情報セキュリティ監査制度のポイント

民間企業や政府、地方自治体等の情報セキュリティ対策の監査を目的とした「情報セキュリティ監査制度」には、以下の4つのポイントがあります。

監査の対象とその視点
情報システムのセキュリティだけではなく、情報資産全体のセキュリティマネジメントが監査の対象で、マネジメントサイクルが構築され、適切な対策がなされているかの視点で監査がなされる。

・監査の対象

多様な監査方式
外部目的の保証型監査や内部目的の助言型監査、組織全体の監査や一部の監査など多様な監査ニーズに応じた監査方式を選択できる。

・監査方式について

標準的な監査基準
客観的に定められた国の基準に基づき監査がなされる。(「情報セキュリティ管理基準(2016年3月告示)」及び「情報セキュティ監査基準(2003年4月告示)」))

・情報セキュリティ管理基準
・情報セキュティ監査基準

独立した監査主体
「情報セキュリティサービス基準適合サービスリスト」(注)に掲載されたサービスに従事する独立した専門家により監査がなされる。
(注)独立行政法人 情報処理推進機構が公表

・情報セキュリティ監査主体の質の確保