情報セキュリティ監査細則~テンプレート~

IPO・バリュエーション

ここでは情報セキュリティ監査細則のテンプレートを提示します。
情報セキュリティ基本方針、情報セキュリティ規程、情報セキュリティ細則に紐づくものです。

関連規程はこちら↓になります。

スポンサーリンク
スポンサーリンク

第1章 総則

(目的)
第1条
本細則は、情報セキュリティに係る監査の実施について定め、もって、情報セキュリティ基本方針に基いて当社のネットワーク及び取扱う情報資産を盗聴、侵入、破壊、改ざん等の脅威から適切に保護し、情報資産の機密性、完全性及び可用性を確保することを目的とする。

(監査)
第2条
情報セキュリティ監査とは、当社の情報セキュリティマネジメントシステム(ISMS)について、以下の事項を監査することをいう。

  1. ISO27001の要求事項に適合していること、また関連する法令又は規制に適合しているかどうか
  2. 特定された情報セキュリティ要求事項に適合しているかどうか
  3. 有効に実施され維持されているかどうか
  4. 期待通りに実施されているかどうか

(監査の対象)
第3条
本細則の適用範囲は、「ISMS適用範囲」に別に定める。

(情報セキュリティ監査責任者及び情報セキュリティ監査担当者)
第4条
① 情報セキュリティ監査は、代表取締役が任命する者(以下「監査責任者」という)がその任にあたる。ただし、業務上必要のあるときは、代表取締役の命により別に指名された他部門の者を加えて行うことができる。

② 監査責任者は、情報セキュリティ監査を行うため、内部監査担当を指名することができる。

(情報セキュリティ監査責任者及び情報セキュリティ監査担当者の権限)
第5条
情報セキュリティ監査責任者及び情報セキュリティ監査担当者の権限は次のとおりとする。

  1. 被監査部門の関係者に対し、帳票及び諸資料の提出を求めることができる。
  2. 被監査部門の関係者に対し、事実の説明報告その他監査上必要な要求を行うことができる。

(情報セキュリティ監査責任者及び情報セキュリティ監査担当者の遵守事項)
第6条
情報セキュリティ監査責任者及び情報セキュリティ監査担当者は次の事項を遵守しなければならない。

  1. 監査は全て事実に基づいて行い、かつその判断及び意見の表明について公正でなければならない。
  2. 職務上知りえた事項を正当な理由なくして他に洩らしてはならない。
  3. いかなる場合においても、監査を受ける者に対し、業務の処理方法について直接指揮命令をしてはならない。
  4. 自ら所属する部門を監査してはならない。

(被監査部門の遵守事項)
第7条
被監査部門は、円滑かつ効果的な監査が実施できるように、積極的に協力しなければならない。

(細則の改廃)
第8条
本細則の改廃は、情報セキュリティ企画・推進担当が起案し、情報セキュリティ管掌部門責任者の決裁による。

スポンサーリンク

第2章 監査の実施

(計画書の作成)
第9条
情報セキュリティ監査責任者は、各事業年度開始に先立って「情報セキュリティ監査計画書」(年度計画書)を作成し、代表取締役の承認を得なければならない。

(ISMS内部監査チェックシートの作成)
第10条
情報セキュリティ監査責任者は、監査の実施に先立って、被監査部門の運用状況の確認項目を定めた「ISMS内部監査チェックシート」を作成する。

(監査の通知)
第11条
情報セキュリティ監査責任者は、監査を行うときはあらかじめ被監査部門の長に通知するとともに、「ISMS内部監査チェックシート」を配布する。

(運用状況の監査方法)
第12条
① 被監査部門の長は、「ISMS内部監査チェックシート」を用いて運用の確認を実施し、監査実施前までに情報セキュリティ監査責任者へ提出する。なお、被監査部門の長は、必要に応じて点検者を置くことができる。

② 実地監査は、情報セキュリティ監査担当者が、事前に被監査部門が作成した「ISMS内部監査チェックシート」に基づき、運用の確認結果のヒアリング、各種帳票及び諸資料の確認、現場確認などによって実施する。
③ 情報セキュリティ監査責任者及び情報セキュリティ監査担当者は、実地監査に際し、通常業務に著しく支障を与えないようにしなければならない。
④ 監査ツールを使用する場合は、監査ツールに対する許可されないアクセスを防止しなければならない。

スポンサーリンク

第3章 監査の報告

(報告書の作成)
第13条
情報セキュリティ監査担当者は、監査終了後、「情報セキュリティ監査報告書」を作成し、情報セキュリティ監査責任者に提出する。情報セキュリティ監査責任者は「情報セキュリティ監査報告書」を代表取締役に提出するとともに、その写しを被監査部門の長に送付する。

(改善指示)
第14条
代表取締役は、「情報セキュリティ監査報告書」に基づき、情報セキュリティ管掌部門責任者を通じ、被監査部門に対して改善指示を行う。

(監査報告書に基づく是正処置及び予防処置)
第15条
改善指示に基づく是正処置及び予防処置については、別に定める「是正・予防処置手順書」に基づいて、実施する。

附則

本細則はYYYY年MM月DD日より施行する。

以上

コメント

タイトルとURLをコピーしました