目指せシステム監査人!!(7)
■システム監査と情報セキュリティ監査1
目指せシステム監査人ですが、情報セキュリティ監査とは何が違うのか?
といった質問をよくされます。一昨年システム監査導入のご支援をした際もなぜ、情報セキュリティ監査ではいけないの? ということでした。
そこで今回はシステム監査と情報システム監査、その違いについて考えてみたいと思います。
まずは、監査対象から。
■情報セキュリティ監査(情報資産)>システム監査(情報システム)
情報資産>情報システム+情報システム以外
システム監査は情報システムが監査対象、それに対し情報セキュリティ監査は情報資産が対象です。
情報資産には情報サービス等の情報システム以外の情報資産があります。したがって、情報セキュリティ監査はシステム監査を含むとする考え方です。
■システム監査>情報セキュリティ監査
システム監査には「安、信、効」、安全性、信頼性、効率性の観点からの点検・評価するという考え方があります。情報セキュリティ監査は安全性、信頼性の点検・評価は行うが、効率性の監査は対象としていない。また、システム監査が対象とするプロジェクト管理の監査は、情報セキュリティ監査とは異なるとする考え方です。
■情報セキュリティ監査の反論
情報セキュリティの定義はCIAを確保・維持すること。Cは機密性confidentiality、Iはインテグリティ(完全性・保全性)でintegrity、Aは可用性でavailabilityです。このうち、可用性アベイラビリティの評価尺度は稼働率で、これは効率性に該当する。
したがって、システム監査のいう「安、信、効」は情報セキュリティ監査はすべて含むとする考え方です。
■システム監査の範囲として有効性を追加
システム監査では、以前からeffectivenessとefficiencyは違うものという議論がありました。効率的であっても有効でないケースがあるというのです。
例えば、ガソリン1リッター当たり20kmの車があったとします。効率的で燃費がいいですね。でも仙台にいく予定が道を間違え、山形方面へ向かった場合、効率的ではあるが有効ではない。といった反論です。
2000年代の初め、中央省庁のHPが軒並み改ざんされ大変な問題になったことがありました。また、個人情報漏洩事件の頻発、情報セキュリティ監査の時代といわれる状況かと存じます。
システム監査20年のわたしは、情報セキュリティ監査はシステム監査の一部と思っておりましたので、大変なショックを受けたのも事実です。
この続きは次回にお話したいと思いますが、皆さんいかがでしょうか。
目指せシステム監査人!!(7)終わり