上小阿仁村情報セキュリティ監査実施要綱

○上小阿仁村情報セキュリティ監査実施要綱

(令和2年3月31日要綱第26号)

第1条　上小阿仁村電子情報セキュリティ対策基準（以下、「基準」という。）第28条に基づき、情報セキュリティ監査に関する基本的事項を定め、上小阿仁村の情報セキュリティの維持・向上に資することを目的とする。

第2条　情報セキュリティ監査は、上小阿仁村電子情報セキュリティポリシーに定める行政機関を対象に実施する。

(情報セキュリティ監査統括責任者)

第3条　統括情報セキュリティ責任者を情報セキュリティ監査統括責任者とする。

(監査実施体制)

第4条　情報セキュリティ監査は、情報セキュリティ監査統括責任者が担当する。

2　情報セキュリティ監査は、情報セキュリティ監査統括責任者が指名する監査人によって実施する。

3　外部監査を行う場合は、外部監査人の選定基準に基づき、客観的で公平な手続きに従って調達を行い、外部の専門家により情報セキュリティ監査を実施する。

(監査の権限)

第5条　監査人は、情報セキュリティ監査の実施にあたって被監査部門に対し、資料の提出、事実などの説明、その他監査人が必要とする事項の開示を求めることができる。

2　被監査部門は、前項の求めに対して、正当な理由なくこれを拒否することはできない。

3　監査人は、外部委託先など業務上の関係先に対して、事実の確認を求めることができる。

4　監査人は、被監査部門に対して改善勧告事項の実施状況の報告を求めることができる。

(監査人の責務)

第6条　監査人は、監査を客観的に実施するために、監査対象から独立していなければならない。

2　監査人は、情報セキュリティ監査の実施にあたり、常に公正かつ客観的に監査判断を行わなければならない。

3　監査人は、監査及び情報セキュリティに関する専門知識を有し、相当な注意をもって監査を実施しなければならない。

4　監査報告書の記載事項については、情報セキュリティ監査統括責任者及び監査人がその責任を負わなければならない。

5　情報セキュリティ監査統括責任者及び監査人は、業務上知り得た秘密事項を正当な理由なく他に開示してはならない。

6　前項の規定は、その職務を離れた後も存続する。

(監査関係文書の管理)

第7条　監査関係文書は、紛失等が発生しないように適切に保管しなければならない。

第8条　情報セキュリティ監査は、原則として監査計画に基づいて実施しなければならない。

2　監査計画は、中期計画、年度計画及び監査実施計画とする。

(中期計画及び年度計画)

第9条　情報セキュリティ監査統括責任者は、中期の監査基本方針を中期計画として策定し、情報セキュリティ委員会の承認を得なければならない。

2　情報セキュリティ監査統括責任者は、中期計画に基づき、当該年度の監査方針、監査目標、監査対象、監査実施時期、監査要員、監査費用などを定めた年度計画を策定し、情報セキュリティ委員会の承認を得なければならない。

(監査実施計画)

第10条　情報セキュリティ監査統括責任者は、年度計画に基づいて、個別に実施する監査毎に監査実施計画を策定し、情報セキュリティ委員会の承認を得なければならない。

2　特命その他の理由により、年度計画に記載されていない監査を実施する場合も、監査実施計画を策定しなければならない。

(監査実施通知)

第11条　　情報セキュリティ監査統括責任者は、監査実施計画に基づく監査の実施にあたって、原則として1週間以上前に被監査部門の情報セキュリティ管理者に対し、監査実施の時期、監査日程、監査範囲、監査項目などを文書で通知しなければならない。ただし、特命その他の理由により、事前の通知なしに監査を実施する必要性があると判断した場合には、この限りではない。

第12条　監査人は、監査実施計画に基づき、監査を実施しなければならない。ただし、特命その他の理由によりやむを得ない場合には、情報セキュリティ監査統括責任者の承認を得てこれを変更し実施することができる。

第13条　監査人は、実施した監査手続の結果とその証拠資料など、関連する資料を監査調書として作成しなければならない。

(監査結果の意見交換)

第14条　監査人は、監査の結果、発見された問題点について事実誤認などがないことを確認するため、被監査部門との意見交換を行わなければならない。

(監査結果の報告)

第15条　情報セキュリティ監査統括責任者は、監査終了後、すみやかに監査結果報告書として取りまとめ情報セキュリティ委員会に報告しなければならない。ただし、特命その他の理由により緊急を要する場合は口頭をもって報告することができる。

2　監査報告書の写しは、必要に応じて、被監査部門の情報セキュリティ管理者に回覧又は配布する。

3　情報セキュリティ監査統括責任者は、被監査部門に対して監査報告会を開催しなければならない。

(監査結果の通知と改善措置)

第16条　最高情報セキュリティ責任者は、情報セキュリティ委員会への監査結果報告後、すみやかに監査結果を被監査部門の情報セキュリティ管理者に通知しなければならない。

2　前項の通知を受けた被監査部門の情報セキュリティ管理者は、改善勧告事項に対する改善実施の可否、改善内容、改善実施時期などについて、最高情報セキュリティ責任者に回答しなければならない。

3　情報セキュリティ委員会は、監査結果を情報セキュリティポリシーの見直し、その他情報セキュリティ対策の見直し時に活用しなければならない。

(フォローアップ)

第17条　情報セキュリティ監査統括責任者は、被監査部門における改善勧告事項に対する改善実施状況について、適宜フォローアップしなければならない。

2　前項による確認結果については、適宜とりまとめ、情報セキュリティ委員会に報告しなければならない。

この要綱は、令和2年4月1から施行する。