ガバナンス、リスク、コンプライアンスの略であるGRCは、今日のサイバーセキュリティ分野で広く普及しています。 これは、業界標準化団体や政府がデータ侵害の状況に対応した結果です。 コンプライアンスの新しい要件は、非常に効果的なリスク管理計画を作成する上で非常に重要です。 GRCを見る別の方法は、情報技術をビジネス目標に合わせると同時にリスクを管理し、要件に準拠するための構造を備えたアプローチです。

ガバナンス：すべての組織活動が長期的なビジネス目標をサポートするように調整されるようにします。 ガバナンスは、すべてのプロセスの監査と円滑な実行のために、外部および内部の両方の利害関係者と通信します。

リスクは、組織の活動に関連するリスクと機会の両方がビジネス目標と一致することを保証しようとします。

コンプライアンス：組織内の活動が、システムに影響を与える法規制の範囲内で機能することを保証します。

ガバナンスの監査

コーポレートガバナンスとは？

企業は、ガバナンスを証明するためのプロセス、慣行、およびルールを確立する必要があります。 重要なことに、リスクを知識を持ってレビューする責任は、上級管理職と取締役会にあります。 ガバナンスは2つの組織に力を与えます。

サイバーセキュリティにおけるコーポレートガバナンスとは何ですか？

コーポレートガバナンスには、サイバーセキュリティにひねりがあります。 取締役会と上級管理職は、多くの場合、ビジネス目標の結果としてのサイバーセキュリティリスクを理解する必要がありますが、セキュリティ関連の決定を行う必要はありません。 また、サイバーセキュリティガバナンスは、内部統制の成功をレビューする必要があります。

監査委員会の責任は何ですか？

現在、多くの企業がサイバーセキュリティに焦点を当てており、監査委員会を取締役会と監査プログラムをつなぐ仲介役にしています。

したがって、監査委員会のメンバーは、組織の他のすべてのメンバーよりもサイバーリスクをよく理解する必要があります。 ただし、技術に精通している必要はありません。 詳細な会話を行うには、社内のIT（情報技術）リーダーと協力するだけで済みます。

企業の監査計画では、Platform-as-a-Service（PaaS）、Infrastructure-as-a-Service（IaaS）、およびSoftware-as-a-Service（SaaS）ベンダーを多く使用している場合でも、データの脅威に注意を払う必要があります。 。 コンプライアンスプログラムの（KPI）主要業績評価指標を決定するために使用するプロセスは、監査計画の主な焦点です。 したがって、サイバーセキュリティ監査計画を確立することで、ガバナンスを開発および証明する方法をガイドします。

タイミング

内部監査の計画は継続的なプロセスです。 監査計画を立てる前に、過去のチェックで統制の欠陥を確認してください。 その後、スコープを決定できます。

たとえば、組織に必要なオペレーティングシステムとソフトウェアパッチ管理がなかった場合、それは次の監査の範囲の一部になるはずです。 パッチ適用は完璧でしたが、過去の監査で、多くのネットワークとシステムが工場出荷時に事前設定されたログインを維持していることがわかった場合は、それに焦点を合わせてください。

言い換えれば、サイバーセキュリティの監視に対して行った改善に基づいて、計画とタイミングを継続的に維持します。

リスクアセスメント

すべての監査計画には、全体的な観点からサイバーセキュリティリスクを含める必要があります。 監査計画を作成する時点で、データ侵害の可能性、場所、潜在的なデータ侵害のコスト、およびデータを組み込んだリスク許容度を確立します。 監査計画の範囲を決定するときは、リスクが最も高い情報評価に焦点を合わせます。

コンプライアンス委員会

コンプライアンス委員会は、内部統制を文書化および監視することを任務とする内部の利害関係者で構成されています。 コンプライアンス委員会は、監査委員会とともに、会社が規制や基準の変更に対応していることを確認します。 したがって、これらは、統制の生産性を維持し、ガバナンスのプログラムを提供するための最初の防衛線です。

内部監査人がサイバーセキュリティガバナンスをレビューする方法

ガバナンスの証明に必要な手順を含む範囲は、監査計画によって設定されます。 2つ目の目が必要なため、内部監査がその役割を果たします。

サイバーセキュリティが業界のコンプライアンス要件によって設定された基準と規制を満たしているかどうかを評価およびレビューするために、内部監査のための独立した人物が必要になります。 内部監査人は、サイバーセキュリティコンプライアンスプログラムに関連するすべての文書を検討します。 監査は、定義された内部統制を通じてコン​​プライアンスを維持したかどうかをチェックします。

ガバナンスについては、内部監査人は、コンプライアンス委員会が監査委員会に報告するかどうかを調べ、プロセスとポリシーによって定義された統制をレビューします。

内部委員会が果たす役割の例は、チームがリスクを伝達し、効果的に監視することを保証するために、会議の監査およびコンプライアンス委員会の議事録をレビューする場合があることです。 次に、監査人はメモを取締役会の議事録と比較して、情報が関係するすべての人々を通過することを確認します。

理想的には、活動とコミュニケーションを文書化することで、サイバーセキュリティプログラムのガバナンスを監査するために必要な証拠が監査人に提供されます。

ドキュメントを使用してガバナンスの監査を容易にする方法

自動化は、実質的な文書化とコミュニケーションを可能にするため、内部ガバナンス監査を容易にするのに役立ちます。

組織の規模は異なります。 組織の規模は、監査委員会、コンプライアンス委員会、および取締役会全体でのメッセージの調整に直接影響します。 監査委員会の資料には、問題、リスク、および次のステップの特定に必要な経営幹部の要約を含める必要があります。

自動化は、ガバナンス監査システムを合理化する上で重要な役割を果たします。 ドライブを共有することで、通信の負担を大幅に軽減できます。 共有の裏側は、変更が影響を受けると、共有ファイルが自動的に更新されることです。 この場合、歴史的文書を見つけるのに多くの時間がかかります。 アクセス権を持つ人は誰でも変更を加えてすべての共有ファイルを更新できるため、情報の整合性が損なわれ、ガバナンスが損なわれます。

したがって、組織は、すべてのコンプライアンス活動を文書化すること、および文書を編集または変更できる人を特定することを要求する中央の情報源を必要としています。

GRCを実装する前に、まず環境を準備する必要があります。 適切なコントロールがあるかどうか、および使用可能なコントロールが完全に機能しているかどうかを確認してください。 GRCはITに重点を置いていますが、戦略を実装する際には組織全体の関与が不可欠です。 注意を払い、実装が影響を与える可能性のあるすべてのプロセスと人員を事前に確立する必要があります。

これについて何か考えがありますか？ コメントで下に知らせてください、または私たちのツイッターまたはフェイスブックに議論を持ち越してください。

編集者の推奨事項：

• コンプライアンスマネージャーの責任
• 保険業界のリスク管理
• サイバーセキュリティと高等教育
• クラウドの保護
• リスク許容度とリスク食欲とは何ですか