ITセキュリティ入門(IT初心者向け)-18:ITセキュリティ管理活動
ITセキュリティ管理活動
ITセキュリティに関連する管理については、次のような活動があります。
- システム監査
組織の情報システムに対して、監査対象とは関わりを持たない第三者であるシステム監査人が客観的に、安全性・信頼性・効率性の観点から、点検、評価して保証または助言をする。必要に応じて、指摘事項に対する改善勧告(フォローアップ)を行う。
- 情報セキュリティ監査
情報セキュリティに関する監査で、ISMSと整合性が取られている情報セキュリティ監査基準に基づいて実施する。情報資産が監査対象になり、リスクアセスメントに基づいた適切なコントロールの整備や運用状況を、点検、評価して保証または助言を与える。
- 内部統制
健全な経営を実現するために、必要な組織内部のルールや業務プロセスを整備、運用すること。目的としては、業務の有効性と効率化、財務報告の信頼性、法令遵守(コンプライアンス)、資産の保全である。対応(コントロール)としては、次の3つがある。
-
- 牽制機能:故意への対処のために、相互監視、職務分掌(業務分掌)などの対策をする。
- 誤謬機能:過失への対処のために、フールプルーフ(うっかりミス防止)、クロスチェック、教育などの対策をする。
- 監視機能:内部統制が有効に機能しているか継続的に監視(モニタリング)・評価する。
- コーポレートガバナンス
経営管理が適切に行われているか監視して、組織との利害関係者である顧客、従業員、株主、取引先などのステークホルダに対して組織活動の正当性を維持する仕組み。社外取締役を置くなどが、その例に当たる。
- ITガバナンス
企業の競争優位性を確保するために、IT戦略の策定・実行をコントロールして、あるべき方向に導く仕組み。ITを適切に活用する能力。
マイノート(これまでの私の体験・見聞から一言)
ITセキュリティが適切に管理・運用されているかを、適宜チェックすることは重要です。そして、その管理・運用状況を監視する体制を確保することも大切です。しかし、これらを維持していくことは容易ではありません。現場で日々の仕事に追われていると、業務優先でついITセキュリティを疎かにしがちですので、しっかりとした内部統制が求められると思います。
また、監査というと問題を指摘されてそのことで管理体制を評価されたり、非難されるように思いがちですが、本来はその指摘を管理・運用を改善できる機会と捉えることが大切だと思います。そのためには、なかなか難しいとは思いますが、監査する側も監査される側もオープンな態度で監査に望むことが必要だと思います。
