自社のIT統制、情報セキュリティの改善課題を明確にする方法のひとつとして、情報セキュリティ監査やシステム監査など、第三者による監査が効果的です。監査内容の品質は、蓄積されたノウハウと実績に大きく左右されます。当社はプライバシーマーク取得およびISO/IEC27001(ISMS)の取得・更新支援、地方公共団体向け情報セキュリティ監査など、幅広いノウハウがあります。
情報セキュリティ監査・システム監査とは、お客さまのご要望に応じ、監査範囲の決定から監査の実施・報告まで行います。監査基準は経済産業省「情報セキュリティ監査基準」など(詳細は後述の 【監査評価基準】に記載)の監査項目からお客さまの要望に沿った監査点検項目を決定します。そのうえでルール通りに、適切に運用できていることを監査します。
セキュリティ監査・システム監査の対象は、コンピューターのハードウェアおよびソフトウェアだけでは なく、組織体における一連の業務であり、情報システム構成要素全般(情報資産)となります。
【監査評価基準】
- 経済産業省「システム監査基準」、「システム管理基準」、「情報セキュリティ監査基準」
- 金融情報システムセンター(FISC)「金融機関等コンピュータシステムの安全対策基準」
- 「金融機関等のシステム監査方針」、 ISO/IEC27001(ISMS)基準
上記監査評価基準等の中から、監査の目的(信頼性・安全性など)、対象としたいフェーズ(開発工程・運用など)、リスクがあると思われる区分(人的、技術的など)をヒアリングにより判断し、監査項目を抽出します。
- 事前に監査点検表を作成し、記入いただいたうえで、現地にてヒアリング、現地調査(実査)を行います。
- 監査調書、監査報告書(案)の提示および監査結果への対応アドバイスを行います。
- 発見事項については評価基準を設け、改善の際にリスクに応じた優先度がわかるようにします。
- 在宅勤務・サテライトオフィスといった勤務体系や複数の拠点をお持ちのお客さま向けに、Web会議システムを利用した「非対面式監査」も実施可能となりました。 【※Web会議システムは当社にてご用意することも可能です。】
【非対面式監査の場合の確認方法】
- 監査点検表をWeb上で共有しながらヒアリング
- 監査証跡は、PDF形式のファイルでお送りいただき、当社で確認
- 現地視察は、Webカメラやスマートフォンを利用した遠隔からの確認、内部監査担当者による確認に対して評価
[実績]
これまでプライバシーマークの取得支援、更新支援は延べ1,700社以上の実績があります。専門家による厳正かつ的確な監査が当社の特長です。また、実査の際には、監査点検表にない事項についても運用リスクが存在すると考えられる点は共有し、事故を未然に防ぐためのアドバイスなども行います。
[品質]
当社の情報セキュリティ監査は、経済産業省が策定した「情報セキュリティサービス基準」に基づく、「情報セキュリティサービス基準適合サービスリスト」に登録されています。(登録番号:019-0028-10、登録年月日:2020年4月7日)当社制定の「情報セキュリティ監査サービス品質管理マニュアル」に従い、監査を実施します。また、すべての監査は、有資格者による監査内容の精査を必ず実施します。
資格名 |
人数 |
システム監査技術者 |
1人 |
情報処理安全確保支援士 |
1人 |
公認情報セキュリティ監査人 |
2人 |
(2023年6月現在)