情報セキュリティ監査
| (1)重要性を増すセキュリティ対策 |
| (2)情報セキュリティ監査の意義・目的 |
| (3)セキュリティの監査のチェックポイント |
| (1)重要性を増すセキュリティ対策 |
パソコンの目覚ましい普及とネットワーク化の進展によって、組織体では、基幹業務をはじめとする多くの業務が情報システムに大きく依存する状況になっています。また、小・中学校でも情報関連教育が始まり、インタ-ネットの普及もあいまってコンピュ-タは、社会・経済生活から一般の家庭生活の中にまで深く浸透し、誰もが操作する、できる環境となっています。 こうした状況は、情報システムに対するリスク自体も拡大していることを意味します。実際、コンピュータウィルスや不正アクセスは、誰がいつ感染しても不思議でない状況であり、被害届出数は増加しています。また、ネットワークを介しての個人情報の漏洩やホームページの改ざんなども毎日のように報道されており、情報リテラシー、情報倫理、ネチケット問題等も盛んに論議されています。 情報化が進展する中にあって、一たび情報システムに障害が発生すると、その影響は図り知れないほど大きく、現在、セキュリティ対策がこれまでにも増して重要になっています。 |
| (2)情報セキュリティ監査の意義・目的 |
情報システムをめぐるセキュリティは、許可された利用者が許可の範囲内で、その整合性を確保する中で、利用したい時に利用できる性質といえます。情報システムへの依存度が大きくなり、しかも情報システムをめぐるリスクも大きくなった現在、セキュリティ対策も従来の対処療法的な対策では不十分であり、「自分の情報は自分で守る」の発想に立った積極的な対策が必要になっています。 従って、情報セキュリティの観点からの点検・評価は、情報システムの安定運用を確保し、組織体への有効利用を促進する意味でも欠かせない状況であり、ここに、セキュリティ監査実施の意義があります。実際、経済産業省が2003年3月までに『情報セキュリティ監査基準』を策定する方向で進展しています。 |
| (3)セキュリティの監査のチェックポイント |
セキュリティに関する項目は「システム監査基準」の中でも多く取り上げられています。セキュリティについては、物理的や技術的な内容から運用などの人的問題までを含んでおり、組織としての方針から具体的な教育に至るまで、非常に広範な範囲をカバーする必要があるといえます。ここでは、災害対策を除き、セキュリティの監査を実施する際のチェックポイントの例を挙げることにします。 |
| 表 セキュリティ監査のチェックポイントの例 |
 組織全体として、セキュリティ方針を明確にしていますか。 情報システムに係るリスクを分析・把握していますか。 リスク分析の結果に基づき必要なセキュリティ対策を講じていますか。 障害発生を想定しハードウェア、ソフトウェア、ネットワークの適切なバックアップ対策を講じていますか。 障害の原因を究明し、再発防止策をはじめとする必要な対策を講じていますか。 セキュリティに関する教育を情報システム部門、ユーザ部門に実施していますか。 データ入力や修正は、誤入力や不正防止、機密保護を考慮して実施していますか。 データやプログラムの保管・廃棄は、不正防止及び機密保護を考慮して行っていますか。 ハードウェア、ソフトウェア、記録媒体等の管理は、不正防止及び機密保護の観点から適切ですか。 利用者に対する識別コードやパスワード管理を、組織体として適切に実施していますか。 外部委託している場合、委託先に対するセキュリティ対策は適切ですか。
|
|
◆お問合せ:インターギデオン 間地 пEFAX03-3492-5537(E-mail:info@intergideon.com) (ご意見、ご要望等ございましたらお気軽にお問合せ下さい。) |
TOP