監査ってこわい
以前に流行ったテレビドラマの半沢直樹では、銀行に監査が来る場面がありました。
黒崎監査官(片岡愛之助)に、「この取引の帳簿を見せてちょーだい」などと言われて半沢直樹が資料を見せたり隠したりするシーンもありました。覚えていますでしょうか?
IT業界にも監査官が来る
IT業界の会社にも監査員が来ることがあります。よくあるのがセキュリティの監査です。
私の会社では、セキュリティ関係の認証を取っています。きちんとセキュリティ管理をしていますよ、という証拠となる認証です。
その認証機関が毎年ちゃんとやっていることを確認するために監査に来るのです。
黒崎監査官のようなカマっぽい監査官は来ませんけどw。もちろん監査官に〇〇玉を握られることもありません(!)
もしも不備が見つかったら
監査では、自社ののセキュリティールールを監査官に見せます。
それを見て、監査官は質問してきます。
「パソコンを外部に持ち出すときはどうやっているのかしら?」
「はい。上司に承認をもらって持ち出し記録をつけています」
「その記録を見せてちょーだい」(って、カマっぽく言う人はいませんけど)
その記録に不備があると、
「あーら、この承認日付は持ち出した日のあとになっているからおかしいんじゃないかしら」(って、カマっぽく言う人はませんけど)とツッコまれます。
「え、えーっと、それは(汗)…、すいませんでしたー」と土下座します。
是正措置を行ってセキュリティを維持する
すいませんウソです。土下座はしません。半沢直樹のドラマではないので。土下座で許してもらえるものではないですし。
あとから修正して、さらには同様なことが起こらないようにする対策を立てて提示しなくてはいけません。これを是正処置と言います。
是正措置がちゃんとできなかったり、あるいは指摘自体が重大なものであったりすると、セキュリティ認証が取り消されてしまいます。ですからちゃんとやります。
こんなふうにして、IT業界の会社のセキュリティは保たれているのです。
セキュリティ認証を取っている会社はちゃんとやっているのですよ!
コメント