Chapter6 cont.

• 情報セキュリティ監査基準
  • 一般基準
    • 目的、根拠と責任
    • 独立性と客観性と職業倫理
      • 外観上
      • 精神上
      • 職業倫理と誠実性
    • 専門能力
    • 業務上の義務
      • 注意義務
        • 発見したことを注意する義務ではなく、注意をもって業務に当たれと言う方の意味
      • 守秘義務
  • 実施基準
    • 監査計画の立案
    • 監査実施
      • 監査証拠の入手と評価
      • 監査調書の作成と保存
    • 監査業務の態勢
    • 他の専門家の利用
  • 報告基準
    • 監査報告書の提出と開示
    • 監査報告書の根拠
    • 監査報告書の記載事項
    • 監査報告書についての責任
    • 監査報告書に基づく改善指導
• 情報セキュリティ管理基準
  • ISO/IEC 17799:2002がベース
  • ISMSとの整合性
• 監査の目的
  • 保証型監査
  • 助言型監査
  • 併用してもおっけー
• 監査基本計画書
  • 監査基本方針
  • 監査対象
  • 監査目標
  • 監査実施体制
  • 他専門職利用の必要性
  • 予算計画
• RSA: Risk Self Assessment
• CSA: Control Self Assessment
• 監査証拠の入手
  • 関連書類の閲覧、査閲
  • 担当者へのヒアリング
  • 場所への視察
  • システムテストへの立ち会い
  • テストデータによる検証
  • ツールによるホストスキャン
  • ぺねとれーションテスト
• 監査証跡
  • 信頼性
    • バッチコントロール票
    • テスト結果報告書
    • メンテナンス履歴
  • 安全性
    • アクセスログ
    • オペレーションログ
  • 効率性
    • ユーザニーズ
    • 費用対効果
• 監査報告書
  • 監査補結果を依頼者に伝達する手段
  • 監査人の役割と責任を明確化する手段
• 要件
  • 客観性
  • 明確性
  • 簡潔性
  • 適時性
    • タイムリーに提出しろって事
• 記載事項
  • 導入区分
    • 対策とか
  • 概要区分
    • 内容
  • 意見区分
    • 保証意見、助言意見
  • 特記区分
• 助言型監査
  • 検出事項
    • 管理基準に基づいて検出された問題点の指摘
  • 改善事項
    • 検出された問題点に対して、監査方針、契約に基づき改善点を提言する
  • 保証意見と紛らわしいことを書いてはならない
• 保証型監査
  • 保証意見
    • 肯定意見
    • 限定的肯定意見
    • 否定意見