サイバーセキュリティ監査とは何ですか?
サイバーセキュリティ監査は、コンプライアンスの評価に関するものです。 Securityscorecardによると、サイバーセキュリティ監査を実施する機関は、”適切なセキュリティメカニズムを備えているかどうかを評価しながら、関連する規制に準拠していることを確認することができる”という。
サイバーセキュリティ監査を実施する組織は、”サイバーセキュリティポリシーを設計する際に積極的なアプローチを取ることができ、より動的な脅威管理
サイバーセキュリティ監査は、securityscorecardによると、利益相反を排除するために第三者ベンダーによって実行されます。 しかし、「彼らは親組織とは独立して行動する限り、社内チームによって管理することもできます。”
サイバーセキュリティ監査ユニバース”には、企業レベルで有効なすべての制御セット、管理慣行、およびガバナンス、リスク、コンプライアンス(GRC)規定が含まれ 場合によっては、拡張された監査ユニバースには、監査権を含む契約に拘束された第三者が含まれる場合があります”と、ITガバナンスおよび認証会社ISACAに
“サイバー脅威の増加に伴い、すべての組織の監査計画にサイバーセキュリティを含めることが重要になってきています”とISACAは指摘しています。 “その結果、監査人は、企業が適切な管理を行っていることを保証するために、サイバーセキュリティプロセス、ポリシー、ツールを監査する必要がますます サイバーセキュリティの脆弱性は、組織全体に深刻なリスクをもたらす可能性があり、サイバーセキュリティ監査に精通したIT監査人の必要性がこれまで”
関連:どのように機関が最高のitサプライチェーンのサイバーセキュリティの脅威を処理することができますか?
サイバーセキュリティ監査のベストプラクティス
サイバーセキュリティ監査の前および中に、特に信頼できる第三者によって実施されている場合に、代理店が取るべきいくつかのベストプラクティスがあります。
SecurityScorecardは、そのウェブサイト上でそれらのいくつかの詳細を説明します。 1つは、代理店のデータセキュリティポリシーを確認することです。 「監査を開始する前に、データの機密性、完全性、および可用性に関するこのポリシーを確認してください」と同社は指摘しています。
securityscorecardによると、情報セキュリティポリシーを固めたことは、監査人が”データを分類し、それを保護するために必要なセキュリティレベルを決定する”のに役立ち
もう一つのベストプラクティスは、サイバーセキュリティとコンプライアンスポリシーを単一のリストまたは文書に一元化することです。 これにより、監査人がギャップを識別しやすくなります。 SecurityScorecardが推奨するポリシーは、ネットワークアクセス制御、災害復旧とビジネス継続性、リモート作業、および許容される使用に関連しています。
機関は、ネットワーク構造を詳細に説明するべきである、SecurityScorecardが推奨しています。 「サイバーセキュリティ監査の目標の1つは、企業ネットワーク上のセキュリティの潜在的なギャップを特定するのに役立つことです。 監査人にネットワーク図を提供することで、ITインフラストラクチャの包括的なビューが得られ、評価プロセスが迅速になります”と同社は指摘しています。 “ネットワーク図を作成し、ネットワーク資産をレイアウトし、それぞれがどのように連携するかを詳細に説明します。 ネットワークのトップダウンビューを使用すると、監査人は潜在的な弱点やエッジをより簡単に識別できます。”
機関のITおよびサイバーセキュリティのリーダーは、監査を開始する前に、関連するコンプライアンス基準と要件を見直す必要があります。 これらは監査チームと共有する必要があり、監査を代理店のニーズに合わせることができます。
最後に、SecurityScorecardは、機関が機関内でセキュリティ担当者とその責任のリストを作成することを推奨しています。 “従業員のインタビューは、サイバーセキュリティ監査の重要な部分です。 監査人は、組織のセキュリティアーキテクチャをよりよく理解するために、さまざまなセキュリティ担当者にインタビューすることが
機関は、監査チームにITセキュリティスタッフのリストを提供することで、このプロセスを合理化できます。
より深く潜る:代理店のインシデント対応計画を改善するために、これらのヒントに従ってください。
政府機関はサイバーセキュリティをどのくらいの頻度で監査すべきですか?
サイバーセキュリティ評価会社BitSightが指摘しているように、サイバーセキュリティ監査は評価よりも正式であり、”サイバーセキュリティチームが述べたポリシーを検証する”チェックリスト”として機能するように設計されており、それらを実施するための制御メカニズムがあることを示している。”
“さらに、サイバーセキュリティ監査と見なされるものは、ネットワークの正常性のスナップショットのみを示します”とBitSight氏は指摘しています。 “監査は、特定の時点でのサイバーの健全性を詳細に調べることができますが、現在進行中のサイバー管理についての洞察を提供するものではありません。”
セキュリティ専門家は、サイバーセキュリティ監査を少なくとも年に一度行うことを推奨しています。 “ソフトウェアの脆弱性は毎日発見されています”と独立したITセキュリティコンサルタントのCarole Fennellyはtechtargetに書いています。 「セキュリティガイドラインに確実に従うためには、客観的な第三者による毎年のセキュリティ評価が必要です。”
他の専門家は、より頻繁に監査を行うことを推奨していますが、予算、重要なシステムやソフトウェアの変更が最近行われたかどうか、コンプライアンス基準の厳しさなど、機関がサイバーセキュリティを監査する頻度には、さまざまな要因が影響する可能性があります。
FEDTECHからの詳細:機関はインサイダーの脅威からどのように守ることができますか?
サイバーセキュリティ監査のヒント
ISACAは、サイバーセキュリティ監査が開始される前に、監査対象と目的を定義することを推奨しています。 組織は、サイバーセキュリティ監査のために考慮すべき境界と制限には、企業と民間の制御領域と、非管理デバイスとアプリケーションの使用を考慮すべきかどうかが含まれていると述べています。 監査の範囲を制限する別の要素は、監査が内部ITインフラストラクチャと外部インフラストラクチャに焦点を当てるかどうかです。
“原則として、ITの使用は、旅行用、家庭用の設定、またはクラウドの採用のように、内部組織ネットワークを超えて拡張されます”とISACAは指摘しています。 “これは、追加のサイバーセキュリティリスクを作成することができますが、それはほとんどの企業で一般的な方法となっています。「それは非常に多くの連邦政府の従業員が自宅で仕事を続けていることに特に当てはまります。