○甲賀広域行政組合情報セキュリティ監査実施要綱

平成25年6月20日

第1章 総則

(目的)

第1条 この要綱は、甲賀広域行政組合(以下「本組合」という)における情報セキュリティ監査に関する基本的事項を定め、本組合の情報セキュリティの維持・向上に資することを目的とする。

(監査対象)

第2条 情報セキュリティ監査は、本組合の情報セキュリティポリシーに定める対象範囲に対して実施する。

(監査担当部門及び担当者)

第3条 情報セキュリティ監査は、総務課及び消防総務課が担当する。

2 情報セキュリティ監査は、情報セキュリティ監査統括責任者が指名する監査人によって実施する。

3 外部監査を行う場合は、外部監査人の選定基準に基づき、客観的で公平な手続きに従って調達を行い、外部の専門家により情報セキュリティ監査を実施する。

(監査の権限)

第4条 監査人は、情報セキュリティ監査の実施にあたって被監査部門に対し、資料の提出、事実などの説明、その他監査人が必要とする事項の開示を求めることができる。

2 被監査部門は、前項の求めに対して、正当な理由なくこれを拒否することはできない。

3 監査人は、外部委託先など業務上の関係先に対して、事実の確認を求めることができる。

4 監査人は、被監査部門に対して改善勧告事項の実施状況の報告を求めることができる。

(監査担当者の責務)

第5条 監査人は、監査を客観的に実施するために、監査対象から独立していなければならない。

2 監査人は、情報セキュリティ監査の実施にあたり、常に公正かつ客観的に監査判断を行わなければならない。

3 監査人は、監査及び情報セキュリティに関する専門知識を有し、相当な注意をもって監査を実施しなければならない。

4 監査報告書の記載事項については、情報セキュリティ監査統括責任者及び監査人がその責任を負わなければならない。

5 情報セキュリティ監査統括責任者及び監査人は、業務上知り得た秘密事項を正当な理由なく他に開示してはならない。

6 前項の規定は、その職務を離れた後も存続する。

(監査関係文書の管理)

第6条 監査関係文書は、紛失等が発生しないように適切に保管しなければならない。

第2章 監査計画

(監査計画)

第7条 情報セキュリティ監査は、原則として監査計画に基づいて実施しなければならない。

2 監査計画は、年度計画及び監査実施計画とする。

(年度計画)

第8条 情報セキュリティ監査統括責任者は、当該年度の監査方針、監査目標、監査対象、監査実施時期、監査要員、監査費用などを定めた年度計画を策定し、情報セキュリティ委員会の承認を得なければならない。

(監査実施計画)

第9条 情報セキュリティ監査統括責任者は、年度計画に基づいて、個別に実施する監査ごとに監査実施計画を策定し、情報セキュリティ委員会の承認を得なければならない。

2 特命その他の理由により、年度計画に記載されていない監査を実施する場合も、監査実施計画を策定し、情報セキュリティ委員会の承認を得なければならない。

第3章 監査実施

(監査実施通知)

第10条 情報セキュリティ監査統括責任者は、監査実施計画に基づく監査の実施にあたって、原則として4週間以上前に被監査部門の情報セキュリティ責任者に対し、監査実施の時期、監査日程、監査範囲、監査項目などを文書で通知しなければならない。ただし、特命その他の理由により、事前の通知なしに監査を実施する必要性があると判断した場合には、この限りではない。

(監査実施)

第11条 監査人は、監査実施計画に基づき、監査を実施しなければならない。ただし、特命その他の理由によりやむを得ない場合には、情報セキュリティ監査統括責任者の承認を得てこれを変更し実施することができる。

(監査調書)

第12条 監査人は、実施した監査手続の結果とその証拠資料など、関連する資料を監査調書として作成しなければならない。

(監査結果の意見交換)

第13条 監査人は、監査の結果、発見された問題点について事実誤認などがないことを確認するため、被監査部門との意見交換を行わなければならない。

第4章 監査報告

(監査結果の報告)

第14条 情報セキュリティ監査統括責任者は、監査終了後、すみやかに監査結果を監査報告書としてとりまとめ、情報セキュリティ委員会に報告しなければならない。ただし、緊急を要する場合は口頭をもって報告することができる。

2 情報セキュリティ監査統括責任者は、被監査部門を交えて監査報告会を開催することができる。

3 監査報告書の写しは、必要に応じて、被監査部門の情報セキュリティ責任者に回覧又は配布する。

(監査結果の通知と改善措置)

第15条 最高情報統括責任者は、情報セキュリティ委員会への監査結果報告を受けた後、すみやかに監査結果を被監査部門の情報セキュリティ責任者へ通知しなければならない。

2 前項の通知を受けた被監査部門の情報セキュリティ責任者は、改善勧告事項に対する改善実施の可否、改善内容、改善実施時期などについて、最高情報統括責任者に回答しなければならない。

3 情報セキュリティ委員会は、監査結果を情報セキュリティポリシーの見直し、その他情報セキュリティ対策の見直し時に活用しなければならない。

(フォローアップ)

第16条 情報セキュリティ監査統括責任者は、被監査部門における改善勧告事項に対する改善実施状況について、適宜フォローアップしなければならない。

2 前項によるフォローアップ結果については、適宜とりまとめ、情報セキュリティ委員会に報告しなければならない。

この要綱は、平成25年6月20日から施行する。

甲賀広域行政組合情報セキュリティ監査実施要綱

平成25年6月20日 種別なし

(平成25年6月20日施行)