情報セキュリティ内部監査人能力認定制度の概要

企業・組織において情報セキュリティ対策を確実にするために、質の高い情報セキュリティ内部監査が必要です。情報セキュリティ内部監査の質は、十分な力量を有する情報セキュリティ内部監査人が、情報セキュリティ内部監査の正しいプロセスに従って監査を行うことで確保することができます。

情報セキュリティ内部監査人には情報セキュリティマネジメントと監査の二つの異なった分野の知識が必要です。更に、企業・組織の中で品質にバラツキがないように、標準的な情報セキュリティ内部監査のプロセスを定めることが重要です。

一般の企業や組織において、情報セキュリティ内部監査人に必要な知識を習得させること、あるいは、情報セキュリティ内部監査の標準的なプロセスを定めることは、容易ではありません。

そこで、当協会は、長年の情報セキュリティ監査に経験豊富な専門家の知見を集めて、情報セキュリティ内部監査人に必要な知識を体系化すると共に、情報セキュリティ内部監査の標準的なプロセスを取りまとめました。

当協会が定めた情報セキュリティ内部監査に必要な情報セキュリティマネジメントと監査の二つの知識を有し、情報セキュリティ内部監査の標準的なプロセスを理解すると認められる方の能力を情報セキュリティ内部監査人能力として認定する制度を創設しました。

当協会認定の情報セキュリティ内部監査人を企業・組織の情報セキュリティ監査に用いることで、質の高い内部監査を情報セキュリティにたいしても行うことができるため、企業経営に以下のような効果をもたらします。

  • 質の良い監査結果が経営判断のための有効なインプットとして利用できます。
  • 当認定制度の情報セキュリティ内部監査人が監査することで、顧客、取引先、親会社、社会に対して監査結果の信頼性をアピールできます。
  • 標準化された監査手法を取得した情報セキュリティ内部監査人を置くことで企業・組織内の監査品質を一定レベルに維持できます。
  • 企業・組織内において共通の監査手続きを持つことで監査レベルを均一化できます。
  • サプライチェーンにおいて共通の監査手続きを利用することで同一基準での監査評価が可能となります。

また、情報セキュリティ内部監査人となる方々についても、人事面での評価や新たなキャリアパスの提示が容易となり、インセンティブを高めることができるようになります。

情報セキュリティ内部監査の質の向上や情報セキュリティ内部監査人の育成に真剣に取り組もうとされる企業・組織の方々に、本制度の活用をお勧めします。

 

情報セキュリティ内部監査人とは

「組織の情報セキュリティマネジメントが、これに対し責任を負う経営者の期待する水準に達しているかを、組織内において独立した立場から評価し、経営者に意見を述べる者」をいいます。

情報セキュリティ内部監査人の能力認定

情報セキュリティ内部監査の質を高めるために、情報セキュリティ内部監査人として、当協会が定めた情報セキュリティに関する内部監査のスキームにしたがって、監査準備からフォローアップまでの一連の業務を理解し、監査業務の実務に携わることができる者の能力を認定することです。

能力認定要件については、「情報セキュリティ内部監査人能力認定要件」をご覧ください。

情報セキュリティ内部監査人育成のメリット

情報セキュリティ内部監査人能力認定制度に基づく情報セキュリティ内部監査人を育成することで、以下のようなことが可能になります。

  • 質の良い監査結果が経営判断のための有効なインプットとして利用できます。
  • 当認定制度の情報セキュリティ内部監査人が監査することで、顧客、取引先、親会社、社会に対して監査結果の信頼性をアピールできます。
  • 標準化された監査手法を取得した情報セキュリティ内部監査人を置くことで企業・組織内の監査品質を一定レベルに維持できます。
  • 企業・組織内において共通の監査手続きを持つことで監査レベルを均一化できます。
  • サプライチェーンにおいて共通の監査手続きを利用することで同一基準での監査評価が可能となります。
  • 人事評価やキャリアパスを構成する材料として活用できます。