情報セキュリティ監査主体の質の確保
「情報セキュリティ監査」を行うことのできる人材の裾野を広げ、また監査を行う主体の質を確保・向上させていく仕組みが必要であり、以下の両面からの対応が必要である。
- 監査を行う主体となる企業としての質の確保
- 情報セキュリティ監査に従事する個人の質の確保
監査を行う主体となる企業としての質の確保
監査を行う主体となる企業の質の確保にあたっては、「情報セキュリティサービス基準適合サービスリスト」(注)に掲載されたサービスを提供する事業者自らが、以下の点を行うことが必要である。
1. 監査従事者のための継続教育
2. 監査業務に係るレビュー
3. 監査のノウハウの蓄積
また、同じく事業者が加盟する機関等において監査品質確保のために行う下記の事項に協力し、また、その定めるところに従うことが必要である。
4. 監査に係る基準類の改訂・改善の提案
5. 監査に係る紛争処理
(注)独立行政法人 情報処理推進機構が公表
情報セキュリティ監査に従事する個人の質の確保
監査従事者の質の確保にあたっては、資格制度の存立が有効な仕組みの一つとして考えられる。現在、「情報セキュリティ監査」に関連する国家資格(システム監査技術者、情報セキュリティアドミニストレータ)及び民間資格(公認システム監査人、ISMS主任審査員、公認情報システム監査人)が存在するも、いずれの資格も、今般整備する情報セキュリティ監査制度と完全に親和性をもつものではない。
一方で、資格の乱立は望ましいものではなく、政府は、今後、現存する資格制度を最大限活用しつつ、「情報セキュリティ監査」を行う人材の資格制度のあり方について検討を行っており、その際、単なる一過性の試験制度ではなく実務的なスキルも加味した仕組みのあり方や、新たな技能の獲得のための継続教育の必要性などについても、検討を行う予定である。