情報セキュリティ監査制度のポイント

民間企業や政府、地方自治体等の情報セキュリティ対策の監査を目的とした「情報セキュリティ監査制度」には、以下の4つのポイントがあります。

監査の対象とその視点
情報システムのセキュリティだけではなく、情報資産全体のセキュリティマネジメントが監査の対象で、マネジメントサイクルが構築され、適切な対策がなされているかの視点で監査がなされる。

・監査の対象

多様な監査方式
外部目的の保証型監査や内部目的の助言型監査、組織全体の監査や一部の監査など多様な監査ニーズに応じた監査方式を選択できる。

・監査方式について

標準的な監査基準
客観的に定められた国の基準に基づき監査がなされる。(2003年4月に告示された「情報セキュリティ管理基準」及び「情報セキュティ監査基準」

・情報セキュリティ管理基準
・情報セキュティ監査基準

独立した監査主体
「情報セキュリティ監査企業台帳」に任意登録された一定の要件を満たす独立した専門家により監査がなされる。

・情報セキュリティ監査企業台帳
・情報セキュリティ監査主体の質の確保