定期的なシステムチェックを実施してコンプライアンスとセキュリティ監査を乗り切る - TechRepublic

企業の健全性とガバナンスにとって重要なのは、最も厳しい脅威にも耐えられる完璧なコンプライアンスとセキュリティですが、多くの企業では依然として準備が不十分です。

「多くの組織がPCI（Payment Card Industry）コンプライアンスを単なる年次イベントと捉え、コンプライアンスは年間365日体制で取り組む必要があることを認識していないのが現状です」と、ベライゾン・エンタープライズ・ソリューションズのPCIプラクティス担当マネージングディレクター、ロドルフ・シモネッティ氏は述べています。シモネッティ氏は、他の種類の企業コンプライアンスについて語っていた可能性もあるでしょう。

現実には、IT部門（システムに関するコンプライアンスおよびセキュリティ監査の大部分は最終的にIT部門に委ねられるため）は、コンプライアンス対策のための時間を、本来であれば他のより重要と考えるプロジェクトに充てるべき時間だと捉えています。また、IT部門は監査に関してある種の「絞首台のユーモア」を持っていることで知られています。つまり、コンプライアンス監査人は「業務を継続」するために、監査を行うたびに少なくともいくつかの誤りを見つけなければならないということです。

その結果、ITセキュリティやコンプライアンス監査に耐えることは、年に一度の健康診断を受けるのと同じくらい魅力的に感じられるのです。監査は恐れられ、ほとんどの場合、都合の悪いタイミングで行われますが、CIOやその他の主要なIT管理者は、監査とうまく付き合うことを学んでいます。まさにこの点で、シモネッティ氏の指摘は的を射ています。

IT部門がシステム監査チェックを継続的なプロセスの中で実施し、監査人や検査官による年次訪問の影響を軽減する方法を見つければ、正式な監査レビュープロセスはよりシームレスになり、より容易なものになるでしょう。最も重要なのは、このような予防策が、セキュリティとコンプライアンスに関して企業全体の健全性を向上させることです。ここでは、ITプロジェクトの負荷を担いながら、これを実現するための4つの方法をご紹介します。

1: コンプライアンスへの取り組みを単一の制御ポイントに集中させます。

多くの場合、コンプライアンスへの取り組みを一点に集中させるということは、ITスタッフの誰かを監査の「中央指揮官」に任命することを意味します。この人物は（規制が厳しい業界の場合）、社内の規制部門と連携することができます。この人物の職務には、最新の出版物を読んだり、企業に影響を与えるセキュリティや規制措置の変更に関する定期的な会議に出席したり、継続的なコンプライアンスを確保するためのIT業務のスケジュール管理などが含まれます。

2: コンプライアンスに準拠した定期的な IT 作業を毎年計画し、予算を立てます。

コンプライアンスは絶えず変化しているため、毎年コンプライアンスに取り組む必要があります。この現実に最もうまく対応できる組織は、監査人がコンプライアンス対策の不足を発見した時ではなく、必要な対策が明らかになった時に、積極的に予算を計画し、コンプライアンス対策を実施します。

3: 内部監査人または規制当局とは異なる外部チームによる定期的な監査を実行します。

社内システム、ポリシー、および手順の定期的な監査スケジュールを作成することは、監査人や審査員への対応を確実にするための方法です。こうした事前準備は、企業のセキュリティとガバナンスの要件を最前線で達成することにもつながります。

4: 外部監査チームや業界規制当局による訪問に先立ち、文書を 1 つのバインダーまたは電子ファイルにまとめておきます。

CIOに就任したばかりの頃、すべてのポリシー、手順、システムフロー図などを1つのバインダーや電子ファイルに整理して、監査や審査チームに渡すのはやり過ぎだと思っていました。しかし、すぐにそうではないと気づきました。CEO、取締役会、そして利害関係者全員が目にする無数の監査指摘事項を、誰しもが目にすることを望んでいるわけではありません。監査人や審査員は、企業の脆弱性を指摘してくれるでしょうが、ガバナンス、セキュリティ、コンプライアンスに関する整理されたファイルを提示することで、企業の準備状況に関する第一印象を与え、最終的な評価に大きく貢献するのです。

監査の準備方法を教えてください

貴社のIT部門は、コンプライアンスおよびセキュリティ監査に向けてどのような準備をされていますか？既にシステム監査チェックを継続的に実施されている場合、このリストに追加したいヒントはありますか？ぜひ、皆様のご経験やフィードバックをディスカッションに投稿してください。