情報セキュリティ監査

システム監査における情報セキュリティ監査

セキュリティ管理体制の点検・評価が主軸となる

情報セキュリティ管理の仕組み、プロセスが構築されているか

仕組み分、プロセスが適切に運用され、点検・評価がなされているか

脆弱性検査が実施されているか

情報セキュリティ管理体制の評価

情報セキュリティポリシー

情報セキュリティポリシー・規程が策定されているか

定期的に更新され、最新のセキュリティインシデント事案に対応されているか

情報セキュリティ推進体制

推進体制が定められているか

連絡・報告手段が明確か

上位者に適時適切に報告されているか

担当者に対する教育はなされているか

情報セキュリティリスクの評価

情報資産が定期的に棚卸し（見直し）されているか

情報セキュリティに関わるリスク評価が行われているか

関係者が参加しているか

社内外の情報セキュリティインシデントが参照されているか

運用段階だけでなく、保守・開発段階のリスクも評価されているか

情報セキュリティ対策

リスクの大きさに応じた対策か

対策運用の適切さを定期的に点検・評価し、対策が定期的に見直されているか

外部委託の場合、秘密保持契約や定期監査を実施しているか

脆弱性検査・ストレス検査が実施されているか

対策は、物理的対策、論理（技術）的対策、管理的対策のバランスがとれているか

また、各対策における予防、発見、回復のバランスは適切か。

モニタリング

リスク・コントロール状況を定期的にモニタリングしているか

モニタリング結果が経営者に報告され、フィードバックされているか

構築段階から情報セキュリティ対策の監査を組み込んでおくと、とても楽ですね。

レガシー化したシステムだと、マイナスを埋めるだけでコストかかりそうです。

現実解としては再構築待ちになるんでしょうね。。。リスクに応じて。