情報セキュリティ監査主体の質の確保

「情報セキュリティ監査」を行うことのできる人材の裾野を広げ、また監査を行う主体の質を確保・向上させていく仕組みが必要であり、以下の両面からの対応が必要である。

監査を行う主体となる企業としての質の確保
情報セキュリティ監査に従事する個人の質の確保

監査を行う主体となる企業としての質の確保

監査を行う主体となる企業の質の確保にあたっては、「情報セキュリティ監査企業台帳」に掲載された企業が加盟する機関等において、以下の点を行うことが必要である。

監査従事者のための継続教育
監査企業のピアレビュー
監査のノウハウの蓄積
今般策定する基準類の改訂・改善の提案
監査に係る紛争処理

情報セキュリティ監査に従事する個人の質の確保

監査従事者の質の確保にあたっては、資格制度の存立が有効な仕組みの一つとして考えられる。現在、「情報セキュリティ監査」に関連する国家資格(システム監査技術者、情報セキュリティアドミニストレータ)及び民間資格(公認システム監査人、ISMS主任審査員、公認情報システム監査人)が存在するも、いずれの資格も、今般整備する情報セキュリティ監査制度と完全に親和性をもつものではない。

一方で、資格の乱立は望ましいものではなく、政府は、今後、現存する資格制度を最大限活用しつつ、「情報セキュリティ監査」を行う人材の資格制度のあり方について検討を行っており、その際、単なる一過性の試験制度ではなく実務的なスキルも加味した仕組みのあり方や、新たな技能の獲得のための継続教育の必要性などについても、検討を行う予定である。