今回から情報セキュリティの監査のチェックリスト作成に入ります。以降、参考書は「ここから始めるIT監査」(社団法人日本内部監査協会編)を使います。
1.シ ステムライフサイクル
2.情報セキュリティ
2.情報セキュリティ
- 情報セキュリティマネジメント態勢
- 建物・設備等の安全対策
- ア クセスコントロール
3.事業継続…
それでは、1.情報セキュリティマネジメント態勢のチェックリストを作成していきましょ う。
必要な統制
- 情報セキュリティポリシー
- 対策基準
- 実施手順
- 障害・事故等の記録
- 自 己点検・自己評価の記録
- 情報セキュリティ委員会
チェックリスト
- 情報セキュリティポリシーの策定
- 情報資産を保護するための基本方針(情報セキュリティポリシー)が策 定されているか
- 情報セキュリティポリシーが存在することを確 認
- 基本方針(情報セキュリティポリシー)には、保護されるべき情報資産、保護する理由、責任の所在等の項目が含まれ ているか
- 情報セキュリティポリシーに情報資産、保護する理 由、責任の所在等の項目が含まれていることを確認
- 基本方針(情報セキュリティポリシー)に基づき、対策基準(スタンダー ド)、実施手順(プロシージャー)が策定されているか
- 情報セ キュリティポリシーに基づき、何をするべきかを記述した対策基準が策定されていることを確認
- 対策基準で定めた規定を実施する際の手順を 記載した実施手順が策定されていることを確認
- 情報セキュリティポリシーの運用
- 情 報セキュリティポリシーは、全組織員、外部委託先等に周知徹底されているか
- 研修等で情報セキュリティポリシーが全従業員に周知を実施していることを確認
- 障害・事故等が発生 した場合、手続にしたがい報告され、記録されているか
- 障害・ 事故等の記録から障害・事故等が手続にしたがい報告され、記録されていることを確認
- 評価・監査
- 自 己点検・自己評価が定期的に実施されているか
- 自己点検・自己 評価の記録を確認し定期的に実施されていることを確認
- 情報セキュリティ統括責任者等は、内部監査・外部監査の指摘事 項を把握しているか
- 情報セキュリティ統括責任者等が内部監 査・外部監査からの指摘事項を伝達されていることを確認
- 是正
- 障害・事故等の分 析により再発防止策が講じられているか
- 経営者が認知する情報 セキュリティ委員会が開催されていることを確認
- 情報セキュリティ委員会の議事録から障害・事故等の分析と再発防止策の検討が講じられて いることを確認
- 障害・事故等の分析結果が、対策基準(スタンダード)の見直しに反映されているか
- 対策基準の更新状況から情報セキュリティ委員会の検討事故等が反映されているこ とを確認
情報セキュリティマネジメントは常に改善を繰り返すことでより高度なものになっていき ます。ISO27001ほど細かくなくとも、今回のチェック項目に取り組むことで情報セキュリティのレベルは相当上がることが期待されます。
0 件のコメント:
コメントを投稿