电子政府情报监査基准.docVIP

PAGE PAGE 28 電子政府情報セキュリティ監査基準モデル Ver1.0 Ⅰ．Ｘ省における情報セキュリティ監査の目的と要請 Ｘ省における情報セキュリティ監査の目的は、Ｘ省における情報セキュリティに係るリスクのマネジメントが効果的に実施されるように、リスクアセスメントに基づく適切なコントロールの整備、運用状況を、情報セキュリティ監査人が独立かつ専門的な立場から検証、評価し、適切な助言を行うことにある。 Ｘ省の情報セキュリティ監査は、電子政府の情報セキュリティ監査の一環として行われるものである。したがって、その監査は、国家の安全保障、国民のプライバシー及び人権擁護、国民の社会生活の安全かつ安定的運営に資するものでなければならず、また国際的にみても遜色のない情報セキュリティの水準を達成するという観点からする監査が求められる。 情報セキュリティ監査人は、かかる観点を踏まえて、Ｘ省が国民に対するアカウンタビリティを果たすことができるよう、Ｘ省の情報セキュリティ対策の現状を踏まえて、リスクに応じた要改善事項を助言しなければならない。 情報セキュリティ監査の要請は、Ｘ省において事故又はトラブルが発生する前に情報セキュリティに係る欠陥を明らかにして、必要な改善手当てを適時に講ずることにあり、そのための有効な施策でなければならない。 Ⅱ．情報セキュリティ監査受嘱上の留意事項 １．情報セキュリティ監査人の独立性要件 　1.1　Ｘ省における情報セキュリティ監査は、監査の客観的な実施を担保するため、Ｘ省とは独立した立場にある情報セキュリティ監査人（他人の求めに応じて情報セキュリティ監査を行うことを業とする個人事業主、監査法人、会社等をいう）によって行われなければならない。 1.2　情報セキュリティ監査人は、監査の実施に当たって、外観上の独立性及び精神上の独立性を保持しなければならない。例えば、Ｘ省の情報セキュリティ対策の構築に関与した者が、当該情報セキュリティ対策が適切であるかどうかを監査することは、情報セキュリティ監査人の外観上及び精神上の独立性確保の観点から禁止されなければならない。 1.3　情報セキュリティ監査人がＸ省と監査契約を締結する場合において、成功報酬を契約事項に含めること、及び特定のセキュリティ製品等の採用を推奨すること（付随サービスの提供を含む）は、情報セキュリティ監査人の外観上及び精神上の独立性を著しく害する危険性があることに留意しなければならない。 　1.4　情報セキュリティ監査人が個人事業主である場合において、監査契約の締結時に次の条件に該当する場合には、外観上の独立性を損う利害関係があるものとして、情報セキュリティ監査業務の受嘱が禁止される。 情報セキュリティ監査人が、現在又は過去において、Ｘ省の在職者である場合。 ?　情報セキュリティ監査人が、現在又は過去において、Ｘ省における、当該監査対象の情報システム（関連業務を含む）の企画、開発、運用、及び保守に係る業務を行っている場合。 ?　情報セキュリティ監査人が、現在又は過去において、Ｘ省における、当該監査対象の情報セキュリティのマネジメント又はコントロール（関連業務を含む）の企画、開発、運用、及び保守に係る業務を行っている場合。 1.5　情報セキュリティ監査人が監査法人又は会社等である場合において、監査契約の締結時に次の条件に該当する場合には、外観上の独立性を損う利害関係があるものとして、情報セキュリティ監査業務の受嘱が禁止される。 ＜法人又は会社組織としての独立性侵害要件＞ 法人又は会社組織が、現在又は過去において、Ｘ省における、当該監査対象の情報システム（関連業務を含む）の企画、開発、運用、及び保守に係る業務を行っている場合。 法人又は会社組織が、現在又は過去において、Ｘ省における、当該監査対象の情報セキュリティのマネジメント又はコントロール（関連業務を含む）の企画、開発、運用、及び保守に係る業務を行っている場合。 ＜監査実施者としての独立性侵害要件＞ 監査従事者（監査責任者及び監査補助者）の中に、現在又は過去において、Ｘ省の在職者である者が含まれる場合。 監査従事者（監査責任者及び監査補助者）の中に、現在又は過去において、Ｘ省における、当該監査対象の情報システム（関連業務を含む）の企画、開発、運用、及び保守に係る業務を行っている者が含まれる場合。 監査従事者（監査責任者及び監査補助者）の中に、現在又は過去において、Ｘ省における、当該監査対象の情報セキュリティのマネジメント又はコントロール（関連業務を含む）の企画、開発、運用、及び保守に係る業務を行っている者が含まれる場合。 　1.6　情報セキュリティ監査人が作成する監査報告書には、情報セキュリティ監査人