情報セキュリティ対策が問題なく実施されているか点検するステップです。
多くの組織がこのステップが実施できていない状況です。セキュリティ対策を計画して実施してもそのままの状態で、セキュリティ対策が形骸化している状況です。
そういう意味でも、この点検フェーズが一番重要と言っても過言はないと思います。
点検フェーズには、一般的に「監査」と「自己点検」があります。監査というと第三者が実際にセキュリティ対策が実施状況を点検する形式で、自己点検はチェックシートなどを使って、利用者が自分で実施状況を点検する形式です。監査の方が厳密で効果的なのですが、なかなか実施するのが大変なため、最近では自己点検を中心に行い、ポイントポイントで監査を行う形式が増えています。
それぞれ、利点と欠点をまとめてみました。
(自己)点検
- 利点:手軽に順守状況の把握が可能、守るべき対策の徹底と情報セキュリティの意識向上が可能
- 欠点:自分で自分を評価するため、正しいチェックが出来ない恐れ
–(参考)政府機関統一基準で(監査と併用することを)推奨
監査
- 利点:第三者の目でチェックを行なうため正しい判断が期待できる
- 欠点:監査人に情報セキュリティの高度な知識、組織の正しい状況把握が求められる