タスク一覧



「情報セキュリティ監査」のタスク例

タスクプロフィール 「情報セキュリティ監査」で定義されているタスク例です。これらを参考にしながらタスクや役割を定義してください。
また、各タスクの詳細を参照する場合は、「評価項目を表示」ボタンをクリックしてください。
このタスクプロフィールに関する研修・書籍・資格の情報が こちらから検索できます。

タスク大分類 タスク中分類 タスク小分類
セキュリティテスト セキュリティテスト計画策定 セキュリティテスト計画の作成評価項目を表示
セキュリティテストの準備評価項目を表示

▼評価項目

テスト結果として報告すべき内容(不適格と判定されたテスト項目について、発生条件、リスクの大きさ、実施すべき対策の明示等)をテスト実施要領として定める

テスト計画書およびテスト実施要領に基づき、テスト実施体制を決定する(社内体制の構築または外部機関の選定)

テストの実施に必要な環境や条件を明らかにする

セキュリティテスト実施 セキュリティテストの実施評価項目を表示

▼評価項目

テスト計画書に基づき、テストの実施に必要な環境を準備する

テスト計画書およびテスト実施要領に基づくセキュリティテストを実施(または委託)する

テスト結果の報告を受け、テスト計画およびテスト実施要領に準じた内容であることを確認する

情報セキュリティマネジメント 情報セキュリティの運用 情報セキュリティガバナンス評価項目を表示
コンプライアンス 実施と評価 遵守状況の評価と改善評価項目を表示
システム監査 システム監査計画の策定 基本計画書の作成評価項目を表示
個別計画書の作成評価項目を表示

▼評価項目

基本計画書を受けて、個々の監査の目標を設定する

基本計画書を受けて、点検・評価の実施、報告、フォローアップまでの全プロセスを計画する

個別計画書に個々の監査の目的、対象、範囲、目標、手続き、スケジュール、実施責任者および業務分担、被監査部門の責任者および担当者、他の監査との連係・調整、必要コスト等を盛り込む

システム監査の実施 予備調査評価項目を表示

▼評価項目

被監査部門に対して個別計画書の内容を通知し、協力を要請する

関連資料の収集、関係者へのインタビュー、現地調査等により、監査対象業務・システムの概要およびコントロールの実態を把握する

現実の状態とあるべき状態の間のギャップと問題点を認識する

現状把握に際して、個別計画書に記載された監査目的に対して組織体が目標とすべきレベルを事前に明らかにする

個別計画書作成時に予測できなかった問題点が存在する可能性がある場合、監査時に確認すべき項目として取りまとめる

監査手続書の作成評価項目を表示

▼評価項目

本調査で実施する具体的な監査手続きを検討し、監査手続書を作成する

予備調査の結果を踏まえ、監査手続書に個別計画書作成時に予測できなかった問題点を確認できる手続きを盛り込む

次回以降の監査の参考として利用できるように、監査手続書の内容を精査する

本調査評価項目を表示

▼評価項目

現地に赴き、自らの目で確認、評価する

現地調査時に、監査結果の裏付けとなる証拠資料を入手する

適切な対象者、日程、質問事項等を事前に準備し、インタビューを実施する

監査手続書に基づいて資料を入手し、レビューする

実施結果の記録(監査調書の作成)評価項目を表示

▼評価項目

本調査で入手した監査証拠に基づき、監査調書を作成する

監査調書の内容に事実誤認がないか、被監査部門に確認する

監査調書に発見事項とともに監査担当者の判断等を記載する

監査報告書案の作成評価項目を表示

▼評価項目

監査調書に基づいて、総合評価、指摘事項、改善勧告の原案をまとめる

指摘事項として、発見事項の内容、それを問題と判断するに至った根拠、問題を生じさせている原因、及ぼしている影響、他の指摘事項との関連性を記載する

改善内容は可能な限り具体的、詳細なものとし、被監査部門との意見交換を行い、改善策の実現可能性について確認する

報告書を被監査部門へ提示し、誤認確認を行う

システム監査結果の報告 監査報告の実施評価項目を表示

▼評価項目

被監査部門の責任者による監査報告書案の最終確認を行い、経営層に提出する

関係者を一堂に会して監査報告会を開催する

改善作業のスケジュールや担当者を決定し、関係者の同意を得る

フォローアップの実施評価項目を表示

▼評価項目

次回以降の監査での確認方法を被監査部門に指示する

監査報告会の開催や改善作業の実行計画書および改善報告書等により実施状況を把握する

指摘事項や改善勧告事項への実施状況のフォローアップ時に課題が発生した際に対応指示を行う

年次監査報告書の作成評価項目を表示

▼評価項目

基本計画書に対応して、当該年度に実施した結果を年次監査報告書としてまとめる

当該年度に発生した課題や監査上での気づきに関し、次年度の基本計画に反映できるよう取りまとめる

必要に応じ、監査中期計画の対象、実施内容、実施時期等を見直す

システム監査対応 監査実施対応評価項目を表示

▼評価項目

予備調査で求められる監査対象業務・システムの概要、コントロールの状況についての資料を準備する

現地調査で求められる証拠資料について、必要な範囲を見極め提供する

インタビューの実施日程を確認し、質問事項の確認内容を理解し、回答する

監査調書をレビューし、事実誤認がないことを確認する

監査報告書案の改善事項勧告の実現可能性を監査部門に提言する

J-SOX等、外部監査に対応する

調達・委託 委託業務管理 セキュリティの調査評価項目を表示
総務・人事・経理 社内業務監査>内部監査 監査計画評価項目を表示
監査実施評価項目を表示

▼評価項目

監査計画に従い関係部門の内部監査を実施し、監査記録を作成する

監査終了後に監査記録を整理し、監査部門と調整する

指摘事項等を確定し、監査部門とのクロージングを実施する

全監査が終了した時点で監査記録を整理し、全体クロージングを実施する

監査結果分析と改善フォロー評価項目を表示

▼評価項目

監査結果を集約し、関係部門に改善計画作成を依頼する

回収した改善計画の妥当性を確認し、必要に応じて差し戻しを行う

監査結果、改善計画を整理し、経営層に報告する

改善計画の実施期限を管理し、改善実施をフォローする

社内業務監査>外部審査 審査計画評価項目を表示

▼評価項目

外部審査機関や関係部門と調整し、外部審査日程を決定する

外部審査計画を上申し、承認を得る

関係部門に外部審査計画を周知する

外部審査に必要な会議室、機材等を確保する

審査実施評価項目を表示

▼評価項目

外部審査の立ち会い、現場確認の同行、案内を実施する

審査の内容を記録する

クロージングに参加し、審査記録との整合性を確認する

審査結果分析と改善フォロー評価項目を表示

▼評価項目

審査報告書を受領し、関係部門に周知し、改善計画作成を依頼する

回収した改善計画の妥当性を確認し、必要に応じて差し戻しを行う

審査結果、改善計画を整理し、経営層に報告する

改善計画の実施期限を管理し、改善実施をフォローする

社内業務監査>社内業務改善 社内業務改善活動の実施評価項目を表示

▼評価項目

定期的に社内業務改善検討会議を開催し、社内業務改善を検討する

必要に応じて規格改訂、見直し案を作成し、改善検討会議に上申する

検討会議の結果に応じて規格改訂を反映し、上申する

承認された規格改訂内容を発行し、全社に周知する

セキュリティ領域 セキュリティテスト>セキュリティテスト計画策定 セキュリティテスト計画の作成評価項目を表示
セキュリティテストの準備評価項目を表示

▼評価項目

テスト結果として報告すべき内容(不適格と判定されたテスト項目について、発生条件、リスクの大きさ、実施すべき対策の明示等)をテスト実施要領として定める

テスト計画書およびテスト実施要領に基づき、テスト実施体制を決定する(社内体制の構築または外部機関の選定)

テストの実施に必要な環境や条件を明らかにする

セキュリティテスト>セキュリティテスト実施 セキュリティテストの実施評価項目を表示

▼評価項目

テスト計画書に基づき、テストの実施に必要な環境を準備する

テスト計画書およびテスト実施要領に基づくセキュリティテストを実施(または委託)する

テスト結果の報告を受け、テスト計画およびテスト実施要領に準じた内容であることを確認する

情報セキュリティマネジメント>情報セキュリティの運用 情報セキュリティガバナンス評価項目を表示

▼評価項目

セキュアな運用と情報保全の維持に必要なリソースを確保する

リスクアセスメント、監査、検査を通じて識別された脆弱性に対して、適切な対策を講じる

セキュリティリスクの分析結果を、組織設計、職務分掌、業務プロセス定義等に反映させる

現場部門に情報セキュリティ戦略に対応したプロセスを実施させる

必要なセキュリティレベルを確保するために満足すべきセキュリティ対策に関する要件を、システムおよびサービスの調達要件に反映させる

セキュリティリスク、緩和策およびその他の技術リスクを扱うリスクガバナンスのプロセスに関与する

情報セキュリティ対策について、組織の目標の達成に向けて組織管理者と連携する

情報セキュリティ予算、要員、契約を主導・監督する

認定ないし保証されたセキュリティ対策の実施状況に関する最新の文書を入手し、利用する

組織内のさまざまな関係者と情報セキュリティ対策の在り方について意見交換する

予め緊急時の対応の権限を委任され、必要な対処を行う

組織で実施する検査、テスト、レビューを、ネットワーク環境に適した形で確実に実施させる

情報セキュリティのインシデント発生時にCSIRTを指揮し、情報を収集し、経営陣に報告する

コンプライアンス>実施と評価 遵守状況の評価と改善評価項目を表示

▼評価項目

法令や規範、および情報倫理規定の遵守状況を業務監査等により定期的に点検、評価する

遵守状況の点検、評価によって明らかになった指摘事項や改善事項に対して改善計画を策定する

改善計画のマネジメントレビューを実施し、組織体の長の承認を得る

改善計画に基づき、改善のための必要な方策を活動計画として取りまとめ、実施する

システム監査>システム監査計画の策定 基本計画書の作成評価項目を表示

▼評価項目

経営目標の実現に向けて、第三者の視点からシステムの安全性・信頼性・効率性、ITガバナンスの向上、情報の安全性・完全性等の点検・評価を行うための中長期計画書を作成する

中長期計画を経営層に申請し、承認を受ける

中長期計画書を受けて、年度単位の基本計画方針を作成する

当年度の監査の目的、対象、重点テーマ、実施体制、実施スケジュール等を盛り込んだ基本計画書を作成する

J-SOX監査等、外部監査に関する実施計画を策定する

個別計画書の作成評価項目を表示

▼評価項目

基本計画書を受けて、個々の監査の目標を設定する

基本計画書を受けて、点検・評価の実施、報告、フォローアップまでの全プロセスを計画する

個別計画書に個々の監査の目的、対象、範囲、目標、手続き、スケジュール、実施責任者および業務分担、被監査部門の責任者および担当者、他の監査との連係・調整、必要コスト等を盛り込む

システム監査>システム監査の実施 予備調査評価項目を表示

▼評価項目

被監査部門に対して個別計画書の内容を通知し、協力を要請する

関連資料の収集、関係者へのインタビュー、現地調査等により、監査対象業務・システムの概要およびコントロールの実態を把握する

現実の状態とあるべき状態の間のギャップと問題点を認識する

現状把握に際して、個別計画書に記載された監査目的に対して組織体が目標とすべきレベルを事前に明らかにする

個別計画書作成時に予測できなかった問題点が存在する可能性がある場合、監査時に確認すべき項目として取りまとめる

監査手続書の作成評価項目を表示

▼評価項目

本調査で実施する具体的な監査手続きを検討し、監査手続書を作成する

予備調査の結果を踏まえ、監査手続書に個別計画書作成時に予測できなかった問題点を確認できる手続きを盛り込む

次回以降の監査の参考として利用できるように、監査手続書の内容を精査する

本調査評価項目を表示

▼評価項目

現地に赴き、自らの目で確認、評価する

現地調査時に、監査結果の裏付けとなる証拠資料を入手する

適切な対象者、日程、質問事項等を事前に準備し、インタビューを実施する

監査手続書に基づいて資料を入手し、レビューする

実施結果の記録(監査調書の作成)評価項目を表示

▼評価項目

本調査で入手した監査証拠に基づき、監査調書を作成する

監査調書の内容に事実誤認がないか、被監査部門に確認する

監査調書に発見事項とともに監査担当者の判断等を記載する

監査報告書案の作成評価項目を表示

▼評価項目

監査調書に基づいて、総合評価、指摘事項、改善勧告の原案をまとめる

指摘事項として、発見事項の内容、それを問題と判断するに至った根拠、問題を生じさせている原因、及ぼしている影響、他の指摘事項との関連性を記載する

改善内容は可能な限り具体的、詳細なものとし、被監査部門との意見交換を行い、改善策の実現可能性について確認する

報告書を被監査部門へ提示し、誤認確認を行う

システム監査>システム監査結果の報告 監査報告の実施評価項目を表示

▼評価項目

被監査部門の責任者による監査報告書案の最終確認を行い、経営層に提出する

関係者を一堂に会して監査報告会を開催する

改善作業のスケジュールや担当者を決定し、関係者の同意を得る

フォローアップの実施評価項目を表示

▼評価項目

次回以降の監査での確認方法を被監査部門に指示する

監査報告会の開催や改善作業の実行計画書および改善報告書等により実施状況を把握する

指摘事項や改善勧告事項への実施状況のフォローアップ時に課題が発生した際に対応指示を行う

年次監査報告書の作成評価項目を表示

▼評価項目

基本計画書に対応して、当該年度に実施した結果を年次監査報告書としてまとめる

当該年度に発生した課題や監査上での気づきに関し、次年度の基本計画に反映できるよう取りまとめる

必要に応じ、監査中期計画の対象、実施内容、実施時期等を見直す

システム監査>システム監査対応 監査実施対応評価項目を表示

▼評価項目

予備調査で求められる監査対象業務・システムの概要、コントロールの状況についての資料を準備する

現地調査で求められる証拠資料について、必要な範囲を見極め提供する

インタビューの実施日程を確認し、質問事項の確認内容を理解し、回答する

監査調書をレビューし、事実誤認がないことを確認する

監査報告書案の改善事項勧告の実現可能性を監査部門に提言する

J-SOX等、外部監査に対応する

セキュリティ監査>セキュリティ監査計画の策定 基本計画書の作成評価項目を表示

▼評価項目

評価項目は未定義

個別計画書の作成評価項目を表示

▼評価項目

評価項目は未定義

セキュリティ監査>セキュリティ監査の実施 予備調査評価項目を表示

▼評価項目

評価項目は未定義

監査手続書の作成評価項目を表示

▼評価項目

評価項目は未定義

本調査評価項目を表示

▼評価項目

評価項目は未定義

実施結果の記録(監査調書の作成)評価項目を表示

▼評価項目

評価項目は未定義

監査報告書案の作成評価項目を表示

▼評価項目

評価項目は未定義

セキュリティ監査>セキュリティ監査結果の報告 監査報告の実施評価項目を表示

▼評価項目

評価項目は未定義

フォローアップの実施評価項目を表示

▼評価項目

評価項目は未定義

年次監査報告書の作成評価項目を表示

▼評価項目

評価項目は未定義

セキュリティ監査>セキュリティ監査対応 監査実施対応評価項目を表示

▼評価項目

評価項目は未定義

調達・委託>委託業務管理 セキュリティの調査評価項目を表示

▼評価項目

組織体のセキュリティポリシー、セキュリティ規定を確認し、情報取扱いルール等、委託先に求めるセキュリティ要件を整理する

委託先にセキュリティ要件を提示し、要件に対する充足度についての報告をもらう

組織体のセキュリティ要件を満たさない事項の報告を受けた際、その是正に関し、対応方法、時期、対応費用の取扱いを含め、委託先と調整を行う

セキュリティ是正の実施完了を確認し、委託先に求めるセキュリティ要件が充足されているか評価する

委託開始時と更新時においてセキュリティが担保されていることを調査する

総務・人事・経理>社内業務監査>内部監査 監査計画評価項目を表示

▼評価項目

関係部門と調整して内部監査計画を立案する

計画した内部監査計画を上申し、承認を得る

関係部門に内部監査計画を周知する

監査計画に応じて必要な重点監査項目を洗い出し、監査準備を行う

監査実施評価項目を表示

▼評価項目

監査計画に従い関係部門の内部監査を実施し、監査記録を作成する

監査終了後に監査記録を整理し、監査部門と調整する

指摘事項等を確定し、監査部門とのクロージングを実施する

全監査が終了した時点で監査記録を整理し、全体クロージングを実施する

監査結果分析と改善フォロー評価項目を表示

▼評価項目

監査結果を集約し、関係部門に改善計画作成を依頼する

回収した改善計画の妥当性を確認し、必要に応じて差し戻しを行う

監査結果、改善計画を整理し、経営層に報告する

改善計画の実施期限を管理し、改善実施をフォローする

総務・人事・経理>社内業務監査>外部審査 審査計画評価項目を表示

▼評価項目

外部審査機関や関係部門と調整し、外部審査日程を決定する

外部審査計画を上申し、承認を得る

関係部門に外部審査計画を周知する

外部審査に必要な会議室、機材等を確保する

審査実施評価項目を表示

▼評価項目

外部審査の立ち会い、現場確認の同行、案内を実施する

審査の内容を記録する

クロージングに参加し、審査記録との整合性を確認する

審査結果分析と改善フォロー評価項目を表示

▼評価項目

審査報告書を受領し、関係部門に周知し、改善計画作成を依頼する

回収した改善計画の妥当性を確認し、必要に応じて差し戻しを行う

審査結果、改善計画を整理し、経営層に報告する

改善計画の実施期限を管理し、改善実施をフォローする

総務・人事・経理>社内業務監査>社内業務改善 社内業務改善活動の実施評価項目を表示

▼評価項目

定期的に社内業務改善検討会議を開催し、社内業務改善を検討する

必要に応じて規格改訂、見直し案を作成し、改善検討会議に上申する

検討会議の結果に応じて規格改訂を反映し、上申する

承認された規格改訂内容を発行し、全社に周知する