情報セキュリティ監査サービスについて
経済産業省の情報セキュリティ監査基準および情報セキュリティ管理基準に基づき、情報資産に対するセキュリティマネジメント対策が効果的に実践されているかどうかを評価し、セキュリティ上の問題点の洗い出しと改善のための助言を行います。
その中でも弊社では、地方自治体のセキュリティ監査に特化しており、総務省の地方公共団体における情報セキュリティポリシーに関するガイドライン及び地方公共団体における情報セキュリティ監査に関するガイドラインと、当該地方自治体のセキュリティポリシーを基に、実態について調査し、適切に運用されているかを監査します。
自治体における監査サービスの必要性
自治体においては、三層分離によりネットワークが分離されてきましたが、政府方針の見直しにより、ゼロトラストネットワークへの移行が想定されています。従来はαモデルであった自治体が、α´、β、β´モデルへと移行するにあたっては、外部監査が必須となっています。自治体は住民の情報を守るため、より高いセキュリティが求められており、担保するためにも外部監査が必要となっています。
情報セキュリティ監査サービスの内容と流れ
監査対象/監査内容の計画 → 計画書の作成 → 自己チェックシートの作成・配布・回収 → 内容確認後、実地監査(ヒアリング、目視等) → 報告書取りまとめ → 報告会の実施
なお、不備を指摘することが目的ではなく、情報セキュリティのレベルを上げることが目的となります。弊社メンバーは代表をはじめ元自治体職員も複数在籍し、職員の方に協力していただくことが重要であると認識しているため、共に改善していくという姿勢をもって実施します。
専門家による監査サービスの実施
弊社では、専門資格を持つ者のほか、自治体監査業務に経験豊富なものが対応し、監査人は、継続的に教育または研修に参加・実施を行い、情報セキュリティ監査サービスの品質の維持、向上、確保を行っています。
技術責任者 システム監査技術者合格番号:第AU-2023-10-00300号