連載
» 2008年02月04日 09時00分 UPDATE

経営視点のセキュリティ管理:「信じるに足る、期待する水準にある、結果を報告する」――ベストな監査結果はどれ? (1/3)

これまで保証型情報セキュリティ監査はあまり普及していなかった。保証型情報セキュリティ監査の普及を妨げていた原因は、監査の厳格さとコストの高さにあったと考えられる。

[長尾慎一郎,ITmedia]

 情報セキュリティ監査を普及促進させるために、特定非営利活動法人日本セキュリティ監査協会(JASA)では「保証型情報セキュリティ監査の概念フレーム」を作成し、保証型情報セキュリティ監査を「被監査主体合意方式」、「利用者合意方式」および「社会的合意方式」の3つに分類し、その3類型について提案した。

 従来の保証型情報セキュリティ監査を3つに分けた理由は、これまでの画一的な保証型情報セキュリティ監査ではなく、より効率的かつ実務的な方法に切り分け、より簡便に利用できる保証型情報セキュリティ監査を提案するためであると考えることができる。

3類型の特徴

(1)被監査主体合意方式――3者間の合意または確認が大切

 被監査主体合意方式は、もともと監査を受ける側と監査人との2者間契約を指している。いわゆる2者間の契約とは、助言型監査と同じ契約関係である。また、一般的なアドバイザリー業務やコンサルティング業務もこれと同じ契約関係になっている。それなのに、あえて被監査主体合意方式として保証型情報セキュリティ監査に含めている理由は何か? これは、委託関係にある委託元と委託先において、委託元が要求しているセキュリティの水準を委託先が満たしていることを監査の目的として、監査人が監査を実施している点にある。

 一般的に、このケースでは、委託先と監査人との間で監査手続について合意し、監査人はその範囲内において監査を実施することになる。そのような意味では、監査人と合意した監査手続は、委託元にとっては委託先が勝手に決めた手続として映ることになり、委託元のセキュリティ水準を目的としても委託元が信頼できる監査とはいえない。

 そのような委託元の不安を払拭するために、委託元が合意した監査手続を確認することにより、あるいは承認することにより、委託元のセキュリティの期待に応えることを目指している。したがって、このケースでは、委託元、委託先、監査人の3者により契約が結ばれることが望ましい。

被監査主体合意方式 被監査主体合意方式(JASAの資料より)

(2)利用者合意方式――利用者のための適正な監査

 利用者合意方式は、被監査主体合意方式に似ているが、より委託元のセキュリティへの期待に応えることを目的としている。そのため、ここで採用する監査手続は、社会的に合意された基準に従って監査手続を実施することが求められている。被監査主体では、当事者間で決めた監査手続であるから、監査手続の十分性という点で、利用者合意方式は一般の監査の水準を満たしたものである。

 なお、利用者合意方式は、委託元のセキュリティの期待に応えることを目的としているので、監査報告書は、委託元、委託先においてのみ利用されるものである。つまり、それら以外の第三者に報告書が開示されることは認められない。

利用者合意方式 利用者合意方式(JASAの資料より)
       1|2|3 次のページへ

Copyright© 2017 ITmedia, Inc. All Rights Reserved.

「ITmedia エグゼクティブ」新規入会キャンペーン実施中!!  旅行券(5万円)をプレゼント!

「ITmedia エグゼクティブ」は上場企業および上場相当企業の課長職以上の方が約5500人参加している無料の会員制サービスです。
 会員の皆さまにご参加いただけるセミナーや勉強会などを通じた会員間の交流から「企業のあるべき姿」「企業の変革をつかさどるリーダーとしての役割」などを多角的に探っていきます。
 新規でご入会いただいた方の中から抽選でお1人さまに、JTB旅行券(5万円)をプレゼントします。初秋の旅で、日頃の疲れをいやしていただければと選びました。どうぞご応募ください。

ピックアップコンテンツ

- PR -
世界基準と日本品質を極める Clients First with Innovation & Japan Quality

アドバイザリーボード

早稲田大学商学学術院教授

根来龍之

早稲田大学大学院国際情報通信研究科教授

小尾敏夫

株式会社CEAFOM 代表取締役社長

郡山史郎

株式会社プロシード 代表取締役

西野弘

明治学院大学 経済学部准教授

森田正隆