搜索
電子政府情報セキュリティ監査基準モデルVer1.01Ⅰ.X省における情報セキュリティ監査の目的と要請X省における情報セキュリティ監査の目的は、X省における情報セキュリティに係るリスクのマネジメントが効果的に実施されるように、リスクアセスメントに基づく適切なコントロールの整備、運用状況を、情報セキュリティ監査人が独立かつ専門的な立場から検証、評価し、適切な助言を行うことにある。X省の情報セキュリティ監査は、電子政府の情報セキュリティ監査の一環として行われるものである。したがって、その監査は、国家の安全保障、国民のプライバシー及び人権擁護、国民の社会生活の安全かつ安定的運営に資するものでなければならず、また国際的にみても遜色のない情報セキュリティの水準を達成するという観点からする監査が求められる。情報セキュリティ監査人は、かかる観点を踏まえて、X省が国民に対するアカウンタビリティを果たすことができるよう、X省の情報セキュリティ対策の現状を踏まえて、リスクに応じた要改善事項を助言しなければならない。情報セキュリティ監査の要請は、X省において事故又はトラブルが発生する前に情報セキュリティに係る欠陥を明らかにして、必要な改善手当てを適時に講ずることにあり、そのための有効な施策でなければならない。2Ⅱ.情報セキュリティ監査受嘱上の留意事項1.情報セキュリティ監査人の独立性要件1.1X省における情報セキュリティ監査は、監査の客観的な実施を担保するため、X省とは独立した立場にある情報セキュリティ監査人(他人の求めに応じて情報セキュリティ監査を行うことを業とする個人事業主、監査法人、会社等をいう)によって行われなければならない。1.2情報セキュリティ監査人は、監査の実施に当たって、外観上の独立性及び精神上の独立性を保持しなければならない。例えば、X省の情報セキュリティ対策の構築に関与した者が、当該情報セキュリティ対策が適切であるかどうかを監査することは、情報セキュリティ監査人の外観上及び精神上の独立性確保の観点から禁止されなければならない。1.3情報セキュリティ監査人がX省と監査契約を締結する場合において、成功報酬を契約事項に含めること、及び特定のセキュリティ製品等の採用を推奨すること(付随サービスの提供を含む)は、情報セキュリティ監査人の外観上及び精神上の独立性を著しく害する危険性があることに留意しなければならない。1.4情報セキュリティ監査人が個人事業主である場合において、監査契約の締結時に次の条件に該当する場合には、外観上の独立性を損う利害関係があるものとして、情報セキュリティ監査業務の受嘱が禁止される。・情報セキュリティ監査人が、現在又は過去において、X省の在職者である場合。・情報セキュリティ監査人が、現在又は過去において、X省における、当該監査対象の情報システム(関連業務を含む)の企画、開発、運用、及び保守に係る業務を行っている場合。・情報セキュリティ監査人が、現在又は過去において、X省における、当該監査対象の情報セキュリティのマネジメント又はコントロール(関連業務を含む)の企画、開発、運用、及び保守に係る業務を行っている場合。1.5情報セキュリティ監査人が監査法人又は会社等である場合において、監査契約の締結時に次の条件に該当する場合には、外観上の独立性を損う利害関係があるものとして、情報セキュリティ監査業務の受嘱が禁止される。<法人又は会社組織としての独立性侵害要件>・法人又は会社組織が、現在又は過去において、X省における、当該監査対象の情報システム(関連業務を含む)の企画、開発、運用、及び保守に係る業務を行っている場合。・法人又は会社組織が、現在又は過去において、X省における、当該監査対象の情報セキュリティのマネジメント又はコントロール(関連業務を含む)の企画、開発、運用、及び保守に係る業務を行っている場合。<監査実施者としての独立性侵害要件>3・監査従事者(監査責任者及び監査補助者)の中に、現在又は過去において、X省の在職者である者が含まれる場合。・監査従事者(監査責任者及び監査補助者)の中に、現在又は過去において、X省における、当該監査対象の情報システム(関連業務を含む)の企画、開発、運用、及び保守に係る業務を行っている者が含まれる場合。・監査従事者(監査責任者及び監査補助者)の中に、現在又は過去において、X省における、当該監査対象の情報セキュリティのマネジメント又はコントロール(関連業務を含む)の企画、開発、運用、及び保守に係る業務を行っている者が含まれる場合。1.6情報セキュリティ監査人が作成する監査報告書には、情報セキュリティ監査人とX省との間に特別な利害関係がない旨の記載が求められることから、監査受嘱時のみならず監査の実施過程においても、情報セキュリティ監査人は、監査人としての独立性を損うような外観を第三者に対して与えることがないようにしなければならない。1.7上記1.4から1.6に掲げる情報セキュリティ監査人としての外観上の独立性は、あくまでも監査人としての形式的属性を表象するに過ぎない。情報セキュリティ監査を公正かつ適切に遂行するためには、情報セキュリティ監査人は、とりわけ監査判断を行使する局面において公正不偏の精神的態度を保持しなければならない。1.8情報セキュリティ監査人として外観上の独立性を損ねることは、本来的独立性としての精神上の独立性に著しい悪影響を及ぼす可能性があることから、情報セキュリティ監査人に対してX省との間の経済上・身分上の利害関係を禁止していることに外観上の独立性の本旨がある。情報セキュリティ監査人としての独立性は、本来的には、精神上の独立性を保持することによってはじめて確保され得るものである。2.情報セキュリティ監査人の能力要件2.1情報セキュリティ監査人は、情報セキュリティ監査を有効かつ効率的に実施できる能力を有するものでなければならず、かつ、適切な継続教育プログラム等を通じて常に情報セキュリティ監査に係る新たな知識及び技能の獲得に努めなければならない。2.2情報セキュリティ監査人は、次に掲げる知識及び技能を備えていなければならない。・情報システムの企画、開発、運用、保守に関する知識及び技能・情報セキュリティのマネジメント及びコントロールに関する知識及び技能・情報セキュリティ技術に関する知識及び技能・情報セキュリティ監査の実施(監査計画の立案、監査手続の選択適用、監査証拠の入手と評価、監査調書の作成、監査報告書の作成)に関する知識及び技能・その他の関連知識2.3情報セキュリティ監査人は、監査の実効性を高めるため、情報セキュリティ監査に係る専門的知識及び技能のみならず、高い分析能力と判断能力、並びに適切なコミュニケ4ーション能力を備えていなければならない。2.4X省の情報セキュリティ監査を実施する監査人としての高度な専門能力の確保という観点から、監査人が個人事業主である場合においては、以下のいずれかの資格を有する者とする。・情報処理システム監査技術者又は公認システム監査人・情報セキュリティアドミニストレータ・ISMS主任審査員又はISMS審査員・公認情報システム監査人(CISA)なお、個人事業主が他の個人事業主等と共同で情報セキュリティ監査を行う場合には、当該他の個人事業主等も上記のいずれかの資格を有する者であることが望ましい。2.5X省の情報セキュリティ監査を実施する監査人としての高度な専門能力の確保という観点から、監査人が監査法人又は会社である場合においては、以下のいずれかの資格を有する者を監査責任者とする。・情報処理システム監査技術者又は公認システム監査人・情報セキュリティアドミニストレータ・ISMS主任審査員又はISMS審査員・公認情報システム監査人(CISA)なお、監査補助者には、上記のいずれかの資格を有する者複数名を含めることが望ましい。2.6X省の情報セキュリティ監査を実施する監査人は、上記2.4及び2.5に定める資格要件に加え、情報セキュリティ監査企業台帳に登録されている者とする。3.情報セキュリティ監査人の誠実性と職業倫理3.1情報セキュリティ監査人は、監査目的及び監査対象の公益性に鑑み、慎重な注意と高い倫理観をもって誠実に監査業務を遂行しなければならない。3.2情報セキュリティ監査人は、自らが所属する専門職団体が定めた倫理規則を遵守しなければならない。3.3情報セキュリティ監査人は、監査目的及び監査対象の公益性に鑑み、業務上知りえた事実等を正当な理由なく他に開示し、又は自己の利益のために利用してはならない。3.4X省の情報セキュリティ監査を実施する監査人に係る守秘義務は、当該監査実施期間中はいうまでもなく、当該監査終了後、さらには情報セキュリティ監査人としての業務を離脱した後においても適用される。3.5情報セキュリティ監査人が守秘義務の解除を図ることができる正当な理由としては、概ね次の事例が該当する。なお、被監査側を原告とする訴訟等の特殊な事情を除いては、当該監査を委嘱したX省部局の責任者の承諾を書面にて得ておく必要がある。・訴訟において、情報セキュリティ監査人が自ら実施した監査業務の方法又は結果につ5いて、その正当性を立証する必要がある場合。・情報セキュリティ監査人が所属する団体の法令又は会則等によって、業務内容についての質問又は調査に応じなければならない場合。・後任の情報セキュリティ監査人に監査業務の引継ぎを行う場合。・情報セキュリティ監査の目的を達成するため止むを得ない事情により、X省とは別の関連機関の情報セキュリティ監査を担当する監査人との業務連絡又は業務上の調整が必要とされる場合。4.情報セキュリティ監査に係る入札及び契約の締結に当たっての留意事項4.1X省の情報セキュリティ監査を受嘱しようとする場合には、「契約に係る競争参加者資格審査事務取扱要領」により、一定の入札適合条件を満たなければならないことに留意する。4.2X省の情報セキュリティ監査の入札に当たっては、X省から提示される情報セキュリティ監査業務請負仕様書に含まれる入札者適合証明書(関連する別添資料を含む)に必要事項を記入の上、提出が求められることに留意する。4.3X省の情報セキュリティ監査の入札に際し提出が求められる入札者適合証明書は、概ね(別紙様式1)の通りである。なお、入札案件によっては当該証明書の様式が若干異なる場合があることに留意する。4.4X省の情報セキュリティ監査の入札に際し提出が求められる入札者適合証明書には、最低限、情報セキュリティ監査人の独立性要件、能力要件、及びその他必要とされる入札者適合要件を記載しなければならない。4.5X省の情報セキュリティ監査の契約の締結に当たっては、次に掲げる事項を含む監査契約書を作成し、X省との間で取り交わさなければならない。・監査の目的・監査の期間・監査を受ける対象・監査の際の判断の尺度・監査従事者(監査責任者及び監査補助者)の氏名及び資格・X省において当該監査の実施及び管理を所管する担当者の所属部局及び氏名・監査報告書の提出期限・監査報酬の額及び支払の時期・特記事項4.6情報セキュリティ監査人は、監査契約の締結に際して、当該監査の受嘱内容に応じて、速やかに適切な監査体制を整えなければならない。4.7情報セキュリティ監査の契約の締結に際して取り交わされる監査契約書の雛形は、概ね(別紙様式2)の通りである。なお、監査契約は受嘱する監査の案件ごとに締結さ6れ、各々につき監査契約書を作成するため、監査契約書の様式は案件によって若干異なる場合がある。7Ⅲ.情報セキュリティ監査実施上の前提事項1.情報セキュリティ監査における準拠規範1.1情報セキュリティ監査の実施に当たっては、監査対象が情報セキュリティ対策に係る一定の条件を満たしているか否か、あるいは情報セキュリティ対策の実施状況が適切であるか否かについて評価する際の拠り所とすべき判断の尺度が