こんなお悩みありませんか?

内部監査実施に当たり、対象となる拠点や組織が多く、監査を行う人手が不足している。

内部監査実施にあたり、対象となる拠点や組織が多く、監査を行う人手が不足している。

長年点検項目を見直しておらず、問題点や改善点が把握できていない。

長年点検項目を見直しておらず、問題点や改善点が把握できていない。

セキュリティ事故後の再発防止策を講じているが、有効性が分からない。

セキュリティ事故後の再発防止策を講じているが、有効性が分からない。

自社のIT統制、情報セキュリティの改善課題を明確にする方法のひとつとして、情報セキュリティ監査やシステム監査など、
第三者による監査が効果的です。監査内容の品質は、蓄積されたノウハウと実績に大きく左右されます。
当社はプライバシーマークおよびISO/IEC27001(ISMS)の取得・更新支援、地方公共団体向け情報セキュリティ監査など、
幅広いノウハウがあります。

情報セキュリティ監査・システム監査とは

情報セキュリティ監査・システム監査とは、お客さまのご要望に応じ、監査範囲の決定から監査の実施・報告まで行います。監査基準は経済産業省「情報セキュリティ監査基準」など(詳細は後述の 【監査評価基準】に記載)の監査項目からお客さまの要望に添った監査点検項目を決定します。そのうえでルール通り適切に運用できていることを監査します。

情報セキュリティ監査・システム監査の概要

情報セキュリティ監査・システム監査の手順

情報セキュリティ監査・システム監査の手順
拡大
情報セキュリティ監査・システム監査の手順

情報セキュリティ監査・システム監査の手法

監査基準

セキュリティ監査・システム監査の対象は、コンピューターのハードウェアおよびソフトウェアだけではなく、組織体における一連の業務であり、情報システム構成要素全般(情報資産)となります。

 【監査評価基準】

  • 経済産業省「システム監査基準」、「システム管理基準」、「情報セキュリティ監査基準」
  • 金融情報システムセンター(FISC)「金融機関等コンピュータシステムの安全対策基準」、「金融機関等のシステム監査基準」
  • JISQ 15001(個人情報保護マネジメントシステム基準)、ISO/IEC27001(ISMS)基準 
  • その他業界ガイドライン など

上記監査評価基準等の中から、監査の目的(信頼性・安全性など)、対象としたいフェーズ(開発工程・運用など)、リスクがあると思われる区分(人的・技術的など)をヒアリングにより判断し、監査項目を抽出します。

監査支援

  • 事前に監査点検表を作成し、記入いただいたうえで、現地にてヒアリング、現地調査(実査)を行います。
  • 監査調書、監査報告書(案)の提示および監査結果への対応アドバイスを行います。
  • 発見事項については評価基準を設け、改善の際にリスクに応じた優先度が分かるようにします。
  • 在宅勤務・サテライトオフィスといった勤務形態や複数の拠点をお持ちのお客さま向けに、Web会議システムを利用した「非対面式監査」も実施可能となりました。 【※Web会議システムは当社にてご用意することも可能です。】

 

【非対面式監査の場合の確認方法(例)】

  • 監査点検表をWeb上で共有しながらヒアリング
  • 監査証跡は、PDF形式のファイルでお送りいただき、当社で確認
  • 現地視察は、Webカメラやスマートフォンを利用した遠隔からの確認、内部監査担当者による確認に対して評価

情報セキュリティ監査・システム監査の特長

[実績]

これまでプライバシーマークの取得支援、更新支援は延べ1,700社以上の実績があります。専門家による厳正かつ的確な監査が当社の特長です。また、実査の際には、監査点検表にない事項についても運用リスクが存在すると考えられる点は共有し、事故を未然に防ぐためのアドバイスなども行います。

[品質]

当社の情報セキュリティ監査は、経済産業省が策定した「情報セキュリティサービス基準」に基づく、「情報セキュリティサービス基準適合サービスリスト」に登録されています(登録番号:019-0028-10、登録年月日:2020年4月7日)。当社制定の「情報セキュリティ監査サービス品質管理マニュアル」に従い、監査を実施します。また、すべての監査は、有資格者による監査内容の精査を実施します。

実施事例

セキュリティインシデント再発防止策の可視化およびセキュリティガバナンス強化に
向けた監査

お客さま

業種:食品製造業
年商:5,000億円
従業員数:3,000名

課題

サイバー攻撃の再発防止策の有効性が分からない
また、再発防止策はシステム部門と委託先で推進しており、進捗が適切かを確認したい

提案内容

現状分析・運用課題の可視化
  • 策定済み情報セキュリティ関連ルールの内容精査
  • 情報セキュリティ責任者およびセキュリティ所管部署へのインタビュー
  • 情報セキュリティの取組みについて従業員向け勉強会を開催し、意識の醸成を図る
セキュリティルールの整備
  • 情報セキュリティ監査の実施に係る規程・手順と監査実施項目を策定する
セキュリティ監査説明会の実施および監査実施
  • 情報セキュリティ監査を実施するための従業員説明会および監査を実施する

お客さまの声

  • セキュリティ対策の現状を分析し再発防止策の有効性について評価することができた
  • 専門家により、再発防止策の進捗と運用状況を監査し、問題点と改善策を提言いただけた

リモートでの、120組織に対する定期的なセキュリティ監査

お客さま

業種:派遣業
年商:500億円
従業員数:6,000名

課題

  • 内部監査の実施にあたり、対象拠点や組織が多く、監査を行う人手が不足している
  • 点検項目を見直しておらず、問題点や改善点の把握ができていない

 

提案内容

経済産業省策定の「情報セキュリティサービス基準」に適合した監査の実施
  • 監査チェックシートの調整
  • 監査日程調整、予備監査(自己点検)、監査実施
  • 監査報告書、調書の作成
  • 監査報告会

お客さまの声

  • 被監査対象120組織で100件以上の指摘事項を検出し、再発防止策の必要を認識することができた
  • 点検項目の脆弱点など、内部では気づきにくい問題点や改善点を浮き彫りにすることができた
  • 監査のアウトソーシングを行うことで、社内の限られたメンバーはリスク評価やデータ分析といった
    戦略的な側面での活動に集中できた

監査関連資格保有者

資格名

人数

システム監査技術者

2人

情報処理安全確保支援士

1人

公認情報セキュリティ監査人

4人

(2025年4月現在)

このソリューションに関する
お問い合わせ

関連するソリューション