セキュリティ監査(助言型)|TBCS
専門家の視点で、内部監査では出にくい問題点を抽出。
問題点への改善提案をレポートし、経営幹部層に対して報告会を実施します。
外部の視点を入れることで自社の情報セキュリティレベルを把握することでき、効率的・効果的なISMSへの取り組み(改善)を行うことができます。
過去に弊社がご支援した事例を記載しました。ご覧ください。
| 業務内容 | セキュリティポリシー策定の予備調査として、庁内LANを始め、基幹業務のシステム等の情報セキュリティ監査を実施 |
|---|---|
監査方法 | ISMS認証基準に基づく、文書監査及び実地監査 |
| 期間 | 3ヶ月程度 |
担当者よりコメント
弊社が、初めて取り組んだセキュリティ監査の事例です。自治体様は、基本的に文書を元に業務が遂行されるため、関連文書だけで10p以上はありました。文書の整合性の監査にはじまり、監査チェックリストの作成、その後現地調査という順序で行いました。現地調査は約1週間にわたって実施。その後、弊社のレポートをもとに、情報セキュリティポリシーが作られました。
■某上場企業様
| 業務内容 | 個人情報保護法への対応状況及び社内での情報セキュリティ上の問題点の抽出と改善提案の実施。 |
|---|---|
| 監査方法 | 個人情報保護法、経済産業省個人情報保護のガイドライン、JISQ15001に基づく、文書監査及び実地監査。 |
| 期間 | 1ヶ月 |
担当者よりコメント
個人情報保護法施行前に、自社が個人情報保護法にどこまで対応できているか監査して欲しいとの依頼がありました。上場している企業様でしたので、関連文書の整備状況(就業規則やネットワーク利用規程等)を最初に監査、さらに利用目的、開示対応の状況を確認しました。その後は技術的セキュリティやオフィスエリア(本社、店舗、工場)のセキュリティ、業務プロセスのセキュリティを実施しました。特に、法律施行目前だったため、すぐにできるオフィス内のセキュリティもゾーニングの工夫などもご提案しました(入られたくない場所への植木の配置等)。
■某大手通信会社の関連会社(データ運用センター)様
| 業務内容 | 特定部署にてISMSを取得していたが、情報セキュリティ活動を全社的に広げる取り組みを実施する際、既存のISMSの仕組みが機能しているかシステム面も含め監査を実施。また、プライバシーマークの取得も検討していることから、現状で、プライバシーマーク取得する上での差分箇所を明示。 |
監査方法 | ISO27001、個人情報保護法、経済産業省個人情報保護のガイドライン、JISQ15001に基づく、文書監査及び実地監査。 |
|---|---|
| 期間 | 1ヶ月 |
担当者よりコメント
ある大手通信会社の子会社様でデータ運用を業とする会社様からのご依頼でした。既にある部署でISMS(Ver2.0)を取得していましたが、今後全社的な活動にするため、現在の情報セキュリティの浸透度を確認したい(認証範囲は一部だが、運用は全社規模で行っていた)。既に取得済のところはもちろん、ほぼ全部署でのセキュリティ監査を実施しました。こちらの企業様は、文書量は多いのですが、文書体系がしっかりしており、非常に読みやすい文書でした。運用では、一部指摘箇所がございましたが、さらにより良いISMSを構築して頂くために、厳しめに評価をさせて頂きました。報告会では、社長様をはじめ経営幹部の方30名以上の方にご出席頂きました。セキュリティを経営層から現場の方まで真剣に取り組んでおられる会社様でした。
