情報セキュリティ監査を実施する目的は、組織が管理する情報資産に対する情報セキュリティ対策が、求められる要求水準に対して適切に整備され、さらにそれが適切に運用されているか否かを独立かつ専門的な立場から検証・評価することです。

また情報セキュリティ外部監査には、情報セキュリティマネジメントの改善を目的とした助言型監査と、情報セキュリティマネジメントやコントロールが目標とする水準に対して適切であることを表明する保証型監査があります。当社はいずれの監査手法にも対応することができます。

■監査基本計画の立案
監査中長期計画をもとに年度単位の監査基本計画を立案します。監査基本計画には、監査方針・監査目標・監査対象・監査実施時期・監査実施責任者・監査体制などを記載します。

■監査実施計画の立案
監査基本計画に則り、監査実施計画を立案し被監査主体の承認を得ます。監査実施計画には、監査目的・監査テーマ・監査範囲・監査対象部門・監査対象システム・監査実施日程・監査実施体制・監査項目・適用基準・監査手続きなどを記載します。

■監査チェックリストの作成
監査実施計画書に基づき、具体的な監査項目・監査ポイント・監査技法・監査対象証跡などを整理し、本監査で効率的な監査を行うための作業文書として監査チェックリストを作成します。

■セルフチェックの実施
リスク状況を把握して効率的で有効な監査を実施するためにセルフチェックを実施します。実際には監査人がセルフチェックシート案を作成し、被監査主体でセルフチェックを実施していただくことになります。

■事前調査の実施
本監査での監査項目の絞り込みと本監査を効率よく進めることを目的として、文書・記録を事前に確認し、必要であれば被監査主体への事前ヒアリングを実施します。

■監査手続きの実施（本監査）
セルフチェック結果及び事前調査結果からリスクの高い事項を優先するために監査項目の絞り込みを行い、その結果を反映させた監査チェックリストにより監査を実施します。確認された事実について被監査主体に相違ないことを確認し監査調書にまとめます。

■監査報告書の作成
監査調書をもとに助言意見または保証意見の形成を行い、監査報告書を作成します。
監査報告書には、助言型監査の場合は、指摘事項と改善提案を保証型監査の場合は信頼を付与するか否かを記載します。

■監査報告会の実施
監査報告書に基づき被監査主体または組織のセキュリティ委員会等にて監査結果の報告をおこないます。
助言型監査の場合は被監査主体に対して改善計画の作成についての助言も行います。

■フォローアップ監査の実施
被監査主体で作成された改善計画書に基づき実施された改善結果を確認・評価します。
（フォローアップ監査の実施はご契約内容によります。）

※技術責任者　CAIS資格登録番号：A1611006272、A0910001711