しかし、このレベルの技術的知識を内部監査の担当に求めるのは無理がある。
外部に委託するしかないように思える。
参照されているガイドラインは、参考になりそう。
「機密性」はConfidentialityの頭文字をとってCと記号化されることがある。「完全性」はIntegrityの頭文字I、「可用性」はAvailabilityの頭文字Aを各々用いる。情報セキュリティの専門家がCIAというのは、機密性、完全性、可用性を意味していると解釈すると良い。
JIS Q 27000:2014によるとリスクとは「目的に対する不確かさの影響」と定義されている。事象やその結果又はその起こりやすさに関する情報、理解又は知識の欠落があると不確かさが生じ、その影響により結果が期待されていることから、好ましい方向又は好ましくない方向にかい離する。
リスクの大きさは時間の経過とともに変化する。これを組織が受け入れられる範囲に収めることが、リスク管理の目的である。
ある場合には、リスクが想定よりも上振れすることがある。例えば、脅威が高まり、外部からの不正侵入や内部不正を試みる人が増え、結果として情報セキュリティが侵される可能性が高まったという場合である。この場合、経営は適切な対策を追加し、対応する必要がある。
監査手続書の作成にあたっては、経済産業省の「情報セキュリティ監査手続ガイドライン」を参考にするとよい。