Comments
Description
Transcript
システム監査業務ご案内 - 情報システム監査株式会社
情報システム監査株式会社 情報システムは今や、企業・団体の経営のインフラとして不可欠な存在となって おり、社会・産業構造変革への対応を迫られている中で、情報システムの信頼 性・安全性・効率性の確保は大きな課題となっています。 また、個人情報や機密情報の紛失・漏えい・流出、ホームページへの不正侵 入・改ざんなど情報セキュリティに対する脅威も高まっており、機密性・完全性・可 用性の保護対策も急がれています。 一方、2008年4月から施行された「金融商品取引法(日本版SOX法)」により内 部統制報告制度も2年目に入りました。上場企業の内部統制、特にIT内部統制体 制の確立、IT内部統制監査の実施および充実は経営上の課題となっています。 当社は、1985年(昭和60年)以来、システム監査、情報セキュリティ監査および 近年ではIT内部統制支援を専門に実施してきました。この間、監査と情報システ ムの専門性と経験を有したシステム監査人およびコンサルタントにより、中央省 庁・県府庁・市区町村・独立行政法人などの公共団体、上場企業・中堅企業など の民間企業、さらに学校・大学などの教育機関など、各方面の企業・団体に対し て情報システム・情報資産のマネジメントの“健康診断”を行い、強化しなければ ならない箇所を探し出してきました。 監査の前提となる各種態勢整備や教育、さらには監査で検出された課題解決 (改善)に向けてのコンサルティングも行ってきました。 当社の業務サービス内容について、次ページ以降で詳細をご説明します。貴 社・貴組織の情報システムにおける『安心』を得るためのパートナーとして、是非、 当社をお選び下さい。 -1- Information Systems Audit Corp. システム監査 ●システム監査 企画・開発・運用・保守・管理の全フェーズを監査対象とし、「信頼性」、「安全性」、 「効率性」の観点から、経済産業省の「システム管理基準」に準拠して監査を実施します。 当社の監査は、情報システムのハードウェア・ソフトウェアだけでなく、組織体における一 連の業務(人的要素)と情報システムを構成する情報資産(施設・機器・電子媒体等)に も広げています。 監査の種類 信頼性監査 情報システムの品質、障害の発生、影響範囲、回復度合いを主体に 監査します。 安全性監査 情報システムの自然災害、不正アクセス、破壊行為などからの保護の 度合いを主体に監査します。 効率性監査 情報システムの有効活用(投資対効果)・効率性(最適性)の度合い を主体に監査します。 (注)通常は、上記を総合して行いますが、いずれかに限定して監査を行うことも可能です。 システム監査は以下のフェーズを対象に行います。 企 画 情報戦略立案からシステム分析・要求定義、開発承認 開 発 開発手順からシステムテスト、本番移行 運 用 ・ 保 守 運用に係わるハード、ソフト、ネットワーク、施設等の管理及び保守 管 ドキュメント管理、進捗管理、要員管理、外部委託管理、災害対策 理 監査のタイプとして「助言型監査」および「保証型監査」があり、いずれのタイプも実施しま す。 助言型監査 客観的立場からの点検・評価により問題点の指摘および調査内容を 「監査報告書」にまとめます。 指摘事項は、緊急改善事項と通常改善事項に分類して指摘します。 保証型監査 監査対象の組織体の情報セキュリティに関するマネジメントやコントロー ルが一定の判断尺度に従って、監査手続きを実施した限りにおいて適 切である旨(又は不適切である旨)を保証します。 (注)なお、ご要望により監査対象範囲を区分して、併用型(両者を組み合わせて)で実 施することも可能です。 -2- Information Systems Audit Corp. ●情報セキュリティ監査 情報システムを構成する情報資産を保護するコントロールの有効性を、経済産業 省および総務省の「情報セキュリティ管理基準」、「地方公共団体における情報セ キュリティ監査におけるガイドライン」、組織体の情報セキュリティポリシーや情報管 理規程(対策基準)、実施手順などに基づいて客観的立場から準拠性を点検・評価 し、調査結果を「監査報告書」にまとめます。 監査のタイプとして「助言型監査」および「保証型監査」があり、いずれのタイプも 実施します。また、両者を組み合わせた併用型で実施することも可能です。 ●脆弱性検査 本サービスは、ネットワーク内の特定の対象機器(ターゲット)に対して疑似アタッ ク(スキャン)を行い、対象機器の脆弱性を検出します。検出した脆弱性に 対しては 分析を行い、その脆弱性と対処方法を報告します。検査用PCと対象機器との接続 方法として2タイプの診断が可能です。 サーバー・機器 診断 (リモート検査、 オンサイト検査) イントラネット内に接続されたサーバーやネットワーク機器、端末で稼働 しているオペレーティングシステム、サーバーソフトウェア、クライアントソフト ウェ ア等のセキュリティ更新の未実施や不適切な設定など、不正侵入 が行われる要因となる脆弱性が潜んでいないことを検査します。 Webアプリケー ション診断 (リモート検査) Webアプリケーションに対して攻撃者の視点で様々な模擬攻撃を行い、 Webサービスに不正侵入が行われる要因となる脆弱性が潜んでいない ことを検査します。検査をすることでSQLインジェクション、クロスサイトスク リプティング、セッションハイジャックなどの攻撃による被害の発生を未然 に防ぐことができ ます。 ●プロジェクト監査 新規システム開発プロジェクトにおいて、重要なキー・ファクターである納期・品質・ コストの3つの観点から開発過程において必要なコントロールが正しく機能している かを、第三者の立場から、客観的・総合的に点検・評価します。当社ではこのような 監査を「プロジェクト監査」と呼んでいます。 適時の「中間報告書」、時には「緊急改善提言」をプロジェクト責任者に提供するこ とにより、プロジェクトの問題発生を未然に防ぎ、システム開発計画どおりの実現を 支援します。 当社は、「大阪府電子調達システム構築」に関して「プロジェクト監査」を4年間実 施しました。 -3- Information Systems Audit Corp. 内部統制支援 ●IT内部統制 IT内部統制( 内部統制(日本版SOX 日本版SOX法対応 SOX法対応) 法対応)構築支援 2008年4月より「金融商品取引法(日本版SOX法)」により内部統制報告制度がス タートしています。上場企業の内部統制、特にIT内部統制システムの構築およびIT 内部統制監査の実施、充実が求められています。 当社はIT内部統制に関し、あらゆる支援を行います。 情報システムに関する規程および各種書式の整備支援 IT内部統制に関する運営体制(体制、監査調書・監査報告書等の設計)の構築支援 IT内部監査の被監査組織(主に情報システム部門)に対する各種業務の整備支援 IT内部監査人育成のための研修テキストの作成と研修 IT内部統制監査のための「自己評価シート」の設計支援(主にIT全般統制) IT内部統制監査の実地(立会い)指導、監査調書の作成・監査報告書等の作成指導 IT内部統制監査支援(監査計画の作成~監査通知~監査業務支援および代行業務) フォローアップ監査、ロールフォワード監査支援 情報システム部門、内部監査部門へのシステム監査人/コンサルタントの派遣 その他IT内部統制に関する業務 ●IT内部統制事務局支援 IT内部統制事務局支援 IT統制に関する業務は年間計画の策定に始まり、各部門への自己点検(評価)の 依頼、その後の監査、フォローアップ監査、ロールフォワード監査、都度の各種文書 の作成、報告書などを少ない要員で対応されています。当社は事務局にスタッフを 派遣して、事務局業務を支援します。 監査部内、IT部内の事務局へのスタッフ派遣 IT内部統制に関する事務局業務の支援 IT内部統制監査の補助者業務 その他IT内部統制事務局業務 ●IT内部統制における受査部門支援 IT内部統制における受査部門支援 IT内部統制監査を受ける前の事前準備や事前点検に関する支援を行います。 内部監査を受ける前に各種文書化作業の状況、業務の仕組みの点検などを行い 評価作業の効率化やコスト削減などを支援します。 内部統制手続の事前評価 内部統制手続の問題点の改善支援 IT業務処理統制の見直し、運用改善支援 代替統制の検討 模擬監査の実施 セキュリティ対策に関する現地指導 その他受査部門の相談対応 -4- Information Systems Audit Corp. ●IT内部統制監査における不備事項の改善対応支援 IT内部統制監査における不備事項の改善対応支援 IT内部統制監査において、指摘された不備事項(整備状況・運用状況)に対する 改善のための是正案について提案を行い、改善活動を支援します。 IT全般統制における不備事項の改善支援 IT業務処理統制における不備事項の改善支援 その他不備事項の改善に関する事項 ●IT内部統制監査に関する教育支援 IT内部統制監査に関する教育支援 IT内部統制監査に係わる関係者に、監査を受ける際の姿勢や心構え、監査手続 きなどの教育・訓練を行い、人材の育成活動を支援します。 J-SOX法(金融商品取引法)概論 システム監査概論 内部統制に関する社内ルールの説明 内部統制に関する実施手続きの説明 監査演習 その他教育に関する事項(研修等に必要なテキスト作成ほか) ●IT内部統制に関する課題解決支援 IT内部統制に関する課題解決支援 当社のこれまでのIT内部統制の構築・評価支援の数多い経験・ノウハウを基に貴 社の内部統制に関する課題解決を支援します。 貴社の内部統制の診断(リスク分析) 診断結果の課題に対する解決支援 整備状況の診断 業務運用状況の有効性・効率性評価支援 その他財務報告の信頼性確保に関する事項 -5- Information Systems Audit Corp. コンサルティング ●情報セキュリティポリシーの策定支援 組織の情報システムの推進や安全・円滑な運営に不可欠な方針、規程類を「情報 セキュリティポリシー」として作成する業務の支援を行います。 政府ガイドラインに基づく情報セキュリティポリシー策定の流れ 組織・体制の確立 基本方針 リスク分析 対策基準 対策基準の策定 ポリシーの策定 情報セキュリティポリシー 基本方針の策定 目的 個人情報をはじめとする 重要な情報資産を守るために 情報セキュリティポリシーを策定し、 全組織で情報セキュリティ対策に 取り組むこと 実施手順 実施手順の策定 情報セキュリティポリシーを策定しても、実際に運用するのは“人”です。情報セ キュリティに関する事故の大半は不注意や管理ミスなどの人為的原因で発生してい ます。研修テキストの作成から、実際の研修まで貴組織に合わせて実施します。 ●個人情報保護対策コンサルティング 個人情報や機密情報の紛失・漏えい・流出に関する事故は毎日のように発生して います。このような事故は個人情報の本人だけでなく、組織へも多大の被害を及ぼ します。当社は個人情報の管理・保護に関し、あらゆる支援を行います。 「個人情報保護法」概説、個人情報保護の必要性に対する関係者への説明 情報資産に対するリスク分析・評価支援 個人情報管理・保護に関するポリシー(基本方針)・規程・細則等の作成支援 個人情報の洗い出し業務、「個人情報管理台帳」の作成支援 個人情報の紛失・流出などの緊急時対策・連絡体制の構築支援 個人情報の管理・運営に関する責任者・外部問合せ窓口・事務局などの体制設置支援 個人情報の管理・運営に関する役員社員への広報・研修(テキスト作成を含む) 個人情報の管理・運営に関する監査 など -6- Information Systems Audit Corp. ●監査結果( 監査結果(改善) 改善)コンサルティング 当社は監査に対して「監査報告書」を提出して完了とせず、システム監査や情報セ キュリティ監査で洗い出された改善事項に対して、どのような管理的対策・人的対 策・技術的対策をとるべきかについて、これまでの多様な経験から具体的に改善提 案(コンサルティング)や改善の推進支援を行います。 ●内部監査部門の体制整備支援 組織内における監査部門の機能や役割を明確にして、システム監査(情報セキュ リティ監査)体制および内部統制監査体制の構築を支援します。 内部監査規程(システム監査規程)・運用規則などの規程類の策定支援 システム監査(情報セキュリティ監査)計画の策定から事前調査、実地監査、 監査調書の作成、監査報告書の作成、フォローアップ監査などの一連の 監査業務手順 の策定、必要書式の作成支援 監査目的に合致した監査チェックリストの作成支援 システム監査人育成計画の策定および育成(支援) その他内部監査業務の体制整備に関する業務 iSAコンサル 当社の情報セキュリティ分野で培った経験とノウハウを活かして、貴組織の悩み を解決するサービスを提供します。(下記項目などを単体でサービス提供していま す。) 当社が開発した独自の各種ひな型を提供することにより、貴組織担当者の負担 を軽減し、情報セキュリティ対策を効率的に構築することができます。 月1~2回程度の訪問コンサルティング 都度の電話や電子メールによるリモートコンサルティング 情報資産に関するリスク分析実施支援 自己点検(評価)実施支援 内部監査実施支援 情報セキュリティポリシー策定支援 情報セキュリティポリシー見直し支援 情報漏えい対策支援 その他貴組織の課題解決に向けての全般相談を承ります。 -7- Information Systems Audit Corp. ●事業継続マネジメント( 事業継続マネジメント(BCP/BCM) BCP/BCM)構築支援 企業や国・地方公共団体等は、今日、大規模地震等の自然災害や、新型インフル エンザ等の発生、さらにはIT特有のリスクの多様性と発生頻度の増大の危機にさら されています。 こうした事態の発生に備え前もって準備しておくことにより、被害を最小限に食い 止めるとともに、組織の存続を図り社会的責任を果たすことができます。 BCPからBCMへ・・・ 危機事象の発生に対して、事前対策、緊急対策、事後対策をあらかじめ 「事業継続計画(BCP:Business Continuity Plan)として定めておき、 継続的に維持・改善して、事業活動の継続を図る活動が BCM( Business Continuity Management )です。 当社の、BCP/BCM構築支援の基本的考え方は次としています。 人命保護を最優先します。 情報保護に注力します。 BCP策定支援はできるだけ費用発生を抑え、効果的・効率的内容にします。 組織体の環境や体力に合ったBCM構築を支援します。 サービス内容例 総務省・経済産業省・中小企業庁などの各省庁のBCPガイドラインをはじめ各種BCP 関連の規程・基準に基づいてアンケート調査、ヒアリング、資料閲覧、現場視察等による 現状調査 現状調査・分析を踏まえて、BCP策定範囲・基本方針の決定 ビジネスインパクト、リスクアセスメントの実施 各リソースの脆弱性を低減するための対応策の策定と実装 事業継続計画(BCP)の策定 適用範囲についての全従業員への教育・訓練 BCM運用状況評価のための内部監査人の教育 BCM運用状況評価のマネジメント・レビューの実施支援 その他BCP/BCM構築に関する支援 2.要件分析 3.戦略策定 PLAN 1.計画策定 4.業務継続計画書策定 5.対策実施 8.業務継続計画の見直し ACT 業務継続マネージメント DO 6.教育・訓練 7.評価改善 -8- CHECK Information Systems Audit Corp. 認証取得支援 個人情報の取扱いや情報セキュリティについて適切な保護措置を講ずる体制が 整備できていることを公的な第三者機関の認証を得ることにより、顧客や利用者・取 引先、関係機関などに企業の取り組み姿勢をアピールすることができます。 ●プライバシーマーク認証取得( プライバシーマーク認証取得(更新) 更新)支援 「個人情報保護法」と「JIS Q 15001:2006」との差異の認識 個人情報の定義と洗い出し作業(見直し)支援 リスク分析・評価支援 「個人情報保護マネジメントシステム(PMS)」体系の作成支援 個人情報保護方針、規程・細則・手順書・必要な書式の作成(見直しを含む)支援 PMSに基づく運用(緊急時を含む)に必要な各種の実施体制の構築支援、対策支援 役員を含む全社員(派遣・パートなどを含む)向け研修支援 内部監査支援、改善対応支援 登録申請・審査対応支援 など 個人情報保護法とは・・・ 個人情報保護法は、個人情報をデータベースなどに保存し ている「個人情報取扱事業者」に対して個人情報の適正な 取扱いを求める法律です。 個人情報とは、氏名、住所、電話番号、生年月日など個人 を特定できる情報を指し、電子情報に加えて、紙情報でも検 索できる状態になっていれば対象とされます。 個人情報保護法の骨子によると、その情報の利用目的を明 確にし、もしその目的以外で使う場合には本人の同意を得な ければなりません。また情報漏えいを防ぐため、従業員や業務 委託先業者に対する監督責任も問われることになります。 ●ISMS認証取得 ISMS認証取得( 認証取得(更新) 更新)支援 ISMS(情報セキュリティマネジメント適合性評価制度)は情報セキュリティマネジメ ントシステムを第三者機関が評価し、基準をクリアした組織に認証を与える制度で す。個人情報に限らず、情報資産全体とリスク管理策を確立するご支援を行います。 ISMS構築基本方針の設定支援 リスク分析支援 管理策の検討支援 セキュリティ関連文書の作成支援 役員を含む全社員(派遣・パートなどを含む)向け研修支援 内部監査支援、改善対応支援 登録申請支援・審査対応支援 など -9- Information Systems Audit Corp. システム 監査 Total Support システム 開発 運用 人財育成 日本初の“システム監査専門”の会社 当社は早くから情報システム監査の重要性を認識し、1985年(昭和60年)に日本 で初めてのシステム監査専門の会社として発足いたしました。 (日経コンピュータ 1985年4月号に掲載) 独立系だから、客観的で公正な監査・きめ細やかなサービスが可能 当社はコンピュータメーカーや大手システムハウスなどの系列に属さず、独立した 立場から客観的かつ公正な監査は勿論のこと、お客様の要望に応じたきめ細かい サービスを実施いたします。 国・地方自治体や大学など公的機関や上場企業における豊富な監査実績 当社には中央省庁、地方公共団体、学校・大学など情報機密の重要性がより求め られる"公的機関“でのシステム監査、情報セキュリティ監査の実績が豊富にありま す。 2000年3月には京都府宇治市の個人情報流出防止対策を中心とした「システム監 査」を実施しました。また、2008年には堺市の「保証型情報セキュリティ監査」を実施 しました。さらに、上場企業をはじめ民間企業におけるシステム監査、情報セキュリ ティ監査も多数実施しています。 日本版SOX法対応のIT内部統制支援 当社は米国版SOX法対応支援を大手企業向けに継続的に実施しているのをはじ め、「金融商品取引法」(日本版SOX法)に対応したIT内部統制支援も継続的に実 施するなど、豊富なIT内部統制システム構築支援とIT内部統制監査経験を有してい ます。 公認システム監査人 特別認定講習実施機関 当社は日本システム監査人協会(SAAJ)から「公認システム監査人 特別認定講 習実施機関」の認定を受け、2002年より定期的に認定講習会を実施しています。 「システム監査企業台帳」・「情報セキュリティ監査企業台帳」に掲載 当社は経済産業省から公表されている「システム監査企業台帳」と「情報セキュリ ティ監査企業台帳」に掲載されています。 - 10 - Information Systems Audit Corp. システム監査事例 基幹システム構築(電子調達/建設CALS)に関するプロジェクト監査 基幹情報システムの安全性・信頼性・効率性監査。システム評価 情報システム構築、保守運用にかかる経費の妥当性・合理性検証 情報システムの安全性評価(特に個人情報流出防止対策) システム開発プロセスにおける安全性・信頼性・効率性確保の確認 情報システムの公平性、透明性の確保 リスク管理体制の点検・評価およびFISC指針の準拠性評価 証券売買システムの保守プロセスにおける信頼性評価 情報システムの品質管理の点検・評価 情報セキュリティ監査事例 堺市における保証型情報セキュリティ監査(同市および当社HPで報告書等を公開中) 認証局システムの運用及び関連業務に係る課題抽出及び 脆弱性評価 情報資産管理、ネットワークおよび情報システムの保守・運用手順の整備 情報システムおよびネットワークの、情報安全対策の現状分析と改善提案 住民情報系システムの情報セキュリティ対策運用状況の適切性評価 情報セキュリティ対策の実施状況の点検・評価、内部監査体制確立 個人情報保護に関する管理運用状況の評価と改善提案 電子申請システム等の運用面、技術面からの情報セキュリティ監査 情報セキュリティ研修事例 職員(社員)向け情報倫理研修 管理職および一般職員(社員)向け情報セキュリティ研修 情報セキュリティ内部監査人養成研修 コンサルティング事例 情報セキュリティポリシーおよび実施手順の作成支援 個人情報保護に関する規程・管理体制など構築、およびその後の運用支援 情報(IT)セキュリティ対策コンサルティング プライバシーマーク認証取得(更新)支援業務 ISMS認証取得(更新)支援業務 IT内部統制 日本版SOX法対応支援事例 米国SOX法適用企業の事務局支援業務、IT内部統制監査支援 日本版SOX法適用企業のIT内部統制システム構築支援業務IT内部統制監査支援 日本版SOX法適用企業のIT内部統制監査人育成(研修テキスト作成を含む) - 11 - Information Systems Audit Corp. 幅広い分野のスペシャリストがお客様をサポートします。 公認情報システム監査人:CISA(ISACA 情報システムコントロール協会認定) 公認システム監査人(SAAJ 日本システム監査人協会認定) システム監査技術者(経済産業省認定) 情報セキュリティアドミニストレータ(経済産業省認定) ISMS審査員補(JIPDEC 日本情報処理開発協会認定) 公認情報セキュリティマネージャー:CISM(ISACA 情報システムコントロール協会認定) 公認情報セキュリティ監査人:CAIS-Auditor(JASA 日本セキュリティ監査協会認定) 情報セキュリティ専門監査人(JSSA システム監査学会認定) などの資格保有者がいます。 システム監査、情報セキュリティ監査、IT内部統制監査などの監査実務経験者 個人情報保護体制構築コンサルティング経験者 プライバシーマーク認証取得支援コンサルティング経験者 ISMS認証取得支援コンサルティング経験者 IT内部統制システム構築コンサルティング経験者 組織内の各種IT関連研修(テキスト、ハンドブックなどの作成を含む)経験者 民間企業の監査部門、あるいはシステム部門での各種実務経験者 などの実務に強い実践的な監査人がいます。 当社の保有資格 加盟団体 プライバシーマーク認証 日本システム監査人協会:SAAJ 情報システムコントロール協会:ISACA ISMS適合性評価認証 【ご参考】 ご参考】 当社は下記台帳に掲載されています。 経済産業省公表「システム監査企業台帳」 URL:http://www.meti.go.jp/policy/netsecurity/sys-kansa/index.html 経済産業省公表:「情報セキュリティ監査企業台帳」 URL:http://www.meti.go.jp/policy/netsecurity/is-kansa/ - 12 - Information Systems Audit Corp. URL http://www.isanet.co.jp/ Mail [email protected]