情報セキュリティ管理基準

「情報セキュリティ監査」は、「情報システム」ではなく「情報資産」を対象とし、リスクのマネジメントが有効に行われているかどうかという点を評価することが重要な視点であり、国際的な整合性が図られている。

「情報セキュリティ監査」にあたっての判断の尺度となる「情報セキュリティ管理基準」は、制度発足以降国際規格の変更に伴い改定されてきており、現在は、「JIS Q 27001:2023及びJIS Q 27002:2024」に基づいて整合を取り作成された令和7年版が用いられている。この基準はJIS Q 27001に基づくマネジメント基準とJIS Q 27002に基づく管理策基準で構成される。また、管理策基準は、管理策と、具体的なセキュリティ対策を判断するための詳細管理策で構成されている。

(参考)
 情報セキュリティ管理基準(令和7年経済産業省告示第124号)

(参考:旧文書類)
 以前の情報セキュリティ管理基準等を含む旧文書類

他の基準等との併用

「情報セキュリティ監査」においては、本管理基準を監査上の判断の尺度として用いることを原則をするが、監査の要請または目的によって、本管理基準以外の適切な尺度を追加して用いることもできる。

例えば、国内基準であれば、経済産業省の「システム監査基準」、「情報システム安全対策基準」、「コンピュータウィルス対策基準」、「コンピュータ不正アクセス対策基準」、総務省の「情報通信ネットワーク安全・信頼性基準」、警察庁の「警察における情報セキュリティに関する対策基準」(PDF)などである。

情報セキュリティ管理基準活用ガイドライン

情報セキュリティ管理基準は、組織における情報セキュリティマネジメントを効果的に確立するための包括的な参照基準である。しかし、そのままでは各組織の事情に最適化されていないため、業界特性や契約上の要求を踏まえて取捨選択・追加・統合し、独自の個別管理策体系を策定する必要がある。なお、業界団体等が業種別管理基準を作成し共有している場合には、それに基づくことでより効率的に個別管理策体系を策定することができる。

一方、監査人は、情報セキュリティ管理基準又は業種・業態別管理基準及び組織体固有の要求事項に基づく、個別管理基準を作成し、組織体の管理策が体系的に整備されているかを監査する整備状況評価を行う。整備状況評価の結果、組織体が策定した個別管理策体系が個別管理基準と整合する場合には、個別管理策体系が適正であるとすることができる。個別管理策体系が有効である場合には、個別管理基準に基づき適正な運用がなされているかの運用状況評価を行い、管理策の有効性を評価する。 情報セキュリティ管理基準活用ガイドラインは個別管理策体系及び個別管理策策定のための指針を提供している。

関連項目
・情報セキュリティ監査基準

情報セキュリティ監査制度の4つのポイント