ガイドラインチェックサービス
セキュリティ監査
貴組織の悩みにお応えします
・独自でセキュリティポリシーを作成したが、規格・基準に準拠しているか知りたい。
・情報セキュリティポリシーに添った運用がされているかを確認したい。
・本当に適切な運用となっているかを調査してほしい。
・情報セキュリティポリシーを見直すためのデータがほしい。
・情報セキュリティ監査制度に従った監査を実施したい。
・地方公共団体セキュリティ監査ガイドラインに従った監査を実施したい。
・技術的な検証もあわせて実施したい。
弊社では経済産業省/総務省やISO27001(JISQ27001)、JISQ15001などの認証規格に準拠して、セキュリティ監査サービスをご提供します。
セキュリティ監査サービスの流れ
Step.1 監査計画の作成
監査範囲の設定
監査の対象となるシステムの範囲や情報処理業務の範囲を設定します。さらに、人的な要素の監査か、技術的な要素の監査かも検討します。必要に応じて、リスクが高いと思われる部分から、監査対象範囲に設定していくことが望ましい監査の手順といえます。
チェックリスト作成
監査対象の実態把握のために、まず予備調査(事前ヒアリング)を行います。予備調査を行うことで、監査を実施する手順や方法を詳細に設定した「監査チェックリスト」を作成する事ができます。(具体的な監査が可能となります。)
↓
Step.2 監査の実施
弊社監査技術員が貴社・貴庁を訪問し、チェックリストに基づいたセキュリティ監査を実施します。(監査範囲・規模により異なりますが、通常は約2日の監査)
↓
Step.3 報告・助言
「監査報告書」を成果物として提出し、報告会を行います。指摘のある事項については、「助言」という形でアドバイスします。
セキュリティ監査サービスの内容
Step.1 セキュリティドキュメント(方針・規程・基準・手順)のレビュー
必要なセキュリティレベルが維持できるか
↓
Step.2 運用監査
管理組織が機能しているか
ポリシーに沿った運用がなされているか
必要な記録類が残されているか
目標・計画書に従って進められているか
セキュリティ事故に対する処置・フィードバックが適切か
PDCAサイクルにより定期的に見直しがなされているか
教育・啓蒙がなされているか
法的準拠
↓
Step.3 技術的監査
新たなハッキング技術やその対策に関しての助言
導入機器の設定状況は適正か
ツールなどによる客観的な診断(疑似アタックによる点数評価等)
↓
Step.4 結果報告
不適合事項の報告および、対応策の助言
システムのお問い合わせ
※各メーカー様の商品ページ内容を記載しております。
変更になる場合もありますので各メーカー様のサイトをご確認ください。
転載元URL https://www.ryobi.co.jp/security/csirt/security-audit