「A.15.3 情報システムの監査に対する考慮事項」に関して
お世話になります。
A15.3で要求されているシステム監査についてお尋ねします。
対応は、システム監査を要求される場合の対応と理解すればよいのでしょうか?
要求する相手は、内部監査や認証機関による監査、また会計監査と考えればよろしいのでしょうか。
要求がなければ、対応する必要がないと理解すればよいのか、よくわかりません。
認証機関もリモートでシステム監査のようなことを考えていると聞いています。
このような場合もシステム監査の対象になるのでしょうか。
それと、要求事項にある6項の内部監査と管理策のシステム監査は、違うように思えるのですが、一緒にしていいのですか?
一緒にできるとしたら、内部監査でシステム監査を満足させるためには、条件として何かありますか?
何か、ツールを使ってシステム監査を実施する必要がありますよね…
システム監査の要件を満たすために、有資格者がやらないといけないといけないのでしょうか。
相当する人材がいない場合、外部に依頼せざるを得ないのでしょうか?
監査を要求されていなくても、自社で自主的に実施する必要があるかと思われます。
内部監査や認証機関による監査、また会計監査も含まれますが、それ以外でも所轄官庁や顧客による監査など色々なケースがあるかと思われます。
あまり限定して考えない方が良いかと思われます。
「6 内部監査」と「A.15.3 情報システムの監査に対する考慮事項」の区分に関してですが、以下のようにとらえていただければ良いかと思います。
▼ 6 内部監査
→ 管理策およびISMSのプロセス・手順を定期的にチェックするための仕組みを規定すること。
▼ A.15.3 情報システムの監査に対する考慮事項
→ 情報システムを監査する際に、順守(A.15)すべきこと(注意すべきこと)。
情報システム監査には基本的に、「監査ツール」(ソフトウェア等)にて、情報システムやネットワーク状況を調査することと、それに関わる業務(オペレーション)を手順と比較することがあります。
「A.15.3」では、これらのツールの稼動が、情報システムの正常な動作を妨げたり、または情報システムの機能自体が、ツールの動作を妨げないようにすることと、業務(オペレーション)への監査においてオペレータなどへのインタビューなどで業務に支障がでないようにすることを求められています。
弊社のサンプル文書では、技術的進歩や一般社会情勢の変化などを踏まえていないため、ツールの使用や有資格者による実施、外部委託による実施、JISQ27001以外の基準の採用、内部監査以外の手法による情報システム監査については採用しておりません。
よって、「A.15.3 情報システムの監査に対する考慮事項」における管理策は、「6 内部監査」にて実施可能であると捉えて記載されています。
なお、内部監査での実施が困難、もしくは内部監査での実施事項と異なる等、御社の現状に合わないようであれば、別途、情報システム監査を実施されることをお勧めします。
以下に、その参考となる情報の一例を掲示しますので、ご検討ください。
【参考 ①】 「システム監査の基準を御社で選択・選定し、その基準を基に情報システム監査を実施する。」
経済産業省-商務情報政策局情報セキュリティ政策室
新「システム監査基準」、「システム管理基準」の公表について
http://www.meti.go.jp/policy/it_policy/press/0005668/index.html
(※上記以外の組織でも監査基準は公開されています。)
【参考 ②】 「有資格者を育成して情報システム監査を実施する。」
特定非営利活動法人日本システム監査人協会で、公認システム監査人認定制度が設けられています。
http://www.saaj.or.jp/
(※上記以外の組織でも監査人などの認定制度は設けられています。)
【参考 ③】 「外部組織に委託して情報システム監査を実施する。」
情報システム監査株式会社などで情報システム監査を実施しています。
http://www.isanet.co.jp/
(※上記以外の組織でも情報システム監査は実施されています。)
