2-1 実施準備
概要
システム監査の実施は,予備調査,本調査,監査の結論の形成の順序で行う。予備調査の実施に先立って,システム監査技術者は,個別監査計画の内容を再確認する。また,監査対象部門に対して,個別監査計画の内容を通知し,協力を要請する。
- 引用元
- 情報処理推進機構 「システム監査技術者試験(レベル4)シラバス- 情報処理技術者試験における知識・技能の細目 Ver.6.1(2023年12月25日掲載)
- https://www.ipa.go.jp/shiken/syllabus/nq6ept00000014b0-att/syllabus_au_ver6_1.pdf
システム監査の実施手順
実施準備 → 予備調査 → 本調査 → 評価・結論
システム監査を実施する前には、監査が円滑に進み、目的を達成できるようにするために適切な準備を行う必要があります。以下に実施準備の主なステップを説明します。
実施準備で必要なこと
1. 監査の目的と範囲の明確化
- 監査目的の確認: 監査の目的が何かを明確にする(例: セキュリティ対策の有効性確認、法令遵守状況の評価)。
- 監査範囲の特定: 対象となるシステム、プロセス、組織、地理的なエリアなどを明確にする。
2. 関係者の特定と調整
- ステークホルダーの特定: 監査の対象となる部門や関係者(システム管理者、情報セキュリティ責任者など)をリストアップする。
- 監査チームの編成: 監査人の役割分担を決定し、必要に応じて外部監査人を招へい。
- 事前通知と説明: 関係者に監査の趣旨やスケジュールを共有し、協力を得る。
3. 監査計画の策定
- スケジュール作成: 監査の期間や各ステップのタイムラインを設定。
- 資源の手配: 必要なリソース(人員、ツール、資料など)を確保。
- チェックリストの作成: 監査基準や評価項目を基に、確認すべきポイントをリスト化。
4. 必要な情報の収集
- ドキュメントの確認: 事前にシステムの構成図、運用手順書、ポリシー、規程などの関連資料を収集。
- リスク分析: システムのリスクや過去の問題点について把握し、重点的に確認すべき部分を特定。
- 適用基準の確認: 使用する監査基準や規格(例: ISO/IEC 27001、COBIT、内部規程など)を把握。
5. 監査環境の確認
- 物理的環境の調整: システムが稼働している場所や対象システムへのアクセス権限の確認。
- 技術的準備: 必要なツールやソフトウェア(ログ解析ツール、脆弱性スキャンツールなど)の準備。
- データ保護計画: 監査中に取り扱うデータの安全性確保と機密性維持の計画を策定。
6. 関係者への事前ブリーフィング
- 説明会の実施: 監査の概要、目的、進め方について関係者全員に説明。
- 質疑応答の実施: 関係者の疑問や懸念を事前に解消。
- 期待値の調整: 監査結果の活用方法や限界について共通認識を持つ。
7. リスクへの対応準備
- コンティンジェンシープラン: 監査中にシステムに影響が出た場合の対応策を策定。
- 不測の事態への備え: 監査が遅延した場合や関係者の不在などへの対応計画を用意。
以上の準備を徹底することで、監査の効率性と有効性を高め、成果を最大化することが可能になります。