所属しない外部の監査人が行う監査を指します。セキュリティの外部監査では、企業が保有する情報資産を守るための体制や環境が整っているかを第三者がチェックすることになります。情報漏えいやサイバー攻撃などのリスクに対して、外部監査を受けることはセキュリティ対策として有効な手段の1つです。近年では取引先企業を乗っ取り、そこを踏み台にしてメインターゲットとなる企業にサイバー攻撃を仕掛ける「サプライチェーン攻撃」が頻繫に起こっており、中小企業が大企業への攻撃の踏み台として狙われる可能性が高まっています。
情報セキュリティ監査を受ければ、自社のセキュリティ対策が正しく行われているかどうか確認でき、不十分な点を洗い出して迅速に対処することが可能になります。顧客や取引先に、セキュリティ対策を適切に行っていることがアピールできるので、会社や事業の規模も考慮しつつ、監査を受けることは重要です。経済産業省は、情報セキュリティの管理・監査について、2つの基準を発表しています。
管理基準・監査基準
情報セキュリティ管理基準
組織における情報セキュリティマネジメントの円滑で効果的な確立を目指し、マネジメントサイクルの構築から具体的な管理策まで、包括的な適用範囲を定めたものです。この管理基準は「マネジメント基準」と「管理策基準」の2項目から構成されています。
-
マネジメント基準
情報セキュリティマネジメントの計画・実行・点検・処置に必要な実施すべき事項が提示されています。 -
管理策基準
リスク対応方針に従って管理策を選択する際の選択肢が提示されています。
情報セキュリティ監査基準
情報セキュリティ監査業務の品質を確保し、有効かつ効率的に監査を実施することを目的とした監査人の行為規範です。監査の品質を一定の水準に保ち、有効かつ効率的に実施できるように「一般基準」「実施基準」「報告基準」の3項目を提示しています。
-
一般基準
監査人としての適格性および監査業務上の遵守事項を定めています。 -
実施基準
監査計画の立案および監査手続きの適用方法を中心に、監査実施上の枠組みを定めています。 -
報告基準
監査報告にかかる留意事項と、監査報告書の記載方式を定めています。
情報セキュリティ管理基準は、JIS Q 27001をもとに策定されています。そのため、本セミナーで解説した網羅的アプローチを実施することで、外部監査に対応することも可能となります。