情報セキュリティ監査
(情報資産の脅威と脆弱性を分析)
1 情報セキュリティ監査とは
情報セキュリティ監査とは
(目的)情報セキュリティに係わるリスクのマネジメントが効果的に実施されるように、
(対象)リスクアセスメントに基づく適切なコントロールの整備、運用状況を
(立場)情報セキュリティ監査人が独立かつ専門的な立場から
(業務内容)検証又は評価して、もって保証を与えあるいは助言を
行なうことである。 (情報セキュリティ監査基準より)
2 情報セキュリティ監査基準の制定
平成15年4月1日から情報セキュリティ監査基準制度が運用を開始した。
この制度は、「情報セキュリティマネジメント」を効果的に普及させるための制度であり、
「保証型監査」と「助言型監査」の両者とも重要であることを示し、
国際的にも整合性のとれた制度となっていることなどが特徴である。
(1)監査基準の対象
情報セキュリティ監査基準の対象は情報資産である。
(情報資産:情報システム、データ、運用にかかわる技術者など)
対比:システム監査基準は、情報システムを対象としていた。
(2)情報セキュリティ監査基準の構成
監査基準は、以下のことを規定している文書である
| 情報セキュリティ 監査基準 |
一般基準 | 監査の目的、監査人としての適格性、業務上の遵守事項など |
| 実施基準 | 監査計画立案、監査手続きの適用方法、監査体制など実施上の枠組み | |
| 報告基準 | 報告書の記載方式や留意事項とフォローアップなど |
3 監査基準と管理基準
(1)情報セキュリティ監査基準:監査人の行動規範
監査を行う主体の行為規範となる基準
(監査においてどのような点を評価するか)
(2)情報セキュリティ管理基準:監査の実施基準
情報セキュリティ監査を行うときの「判断の尺度」となる基準
4 ISMS認証基準との関係
ISMS(情報セキュリティマネジメントシステム)適合性評価制度については
テーマ1を参照
現状はセキュリティ対策の遅れている企業の多いことから、当面はセキュリティ監査は
助言型監査が中心であり、その後セキュリティ監査が普及することで、
情報セキュリティマネジメントが向上する。
その結果として、ISMSの認証取得につながることが期待される。
下記のレベルの中で、レベル3以上をISMS認証取得レベルとする。
 |
レベル5:すべてのサイクルが有機的に結合していること レベル4:マネジメントサイクルを定期的に見直ししている レベル3:マネジメントシステムが回っている レベル2:セキュリティポリシを実行している レベル1:セキュリティポリシーを策定している レベル0:セキュリティポリシーもない |
5 情報セキュリティ監査企業台帳の設置
どこへセキュリティ監査を依頼したらよいかという質問に応えるため、企業台帳を作成しその便宜を図る。
トップページへもどる