○雲南市情報セキュリティ監査実施規程

平成19年12月21日

訓令第48号

(目的)

第1条 この訓令は、雲南市における情報セキュリティ監査(以下「監査」という。)に関する基本的事項を定め、雲南市の情報セキュリティの維持・向上に資することを目的とする。

(監査対象)

第2条 監査は、雲南市情報セキュリティポリシーに定める行政機関を対象に実施する。

(監査担当部門)

第3条 情報セキュリティ監査統括責任者(以下「責任者」という。)は情報セキュリティ委員会(以下「委員会」という。)が指名し、監査に関わる責任と権限を有する。

2 監査は、責任者が指名する監査人によって実施する。

3 外部監査を行う場合は、外部監査人の選定基準に基づき、客観的で公平な手続きに従って調達を行い、外部の専門家により監査を実施する。

4 監査の事務は、総務部情報システム課において処理する。

(監査の権限)

第4条 監査人は、監査の実施にあたって被監査部門に対し、資料の提出、事実などの説明その他監査人が必要とする事項の開示を求めることができる。

2 被監査部門は、前項の求めに対して、正当な理由なくこれを拒否することはできない。

3 監査人は、外部委託先など業務上の関係先に対して、事実の確認を求めることができる。

4 監査人は、被監査部門に対して改善勧告事項の実施状況の報告を求めることができる。

(監査担当者の責務)

第5条 監査人は、監査を客観的に実施するために、監査対象から独立していなければならない。

2 監査人は、監査の実施にあたり、常に公正かつ客観的に監査判断を行わなければならない。

3 監査人は、監査及び情報セキュリティに関する専門知識を有し、相当な注意をもって監査を実施しなければならない。

4 監査報告書の記載事項については、責任者及び監査人がその責任を負わなければならない。

5 責任者及び監査人は、業務上知り得た秘密事項を正当な理由なく他に開示してはならない。

6 前項の規定は、その職務を離れた後も存続する。

(監査関係文書の管理)

第6条 監査関係文書は、紛失等が発生しないように適切に保管しなければならない。

(監査計画)

第7条 監査は、原則として監査計画に基づいて実施しなければならない。

2 監査計画は、中期計画、年度計画及び監査実施計画とする。

(中期計画及び年度計画)

第8条 責任者は、中期の監査基本方針を中期計画として策定し、委員会の承認を得なければならない。

2 責任者は、中期計画に基づき、当該年度の監査方針、監査目標、監査対象、監査実施時期、監査要員、監査費用等を定めた年度計画を策定し、委員会の承認を得なければならない。

(監査実施計画)

第9条 責任者は、年度計画に基づいて、個別に実施する監査ごとに監査実施計画を策定し、委員会の承認を得なければならない。

2 特命その他の理由により、年度計画に記載されていない監査を実施する場合も、監査実施計画を策定しなければならない。

(監査実施通知)

第10条 責任者は、監査実施計画に基づく監査の実施にあたって、原則として1週間以上前に被監査部門の情報セキュリティ管理者(以下「管理者」という。)に対し、監査実施の時期、監査日程、監査範囲、監査項目等を文書で通知しなければならない。ただし、特命その他の理由により、事前の通知なしに監査を実施する必要性があると判断した場合は、この限りでない。

(監査実施)

第11条 監査人は、監査実施計画に基づき、監査を実施しなければならない。ただし、特命その他の理由によりやむを得ない場合には、責任者の承認を得てこれを変更し実施することができる。

(監査調書)

第12条 監査人は、実施した監査手続の結果とその証拠資料等、関連する資料を監査調書として作成しなければならない。

(監査結果の意見交換)

第13条 監査人は、監査の結果、発見された問題点について事実誤認などがないことを確認するため、被監査部門との意見交換を行わなければならない。

(監査結果の報告)

第14条 責任者は、監査終了後、すみやかに監査結果を監査報告書としてとりまとめ、委員会に報告しなければならない。ただし、特命その他の理由により緊急を要する場合は口頭をもって報告することができる。

2 監査報告書の写しは、必要に応じて、被監査部門の管理者に回覧又は配布する。

3 責任者は、被監査部門に対して監査報告会を開催しなければならない。

(監査結果の通知と改善措置)

第15条 責任者は、委員会への監査結果報告後、すみやかに監査結果を被監査部門の管理者に通知しなければならない。

2 前項の通知を受けた被監査部門の管理者は、改善勧告事項に対する改善実施の可否、改善内容、改善実施時期等について、責任者に回答しなければならない。

3 委員会は、監査結果を情報セキュリティポリシーの見直し、その他情報セキュリティ対策の見直し時に活用しなければならない。

(フォローアップ)

第16条 責任者は、被監査部門における改善勧告事項に対する改善実施状況について、適宜フォローアップしなければならない。

2 前項による確認結果については、適宜とりまとめ、委員会に報告しなければならない。

附 則

この訓令は、平成20年4月1日から施行する。

雲南市情報セキュリティ監査実施規程

平成19年12月21日 訓令第48号

(平成20年4月1日施行)