정보 보안 감사 란 무엇입니까?
목적, 필요성 및 구현 방법에 대한 철저한 설명

情報セキュリティ監査とは、自社の行っているセキュリティ対策が適切かどうかを第三者的な視点でチェックすることです。セキュリティの状況を客観的に評価することで、サイバー攻撃に十分備えられているか、セキュリティ上の欠陥はないかなどを正しく把握することができます。
情報セキュリティ監査は、以下のような項目に照らしながら、正しく実施できているかを確認します。

●セキュリティポリシー

企業や組織が実施する情報セキュリティ対策の方針や行動指針をまとめたもの。

●組織のガイドライン

企業や組織が情報セキュリティ対策に取り組む際の手順や手法をまとめたもの。

● JIS Q 27002 (정보 보안 제어 실무 규범)

情報セキュリティ管理において、実施の手引や関連情報を含めて規定したもの。

信頼度の向上をめざす

情報セキュリティ監査の目的は、自社のセキュリティ対策において不十分なところを把握し、迅速な改善につなげることにあります。
また情報セキュリティ監査によって自社のセキュリティの高さが証明されれば、顧客や社会に対する信頼度が向上します。企業規模にかかわらず、あらゆる企業にとってメリットの大きい取り組みです。

多様化するリスクに備える

近年、情報セキュリティリスクは多様化しています。ランサムウェア（※1）、サプライチェーン攻撃（※2）など、巧妙なサイバー攻撃も後を絶ちません。
個人情報や機密情報の流出など万が一のリスクを防ぐためにも、十分なセキュリティ対策を講じることが企業には求められています。

経済産業省では、情報セキュリティ監査が適切に行えるように、「情報セキュリティ管理基準」と「情報セキュリティ監査基準」という2つの基準を発表しています。

●情報セキュリティ管理基準

정보 보안 감사를 수행 할 때 "정보 보안 관리 표준"은 판단의 척도입니다 "Jis"는 정보 보안 관리 조치를 관리하는 국제 표준을 준수합니다

●情報セキュリティ監査基準

情報セキュリティ監査基準は、情報セキュリティ監査を行う主体（監査人）の行動や行為規範を定めたものです。監査の品質を一定の水準に保ち、有効かつ効率的に実施できるように遵守事項や留意事項などが示されています。

情報セキュリティ監査のやり方としては、社内で監査人を立てる「内部監査」と、外から監査人を呼ぶ「外部監査」があります。
まずは監査計画に関する方針を立て、監査対象の範囲や監査に要する期間や期日、監査における目標を決めて実施します。監査の流れは以下の通りです。

①計画の立案
↓
②手続の実施
↓
③監査報告書の作成と保存
↓
④結果のフォローアップ

情報セキュリティ監査を行う際に気をつけたいのは、どのようなことでしょうか。主なポイントを3つ紹介します。

●内部監査にはチェックリストを活用する

内部監査を行う場合、チェックリストを作成して使用するのが一般的です。チェックリストを作成することで監査の作業を効率化できます。

●監査の体制を整える

計画の立案、担当者の選定など、監査を適切に行える体制づくりに努めることが大切です。

●業務改善を実施する

問題点が見つかれば、改善に取り組みます。定期的に監査を行って、適切なセキュリティ対策を実施しましょう。

情報の保護やセキュリティに関する信頼度を上げる取り組みは、情報セキュリティ監査だけではありません。情報セキュリティ監査が難しい場合には、「セキュリティ対策自己宣言」を検討するのもよいでしょう。

セキュリティ対策自己宣言とは？

보안 자기 선언 (보안)
取り組み目標に応じて「一つ星」または「二つ星」を宣言することができます。認定制度ではなく、あくまで自己宣言であることに留意しておきましょう。

情報セキュリティ監査とは何か、目的や必要性、実施方法などを解説してきました。規模にかかわらず企業において情報セキュリティ監査がいかに重要か、実施する際のポイントなどがご理解いただけたのではないかと思います。また自社で情報セキュリティ監査が難しい場合は、セキュリティ対策自己宣言を検討してみてもよいでしょう。

サクサは、情報セキュリティ対策の提案を通して中堅・中小企業のサポートをさせていただきます。ぜひ気軽にご相談ください。
また、中堅・中小企業の情報セキュリティ対策に関する資料をはじめ、さまざまなお役立ち資料をご提供しています。ぜひご活用ください。