« 2006年1月5日 テクニカルエンジニア情報セキュリティ試験概要の予測 | メイン | 保証型監査の報告書記載事項について »

2006年1月22日

予備調査と本調査との違いについての考察

予備調査と本調査の差異について

何処藁子さんの質問の要旨

この予備調査と本調査の点検(整備と運用)の具体的な方法の境目がよくわかりません。
ドキュメントレビューの場合、例えば機密性の監査での入退出管理のコントロールの妥当性は入退出の記録簿があり、記録されていることでコントロールの整備状況が確認できます。 では、運用状況の確認(本調査)ではやはり、入退出記録簿に都度記録されていることを点検するのでしょうか?
あるいは現地調査での立会いで入退出があるまで待つのでしょうか?
それとも予備調査の段階では記録簿の存在の確認までで、内容は本調査に譲り、見ないようにするのでしょうか? また、記録簿に記述されている内容はどこまでで信用できるのでしょうか?
以上よろしくお願いいたします。

予備調査と本調査との違い
予備調査と本調査との目的の違い
 

予備調査と本調査との違いを簡潔に表現すると次のとおりです。

        
  • 1.予備調査は被監査組織の概要を理解することを目的として行われる
  •   
  • 2.本調査はコントロールの実態の存在を確認することが重視される
予備調査では何をするか

 監査人は予備調査では次のような行動をとります。

        
  • 1.予備調査ではセキュリティドキュメントを取り寄せレビューする
  •   
  • 2.予備調査では、組織図や組織規定などを入手しておおまかなコントロールの概要を理解しようとする
  •   
  • 3.情報システム構成図や部屋割り、ネットワーク構成図などのを入手する

 予備調査のポイントは、組織や情報システムの脆弱性やセキュリティシステムの 存在、セキュリティ管理項目の漏れを書類上からチェックしてゆくのです。

監査の重点~どこまで踏み込むか~

 年間監査計画は組織の実態に即して行われます。例えば、まったくまっさらな組織。 つまり監査初回の組織では、セキュリティシステムの実態が存在しているのかがチェックされます。このように どの部分に重点的に監査すべきなのかは組織や、監査を受けた回数によって異なります。

        
  • 1.システム監査を踏み込む範囲、深さは異なる
  •   
  • 2.監査ごとに重視するチェック要点が異なる(目的が異なるから)
  •   
  • 3.本調査では、セキュリティドキュメントの示すコントロールの実態の存在がチェックされる
機密性の監査での入退出管理のコントロールの妥当性
予備調査

 加藤が監査をする場合、次のドキュメントを被監査組織に要求します。

        
  • 1.セキュリティマネジメントドキュメントをすべてレビュー
  •   
  • 2.その他、情報システム構成図、部屋割り、施錠状況等規約のレビュー
  •   
  • 3.1、2で発生するアウトプットドキュメントや証拠のドキュメント名のチェック

 重要なことは①入退室管理の脆弱性が組織に与える影響、②監査するドキュメントだけ でなく、どの人物にインタビューすると適切な監査ができるか、③書類上、定義されたセキュリティ コントロールに漏れがないかです。この点に注意します。

本調査

 本調査では、監査効率を考えて次のような考えで行動します。

        
  • 1.事前準備としてチェックリストを用意する
  •   
  • 2.チェックリストに事前に監査するドキュメントと監査対象となる人物を抑えておく
  •   
  • 3.監査は、まず、ドキュメントどおりのコントロールの存在を確認する
  •   
  • 4.具体的には入退室管理マニュアルがすぐに出てくるか、それが周知されているか担当者へインタビューする
  •   
  • 5.現場に連れて行ってもらい、そのとおりのコントロール実体であるか調査する
  •   
  • 6.コントロールのアウトプットが存在するか、捺印等の存在があるか、 いわゆるめくら判でないかを確認する

 回答になっていますでしょうか。

(c)有限会社アイ・リンク・コンサルタント



投稿者 kato : 2006年1月22日 23:27