製造会社の内部監査チェックリスト
製造業界は規制当局からの精査が増えています。 サイバー犯罪者が標的のSCADAシステムの弱点を増やすにつれて、組織のサイバーセキュリティ態勢は、データを保護し、重要な契約を取得する能力にとって サイバーセキュリティに対するセキュリティ第一のアプローチから始めて、多くの場合、データを保護しますが、コンプライアンス要件を満たすために、組織は内部統制の有効性を文書化する必要があります。
製造業が直面している主なサイバーセキュリティの懸念は何ですか?
SCADAネットワークは、工業プロセスを制御および監視するハードウェアとソフトウェアの組み合わせです。 これにより、メーカーはデバイスと対話し、データをログに記録し、リモートプロセスとローカルプロセスを制御することができます。 しかし、これらのデバイスの多くは、現代のビジネスモデルを維持するために必要な接続を意図したものではありませんでした。 そのため、製造業には重大なサイバーセキュリティリスクが伴い、悪意のあるアクターの主な標的となっています。
しかし、SCADAのリスクは生産損失だけでなく、より重要なのは人命の損失につながる可能性があります。 SCADAシステムは重要なインフラストラクチャを制御しているため、サイバー犯罪者は標準的なビジネスシステムよりも多くの人を標的にしています。
製造業の規制遵守要件は何ですか?
製造における規制遵守要件は、一般的に連邦政府によって決定されています。 これらの要件は、国家秘密が保護されることを確実にするための規則を規定しています。 彼らは、非政府機関がまだ民間企業として存在しながら、政府の使用のためのアイテムを作成する能力を可能にします。
国際武器取引規制(ITAR)
ITARは、商品と技術の両方をカバーし、商業目的と研究目的と国家安全保障要件を組み合わせています。 それは軍隊がまたコンピュータおよびソフトウェアのような採用できる商業目的のために設計されている項目を、調整する。
Defense Federal Acquisition Regulation Supplement(DFARS)
DFARSの保護規則および条項は、連邦契約情報を処理、保存、または送信する情報システムの最低限のセキュリティ基準を確立します。 これらの基本的なコントロールは、サプライチェーン全体に実装する必要があります。 NIST特別出版SP800-171コンプライアンスのためのガイドラインのために設定します。
製造業に影響を与える主要な業界標準は何ですか?
製造業は伝統的に国際標準化機構(ISO)規格に基づいた管理を実施する必要があります。
ISO/IEC27001:2013
このリスクベースのアプローチにより、さまざまな組織や業界がISO27001を適用することができます。 この柔軟性により、最も利用されている情報セキュリティ基準の1つになります。 さらに、ISO/IEC27001には、セキュリティに対するchoose-your-own-adventureスタイルのアプローチを作成するメニューのような一連のコントロールが附属書Aに記載されています。 これらの拡張された制御セットは管理に制御によってそれらを軽減するよりもむしろ危険を避けるか、移すか、または受け入れる選択を提供する。
ISO9001
ISO9001は、品質管理システム(QMS)の要件を規定しています。 品質管理システムは、品質および管理目標に関するプロセス、手順、および責任を文書化します。
ISO9001監査には、製品、プロセス、およびシステムの三つのタイプのレビューが組み込まれています。 必要な文書の長いリストには、必須情報と必須ではない情報の両方が含まれています。 必須文書のリストには、文書管理手順、記録手順、内部監査手順、不適合手順の管理、是正措置手順、および予防措置手順が含まれています。 それは最初は圧倒的ではありませんが、これらのカテゴリのそれぞれは、プロセスが実際に動作することを証明するために必要な追加の文書を
製造における内部監査への5つのステップ
内部監査は負担を感じることができますが、外部監査人が到着する前に”前検査”として効果的に機能し 成功した包括的な内部監査は、外部監査の前に問題を修正し、公式の調査結果を防ぐことを可能にする”実践実行”として機能することができます。
あなたの主題の専門家(中小企業)を特定する
これは内部監査ですが、組織全体の利害関係者を組み込む必要があるかもしれません。 たとえば、SCADAの専門家と社内のIT専門家は、包括的なセキュリティファーストコンプライアンスアプローチを作成するために通信し、協力する必要があ
内部統制手順とその理由を文書化
成熟度レベルにかかわらず、リスク分析、ポリシー、手順、およびプロセスを確実に確立する必要があります。 このドキュメントは、監査スコープの作成に役立つコンプライアンスプログラムのロードマップとして機能します。
制御の有効性を継続的に監視
サイバー犯罪者は脅威の方法論を継続的に進化させ、制御の有効性はいつでも弱まる可能性があります。 コントロールを継続的に監視し、潜在的な弱点をできるだけ早く修正する必要があります。
モニタリングを継続的に文書化
監査は文書に依存しています。 あなたが継続的に監視している場合でも、あなたが文書を持っていない場合、監査人は調査結果を返すことができます。 文書は、取締役会がプログラムを監督することを可能にするプログラムに対するガバナンスを証明します。
内部監査ワークフローの作成
監査の前、中、後の通信は、セキュリティとコンプライアンスの維持に役立ちます。 すべてのタスクが適時に完了するように、内部監査の準備、レビュー、および対応するプロセスを作成する必要があります。
ZenGRCが製造業における内部監査をどのように可能にするか
コンプライアンスプログラムでは、社内外の利害関係者間のコミュニケーションと、それを可能にする監査システムが必要です。
ZenGRCでは、コンプライアンスタスクを委任し、その進捗状況と完了を監視できるように、ワークフロータギングを提供しています。 さらに、それはあなたのチームメンバーが彼らの活動を計画する方法を知っているようにあなたがタスクに優先順位を付けることができます。
ZenGRCのワークフロー管理機能には、管理の有効性を継続的に文書化する集中管理ダッシュボードが含まれており、コンプライアンス文書が容易になります。
さらに、監査人の質問に対する回答をサポートするために、監査証跡を文書化して修復することで、監査証跡を作成するのに役立ちます。