Comments
Description
Transcript
「情報セキュリティ検証業務」について(PDF:779KB)
EY Advisory 「情報セキュリティ検証業務」について アドバイザリー事業部 ITリスクアドバイザリー部 公認会計士 長尾慎一郎 Ⅰ 「情報セキュリティ検証業務」 の説明資料の公表 日本公認会計士協会では、財務諸表監査以 た評価結果を掲載した記述書(点数表)につい て、監査法人が検証報告書を作成し、この検証 報告書を会社の利害関係者が利用する制度です。 この説明資料の中では、その報告書の使い方や、 外の保証業務として、IT委員会報告第5号「IT 業務の効果について、<図1>を使って具体的 に係る保証業務」および、IT委員会研究報告 に説明しています。 (以下、 第39号「情報セキュリティ検証業務」 39号)を公表しています。これらは、監査法 人が情報セキュリティを対象にした保証業務を 進めるための重要な指針となります。 情報セキュリティ検証業務は、企業の情報セ キュリティについて外部監査人が検証した結果 を報告する制度ですが、39号は外部監査人向 けの研究報告なので、一般企業向けの説明では ありません。そのため、一般企業の方が理解し やすいようにとの目的で「39号『情報セキュ リティ検証業務』の説明資料」 (以下、説明資 料)が協会から公表されました。この説明資料 は、2011年12月から協会のウェブサイトに Ⅲ 情報セキュリティ検証業務の 効果 説明資料では、情報セキュリティ検証業務の 効果について、次の五つを挙げています。 自社に情報セキュリティを要求する企業等へ の説明 自社の点数の内部監査への活用 公認会計士の検証による信頼性の付与 時系列比較 他社比較 掲載され、現在は誰でも自由に閲覧できるよう 例えば、内部監査への活用については、内部 になっています。本稿では、その内容の一部に 監査部門がグループ企業における情報セキュリ ついて簡単にご紹介します。 ティの内部統制の程度を測定評価し、個々のグ ループ企業間の比較をする例が挙げられていま Ⅱ 情報セキュリティ検証業務とは 情報セキュリティ検証業務とは、情報セキュ 。さらに、この業務を毎期 す(<図2>参照) 継続することにより、改善の程度を時系列比較 することも可能になります。 リティの評価規準※に基づいて、経営者が行っ ※ 経済産業省告示の情報セキュリティ管理基準をベースに点数評価をしやすくしたもの 14 情報センサー Vol.69 March 2012 長尾慎一郎(ながお しんいちろう) 現在、当法人におけるシニアパートナー。システム監査技術者、公認情報システム監査人(CISA)。 日本公認会計士協会IT委員会のITアシュアランス専門委員会委員長を務める。 •図1 •図2 •図3 出典:日本公認会計士協会「IT委員会研究報告第39号 『情報セキュリティ検証業務』の説明資料」 Ⅳ 類似業務との比較 て、大変効果的です。経営者、情報セキュリ ティの担当部署、または内部監査部門の方が、 情報セキュリティの評価には、情報セキュリ この説明資料を活用することにより、情報セ ティ検証業務の他に、保証型情報セキュリティ キュリティの内部統制の向上に役立てていただ 監査や、情報セキュリティマネジメントシステ くことを期待しています。 ム(ISMS)適合性評価制度、さらには情報セ キュリティ格付などの制度があります。この説 明資料では、これらの制度を「規準の公開性」 <お問い合わせ先> と「評点の有無」という二つの観点から客観的 アドバイザリー事業部 に比較しており、総じて情報セキュリティ検証 ITリスクアドバイザリー部 業務の報告書の利用価値が高いことを示してい Tel:03 3503 2900(代表) ます(<図3>参照)。 E-mail:[email protected] Ⅴ 説明資料の活用 情報セキュリティ検証業務は、企業の情報セ キュリティの内部統制を測定評価する手段とし 情報センサー Vol.69 March 2012 15