----------------------------------------------------------------------
(情報セキュリティマネジメントシステムにおけるシステム監査について)
----------------------------------------------------------------------
----------------------------------------------------------------------
(設問ア)
----------------------------------------------------------------------
1−1 私が関係した組織におけるセキュリティの現状
----
私は、A社の企画部に所属している。当社は主に訪問
による学習教材の販売を行っている企業である。
情報システムとして「受発注システム」を構築済みで
あり、本社サーバーと3営業所を高速デジタル専用回線
で接続し、営業担当社員は携帯パソコンとPHSを使用
し外出先からも本社サーバに接続可能な構成となってい
る。
当社はこれまでは、全社的なセキュリティ対策は行っ
ておらず、経理部において作成した、社内受発注システ
ムの運用マニュアルにおいてパスワードを定期的に変更
する旨の一文を表記していたのみであり、管理体制につ
いても各部の自主的な管理に依存していた。
----
1−2 情報セキュリティマネジメントの必要性
----
当社の社内受発注システムを構成するサブシステムの
「顧客管理システム」には顧客のプライバシーにかかわ
る情報が多く含まれている。
住所、氏名、電話番号の他に
・顧客子弟の志望進学校
・試験成績の推移
等である。
最近、同業のB社において業務用クライアントパソコ
ンの紛失による顧客情報の漏洩事故がした。この事故は
新聞等のマスコミにも大きく扱われ、B社の収益は著し
く悪化し、事業継続の危機に瀕している。
このような事態を受け、セキュリティ事故によって被
る直接的及び間接的な損害、並びにその対策費用は、経
営的な観点からも無視できないとの経営層の判断が下さ
れ、情報セキュリティマネジメントを確立することとな
った。
----
1−3 私の役割
----
総務部長を責任者とするシステム監査プロジェクトの
リーダーとして、情報セキュリティマネジメントシステ
ムの実効性についての監査を行った。
---------------------------------------------------------------------
(設問イ)情報セキュリティマネジメントシステム
の構築に必要な組織体制と役割
---------------------------------------------------------------------
2−1 情報セキュリティ委員会
----
企画部、総務部、営業部の3部門から最低1名ずつの
部長もしくは、同等クラスの人員を選出し構成する。
「役割」
セキュリティポリシーの策定から運用にいたるまで、
そのけん引役を努めるとともに、その役における維持管
理を行う。
----
2−2 全体情報セキュリティ責任者
----
経営陣が情報セキュリティ委員の中から任命する。
「役割」
全社レベルのセキュリティ運用を正しく遂行するため
の責任を負う。
----
2−3 部門情報セキュリティ責任者
----
セキュリティ対策が守られ、違反などが起こらないよ
うな体制を整えるため、企画部、総務部、営業部の各部
に責任者(各部1名)を置く。
「役割」
部門セキュリティ担当者を通じて、セキュリティレベ
ルの維持に努める。
----
2−4 部門情報セキュリティ担当者
----
企画部、総務部、営業部の各部の部門セキュリティ責
任者の下に担当者(各部1名)を置く。
「役割」
部門スタッフがセキュリティ規定等を遵守し、違反し
ないように指導する。
----
2−5 情報セキュリティ教育担当
----
総務部総務課長を責任者、総務課社員を担当者として
配置する。(3名)
「役割」
社員に対し情報セキュリティ教育を計画・実施し、周
知徹底、教育、啓蒙を行う。
---
2−6 情報セキュリティ監査担当
----
システム監査技術者の有資格者である企画部企画課長
を責任者、企画課社員を担当者として配置する。(3名)
「役割」
情報セキュリティ監査の基本計画及び個別計画を策定
する。
個別計画に基づき情報セキュリティの監査を実施し、
・被監査部門へ是正のための助言、及び勧告を行う。
・監査報告書を作成し組織体の長への報告を行う。
---------------------------------------------------------------------
(設問ウ)監査項目と監査手続き
---------------------------------------------------------------------
3−1 監査項目
----
(1) 情報セキュリティ基本方針文書は、経営者によって
承認され、適当な手段で、全従業員に公表し、通知さ
れているか。
(2) 個々の資産の責任者を明確にしているか。
(3) 保護対象資産台帳を作成し、維持されているか。
(4) セキュリティを職責に含めているか。
(5) 機密情報を取り扱う社員や委託先と機密保持契約を
締結しているか。
(6) 識別コード及びパスワードの管理は、不正防止及び
機密保護の対策を講じているか。
(7) 情報システムセキュリティの教育及び訓練を実施し
ているか。
(8) アクセスコントロール及びモニタリングは有効に機
能しているか。
(9) 利用状況を記録し、定期的に分析しているか。
(10)データの保管及び廃棄は、不正防止及び機密保護の
対策を講じているか。
(11)コンピュータウイルス対策を講じているか。
(12)建物及び関連設備は、想定されるリスクを回避でき
る環境に設置しているか。
(13)建物及び室への入室・退室の管理は、不正防止及び
機密保護の対策を講じているか。
(14)情報セキュリティポリシーは、定期的見直し及び情
報環境の変化に対応した見直しを実施しているか。
----
3−2 監査手続き
----
(1) 情報セキュリティ基本方針文書を査閲し、経営者に
よって承認されていること及び従業員に対し公表、通
知されていることを確認する。
(2) リスク分析に関する文書を査閲し、保護対象となる
情報資産が台帳化され、情報資産ごとに責任者が明確
になっていることを確認する。
(3) 従業員就業規則を査閲し、機密保持に関する規定が
あることを確認する。
(4) 外部委託に関する契約書を査閲し、機密保持に関す
る条項があることを確認する。
(5) セキュリティスタンダード、セキュリティプロシー
ジャを査閲し、識別コード及びパスワードの運用ルー
ルが適切に規定されていることを確認するとともに、
従業員へのインタビューにより規定が周知徹底されて
いることを確認する。
(6) セキュリティ教育実施計画書、セキュリティ教育実
施実績記録書を査閲し定期的、効果的に教育、訓練を
行っていることを確認する。
(7) 識別コード管理表とサーバアクセス権限一覧表を照
合し、適切なアクセスコントロールの設定が施されて
いることを確認する。
(8) 利用状況分析書を査閲し、適切な記録と定期的な分
析を行っていることを確認する。
(9) データ保管、廃棄手順書を査閲し、適切な手続きを
規定していることを確認する。
(10)データの保管、廃棄の状況を視察し確認する。
(11)入室、退室管理記録簿の査閲による確認とセキュリ
ティが保たれた領域が確保されていることを視察によ
り確認する。
(12)セキュリティインシデントが発生した場合の対応手
順を査閲し手順が確立していることを確認し、社員へ
のインタビューにより定期的な訓練が行われているこ
とを確認する。
(以上)
[ 戻る ]