Internal Auditor「最前線:サイバーセキュリティリスクに取締役会を関与させるとき」(MILAIM ABDURAIMI, “On the Frontlines: When to Involve the Board in Cybersecurity Risk”)

筆者は、サイバーセキュリティリスクに対する内部監査のあり方について、次のように述べています。

取締役会は、サイバーセキュリティのリスクマネジメントが適切に設計され、効率的に実行されているかどうかを確認するために、内部監査活動の独立した客観的で有能なアシュアランスサービスを必要としています。

内部監査は、
①新しいサイバーセキュリティリスクと、適切に軽減されていないサイバーセキュリティリスクを経営陣に警告し、適切なリスク対応のための推奨事項を提供すること
②組織がサイバーセキュリティに対処するのを支援するために、情報技術とサイバーセキュリティのトレンドに関連する十分なリソース、知識、スキルおよび能力があることを確認すること
③サイバーセキュリティリスク対応の妥当性と適時性を評価すること
④サイバーセキュリティリスクの受け入れが組織のリスク選好/許容度に従っており、組織全体に伝達されているかどうか判断すること
が必要である。

【出典】https://internalauditor.theiia.org/en/voices/2022/on-the-frontlines-when-to-involve-the-board-in-cybersecurity-risk/

関連記事