にしのくえすと

情報処理技術者試験のお勉強ブログ


にしのくえすととは?
・「情報処理技術者試験大好き」な人、「ICT資格取りたい」人のためのブログです。
・ITパス、セキュマネ、基本、応用、セキュスペ(情報処理安全確保支援士)、ネスペ、デスペあたりの話題が中心です。
・申し述べる見解は勤務先とは無関係です。また、試験に関する記事は、自己責任でご利用ください。


・イラスト素材はAI CATCHER様のものを使用させていただいてます。素敵です!

↓ 電子書籍発売中です!「ネスペちゃん」「セスペちゃん」よろしくお願いです!
 
・作者のプロフィールはこちら  ・にしの作「資格本」電子書籍についてこちら
・作者の日記系ブログ(不定期)みがまえるよりはやく  ・「にしのくえすと」プライバシーポリシー

あいぱすくえすと(11)監査とリスクマネジメント

マネジメント・ストラテジ編はこれにて、終了ですぞ!

テキストは?

テキストは無料公開となっております。よければ、どうぞ。

www.nsnq.tech

監査

仕事が正当なものかは、誰か他人によって証明されな
ければいけません。

企業に関わりのある人や、利害関係者に「いい仕事し
てるね!」なんて言われても、信用なりません。ズル
してるんじゃないかと思うでしょう?

だから監査が必要なのです。

監査と一口に言っても「会計・業務・システム・情報
セキュリティ」などの監査があります。

(1)監査の範囲
監査の範囲は「情報資産」。情報資産はデジタル以外
も含まれる。


(2)システム監査基準
監査人の行動規範。(ルールブック)セキュリティ監
査は情報セキュリティ監査基準。


(3)監査計画
監査をどのような手順で行うかを計画


(4)監査証跡(しょうせき)
証拠のこと→アクセスログなど。

(5)モニタリング
監査を行い、継続的に指導すること。


(6)システム監査報告
システム監査の結果を報告する書類。

覚えよう:
監査人の独立性とは
組織から「独立した」「利害関係のない」
「第3者」である。


監査人の仕事とは?
改善状況の確認とフォローアップ!


ISMS
セキュリティを維持するためのマネジメントシステム 
ISO27000。監査を受けて合格すると認証を受けること
ができる。

リスクマネジメント

さまざまなリスクにはどのように行動するべきだろう
か。次の4つを覚えておこう。


(1)リスクの回避
リスクのある行動をそもそもしない

(2)リスクの移転
リスクファイナンス(保険を掛ける)などして、被害
をおさえる

(3)リスクの保有
リスク対応の負担が大きいので何もしないで許容する

(4)リスクの低減
リスクによる被害が小さくなるような行動をする



例)お年玉を持って買い物に行く小学生の
 「リスクマネジメント」

・そもそも買い物に行かない 
 → リスクの回避

・補填してもらえるよう盗難保険に入る
 →リスクの移転

・面倒くさいので、何も対策せず買い物に行く。
 →リスクの保有

・持っていくお金を小額にとどめておく 
 → リスクの低減


情報処理技術者試験大好きブログ「にしのくえすと」 Presented by にしこにしおAF