情報セキュリティ監査制度とは
前述の様な背景のもと、2002年9月、経済産業省に設置された「情報セキュリティ監査研究会」は、情報セキュリティ監査のあり方についての検討を行ない、2003年3月に「情報セキュリティ監査研究会報告書」と「情報セキュリティ監査のための基準」等を公表した。これら報告書の提言を受け経済産業省は2003年4月、「情報セキュリティ監査制度」を開始した。
民間企業や政府、地方自治体等の情報セキュリティ対策の監査を目的とした「情報セキュリティ監査制度」には、以下の4つのポイントがある。
監査の対象とその視点
情報システムのセキュリティだけではなく、情報資産全体のセキュリティマネジメントが監査の対象で、マネジメントサイクルが構築され、適切な対策がなされているかの視点で監査がなされる。
多様な監査方式
外部目的の保証型監査や内部目的の助言型監査、組織全体の監査や一部の監査など多様な監査ニーズに応じた監査方式を選択できる。
標準的な監査基準
客観的に定められた国の基準に基づき監査がなされる。(2003年4月に告示された「情報セキュリティ管理基準」及び「情報セキュティ監査基準」)
独立した監査主体
「情報セキュリティ監査企業台帳」に任意登録された一定の要件を満たす独立した専門家により監査がなされる。
Copyright © 2003-2012 Japan Information Security Audit Association. All rights reserved.
