サービス概要

顧客企業で実施されているセキュリティレベル(情報セキュリティ・ポリシーや導入された対応策の有効性など)を評価します。より正確にレベルを把握するために、三つの手法(インタビュー/オンサイト・サーベイ/ネットワークスキャニング)を組み合わせ、ISO27001に基づく11の領域を技術面および管理面から調査します。

監査結果報告では、現状のセキュリティ対策の評価ととともに、改善すべき事項と、お客様の事業環境を考慮した改善案をご提案致します。

情報セキュリティ監査 – 3つの観点・手法

1. インタビュー
ISO27001に基づき作成されたチェック項目(200項目程度)の達成度を、管理者へのインタビューで確認します。インタビュー形式では、メールや質問票に比べて質問内容に関する誤解も少なく、より正確な答えを得ることができます。

2. オンサイト・サーベイ(現地調査)
規定されたルールが正確に反映・導入されているかを評価します。現地調査により、管理者の認識と実際の導入レベルの差を把握することができます。重要な機器が設置されている場所(サーバルームなど)への入退管理や天災・人災防止の為の施策の確認、及び、各種ルールを記載したドキュメント類の確認を行います。

3. スキャニング
ツールを用いてシステム設定を確認します。スキャニングは、インタビューやオンサイト・サーベイでは発見が出来ないリスク(規定したルールが正しくシステムに反映されているか等)の認識や、ルールの実現レベルの把握に有効です。
スキャニングの例は、以下の通りです。

本サービスのメリット

1. 「バランスの取れた」セキュリティ対策
情報セキュリティ対策の問題点について客観的な評価を受けることで、課題が明確になり、重要度に応じた改善を行えます。その結果、「バランスの取れた」効果的な情報セキュリティ対策が可能となります。

2. 情報セキュリティレベルの維持
定期的にセキュリティ監査を実施することで、新たなリスク(技術の進歩、新しいセキュリティ事故・法的要求事項など)に対応出来、情報セキュリティレベルの維持が可能となります。