JP2004295590A - 監査システム、監査方法、監査サーバ及び監査プログラム - Google Patents

監査システム、監査方法、監査サーバ及び監査プログラム Download PDF

Info

Publication number
JP2004295590A
JP2004295590A JP2003088202A JP2003088202A JP2004295590A JP 2004295590 A JP2004295590 A JP 2004295590A JP 2003088202 A JP2003088202 A JP 2003088202A JP 2003088202 A JP2003088202 A JP 2003088202A JP 2004295590 A JP2004295590 A JP 2004295590A
Authority
JP
Japan
Prior art keywords
question
audit
assessment
answer
terminal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2003088202A
Other languages
English (en)
Inventor
Bunji Ishida
文治 石田
Akira Sugiura
昌 杉浦
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2003088202A priority Critical patent/JP2004295590A/ja
Publication of JP2004295590A publication Critical patent/JP2004295590A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

【課題】監査において、アセスメントの出題アルゴリズムを自動生成するとともに、重み付け集計により複数のアルゴリズム結果の適切な比較表示を行う。
【解決手段】通信ネットワーク50を介して接続された監査用端末10とISO監査サーバ30を有するISO監査システムであって、ISO監査サーバが、アセスメントの実施にあたり、履歴DBに登録されている当該アセスメントの情報と、質問DBに登録されているISO条文に関連する質問情報と、監査用端末から受信した被監査者の回答にもとづいて、質問の出題アルゴリズムを組み立て、監査用端末から受信した回答に対し、この回答に対応する質問の配点と、その質問に設定された重み付け配点と、ISO条文の章または節ごとに設定された重み付け配点と、にもとづいて得点を計算し、かつ、質問DBに登録されている各質問の評価軸ごとに、得点を集計するISO監査システム。
【選択図】 図2

Description

【0001】
【発明の属する技術分野】
本発明は、監査において、アセスメントの出題アルゴリズムを自動生成するとともに、重み付け集計により複数のアルゴリズム結果の適切な比較表示を行う監査システム、方法、サーバ及びプログラムに関する。
【0002】
【従来の技術】
従来、ISO(国際標準化機構、International Organization for Standardization)監査におけるアセスメントは、監査者個人のノウハウと膨大な準備時間、結果分析時間が必要とされていた。
すなわち、ISO条文の十分な理解のもとに、被監査企業属性や対象者属性を考慮して、1つ1つのアセスメント項目を監査の都度作成して行われていた。
また、従来の情報セキュリティ監査システムは、被監査企業の監査対象システム情報の入力をもとにして自動的なセキュリティ診断を提供するものであり(例えば、特許文献1参照。)、人間という監査対象の属性に応じた監査の進行や、人間の回答結果分析の手段を提供するものではなかった。
一方、定量的な情報によって、監査結果を記録および分析することにより、監査の品質や生産性を向上させることのできる監査システムが提案されている(例えば、特許文献2参照。)。
【0003】
【特許文献1】
特開2001−273388号公報
【特許文献2】
特開2001−350910号公報
【0004】
【発明が解決しようとする課題】
しかしながら、このような従来の監査システムを用いても、経験の浅い者が、高い品質で監査を実行することのできるものではなかった。
すなわち、この従来の監査システムによれば、監査結果の分析精度を向上させることはできるが、アセスメントをどのように実施するかということを支援するものではなかった。
【0005】
本発明は、上記の事情にかんがみなされたものであり、監査において、アセスメントの出題アルゴリズムを自動生成するとともに、重み付け集計により複数のアルゴリズム結果の適切な比較表示を行うことの可能な監査システム、方法、サーバ及びプログラムの提供を目的とする。
【0006】
【課題を解決するための手段】
上記目的を達成するため、本発明の請求項1記載の監査システムは、通信ネットワークを介して接続された監査用端末と監査サーバを有する監査システムであって、監査サーバが、アセスメントの実施にあたり、履歴DBに登録されている当該アセスメントの情報と、質問DBに登録されているISO条文に関連する質問情報と、監査用端末から受信する被監査者の回答にもとづいて、質問の出題アルゴリズムを組み立てるとともに、この出題アルゴリズムに従い質問を監査用端末に送信し、監査用端末が、送信されてきた質問を表示するとともに、この質問に対する回答を監査サーバに送信する構成としてある。
【0007】
監査システムをこのような構成にすれば、アセスメントの実施にあたり、履歴DBからそのアセスメントの質問を選択するための情報を抽出するとともに、そのアセスメントに必要な質問を質問DBから抽出して、適切な出題アルゴリズムを自動生成することができる。また、監査用端末からの回答に応じて、以降に出題する質問し、アルゴリズムの組み直しを行うこともできる。
このため、監査者は、監査そのものに集中しながらその進行を図ることができるとともに、監査をより柔軟かつ効率的に実施することが可能となる。
また、経験の浅い監査者であっても、熟練者のノウハウを利用したアセスメントを実施することが可能となる。
【0008】
本発明の請求項2記載の監査システムは、監査サーバが、質問DBに登録されている一又は二以上の質問セットから、履歴DBに登録されている当該アセスメントの情報における質問タイプにもとづき質問セットを検索して、検索された質問セットにおける各質問項目の属性が、被監査者、およびアセスメントの情報におけるアセスメントタイプに合致する質問項目を抽出し、この抽出した質問項目を質問番号順に並び替えて監査用端末に送信する構成としてある。
【0009】
監査システムをこのような構成にすれば、質問セット、被監査者の属性、そのアセスメントの重要度などを識別するアセスメントタイプにもとづいて、適切な質問を質問DBから抽出して、出題アルゴリズムを構成することができる。
このため、被監査企業、被監査者等に応じて、適切な出題アルゴリズムを柔軟に構成することが可能となる。
【0010】
本発明の請求項3記載の監査システムは、監査サーバが、監査用端末から受信した回答にもとづいて、質問DBにおける当該回答に対応する質問の関連質問を、その回答内容に応じて肯定回答または否定回答が得られたものと擬制して質問の出題アルゴリズムを組み直し、この組み直した出題アルゴリズムに従い質問を監査用端末に送信するとともに、回答および擬制した回答を履歴DBに保存する構成としてある。
【0011】
監査システムをこのような構成にすれば、質問DBにおいて、関連質問が登録されている質問については、監査用端末からの回答に応じて、関連質問を回答したものと擬制し、以降の質問の出題アルゴリズムを組み直すことが可能となる。このため、被監査者の回答にもとづいて、出題アルゴリズムを柔軟に構成することが可能となる。
【0012】
本発明の請求項4記載の監査システムは、監査サーバが、監査用端末から受信した回答に対し、この回答に対応する質問の配点と、その質問に設定された重み付け配点と、ISO条文の章または節ごとに設定された重み付け配点と、にもとづいて得点を計算し、かつ、質問DBに登録されている各質問の評価軸ごとに、得点を集計する構成としてある。
【0013】
監査システムをこのような構成にすれば、自動生成された出題アルゴリズムに従った質問に対する回答を集計するにあたり、各質問項目の配点に被監査者の属性に応じた重み付けや、監査の重要度に応じた重み付けを設定することができる。
このため、監査者によるその監査の重要度や被監査者の状況に応じたアセスメントの実施レベル(アセスメントタイプ)の選択にもとづいて、最適なアセスメントの出題アルゴリズムを自動生成することができる。
また、このような重み付けを用いた集計を行うことにより、同一企業内においても被監査者属性ごとのアセスメント実施結果を適切に比較することも可能となる。
【0014】
本発明の請求項5記載の監査システムは、監査サーバが、評価軸ごとの集計結果を、少なくとも一覧表またはグラフの形式により表示する構成としてある。
監査システムをこのような構成にすれば、各評価軸のバランスを一覧表やグラフにより表示することができる。
このため、ISOの求めるトータルなマネジメントの基準中、どの領域が問題かを一目で判断することが可能となる。
【0015】
本発明の請求項6記載の監査システムは、監査サーバが、監査用端末から受信した企業属性、または対象者属性にもとづいて、企業DBから当該企業属性、または対象者属性を有する企業または対象者を抽出し、この抽出した企業または対象者のアセスメント実施結果を履歴DBから抽出して、評価軸ごとの得点を集計する構成としてある。
【0016】
監査システムをこのような構成にすれば、他の企業とのアセスメント実施結果の比較が行えるのみならず、同一企業内においても、担当者や組織によるセキュリティ意識の違いなどを、グラフおよび各回答内容の参照により比較分析することができる。
このため、同一企業内におけるこのような矛盾点を明確化することが可能となる。
また、過去の結果とグラフ上での比較ができるため、セキュリティ基準のレベルの推移を一目で確認することが可能となる。
さらに、業種/業界別や、組織属性別などに、結果を集計してグラフで比較することも可能となる。
【0017】
本発明の請求項7記載の監査システムは、監査サーバに、通信ネットワークを介してメンテナンス用端末が接続され、当該メンテナンス用端末が、メンテナンス対象となる質問項目に対応するISOの条文番号を監査サーバに送信するとともに、監査サーバから受信した質問項目編集画面を表示し、かつ、編集入力された質問項目を監査サーバへ送信し、監査サーバが、メンテナンス用端末から受信した条文番号にもとづいて、質問DBを検索し、当該条文番号に対応する質問項目が存在する場合は、この質問項目を表示した質問項目編集画面を、当該条文番号に対応する質問項目が存在しない場合は、ブランク表示の質問項目編集画面を、メンテナンス用端末に送信し、かつ、メンテナンス用端末から受信した編集入力された質問項目を質問DBに保存する構成としてある。
【0018】
監査システムをこのような構成にすれば、ISO条文ごとの質問を、メンテナンス用端末から容易に作成し、編集して、監査サーバに登録することが可能となる。
そして、このようにして作成・編集した質問項目を、上述の出題アルゴリズムの生成や組み直しを通じて、アセスメントにおいて利用することが可能となる。
【0019】
本発明の請求項8記載の監査方法は、通信ネットワークを介して接続された監査用端末と監査サーバを用いた監査方法であって、監査サーバが、アセスメントの実施にあたり、履歴DBに登録されている当該アセスメントの情報と、質問DBに登録されているISO条文に関連する質問情報と、監査用端末から受信した被監査者の回答にもとづいて、質問の出題アルゴリズムを組み立てるとともに、この出題アルゴリズムに従い質問を監査用端末に送信し、監査用端末が、送信されてきた質問を表示するとともに、この質問に対する回答を監査サーバに送信する方法としてある。
【0020】
監査方法をこのような方法にすれば、監査者は、熟練者の監査ノウハウを反映して監査サーバにより自動生成される出題アルゴリズムに従って、アセスメントを実行することができる。
このため、経験の浅い監査者であっても、熟練者と同じ品質で、監査を行うことが可能となる。
【0021】
本発明の請求項9記載の監査方法は、監査サーバが、質問DBに登録されている一又は二以上の質問セットから、履歴DBに登録されている当該アセスメントの情報における質問タイプにもとづき質問セットを検索して、検索された質問セットにおける各質問項目の属性が、被監査者、およびアセスメントの情報におけるアセスメントタイプに合致する質問項目を抽出し、この抽出した質問項目を質問番号順に並び替えて監査用端末に送信し、監査用端末が、受信した質問項目に対する回答を、監査サーバに送信し、監査サーバが、受信した回答にもとづいて、質問DBにおける当該回答に対応する質問の関連質問を、その回答内容に応じて肯定回答または否定回答が得られたものと擬制して質問の出題アルゴリズムを組み直し、この組み直した出題アルゴリズムに従い質問を監査用端末に送信するとともに、回答および擬制した回答を履歴DBに保存する方法としてある。
【0022】
監査方法をこのような方法にすれば、監査サーバに、監査者により選択され、履歴DBに登録された質問タイプを有する質問セットのうち、被監査者の属性や、そのアセスメントの重要度等にもとづき抽出された質問により構成された出題アルゴリズムに従って、アセスメントを実行することができるとともに、被監査者からの回答に応じて、その出題アルゴリズムを組み直すことができる。
このため、監査者は、従来のように出題アルゴリズムの作成に時間を取られることがないため、監査そのものに集中することができ、監査の質を向上させることが可能となる。また、周到な準備時間や監査ノウハウがない監査者がアセスメントを実施しても、アセスメント結果の出力内容に差が出ないという効果も得られる。
【0023】
本発明の請求項10記載の監査方法は、監査サーバが、監査用端末から受信した回答に対し、この回答に対応する質問の配点と、その質問に設定された重み付け配点と、ISO条文の章または節ごとに設定された重み付け配点と、にもとづいて得点を計算し、かつ、質問DBに登録されている各質問の評価軸ごとに、得点を集計する方法としてある。
【0024】
監査方法をこのような方法にすれば、アセスメント実施結果の集計に、重み付け配点を考慮することができる。
このため、熟練者の監査ノウハウを出題アルゴリズムの生成に、より効果的に取り入れることが可能となるとともに、被監査者間の比較をより適切に行うことが可能となる。
【0025】
本発明の請求項11記載の監査サーバは、通信ネットワークを介して、監査用端末に監査のための質問およびアセスメント実施結果を送信する監査サーバであって、重み付けや配点情報を含んだ質問データを格納する質問DBと、アセスメント実施結果としての回答データを格納する履歴DBと、監査を行う監査者情報を格納する会員DBと、監査用端末から受信した会員IDおよびパスワードにもとづいて会員DBを検索し、当該会員IDおよびパスワードが会員DBに登録されているか否かにより認証を実行する会員認証部と、アセスメントの実施にあたり、履歴DBに登録されている当該アセスメントの情報と、質問DBに登録されているISO条文に関連する質問情報と、監査用端末から受信した被監査者の回答にもとづいて、質問の出題アルゴリズムを組み立てるとともに、この出題アルゴリズムに従い質問を監査用端末に送信するアセスメント実行部と、監査用端末からの要求にもとづいて、アセスメント実施結果を表示するアセスメント集計画面を監査用端末に送信する結果表示部と、を有する構成としてある。
【0026】
監査サーバをこのような構成にすれば、熟練者の監査ノウハウを取り込んだ出題アルゴリズムを自動生成することができる。
このため、監査の準備や、監査スキルの違いにより、監査者間でアセスメント実行結果に差が生じる事態を防止し、質の高い監査を短期間で実施することが可能となる。
【0027】
本発明の請求項12記載の監査サーバは、アセスメント実行手段が、質問DBに登録されている一又は二以上の質問セットから、履歴DBに登録されている当該アセスメントの情報における質問タイプにもとづき質問セットを検索し、検索された質問セットにおける各質問項目の属性が、被監査者、およびアセスメントの情報におけるアセスメントタイプに合致する質問項目を抽出して、この抽出した質問項目を質問番号順に並び替えて監査用端末に送信し、監査用端末から受信した質問項目に対応する回答にもとづいて、質問DBにおける当該回答に対応する質問の関連質問を、その回答内容に応じて肯定回答または否定回答が得られたものと擬制して質問の出題アルゴリズムを組み直し、この組み直した出題アルゴリズムに従い質問を監査用端末に送信するとともに、回答および擬制した回答を履歴DBに保存する構成としてある。
【0028】
監査サーバをこのような構成にすれば、質問タイプ、被監査者の属性、アセスメントの重要度などにもとづいて、質問DBから問題を抽出して出題アルゴリズムを構成することができるとともに、回答にもとづいて、その出題アルゴリズムを再構成することができる。
このため、監査の重要度や、被監査者の状況等に応じた出題アルゴリズムを、その回答内容も考慮して、柔軟に構成することが可能となる。
【0029】
本発明の請求項13記載の監査サーバは、結果表示部が、監査用端末から受信した回答に対し、この回答に対応する質問の配点と、その質問に設定された重み付け配点と、ISO条文の章または節ごとに設定された重み付け配点と、にもとづいて得点を計算し、かつ、質問DBに登録されている各質問の評価軸ごとに、得点を集計して、少なくとも一覧表またはグラフを作成し、この一覧表またはグラフを監査用端末に送信する構成としてある。
【0030】
監査サーバをこのような構成にすれば、被監査者の属性などに応じて、質問項目等に重み付けを設定することができる。また、この重み付けを考慮して、集計結果を一覧表やグラフに表示することができる。
このため、被監査者の属性ごとの差異を際だたせることができ、被監査者間の意識のズレなどを明確に把握することが可能となる。
【0031】
本発明の請求項14記載の監査プログラムは、監査用端末に、監査のための質問およびアセスメント実施結果を、通信ネットワークを介して監査用端末へ送信させる監査プログラムであって、監査サーバに、質問DBに登録されている一又は二以上の質問セットから、履歴DBに登録されている当該アセスメントの情報における質問タイプにもとづき質問セットを検索させて、検索された質問セットにおける各質問項目の属性が、被監査者、およびアセスメントの情報におけるアセスメントタイプに合致する質問項目を抽出させ、この抽出させた質問項目を質問番号順に並び替えさせて監査用端末に送信させ、監査用端末から受信した質問項目に対応する回答にもとづいて、質問DBにおける当該回答に対応する質問の関連質問を、その回答内容に応じて肯定回答または否定回答が得られたものと擬制して質問の出題アルゴリズムを組み直させ、この組み直させた出題アルゴリズムに従い質問を監査用端末に送信させるとともに、回答および擬制した回答を履歴DBに保存させる構成としてある。
【0032】
監査プログラムをこのような構成にすれば、監査サーバに、質問タイプ、被監査者の属性、アセスメントの重要度などにもとづいて、質問DBから問題を抽出させて出題アルゴリズムを構成させることができるとともに、回答にもとづいて、その出題アルゴリズムを再構成させることができ、監査の重要度や、被監査者の状況等に応じた出題アルゴリズムを、その回答内容も考慮して、柔軟に構成させることが可能となる。
【0033】
本発明の請求項15記載の監査プログラムは、監査サーバに、監査用端末から受信させた回答に対し、この回答に対応する質問の配点と、その質問に設定された重み付け配点と、ISO条文の章または節ごとに設定された重み付け配点と、にもとづいて得点を計算させ、かつ、質問DBに登録されている各質問の評価軸ごとに、得点を集計させる構成としてある。
【0034】
監査プログラムをこのような構成にすれば、監査サーバに、被監査者の属性などに応じて、質問項目等に重み付けを設定させ、この重み付けを考慮して、集計結果を一覧表やグラフに表示させることができるため、被監査者の属性ごとの差異を際だたせ、被監査者間の意識のズレなどを明確に把握することが可能となる。
【0035】
【発明の実施の形態】
以下、本発明の実施形態につき、図面を参照して説明する。
[第一実施形態]
まず、本発明の第一実施形態のISO監査システムの運用について、図1を参照して説明する。同図は、本実施形態のISO監査システムの概略図である。
なお、以下の実施形態において、ISO監査システムは、ISO17799の監査を実行するものとしているが、これに限定されるものではなく、他の監査や、他のバージョンのISO監査にも適用することができる。
【0036】
同図に示すように、監査者はアセスメントを実施するにあたり、ISO監査システムのアセスメント実行機能を用いて、被監査者に対してヒアリングを実施して、セキュリティ診断およびアドバイス等を行う。
このヒアリングにあたっては、本システムより予め提供されたISO17799に関する質問項目を利用するか、あるいは新たに質問項目を設定して、これを利用することができる。質問項目には、被監査企業の属性と対象者属性による重み付けと、ISO条文内での質問としての重要度の設定が可能である。
監査者は、このISO監査としてのアセスメント実施に際して、被監査企業の業種や社員数などの属性を本システムに登録し、さらに被監査者の所属や役職などの被監査者属性を登録する。
【0037】
そして、ヒアリングにおいては、被監査企業属性、被監査者属性、および予め設定された質問項目への重み付けにもとづき作成された出題アルゴリズムにより、質問が展開される。また、各アセスメント開始時にアセスメントのレベルを選択することにより、全質問項目による詳細なアセスメントか、重要な質問のみの簡易なアセスメントかの切り分けに応じた、質問展開が行われる。さらに、質問項目やその重み付け,重要度等については、ISO監査システムにおけるアセスメントメンテナンス実行機能により追加,変更,削除等を行うことができる。
【0038】
被監査企業における被監査者に対する一通りのアセスメントが終了すると、回答結果は、本システムにより提供されている、あるいは監査者により設定された評価軸と質問事項への配点にしたがって集計され、グラフおよび一覧形式で表示される。
この評価軸とは、集計の際に、得点をどのカテゴリーに分類するかを示すものであり、例えば、ISO自体の条文の章のタイトルそのもの(1.セキュリティポリシー,2.セキュリティ組織,・・・,9.アクセス制御等)を用いることができる。その他、セキュリティ上にあげられるリスク分析の観点からの評価軸(情報資産,脆弱性,脅威等)を挙げることもできる。
また、ISO監査システムにおけるこれらのアセスメント実行機能、アセスメントメンテナンス実行機能、およびアセスメント実施結果集計機能への利用権限は、会員管理システムなどにおいて管理される会員情報にもとづく会員認証機能により制限されている。
【0039】
[ISO監査システム]
次に、本発明の第一実施形態におけるISO監査システムの構成について、図2を参照して説明する。同図は、本実施形態のISO監査システムの構成を示すブロック図である。
図2に示すように、本実施形態のISO監査システムは、監査用端末10,メンテナンス用端末20,ISO監査サーバ30,データベース装置40,通信ネットワーク50を有している。
【0040】
[監査用端末10]
監査用端末10は、アセスメントの実施に用いられる端末であり、パーソナルコンピュータや、携帯電話、PHS、PDA等とすることができる。
この監査用端末10は、通信ネットワーク50を介してISO監査サーバ30からアセスメント実行画面や、アセスメント集計結果画面等を受信するとともに、質問項目に対する回答などを入力し、ISO監査サーバ30に送信する。
【0041】
[メンテナンス用端末20]
メンテナンス用端末20は、質問項目や重み付けの設定に用いられる端末であり、監査用端末10と同様に、パーソナルコンピュータや、携帯電話、PHS、PDA等とすることができる。
このメンテナンス用端末20は、通信ネットワーク50を介してISO監査サーバ30からアセスメントメンテナンス画面などを受信するとともに、新規アセスメント情報や既存アセスメントの質問項目の修正情報等を入力し、ISO監査サーバ30に送信する。
【0042】
[ISO監査サーバ30]
ISO監査サーバ30は、プログラム制御により動作し、会員認証,アセスメントの実行,アセスメントメンテナンス,アセスメント実施結果表示等を実行する情報処理装置であり、例えば、ワークステーションやサーバ、パーソナルコンピュータ等を用いることができる。
このISO監査サーバ30は、図2に示すように、会員認証部31,アセスメント実行部32,結果表示部33,アセスメントメンテナンス実行部34を有している。
【0043】
[会員認証部31]
会員認証部31は、利用できる監査者を限定する。
すなわち、監査用端末10から送信されてきた会員IDおよびパスワードにもとづいて、会員DB44を検索し、アセスメント実行部32,結果表示部33,アセスメントメンテナンス実行部34による各機能を利用することができるかどうかを判断する。
このとき、会員DB44は、各会員ごとに、上記各機能の利用権限情報を備えた会員属性情報を有しており、会員認証部31は、これにもとづき各会員の利用端末(監査用端末10)に利用可能な機能を表示し、以降認証された利用者はその機能の利用が可能となる。
【0044】
[アセスメント実行部32]
アセスメント実行部32は、被監査者に対するアセスメントを実施する。
このアセスメント実行部32は、アセスメントの実施に必要な被監査企業属性の管理機能,アセスメント実行機能,アセスメント履歴管理機能を備えている。被監査企業属性管理機能は、被監査企業の企業名、住所、電話などの基本情報の他に、業種や人員数など、アセスメントアルゴリズムや回答の重みづけに影響を与える属性も含めて、企業DB43に格納し、検索、参照する。
アセスメント実行機能は、企業DB43に登録されている企業から選択した被監査企業と、その中の監査対象となる人物の所属部署や役職などの個人属性と、実施する監査またはアセスメントの重要度のレベル情報とから、質問項目の重みづけを考慮したアセスメントのアルゴリズムを生成し、質問DB41に格納された質問項目をアルゴリズムに従って監査用端末10に表示する。また、その際、監査用端末10から入力された被監査者の回答を、履歴DB42に保存する。
アセスメント履歴管理機能は、履歴DB42上に格納されたアセスメント実施結果と、企業DB43に格納された企業情報と、質問DB41に格納された質問情報から、各企業で行われたアセスメントの履歴情報を検索、参照する。
【0045】
[結果表示部33]
結果表示部33は、アセスメント実施結果を集計表示する。
すなわち、結果表示部33は、履歴DB42に格納された一回のアセスメントの回答群を、質問DB41に登録されている配点にもとづき評価軸ごとに集計し、監査用端末10に一覧表とグラフ形式で表示する。また、アセスメント実行部32のアセスメント履歴管理機能と連携して、過去のアセスメント実施結果を同時に表示し、視覚的な比較を実現する。
【0046】
[アセスメントメンテナンス実行部34]
アセスメントメンテナンス実行部34は、質問項目やその重み付け、配点を設定する。
すなわち、アセスメントメンテナンス実行部34は、アセスメントの質問内容を質問DB41に登録、修正する。このとき、一回のISO17799監査の中で質問すべき全項目について、質問の該当するISO17799条文内の章・節、質問内容文、回答の選択肢、各回答選択肢の配点、質問自体の重み付け、質問の対象となる被監査者属性、関連質問項目を設定し、質問セットとして質問DB41に登録する。質問セットは、登録する利用者(監査者など)のノウハウや、アセスメントを実施する対象企業属性など、様々な状況に合わせていくつでも登録し、利用することができる。
【0047】
[データベース装置40]
データベース装置40は、ISO監査サーバ30により使用される記憶装置である。このデータベース装置40は、図2に示すように、ISO監査サーバ30の外部記憶装置とするほか、ISO監査サーバ30内に保有させるようにしてもかまわない。
データベース装置40は、同図に示すように、質問DB41,履歴DB42,企業DB43,会員DB44を有している。この企業DB43や会員DB44を本発明のISO監査システムとは、別個に管理される会員システムなどで利用されているものを用いるようにしてもかまわない。
【0048】
質問DB41は、重み付けや配点情報を含んだ質問データを格納する。そのデータ構造は、例えば、アセスメント名,質問タイプ,質問セットガイド説明文,質問セット利用許可者属性,質問番号,条文番号,質問文,対象者属性,重要度レベル,回答選択肢,配点,重み付け(配点または係数),評価軸,関連質問等とすることができる。質問番号,条文番号,質問文,対象者属性,重要度レベル,回答選択肢,配点,重み付け(配点または係数),評価軸,関連質問等は、複数登録することができる。
履歴DB42は、アセスメント実施結果としての回答データを格納する。
そのデータ構造は、例えば、履歴番号,ステータス,アセスメント名,バージョン,開始日,最終回答日,中断質問番号,被監査者属性,質問タイプ,アセスメントタイプ,質問番号,回答内容,得点,合計点,表示タイプ等とすることができる。質問番号,回答内容,得点等は、複数登録することができる。
企業DB43は、被監査企業情報を格納する。例えば、企業ID,各種企業属性情報,被監査者ID,各種被監査者属性情報等とすることができる。被監査者ID,各種被監査者属性情報等は、複数登録することができる。
会員DB44は、本システムを利用可能な監査者情報を格納する。例えば、会員ID,パスワード等とすることができる。
【0049】
通信ネットワーク50は、従来公知の任意好適な公衆回線、商業回線又は専用回線を用いることができる。また監査用端末10,メンテナンス用端末20,ISO監査サーバ30のそれぞれの間においては、同一又は別個の通信回線で構成することができる。
さらに、通信ネットワーク50は、監査用端末10,メンテナンス用端末20,ISO監査サーバ30のそれぞれの間を、無線あるいは有線で接続可能な回線であり、例えば、公衆回線網、専用回線網、インターネット回線網及びイントラネット網により構成することができる。
【0050】
次に、本実施形態のISO監査システムにおける処理手順について、図3〜図6を参照して説明する。図3は、本システムにおけるアセスメント実行処理手順を示す動作手順図である。図4,図5,図6は、それぞれ本システムにおけるアセスメント履歴画面および監査情報画面,アセスメント実行画面,アセスメント集計結果表示画面を示す図である。なお、図3において、スタートが「監査用端末10(ISO監査サーバ30)」となっているが、これは、入出力端末として監査用端末10が使用され、処理の実行主体がISO監査サーバ30であることを意味しており、以下に示す各処理の実行は、監査用端末10、ISO監査サーバ30、およびデータベース装置40が協働して行っている。この表示形態は、以降に示すフローチャートにおいても同様である。
【0051】
まず、アセスメント開始時に、利用者の操作により、監査用端末は、監査システム利用のための認証情報を入力し、ISO監査サーバ30の会員認証部31は、その認証機能により、会員DB44上の情報から利用者を識別し、アセスメント機能の利用が可能かどうかを判断する(図3のステップA1)。この認証は、会員IDおよびパスワードにもとづいて行うようにすることができる。
そして、認証が成功した場合、アセスメント実行部32は、アセスメント実行画面(検索/選択/登録用)を表示する(ステップA2)。
【0052】
次に、監査用端末10からの入力情報にもとづいて、ISO監査サーバ30は、監査対象の企業情報を検索する(ステップA3)。一般に、企業DB43上に複数企業が登録され、履歴DB42上に複数のアセスメント実施結果が保存されているが、それぞれを参照できる範囲は、ステップA1の認証機能を経由した監査者ごとに限定される。すなわち、ステップA3における企業情報の検索は、この権限の範囲で可能となる。さらに、ステップA3では新規に対象企業情報を登録することが可能である。
【0053】
対象企業を絞った後、その企業の過去の監査において実行されたアセスメント履歴を検索することができる(ステップA4)。このとき、監査用端末10からの要求にもとづいて、ISO監査サーバ30のアセスメント実行部32は、そのアセスメント履歴管理機能により、対象企業の企業IDにもとづいて、履歴DB42と質問DB41から過去に実行したアセスメントのメタ情報(監査情報,アセスメント対象者,利用した質問のタイプ(質問セットID等)など)を抽出し、監査用端末10に一覧表示する。図4は履歴一覧が表示されたアセスメント履歴画面を示す図である。
また、アセスメント内の1つ1つの質問への回答やその集計結果は、結果表示部33により、ステップA11において監査用端末10に表示される。
【0054】
ステップA5のアセスメント実行は、新規のアセスメント登録(ステップA6)、または、中断中のアセスメントの再開(ステップA7)のいずれかの指示により動作する。
ステップA6の新規アセスメント情報登録は、まず、監査用端末10によるアセスメントのメタ情報(日時などの監査情報,アセスメント対象者,利用する質問のタイプ(質問セットID等),アセスメントタイプ(重要度等)など)の入力情報を、ISO監査サーバ30のアセスメント実行部32が、履歴DB42に登録する。そして、ステップA8のアセスメントの全質問に対する回答が終了するか、監査用端末10から中断の指示が出されるまで、この登録を繰り返し実行する。
【0055】
また、ステップA7のアセスメント途中再開において、アセスメント実行部32は、履歴番号等にもとづいて、履歴DB42上に保存されている中断アセスメントのメタ情報と中断情報を検索して抽出し、ステップA8を呼び出す。この中断情報とは、いつ、誰が、どこまでの回答を行った状態かという情報と、「終了」または「中断」の監査進捗管理的なステータス情報を意味するものである。
図4に示す監査情報画面は、このステップA7の処理によって表示される画面であり、同図における「アセスメント開始」を押下すると、アセスメント途中再開要求が、監査用端末10からISO監査サーバ30へ送信され、ISO監査サーバ30のアセスメント実行部32が、ステップA8の処理を実行する。
【0056】
このステップA8のアセスメントの実行にあたり、アセスメント実行部32は、履歴DB42に登録された今回のアセスメント情報と、質問DB41上にあらかじめ登録されているISO17799条文に関連する質問情報と、監査用端末10から入力される被監査者の回答とにもとづいて、出題アルゴリズムの組み立てを行う。
すなわち、ステップA9において、アセスメント実行部32は、質問DB41上に登録されている複数の質問セットから、ステップA6で選択された質問セットを検索し、この質問セットにおける各質問属性にもとづいて、アセスメント対象者、および今回のアセスメントタイプに合致した質問項目を抽出して、質問番号順に質問内容を監査用端末10に表示する。図5は質問項目と回答選択肢が表示され、回答を入力後に次の質問表示を指示するアセスメント実行画面(回答用)を示している。
【0057】
ここで、出題アルゴリズムの組み立てについて、具体例を用いて説明する。
監査の対象者情報として、企業DB43に、「情報システム部門」,「ライン部門」,「スタッフ部門」,「トップ(経営者)」が登録されていたとすると、被監査者の属性が総務担当者であった場合は、ステップA3の対象企業検索において、企業ID等にもとづいて当該企業の登録情報を企業DB43から検索して抽出し、「スタッフ部門」を選択する。
さらに、アセスメント実行画面(検索/選択/登録用)上で、重要度を示す「A.大変重要なもののみ」,「B.比較的重要なものを含む」,「C.全て」の各項目のうち、「A」を選択する。
ISO監査サーバ30のアセスメント実行部32は、上記「スタッフ部門」および「A」の入力情報にもとづいて、質問DB41から「スタッフ部門」属性をもつとともに、重要度「A」に該当する質問セット群の質問だけを抽出して出題する。
【0058】
次に、重要度「A」に該当する質問セット群の質問だけを抽出して出題する処理について、具体例を用いて説明する。
この説明において、重要度の設定基準として、一問あたりの配点が、7.5点以上の場合は「A」と、5点以上7.5点未満の場合は「B」とする。
また、条文3.1.1は、満点が15点であり、次の3つの設問から構成されるものとする。
設問1 ある(5点),ない(0点),わからない(5点)
設問2 している(5点),していない(0点),わからない(5点)
設問3 明確である(5点),不明確である(0点),わからない(5点)
また、条文3.1.2は、満点が15点であり、次の2つの設問から構成されるものとする。
設問1 している(5点),していない(0点),わからない(5点)
設問2 明確である(10点),不明確である(0点),わからない(5点)
【0059】
この場合、条文3.1.1の質問セット群と条文3.1.2の質問セット群は、どちらも満点が15点であるが、一問あたりの配点は、条文3.1.1が5点、条文3.1.2が7.5点となるため、条文3.1.1は重要度「B」、条文3.1.2は重要度「A」と判定される。
したがって、この場合は、条文3.1.1の質問は、抽出されず、条文3.1.2の質問は抽出され、出題されることとなる。
なお、この例の場合は、重要度を配点にもとづいて算出する方法としたが、質問DB41に各質問ごとに重要度情報をもたせ、この重要度情報にもとづいて、上記抽出および出題処理を実行することが可能であることはいうまでもない。
【0060】
次に、ステップA10では、監査用端末10から出題された質問への回答が入力されると、アセスメント実行部32は、回答内容が影響する質問番号情報に従って出題アルゴリズムを組み直し、監査用端末10に表示すると同時に、回答内容を履歴DB42に保存する。
ここで、出題アルゴリズムを組み直しについて、具体例を用いて説明する。
例えば、ステップA3において、対象企業の検索/選択/登録を行う際に、オプションとして、「効率的なアセスメント」を選択可能とするとともに、あらかじめ質問DB41には、各質問への回答時の関連質問を登録しておくことで、回答内容によって、同じ観点からの質問をスキップするようにすることができる。
【0061】
具体的には、質問「9−13:パスワードの重要性、更新ルール等を利用者は知っているか。」に対して、回答1「知っており、遵守されている」が選択された場合は、以降に9−13との関連が設定されているパスワードの利用に関する質問、例えば、「9−16:パスワードは、他人が想像し得ない6文字以上の文字+数字を実現しているか」や、「9−17:パスワードの定期的な変更を実践しているか」を回答済み(肯定回答)としてスキップする。
回答2「知っているが遵守できていない」が選択された場合は、以降のパスワード利用に関する質問をスキップしない。
回答3「知らない」が選択された場合は、上記質問「9−16」や「9−17」を回答済み(否定回答)としてスキップする。
ただし、出題アルゴリズムを組み直しとして、このような効率的なアセスメントを用いた場合、回答内容間の矛盾がシステムにより自動的に排除されてしまうため、時間をかけずに簡易な監査を実施したい場合にのみ選択することが好ましい。
【0062】
ステップA11において、ISO監査サーバ30の結果表示部33は、履歴DB42に保存されたアセスメントに対する1つ1つの回答を、質問DB41上の評価軸と、各質問項目の回答に設定されている配点に従って集計し、一覧表およびグラフの形式で表示する。
この集計は、各質問項目の属するISO17799条文の章・節ごとの重み付け配点と、章・節内での各質問項目のレベルに対する重み付け配点と、質問への回答に設定されている配点とを加味した計算式により行われる。この重み付け配点は、質問DB41に登録されている「重み付け」をそのまま用いるのみならず、所定の属性に出題された場合にのみ適用したり、所定の属性に出題された場合には、1.5倍等にするなどといった制御を行うことができる。さらに、アセスメントタイプなどとして指定された監査の重要度に応じて、重み付け配点を使用したり、その大きさを制御することもできる。また、章・節ごとの重み付け配点は、質問DB41とは、別個のテーブルに記憶させておくこともできる。
これにより、評価軸同士のグラフ上での表現を、平準化して行うことが可能となる。図7は、アセスメント回答を集計した一覧表とグラフを表示したアセスメント集計結果表示画面である。
【0063】
ここで、集計処理について、次の具体例を用いて説明する。
Figure 2004295590
【0064】
この場合、被監査者が、スタッフ部門である場合には、A章の条文a1の設問2の肯定的回答の配点を2倍とすることが、質問DB41において、条文a1の設問2の属性情報として保有され、また、この場合、B章におけるすべての条文の設問について、肯定的回答の配点を1.5倍とすることが、質問DB41のB章における設問の属性情報として保有されている場合、A章の条文a1の設問2、およびB章の配点は、次のように重み付け換算される。
Figure 2004295590
【0065】
このとき、A章の条文a1の設問1,設問2,B章の条文b1の設問1,設問2の順に、回答として、「していない,している,わからない,している」が得られた場合、その得点は、重み付けを行わないときの配点によれば、「0,5,−5,5」となり、条文a1は、10点満点中5点で50点と、条文b1は、10点満点中0点で0点となる。
一方、上記のような重み付けが行われたときの配点によれば、その得点は、「0,10,−5,7.5」となり、条文a1は、15点満点中10点で67点と、条文b1は、15点満点中2.5点で17点となる。
【0066】
このような重み付けを用いた集計を行うことにより、属性ごとの差異をはっきりと現すことが可能となる。すなわち、被監査者の企業属性(業界・業種や規模など)や、企業内の組織属性(総務,ライン,情報システム部門など)によって、監査の観点から検討したい項目が異なっている場合に、より適切な質問、およびその集計を行うことが可能となる。特に、ネットワークセキュリティに関しては、情報部門と一般部門における意識の違いや、セキュリティの重要度とその担当者の意識のズレなどをはっきりとさせるために、重み付けによる比較を行うことが極めて有効である。
【0067】
さらに、ステップA4において表示するアセスメント履歴一覧から、ステップA11を呼び出すことにより、アセスメント実施結果としての一覧表およびグラフ表示の際に、他のアセスメント履歴の結果との比較表示が可能である。
すなわち、図4に示すアセスメント履歴画面における「結果」を押下することによって、アセスメント集計画面表示要求が、監査用端末10からISO監査サーバ30に送信され、ISO監査サーバ30の結果表示部33は、図6に示すようなアセスメント集計結果表示画面を表示する。
また、図6のアセスメント集計結果表示画面の「比較グラフ」におけるプルダウンを押下することにより、結果表示部33は、履歴DB42から同一企業内の同一部署または他の部署において実施されたアセスメントの履歴一覧を表示し、選択された履歴の一覧表やグラフを表示する。
【0068】
次に、図7を参照して、アセスメントメンテナンスについて説明する。まず、監査者などの利用者により、メンテナンス用端末20は、アセスメントメンテナンス利用のための認証情報を入力して、ISO監査サーバ30の会員認証部31による会員認証を実行する(ステップB1)。
会員認証部31は、会員DB44上の情報から利用者を識別し、メンテナンス機能の利用が可能かどうか判断後、利用可能である場合は、アセスメントメンテナンス画面を表示する(ステップB2)。そして、新規に質問セットを登録するか、既に登録されている質問情報をメンテナンスするかの選択を行う。
新規に質問セットを登録する場合は、利用者の入力により、アセスメントメンテナンス実行部34が、新たな質問セットを他の質問セットと識別するための属性として、アセスメント名と、アセスメント時に利用する質問セットの選択のガイドとなる説明文、該当質問セットの利用を許可する利用者属性などの情報を、質問DBに登録する(ステップB3)。そして、ステップB5において、質問セットを構成する1つ1つの質問の登録を繰り返す。
【0069】
ステップB2において、既に登録されている質問情報をメンテナンスすることが選択された場合は、既存質問セット内の質問項目属性修正のため、ステップB5を呼び出す(ステップB4)。ただし、この修正は、監査アセスメントで未使用の質問項目にのみ可能であり、既に履歴DB42上に利用情報が登録されている質問セットの修正は不可となるよう制御することが好ましい。
その方法としては、ステップB6の質問検索において、その質問番号などの質問を識別するための情報が、履歴DB42に登録されているかどうかを検索して確認し、登録されている場合には、修正/削除ができないことをメッセージ表示するようにすることなどができる。
【0070】
次に、ステップB5の質問項目メンテナンスにおいて、ISO監査サーバ30のアセスメントメンテナンス実行部34は、ISO17799条文の章・節の検索と、それに属する質問項目の検索および属性の表示と、質問項目属性の質問DB41への登録を行う。
具体的には、ステップB6において、ISO17799条文そのものをXML形式で格納する条文DBから条文構成を階層表示し、メンテナンス用端末20からメンテナンス対象となる質問項目の属する章・節番号を入力する。
【0071】
次に、アセスメントメンテナンス実行部34は、入力した章・節番号に属する質問項目の有無を、質問DB41を検索して確認し、存在する場合、その質問項目を編集可能な状態でメンテナンス用端末20に表示する。存在しない場合は、ブランク状態のアセスメントメンテナンス画面(質問項目属性入力画)を表示する(ステップB6)。
次に、このアセスメントメンテナンス画面から、質問項目属性として、質問文、質問対象者属性、重要度レベル、集計時の評価軸、回答選択肢群、各回答配点などを入力し、対応するISO17799条文の章・節情報と併せて質問DB41に登録する(ステップB7)。図8は、このアセスメントメンテナンス画面の例を示している。
なお、同図に示すように、ISOの監査においては、Yes/Noでは回答できない部分が多いため、回答の選択肢として、「分からない」や対象外の回答を設定可能とすることが好ましい。
【0072】
以上説明したように、本実施形態のISO監査システムによれば、質問項目に被監査者の属性に応じた重み付けや、監査の重要度に応じた重み付けを設定することができ、監査者によるその監査の重要度や被監査者の状況に応じたアセスメントの実施レベルの選択にもとづいて、最適なアセスメントの出題アルゴリズムを自動生成することができる。
このため、監査者は、監査そのものに集中しながら進行を図ることができるとともに、監査をより柔軟かつ効率的に実施することが可能となる。
【0073】
また、本実施形態のISO監査システムによれば、監査の精度をあげることができる。すなわち、被監査者の属性に応じて、アセスメントで出題される質問内容と、回答に対する配点とに重み付けを考慮することができるため、同一企業内においても被監査者属性ごとに内容の濃い回答を得ることが可能となる。また、回答の集計が回答数ではなく、重み付けによる配点で行われるため、同一被監査組織内における複数人物の監査結果の比較、分析を定量的に行うことが可能となる。
【0074】
さらに、ISO監査のアセスメント実施結果を即時に表示することにより、短時間での診断を行うことが可能となる。すなわち、アセスメントによる得点は、質問DB41上のISO条文に設定した配点と、回答を即時に格納する履歴DB42上のデータとにより自動集計することができ、回答直後に集計結果の一覧表示およびグラフ表示を行うことができる。このため、過去の同一部署におけるアセスメント実施結果や、同一企業内の他の部署におけるアセスメント実施結果との比較グラフも即時に表示可能なため、情報セキュリティレベルやポリシー遵守レベルの比較診断を、その場で即時行うことが可能となる。
【0075】
また、本実施形態のISO監査システムによれば、周到な準備時間や監査ノウハウが無い監査者がアセスメントを実施しても、アセスメント実施結果の出力内容に差がでないという効果が得られる。すなわち、アセスメント用質問セットの共有が可能であるとともに、重み付けを考慮して適切に自動生成されたアルゴリズムに従ってアセスメントを進めることができるため、経験の浅い監査者であっても、熟練者のノウハウを利用したアセスメントを実施することが可能となる。このため、本実施形態のISO監査システムは、監査者による監査という本来の利用目的以外に、被監査企業が情報セキュリティの自己診断として行うセルフアセスメントや、ISO監査内容の学習や啓蒙教育などにも利用することが可能である。
【0076】
[第二実施形態]
次に、本発明の第二実施形態について、図9を参照して説明する。同図は、本実施形態のISO監査システムにおけるアセスメント処理手順を示すフローチャートである。
本実施形態は、アセスメント分析機能により、複数企業の監査結果の集計表示による傾向分析を行うことができる点で第一実施形態と異なる。すなわち、本発明では、アセスメント回答の重み付け配点による集計を可能としているため、複数の企業の複数対象者に対して行った複数のアセスメント実施結果を、企業属性別、対象者属性別に集計したグラフと一覧形式で表示することが可能である。
このアセスメント分析機能は、ISO監査サーバ30のアセスメント実行部32および結果表示部33により実現させることができる。その他の点については、第一実施形態と同様であり、本実施形態のブロック図も図2と同様のものとすることができる。
【0077】
図9は、図3に示すアセスメント処理手順の会員認証(ステップA1)の後に、アセスメント実行画面表示を選択するのではなく、アセスメント分析画面を表示する処理を選択した場合の処理フローを示すものである。
アセスメント実行部32は、企業DB43に登録されている情報から、分析対象となる企業属性(業種、業態、規模など)を抽出して、アセスメント分析画面に表示する。そして、分析対象としたい属性を選択入力可能とする。
これに対して、監査者は、監査用端末10から、属性を選択入力してISO監査サーバ30に送信し、ISO監査サーバ30のアセスメント実行部32は、この選択入力された属性にもとづいて、企業DB43からこの属性をもつ企業を抽出する。また、ステップC2において、対象者属性(所属部署や役職など)という切り口を選択して抽出することも可能である。
【0078】
次に、結果表示部33は、抽出された企業の企業ID等にもとづいて、対象企業の履歴DB42上のアセスメント実施結果を、質問項目別、評価軸別に重み付けに従って集計し、結果グラフとして表示する(ステップC3)。あるいは対象者属性まで指定されていた場合、結果表示部33は、アセスメント実施結果として、履歴DB42上の対象者属性別に集計する。
以上説明したように、本実施形態のISO監査システムによれば、企業属性や対象者属性にもとづいて、情報セキュリティアセスメントでの傾向分析を容易に行うことが可能となる。
【0079】
上記の実施形態におけるアセスメントの出題アルゴリズムの生成や、アセスメント実施結果の集計等は、ISO監査プログラムにより実行される。
このISO監査プログラムは、コンピュータの各構成要素に指令を送り、所定の処理、例えば、アセスメントの出題アルゴリズムの生成処理や、アセスメント実施結果の集計処理等を行わせる。
これによって、これらの処理は、ISO監査プログラムとコンピュータとが協働したISO監査サーバ30などにより実現される。
【0080】
なお、ISO監査プログラムは、コンピュータのROMやハードディスクに記憶させる他、コンピュータ読み取り可能な記録媒体、たとえば、外部記憶装置及び可搬記録媒体等に格納することができる。
外部記憶装置とは、磁気ディスク等の記録媒体を内蔵し、例えばISO監査サーバ30などに外部接続される記憶増設装置をいう。一方、可搬記録媒体とは、記録媒体駆動装置(ドライブ装置)に装着でき、かつ、持ち運び可能な記録媒体であって、たとえば、CD−ROM、フレキシブルディスク、メモリカード、光磁気ディスク等をいう。
【0081】
そして、記録媒体に記録されたプログラムは、コンピュータのRAMにロードされて、CPUにより実行される。この実行により、上述した本実施形態のISO監査サーバ30の機能が実現される。
さらに、コンピュータでISO監査プログラムをロードする場合、他のコンピュータで保有されたISO監査プログラムを、通信回線を利用して自己の有するRAMや外部記憶装置にダウンロードすることもできる。
このダウンロードされたISO監査プログラムも、CPUにより実行され、本実施形態のアセスメントの出題アルゴリズムの生成処理や、アセスメント実施結果の集計処理等を実現する。
【0082】
なお、本発明は以上の実施形態に限定されるものではなく、本発明の範囲内において、種々の変更実施が可能であることは言うまでもない。
例えば、出題アルゴリズムの自動生成やアルゴリズムの組み直しにおける詳細な処理手順は、上述の方法に限定されるものではなく、適宜設計変更することが可能である。また、本発明のISO監査システムを、ISO監査に限らず、他の監査に適用することも可能ある。さらに、本発明の目的を実現可能な範囲内で、フローチャートにおいて、アクセスするDBを増加したり、DBからの抽出項目やDBへの登録項目を変更するといった各処理の詳細な内容変更や、ブロック図の構成要素の分離・併合などの設計変更を行うことも可能である。
【0083】
【発明の効果】
以上のように、本発明によれば、質問項目に被監査者の属性に応じた重み付けや、監査の重要度に応じた重み付けを設定することができ、監査者によるその監査の重要度や被監査者の状況に応じたアセスメントの実施レベルの選択にもとづいて、最適なアセスメントの出題アルゴリズムを自動生成することができる。
このため、監査者は、監査そのものに集中しながら進行を図ることができるとともに、監査をより柔軟かつ効率的に実施することが可能となる。
【0084】
また、本実施形態のISO監査システムによれば、監査の精度をあげることができる。すなわち、被監査者の属性に応じて、アセスメントで出題される質問内容と、回答に対する配点とに重み付けを考慮することができるため、同一企業内においても被監査者属性ごとに内容の濃い回答を得ることが可能となる。また、回答の集計が回答数ではなく、重み付けによる配点で行われるため、同一被監査組織内における複数人物の監査結果の比較、分析を定量的に行うことが可能となる。
【0085】
さらに、ISO監査のアセスメント実施結果を即時に表示することにより、短時間での診断を行うことが可能となる。すなわち、アセスメントによる得点は、質問DB上のISO条文に設定した配点と、回答を即時に格納する履歴DB上のデータとにより自動集計することができ、回答直後に集計結果の一覧表示およびグラフ表示を行うことができる。このため、過去の同一部署におけるアセスメント実施結果や、同一企業内の他の部署におけるアセスメント実施結果との比較グラフも即時に表示可能なため、情報セキュリティレベルやポリシー遵守レベルの比較診断を、その場で即時行うことが可能となる。
【0086】
また、本実施形態のISO監査システムによれば、周到な準備時間や監査ノウハウが無い監査者がアセスメントを実施しても、アセスメント実施結果の出力内容に差がでないという効果が得られる。すなわち、アセスメント用質問セットの共有が可能であるとともに、重み付けを考慮して適切に自動生成されたアルゴリズムに従ってアセスメントを進めることができるため、経験の浅い監査者であっても、熟練者のノウハウを利用したアセスメントを実施することが可能となる。このため、本実施形態のISO監査システムは、監査者による監査という本来の利用目的以外に、被監査企業が情報セキュリティの自己診断として行うセルフアセスメントや、ISO監査内容の学習や啓蒙教育などにも利用することが可能である。
さらに、企業属性や対象者属性にもとづいて、複数の企業や対象者のアセスメント実施結果の比較を行うことができるため、情報セキュリティアセスメントでの傾向分析を容易に行うことが可能となる。
【0087】
また、ISO監査プログラムは、コンピュータの各構成要素へ所定の指令を送ることにより、このアセスメントの出題アルゴリズムの生成機能や、アセスメント実施結果の集計機能等を実現させることができる。
これによって、これらの機能等は、ISO監査プログラムとコンピュータとが協働したISO監査サーバにより実現可能である。
【図面の簡単な説明】
【図1】本発明の第一実施形態のISO監査システムの概略図である。
【図2】本発明の第一実施形態のISO監査システムの構成を示すブロック図である。
【図3】本発明の第一実施形態のISO監査システムにおけるアセスメント処理手順を示すフローチャートである。
【図4】本発明の第一実施形態のISO監査システムにおけるアセスメント履歴画面および監査情報画面を示す図である。
【図5】本発明の第一実施形態のISO監査システムにおけるアセスメント実行画面(回答用)を示す図である。
【図6】本発明の第一実施形態のISO監査システムにおけるアセスメント集計結果表示画面を示す図である。
【図7】本発明の第二実施形態のISO監査システムにおけるアセスメントメンテナンス処理手順を示すフローチャートである。
【図8】本発明の第一実施形態のISO監査システムにおけるアセスメントメンテナンス画面を示す図である。
【図9】本発明の第二実施形態のISO監査システムにおけるアセスメント処理手順を示すフローチャートである。
【符号の説明】
10 監査用端末
20 メンテナンス用端末
30 ISO監査サーバ
31 会員認証部
32 アセスメント実行部
33 結果表示部
34 アセスメントメンテナンス実行部
40 データベース装置
41 質問DB
42 履歴DB
43 企業DB
44 会員DB
50 通信ネットワーク

Claims (15)

  1. 通信ネットワークを介して接続された監査用端末と監査サーバを有する監査システムであって、
    前記監査サーバが、アセスメントの実施にあたり、履歴DBに登録されている当該アセスメントの情報と、質問DBに登録されているISO条文に関連する質問情報と、前記監査用端末から受信する被監査者の回答にもとづいて、質問の出題アルゴリズムを組み立てるとともに、この出題アルゴリズムに従い質問を前記監査用端末に送信し、
    前記監査用端末が、送信されてきた質問を表示するとともに、この質問に対する回答を前記監査サーバに送信する
    ことを特徴とする監査システム。
  2. 前記監査サーバが、
    前記質問DBに登録されている一又は二以上の質問セットから、前記履歴DBに登録されている当該アセスメントの情報における質問タイプにもとづき質問セットを検索して、検索された質問セットにおける各質問項目の属性が、前記被監査者、および前記アセスメントの情報におけるアセスメントタイプに合致する質問項目を抽出し、この抽出した質問項目を質問番号順に並び替えて前記監査用端末に送信する
    ことを特徴とする請求項1記載の監査システム。
  3. 前記監査サーバが、
    前記監査用端末から受信した回答にもとづいて、前記質問DBにおける当該回答に対応する質問の関連質問を、その回答内容に応じて肯定回答または否定回答が得られたものと擬制して質問の出題アルゴリズムを組み直し、この組み直した出題アルゴリズムに従い質問を前記監査用端末に送信するとともに、前記回答および前記擬制した回答を前記履歴DBに保存する
    ことを特徴とする請求項1または2記載の監査システム。
  4. 前記監査サーバが、
    前記監査用端末から受信した回答に対し、この回答に対応する質問の配点と、その質問に設定された重み付け配点と、ISO条文の章または節ごとに設定された重み付け配点と、にもとづいて得点を計算し、かつ、前記質問DBに登録されている各質問の評価軸ごとに、前記得点を集計する
    ことを特徴とする請求項1〜3のいずれかに記載の監査システム。
  5. 前記監査サーバが、
    前記評価軸ごとの集計結果を、少なくとも一覧表またはグラフの形式により表示する
    ことを特徴とする請求項1〜4のいずれかに記載の監査システム。
  6. 前記監査サーバが、
    前記監査用端末から受信した企業属性、または対象者属性にもとづいて、企業DBから当該企業属性、または対象者属性を有する企業または対象者を抽出し、この抽出した企業または対象者のアセスメント実施結果を前記履歴DBから抽出して、前記評価軸ごとの前記得点を集計する
    ことを特徴とする請求項1〜5のいずれかに記載の監査システム。
  7. 前記監査サーバに、通信ネットワークを介してメンテナンス用端末が接続され、
    当該メンテナンス用端末が、メンテナンス対象となる質問項目に対応するISOの条文番号を前記監査サーバに送信するとともに、前記監査サーバから受信した質問項目編集画面を表示し、かつ、編集入力された質問項目を前記監査サーバへ送信し、
    前記監査サーバが、前記メンテナンス用端末から受信した前記条文番号にもとづいて、前記質問DBを検索し、当該条文番号に対応する質問項目が存在する場合は、この質問項目を表示した質問項目編集画面を、当該条文番号に対応する質問項目が存在しない場合は、ブランク表示の質問項目編集画面を、前記メンテナンス用端末に送信し、かつ、前記メンテナンス用端末から受信した前記編集入力された質問項目を前記質問DBに保存する
    ことを特徴とする請求項1〜6のいずれかに記載の監査システム。
  8. 通信ネットワークを介して接続された監査用端末と監査サーバを用いた監査方法であって、
    前記監査サーバが、アセスメントの実施にあたり、履歴DBに登録されている当該アセスメントの情報と、質問DBに登録されているISO条文に関連する質問情報と、前記監査用端末から受信した被監査者の回答にもとづいて、質問の出題アルゴリズムを組み立てるとともに、この出題アルゴリズムに従い質問を前記監査用端末に送信し、
    前記監査用端末が、送信されてきた質問を表示するとともに、この質問に対する回答を前記監査サーバに送信する
    ことを特徴とする監査方法。
  9. 前記監査サーバが、前記質問DBに登録されている一又は二以上の質問セットから、前記履歴DBに登録されている当該アセスメントの情報における質問タイプにもとづき質問セットを検索して、検索された質問セットにおける各質問項目の属性が、前記被監査者、および前記アセスメントの情報におけるアセスメントタイプに合致する質問項目を抽出し、この抽出した質問項目を質問番号順に並び替えて前記監査用端末に送信し、
    前記監査用端末が、受信した質問項目に対する回答を、前記監査サーバに送信し、
    前記監査サーバが、受信した回答にもとづいて、前記質問DBにおける当該回答に対応する質問の関連質問を、その回答内容に応じて肯定回答または否定回答が得られたものと擬制して質問の出題アルゴリズムを組み直し、この組み直した出題アルゴリズムに従い質問を前記監査用端末に送信するとともに、前記回答および前記擬制した回答を前記履歴DBに保存する
    ことを特徴とする請求項8記載の監査方法。
  10. 前記監査サーバが、
    前記監査用端末から受信した回答に対し、この回答に対応する質問の配点と、その質問に設定された重み付け配点と、ISO条文の章または節ごとに設定された重み付け配点と、にもとづいて得点を計算し、かつ、前記質問DBに登録されている各質問の評価軸ごとに、前記得点を集計する
    ことを特徴とする請求項8または9記載の監査方法。
  11. 通信ネットワークを介して、監査用端末に監査のための質問およびアセスメント実施結果を送信する監査サーバであって、
    重み付けや配点情報を含んだ質問データを格納する質問DBと、
    アセスメント実施結果としての回答データを格納する履歴DBと、
    監査を行う監査者情報を格納する会員DBと、
    前記監査用端末から受信した会員IDおよびパスワードにもとづいて前記会員DBを検索し、当該会員IDおよびパスワードが前記会員DBに登録されているか否かにより認証を実行する会員認証部と、
    アセスメントの実施にあたり、前記履歴DBに登録されている当該アセスメントの情報と、前記質問DBに登録されているISO条文に関連する質問情報と、前記監査用端末から受信した被監査者の回答にもとづいて、質問の出題アルゴリズムを組み立てるとともに、この出題アルゴリズムに従い質問を前記監査用端末に送信するアセスメント実行部と、
    前記監査用端末からの要求にもとづいて、アセスメント実施結果を表示するアセスメント集計画面を前記監査用端末に送信する結果表示部と、を有する
    ことを特徴とする監査サーバ。
  12. 前記アセスメント実行手段が、
    前記質問DBに登録されている一又は二以上の質問セットから、前記履歴DBに登録されている当該アセスメントの情報における質問タイプにもとづき質問セットを検索し、検索された質問セットにおける各質問項目の属性が、前記被監査者、および前記アセスメントの情報におけるアセスメントタイプに合致する質問項目を抽出して、この抽出した質問項目を質問番号順に並び替えて前記監査用端末に送信し、前記監査用端末から受信した前記質問項目に対応する回答にもとづいて、前記質問DBにおける当該回答に対応する質問の関連質問を、その回答内容に応じて肯定回答または否定回答が得られたものと擬制して質問の出題アルゴリズムを組み直し、この組み直した出題アルゴリズムに従い質問を前記監査用端末に送信するとともに、前記回答および前記擬制した回答を前記履歴DBに保存する
    ことを特徴とする請求項11記載の監査サーバ。
  13. 前記結果表示部が、
    前記監査用端末から受信した回答に対し、この回答に対応する質問の配点と、その質問に設定された重み付け配点と、ISO条文の章または節ごとに設定された重み付け配点と、にもとづいて得点を計算し、かつ、前記質問DBに登録されている各質問の評価軸ごとに、前記得点を集計して、少なくとも一覧表またはグラフを作成し、この一覧表またはグラフを前記監査用端末に送信する
    ことを特徴とする請求項11または12記載の監査サーバ。
  14. 監査用端末に、監査のための質問およびアセスメント実施結果を、通信ネットワークを介して監査用端末へ送信させる監査プログラムであって、
    前記監査サーバに、
    質問DBに登録されている一又は二以上の質問セットから、履歴DBに登録されている当該アセスメントの情報における質問タイプにもとづき質問セットを検索させて、検索された質問セットにおける各質問項目の属性が、被監査者、および前記アセスメントの情報におけるアセスメントタイプに合致する質問項目を抽出させ、この抽出させた質問項目を質問番号順に並び替えさせて前記監査用端末に送信させ、
    前記監査用端末から受信した前記質問項目に対応する回答にもとづいて、前記質問DBにおける当該回答に対応する質問の関連質問を、その回答内容に応じて肯定回答または否定回答が得られたものと擬制して質問の出題アルゴリズムを組み直させ、この組み直させた出題アルゴリズムに従い質問を前記監査用端末に送信させるとともに、前記回答および前記擬制した回答を前記履歴DBに保存させる
    ことを実行させるための監査プログラム。
  15. 前記監査サーバに、
    前記監査用端末から受信させた回答に対し、この回答に対応する質問の配点と、その質問に設定された重み付け配点と、ISO条文の章または節ごとに設定された重み付け配点と、にもとづいて得点を計算させ、かつ、前記質問DBに登録されている各質問の評価軸ごとに、前記得点を集計させる
    ことを実行させるための請求項14記載の監査プログラム。
JP2003088202A 2003-03-27 2003-03-27 監査システム、監査方法、監査サーバ及び監査プログラム Pending JP2004295590A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2003088202A JP2004295590A (ja) 2003-03-27 2003-03-27 監査システム、監査方法、監査サーバ及び監査プログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003088202A JP2004295590A (ja) 2003-03-27 2003-03-27 監査システム、監査方法、監査サーバ及び監査プログラム

Publications (1)

Publication Number Publication Date
JP2004295590A true JP2004295590A (ja) 2004-10-21

Family

ID=33402395

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003088202A Pending JP2004295590A (ja) 2003-03-27 2003-03-27 監査システム、監査方法、監査サーバ及び監査プログラム

Country Status (1)

Country Link
JP (1) JP2004295590A (ja)

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006244010A (ja) * 2005-03-02 2006-09-14 Fujitsu Social Science Laboratory Ltd 監査処理プログラム,装置及び方法
JP2008009819A (ja) * 2006-06-30 2008-01-17 Uchida Yoko Co Ltd セキュリティ診断システム
JP2009169678A (ja) * 2008-01-16 2009-07-30 Ricoh Co Ltd データ入力装置及びデータ入力システム
JP2010165099A (ja) * 2009-01-14 2010-07-29 Mitsubishi Electric Corp セキュリティ管理装置及びセキュリティ管理方法及びプログラム
CN107230022A (zh) * 2017-06-09 2017-10-03 国网重庆市电力公司电力科学研究院 一种基于ahp的电能计量装置安装工艺质量的评价方法
JP2017188082A (ja) * 2016-03-30 2017-10-12 三菱Ufj信託銀行株式会社 金融リテラシーコンサルティングシステム及びその方法
CN109325021A (zh) * 2018-10-17 2019-02-12 大国创新智能科技(东莞)有限公司 基于大数据和深度学习的跟踪认定方法和机器人系统
JP2022054183A (ja) * 2020-09-25 2022-04-06 三菱電機インフォメーションネットワーク株式会社 評価点補正装置及び評価点補正プログラム
JP2022115543A (ja) * 2021-01-28 2022-08-09 社会保険労務士法人みらいコンサルティング 監査支援装置および監査支援方法

Cited By (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006244010A (ja) * 2005-03-02 2006-09-14 Fujitsu Social Science Laboratory Ltd 監査処理プログラム,装置及び方法
JP4572126B2 (ja) * 2005-03-02 2010-10-27 株式会社富士通ソーシアルサイエンスラボラトリ 監査処理プログラム,装置及び方法
JP2008009819A (ja) * 2006-06-30 2008-01-17 Uchida Yoko Co Ltd セキュリティ診断システム
JP2009169678A (ja) * 2008-01-16 2009-07-30 Ricoh Co Ltd データ入力装置及びデータ入力システム
JP2010165099A (ja) * 2009-01-14 2010-07-29 Mitsubishi Electric Corp セキュリティ管理装置及びセキュリティ管理方法及びプログラム
JP2017188082A (ja) * 2016-03-30 2017-10-12 三菱Ufj信託銀行株式会社 金融リテラシーコンサルティングシステム及びその方法
CN107230022A (zh) * 2017-06-09 2017-10-03 国网重庆市电力公司电力科学研究院 一种基于ahp的电能计量装置安装工艺质量的评价方法
CN107230022B (zh) * 2017-06-09 2021-01-29 国网重庆市电力公司电力科学研究院 一种基于ahp的电能计量装置安装工艺质量的评价方法
CN109325021A (zh) * 2018-10-17 2019-02-12 大国创新智能科技(东莞)有限公司 基于大数据和深度学习的跟踪认定方法和机器人系统
CN109325021B (zh) * 2018-10-17 2021-11-02 大国创新智能科技(东莞)有限公司 基于大数据和深度学习的跟踪认定方法和机器人系统
JP2022054183A (ja) * 2020-09-25 2022-04-06 三菱電機インフォメーションネットワーク株式会社 評価点補正装置及び評価点補正プログラム
JP7071462B2 (ja) 2020-09-25 2022-05-19 三菱電機インフォメーションネットワーク株式会社 評価点補正装置及び評価点補正プログラム
JP2022115543A (ja) * 2021-01-28 2022-08-09 社会保険労務士法人みらいコンサルティング 監査支援装置および監査支援方法
JP7127166B2 (ja) 2021-01-28 2022-08-29 社会保険労務士法人みらいコンサルティング 監査支援装置および監査支援方法

Similar Documents

Publication Publication Date Title
Ali et al. Does higher education service quality effect student satisfaction, image and loyalty? A study of international students in Malaysian public universities
Scheidt et al. Making a case for speech analytics to improve customer service quality: Vision, implementation, and evaluation
Mwanza Conceptualising work activity for CAL systems design
US7668745B2 (en) Human resource assessment
US8112306B2 (en) System and method for facilitating triggers and workflows in workforce optimization
Jennex et al. A knowledge management success model: An extension of DeLone and McLean's IS success model
CN110232573A (zh) 基于交互式的智能应答系统
US20070198325A1 (en) System and method for facilitating triggers and workflows in workforce optimization
US20060031115A1 (en) Human resource assessment
EP3058523A2 (en) Assessment system
JP5854988B2 (ja) 診断システム
JP2002157380A (ja) 企業研修企画方法及び企業研修情報取得方法
US20150254995A1 (en) System for identifying orientations of an individual
KR102370384B1 (ko) 데이터 가공을 통한 비대면 면접 방법
Wooderson et al. Evaluating the performance improvement preferences of disability service managers: An exploratory study using Gilbert's behavior engineering model
JP2004295590A (ja) 監査システム、監査方法、監査サーバ及び監査プログラム
CN109685444A (zh) 签报自动审批方法、装置、设备及计算机可读存储介质
US20020091558A1 (en) System and method for determining and implementing best practice in a distributed workforce
Natt och Dag et al. An experiment on linguistic tool support for consolidation of requirements from multiple sources in market-driven product development
Yu et al. Testing the value of expert insight: Comparing local versus general expert judgment models
JP2002032538A (ja) スキル管理システム及びコンピュータ読み取り可能な記録媒体
KR20220070904A (ko) 온라인 상담 서비스 시스템
Doloh et al. The Role of Financial Behavior, Financial Stress, and Financial Well-Being in Explaining Islamic Financial Literacy among University Students.
JP7002162B1 (ja) プログラム、情報処理装置、及び方法
JP2004110502A (ja) 分析結果提供方法、分析結果提供システム

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20060104

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20060131

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20060403

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20070327