概要
「情報セキュリティリスク」を監査テーマとして、当該リスクが顕在化した場合を想定した仮説を立案した。
また、立案した仮説を検証するために有用な監査手続として、多種多様な企業で利用可能な内容を研究した。
<情報セキュリティにかかるリスクと手続例の検討>
「不正アクセス」と「情報漏洩」に着目して以下のリスクと手続例をディスカッションした。
なお、本研究会ではサイバーセキュリティは対象外とした。
リスクの内容と手続例 |
備考 |
アクセス権の設定 ・社外送信メールに対する情報漏洩確認(添付ファイル、メールサイズ、送信先アドレス、フリーアドレス宛等) ・権限ロールの妥当性。職位、所属に応じたメニュー権限の仕組み導入(人事マスタで統制) ・誤送信による漏洩防止のため、マスタや原価情報を含む内容は送信できない仕組み導入 ・共有IDを使用している例をPCログから発見 ⇒深堀りした結果、管理者帰宅時、管理者権限IDとPassを教えて使用させていた事例あり |
<必要と思われる情報など> ・退職者IDの削除と退職日 ・共有IDの管理(兼務者) |
・貸与PCはUSB不可。クライアントPCでの作業が必要な場合にUSBでデータ出し入れしていた事例があった。 ⇒夜間にデータ取り出し事例があり、Wチェックなしで実施。データ分析によって発見 ・オンラインストレージへのアクセス調査(コミュニケーションアプリなどへの添付含む) |
メールに比べて監視・規制が甘い可能性あり。 クライアントPCからの情報送信の場合、社内の目が届かないなど |
<上記ディスカッションを経て選定した監査テーマとリスク>
テーマ:情報セキュリティリスクにかかる仮説の立案と監査手続の策定
具体的なリスクとアクセス方法:
■不正アクセスリスク
・社内システムへの論理アクセスリスク
・セキュリティエリアへの物理アクセスリスク
■情報漏洩リスク
・メールやSNSを利用した社外発信
上記情報セキュリティリスクにかかる効果的な内部統制を検討し、当該内部統制に不備が発見された場合に起こりうるリスクに対して仮説を立案し、当該仮説に対する監査手続を策定した。
仮説および監査手続案の詳細
以下のファイルをご参照ください。
・ファイル1:【第8回研究会】情報セキュリティリスクにかかる仮説の立案と監査手続の策定.pdf
・ファイル2:【第8回研究会】情報セキュリティリスクにかかる仮説の立案と監査手続案.pdf
※ファイルは、法人会員、正会員および準会員の方にご覧いただけます。
会員ページよりご覧ください。
以上
研究報告の成果物をご自身の業務のヒントとしてご活用いただけますと幸いです。