(新)目指せ、システム監査人!!(2)
(新)目指せ、システム監査人!!(2)
◆負けるなシステム監査人!
以前、システム監査と情報セキュリティ監査の違いについて、お話ししたかと思います。簡単におさらいしますと、システム監査は「情報システム」が監査対象、情報セキュリティ監査は「情報資産」が監査対象です。
情報資産の中に情報システムも含まれるため、「情報セキュリティ監査>システム監査」という側面があります(情報セキュリティ監査の方が範囲が広く、システム監査を含んでいるという主張)。
一方、「システム監査>情報セキュリティ監査」という主張もあります(システム監査の方が、情報セキュリティ監査より範囲が広いという主張)。システム監査は、信頼性・安全性・効率性の観点から評価するのに対し、情報セキュリティ監査はC(機密性)・I(インテグリティ)・A(可用性)の観点から評価します。システム監査でいうところの「効率性」は、情報セキュリティ監査では対象ではないのではないか、という観点からの議論です。
そうすると、情報セキュリティ監査では、可用性の尺度=稼働率で表されるが、稼働率は効率性そのものであり「情報セキュリティ監査>システム監査」となる、という主張が出てきます。
すると、システム監査は「情報システムの効率性だけでなく有効性も合わせて評価する」と反論します。以上が「情報セキュリティ監査とシステム監査、どちらが広いか論争」です。
個人情報の漏えいを背景にした「個人情報保護」の監査は、システム監査でも情報セキュリティ監査でも取り上げています。データベースなどコンピュータで取り扱う情報、アンケートはがきなどコンピュータに入力しない情報も監査対象となります。
システム監査がコンピュータをベースにした監査とすると、個人情報保護の監査はコンピュータに入力しない情報も対象なので、旗色が悪くなってしまいます。
システム監査や情報セキュリティ監査の分類や違いを議論する前に、ユーザー・顧客サイドの立場に立つと、情報セキュリティ監査とシステム監査を明確に分ける必要はなく、ユーザーやユーザーの組織に役に立って貢献することが必要なのではと思います。
このコラムのタイトルは「システム監査人」ですが、公官庁の入札を見ると、情報セキュリティ監査が圧倒的に多い状況です。一方、民間企業では、情報セキュリティの必要性は当然であるせいか、システム監査に関心のある企業も多いように思います。
もちろん、情報セキュリティ監査をシステム監査のいち分野として実施することは多いですが、入札案件では圧倒的に情報セキュリティ監査が多い状況です。ちょっと感情的になっている気がしないでもありませんが、「システム監査、システム監査人、頑張れ!!」と言いたい気分です。
というわけで今回は「目指せシステム監査人」ではなく、「頑張れシステム監査人」でした。「頑張れシステム監査人」ということで、システム監査技術者、システム監査人を目指したい方のために、システム監査技術者研修を実施することになりました。
(新)目指せ、システム監査人!!(2) 終わり