情報セキュリティ管理基準
「情報セキュリティ監査」は、「情報システム」ではなく「情報資産」を対象とし、リスクのマネジメントが有効に行われているかどうかという点を評価することが重要な視点であり、国際的な整合性が図られている。
「情報セキュリティ監査」にあたっての判断の尺度となる「情報セキュリティ管理基準」は、JISX 5080:2002(情報技術-情報セキュリティマネジメントの実践のための規範)をベースに策定されている。全体で132のコントロール(管理策)及びそれを詳細化した952のサブコントロールから構成されている。
成熟度モデル
JISX 5080:2002をもとに策定する「情報セキュリティ管理基準」は、その性質上、全てのコントロールとその体系性がベストプラクティスを示したものとなる。
したがって、我が国の現状に鑑みるとき、そのベストプラクティスの水準のみを判断の尺度とすると、保証型監査においては肯定型の保証が困難になり、また助言型監査においては指摘するギャップが大きくなりすぎるとい問題点がある。
どのような成熟度モデルが適切かどうかの実績が少ない中で、現時点で一つのモデルを示すことは適当ではない。したがって、成熟度モデルを利用して監査を行う場合は、当面は、監査を行う主体の判断によって、そのモデルを選択していくこととなる。
現在、国際的にも認知されている成熟度モデルとして、NIST、COBIT、SSE-CMMのモデルがある。
他の基準等との併用
「情報セキュリティ監査」においては、本管理基準を監査上の判断の尺度として用いることを原則をするが、監査の要請または目的によって、本管理基準以外の適切な尺度を追加して用いることもできる。
例えば、国内基準であれば、経済産業省の「システム監査基準」、「情報システム安全対策基準」、「コンピュータウィルス対策基準」、「コンピュータ不正アクセス対策基準」、総務省の「情報通信ネットワーク安全・信頼性基準」、警察庁の「情報システム安全対策指針」などである。
個別管理基準策定ガイドライン
「情報セキュリティ管理基準」は、全てのケースにおいてこれを網羅的に利用するのではなく、あくまでも個別組織体の管理基準を策定するにあたってのレファレンスである。すなわち、監査にあたっては、本管理基準を基礎として、必要な項目を追加し、あるいは該当しない項目を削除して、あるべき個別組織体の管理基準を策定し、活用する性質のものである。
なお、個別組織体に情報セキュリティに関する管理基準等が既に存在する場合は、組織体の現状がその管理基準等に準拠しているかという準拠性の監査と、あるべき個別組織体の管理基準と現に有する管理基準等とのギャップの両者の視点による監査が行われることが一般的である。