情報セキュリティ自主監査基準(大会社・全業種)
情報セキュリティ自主監査基準(大会社・全業種)のテキスト
情報セキュリティ自主監査基準
第1章 総 則
(目 的)
第1条 この基準は、「情報管理規程」に基づいて策定された各規程・規則によって定めたセキュリティポリシーの実効性を一定以上に維持し、向上させていくことを目的として、情報セキュリティの状況を自主的に監査するための実施体制および実施手順を定めたものである。
(適用範囲)
第2条 社内のすべてのコンピュータシステムに適用する。
(定 義)
第3条 この基準でいう「自主監査」とは、各規程・規則に定められたセキュリティに関する方針が適切に守られているか、また、現状でセキュリティに関する問題が存在しないかどうかを担当の役職員が検査することをいう。
2 この基準でいう、達成されるべき「情報セキュリティ」とは、情報および情報システムの機密性・可用性・完全性が一定レベル以上に維持されていることである。
第2章 実施体制と実施手順
(実施主体)
第4条 原則として情報管理統括部署(以下「統括部」という。)が主管し、監査担当者を任命して実施する。ただし、各部署が個別に構築した社内ネットワークについては各部署の情報管理責任者(以下「管理責任者」という。)が主管し、監査担当者を任命して行う。
(監査計画の立案)
第5条 監査担当者は、監査を有効かつ効率的に実施するため、監査計画を立案する。監査計画では以下の項目を実施する。
(1)監査の対象となる領域(コンピュータシステム・記憶媒体保管場所など)を選定する。
(2)対象となる領域それぞれについて、想定されるリスクおよびそのリスクに対応するべくとられている対策を監査項目とし、それらが有効に機能しているかどうか検査するための監査手続(担当者への質問またはシステム管理ツールを利用するかどうかなど)を決定し、監査計画書として文書化する。文書化したものは保管しておくこと。
(監査の実施)
第6条 監査担当者は、前条(2)で文書化した監査計画書に基づいて監査を実施する。このときに用いる監査手続としては、主に担当者への質問や、セキュリティレベルの維持の方法が明文化されているドキュメントとの照合などを用いる。ただし、特にセキュリティ上のリスクが大きいと思われるシステムについては、セキュリティ検査ツールを用いて客観的なデータを捉える方法も適用し、監査の精度を上げる。
(実施項目)
第7条 監査実施項目は対象業務や対象領域によって異なる。以下、第6条に基づき、主要項目をあげる。
(1)設計書や利用者マニュアルは適切に作成されているか。
(2)セキュリティ確保のためのアクセス管理権限に関するドキュメントは適切に作成され、またドキュメントどおりに運用されているか。不正アクセスの履歴はないか。
(3)ソフトウェアの管理簿と現実の管理状況は一致しているか。
(4)ネットワーク、ソフトウェアのセキュリティ対策は外部からの不正アクセスなどに耐え得るものになっているか、それは機密性・可用性・完全性に照らして十分か。
(5)記憶媒体保管場所の入退出管理簿の記入は適切になされているか。
(実施頻度)
第8条 自主監査は年1回を目安として実施する。
(監査報告)
第9条 監査担当者は、監査の実施後、実施内容について監査報告書を作成する。監査報告書には、監査計画書・実施結果を示すほか、それらの実施にあたって使用・作成した資料を添付する。
2 報告書は、複数部作成し、自主監査を受けた部署に提出するとともに、統括部で保管・管理する。
(フィードバック)
第10条 自主監査を受け監査報告書を受け取った部署は、監査報告書に基づいて、改善すべきところは改善し、情報セキュリティの一定以上の維持および向上に努める。なお、問題があった部署については、何度か継続的に監査を行うことが望ましい。
(中間・臨時監査)
第11条 定期的な自主監査以外に、重要なコンピュータシステムなどについては、必要に応じて半期に一度程度の中間監査を行う。また、社内ネットワークの大幅な変更やセキュリティ方針に関する変更など、臨時に自主監査が必要になるときは、統括部で協議、決定し、統括部が監査担当者を任命して実施する。
(罰則)
第12条 監査対象となる役職員が、監査作業にあたって虚偽の報告をするなど、監査が不適正に行われた事実があった場合には、いかなる理由であれ、社内規程によって罰則を適用する場合がある。
付 則
(規準の改廃)
第1条 この基準の改廃は、「規程等管理規程」による。
(実施期日)
第2条 この基準は、平成○年○月○日から施行する。
