Click here to visit our sponsor



----------------------------------------------------------------------

(セキュリティポリシの監査について)

----------------------------------------------------------------------


----------------------------------------------------------------------
(設問ア)
----------------------------------------------------------------------
1.セキュリティポリシの必要性及び策定状況
----------------------------------------------------------------------
1.1セキュリティポリシの策定状況
----
 私はJ社の経営企画室に所属している。J社は信販会
社で、クレジットカードの発行、融資業務、割賦販売等
の業務を扱っている。組織は、総務部、経理部、経営企
画部、営業部、システム部、コンプライアンス統括部、
検査部及びデータセンターから成る。

 3年前にセキュリティポリシを制定し、情報資産を守
る為の技術的な対応は完了していたが、セキュリティポ
リシ遵守の推進体制は弱く、社内教育は各部署任せと
なっていた。個人情報保護法の完全施行を目の前にして、
やっとコンプライアンスを含むセキュリティポリシの遵
守及び社内教育に力を入れていたが、個人情報の紛失事
故に歯止めがかからず、業界の個人信用情報登録機関か
ら警告を受けていた。

 この状況に危機感を頂いた社長の指示により、セキュ
リティポリシの遵守状況を監査することになり、私はこ
の内部監査に参加することを命じられた。

----
1.2セキュリティポリシの必要性
----
 J社は大量の個人情報を含む機密情報を保有しており、
これらの情報の漏えい及び不正アクセスにおいては下記
リスクがある為、セキュリティポリシ遵守及び体制の見
直しは急務であった。

(1) 個人情報漏えいにより行政指導、損害賠償による信
用失墜。

(2) カード偽造によるカードの不正利用、そして会員へ
の誤請求により被害が拡大すること。

(3) システム障害によるシステム停止は、カード売上・
加盟店への精算金振込み停止等社会への影響がある。

(4) J社のセキュリティポリシの推進体制が弱く、緊急
時の対応準備が出来ていない為、リスクが拡大する恐れ
がある。

----------------------------------------------------------------------
(設問イ)
----------------------------------------------------------------------
2.セキュリティポリシ策定段階の監査について
----------------------------------------------------------------------
2.1策定段階での監査の必要性
----
 セキュリティポシシの策定段階において、監査する必
要性は下記の通りである。

(1) セキュリティポリシが経営陣により承認され、かつ
宣言される必要がある。これは、全社ベースでセキュリ
ティポリシの遵守を徹底する為に必須である。

(2) セキュリティポリシは一度決めてしまうとその内容
を大幅に変更することが難しい為、業務上遵守しなけれ
ばいけない法律、業界のガイドライン及び就業規則等と
セキュリティポリシの整合性が取れている必要がある。
この整合性が取れていないと業務上の混乱を招く可能性
がある。

(3) リスク分析の対象範囲、リスク分析の手法・手順が
明確になっている必要がある。これが明確になっていな
いと、リスク分析の範囲が広がり、いつまでもリスク分
析が完了しない。また、リスク分析の判断基準が人によ
り大きく異なると正しいリスクアセスメントが出来ない
等の問題が発生し、適切でないセキュリティポリシが作
成される可能性がある。

(4) セキュリティポリシは運用を充分考慮する必要があ
る。セキュリティを強化すると、業務効率が落ちる為、
運用を考慮しないと、遵守できずに、セキュリティポシ
シが形骸化してしまう可能性がある。

----
2.2セキュリティポリシ策定段階における監査項目
----
 監査項目は以下の通りとなる。

(1) セキュリティポリシは経営陣により承認が得られ、
経営陣によりセキュリティポシシ遵守徹底が宣言されて
いるか。

(2) セキュリティポリシを策定する為の経営陣を含む各
部署の責任者及び推進担当者による組織体制及び責任が
明確になっているか。

(3) リスク分析の対象範囲、リスク分析の手法・手順が
明確になっているか。

(4) セキュリティポリシと整合性を取るべき、法律、業
界のガイドライン、就業規則等を含む社内規定等が洗い
出されているか。

(5) セキュリティポリシ策定後の社内教育体制及び社内
教育のスケジュールが明確になっているか。

(6) セキュリティポリシは運用を充分考慮しているか。

----------------------------------------------------------------------
(設問ウ)
----------------------------------------------------------------------
3.運用段階における問題点及び監査人の対応
----------------------------------------------------------------------
3.1運用段階における問題点
----
 セキュリティポリシの運用段階においてセキュリティ
ポリシを遵守しているにもかかわらずセキュリティ上の
問題が発生する要因は以下の通りである。

(1) 新たな法律、業界のガイドライン制定等に、新たな
管理が必要になる場合がある。例えば、2005年4月
からの個人情報保護法の完全施行により、罰則規定が適
用される為、新しい法律の内容に基づいて厳密に管理す
る必要がある。

(2) ネットワークの変更により新たなセキュリティー
ホールが発生する可能性がある。従って、ネットワーク
を変更する場合は企画段階でリスクアセスメントを行い、
適切な対応を追加する必要がある。

(3) 組織の変更により、セキュリティポリシの責任範囲
の一部が不明確となる。また、組織の統廃合等の集約に
より、業務の流れが変わり、今まで有効であった内部統
制が機能しなくなる場合がある。

----
3.2監査人の対応
----
 3.1 における問題点を発生し、改善を行う為に、シス
テム管理者が以下の対応をきちんと実施しているかを監
査する必要がある。

(1) どの様にな時に、新たなリスクアセスメントが必要
であるか明確になっていること。

(2) セキュリティポリシ見直しの為の手順が明確になっ
ているか。

(3) セキュリティポリシ見直し時の社内教育計画が策定
される様になっているか。

(4) 経営陣により、定期的にシステム監査を実施する様
になっているか。

(5) システム監査により指摘された、改善勧告が取り込
まれたいるか。





[ 戻る ]