情報セキュリティ内部監査支援サービス
後を絶たない情報セキュリティ事件・事故の発生やマイナンバー制度の施行をきっかけに多くの公的組織で情報セキュリティ監査が取り組まれるようになってまいりました。しかし、保有するすべての情報資産や全部署に対して情報セキュリティ外部監査を実施することは予算面からも現実的ではありません。そこで、注目されているのが情報セキュリティ内部監査で、外部監査と内部監査を組み合わせて情報資産の重要性や被監査部門の特性に応じた監査が有効です。
当社の情報セキュリティ内部監査支援サービスでは、数多くの実績から「情報セキュリティ内部監査マニュアル」をご用意して、職員様のご負担を軽減でき、かつ効率的な内部監査が実施できるようご支援させていただきます。
情報セキュリティ内部監査支援サービス
当社の情報セキュリティ内部監査支援サービスでは、数多くの実績から「情報セキュリティ内部監査マニュアル」をご用意して、職員様のご負担を軽減でき、かつ効率的な内部監査が実施できるようご支援させていただきます。
【情報セキュリティ内部監査マニュアルの主な内容】
■情報セキュリティ内部監査実施手順全体図
情報セキュリティ内部監査の手順。各フェーズでの注意点、そのフェーズで利用する資料など内部監査の全体の流れがひと目でわかる鳥瞰図です。
■情報セキュリティ監査人育成研修用教材
内部監査人に任命された職員様に対する研究教材(PowerPoint)です。情報セキュリティ監査の基礎知識と総務省ガイドラインに記載されている内部監査手続きが理解出来ます。貴庁職員様だけで研修が実施できるように、指導ポイントがまとめられています。
■被監査部門への協力依頼文書
情報セキュリティ監査は、ヒアリングの対応や資料の閲覧、職場の観察など被監査部門の協力なくして成立しません。事前に文書にて協力依頼を行うための準備や監査当日の注意事項などが記載されています。
■中期計画書
総務省ガイドラインでは、中期計画(3ヵ年)を策定するように求められています。監査は継続的に実施し、セキュリティ水準を段階的に上げていく息の長い活動です。単年度で終わらないように当初より中期計画を策定し、情報セキュリティ委員会の承認を得るために利用します。
■年次計画
中期計画に基づき当該年度に行う監査の具体的な内容を記載し、年度当初の情報セキュリティ委員会等で承認を得る際に利用します。
■監査チェックリスト(必須110フレーズ集)
監査チェックリストの作成は監査手続きのなかでも、最も負担の大きい事務のひとつです。これらの負担を少しでも軽減できるよう、総務省ガイドラインの必須110項目に想定される質問例を記載しています。
■情報セキュリティセルフチェックシート
監査項目の絞り込みは難しい課題です。監査チェックリストと連動性を持ったセルフチェックリストを事前に実施し、回答を分析して情報セキュリティ上の課題を抽出し、監査項目を選択します。
■情報セキュリティ監査報告書
監査を実施して得られた事実(エビデンス)から、指導事項や改善提言等をCIOや情報セキュリティ委員会あるいは被監査部門に対する報告を行う際に使います。
■改善計画書
監査が指摘だけで終わらないよう、被監査部門が作成する改善計画書にてフォロー(フォローアップ監査)する場合に利用します。
情報セキュリティ内部監査支援のサービス概要
POINT 1 | 内部監査アドバイザーが貴庁へ訪問し、現地で内部監査のご支援を実施します。 貴庁のご希望のフェーズに訪問します。 【コンサルタントは全員がCAIS資格取得した情報セキュリティ監査の専門知識を経験を有するものです】 例えば、研修講師として内部監査任研修を実施する。 |
|---|---|
POINT 2 | メール・電話によるQ&Aを対応します。 |
POINT 3 | 情報セキュリティ内部監査マニュアルを提供します |
