情報セキュリティ監査

61

62

インシデントが発生した場合又は情報セキュリティ対策の実施内容に重大な変更が生 じた場合等において、府省庁の実態を把握するため、追加的に監査の実施を求めること が想定される。この監査の実施の指示を受けた場合、情報セキュリティ監査責任者は、

対策推進計画に基づき策定した監査実施計画のほかに、当該指示に係る監査実施計画 を策定することとしている。

基本対策事項2.3.2(1)-1「監査実施計画」について

対策推進計画に基づき実施すべき監査についての詳細な計画として、監査実施計画 を策定する必要がある。監査実施計画に記載すべき項目としては、基本対策事項

2.3.2(1)-1に例示のとおり、監査の目的、対象、方法、実施体制及び実施時期等が考え

られる。この他に経済産業省「情報セキュリティ監査基準 実施基準ガイドライン Ver1.0」等にも詳細が説明されているので参考にするとよい。

参考：経済産業省「情報セキュリティ監査基準 実施基準ガイドライン Ver1.0」

（http://www.meti.go.jp/policy/netsecurity/downloadfiles/IS_Audit_Annex05.pdf） 被監査部門に対して監査の内容や範囲を明確化するために、監査実施期間、監査実施 者の氏名、監査対象等を含む事項等を、情報セキュリティ監査責任者より事前通知する ことが望ましい。

なお、監査実施者が監査過程で情報セキュリティの向上につながる対策等の監査以 外の行為を行った場合には、その行為に対する別途の監査が必要となる可能性がある。

したがって、情報セキュリティ監査責任者は、情報セキュリティ対策の向上になり得る 行為や、作業を効率的に行うことにつながる行為であるとしても、監査以外の行為を監 査実施計画の中に取り込むべきではない。

63 遵守事項

(2) 監査の実施

(a) 情報セキュリティ監査責任者は、監査実施計画に基づき、以下の事項を含む監 査の実施を監査実施者に指示し、結果を監査報告書として最高情報セキュリティ 責任者に報告すること。

(ア) 府省庁対策基準に統一基準を満たすための適切な事項が定められている こと

(イ) 実施手順が府省庁対策基準に準拠していること

(ウ) 自己点検の適正性の確認を行うなどにより、被監査部門における実際の 運用が情報セキュリティ関係規程に準拠していること

【 基本対策事項 】

＜2.3.2(2)(a)(ア)関連＞

2.3.2(2)-1 情報セキュリティ監査責任者は、監査業務の実施において必要となる者を、被

監査部門から独立した者から選定し、情報セキュリティ監査実施者に指名すること。

2.3.2(2)-2 情報セキュリティ監査責任者は、組織内における監査遂行能力が不足等して

いる場合には、府省庁外の者に監査の一部を請け負わせること。

（解説）

遵守事項2.3.2(2)(a)「監査報告書」について

監査報告書の作成に際しては、根拠となる監査調書を適切に作成することが必要で ある。監査調書とは、情報セキュリティ監査実施者が行った監査業務の実施記録であっ て、監査報告書に記載する監査意見の根拠となるべき監査証拠、その他関連資料等をつ づり込んだものをいう。情報セキュリティ監査実施者自らが直接に入手した資料や試 験の結果、被監査部門側から提出された資料のほか、場合によっては外部の第三者から 入手した資料等を含むことがある。

監査の結果は、監査報告書として文書化した上で、最高情報セキュリティ責任者へ確 実に提出する必要がある。監査報告書には、府省庁対策基準に統一基準を満たすための 適切な事項が定められているか、実際の運用状況が情報セキュリティ関係規程に準拠 して行われているかなどの結果を記載する。さらに、監査の過程において、情報セキュ リティ対策の内容の妥当性に関連して改善すべき課題及び問題点が検出された場合に は、この検出事項や助言・提案を監査報告書に含める。反対に組織として推奨すべき優 れた取組等がある場合には、それらを組織全体に広めるなどの助言・提案があってもよ い。

遵守事項 2.3.2(2)(a)(ア)「統一基準を満たすための適切な事項が定められていること」

について

府省庁が定める府省庁対策基準は、運用指針3(1)②において「府省庁基本方針に基づ き、統一規範及び統一基準に準拠して府省庁対策基準を定める。府省庁対策基準には、

64

統一基準の規定を遵守するための対策事項について、対策基準策定ガイドラインを参 照しつつ、組織及び取り扱う情報の特性等を踏まえて定めることとする。また、脅威の 変化等に迅速に対応するために政府機関共通の情報セキュリティ対策が個別に決定さ れている場合にはそれを反映する。」とされている。

府省庁対策基準に、統一基準を満たすための適切な事項が定められているか否かを 判断する際には、府省庁の組織の目的・規模・編成や情報システムの構成、取り扱う情 報の内容・用途等の特性等を踏まえ、必要な事項が府省庁対策基準に盛り込まれている か否かを確認する必要がある。このため、府省庁対策基準の策定に当たり、府省庁対策 基準に各事項を盛り込んだ理由や本ガイドラインの基本対策事項との関係等について 記録を残しておくと、監査の際に有用である。

遵守事項2.3.2(2)(a)(ウ)「実際の運用」について

自己点検の適正性の確認や自己点検結果に基づく担当者への質問、記録文書の査閲 及び機器の設定状況の点検等の方法により、運用の準拠性を確認する。また、必要に応 じて、被監査部門において実施されている情報セキュリティ対策が有効に機能してい るか否かを確認することも求められる。例えば、監査対象によってはソフトウェアやウ ェブアプリケーション等の情報システムに関連する脆弱性の検査、情報システムに対 する侵入検査といった方法によっても確認することができる。

基本対策事項2.3.2(2)-1「被監査部門から独立した者」について

情報セキュリティ監査実施者には、監査人としての独立性及び客観性を有すること が求められる。例えば、情報システムを監査する場合に、当該情報システムの構築をし た者や運用を行っている者が監査をしてはならない。また、情報の取り扱われ方に関す る監査を行う場合には、当該情報を取り扱う者はその監査をしないこととする。

基本対策事項2.3.2(2)-2「府省庁外の者に監査の一部を請け負わせる」について 情報セキュリティ監査責任者は、監査を実施するに当たり、府省庁内に情報セキュリ ティ監査実施者が不足している場合又は監査遂行能力が不足している場合には、監査 業務（内部監査）を外部事業者に請け負わせることを検討すべきである。その委託先の 選定に当たっては、被監査部門との独立性を有し、かつ監査遂行能力がある者を選択で きるよう配慮することが重要である。また、監査業務を外部事業者に請け負わせること は、外部委託に該当することから、関連する規定にも留意する必要がある。また、情報 セキュリティ監査企業台帳に登録されている企業や情報セキュリティ監査人資格者の 業務への関与等を考慮することが望ましい。

参考：経済産業省「情報セキュリティ監査企業台帳に関する規則」

（ http://www.meti.go.jp/policy/netsecurity/docs/isaudit/audit_register_regulati on.pdf）

65 遵守事項

(3) 監査結果に応じた対処

(a) 最高情報セキュリティ責任者は、監査報告書の内容を踏まえ、指摘事項に対す る改善計画の策定等を情報セキュリティ責任者に指示すること。

(b) 情報セキュリティ責任者は、監査報告書等に基づいて最高情報セキュリティ責 任者から改善を指示されたことについて、必要な措置を行った上で改善計画を策 定し、措置結果及び改善計画を最高情報セキュリティ責任者に報告すること。

【 基本対策事項 】

＜2.3.2(3)(a)関連＞

2.3.2(3)-1 最高情報セキュリティ責任者は、監査報告書の内容を踏まえ監査を受けた部

門以外の部門においても同種の課題又は問題点がある可能性が高く、並びに緊急に 同種の課題又は問題点があることを確認する必要があると判断した場合には、他の 部門の情報セキュリティ責任者に対しても、同種の課題又は問題点の有無を確認す るように指示すること。

（解説）

遵守事項2.3.2(3)(b)「改善計画を策定」について

情報セキュリティ責任者が、監査報告書に基づいて最高情報セキュリティ責任者か らの改善を指示されたことについて、改善計画の策定及び最高情報セキュリティ責任 者への報告を求める事項である。情報セキュリティ責任者は、監査報告書において指摘 された課題及び問題点の改善が困難であることについて正当な理由がある場合には、

その影響を低減させるための補完的な措置を示した上で、達成することが可能な改善 計画を最高情報セキュリティ責任者へ報告する。

基本対策事項2.3.2(3)-1「指示」について

最高情報セキュリティ責任者は、監査報告書において指摘事項が、他の組織にも同種 の課題又は問題点として存在する可能性が高い場合、並びに同種の課題又は問題点の 存在を緊急に確認する必要性が高い場合、想定される他の組織についても、調査を求め る事項である。