情報セキュリティ監査基準

「情報セキュリティ監査基準」は、「情報セキュリティ監査」を行う主体の行為規範を定めるものであり、下記に留意した基準となっている。

  1. 多様な主体 (監査法人、情報セキュリティ関連のシステム構築を行うベンダー、一般のシステム構築を行うベンダー、システムの監視サービス等を行っている情報セキュリティ専門企業、システム監査企業等) が共通に利用するものであること。
  2. 外部の主体及び内部の主体が共通に利用するものであること。
  3. 内部目的、外部目的ともに利用するものであること。
  4. 保証型監査、助言型監査ともに利用するものであること。

この観点から、「情報セキュリティ監査基準」は、監査を行う主体としての適格性及び監査業務上の遵守事項を既定する「一般基準」、監査計画の立案及び監査手続きの適用方法を中心に監査実施上の枠組みを規定する「実施基準」、監査報告に係る留意事項と監査報告書の記載方式を規定する「報告基準」の三部構成とし、内部監査人協会 (IIA) の基準、情報システムコントロール協会 (ISACA) の基準等を勘案して策定された。

実施基準ガイドラインの策定

「情報セキュリティ監査」を実施するにあたっての留意事項や実施上の手順について、「情報セキュリティ監査基準」の「実施基準」において示された基本的な考え方に基づき、「実施基準ガイドライン」を策定した。

  1. 監査における「情報セキュリティ管理基準」の位置つけ。
  2. 保証型監査と助言型監査の選択。
  3. リスクアセスメントの実施。
  4. 成熟度モデルの利用。

上記の重要な点を既定することで、監査の際に、監査を行う主体がこれらの視点を共通に持つことが必要である。

報告基準ガイドラインの策定

監査の報告にあたっての留意事項や報告書の雛型について、「情報セキュリティ監査基準」の「報告基準」において示された基本的な考え方に基づき、「報告基準ガイドラン」を策定した。
ここにおいて、保証型監査と助言型監査の場合の監査報告書の違い、保証型監査の類型などについて既定することで、監査の際に、監査を行う主体がこれらの視点を共通に持つことが必要とである。

主体別・業種別監査基準の策定

「情報セキュリティ管理基準」と個別組織体の管理基準との関係と同様、個別組織体は、「情報セキュリティ監査基準」を基礎として、個別組織体のあるべき監査基準を策定して実施することとなるが、全ての個別組織体がバラバラに監査基準を策定するよりは、例えば、電子政府や金融、医療といった主体別・業種別に、その特性を反映した統一的な監査基準が策定されていることが必要と思われる。