内部監査人協会 意見募集 トピック別要求事項:サイバーセキュリティ (2024.04.11)
こんにちは、丸山満彦です。
内部監査人協会(IIA)が、「グローバル内部監査基準™」を含めた新たなIPPFの公開要素の一つである「Topical Requirements(トピック別要求事項)」の第一弾として「Cybersecurity(サイバーセキュリティ)」についてのドラフトを公開し、意見募集をしていますね...
サイバーセキュリティの実施すべき項目(いわゆる内部統制やリスクマネジメントの項目)は巷に溢れているのに、また新たにそのような規準をつくる場合は、現存する主要な標準やガイドライン等とのマッピング表もセットで公表して欲しいですよね...
NISTも標準等との関係性の整理のために、(National Online Informative References Program OLIR)を整備しようとしていたり、監査を意識して、 NIST Open Security Controls Assessment Language(OSCAL)の導入をすすめているところですしね...
すでに主要な標準やガイドライン項目を参考に社内の規定を作っているところが多いはずなので...
● 日本内部監査人協会
・2024.04.11 Topical Requirements「サイバーセキュリティ」公開草案および意見募集開始のお知らせ
● The Institute of Internal Auditors
・Public Comment Period Now Open
・[PDF] ENGLISH
・[PDF] ARABIC
・[PDF] CHINESE SIMPLIFIED
・[PDF] FRENCH
・[PDF] GERMAN
・[PDF] PORTUGUESE
・[PDF] SPANISH
● まるちゃんの情報セキュリティ気まぐれ日記
・2024.03.05 NIST IR 8477 文書化された標準、規制、フレームワーク、ガイドライン間の関係のマッピング: サイバーセキュリティとプライバシーの概念マッピングの開発 (2024.02.26)
・2023.08.19 米国 NIST IR 8477(初公開ドラフト):文書標準、規制、フレームワーク、ガイドライン間の関係をマッピングする: サイバーセキュリティとプライバシーの概念マッピングの開発
附属書Bを除く仮対訳...
Cybersecurity Topical Requirement | サイバーセキュリティ トピック別要求事項 |
What are Topical Requirements? | トピック別要求事項とは何か? |
Topical Requirements are an essential component of the International Professional Practices Framework®, which also includes the Global Internal Audit Standards™ and Global Guidance. The Institute of Internal Auditors as the standardsetter for the profession of internal auditing requires these mandatory Topical Requirements as a supplement to the Global Internal Audit Standards, which serve as the authority for the required practices described and cross-referenced in the Topical Requirements. | トピック別要求事項は、グローバル内部監査基準(Global Internal Audit Standards™)とグローバル・ガイダンス(Global Guidance)を含む国際的な専門業務フレームワーク(International Professional Practices Framework®)の重要な構成要素である。内部監査専門職の標準化機関である内部監査人協会は、グローバル内部監査基準を補足するものとして、これらの必須「トピック別要求事項」を要求しており、これらの「トピック別要求事項」は、トピック別要求事項に記述され、相互参照されている要求される実務の認可の役割を果たしている。 |
Topical Requirements provide structure for frequently audited global topics that are typically higher risk and pervasive in nature. While the Standards apply to all internal audit services performed, a Topical Requirement must be considered as additional mandatory requirements to be followed when that subject is the focus of an internal audit engagement. | トピック別要求事項は、一般的にリスクが高く、その性質が広範である、頻繁に監査されるグローバルなトピックの構造を提供するものである。標準は、実施されるすべての内部監査業務に適用されるが、「トピック別要求事項」は、そのテーマが内部監査業務の焦点となる場合に従うべき追加の必須要求事項として考慮されなければならない。 |
Topical Requirements are to be applied at the entity or organizational level to topics that have an impact across the organization. Internal auditors must be familiar with Topical Requirements and be ready to apply them when the topic is included in their annual audit plans or if that specific topic is the focus of an internal audit engagement. The elements of the Topical Requirement must be assessed when scoping the engagement. Evidence that the assessment and treatment of the subject occurred must be documented and retained. Engagements that include any aspect of the topic must assess the requirements relevant to the engagement or document why specific requirements are not applicable. A tool to assist internal auditors with explaining the rationale for including or excluding requirements is provided as Appendix B. | トピック別要求事項は、事業体または組織レベルで、組織全体に影響を及ぼすトピックに適用される。内部監査人は、「トピック別要求事項」に精通し、そのトピックが年次監査計画に含まれる場合、または特定のトピックが内部監査の焦点となる場合に、適用できるようにしておかなければならない。主題別要求事項の要素は、監査計画の策定時に評価しなければならない。その評価と処置が行われたという証拠を文書化し、保持しなければならない。トピックのいずれかの側面を含む業務では、その業務に関連する要求事項を評価するか、または特定の要求事項が適用されない理由を文書化しなければならない。内部監査人が要求事項を含む又は除外する根拠を説明するための支援ツールは、附属書Bとして提供されている。 |
Why are Topical Requirements necessary? | なぜトピック別要求事項が必要なのか? |
The application of Topical Requirements is designed to strengthen the ongoing relevance of an internal audit function to the evolving global risk landscape and enhance the value of internal audit services across industries and sectors. | トピック別要求事項の適用は、進化するグローバルリスク現況に対する内部監査機能の継続的な関連性を強化し、業種やセクターを問わず内部監査サービスの価値を高めることを目的としている。 |
Conforming with Topical Requirements will help internal auditors raise the quality and consistency of engagements. | トピック別要求事項への適合は、内部監査人が業務の質と一貫性を高めるのに役立つ。 |
Topical Requirements are structured to provide guidance for performing internal audit services in three areas: governance, risk management, and control processes. Each area includes: | トピック別要求事項は、ガバナンス、リスクマネジメント、統制プロセスの3つの分野において内部監査サービスを実施するためのガイダンスを提供するように構成されている。各分野には以下のものが含まれる: |
• Requirements, which are mandatory and cover essential organizational objectives. | ・必須要求事項(Requirements):必須要求事項であり,組織の本質的な目標をカバーしている。 |
• Considerations, which are not mandatory but serve as best practices for evaluating the design and implementation of organizational objectives. Considerations, provided in Appendix A, should be utilized simply as examples to validate the requirements. | ・考慮事項:必須ではないが,組織目標の設計と実施を評価するためのベストプラクティスとして機能する。附属書Aに記載されている考慮事項は,単に要求事項を検証するための例として利用されるべきである。 |
Conformance with Topical Requirements will be evaluated in quality assessments. To demonstrate conformance in preparation for a quality review, internal auditors should use the tool provided as Appendix B to indicate conformance with each requirement or to explain why conformance was not achieved. | トピック別要求事項への適合性は、品質評価において評価される。品質審査に備えて適合性を実証するために、内部監査人は附属書 B として提供されるツールを使用して、各要求事項への適合性を示すか、適合性が達成されなかった理由を説明する必要がある。 |
Cybersecurity Topical Requirement | サイバーセキュリティ トピック 要求事項 |
Evaluating and Assessing the Effectiveness of Cybersecurity Governance, Risk Management, and Control Processes | サイバーセキュリティガバナンス、リスクマネジメント、および統制プロセスの有効性の評価とアセスメント |
Cybersecurity protects an organization's information assets from unauthorized users, disruption, alteration, or destruction, and strengthens the overall control environment to reduce risk. Cyberattacks can lead to direct and indirect impacts that are often significant, as computers, networks, programs, data, and sensitive information are critical components of most organizations. Since organizations rely heavily on information technology resources, having clearly defined a cybersecurity plan, objectives, inherent risks, and effective controls should be a priority for management. | サイバーセキュリティは、組織の情報資産を不正利用、破壊、改ざん、破壊から保護し、全体的な統制環境を強化してリスクを低減する。コンピュータ、ネットワーク、プログラム、データ、機密情報は、ほとんどの組織にとって重要な構成要素であるため、サイバー攻撃は、多くの場合重大な直接的・間接的影響をもたらす可能性がある。組織は情報技術リソースに大きく依存しているため、サイバーセキュリティ計画、目的、固有のリスク、効果的な制御を明確に定義することは、マネジメントにとって優先事項である。 |
This Topical Requirement provides a consistent, comprehensive approach to assessing the design and implementation of cybersecurity governance, risk management, and control processes. | このトピック別要求事項は、サイバーセキュリティガバナンス、リスクマネジメント、および統制プロセスの設計と実装を評価するための一貫した包括的なアプローチを提供する。 |
GOVERNANCE: Evaluating and Assessing Cybersecurity Governance | ガバナンス:サイバーセキュリティガバナンスの評価と査定 |
Requirements: | 要求事項 |
When performing an internal audit engagement that includes cybersecurity objectives in its scope, internal auditors must assess whether the organization’s governance processes adequately address cybersecurity. Internal auditors must assess whether: | 内部監査の対象範囲にサイバーセキュリティの目的が含まれている場合、内部監査人は、組織のガバナンスプロセスがサイバーセキュリティに適切に対応しているかどうかを評価しなければならない。内部監査人は、以下を評価しなければならない: |
A. Policies and procedures related to cybersecurity risk management processes are established and periodically updated, including promotion of practices that strengthen the control environment based on widely adopted frameworks (NIST, COBIT, and others). | A. 広く採用されているフレームワーク(NIST、COBIT など)に基づき、統制環境を強化するプラクティスを推進するなど、サイバーセキュリティリスクマネジメントプロセスに関連する方針と手順が確立され、定期的に更新されている。 |
B. Roles and responsibilities that support the organization’s cybersecurity objectives are clearly established and those roles are filled by individuals with the required knowledge, skills, and abilities. | B. 組織のサイバーセキュリティ目標を支援する役割と責任が明確に確立され、それらの役割が、必要な知識、スキル、能力を有する個人によって満たされている。 |
C. Updates to cybersecurity objectives, strategies, risks, and mitigating controls are periodically communicated to the board. | C. サイバーセキュリティの目的、戦略、リスク、および低減策の更新が、定期的に取締役会にコミュニケーションされる。 |
D. Relevant stakeholders (for example, leadership, operations, strategic vendors, and others) are engaged to discuss how to best establish and improve cybersecurity risk management processes. | D. 関係する利害関係者(例えば、経営幹部、業務担当者、戦略的ベンダ ーなど)を巻き込んで、サイバーセキュリティリスクマネジメントプロ セスの最適な構築・改善方法を議論する。 |
E. Required resources (such as leadership, funding, talent, hardware, software, and training) necessary to effectively execute cybersecurity risk management processes are communicated to the board. | E. サイバーセキュリティリスクマネジメントプロセスを効果的に実行するために必要なリソース(リー ダーシップ、資金、人材、ハードウェア、ソフトウェア、トレーニングなど)が取締役会に 伝達される。 |
RISK MANAGEMENT: Evaluating and Assessing Cybersecurity Risk Management | リスクマネジメントを実施する: サイバーセキュリティリスクマネジメントを評価・アセスメントする。 |
Requirements: | 要求事項 |
When performing an internal audit engagement that includes cybersecurity objectives in its scope, internal auditors must assess whether the organization’s risk management processes adequately address cybersecurity. Internal auditors must assess whether: | サイバーセキュリティの目的を監査範囲に含む内部監査を実施する場合、内部監査人は、組織のリスクマネジメントプロセスがサイバーセキュリティに適切に対応しているかどうかを評価しなければならない。内部監査人は、以下を評価しなければならない: |
A. An organizationwide risk management process is established that includes the identification, analysis, and management of risks related to information technology and security, with a specific focus on cybersecurity risks and how those risks may affect the ability to achieve organizational objectives. | A. 情報技術とセキュリティに関連するリスクの特定、分析、マネジメントを含む組織全体のリスクマネジメントプロセスが確立されており、特にサイバーセキュリティリスクと、それらのリスクが組織目標の達成能力にどのような影響を及ぼす可能性があるかに重点を置いている。 |
B. Cybersecurity risk management processes are conducted by a cross-functional team that includes information technology leadership, organizationwide risk management, legal, compliance, other management (operations, accounting, finance, and others) and engages external parties (vendors, outsourced service providers, suppliers, customers, and others) as applicable. | B. サイバーセキュリティ・リスクマネジメント・プロセスは、情報技術リーダ ー、組織全体のリスクマネジメント、法務、コンプライアンス、その他のマネジメン ト(オペレーション、経理、財務など)を含む機能横断的なチームによって実施 され、必要に応じて外部の関係者(ベンダー、アウトソーシング・サービス・プロバイダ ー、サプライヤー、顧客など)も関与する。 |
C. Cybersecurity risk management policies and procedures have been established and are periodically updated, including promotion of practices that strengthen cybersecurity risk management processes based on widely adopted risk management frameworks, authoritative guidance, or other best practices. | C. 広く採用されているリスクマネジメントフレームワーク、権威あるガイダンス、またはその他のベストプラクティスに基づき、サイバーセキュリティリスクマネジメントプロセスを強化するプラクティスの推進を含め、サイバーセキュリティリスクマネジメントの方針と手順が確立され、定期的に更新されている。 |
D. Accountability and responsibility regarding the management of cybersecurity risks is established and an individual or team has been identified that periodically monitors and communicates how cybersecurity risks are being managed, including resource requirements to mitigate risks and the identification of emerging cybersecurity risks that had previously not been identified. | D. サイバーセキュリティリスクのマネジメントに関す る説明責任と責任が確立され、リスクを軽減 するためのリソース要求事項や、これまで特定 されなかった新たなサイバーセキュリティリ スクの特定を含め、サイバーセキュリティリ スクがどのようにマネジメントされているかを 定期的に監視し、コミュニケーションする 個人またはチームが特定されている。 |
E. A process is established to quickly escalate any cybersecurity risks (emerging or previously identified) that rise to unacceptable levels based on the organization’s established risk management guidelines or to comply with applicable legal and/or regulatory requirements. | E. 組織の確立されたリスクマネジメントガイドラインに基づき、又は適用される法的及び/又は規制的要求事項に従うために、許容できないレベルにまで上昇したサイバーセキュリティリスク(新たに出現したリスク又は以前に識別されたリスク)を迅速にエスカレーションするプロセスが確立されている。 |
F. Cybersecurity risk management includes the coordination between information security, legal, compliance, and other management to identify and comply with all legal and contractual obligations, such as laws and regulations. The status of both compliance and noncompliance with applicable requirements is communicated within the organization periodically. | F. サイバーセキュリティリスクマネジメントには、法律や規制など、すべての法的及び契約上の義務を特定し、遵守するための、情報セキュリティ、法務、コンプライアンス、その他のマネジメント間の連携が含まれる。適用される要求事項への準拠と非準拠の両方の状況は、組織内で定期的にコミュニケー ションされる。 |
G. A process is established to identify and manage cybersecurity risks related to third parties. Vendors, suppliers, and other providers of outsourced processes and/or services are contractually required to implement effective cybersecurity controls that adequately protect the confidentiality, integrity, and availability of the organization’s systems and data to which third parties have access. | G. サードパーティに関連するサイバーセキュリティリスクを識別し、管理するプロセスを確立する。ベンダ,サプライヤ,その他の外部委託プロセス及び/又はサービスのプロバイダは,第三者がアクセスできる組織のシステム及びデータの機密性,完全性及び可用性を適切に保護する効果的なサイバーセキュリティ管理を実施することが契約上要求される。 |
H. Policies and processes related to data classification, retention, destruction, and encryption are adequately designed and effectively deployed to provide a systematic approach that ensures complete and accurate recording of data and protects the confidentiality and privacy of sensitive information. | H. データの分類、保持、破棄、暗号化に関する方針とプロセスが適切に設計され、効果的に展開され、データの完全かつ正確な記録を保証し、機密情報の機密性とプライバシーを保護する体系的なアプローチを提供する。 |
I. A process is established for communicating cybersecurity operational risks to ensure awareness by management and employees. Any issues, gaps, deficiencies, or control failures are communicated to the board andmanagement, and the status of remediation is closely monitored and reported. Noncompliance with cybersecurity policies is identified, investigated, reported, and remediated in a timely manner. | I. サイバーセキュリティのオペレーショナルリスクをコミュニケーションするプロセスを確立し、マネジメントと従業員が確実に認識できるようにする。問題、ギャップ、欠陥、統制の不備はすべて取締役会および経営陣にコミュニケーションされ、是正状況は綿密に監視・報告される。サイバーセキュリティポリシーに対するコンプライアンス違反は、適時に識別、調査、報告、是正される。 |
CONTROLS: Evaluating and Assessing Cybersecurity Control Processes | 統制活動:サイバーセキュリティ統制プロセスの評価とアセスメント |
Requirements: | 要求事項 |
When performing an internal audit engagement that includes cybersecurity objectives in its scope, internal auditors must assess whether the organization’s control processes adequately address cybersecurity. Internal auditors must assess if the organization: | サイバーセキュリティの目的を監査範囲に含む内部監査を実施する場合、内部監査人は、組織の統制プロセスがサイバーセキュリティに適切に対応しているかどうかを評価しなければならない。内部監査人は、組織が以下を実施しているかどうかを評価しなければならない: |
A. Prioritizes cybersecurity controls and ensures the related budget and resources (such as personnel, software, tools, and others) are allocated to maximize expected benefits. | A. サイバーセキュリティ統制に優先順位を付け、関連する予算とリソース(要員、ソフトウェア、ツールなど)が、期待される効果を最大化するように配分されているかどうかを評価する。 |
B. Ensures that cybersecurity controls are functioning in a manner that promotes the achievement of organizational cybersecurity objectives and timely resolution of issues. | B. 組織のサイバーセキュリティ目標の達成と問題のタイムリーな解決を促進する方法で、サイバーセキュリティ統制が機能していることを確認する。 |
C. Provides sufficient training to personnel responsible for cybersecurity operations. | C. サイバーセキュリティ運用を担当する要員に十分なトレーニングを提供する。 |
D. Has developed sufficient policies and procedures to manage all aspects of cybersecurity operations and related controls. | D. サイバーセキュリティの運用と関連する管理のあらゆる側面を管理するための十分な方針と手順を策定している。 |
E. Ensures that management has the resources necessary to stay informed about emerging cybersecurity issues from new technologies, identify opportunities to improve operations, and understand how cybersecurity efforts can best be deployed to impact broader organizational goals and objectives. | E. 管理者が、新しい技術から生じる新たなサイバーセキュリティ問 題について常に情報を入手し、業務を改善する機会を特定し、 より広範な組織の目標や目的に影響を与えるためにサイ バーセキュリティの取り組みをどのように展開するのが最 善であるかを理解するために必要なリソースを確保する。 |
F. Adequately integrates cybersecurity into the system development life cycle for business applications, including software and acquired or custom-developed applications. | F. サイバーセキュリティを、ソフトウ ェアや買収またはカスタム開 発したアプリケーションを含む 業務アプリケーションのシステム開 発ライフサイクルに適切に組み 込んでいる。 |
G. Has included cybersecurity in the management of hardware (such as laptops, desktops, mobile devices). | G. ハードウェア(ラップトップ、デスクトップ、モバイルデバイスなど)の管理にサイバーセキュリティを組み込んでいる。 |
H. Has implemented effective controls regarding production hardware support, such as configuring, patching, supporting user access management, and monitoring availability and performance. The organization has evaluated both the design adequacy and operational effectiveness of these controls. | H. 構成、パッチ適用、ユーザアクセス管理のサポート、可用性とパフォーマンスの監視など、本番用ハードウェアのサポートに関する効果的な管理を実施している。組織は、これらの統制の設計の妥当性と運用の有効性の両方を評価している。 |
I. Optimizes network-related controls regarding network segmentation, the use and placement of firewalls, limited connections to external networks and/or systems, and the use of preventive and detective technologies such as intrusion detection/prevention systems. | I. ネットワークのセグメンテーション、ファイアウォールの使用と配置、外部ネットワークおよび/またはシステムへの接続の制限、侵入検知/防止システムなどの予防/検知技術の使用など、ネットワーク関連の統制を最適化している。 |
J. Has implemented effective controls surrounding common desktop communication services such as email, internet browsers, videoconferencing, messaging, and file-sharing protocols. | J. 電子メール、インターネットブラウザ、ビデオ会議、メッセージング、ファイル共有プロトコルなど、一般的なデスクトップコミュニケーションサービスに関する効果的な管理を実施している。 |
K. Has implemented appropriate service delivery controls to ensure the following areas are integrated with cybersecurity monitoring: change management, service/help desk, and end-user device administration. | K. 変更管理、サービス/ヘルプデスク、エンドユーザデバイス管理など、次の分野がサイバーセ キュリティ監視と統合されるように、適切なサービス提供管理を実施している。 |
L. Has implemented appropriate physical security controls to protect high-risk information centers (such as data centers, network operations centers, and security operations centers) from attacks. M. Has implemented incident response and recovery controls. | L. リスクの高い情報センター(データセンター、ネットワーク・オペレーション・センター、セキュリ ティ・オペレーション・センターなど)を攻撃から保護するために、適切な物理的セキュリティ 管理を実施している。M. インシデントレスポンスとリカバリ管理を実施している。 |
Related Standards: | 関連標準 |
3.1 Competency | 3.1 コンピテンシー |
4.2 Due Professional Care | 4.2 専門職として正当な注意 |
9.1 Understanding Governance, Risk Management, and Control Processes | 9.1 ガバナンス、リスクマネジメント、統制プロセスの理解 |
9.4 Internal Audit Plan | 9.4 内部監査計画 |
12.3 Oversee and Improve Engagement Performance | 12.3 エンゲージメント・パフォーマンスの監督と改善 |
13.1 Engagement Communication | 13.1 エンゲージメント・コミュニケーション |
13.2 Engagement Risk Assessment | 13.2 エンゲージメントのリスクアセスメント |
13.3 Engagement Objectives and Scope | 13.3 エンゲージメントの目的と範囲 |
13.4 Evaluation Criteria | 13.4 評価基準 |
13.5 Engagement Resources | 13.5 エンゲージメント・リソース |
13.6 Work Program | 13.6 作業プログラム |
14.1 Gathering Information for Analyses and Evaluation | 14.1 分析と評価のための情報収集 |
14.2 Analyses and Potential Engagement Findings | 14.2 分析とエンゲージメントで得られる可能性のある知見 |
14.3 Evaluation of Findings | 14.3 調査結果の評価 |
14.4 Recommendations and Action Plans | 14.4 提言と行動計画 |
14.5 Engagement Conclusions | 14.5 エンゲージメントの結論 |
14.6 Engagement Documentation | 14.6 エンゲージメントの文書化 |
15.1 Final Engagement Communication | 15.1 エンゲージメントの最終コミュニケーション |
15.2 Confirming the Implementation of Recommendations or Action Plans | 15.2 勧告またはアクションプランの実施確認 |
Related Global Technology Audit Guides (GTAGs): | 関連するグローバル技術監査ガイド(GTAG): |
Assessing Cybersecurity Risk: The Three Lines Model | サイバーセキュリティリスクのアセスメント:3行モデル |
Auditing Business Applications | ビジネスアプリケーションの監査 |
Auditing Cyber Incident Response and Recovery | サイバーインシデント対応と復旧の監査 |
Auditing Cybersecurity Operations: Prevention and Detection | サイバーセキュリティ業務の監査 予防と検知 |
Auditing Identity and Access Management | アイデンティティとアクセス管理の監査 |
Auditing IT Governance | ITガバナンスの監査 |
Auditing Mobile Computing | モバイルコンピューティングの監査 |
Auditing Network and Communications Management | ネットワークおよびコミュニケーション管理の監査 |
Appendix A. Considerations | 附属書A. 考慮事項 |
Considerations for Each Governance Requirement: | 各ガバナンス要求事項に関する考慮事項: |
To assess how the essential governance processes are applied to cybersecurity objectives, internal auditors may review: | 基本的なガバナンスプロセスがサイバーセキュリティの目的にどのように適用されているかを評価するために、内部監査人は以下の事項を確認する: |
A. Policies, procedures, and other relevant documentation utilized by the organization to manage daily cybersecurity responsibilities, including: | A. 日常的なサイバーセキュリティの責任を管理するために組織が利用する方針、手順、およびその他の関連文書: |
1. Documentation that is clear, concise, consistent, and updated periodically, ideally as emerging cybersecurity risks are identified and at least annually. | 1. 明確で、簡潔で、一貫性があり、定期的に、理想的には新たなサイバーセキュリティリスクが識別されたときに、少なくとも年 1 回更新される文書。 |
2. Procedures related to identifying, analyzing, resolving, and reporting breaches or other loss of sensitive data. | 2. 機密データの侵害またはその他の損失の識別、分析、解決、報告に関する手順。 |
3. Documentation of how management ensures policies and procedures are sufficient to support cybersecurity operations. | 3. 経営者が、ポリシーと手順がサイバーセキュリティの運用を支援するのに十分であることをどのように確認するかの文書化。 |
B. Roles and responsibilities created by the board to support the achievement of the cybersecurity strategy, including a reporting structure that ensures cybersecurity reports to a level in the organization that has sufficient visibility to achieve organizational support. | B. サイバーセキュリティ戦略の達成を支援するために取締役会が設定した役割と責任(サイバーセキュリティが組織の支持を得るために十分な可視性を有する組織内のレベルに報告されることを保証する報告構造を含む)。 |
C. Materials presented to the board about cybersecurity strategy, objectives, risks, and controls, including analyzing whether: | C. サイバーセキュリティ戦略、目的、リスク、統制について取締役会に提示された資料: |
1. Communication frequency is adequate, ideally occurring quarterly and presented by the head of the information security function, such as a chief information systems officer. | 1. コミュニケーションの頻度が適切であり、理想的には四半期ごとに実施し、最高情報システム責任者などの情報セキュリティ機能の責任者が提示する。 |
2. The information presented is clear, concise, and consistent; risks and controls are communicated in a manner that would be easily understood by the board. | 2. 提示される情報が明確で、簡潔で、一貫性があり、リスクと管理策が取締役会に容易に理解される方法でコミュニケーショ ンされている。 |
3. Key performance indicators or other important cybersecurity metrics/statistics are included. | 3. 主要業績評価指標やその他の重要なサイバーセキュリティ指標/統計が含まれている。 |
4. Where appropriate, board input is received by management and implemented, with status updates of changes communicated back to the board. | 4. 適切な場合、取締役会の意見が経営陣によって受理され、実施され、変更の状況が取締役会にコミュニケーショ ンされる。 |
D. Evidence of management’s cybersecurity-related communications with relevant stakeholders (for example, leadership, operations, strategic vendors, and others), including that information communicated is clear, concise, consistent, and tailored to the stakeholder audience: | D. 経営陣が関連する利害関係者(例えば、リーダーシップ、業務、戦略的ベンダーなど)とサイバーセキュリティ関連のコミュニケーションを実施していることを示す証拠: |
1. Employees. | 1. 従業員 |
2. Vendors, suppliers, outsourced service providers, and third parties. | 2. ベンダー、サプライヤー、外部委託サービスプロバイダー、サードパーティ。 |
3. Customers. | 3. 顧客。 |
4. Strategic partners. | 4. 戦略的パートナー。 |
E. The analysis and communication of resource requirements by management, including: | E. 経営陣によるリソース要求事項の分析とコミュニケーション: |
1. Understanding how gaps are identified and what key metrics are utilized to anticipate changes in requirements. | 1. ギャップがどのように特定され、要求事項の変化を予測するためにどのような主要指標が利用されるかを理解する。 |
2. How management works with human resources to analyze cybersecurity talent needs. | 2. 経営層が人事部門とどのように連携してサイバーセキュリティ人材のニーズを分析するか。 |
3. How management analyzes current hardware and software inventories and determines whether additional investment is needed to support cybersecurity initiatives. | 3. 経営者が、現在のハードウェアとソフトウェアの在庫をどのように分析し、サイバーセキュリティイニシアチブをサポートするために追加投資が必要かどうかをどのように判断しているか。 |
4. Whether internal auditors review how management establishes and updates cybersecurity training materials and identifies gaps, including ensuring that training covers emerging cybersecurity objectives, risks, and controls. | 4. 内部監査人は、経営陣がサイバーセキュリティに関する研修資料をどのように策定・更新し、研修が新たなサイバーセキュリティの目的、リスク、統制をカバーしていることを確認するなど、ギャップをどのように特定しているかをレビューしているかどうか。 |
Considerations for Each Risk Management Requirement: | リスクマネジメントの各要求事項に関する検討事項: |
To assess the required aspects of cybersecurity risk management, internal auditors may review: | サイバーセキュリティリスクマネジメントの要求される側面を評価するために、内部監査人は以下をレビューすることができる: |
A. How management initially identifies cybersecurity risks, including: | A. どのようにマネジメントがサイバーセキュリティリスクを最初に識別するか: |
1. Understanding which personnel are responsible for both daily threats the organization faces and emerging risks with the information security community. | 1. 組織が直面する日常的な脅威と、情報セキュリティコミュ ニティとの新たなリスクの両方について、どの担当者が責 任を負うかを理解する。 |
a. Determine whether these individuals have the related professional experience and training required to effectively recognize and escalate threats to the broader risk management team. | a. これらの担当者が、効果的に脅威を認識し、より広範なリスクマネジメントチームにエスカレーションするために必要な、関連する専門的な経験と訓練を受けているかどうかを判断する。 |
2. Identifying the software applications or vendors that management relies upon to identify cybersecurity risks. | 2. マネジメントがサイバーセキュリティリスクを特定するために依存しているソフトウ ェアアプリケーションやベンダーを識別する。 |
3. Documentation related to the cybersecurity risk management process, including: | 3. 以下を含むサイバーセキュリティリスクマネジメントプロセスに関連する文書: |
a. Meeting minutes. | a. 会議の議事録。 |
b. Action items. | b. アクションアイテム。 |
c. Lists of attendees or team members. | c. 出席者またはチームメンバーのリスト。 |
d. Post-incident investigation/root cause analysis. | d. インシデント後の調査/根本原因の分析。 |
B. How management identifies or nominates risk management team members and the related business rationale or qualifications utilized to evaluate membership. Review evidence of periodic engagement of cybersecurity risk discussions with relevant external parties. | B. リスクマネジメントのチームメンバーをどのように識別または指名するか。関連する外部当事者との定期的なサイバーセキュリティリスクの議論への参加の証拠を検証する。 |
C. The process the organization uses to establish and periodically update policies and procedures related to cybersecurity risk management, which may include: | C. 組織がサイバーセキュリティリスクマネジメントに関連する方針と手順を確立し、定期的に更新するために使用するプロセス: |
1. An annual review and approval of policies and procedures. | 1. 方針と手順の年次レビューと承認。 |
2. An understanding of how the organization ensures compliance with its risk management policies and procedures and the way personnel are trained on the execution of policies and procedures. | 2. 組織がリスクマネジメントの方針及び手順の遵守を確実にする方法、並びに方針及び手順の実行に関する要員の訓練方法を理解すること。 |
a. An understanding of which frameworks or authoritative guidance management uses to manage cybersecurity risks (NIST, COBIT, and others) and the way the organization confirms adherence to chosen framework(s). | a. 経営者がサイバーセキュリティリスクの管理にどのフレームワークや権威あるガイダンス(NIST、COBIT、その他)を使用しているか、また、組織が選択したフレームワークの遵守を確認する方法を理解している。 |
D. The individual(s) responsible for executing cybersecurity risk management, including ensuring their professional background, experience, qualifications, and credentials are appropriate for managing information security risks and threats. Verify that the responsible individual is positioned at a level within the organization to bring visibility to cybersecurity risks and communicate those risks effectively . | D. サイバーセキュリティリスクマネジメントを実施する責任者が、情報セキュリティリスクと脅威を管理するために適切な専門的経歴、経験、資格、資格であることを確認する。責任者が、サイバーセキュリティリスクを可視化し、それらのリスクを効果的にコミュニケーショ ンできる組織内のレベルに位置していることを検証する。 |
E. The escalation processes the organization utilizes for communicating cybersecurity risks, including how threat or risk level is evaluated, assigned, and prioritized. Verify that the organization has defined risk levels, such as high, moderate, low, including a detailed explanation for each risk level and escalation procedures for each category of risk. Review listing of current cybersecurity risks identified and the mitigation status of each event. | E. 脅威やリスクレベルがどのように評価され、割り当てられ、優先順位付けされるかを含め、組織がサイバーセキュリティリスクのコミュニケーションに利用しているエスカレーションプロセス。組織が、「高」「中程度」「低」といったリスクレベルを定義していることを検証する。リスクレベルごとの詳細な説明や、リスクのカテゴリーごとのエスカレーション手順を含む。現在特定されているサイバーセキュリティリスクのリストと、各事象の低減状況を確認する。 |
F. The process the organization utilizes to ensure conformance with all applicable cybersecurity regulations, including: | F. 適用されるすべてのサイバーセキュリティ規制への適合を確保するために組織が利用しているプロセス: |
1. How proposed or recently adopted regulations affect the organization. | 1. 提案されている、または最近採択された規制が、組織にどのような影響を及ぼすか。 |
2. If there is an inventory of applicable regulations that is monitored, updated, and reported upon periodically to ensure organizational awareness. | 2. 適用される規制の目録があり、組織の認識を確実にするために定期的に監視、更新、報告されているかどうか。 |
a. For any noncompliance items, verify that management is aware of the associated risks, including through periodic reporting. | a. コンプライアンス違反の項目については、定期的な報告を通じてなど、マネジメントが関連リスクを認識していることを検証する。 |
G. The organization’s process for managing third-party cybersecurity risks. Verify that vendor cybersecurity controls are reviewed prior to commencing a business relationship and that contracts build in the right to periodic reviews throughout the relationship. Include obtaining and analyzing the third party’s service organization controls report and verifying the organization has documented its SOC report review, which should include ensuring user control considerations have been implemented. Gain an understanding of management’s approach to determine if third parties have an appropriate control environment that is commensurate with the organization’s controls. | G. サードパーティサイバーセキュリティリスク管理のための組織のプロセス。ビジネス関係を開始する前にベンダーのサイバーセキュリティ管理がレ ビューされ、関係を通じて定期的なレビューを受ける権利が契約に盛り込 まれていることを検証する。サードパーティのサービス組織統制報告書を入手して分析し、組織が SOC 報告書のレビューを文書化したことを検証する。サードパーティが組織の統制に見合った適切な統制環境を有しているかどうかを判断するための経営者のアプローチを理解する。 |
a. a. If third-party control weaknesses are found, understand the process management uses to gain comfort that the weaknesses do not compromise cybersecurity related to operations, or understand how the organization communicates that changes are required to maintain the applicable vendor relationship or that potentially a replacement vendor should be found. | a. サードパーティによる統制の脆弱性が発見された場合、その脆弱性が業務に関連するサイバーセ キュリティを損なわないという安心感を得るために経営者が使用しているプロセスを理解 する。 |
H. The policies and processes the organization has established related to: | H. 組織が以下の事項に関して確立した方針とプロセス: |
1. Data classification. | 1. データ分類。 |
2. Data retention. | 2. データ保持。 |
3. Data destruction. | 3. データの破棄。 |
4. Encryption. | 4. 暗号化。 |
5. Access/identity management. | 5. アクセス/ID管理。 |
6. Who prepares, reviews, and updates the documentation, which ideally should include legal and compliance personnel to ensure conformance with applicable regulations. | 6. 誰が文書を作成し、レビューし、更新するのか。理想的には、適用される規制への準拠を確実にするために、法務担当者、コンプライアンス担当者を含むべきである。 |
7. How the organization performs data classification to ensure confidential and private data have been identified and have the appropriate level of protection, such as limiting user access. | 7. 組織がどのようにデータ格付を行い、機密データや個人データが識別され、ユーザーアクセスの制限など適切なレベルの保護がなされていることを確認する。 |
8. How the organization periodically reviews the process used to classify data and whether the process continues to support organizational cybersecurity objectives and comply with organizational policies and applicable regulations. | 8. データを分類するために使用されるプロセスを組織がどのように定期的にレビューし、そのプロセスが組織のサイバーセキュリティ目標を継続的にサポートし、組織のポリシーおよび適用される規制に準拠しているかどうかを確認する。 |
I. The process for communicating cybersecurity operational risks to management and employees. Ideally, such communication should be included with periodic cybersecurity training ( at least annually). Understand management’s process for communicating updates on existing remediation of cybersecurity issues along with anticipated completion dates. Verify that noncompliance is monitored closely, and updates are provided to the board and senior management. | I. サイバーセキュリティの運用リスクをマネジメントと従業員にコミュニケーションするプロセス。このようなコミュニケーションは、定期的なサイバーセキュリティ研修(少なくとも年 1 回)に含めることが理想的である。I.サイバーセキュリティ上の問題の既存の是正に関する最新情報を、完了予定日とともにコミュニケーションするための経営陣のプロセスを理解する。コンプライアンス違反が厳重に監視され、最新の情報が取締役会及び上級管理職に提供されていることを確認する。 |
Considerations for Each Control Process Requirement: | 各統制プロセス要求事項に関する考慮事項 |
To assess the required aspects of cybersecurity controls, internal auditors may review: | サイバーセキュリティ統制の要求される側面を評価するために、内部監査人は以下の事項を検討する: |
A. Management’s process for determining how to deploy budgeted resources to support the cybersecurity control environment, which should include strategic planning annually to ensure an appropriate level of organizational resources are available to fulfill cybersecurity objectives. Formal, documented results of annual planning and periodic monitoring of resource management should be reviewed. | A. このプロセスには、サイバーセキュリティの目標を達成するために適切なレベルの組織リソースが利用可能であることを確実にするための、毎年の戦略的計画を含むべきである。年次計画の正式な文書化された結果と、リソース管理の定期的な監視をレビューする。 |
B. Management’s process for periodically evaluating that cybersecurity controls are functioning in a manner that promotes achievement of organizational cybersecurity objectives. Verify that management monitors control effectiveness and evaluates whether existing controls are designed appropriately or new controls are required. In many organizations, the internal audit function plays a significant role in this process by providing assurance on the design of controls and whether controls are operating effectively through periodic (quarterly, annual) testing. Verify management’s processes for remediating control deficiencies or addressing findings from assessments performed by the internal audit function or other assurance providers (for example, penetration testing). | B. 組織のサイバーセキュリティ目標の達成を促進する方法で、サイバーセキュリティの統制が機能していることを定期的に評価するためのマネジメントのプロセス。経営者が統制の有効性を監視し、既存の統制が適切に設計されているか、または新たな統制が必要であるかを評価することを検証する。多くの組織では、内部監査機能が、定期的な(四半期ごと、年次ごとの)テストを通じて、統制の設計と統制が有効に機能しているかどうかについての保証を提供することにより、このプロセスにおいて重要な役割を果たしている。内部監査機能または他の保証プロバイダ(例えば、侵入テスト)が実施した評価から発見された統制の不備を是正し、または対処するためのマネジメントのプロセスを検証する。 |
C. Management’s process to evaluate training needs for cybersecurity personnel within the organization and how resources are assigned to deliver appropriate education and ensure that emerging cybersecurity threats are understood and managed. Understand how management ensures that employees have sufficient cybersecurity training, which may include live training events, recorded instruction, or completion of training modules. | C. 組織内のサイバーセキュリティ要員の研修ニーズを評価する経営者のプロセスと、適切な教育を実施し、新たに出現するサイバーセキュリティの脅威を確実に理解し管理するためのリソースの割り当て方法を検証する。従業員が十分なサイバーセキュリティ研修を受けられるように経営者がどのように確保しているかを理解する。この研修には、ライブの研修イベント、録画された指導、または研修モジュールの修了が含まれる。 |
D. The organization’s process for creating and updating cybersecurity policies and procedures and how management evaluates whether said policies and procedures are adequate. Understand how personnel responsible for cybersecurity operations and controls are trained in complying with policies and procedures and how they are evaluated for internal compliance. | D. サイバーセキュリティの方針と手順を作成し更新するための組織のプロセスと、当該方針と手順が適切かどうかを経営者がどのように評価しているか。サイバーセキュリティの運用と管理を担当する要員が、どのように方針と手順に準拠するための訓練を受け、どのように内部準拠を評価されるかを理解する。 |
E. The organization’s process for appropriately training the management team responsible for cybersecurity operations and controls to recognize emerging trends and provide their teams and the organization with strategic leadership. Understand how the organization identifies opportunities to increase management’s capabilities to support awareness of emerging issues, such as participation in training and continuing professional education. | E. サイバーセキュリティの運用と管理を担当するマネジメントチームが、新たな傾向を認識し、そのチームと組織に戦略的リーダシップを提供できるよう、適切にトレーニングするための組織のプロセス。組織が、研修や継続的な専門教育への参加など、新たな問題の認識を支援するためのマネジメントの能力を向上させる機会をどのように特定しているかを理解する。 |
F. How the organization addresses cybersecurity within their system development life cycle, including the following control aspects | F. 組織が、システム開発ライフサイクルの中で、サイバーセキュリティにどのように取り組んでいるか。 |
1. Planning: Cybersecurity has been identified as a key component when assessing risks and analyzing potential vulnerabilities. The scope and objectives of the software implementation should be included as the organization evaluates cybersecurity controls during the planning phase. | 1. 計画: 計画:サイバーセキュリティは、リスクをアセスメントし、潜在的な脆弱性を分析する際の重要な要素であると認識されている。組織が計画段階でサイバーセキュリティ対策を評価する際には、ソフトウエアの実装範囲と目的を含めるべきである。 |
2. Gathering requirements: Cybersecurity requirements are a component when defining functional requirements, which should also include complying with all applicable legal and regulatory requirements. | 2. 要求事項を収集する: サイバーセキュリティ要求事項は、機能要求事項を定義する際の構成要素であり、適用されるすべての法的・規制的要求事項に準拠することも含まれる。 |
3. Design: Cybersecurity considerations are included as an integral piece of the detailed processing requirements. Controls should be identified in all design aspects as the organization more formally defines the needs of the system architecture design (such as platforms, user interfaces, databases, and others). | 3. 設計: サイバーセキュリティへの配慮は、詳細な処理要求事項に不可欠な要素として含まれる。組織がシステムアーキテ クチャ設計のニーズ(プラットフォーム、ユーザインタフェース、データベースなど)をよ り正式に定義する際には、すべての設計側面において統制を特定する必要がある。 |
4. Development: The organization has established a secure environment and formally defined a development process that minimizes cyber vulnerabilities (for example, limited user access to development code, appropriate segregation from production environment, the use of approved tools, the existence of audit trails to track development activities, specific cybersecurity requirements for vendor-developed software, and others). | 4. 開発: 開発:組織は、安全な環境を確立し、サイバーセキュリティ上の脆弱性を最小化する開発プロセスを正式に定義している(例えば、開発コードへのユーザアクセスの制限、本番環境からの適切な分離、承認されたツールの使用、開発活動を追跡する監査証跡の存在、ベンダが開発したソフトウェアに対する特定のサイバーセキュリティ要求事項など)。 |
5. Testing: The organization includes the review and assessment of cybersecurity during the testing phase (for example, automated testing, penetration testing, and vulnerability assessment). The organization should be able to quickly be alerted to and address any cyber vulnerabilities identified through testing, which includes a detailed description of the vulnerability and what code changes or mitigating controls were established in response. | 5. テスト: 組織は、テスト段階(自動テスト、侵入テスト、脆弱性評価など)におけるサイバーセキュリティのレビューと評価を含む。組織は、テストを通じて識別されたサイ バー脆弱性に対して迅速に警告を発し、対処することができなければならない。このテストには、脆弱性の 詳細な説明と、それに対応してどのようなコード変更または低減策が確立されたかが含まれる。 |
6. Deployment: As new software is moved into production, the organization should carefully monitor potential cybersecurity threats, including ensuring end-users have been trained to use the software in a way that minimizes cybersecurity risks. The organization should ensure that events and errors are logged and analyzed related to potential cybersecurity events. | 6. デプロイメント: 新しいソフトウエアを本番稼動させる際には、エンドユーザがサイバーセキュリティリ スクを最小化する方法でソフトウエアを使用するよう訓練されていることを確認するこ とを含め、サイバーセキュリティ上の潜在的脅威を注意深く監視する。組織は、サイバーセキュリティ上の潜在的な事象に関連する事象やエラーが記録され、 分析されるようにする。 |
7. Maintenance: The organization should ensure that all security-related software releases are applied in a timely manner and should have open communication with software vendors to ensure emerging risks and threats are properly controlled and that end-users are informed of any known vulnerabilities. | 7. 保守: また、新たなリスクや脅威が適切に管理され、エンドユーザに既知の脆弱性が周知されるよう、ソフトウエアベンダーとオープンなコミュニケーションを図る。 |
G. Controls the organization has established to protect hardware (such as desktops, laptops, mobile devices, and others) from cybersecurity risks, which includes the use of encryption, antivirus software, complex password requirements, virtual private network or zero trust networking for authentication, periodic updating of firmware, and an asset management process that ensures that company-issued hardware has an appropriate security configuration upon issuance and proper disposal when assets are retired. | G. 組織が、ハードウェア(デスクトップ、ラップトップ、モバイル機器など)をサイバーセキュリティリスクから保護するために確立しているコントロール。これには、暗号化、ウイルス対策ソフトウェア、複雑なパスワード要求事項、本人認証のための仮想プライベートネットワークまたはゼロトラストネットワーキングの使用、ファームウェアの定期的な更新、会社から支給されたハードウェアが発行時に適切なセキュリティ構成になっていること、および資産が廃棄されるときに適切に廃棄されることを保証する資産管理プロセスが含まれる。 |
H. Controls the organization has deployed to ensure production support provides protection from cybersecurity risks, which should include that servers are patched with security releases in a timely manner to mitigate emerging risks. Review the monitoring controls in place to determine whether availability and resource utilization are performing adequately, allowing potential cybersecurity issues that threaten performance to be reviewed and analyzed. Review database-related controls that include limiting user and administrator access, ensuring the use of encryption, the backup and testing of databases, and the presence of strong network security controls. | H. これには、新たなリスクを軽減するために、サーバに適時にセキュリティリリースのパッチを適用することが含まれる。可用性とリソースの使用率が適切に機能しているかどうかを判断するために実施されている監視制御をレビューし、パ フォーマンスを脅かすサイバーセキュリティ上の潜在的な問題をレビューし分析できるようにする。ユーザーと管理者のアクセス制限、暗号化の使用、データベースのバックアップとテスト、強力なネットワーク・セキュ リティ管理の存在など、データベース関連の統制をレビューする。 |
I. Network-related controls that provide for segmentation to limit cybersecurity risks from unauthorized access. Review how the organization utilizes firewalls, including where the firewalls are located and the process used to review, analyze, and restrict network access, preventing unauthorized access. Review how the organization utilizes intrusion detection/prevention systems to prevent, detect, and recover from cybersecurity attacks. | I. 不正アクセスによるサイバーセキュリティリスクを制限するためのセグメンテーションを提供するネットワーク関連の統制 ファイアウォールの設置場所や、不正アクセスを防止するためのネットワークアクセスのレビュー、分析、制限に使用されるプロセスなど、組織がファイアウォールをどのように利用しているかをレビューする。サイバーセキュリティ攻撃を防止、検知、回復するために、組織が侵入検知/防止システ ムをどのように利用しているかをレビューする。 |
J. Controls the organization has established surrounding common desktop communication services, such as use of email encryption, ensuring internet browser security updates are applied in a timely manner, videoconferencing/messaging (for example, MS Teams, Zoom, and others) security settings are configured to restrict the use of certain file extensions (such as .exe files), and the use of multifactor authentication for file sharing. |
J. 例えば、電子メール暗号化の使用、インターネットブラウザのセキュリティアップデートが適時に適用されていること、ビデオ会議/メッセージング(MS Teams、Zoomなど)のセキュリティ設定が特定のファイル拡張子(.exeファイルなど)の使用を制限するように設定されていること、ファイル共有に多要素認証が使用されていることを確認する。 |
K. Controls the organization has deployed to mitigate cybersecurity risks related to service delivery, including: | K. サービス提供に関連するサイバーセキュリティリスクを軽減するために組織が導入している管理策: |
1. Ensuring the change management process includes consideration of cybersecurity risks when evaluating and approving changes and timely cyber incident response. | 1. 変更管理プロセスにおいて、変更の評価・承認時にサイバーセキュリティリスクを考慮すること、及びタイムリーなサイバーインシデントへの対応を確実に行う。 |
2. The user help desk logs all cybersecurity events communicated by the organization, ensures timely resolution, and escalates to the appropriate member of management. | 2. ユーザヘルプデスクが、組織から伝達されたすべてのサイバーセキュリティイベントを記録し、タイムリーな解決を確保し、適切な管理メンバーにエスカレーションする。 |
3. The administration of mobile devices (such as email, applications, and others) is configured to mitigate cybersecurity risks and can be remotely managed if a user’s device is compromised. | 3. モバイルデバイス(電子メール、アプリケーションなど)の管理は、サイバーセキュリティリスクを低減するように設定され、ユーザのデバイスが侵害された場合にリモートで管理できる。 |
L. Physical security controls to protect high-risk information including from cybersecurity risks. Examples include ensuring third party/vendor access is appropriate and limiting physical user access data centers, network operations centers, and security operations centers to authorized personnel . | L. 高リスクの情報をサイバーセキュリティリスクから保護するための物理的なセキュリティ管理。例えば、サードパーティ/ベンダーのアクセスが適切であることを保証することや、物理的なユーザによるデータセンター、ネットワーク・オペレーション・センター、セキュリティ・オペレーション・センターへのアクセスを認可された要員に限定することが含まれる。 |
M. Controls the organization has implemented regarding incident response and recovery, which should include: | M. 組織がインシデント対応と復旧に関して実施している統制: |
1. A documented plan that is reviewed and updated as the organization’s operations change over time. | 1. 組織の業務が長期的に変化した場合にレビューされ更新される、文書化された計画。 |
2. Periodic testing and reporting the results to management. | 2. 定期的にテストを実施し、その結果を経営陣に報告する。 |
3. Determining whether any issues identified by testing are remediated in a timely manner. | 3. テストによって識別された問題が適時に改善されたかどうかを判断すること。 |
« 循環取引に対応する内部統制に関する共同研究報告 by 公益社団法人日本監査役協会、一般社団法人日本内部監査協会、日本公認会計士協会 (2023.04.08) | Main | 個人情報保護委員会 小学生向けの広報動画、中学生・高校生向けの広報動画とパンフレットを掲載 (2024.04.16) »
Comments