（特設講義）セキュリティ監査（後期2単位）

教授　原田 要之助

１．授業のねらい・到達目標

　本科目では、保証型の情報セキュリティ監査を実践できるようにする。まず、助言型の情報セキュリティ監査を学習し、組織における情報セキュリティ面の問題点を把握して、改善して、保証型監査を受けられる準備を行う。次に、経営者による言明（管理策の実施の表明）が実践できている保証を受け仕組みを学習する。併せて、外部監査人の立場で保証型監査を実施して、監査報告書を策定するプロセスを学習する。

２．到達目標

　受講者は，監査の枠組みに関する座学と模擬監査演習を通じて実践的な能力を身につけることができる。また、講義履修と併せて、NPO日本セキュリティ監査協会が認定する公認情報セキュリティ監査人（補）の受験資格を得られる。（受講修了後、受験資格を得ることができる。なお、資格取得のための受験費用、登録費用は別途必要）

３．授業計画

講義形式での授業と、グループでの討論で構成する。

1. オリエンテーション（講義の概要、目標、評価方法など）、情報セキュリティ監査の枠組み
2. 情報セキュリティ監査制度 （情報セキュリティ監査の例、情報セキュリティ監査基準など）
3. 情報セキュリティ監査の内容１（監査人の評価対象、監査の種類など）
4. 情報セキュリティ監査の内容２（保証型監査と助言型監査、言明書と監査報告書の関係、報告書の利用など）
5. 監査技法１（ヒアリング、閲覧、観察、再実施、技術的検証、侵入検査など
6. 監査技法２（サンプルのとり方、保証要件）
7. 情報セキュリティ監査の実務１（セキュリティ監査のリスクと対応）
8. 情報セキュリティ監査の実務２（セキュリティ監査のフェーズ）
9. 情報セキュリティ監査演習(1) ケーススタディの背景（保証型監査と助言型監査の必要性の理解）と監査の進め方のガイダンス、監査資料の収集
10. 情報セキュリティ監査演習(2) ケーススタディ：監査計画の作成、助言型監査資料の収集、監査チェックリストの作成
11. 情報セキュリティ監査演習(3) ケーススタディ：助言型監査の監査技法の実施と監査調書の作成
12. 情報セキュリティ監査演習(4) ケーススタディ：助言型監査報告書作成と報告会
13. 情報セキュリティ監査演習(5) ケーススタディ：保証型監査の監査技法の実施と監査調書の作成
14. 情報セキュリティ監査演習(6) ケーススタディ：保証型監査報告書の作成
15. 情報セキュリティ監査演習(7) ケーススタディ：保証型監査報告会と反省会

（なお、NPO日本セキュリティ監査協会の資格希望者は、上記以外に研修（１～８回）の受講後の修了試験、トレーニング（９～15回）後の修了試験を合格することで、それぞれ、情報セキュリティ監査アソシエイト、情報セキュリティ監査人（補）に資格申請できる）

４．教科書

1. NPO日本セキュリティ監査協会の研修テキスト
   　　（教材費(研修テキスト5,040円/トレーニングテキスト10,080円)：受講者は日本セキュリティ監査協会から直接購入していただきます）
2. 標準類
   • JIS Q.27000:2014、Q.27001:2014、Q.27002:2014
   • 情報セキュリティ管理基準（平成28年経済産業省告示第37号、平成28年3月1日適用）
   • 情報セキュリティ監査基準（平成15年経済産業省告示第114号）

５．参考書

授業で紹介します。

６．関連科目

情報セキュリティマネジメントシステムやセキュリティシステム監査の受講が望ましいが、履修を前提とはしていない。

７．成績評価の方法

出席状況、受講態度、レポート、ケーススタディ（グループ討論と発表）への取組を総合的に判断し、評価する。。

８．その他

　NPO日本セキュリティ監査協会の資格認定について
本履修を実施後、NPO日本セキュリティ監査協会による修了試験（研修とトレーニングそれぞれ試験があります）を受験して合格することで監査アソシエイトと監査人補の資格が取得（資格取得のための受験費用、登録費用は別途必要）できます。 なお、この修了試験と講座の単位とは独立しています。