「地方公共団体における情報セキュリティ内部アセスメント(監査)の進め方」
こんにちは、丸山満彦です。「地方公共団体セキュリティ対策支援フォーラム」から「地方公共団体における情報セキュリティ内部アセスメント(監査)の進め方」が発表されていますね。参考になりますね・・・
■地方公共団体セキュリティ対策支援フォーラム
・平成16年度成果物
・・地方公共団体における情報セキュリティ内部アセスメント(監査)の進め方
・・・PDF(315KB)
PDFのファイルサイズがホームページ上は315MB(メガバイト)となっていますが、実際は315KB(キロバイト)です。一瞬戸惑いますよね。。。
気になる表現は、
====
はじめに
(前略) アセスメントの実施に当たっては、本来外部機関によるアセスメントが必要と考えておりますが、職員自らがアセスメントを行うことによって経験を深めながら体系的に進める手法を提案しております。(後略)
=====
です。外部監査が本来的には必要だけど、すくなくとも内部監査・・・みたいに読めてしまったのですが、報告書の内容を読めば本当の気持ちが分かり安心しました。
Check or Monitoringについては
①セルフチェック
②上司のチェック
③スタッフ部門によるライン部門のチェック
④内部監査(独立的チェック)
⑤外部監査
の順番で成熟していけばよいと思います。
====
別の点で気になったのは、「アセスメント」と言う用語の使い方ですね。監査と言う用語を避けたかったのかもしれませんが、監査はアセスメントを伴うものですが、アセスメントとは違いますね。このあたり、用語の適切な使用が期待されますね。
点検、確認、監査、検査、アセスメント、チェック・・・いろいろな言葉の定義なりを整理しておくことが必要かもしれませんね。
=====
P6
P T注) 情報セキュリティ監査は、地方自治法に定める財務会計監査には含れない概念であるが、「監査」という言葉によってしばしば両者が混同して使われる危険性があることから、本書においては以下、情報セキュリティ監査を「情報セキュリティアセスメント」に表記統一し、情報セキュリティ内部監査を「内部アセスメント」に、情報セキュリティ外部監査を「外部アセスメント」にそれぞれ表記統一する。
=====
====
報告書の中には評価付けの仕方まで書いているので参考になりますね・・・
【参考】
■総務省
・地方公共団体における情報セキュリティポリシーに関するガイドライン 2003.03.18
・地方公共団体における情報セキュリティ監査の在り方に関する調査研究報告書 2003.12.25
このブログの中の意見は私見であり、所属・関係する組織の意見ではないことをご了承ください。
Comments