保証型の情報セキュリティ監査ができるようになるために

　こんにちは、丸山満彦です。昨日JASA（NPO 日本セキュリティ監査協会）の総会があり、今年度は保証型情報セキュリティ監査を注力することが表明されました。
　監査といえば保証であって、助言型監査なんていうのはコンサルティングなわけです。ここに大きな違いがあってJASAも保証型監査の実施に向けて大きな決断をしたと思います。

　
　会計監査をする場合には、会計の知識＋監査の力量が必要なわけです。と同じように、情報セキュリティ監査をする場合には、情報セキュリティの知識＋監査の力量が必要なわけです。

　公認会計士を除く情報セキュリティ監査人の多くは情報セキュリティの知識はありますから、これから必要な力量は監査の力量なわけですね。

　でも、今度は制度設計もするわけですから、監査制度についての知識も必要となりますね。法定の監査制度ではなく任意の監査制度なので、まぁ、そこそこいい加減でもよいわけですが、実際に業務を始めるとなると責任問題がついてくるので、制度設計を行ったJASAの責任と監査人の責任の切り分けなども視野に入れておく必要があります。JASAとしては制度設計上の課題も解決する必要がありますね。

　監査人の資格については、これまで整備してきましたから、そこそこできているのですが（ちょっと不安な部分もありますが・・・）、監査基準（クライテリアではないですよ・・・）の精緻化が必須です。今までJASAはこの部分については、研究にとどまっていたのですが、これからは制度として作っていかなければならないわけです。

　ということで、この部分の内容は制度設計を行ったJASAの責任と監査人の責任の切り分けとも関係してくる部分なので、かなり気を使わなければなりません。

　重たい仕事ではあります。問題は、この課題にどれだけのリソースがJASA内にあるのか・・・ということです。

セキュリティの知識はほとんどいりません。監査技術論、監査制度論について精通している人の協力が必要なんです。。。

　よろしくお願いします・・・

【参考】
■このブログ
・2006.05.15 監査が必要となる条件
・2006.05.11 ISACAの監査基準、指針、手続書
・2006.05.11 IIA、ISACAの監査基準のフレームワーク