 |
|
| ISMSからみる情報セキュリティ対策 |
第8回:情報セキュリティを取り巻く規程
著者:みずほ情報総研 青木 淳 2005/12/12
|
|
|
前のページ 1 2 3
|
|
|
| 情報と伝達
|
統制において果たすべき責任を従業員に伝達し、社員が自分たちの職務・責任を果たせるように適切な形で適時に情報を提供することにより、他の内部統制活動をサポートすることとなっている。
|
| 監視活動(モニタリング)
|
プロセスの外にいる経営者や他の者、または従業員がプロセスの中で標準的なチェックリストなどを用いて、内部統制を監視することとなっている。監視活動は内部統制の機能の質を継続的に評価するプロセスである。
|
| 統制活動
|
統制目的が達成され、リスクが軽減されることを確実にするための方針や手続きとなっている。統制活動は、経営者や部門責任者が自らの命令・指示が適切に実行されていることを確保するために定められた方針と手続きの総称である。これには、承認、権限、査閲、照合手続、評価、資産の保全、職務の分離などにあたり、広範囲の活動が含まれる。
|
| IT(情報技術)の利用
|
内部統制の他の基本的要素が、有効かつ効率的に機能するために業務に組み込まれている一連のITを活用することとなっている。
米国のSOX法で採用されているCOSOキューブというフレームワークでは、内部統制の基本的要素は1〜5までの5つとなっているが、経営者、取締役、監査人といった内部監査の中心となる役職者のITに関する理解が米国も同様に未熟であるケースが多いということから、日本版SOX法の基本的要素では「IT(情報技術)の利用」が盛り込まれている。
実際の企業の対応としては、上記のようなフレームワークを活用して財務関連システムを変更するなどの対策を実施していくこととなる。マネジメントに関しては、規定した管理方法(規定や各種手順書など)にそって実施している記録を残す必要がある。また、それらの記録が改竄されていないことも保証する必要がある。例えば、適切なアクセス権限の付与やログの保存などが具体的な対策となる。
更に内部統制活動のプロセスについては文書化が必要となり、その一連のプロセスのテスト内容や結果、改善なども記録として残すと共に監査の実施や報告も監査報告書としてまとめることとなる。このような一連の作業は経営層の責任の下で実施され繰り返される。
|
| SOX法とISMS
|
SOX法の目的とISMSの目的とは基本的に異なっているものの、いくつかの類似点も見られる。まず、ISMSではセキュリティの3要素に情報資産の真正性を含んでいる(ISO/IEC 27001では、用語および定義「情報セキュリティ」に真正性という用語が含まれている。「ISMS認証規格の動向と関連法令等の対応」を参照)。
従って、ISMSのために確立したいくつかの管理策は、SOX法の要求を満足させることができるものと思われる。また、実践のためのプロセスにおいては、どちらもリスク評価を含んでおり、すでにISMSに取り組んでいる企業には馴染みのあるアプローチであると思われる。
SOX法の要求する内部統制のレベルについては、まだ解釈が定まらないところがある。しかしながら、最終的に経営者や役員が自社にふさわしいセキュリティのあり方について、自己の責任において意思決定(これは経営方針に密接に関連する)を行わなければならないという事実を明らかにした意味は大きい。
そのために必要な一連のマネジメントプロセスを実施するために、COSOフレームワークと同様、ISMSもまたCISOや情報セキュリティマネージャを含めたマネジメントシステムを構築することにあり、ISMSの認証を取得している企業であればそのPDCAのサイクルをSOX法にも活用することができると思われる。
|
前のページ 1 2 3
|
|
|
|
|
著者プロフィール
みずほ情報総研株式会社 青木 淳
みずほ情報総研株式会社 システムコンサルティング部 シニアマネジャー
情報セキュリティを中心としたコンサルティング業務を担当。最近のプロジェクトでは、ISMS適合性評価制度認証取得支援コンサルティング、情報セキュリティ監査、個人情報保護法対策支援コンサルティング、情報セキュリティポリシー・スタンダード策定コンサルティングなど。ITコーディネータ、ISMS審査員補。
|
|
|
|
|
|
