システム監査技術者試験 午後Ⅱ 問2
「情報セキュリティ関連規程の見直しに関するシステム監査」
問1に比べて易しい(書きやすい)。
設問イ,設問ウがいずれも監査手続で,しかもリスクも実施されているコントロールも設問で要求されていないので,”適切性に関する監査手続の表現”をしっかりと練習して会得した人は,書きやすいはず。
設問アで関連規程,見直す当事者,見直す背景を,設問イで当事者が実施しようとしている見直しの手続を,設問ウで当事者が計画,実施している周知徹底を,具体的に書くことができて,そこから監査手続につなげられれば合格論文になると思う。
見直し手順も,周知徹底も問題文に例がたくさん書いてあるし,何より周知徹底はイメージしやすい。大会社の人は会社で1社員としてされていることを思い出せば書けるはず。
設問ア
1-1.情報セキュリティ関連規程の見直しの概要とその背景
まず,情報セキュリティ関連規程の概要(全体像,ISMS認証等を受けていればそれも)を説明した上で,どの関連規程を見直したのかを具体的名称を明確にして記述する。
例)個人情報取扱規程
そして忘れてはいけないのが見直しの体制。ISMS認証を受けていれば情報セキュリティ委員会が,そうでなければどういうチームで,あるいは誰が見直すのか?そのあたりをここに書いておく。これが”当事者”になる。
加えて,その見直しが必要となった背景についても書く。問題文では1-2行目に「リスクが変化するから」と書いていて,その例としてサイバー攻撃,個人情報規制,テレワーク,スマートデバイス,クラウド利用拡大が挙げられている。これを見る限り,情報資産の変化,法制度の変化,脅威の変化あたりなら問題がなさそうなので,脅威,法制度,情報資産のいずれが変わったのか?それによってリスクも変わったことを書けばいいだろう。
1-2.影響を与えるIT資産の管理と利用
1-1で書いた関連規程の見直しで影響を受けるIT資産を,理由とともに列挙すればいいだろう。
例えば,個人情報保護法の改正(1-1の背景)による個人情報取扱規程の見直し(1-1)の影響を受けるIT資産。サーバや端末などを列挙すればいい。
設問イ
2.関連規程の見直しに関する手続の適切性を確かめる監査手続
問題文には見直すためのポイントを書いてくれている(大ヒント)。目的,適用時期,適用範囲,対応技術などを適切に検討する手続きが必要だと。
1-1に書いた”見直す当事者”が実際,どのように見直しをしようとしているのか?についてを先に書く。当事者のコントロールだ。
ここで,見直し手順についてのルールがある場合はそれを監査証拠としてチェックすればいいのだが,明確なルールがない場合は,全部インタビューになってしまう。したがって,当事者作成した”見直し手順”があり,その内容を確認するとしたほうがいいだろう。
その上で,下記がどうなっているのか?を明確にして,そこから適切性の監査手続を書けばいいだろう。
・見直しの目的,適用時期,適用範囲と経営戦略との整合性
→経営トップの承認
・対応技術や適用時期の実現可能性
→情報システム部の承認
・適用範囲の正確性
→各現場の承認
留意すべき事項は,場合によっては今よりも利便性を損ねる見直しになる場合もあるので経営トップのリーダーシップの存在と,問題文にもあるように組織全体で対応することぐらいにしておけば問題はないだろう。
難しく考えずに,どうすれば「ルールの見直し」が問題なく全社に浸透するのか?を考えればいいだろう。
設問ウ
3.関連規程の周知に関する適切性を確かめる監査手続
設問イと同じく,これもどういうルールにしているのか?(実際に行われているコントロール)を書いたうえで,その適切性をチェックする。
但し,計画と実行の2フェーズなので3-1,3-2に分けると良いと思う。
3-1.周知徹底するための計画の適切性を確かめる監査手続
問題文では「影響範囲,組織体制などを考慮した周知手続」を良しとしているので,実際の周知手続きがどうなっているのか?を書いたうえで,それに対して適切なことが証明できるような監査手続を書く。
例えばこんな感じ。
「A社では,Webサーバで公開するとともに,見直しの適用時期までに3回に分けて全員に対して社員教育を行って周知している。」
→「3回で全員が出席できているかどうかを,社員名簿と参加者名簿を突合せてチェックするとともに,3回が妥当かどうかを判断するために,どのようにして3回に決めたのか,参加できない場合に他の手段はあるのかを情報セキュリティ委員会の担当者にヒアリングして確認する。」
※組織体制を考慮しているかしていないかはA社次第。必ずしも当事者がパーフェクトであることを確認するというように設定しなくてもいい。というか,コントロールが見つからない場合を書いてもいい。
3-2.周知徹底状況の適切性を確かめる監査手続
最後に問題文の「進捗管理,適用上の課題解決」のうちの周知徹底状況の部分についての監査手続を書く。
※問題文の「進捗管理,適用上の課題解決」が何を指すのかいまいちよくわからない。これらは”見直した関連規程”そのものに関するものだとも取れる。しかし,見直した関連規程を適用する上での課題解決等は設問では一切問われていない。となると,設問で問われている周知徹底状況に対する「進捗管理,適用上の課題解決」だと考えられる。全部がそうではないにしても,部分的に周知徹底する上での課題や進捗管理だと考えられなくもないし,「社員教育だけでなく」がかかっているから,そう捉えても間違いではないはず。
・全員に周知されているか?
・時間の経過とともに忘れられていないか?
・ちゃんと守られているか?
このあたりを,実際にどうなっているのか?を書いたうえで,その裏付けを取るために何をすべきかを監査手続として書けばいいだろう。
A評価のポイント(あくまでも三好の予想)
この問題はしっかりと準備した人と,そうでない人ではっきり分かれる。
設問でも問題文でも問われていない「当事者の行っているコントロールやリスク(コントロールの必要性)」についても触れておかないと,一般論(あるべき論)になってしまうからだ。したがって,この論文は設問アで書いた具体的事例ではなく,一般論として監査人の考えだけを主張する論文が多いことが想像できる。
それゆえ,監査手続の表現を何度も何度も練習して準備できた人は監査手続の内容が多少弱くても大丈夫。合格しているはず。
後は問題文の例でイメージを膨らませ,周知徹底の部分は,設問に沿って書くことができれば大丈夫だろう。