目指せシステム監査人!!(8)
■システム監査と情報セキュリティ監査(2)
前回は、システム監査と情報セキュリティの監査対象の違い、情報セキュリティ監査時代の到来などについてお話しました。
今回は、システム監査の適用範囲から、情報セキュリティ監査を見てみたいと思います。
適用範囲というと分かりにくいかもしれませんが、××の(システム)監査などのように表現される監査テーマと考えてよいと思います。
システム監査の適用範囲には次の5つがあると思います。
(1)システムライフサイクルに着目した情報システムの
企画業務、開発業務、運用業務、保守業務という適用範囲
(2)生産管理システム、会計システム、給与計算システムなど
アプリケーション(適用業務)システムとしての適用範囲
(3)組織体制、投資対効果、要員管理など
情報システム運営としての適用範囲
(4)データベース、ネットワーク、外部委託、個人情報保護など
Webアプリケーション、情報セキュリティ、EUCなどのテーマ別の適用範囲
(5)プライバシーマーク、ISMS、内部統制におけるIT統制など
各種認証取得や制度対応の適用範囲
これで見ると情報セキュリティ監査はテーマ別の監査の1つにに該当することになります。
CIOの多くの方とお話する機会のございますが、システム監査の対象として企画業務の監査をがあるのを初めて知ったという方が多いように感じております。
具体的には、
(1)個別システムの開発計画のシステム全体計画への整合性、システム全体計画の情報戦略への整合性、情報戦略の経営戦略への整合性を点検・評価といった整合性をキーワードとする検証
(2)個別システム開発の全体システム計画における開発の優先順位をキーワードとする検証
(3)個別システム化計画の実現可能性をキーワードとする検証
といった枠組みです。
この評価については、コンサルティングではないかとおっしゃる方もいますが、あくまで第三者として客観的に評価するといった立場からの評価です。
一般的に情報システム部門から提出された投資案件としてシステム投資委員会で評価されますが、重要であるにも係らず評価するメンバーの力量が十分でないこともあるように思います。
こうした役割は情報セキュリティ監査人ではなく、システム監査人の活躍の場の1つと思いますが、いかがでしょうか。
目指せシステム監査人!! (8)終わり