教授 原田 要之助
1.授業のねらい・到達目標
企業や組織は、事業で個人情報をはじめさまざまな情報を活用している。とくに、近年、クラウドサービスの活用が広がり、重要な情報を外部に保存・活用するようになっている。そのため、情報を預けたクラウドの情報セキュリティの管理レベルが低い場合には、情報漏えいなどのリスクが顕在化する。過去には、ISMSやPマークの認証を受けた事業者による大規模な漏えい事件や、サプライチェーンの末端企業での不正事件などが起きている。この事実から分かることは、情報セキュリティに関する経営の説明責任には、ISMSやPマークなどの認証だけでは不十分であり、第三者による監査による説明責任が望ましい。政府も政府が所掌する情報システムについては情報セキュリティ監査を義務づけるようになっており、情報セキュリティ監査は必須となっている
そこで、講義では、保証型の情報セキュリティ監査に着目して、助言型監査によって問題点を把握して、改善して、保証を受けられる準備を行う。次に、保証を受ける事業について経営者による言明(管理策の実施の表明)を作成する。外部監査人は、言明に対して保証型監査を実施する。その結果として実施状況をものに監査報告書を策定する。
受講者は,監査の枠組みに関する座学と模擬監査演習を通じて実践的な能力を身につける。また、講義履修と併せて、NPO日本セキュリティ監査協会が認定する公認情報セキュリティ監査人(補)の受験資格が得られる。(資格取得のための受験費用、登録費用は別途必要)
2.授業計画
講義形式での授業と、グループでの討論で構成する。
3.教科書
4.参考書
授業で紹介します。
5.関連科目
本科目では組織における情報セキュリティ監査(助言型、保証型)を具体的にどのように進めるかについて解説する。基礎的な情報処理システムについての知識を持っていることが望ましい。情報セキュリティマネジメントシステムやセキュリティシステム監査とは内容的に関係ありますが、履修を前提とはしていません。
6.成績評価の方法
出席状況、受講態度、レポート、ケーススタディ(グループ討論と発表)への取組を総合的に判断し、評価する。
7.その他 NPO日本セキュリティ監査協会の資格認定について
本履修を実施後、NPO日本セキュリティ監査協会による修了試験(研修とトレーニングそれぞれ試験があります)を受験して合格することで監査アソシエイトと監査人補の資格が取得(資格取得のための受験費用、登録費用は別途必要)できます。 なお、この修了試験と講座の単位とは独立しています。
大学院・情報セキュリティ研究科
