令和元年度「情報セキュリティ監査企業台帳」
https://www.meti.go.jp/policy/netsecurity/is-kansa/
(経済産業省HPから抜粋)
「情報セキュリティ監査企業台帳」とは、「情報セキュリティ監査」業務を行う企業(登録希望者)を一覧化したもので、
経済産業省が毎年公開しているものです。
今年も弊社は「情報セキュリティ監査企業台帳」に登録しております。
セキュリティ監査は、技術的な専門性(力量)の問題で外部に委託するというイメージがありますが、
もっと重要な視点では、「外部の第三者」が監査を実施するということに意味があります。
もちろん、組織の内部で監査は実施しているとは思いますが、
監査の基本的な考え方として、「客観性と公平性を確保する」という原則があります。
そのため、自社のセキュリティを自社で監査する場合も、
「監査員は自部署の監査を実施しない」という考え方が基本となります。
自分で自分を、大丈夫です!!安心してください!と宣言しても、
第三者から見ると信頼性が低いものです。
また、役職や権限の関係で内部監査員が指摘し辛いという状況もあります。
外部から客観的に見て第三者的な立場から意見を出す方が、改善のきっけけになりやすいこともありますので、
外部監査をうまく利用するのも良いと思います。
その際は、「情報セキュリティ監査企業台帳」を参考にしてみてください!
