情報セキュリティ監査基準/情報セキュリティ管理基準
ITが組織体の活動や社会生活に深く浸透することに伴い、情報セキュリティの確保は、組織体が有効かつ効率的に事業活動を遂行するための必要な条件、安全・安心な社会生活を支えるための基盤要件となっていることから、経済産業省は情報セキュリティ監査制度(http://www.meti.go.jp/policy/netsecurity/audit.htm)を策定しています。
情報セキュリティ監査とは、独立かつ専門的な立場の情報セキュリティ監査人が、組織体の情報セキュリティの状況を検証又は評価して、情報セキュリティの適切性を保証し、情報セキュリティの改善に役立つ的確な助言を与えるものです。
情報セキュリティ監査は、システム監査と同様の任意監査です。会計監査のような法的な監査ではありません。内部統制の一環として社内だけで行うこともできますが、高い専門性や倫理性を有している外部の情報セキュリティ監査人に監査をしてもらうのが適切です。
これは、ステークホルダへの説明責任の観点からも重要です。
情報セキュリティはマネジメントシステムとして、全社的に継続的に行うべきものです。PDCAサイクルのモニタリング機能として不可欠なものであり、情報セキュリティに係るリスクのマネジメントが効果的に実施されていることを担保するための有効な手段であり、情報セキュリティの分野でのITガバナンスの向上になります。
監査対象は情報資産全般に対するセキュリティです。コンピュータシステムだけでなく、紙媒体の情報なども対象になります。
そのため、ハードウェアとしてのコンピュータを導入していない部署でも,情報セキュリティ監査の対象になります。
情報セキュリティ監査制度に関する主な文書に、「情報セキュリティ監査基準」と「情報セキュリティ管理基準」があり、それらを具体的に実施するための多数のガイドラインがあります。
情報セキュリティマネジメントに関わる重要な国際規格として、
ISO/IEC 27001(JIS Q 27001) ISMS(情報セキュリティマネジメントシステム)要求事項
ISO/IEC 27002(JIS Q 27002)情報セキュリティマネジメントのための実践規範
があります。また、ISMSに関する第三者認証制度に「ISMS適合性評価制度」があります。
システム管理基準は、それらとの整合性をもっていますが、次の事項に配慮しています。
マネジメント基準では、ISMS認証取得を目指している組織、独自に情報セキュリティマネジメントの確立を検討している組織、情報セキュリティ監査を実施する組織、情報セキュリティ監査を受ける組織など幅広い利用者を想定した記述にすること、情報セキュリティマネジメントの計画、実行、点検、処置の各プロセスで行うべき事項を明確にしています。管理策基準ではJIS Q 27001の附属書A「管理目的及び管理策」をもとに専門家の知見を加えて作成しています。
情報セキュリティ監査には保証型監査と助言型監査があります。保証型監査は、情報セキュリティ対策の適切性に対して一定の保証を付与することを目的とする監査であり、助言型監査は情報セキュリティ対策の改善に役立つ助言を行うことを目的とする監査です。
それに対してISMS適合性評価制度は、審査を行い、合格したときに認証と合格マークの使用を許可する制度で、審査員は助言をしないことになっています。
このような関係により、まず情報セキュリティ監査制度により成熟度を高め、一定のレベルに達したときにISMS適合性評価制度により第三者認定を取得するのが適切です。
3段階の体系になっており、それぞれに説明があります。「1.3 リスクアセスメント」を例にすると次のような記述になっています。
情報セキュリティマネジメントを確立するために、その基盤となる適用範囲を定義し、基本方針を策定する。これらをもとに、リスクアセスメントを実施し、管理目的、管理策の選択を実施する。組織が有効な情報セキュリティマネジメントを実施するための基盤作りを行う。
3段階の体系になっており、4段階目が実践項目になっています。「1.1 情報セキュリティ基本方針」を例にすると次のような記述になっています。
目的:情報セキュリティのための経営陣の方向性及び支持を、事業上の要求事項、関連する法令及び規制に従って規定するため
1 セキュリティ基本方針
1.1 情報セキュリティ基本方針
2 情報セキュリティのための組織
2.1 内部組織
2.2 外部組織
3 資産の管理
3.1 資産に対する責任
3.2 情報の分類
4 人的資源のセキュリティ
4.1 雇用前
4.2 雇用期間中
4.3 雇用の終了又は変更
5 物理的及び環境的セキュリティ
5.1 セキュリティを保つべき領域
5.2 装置のセキュリティ
6 通信及び運用管理
6.1 運用の手順及び責任
6.2 第三者が提供するサービスの管理
6.3 システムの計画作成及び受入れ
6.4 悪意のあるコード及びモバイルコードからの保護
6.5 バックアップ
6.6 ネットワークセキュリティ管理
6.7 媒体の取扱い
6.8 情報の交換
6.9 電子商取引サービス
6.10 監視
7 アクセス制御
7.1 アクセス制御に対する業務上の要求事項
7.2 利用者アクセスの管理(詳細)
目的:情報システムへの、認可された利用者のアクセスを確実にし、認可されていないアクセスを防 止するため
7.3 利用者の責任(詳細)
目的:認可されていない利用者のアクセス並びに情報及び情報処理設備の損傷又は盗難を防止するた め
7.4 ネットワークのアクセス制御
7.5 オペレーティングシステムのアクセス制御
7.6 業務用ソフトウェア及び情報のアクセス制御
7.7 モバイルコンピューティング及びテレワーキング
8 情報システムの取得、開発及び保守
8.1 情報システムのセキュリティ要求事項
8.2 業務用ソフトウェアでの正確な処理
8.3 暗号による管理策
8.4 システムファイルのセキュリティ
8.5 開発及びサポートプロセスにおけるセキュリティ
8.6 技術的ぜい弱性管理
9 情報セキュリティインシデントの管理
9.1 情報セキュリティの事象及び弱点の報告
9.2 情報セキュリティインシデントの管理及びその改善
10 事業継続管理
10.1 事業継続管理における情報セキュリティの側面
11 順守
11.1 法的要求事項の順守
11.2 セキュリティ方針及び標準の順守並びに技術的順守
11.3 情報システムの監査に対する考慮事項