(目的)

第1条　この要綱は、甲賀広域行政組合(以下「本組合」という)における情報セキュリティ監査に関する基本的事項を定め、本組合の情報セキュリティの維持・向上に資することを目的とする。

(監査対象)

第2条　情報セキュリティ監査は、本組合の情報セキュリティポリシーに定める対象範囲に対して実施する。

(監査担当部門及び担当者)

第3条　情報セキュリティ監査は、総務課及び消防総務課が担当する。

(監査の権限)

第4条　監査人は、情報セキュリティ監査の実施にあたって被監査部門に対し、資料の提出、事実などの説明、その他監査人が必要とする事項の開示を求めることができる。

(監査担当者の責務)

第5条　監査人は、監査を客観的に実施するために、監査対象から独立していなければならない。

(監査関係文書の管理)

第6条　監査関係文書は、紛失等が発生しないように適切に保管しなければならない。

(監査計画)

第7条　情報セキュリティ監査は、原則として監査計画に基づいて実施しなければならない。

(年度計画)

第8条　情報セキュリティ監査統括責任者は、当該年度の監査方針、監査目標、監査対象、監査実施時期、監査要員、監査費用などを定めた年度計画を策定し、情報セキュリティ委員会の承認を得なければならない。

(監査実施計画)

第9条　情報セキュリティ監査統括責任者は、年度計画に基づいて、個別に実施する監査ごとに監査実施計画を策定し、情報セキュリティ委員会の承認を得なければならない。

(監査実施通知)

第10条　情報セキュリティ監査統括責任者は、監査実施計画に基づく監査の実施にあたって、原則として4週間以上前に被監査部門の情報セキュリティ責任者に対し、監査実施の時期、監査日程、監査範囲、監査項目などを文書で通知しなければならない。ただし、特命その他の理由により、事前の通知なしに監査を実施する必要性があると判断した場合には、この限りではない。

(監査実施)

第11条　監査人は、監査実施計画に基づき、監査を実施しなければならない。ただし、特命その他の理由によりやむを得ない場合には、情報セキュリティ監査統括責任者の承認を得てこれを変更し実施することができる。

(監査調書)

第12条　監査人は、実施した監査手続の結果とその証拠資料など、関連する資料を監査調書として作成しなければならない。

(監査結果の意見交換)

第13条　監査人は、監査の結果、発見された問題点について事実誤認などがないことを確認するため、被監査部門との意見交換を行わなければならない。

(監査結果の報告)

第14条　情報セキュリティ監査統括責任者は、監査終了後、すみやかに監査結果を監査報告書としてとりまとめ、情報セキュリティ委員会に報告しなければならない。ただし、緊急を要する場合は口頭をもって報告することができる。

(監査結果の通知と改善措置)

第15条　最高情報統括責任者は、情報セキュリティ委員会への監査結果報告を受けた後、すみやかに監査結果を被監査部門の情報セキュリティ責任者へ通知しなければならない。

(フォローアップ)

第16条　情報セキュリティ監査統括責任者は、被監査部門における改善勧告事項に対する改善実施状況について、適宜フォローアップしなければならない。