JP2004164041A - セキュリティマネジメント監査に対する支援サービス提供システムおよび支援サービス提供方法 - Google Patents

セキュリティマネジメント監査に対する支援サービス提供システムおよび支援サービス提供方法 Download PDF

Info

Publication number
JP2004164041A
JP2004164041A JP2002326196A JP2002326196A JP2004164041A JP 2004164041 A JP2004164041 A JP 2004164041A JP 2002326196 A JP2002326196 A JP 2002326196A JP 2002326196 A JP2002326196 A JP 2002326196A JP 2004164041 A JP2004164041 A JP 2004164041A
Authority
JP
Japan
Prior art keywords
auditor
audit
center
security management
function
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2002326196A
Other languages
English (en)
Inventor
Bunji Ishida
文治 石田
Akira Sugiura
昌 杉浦
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2002326196A priority Critical patent/JP2004164041A/ja
Publication of JP2004164041A publication Critical patent/JP2004164041A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

【課題】セキュリティマネジメント規格等に基づく監査を行うに際して必要となる予備監査から実地監査に至る調査、それらによって得られる確証等の収集,保管,分析と認証可否の判断するに必要となる支援サービスを、ネットワークを利用した会員制サービスとして提供する。
【解決手段】監査人使用端末30は、ASPセンタ40にデータベース化されているISO規格等の条文検索を利用して被監査企業に説明を加えながら実地監査を行う。また、ASPセンタ40にデータベース化されているアセスメント項目を利用して被監査企業のアセスメントによる実地監査を行い、結果をASPセンタ40に送信する。さらに、被監査企業のアセスメント時に必要となる確証等を自端末に保持してASPセンタ40に登録する。
【選択図】図1

Description

【0001】
【発明の属する技術分野】本発明は支援サービス提供システムおよび支援サービス提供方法に関し、特にセキュリティマネジメント監査に対する支援サービス提供システムおよび支援サービス提供方法に関する。
【0002】
【従来の技術】セキュリティマネジメント規格は、世界的に利用が進んでおり、標準化は英国規格BS(British Standards)7799をベースに2000年9月にISO(International Organization for Standardization)17799が、2002年2月にJIS(Japan Industrial Standard) X5080が制定されたばかりである。
【0003】
従来のセキュリティマネジメントシステムでは、情報セキュリティポリシーおよび対象システムと管理・監査プログラムとを対応づけたセキュリティ・監査プログラムデータベースを設け、操作者により指定された情報セキュリティポリシーおよび対象システムの範囲に対応する管理・監査プログラムを検索し、自動的に実行するようになっていた(例えば、特許文献1参照)。
【0004】
また、従来のセキュリティマネジメントシステムの他の例では、ポリシーデータベース,情報セキュリティポリシーおよび対象システムと管理・監査プログラムとを対応付けたセキュリティ管理・監査プログラムデータベース,ポリシー・設定情報マッピングテーブル,ならびに設定情報格納データベースを設け、操作者により指定された情報ポリシーおよび対象システムの範囲に対応する管理・監査プログラムを検索し、自動的に実行するようになっていた(例えば、特許文献2参照)。
【0005】
【特許文献1】
特開2001―273388号公報(第6−7頁、図2)
【特許文献2】
特開2002―247033号公報(第6―7頁、図2)
【0006】
【発明が解決しようとする課題】
従来のセキュリティマネジメントシステムでは、以下の3つの問題点があった。
【0007】第1の問題点は、セキュリティマネジメント監査ビジネスに企業が参入するのに多大な時間と費用(IT(Information Technology)投資,要員教育等)がかかることである。また、監査人のレベル維持や監査人が利用するシステムの維持および管理についても多くの費用や専門知識を有した運用要員が必要である。このことは、セキュリティマネジメント監査そのものが高価になることを意味し、セキュリティマネジメントシステムの企業への導入が一部の大企業にしか普及しないということであり、企業の大半を占める中小企業のセキュリティ対応状況の改善を阻み、それはセキュリティマネジメント監査ビジネスが広がらないという大きな要因であった。
【0008】第2の問題点は、ほどよくセキュリティマネジメント監査ビジネスに参入できたとしても、監査に必要な知識は監査人の所属する組織内部の経験数量のみに限られたり、地理的な営業範囲に限られたりしてしまい、本来の監査基準を見失ってしまいがちであった。
【0009】第3の問題点は、監査人の所属する組織にしてみると、監査人の活動に対して対費用効果や水平展開による貢献度を評価するには、監査の仕組みとは別に人事制度に見合った他のシステムが必要であった。これらのために従来の発明では、対象システムのマネジメントの自動化やセキュリティ対策の無人化に焦点があてられていたが、これらでは本来求められるセキュリティマネジメントシステムの一部しかサポートできていなかった。
【0010】
本発明の目的は、セキュリティマネジメント規格等に基づく監査を行うに際して必要となる、予備監査から実地監査に至る調査、それらによって得られる確証等の収集,保管,分析と認証可否の判断するに必要となる支援サービスを、ネットワークを利用した会員制サービスとして提供するようにしたセキュリティマネジメント監査に対する支援サービス提供システムおよび支援サービス提供方法を提供することにある。
【0011】
【課題を解決するための手段】
本発明のセキュリティマネジメント監査に対する支援サービス提供システムは、監査人が使用する監査人使用端末と、前記監査人使用端末を用いた監査人による自サブセンタの利用状況を収集して保持するサテライトサブセンタと、監査人を指導するコンサルタントまたは上級監査人が使用する上級監査人使用端末と、監査人の所属する組織の管理用の監査人所属組織監視端末と、前記監査人使用端末,前記上級監査人使用端末および前記監査人所属組織監視端末とインターネット等のネットワークを介して接続され、かつ前記サテライトサブセンタと専用線等の公衆網を介して接続され、前記監査人使用端末によるアセスメント項目の利用状況や前記上級監査人使用端末によるアセスメント項目の修正状況を収集して課金情報等に変換するASPセンタとを有することを特徴とする。
【0012】
また、本発明のセキュリティマネジメント監査に対する支援サービス提供システムは、前記監査人使用端末が、前記ASPセンタにデータベース化されているISO規格等の条文検索を利用して被監査企業に説明を加えながら実地監査を行う機能と、前記ASPセンタにデータベース化されているアセスメント項目を利用して被監査企業のアセスメントによる実地監査を行い、結果を前記ASPセンタに送信する機能と、被監査企業のアセスメント時に必要となる確証等を自端末に保持し、前記ASPセンタに登録する機能と、前記ASPセンタに保持されているソフトウェア等の監査人自身の端末環境を前記サテライトサブセンタ経由でダウンロードする機能と、現状のソフトウェア等の監査人自身の端末環境を前記サテライトサブセンタ経由で前記ASPセンタにアップロードする機能とを有することを特徴とする。
【0013】
さらに、本発明のセキュリティマネジメント監査に対する支援サービス提供システムは、前記監査人使用端末が、実地監査場所において、前記ASPセンタと接続するためのインターネット等のネットワークと接続する接続手段と、確証等を取得するためのイメージスキャナ,ボイスレコーダ,デジタルカメラ等と、適宜被監査企業に説明事項等を説明ないし記録するときに利用するホワイトボード入力装置,タブレット等と、前記監査人使用端末の内容を投影するためのプロジェクタ等への接続手段と、実地監査場所で得られた確証等を高速に前記サテライトサブセンタ経由で前記ASPセンタに保存するためのLANへの接続手段とを備えることを特徴とする。
【0014】
さらにまた、本発明のセキュリティマネジメント監査に対する支援サービス提供システムは、前記サテライトサブセンタが、同サテライトサブセンタ内で監査人が主に利用するサブセンタ内監査人使用端末と、前記ASPセンタとのゲートウェイ機能やキャッシュ機能を有するサブセンタサーバと、被監査人に提出すべき報告書等の印刷・製本するための監査結果出力装置と、これらをネットワーク接続するのに必要な通信機器とを備えることを特徴とする。
【0015】
また、本発明のセキュリティマネジメント監査に対する支援サービス提供システムは、前記サテライトサブセンタが、サテライトオフィス機能を備え、監査結果の印刷に必要な複製防止機能の提供,監査に必要な確証等の電子データをサブセンタサーバに高速にアップロードできる環境の提供,監査の分析過程に必要な規格や関連書籍等の閲覧機能の提供,および上級監査人とのテレビ会議等による相談窓口機能の提供を実現でき、監査人自身の事務所の付近でも、監査人の顧客の付近でも監査人の選択で利用可能であることを特徴とする。
【0016】
さらに、本発明のセキュリティマネジメント監査に対する支援サービス提供システムは、前記サテライトサブセンタが、関連機器のレンタルを行い、ASP機能や、監査現場での確証等の収集に利用されるノートパソコン,通信機器,入出力装置等の監査に必要な機器全てを対象とし、その貸し出しと返却は、監査人自身の事務所の付近でも、監査人の顧客の付近でも監査人の選択で選択可能であることを特徴とする。
【0017】
さらにまた、本発明のセキュリティマネジメント監査に対する支援サービス提供システムは、前記上級監査人使用端末が、前記ASPセンタを経由して、監査人が扱う被監査企業に対する監査人の分析結果やコメントを受信し、それに対する上級監査人のコメントを返信する機能と、前記ASPセンタに保持されるアセスメント項目の追加,修正,削除等の保守を行う機能とを有することを特徴とする。
【0018】
また、本発明のセキュリティマネジメント監査に対する支援サービス提供システムは、前記監査人所属組織監視端末が、前記ASPセンタを経由して当該監査人所属組織監視端末の組織に所属する監査人の監査進捗状況を収集して社内の人事活動に活用する機能と、前記ASPセンタを経由して当該監査人所属組織監視端末の組織に所属する監査人に掛かる課金情報を収集して社内の経理活動に活用する機能とを有することを特徴とする。
【0019】
さらに、本発明のセキュリティマネジメント監査に対する支援サービス提供システムは、前記ASPセンタが、監査に必要なデータベース機能の提供,および保存電子ファイル領域の提供を全てオンラインにより実現でき、監査人に必要な情報セキュリティ機能や高度な情報処理機器性能を実現でき、監査人が個人で保有する環境以上の環境を利用できることを特徴とする。
【0020】
さらにまた、本発明のセキュリティマネジメント監査に対する支援サービス提供システムは、前記データベースが、監査人がアセスメント内容やその結果を記録するヒューマンインタフェースを有する知識データベースでなり、その利用はクライアントの機器にインターネットブラウザのみがあれば、その他の特別なソフトウェアをインストールすること無しに利用できることを特徴とする。
【0021】
また、本発明のセキュリティマネジメント監査に対する支援サービス提供システムは、前記知識データベースが、各監査人の同意の元に顧客情報を匿名化し監査結果を取り込み、統計処理を行うことができる仕組みを有するため、監査人個人の経験情報以外の情報を監査に利用できることを特徴とする。
【0022】
さらに、本発明のセキュリティマネジメント監査に対する支援サービス提供システムは、前記知識データベースが、規格策定ないし改版者,有識者,監査を受ける業種業界団体のガイドライン策定ないし改版者等の、監査に間接的に使用するデータが必要となる際に時系列的に最新までの情報を利用できる仕組みを有するため、監査人個人の経験情報以外の情報を監査に利用できることを特徴とする。
【0023】
さらにまた、本発明のセキュリティマネジメント監査に対する支援サービス提供システムは、前記セキュリティマネジメント監査に対する支援サービス提供システムが、会員制サービスとして、単独の会員がシステムを直接利用できる仕組みだけでなく、複数会員を1つの団体でとりまとめて契約できる仕組みや、複数会員を有する複数組織をとりまとめて契約できる仕組みを有することで、すべてネットワークを介して利用管理を実現することを特徴とする。
【0024】
また、本発明のセキュリティマネジメント監査に対する支援サービス提供システムは、前記会員制サービスが、利用管理のために、利用に応じて課金する仕組み,個々の監査状況の進捗を管理する仕組み,監査に必要な確証等や監査結果を保存する仕組み,および認定を更新するために必要な監査時期を管理する仕組みを有することを特徴とする。
【0025】
さらに、本発明のセキュリティマネジメント監査に対する支援サービス提供システムは、前記会員制サービスが、監査に必要な知識データベースを利用してセキュリティ監査を実施できることで、セキュリティマネジメント監査の質の低下や監査人の技能レベルに質が左右されることを防ぐことを特徴とする。
【0026】
さらにまた、本発明のセキュリティマネジメント監査に対する支援サービス提供システムは、前記会員制サービスが、監査に必要なIT環境をASP提供,サテライトオフィス機能の提供および関連機器の提供によって実現するため、監査人のIT環境への投資額を削減し、かつ環境整備に必要な工数の削減ができることを特徴とする。
【0027】
一方、本発明のセキュリティマネジメント監査に対する支援サービス提供方法は、セキュリティマネジメント規格等に基づく監査を行うに際して必要となる、予備監査から実地監査に至る調査、それらによって得られる確証等の収集,保管,分析と認証可否の判断するに必要となる支援サービスを、ネットワークを利用した会員制サービスとして提供することを特徴とする。
【0028】
また、本発明のセキュリティマネジメント監査に対する支援サービス提供方法は、前記会員制サービスが、単独の会員がシステムを直接利用できる仕組みだけでなく、複数会員を1つの団体でとりまとめて契約できる仕組みや、複数会員を有する複数組織をとりまとめて契約できる仕組みを有することで、すべてネットワークを介して利用管理を実現することを特徴とする。
【0029】
さらに、本発明のセキュリティマネジメント監査を支援するサービス提供方法は、前記利用管理が、利用に応じて課金する仕組み,個々の監査状況の進捗を管理する仕組み,監査に必要な確証等や監査結果を保存する仕組み,および認定を更新するために必要な監査時期を管理する仕組みを有することを特徴とする。
【0030】
さらにまた、本発明のセキュリティマネジメント監査を支援するサービス提供方法は、前記会員制サービスが、監査に必要な知識データベースを利用してセキュリティ監査を実施できることで、セキュリティマネジメント監査の質の低下や監査人の技能レベルに質が左右されることを防ぐことを特徴とする。
【0031】
また、本発明のセキュリティマネジメント監査を支援するサービス提供方法は、前記知識データベースが、監査人がアセスメント内容やその結果を記録するヒューマンインタフェースを有し、その利用はクライアントの機器にインターネットブラウザのみがあれば、その他の特別なソフトウェアをインストールすること無しに利用できることを特徴とする。
【0032】
さらに、本発明のセキュリティマネジメント監査を支援するサービス提供方法は、前記知識データベースが、各監査人の同意の元に顧客情報を匿名化し監査結果を取り込み、統計処理を行うことができる仕組みを有するため、監査人個人の経験情報以外の情報を監査に利用できることを特徴とする。
【0033】
さらにまた、本発明のセキュリティマネジメント監査を支援するサービス提供方法は、前記知識データベースが、規格策定ないし改版者,有識者,監査を受ける業種業界団体のガイドライン策定ないし改版者等の、監査に間接的に使用するデータが必要となる際に時系列的に最新までの情報を利用できる仕組みを有するため、監査人個人の経験情報以外の情報を監査に利用できることを特徴とする。
【0034】
また、本発明のセキュリティマネジメント監査を支援するサービス提供方法は、前記会員制サービスが、監査に必要なIT環境をASP提供,サテライトオフィス機能の提供および関連機器の提供によって実現するため、監査人のIT環境への投資額を削減し、かつ環境整備に必要な工数の削減が期待できることを特徴とする。
【0035】
さらに、本発明のセキュリティマネジメント監査を支援するサービス提供方法は、前記ASP提供が、監査に必要なデータベース機能の提供,および保存電子ファイル領域の提供を全てオンラインにより実現でき、監査人に必要な情報セキュリティ機能や高度な情報処理機器性能を実現でき、監査人が個人で保有する環境以上の環境を利用できることを特徴とする。
【0036】
さらにまた、本発明のセキュリティマネジメント監査を支援するサービス提供方法は、前記サテライトオフィス機能の提供が、監査結果の印刷に必要な複製防止機能の提供,監査に必要な確証等の電子データをサブセンタサーバに高速にアップロードできる環境の提供,監査の分析過程に必要な規格や関連書籍等の閲覧機能の提供,および上級監査人とのテレビ会議等による相談窓口機能の提供を実現でき、それは監査人自身の事務所の付近でも、監査人の顧客の付近でも監査人の選択で利用可能であることを特徴とする。
【0037】
また、本発明のセキュリティマネジメント監査を支援するサービス提供方法は、前記関連機器の提供が、ASP機能や、監査現場での確証等の収集に利用されるノートパソコン,通信機器,入出力装置等の監査に必要な機器全てを対象とし、その貸し出しと返却は、監査人自身の事務所の付近でも、監査人の顧客の付近でも監査人の選択で選択可能であることを特徴とする。
【0038】
【発明の実施の形態】
以下、本発明の実施の形態について図面を参照して詳細に説明する。
【0039】
図1を参照すると、本発明の第1の実施の形態に係るセキュリティマネジメント監査を支援するサービス提供システムは、監査人を指導するコンサルタントまたは上級監査人が使用する上級監査人使用端末10と、監査人の所属する組織の管理用の監査人所属組織監視端末20と、監査人が使用する監査人使用端末30と、監査人によるアセスメント項目の利用状況や上級監査人によるアセスメント項目の修正状況を収集して課金情報等に変換するASP(ApplicationService Provider)センタ40と、これらを相互に接続するインターネット等のネットワーク50と、監査人による自サブセンタの利用状況を収集して保持するサテライトサブセンタ60と、ASPセンタ40,サテライトサブセンタ60間を接続する専用線等の公衆網70と、監査人使用端末30,サテライトサブセンタ60間を接続するLAN(Local Area Network)80とから、その主要部が構成されている。
【0040】
上級監査人使用端末10は、ASPセンタ40を経由して、監査人が扱う被監査企業に対する監査人の分析結果やコメントを受信し、それに対する上級監査人のコメントを返信する機能と、ASPセンタ40に保持されるアセスメント項目の追加,修正,削除等の保守を行う機能とを有する。
【0041】
監査人所属組織監視端末20は、ASPセンタ40を経由して監査人所属組織監視端末20の組織に所属する監査人の監査進捗状況を収集して社内の人事活動に活用する機能と、ASPセンタ40を経由して監査人所属組織監視端末20の組織に所属する監査人に掛かる課金情報を収集して社内の経理活動に活用する機能とを有する。
【0042】
監査人使用端末30は、会員制サービスにおける監査人の実地監査等に利用するために持ち歩くものであり、ASPセンタ40にデータベース化されているISO規格等の条文検索を利用して被監査企業に説明を加えながら実地監査を行う機能と、ASPセンタ40にデータベース化されているアセスメント項目を利用して被監査企業のアセスメントによる実地監査を行い、結果をASPセンタ40に送信する機能と、被監査企業のアセスメント時に必要となる確証等を自端末に保持し、ASPセンタ40に登録する機能と、ASPセンタ40に保持されているソフトウェア等の監査人自身の端末環境をサテライトサブセンタ60経由でダウンロードする機能と、現状のソフトウェア等の監査人自身の端末環境をサテライトサブセンタ60経由でASPセンタ40にアップロードする機能とを有する。
【0043】
ASPセンタ40は、監査に必要なデータベース機能の提供,および保存電子ファイル領域の提供を全てオンラインにより実現でき、監査人に必要な情報セキュリティ機能や高度な情報処理機器性能を実現でき、監査人が個人で保有する環境以上の環境を利用できる。データベースは、監査人がアセスメント内容やその結果を記録するヒューマンインタフェースを有する知識データベースでなり、その利用はクライアントの機器にインターネットブラウザのみがあれば、その他の特別なソフトウェアをインストールすること無しに利用できる。知識データベースは、各監査人の同意の元に顧客情報を匿名化し監査結果を取り込み、統計処理を行うことができる仕組みを有するため、監査人個人の経験情報以外の情報を監査に利用できる。また、知識データベースは、規格策定ないし改版者,有識者,監査を受ける業種業界団体のガイドライン策定ないし改版者等の、監査に間接的に使用するデータが必要となる際に時系列的に最新までの情報を利用できる仕組みを有するため、監査人個人の経験情報以外の情報を監査に利用できる。
【0044】
図2を参照すると、監査人使用端末30の具体例は、実地監査場所において、ASPセンタ40と接続するためのインターネット等のネットワーク50との接続する機能と、確証等を取得するための機能(イメージスキャナ31,ボイスレコーダ32,デジタルカメラ34等)と、適宜被監査企業に説明事項等を説明ないし記録するときに利用する手書き入力装置(ホワイトボード入力装置,タブレット等)33と、同じく監査人使用端末30の内容をプロジェクタ35等により投影するための機能と、これら実地監査場所で得られた確証等を高速にサテライトサブセンタ60経由でASPセンタ40に保存するために必要なLAN80の接続機能とから構成される。
【0045】
図3を参照すると、サテライトサブセンタ60の具体例は、同サテライトサブセンタ60内で監査人が主に利用するサブセンタ内監査人使用端末61と、ASPセンタ40とのゲートウェイ機能やキャッシュ機能を有するサブセンタサーバ62と、被監査人に提出すべき報告書等の印刷・製本するための監査結果出力装置63と、これらをネットワーク接続するのに必要な通信機器とを備える。
【0046】
本発明のセキュリティマネジメント監査を支援するサービス提供方法は、監査人がセキュリティマネジメント監査の実地監査に必要とするアセスメントやシステム診断を支援するシステムを、ネットワークを利用した会員制サービスとして安価な利用料でツール利用を提供するものである。会員制サービスは、複数の会員が同じシステムを利用できる仕組みとすることや複数のシステム提供者が多くの監査人に提供できるスキームを有することから、相互に選択の自由と競争を持つことでネットワークシステム全体として、品質を高く維持しつつ安価な利用料を実現する。また、会員制サービスは、論理的な機能だけでなく、物理的に必要となる端末や場所の提供を行い、必要に応じて利用環境を高性能に提供し、これらを安価な利用料で提供することができる。さらに、会員制サービスは、監査人以外の事業に対して会員となる監査人に替わって、統合事業者がフランチャイズ機能を有することで、営業活動,経理業務やシステム維持コストから解放されるため、真に機能的なツールや提供機能の開発に注力できる。さらにまた、会員制サービスは、監査人もシステム利用に必要なコストや場所確保から解放されるため、真に機能的な監査の提供に注力できる。
【0047】
また、本発明のセキュリティマネジメント監査を支援するサービス提供方法は、セキュリティマネジメント規格等に基づく監査を行うに際して必要となる、予備監査から実地監査に至る調査、それらによって得られる確証等の収集,保管,分析と認証可否の判断するに必要となる支援サービスを、ネットワークを利用した会員制サービスとして安価な利用料で提供することを可能としたものである。会員制サービスは、単独の会員がシステムを直接利用できる仕組みだけでなく、複数会員を1つの団体でとりまとめて契約できる仕組みや、複数会員を有する複数組織をとりまとめて契約できる仕組みを有することで、すべてネットワークを介して利用管理を実現することで安価な利用料を実現する。利用管理には、利用に応じて課金する仕組み,個々の監査状況の進捗を管理する仕組み,監査に必要な確証等や監査結果を保存する仕組み,および認定を更新するために必要な監査時期を管理する仕組みを有する。また、会員制サービスは、監査に必要な知識データベースを利用してセキュリティ監査を実施できることで、セキュリティマネジメント監査の質の低下や監査人の技能レベルに質が左右されることを防ぐ。
【0048】
さらに、会員制サービスは、監査に必要なIT環境をASP提供,サテライトオフィス機能の提供および関連機器の提供によって実現するため、監査人のIT環境への投資額を削減し、かつ環境整備に必要な工数の削減が期待できる。ASP提供は、監査に必要なデータベース機能の提供,および保存電子ファイル領域の提供を全てオンラインにより実現でき、監査人に必要な情報セキュリティ機能や高度な情報処理機器性能を実現でき、監査人が個人で保有する環境以上の環境を利用できる。サテライトオフィス機能の提供は、監査結果の印刷に必要な複製防止機能の提供,監査に必要な確証等の電子データをサブセンタサーバに高速にアップロードできる環境の提供,監査の分析過程に必要な規格や関連書籍等の閲覧機能の提供,および上級監査人とのテレビ会議等による相談窓口機能の提供を全て実現でき、それは監査人自身の事務所の付近でも、監査人の顧客の付近でも監査人の選択で利用可能である。関連機器の提供は、ASP機能や、監査現場での確証等の収集に利用されるノートパソコン,通信機器,入出力装置等の監査に必要な機器全てを対象とし、その貸し出しと返却は、監査人自身の事務所の付近でも、監査人の顧客の付近でも監査人の選択で選択可能である。さらに、監査人に貸し出される機器に必要となるパラメータ設定等はセンタに管理されていて自動的になされ、返却時には全て消去される。
【0049】
図4は、第1の実施の形態に係るセキュリティマネジメント監査に対する支援サービス提供システムおよび支援サービス提供方法のデータの流れを示す図である。上級監査人,アセスメントツール開発者,セキュリティ技術者,システム診断ツール開発者,監査人使用端末等レンタル業者,ファイリングツール開発業者,地域サテライト運営経営者,および監査支援システムの運営とマネジメント事業者が関連している。これらは全て、ビジネス契約に必要となるフローがフランチャイズ的に整理されている。ただし、これらは電子化されているとは限らず、文書によるものも含むと考えられる。具体的なデータフローとしては、契約金,年会費(または月毎契約金),保守費,システム賃貸料,レンタル・リース料,各種ツール登録・利用維持手数料,各種ワークフロー利用費,経営コンサル費用等があげられる。
【0050】
監査人の利用するアセスメント診断機能は、セキュリティマネジメント監査に必要なアセスメントを進めるのに必要な機能を提供する。これは、アセスメント内容を提供する経験豊かな上級監査人によって生成され、それをシステムに活用するためのツールを提供するアセスメントツール開発者によって生成される。
【0051】
自動システム診断機能は、セキュリティマネジメント監査において必要な監査のうち、主に被監査企業のシステムにネットワーク経由で接続することでリモートにて自動に監査を進めるのに必要な機能を提供する。これは、ネットワークモニタリングやログファイル解析等の各種システムにおける必要な専門セキュリティ技術者によって生成され、それをシステムに活用するためのツールを提供するシステム診断ツール開発者によって生成される。
【0052】
被監査企業の実地監査に必要となる地域サテライト運営機能は、監査人が周辺装置を含み現地で利用する端末機器を貸し出す機能と、実地監査によって得られる各種データを保管管理するのに必要な監査人固有ファイルリング機能と、監査結果を報告書として印刷・製本するレポート出力機能と、これをすべて実地監査場所あるいは監査人の拠点に近い場所で利用できるようにサテライトオフィス機能を提供する。これら全体のシステムアーキテクチャの維持や、各関係者における金銭処理の運営等を統括する機能が必要であり、これは監査支援システムの運営とマネジメント事業者によって提供される。
【0053】
次に、このように構成された第1の実施の形態に係るセキュリティマネジメント監査に対する支援サービス提供システムおよび支援サービス提供方法の動作について説明する。
【0054】
(1) 上級監査人使用端末10←(ネットワーク50)→ASPセンタ40(図1参照)
【0055】
上級監査人使用端末10は、ASPセンタ40を経由して、監査人が扱う被監査企業に対する監査人の分析結果やコメントを受信し、それに対する上級監査人のコメントを返信する。
【0056】
上級監査人使用端末10は、ASPセンタ40に保持される、アセスメント(質問)項目の追加,修正,削除等の保守を行う。
【0057】
上級監査人使用端末10は、ASPセンタ40に保持される、アセスメント(問題点)項目の追加,修正,削除の保守を行う。
【0058】
ASPセンタ40は、監査人によるアセスメント項目の利用状況や、上級監査人使用端末10によるアセスメント項目の修正状況を収集し、課金情報等に変換する。
【0059】
(2) 監査人所属組織監視端末20←(ネットワーク50)→ASPセンタ40(図1参照)
【0060】
監査人所属組織監視端末20は、ASPセンタ40を経由して、監査人所属組織監視端末20の組織に所属する監査人の監査進捗状況を収集して社内の人事活動に活用する。
【0061】
監査人所属組織監視端末20は、ASPセンタ40を経由して、監査人所属組織監視端末20の組織に所属する監査人に掛かる課金情報を収集して社内の経理活動に活用する。
【0062】
(3) 監査人使用端末30←(ネットワーク50)→ASPセンタ40(図1参照)
【0063】
監査人使用端末30は、ASPセンタ40にデータベース化されている、ISO規格等の条文検索を利用して被監査企業に説明を加えながら実地監査を行う。
【0064】
監査人使用端末30は、ASPセンタ40にデータベース化されている、アセスメント(質問)項目を利用して被監査企業のアセスメントによる実地監査を行い、結果をASPセンタ40に送信する。
【0065】
監査人使用端末30は、被監査企業のアセスメント時に気がついた点を、アセスメント(問題点)項目に追加を行い、結果をASPセンタ40に送信する。
【0066】
監査人使用端末30は、被監査企業のアセスメント時に必要となる確証等を自端末に保持してASPセンタ40に登録する。(詳細は図2および図3で説明する。)
【0067】
(4) 監査人使用端末30←(LAN80)→サテライトサブセンタ60(図1参照)
【0068】
監査人使用端末30は、ASPセンタ40に保持されているソフトウェア等の監査人自身の端末環境をサテライトサブセンタ60経由でダウンロードする。
【0069】
監査人使用端末30は、現状のソフトウェア等の監査人自身の端末環境をサテライトサブセンタ60経由でASPセンタ40にアップロードする。
【0070】
サテライトサブセンタ60は、監査人によるサテライトサブセンタ60の利用状況を収集して保持する。
【0071】
監査人使用端末30は、被監査企業のアセスメント時に必要となる確証等を自端末に保持し、サテライトサブセンタ60センタに登録する。(詳細は図2および図3で説明する。)
【0072】
(5) ASPセンタ40←(公衆網70)→サテライトサブセンタ60(図2および図3参照)
【0073】
ASPセンタ40は、監査人毎にサテライトサブセンタ60の利用状況を収集し、課金・支払い情報等に変換する。
【0074】
ASPセンタ40は、サテライトサブセンタ60での端末レンタル業務フローとサテライト環境の賃貸業務フローを提供する。
【0075】
(6) 監査人使用端末30←(ネットワーク50)→ASPセンタ40(図2および図3参照)
【0076】
監査人使用端末30は、アセスメントや条文検索に利用する。(詳細は図1で説明した。)
【0077】
(7) ASPセンタ40←(LAN80)→サブセンタサーバ62←(LAN80)→サブセンタ内監査人使用端末61←(LAN80)→監査人使用端末30←(LAN80)→被監査対象システム(図3参照)
【0078】
現地監査において、被監査対象システムのLANまたはインターネット等のネットワークを通したシステム監査を行い、その結果を収集するのに利用する。(ASPセンタ40からは、システムログやシステム環境に関するシステム情報収集プログラムや、ネットワークモニタ等の監視プログラムが配信される。)
【0079】
現地監査において、被監査企業の電話や部屋入退出等を通してソーシャルエンジニアリング的なセキュリティ監査を行い、その結果を収集するのに利用する。(ASPセンタ40からは、ソーシャルエンジニアリング台本が出力される。)
【0080】
利用に当たっては、監査人のIDおよびパスワードによるASPセンタ40の認証が必要である。
【0081】
ASPセンタ40においては、監査人の利用状況を収集し、課金情報に活用する。
【0082】
(8) ASPセンタ40←(LAN80)→サブセンタサーバ62←(LAN80)→サブセンタ内監査人使用端末61←(LAN80)→監査人使用端末30←(インタフェース)→イメージスキャナ31(図3参照)
【0083】
イメージスキャナ31は、現地監査において、確証等として利用する被監査企業の書類や図面データを収集するのに利用する。
【0084】
利用に当たっては、監査人のIDおよびパスワードによるASPセンタ40の認証が必要である。
【0085】
ASPセンタ40においては、監査人の利用状況を収集し、課金情報に活用する。
【0086】
(9) ASPセンタ40←(公衆網70)→サブセンタサーバ62←(LAN80)→サブセンタ内監査人使用端末61←(LAN80)→監査人使用端末30←(インタフェース)→ボイスレコーダ32(図3参照)
【0087】
ボイスレコーダ32は、現地監査において、確証等として利用する被監査企業の社員等の音声データを収集するのに利用する。
【0088】
利用に当たっては、監査人のIDおよびパスワードによるASPセンタ40の認証が必要である。
【0089】
ASPセンタ40においては、監査人の利用状況を収集し、課金情報に活用する。
【0090】
(10) ASPセンタ40←(公衆網70)→サブセンタサーバ62←(LAN80)→サブセンタ内監査人使用端末61←(LAN80)→監査人使用端末30←(インタフェース)→手書き入力装置33(図3参照)
【0091】
手書き入力装置33は、現地監査において、確証等として利用する被監査企業にて交換したメモ書きを収集するのに利用する。
【0092】
現地監査において、確証等として収集したデータ(全て)を被監査企業に対して確認する際に(プロジェクタと共に)利用する。利用に当たっては、監査人のIDおよびパスワードによるASPセンタ40の認証が必要である。
【0093】
ASPセンタ40においては、監査人の利用状況を収集し、課金情報に活用する。
【0094】
(11) ASPセンタ40←(公衆網70)→サブセンタサーバ62←(LAN80)→サブセンタ内監査人使用端末61←(LAN80)→監査人使用端末30←(インタフェース)→デジタルカメラ34(図3参照)
【0095】
デジタルカメラ34は、現地監査において、確証等として利用する被監査企業の画像データを収集するのに利用する。
【0096】
利用に当たっては、監査人のIDおよびパスワードによるASPセンタ40の認証が必要である。
【0097】
ASPセンタ40においては、監査人の利用状況を収集し、課金情報に活用する。
【0098】
(12) ASPセンタ40←(ネットワーク50)→監査人使用端末30←(インタフェース)→プロジェクタ35(図2参照)
【0099】
プロジェクタ35は、現地監査において、アセスメント項目や規格条文の説明を被監査企業に対して示すのに利用する。また、現地監査において、確証等として収集したデータを被監査企業に対して確認するのに利用する。さらに、現地監査の結果報告において、分析結果やレポート内容の説明を被監査企業に対して示すのに利用する。
【0100】
利用に当たっては、監査人のIDおよびパスワードによるASPセンタ40の認証が必要である。
【0101】
ASPセンタ40においては、監査人の利用状況を収集し、課金情報に活用する。
【0102】
(13) サブセンタ内監査人使用端末61←(LAN80)→サブセンタサーバ62←(LAN80)→監査結果出力装置63(図3参照)
【0103】
監査結果出力装置63は、現地監査の結果報告において、被監査企業に対して配布される報告書等を印刷する。報告書等は、サテライトサブセンタ60内にてすかし機能(コピーすると印字対象物以外のイメージ等が浮きでる仕組み等)を入れ込まないと印刷できない。
【0104】
利用に当たっては、監査人のIDおよびパスワードによるASPセンタ40の認証が必要である。
【0105】
ASPセンタ40においては、監査人の利用状況を収集し、課金情報に活用する。
【0106】
収集するデータは全て、現地において一時的に監査人使用端末30に蓄えられるが、サテライトサブセンタ60内にてサブセンタ内監査人使用端末61を介して、最終的にはASPセンタ40に格納される。(この際、監査人使用端末30を紛失してもデータは漏洩しない仕組みや、サブセンタ内監査人使用端末61にキャッシュされない仕組み等により、セキュアな環境が提供されることが望ましい。)
【0107】第1の実施の形態によれば、監査に必要となる知識データがいつでも最新状態で利用可能となり、監査手順,監査手法,監査分析等の監査に必要となる情報はシステムにある程度委ねることができ、監査人の育成や監査人の作業に対して省力化だけでなく底上げ的な均質化が可能となる。
【0108】また、監査人を使用する組織は本システムを利用して、監査人毎の活動状況,各顧客に対する進捗状況,監査人が使用した経費の管理,その組織に所属する監査人の諸データを内部監査することや組織としての知識データベース化することが、簡単に可能となる。
【0109】さらに、各顧客や各監査人の承諾を前提に全ての監査データを統計データとして組織を超えて利用可能とすることができ、より納得性の高い監査結果を得やすくなる。
【0110】さらにまた、監査に必要となる関連機器を常に高いレベルで共有利用することができ、かつ各機器の個別設定も貸し出し前にされ、返却時は完全にASPセンタ40にバックアップ後に消去されることから、常にセキュリティも保たれる。
【0111】
【実施例】
次に、第1の実施の形態に係るセキュリティマネジメント監査に対する支援サービス提供システムおよび支援サービス提供方法を利用した企業監査の実施例を、図1〜図4および図5〜図11のフローチャートを参照しながら説明する。
【0112】
例えば、監査人は埼玉県さいたま市に居住し、監査人の所属する監査企業は東京都港区に事務所があり、今回の被監査企業は栃木県宇都宮市にあり、今回利用するサテライトサブセンタ60は栃木県宇都宮市にあるような場合を想定することができる。
【0113】
監査は、一般的に、事前監査,実地監査,結果通知の手順を踏む。ただし、本業務フローには、監査前後の営業活動等は含まない。
【0114】
(1) サテライトサブセンタ60とレンタル会社/地域コンサルタントの契約と利用登録(図5参照)
【0115】
レンタル会社と各サテライトサブセンタ60とは、個別に契約を行い、データベースに登録する(ステップS101)。
【0116】
地域コンサルタントと各サテライトサブセンタとは個別に契約を行い、データベースに登録する(ステップS102)。
【0117】
(2) 監査企業によるASPセンタ40の利用契約と監査人の利用登録と監視(図6参照)
【0118】
まず、契約形態を決めて契約を交わす(オンラインでもオフラインでも可)(ステップS201)。詳しくは、課金条件やサポート形式等の契約形態を決めて契約を交わす。また、初期登録スタッフおよび初期登録監査人を登録依頼する。
【0119】
次に、ASPセンタ40は、監査企業データベースにレコードを追加する(ステップS202)。詳しくは、監査企業を監査企業データベースに登録する。また、初期登録スタッフをスタッフデータベースに登録する。さらに、初期登録監査人を監査人データベースに登録する。
【0120】
続いて、監査企業スタッフは、担当する監査人を登録する(ステップS203)。詳しくは、担当監査人をスタッフデータベースに登録する。また、担当する監査人のASP利用可を監査人データベースに登録する。さらに、担当する監査人のASP利用履歴ログを定期的に監視する。
【0121】
(3) 監査人による監査準備と事前監査(図7参照)
【0122】
まず、監査人は、ADSL(Asymmetric Digital Subscriber Line)に接続された自宅パーソナルコンピュータでASPセンタ40に接続する(ステップS301)。
【0123】
次に、監査人は、ICカードで認証を行う(ステップS302)。詳しくは、ICカードには電子証明書が入っており、認証だけでなく、その後の通信は暗号化される。また、利用開始時間,ログイン経路(サテライト/直接)がASPセンタ40に登録されチェックされる。さらに、契約形態,業務進捗状況,監査企業等からの連絡が通知される。さらにまた、ポータル画面を表示する。
【0124】
続いて、監査人は、新規被監査企業情報を入力する(ステップS303)。詳しくは、被監査企業データベースに必要事項を登録する。
【0125】
次に、監査人は、事前監査を開始する(ステップS304)。詳しくは、ドキュメントデータベースサーバ機能を利用し過去の同様資料を基に作成する。また、被監査企業に対する事前監査がASPセンタ40のワークフロー機能を利用して電子メール等で行われる。
【0126】
(4) 監査人による事前監査と実地監査準備(図8参照)
【0127】
まず、ASPセンタ40から進捗状況が監査人の携帯電話機に通知される(ステップS401)。詳しくは、ASPセンタ40は、監査人に代わって、定期的に被監査企業にフォローを入れるが、その承認を携帯電話機に携帯電話メールで求める。また、ASPセンタ40に被監査企業から事前監査に必要な資料等が配送されたことが監査人携帯電話機に携帯電話メールで通知される。
【0128】
次に、監査人は、ADSLに接続された自宅パーソナルコンピュータでASPセンタ40に接続する(ステップS402)。
【0129】
続いて、監査人は、ICカードで認証を行う(ステップS403)。詳しくは、ICカードには電子証明書が入っており、認証だけでなく、その後の通信は暗号化される。また、利用開始時間,ログイン経路(サテライト/直接)がASPセンタ40に登録されチェックされる。さらに、契約形態,業務進捗状況,監査企業等からの連絡が通知される。さらにまた、ポータル画面を表示する。
【0130】
次に、監査人は、事前監査を開始する(ステップS404)。詳しくは、ポータル画面から事前監査待ちを選択してASPセンタ40を利用した事前監査に入る。また、ドキュメントデータベースサーバ機能を利用して被監査企業からの提出資料を確認する。さらに、ASPセンタ40が提供する、監査ガイドラインに沿って提出資料を監査する。さらにまた、不足や問題資料があれば、修正点をドキュメント毎にコメントすると、ASPセンタ40の機能で「事前監査の開始」に戻る。また、不足資料があれば、「事前監査の開始」に戻る。
【0131】
続いて、監査人は、事前監査を終了し、合格であれば実地監査の日時選定を通知する(ステップS405)。詳しくは、被監査企業に対して事前監査結果がASPセンタ40のワークフロー機能を利用して電子メール等で行われる。また、合格の場合は、被監査企業に対して実地監査日程の打診等がASPセンタ40のワークフロー機能を利用して行われる。
【0132】
(5) 監査人による監査準備と実地監査(図9参照)
【0133】
まず、監査人は、ADSLに接続された自宅パーソナルコンピュータでASPセンタ40に接続する(ステップS501)。
【0134】
次に、監査人は、ICカードで認証を行う(ステップS502)。詳しくは、ICカードには電子証明書が入っており、認証だけでなく、その後の通信は暗号化される。また、利用開始時間,ログイン経路(サテライト/直接)がASPセンタ40に登録されチェックされる。さらに、契約形態,業務進捗状況,監査企業等からの連絡が通知される。さらにまた、ポータル画面を表示する。
【0135】
続いて、監査人は、実地監査の訪問計画を立てる(ステップS503)。詳しくは、被監査企業データベースを参考に、サテライトサブセンタ60が抽出される。また、実地監査スケジュールにあわせて、現地監査で利用するレンタル品の手配を行う(ワークフロー支援も有り)。さらに、実地監査前後のスケジュールにあわせて、地域コンサルタントとのミーティングのセッティングを行う(ワークフロー支援も有り)。さらにまた、アセスメント対象者の情報を入力しワークフローでアセスメント計画を立案する。また、アセスメント対象者毎にASPセンタ40で自動生成されるアセスメント項目をチェックする。
【0136】
次に、サテライトサブセンタ60による監査人受け入れ準備する(ステップS504)。詳しくは、ASPセンタ40経由で要求される監査人利用要求に対して、可否を回答後受け入れ準備を行う。また、ASPセンタ40経由で要求される監査人のレンタル品貸し出し要求に対して、レンタル会社に手配を行う。さらに、レンタル品の確保ができたならば、セットアップや監査人利用アプリケーションプログラム環境を構築する。さらにまた、ASPセンタ40経由で要求される監査人と地域コンサルタントのミーティングのアレンジを行う。また、ASPセンタ40経由でワークフローに従い監査人に携帯電話メール等を利用して準備完了の通知を行う
【0137】
続いて、監査人は、サテライトサブセンタ60に行き監査準備をする(ステップS505)。詳しくは、ICカードでサテライトサブセンタ60の受付で利用承認をとる。また、サテライトサブセンタ60にて、地域コンサルタントとの打合せ,およびレンタル品の動作確認を行う。さらに、サテライトサブセンタ60経由で、事前監査結果や最新の現地監査ノウハウ等の情報をASPセンタ40から監査人使用端末30にダウンロードする。
【0138】
次に、監査人は、被監査企業に行き実地監査する(ステップS506)。詳しくは、監査人使用端末30でPHS(Personal Handyphone System)経由でASPセンタ40に接続し、アセスメントを開始する。また、監査人使用端末30でPHS経由でASPセンタ40に接続し、被監査企業からの質問を登録および検索して得られる結果を答える。さらに、現地にて入手する確証等は監査人使用端末30内に保存される(イメージスキャナ31/デジタルカメラ34/ボイスレコーダ32等)。さらにまた、監査人使用端末30でPHS経由でASPセンタ40に接続し、簡易的にASPンタ40にて自動生成される結果を報告する。
【0139】
続いて、監査人は、サテライトサブセンタ60に行き監査結果の保存および確認をする(ステップS507)。詳しくは、ICカードでサテライトサブセンタ60の受付で利用承認をとる。また、サテライトサブセンタ60経由で、監査人使用端末30にダウンロードされた被監査企業の確証等の情報をASPセンタ40にアップロードする。さらに、サテライトサブセンタ60にて、レンタル品の返却を行う。
【0140】
次に、ASPセンタ40による最終自動監査する(ステップS508)。詳しくは、ASPセンタ40は、ワークフローに基づいて、必要に応じて上級監査人による査閲を得たうえで、監査を行う。また、ASPセンタ40は、ワークフローに従い監査人に携帯電話メール等を利用して準備完了の通知を行う。
【0141】
続いて、監査人は、ADSLに接続された自宅パーソナルコンピュータでASPセンタ40に接続する(ステップS509)。
【0142】
次に、監査人は、ICカードで認証を行う(ステップS510)。詳しくは、ICカードには電子証明書が入っており、認証だけでなく、その後の通信は暗号化される。また、利用開始時間,ログイン経路(サテライト経由/直接)がASPセンタ40に登録されチェックされる。さらに、契約形態,業務進捗状況,監査企業等からの連絡が通知される。さらにまた、ポータル画面を表示する。
【0143】
続いて、監査人は、実地監査の最終判断を行う(ステップS510)。詳しくは、ASPセンタ40の最終自動監査の結果を参考に最終判断を行う。また、ASPセンタ40の最終自動監査と異なる結果については、ASPセンタ40の有する上級監査人とのミーティングを要するか否かを参考に最終判断を行う(サテライトサブセンタ60における地域コンサルタントとのアレンジと同様)。さらに、被監査企業への監査結果報告書を作成し登録する(報告書はASPセンタ40にて印字され自動配送するか、監査人がサテライトサブセンタ60で印字製本して持参するかは選択可能)。
【0144】
(6) ASPセンタ40(サテライトサブセンタ60を含む)による課金処理等(上記とは独立して随時実施)(図10参照)
【0145】
まず、サテライトサブセンタ60は、監査人の利用ログ,地域コンサルタントやレンタル品利用の利用結果を分析し、ASPセンタ40に通知する(ステップS601)。
【0146】
次に、ASPセンタ40は、監査人の利用ログ,スタッフの利用ログを分析し、かつサテライトサブセンタ60からの請求を元に課金処理を行う(ステップS602)。
【0147】
続いて、ASPセンタ40は、上記結果を監査人毎に行い、契約形態を元に監査人企業毎に課金処理を行う(ステップS603)。
【0148】
次に、ASPセンタ40は、請求書発行,振込み確認,領収書発行,サテライトサブセンタ60への支払い等を行う(ステップS604)。
【0149】
(7) サテライトサブセンタ60による課金処理等(上記とは独立して随時実施)(図11参照)
【0150】
まず、サテライトサブセンタ60は、監査人の利用ログ,地域コンサルタントやレンタル品利用の利用結果を分析する(ステップS701)。
【0151】
次に、サテライトサブセンタ60は、地域コンサルタント毎に課金処理を行う(ステップS702)。
【0152】
続いて、サテライトサブセンタ60は、レンタル会社毎に課金処理を行う(ステップS703)。
【0153】
次に、サテライトサブセンタ60は、請求書発行,振込み確認,領収書発行,上記への支払い等を行う(ステップS704)。
【0154】
【発明の効果】第1の効果は、監査に必要となる知識データがいつでも最新状態で利用可能となり、監査手順,監査手法,監査分析等の監査に必要となる情報はシステムにある程度委ねることができ、監査人の育成や監査人の作業に対して省力化だけでなく底上げ的な均質化が可能となることである。
【0155】第2の効果は、監査人を使用する組織は本システムを利用して、監査人毎の活動状況,各顧客に対する進捗状況,監査人が使用した経費の管理,その組織に所属する監査人の諸データを内部監査することや組織としての知識データベース化することが、簡単に可能となることである。
【0156】第3の効果は、各顧客や各監査人の承諾を前提に全ての監査データを統計データとして組織を超えて利用可能とすることができ、より納得性の高い監査結果を得やすくなることである。
【0157】第4の効果は、監査に必要となる関連機器を常に高いレベルで共有利用することができ、かつ各機器の個別設定も貸し出し前にされ、返却時は完全にセンタにバックアップ後に消去されることから、常にセキュリティも保たれることである。
【0158】
第5の効果は、監査に利用されるあるいは利用されたアセスメントデータはどのバージョンを利用して、その差分がどのように監査結果に影響するか、振り返って新バージョンを適用する必要があるか否か等の検討がセキュリティ監査において重要であるが、これまでの監査人個人の経験や知識による監査に比べ非常に簡単になることである。その理由は、セキュリティ関連規格は情報関連の利用方法等に関する規格であるので、その条文や解釈は日進月歩で変化するが、本発明では、データベースのアップデータ機能および履歴管理機能を利用し複数回同一企業を監査することで、監査人が別であってもこれらの検討が高品位に実施可能になるからである。
【図面の簡単な説明】
【図1】本発明の第1の実施の形態に係るセキュリティマネジメント監査に対する支援サービス提供システムの構成を示すブロック図である。
【図2】図1中の監査人使用端末の具体的機能を説明する図である。
【図3】図1中のサテライトサブセンタの具体的機能を説明する図である。
【図4】第1の実施の形態に係るセキュリティマネジメント監査に対する支援サービス提供システムにおけるデータの流れを説明する図である。
【図5】実施例におけるサテライトサブセンタとレンタル会社/地域コンサルタントの契約と利用登録の処理手順を示すフローチャートである。
【図6】実施例における監査企業によるASPセンタの利用契約と監査人の利用登録と監視の処理手順を示すフローチャートである。
【図7】実施例における監査人による監査準備と事前監査の処理手順を示すフローチャートである。
【図8】実施例における監査人による事前監査と実地監査準備の処理手順を示すフローチャートである。
【図9】実施例における監査人による監査準備と実地監査の処理手順を示すフローチャートである。
【図10】実施例におけるASPセンタによる課金処理等の処理手順を示すフローチャートである。
【図11】実施例におけるサテライトサブセンタによる課金処理等の処理手順を示すフローチャートである。
【符号の説明】
10 上級監査人使用端末
20 監査人所属組織監視端末
30 監査人使用端末
31 イメージスキャナ
32 ボイスレコーダ
33 手書き入力装置
34 デジタルカメラ
35 プロジェクタ
40 ASPセンタ
50 ネットワーク
60 サテライトサブセンタ
61 サブセンタ内監査人使用端末
62 サブセンタサーバ
63 監査結果出力装置
70 公衆網
80 LAN

Claims (27)

  1. 監査人が使用する監査人使用端末と、
    前記監査人使用端末を用いた監査人による自サブセンタの利用状況を収集して保持するサテライトサブセンタと、
    監査人を指導するコンサルタントまたは上級監査人が使用する上級監査人使用端末と、
    監査人の所属する組織の管理用の監査人所属組織監視端末と、
    前記監査人使用端末,前記上級監査人使用端末および前記監査人所属組織監視端末とインターネット等のネットワークを介して接続され、かつ前記サテライトサブセンタと専用線等の公衆網を介して接続され、前記監査人使用端末によるアセスメント項目の利用状況や前記上級監査人使用端末によるアセスメント項目の修正状況を収集して課金情報等に変換するASPセンタと
    を有することを特徴とするセキュリティマネジメント監査に対する支援サービス提供システム。
  2. 前記監査人使用端末が、前記ASPセンタにデータベース化されているISO規格等の条文検索を利用して被監査企業に説明を加えながら実地監査を行う機能と、前記ASPセンタにデータベース化されているアセスメント項目を利用して被監査企業のアセスメントによる実地監査を行い、結果を前記ASPセンタに送信する機能と、被監査企業のアセスメント時に必要となる確証等を自端末に保持し、前記ASPセンタに登録する機能と、前記ASPセンタに保持されているソフトウェア等の監査人自身の端末環境を前記サテライトサブセンタ経由でダウンロードする機能と、現状のソフトウェア等の監査人自身の端末環境を前記サテライトサブセンタ経由で前記ASPセンタにアップロードする機能とを有することを特徴とする請求項1記載のセキュリティマネジメント監査に対する支援サービス提供システム。
  3. 前記監査人使用端末が、実地監査場所において、前記ASPセンタと接続するためのインターネット等のネットワークと接続する接続手段と、確証等を取得するためのイメージスキャナ,ボイスレコーダ,デジタルカメラ等と、適宜被監査企業に説明事項等を説明ないし記録するときに利用するホワイトボード入力装置,タブレット等と、前記監査人使用端末の内容を投影するためのプロジェクタ等への接続手段と、実地監査場所で得られた確証等を高速に前記サテライトサブセンタ経由で前記ASPセンタに保存するためのLANへの接続手段とを備えることを特徴とする請求項1または請求項2記載のセキュリティマネジメント監査に対する支援サービス提供システム。
  4. 前記サテライトサブセンタが、同サテライトサブセンタ内で監査人が主に利用するサブセンタ内監査人使用端末と、前記ASPセンタとのゲートウェイ機能やキャッシュ機能を有するサブセンタサーバと、被監査人に提出すべき報告書等の印刷・製本するための監査結果出力装置と、これらをネットワーク接続するのに必要な通信機器とを備えることを特徴とする請求項1記載のセキュリティマネジメント監査に対する支援サービス提供システム。
  5. 前記サテライトサブセンタが、サテライトオフィス機能を備え、監査結果の印刷に必要な複製防止機能の提供,監査に必要な確証等の電子データをサブセンタサーバに高速にアップロードできる環境の提供,監査の分析過程に必要な規格や関連書籍等の閲覧機能の提供,および上級監査人とのテレビ会議等による相談窓口機能の提供を実現でき、監査人自身の事務所の付近でも、監査人の顧客の付近でも監査人の選択で利用可能であることを特徴とする請求項1または請求項4記載のセキュリティマネジメント監査に対する支援サービス提供システム。
  6. 前記サテライトサブセンタが、関連機器のレンタルを行い、ASP機能や、監査現場での確証等の収集に利用されるノートパソコン,通信機器,入出力装置等の監査に必要な機器全てを対象とし、その貸し出しと返却は、監査人自身の事務所の付近でも、監査人の顧客の付近でも監査人の選択で選択可能であることを特徴とする請求項1記載のセキュリティマネジメント監査に対する支援サービス提供システム。
  7. 前記上級監査人使用端末が、前記ASPセンタを経由して、監査人が扱う被監査企業に対する監査人の分析結果やコメントを受信し、それに対する上級監査人のコメントを返信する機能と、前記ASPセンタに保持されるアセスメント項目の追加,修正,削除等の保守を行う機能とを有することを特徴とする請求項1記載のセキュリティマネジメント監査に対する支援サービス提供システム。
  8. 前記監査人所属組織監視端末が、前記ASPセンタを経由して当該監査人所属組織監視端末の組織に所属する監査人の監査進捗状況を収集して社内の人事活動に活用する機能と、前記ASPセンタを経由して当該監査人所属組織監視端末の組織に所属する監査人に掛かる課金情報を収集して社内の経理活動に活用する機能とを有することを特徴とする請求項1記載のセキュリティマネジメント監査に対する支援サービス提供システム。
  9. 前記ASPセンタが、監査に必要なデータベース機能の提供,および保存電子ファイル領域の提供を全てオンラインにより実現でき、監査人に必要な情報セキュリティ機能や高度な情報処理機器性能を実現でき、監査人が個人で保有する環境以上の環境を利用できることを特徴とする請求項1記載のセキュリティマネジメント監査に対する支援サービス提供システム。
  10. 前記データベースが、監査人がアセスメント内容やその結果を記録するヒューマンインタフェースを有する知識データベースでなり、その利用はクライアントの機器にインターネットブラウザのみがあれば、その他の特別なソフトウェアをインストールすること無しに利用できることを特徴とする請求項9記載のセキュリティマネジメント監査に対する支援サービス提供システム。
  11. 前記知識データベースが、各監査人の同意の元に顧客情報を匿名化し監査結果を取り込み、統計処理を行うことができる仕組みを有するため、監査人個人の経験情報以外の情報を監査に利用できることを特徴とする請求項10記載のセキュリティマネジメント監査に対する支援サービス提供システム。
  12. 前記知識データベースが、規格策定ないし改版者,有識者,監査を受ける業種業界団体のガイドライン策定ないし改版者等の、監査に間接的に使用するデータが必要となる際に時系列的に最新までの情報を利用できる仕組みを有するため、監査人個人の経験情報以外の情報を監査に利用できることを特徴とする請求項10記載のセキュリティマネジメント監査に対する支援サービス提供システム。
  13. 前記セキュリティマネジメント監査に対する支援サービス提供システムが、会員制サービスとして、単独の会員がシステムを直接利用できる仕組みだけでなく、複数会員を1つの団体でとりまとめて契約できる仕組みや、複数会員を有する複数組織をとりまとめて契約できる仕組みを有することで、すべてネットワークを介して利用管理を実現することを特徴とする請求項1記載のセキュリティマネジメント監査に対する支援サービス提供システム。
  14. 前記会員制サービスが、利用管理のために、利用に応じて課金する仕組み,個々の監査状況の進捗を管理する仕組み,監査に必要な確証等や監査結果を保存する仕組み,および認定を更新するために必要な監査時期を管理する仕組みを有することを特徴とする請求項13記載のセキュリティマネジメント監査に対する支援サービス提供システム。
  15. 前記会員制サービスが、監査に必要な知識データベースを利用してセキュリティ監査を実施できることで、セキュリティマネジメント監査の質の低下や監査人の技能レベルに質が左右されることを防ぐことを特徴とする請求項13記載のセキュリティマネジメント監査に対する支援サービス提供システム。
  16. 前記会員制サービスが、監査に必要なIT環境をASP提供,サテライトオフィス機能の提供および関連機器の提供によって実現するため、監査人のIT環境への投資額を削減し、かつ環境整備に必要な工数の削減ができることを特徴とする請求項13記載のセキュリティマネジメント監査に対する支援サービス提供システム。
  17. セキュリティマネジメント規格等に基づく監査を行うに際して必要となる、予備監査から実地監査に至る調査、それらによって得られる確証等の収集,保管,分析と認証可否の判断するに必要となる支援サービスを、ネットワークを利用した会員制サービスとして提供することを特徴とするセキュリティマネジメント監査に対する支援サービス提供方法。
  18. 前記会員制サービスが、単独の会員がシステムを直接利用できる仕組みだけでなく、複数会員を1つの団体でとりまとめて契約できる仕組みや、複数会員を有する複数組織をとりまとめて契約できる仕組みを有することで、すべてネットワークを介して利用管理を実現することを特徴とする請求項17記載のセキュリティマネジメント監査を支援するサービス提供方法。
  19. 前記利用管理が、利用に応じて課金する仕組み,個々の監査状況の進捗を管理する仕組み,監査に必要な確証等や監査結果を保存する仕組み,および認定を更新するために必要な監査時期を管理する仕組みを有することを特徴とする請求項18記載のセキュリティマネジメント監査を支援するサービス提供方法。
  20. 前記会員制サービスが、監査に必要な知識データベースを利用してセキュリティ監査を実施できることで、セキュリティマネジメント監査の質の低下や監査人の技能レベルに質が左右されることを防ぐことを特徴とする請求項17記載のセキュリティマネジメント監査を支援するサービス提供方法。
  21. 前記知識データベースが、監査人がアセスメント内容やその結果を記録するヒューマンインタフェースを有し、その利用はクライアントの機器にインターネットブラウザのみがあれば、その他の特別なソフトウェアをインストールすること無しに利用できることを特徴とする請求項20記載のセキュリティマネジメント監査を支援するサービス提供方法。
  22. 前記知識データベースが、各監査人の同意の元に顧客情報を匿名化し監査結果を取り込み、統計処理を行うことができる仕組みを有するため、監査人個人の経験情報以外の情報を監査に利用できることを特徴とする請求項20記載のセキュリティマネジメント監査を支援するサービス提供方法。
  23. 前記知識データベースが、規格策定ないし改版者,有識者,監査を受ける業種業界団体のガイドライン策定ないし改版者等の、監査に間接的に使用するデータが必要となる際に時系列的に最新までの情報を利用できる仕組みを有するため、監査人個人の経験情報以外の情報を監査に利用できることを特徴とする請求項20記載のセキュリティマネジメント監査を支援するサービス提供方法。
  24. 前記会員制サービスが、監査に必要なIT環境をASP提供,サテライトオフィス機能の提供および関連機器の提供によって実現するため、監査人のIT環境への投資額を削減し、かつ環境整備に必要な工数の削減が期待できることを特徴とする請求項20記載のセキュリティマネジメント監査を支援するサービス提供方法。
  25. 前記ASP提供が、監査に必要なデータベース機能の提供,および保存電子ファイル領域の提供を全てオンラインにより実現でき、監査人に必要な情報セキュリティ機能や高度な情報処理機器性能を実現でき、監査人が個人で保有する環境以上の環境を利用できることを特徴とする請求項24記載のセキュリティマネジメント監査を支援するサービス提供方法。
  26. 前記サテライトオフィス機能の提供が、監査結果の印刷に必要な複製防止機能の提供,監査に必要な確証等の電子データをサブセンタサーバに高速にアップロードできる環境の提供,監査の分析過程に必要な規格や関連書籍等の閲覧機能の提供,および上級監査人とのテレビ会議等による相談窓口機能の提供を実現でき、それは監査人自身の事務所の付近でも、監査人の顧客の付近でも監査人の選択で利用可能であることを特徴とする請求項24記載のセキュリティマネジメント監査を支援するサービス提供方法。
  27. 前記関連機器の提供が、ASP機能や、監査現場での確証等の収集に利用されるノートパソコン,通信機器,入出力装置等の監査に必要な機器全てを対象とし、その貸し出しと返却は、監査人自身の事務所の付近でも、監査人の顧客の付近でも監査人の選択で選択可能であることを特徴とする請求項24記載のセキュリティマネジメント監査を支援するサービス提供方法。
JP2002326196A 2002-11-11 2002-11-11 セキュリティマネジメント監査に対する支援サービス提供システムおよび支援サービス提供方法 Pending JP2004164041A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2002326196A JP2004164041A (ja) 2002-11-11 2002-11-11 セキュリティマネジメント監査に対する支援サービス提供システムおよび支援サービス提供方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2002326196A JP2004164041A (ja) 2002-11-11 2002-11-11 セキュリティマネジメント監査に対する支援サービス提供システムおよび支援サービス提供方法

Publications (1)

Publication Number Publication Date
JP2004164041A true JP2004164041A (ja) 2004-06-10

Family

ID=32805164

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2002326196A Pending JP2004164041A (ja) 2002-11-11 2002-11-11 セキュリティマネジメント監査に対する支援サービス提供システムおよび支援サービス提供方法

Country Status (1)

Country Link
JP (1) JP2004164041A (ja)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2014196031A1 (ja) * 2013-06-05 2014-12-11 株式会社日立システムズ ポータルサイトの利用実績収集システム
JP2018088044A (ja) * 2016-11-28 2018-06-07 エヌ・ティ・ティ・コムウェア株式会社 監査支援装置、監査支援システム、監査支援方法、及びプログラム
JP2018088040A (ja) * 2016-11-28 2018-06-07 エヌ・ティ・ティ・コムウェア株式会社 監査支援装置、監査支援システム、監査支援方法、及びプログラム
JP2019106035A (ja) * 2017-12-13 2019-06-27 株式会社インターフェイス 経営支援システム及び経営支援方法

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2014196031A1 (ja) * 2013-06-05 2014-12-11 株式会社日立システムズ ポータルサイトの利用実績収集システム
JP5662595B1 (ja) * 2013-06-05 2015-02-04 株式会社日立システムズ ポータルサイトの利用実績収集システム及びポータルサイトにおける利用実績収集方法
JP2018088044A (ja) * 2016-11-28 2018-06-07 エヌ・ティ・ティ・コムウェア株式会社 監査支援装置、監査支援システム、監査支援方法、及びプログラム
JP2018088040A (ja) * 2016-11-28 2018-06-07 エヌ・ティ・ティ・コムウェア株式会社 監査支援装置、監査支援システム、監査支援方法、及びプログラム
JP2019106035A (ja) * 2017-12-13 2019-06-27 株式会社インターフェイス 経営支援システム及び経営支援方法

Similar Documents

Publication Publication Date Title
US8165934B2 (en) Automated invoice processing software and services
Kwok et al. A software as a service with multi-tenancy support for an electronic contract management application
US7367048B2 (en) Apparatus and method for autonomic email access control
US7664655B2 (en) Electronic service of process system and method for carrying out service of court papers
US6985922B1 (en) Method, apparatus and system for processing compliance actions over a wide area network
US8782616B2 (en) Templates for configuring digital sending devices to achieve an automated business process
US20040133612A1 (en) Information processing system which performs data keeping service, information processing apparatus, kept information management method
US20120246741A1 (en) Universal Medical Records Processing System
JP4157717B2 (ja) 印刷物生産支援装置
EP1293921A1 (en) Qualification information management method and apparatus
JP2002032611A (ja) 手続管理システム
Greenwood et al. Insights to building a successful e-filing case management service: US Federal Court experience
JP2004164041A (ja) セキュリティマネジメント監査に対する支援サービス提供システムおよび支援サービス提供方法
JP2002329071A (ja) 保険処理サーバ、そのコンピュータプログラム、保険処理システム及びその処理方法
JP3828517B2 (ja) 電子商取引管理サーバ及び電子商取引管理方法
KR100379951B1 (ko) 인터넷을 기반으로 하는 법률 사무 용역 시스템 및 그 방법
KR20060121430A (ko) 소프트웨어 컨텐츠 다이렉트 다운로드 서비스 시스템 및방법
CN1421018A (zh) 一种用于传递教育信息的系统
JP2008129879A (ja) テレビ面接システムおよびテレビ面接プログラム、並びにテレビ面接方法
US20220129837A1 (en) Data processing systems for generating and populating a data inventory
JP2001306764A (ja) 人事考課支援方法およびそのシステム
JP6235676B2 (ja) リモート審査システム、情報処理装置、リモート審査方法、及びリモート審査プログラム
JP6235675B2 (ja) リモート審査システム、情報処理装置、リモート審査方法、及びリモート審査プログラム
JP6050713B2 (ja) リモート審査システム、情報処理装置、リモート審査方法、及びリモート審査プログラム
KR20080101850A (ko) 제작 및 출판기반 팩스 서비스 방법 및 그 시스템

Legal Events

Date Code Title Description
RD01 Notification of change of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7421

Effective date: 20050124

RD01 Notification of change of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7421

Effective date: 20050309

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20051219

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20060110

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20060303

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20061024

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20061222

RD01 Notification of change of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7421

Effective date: 20070119

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20070207

A912 Re-examination (zenchi) completed and case transferred to appeal board

Free format text: JAPANESE INTERMEDIATE CODE: A912

Effective date: 20070302

RD01 Notification of change of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7421

Effective date: 20080604