最終回 システム監査と情報セキュリティ監査を学ぶ：対策に最適な制度を活用する（2/3 ページ）

[丸山満彦，ITmedia]

　情報セキュリティ監査制度は、組織やシステムが情報セキュリティ管理基準等の判断基準に準拠しているかを監査する「保証型監査」、それとのギャップは何かについて監査する「助言型監査」の2種類がある。いずれも、情報セキュリティ監査人が監査を実施し報告する制度だ。

　この制度は、経済産業省が2003年から開始したもので、NPO日本セキュリティ監査協会（JASA）が主体となって制度の普及・啓発に努めている。JASAは、情報セキュリティ監査を実施する主体が中心となって設立された団体で、そのほか、監査の標準的な手続きなどを定めたり、監査人の質を向上させるための教育を行っている。今年度より、情報セキュリティ監査人の資格認定制度（略称：ケイズCAIS）を開始した。

　情報セキュリティ監査では、原則として情報セキュリティ管理基準を判断基準として監査を行う。情報セキュリティ管理基準は、日本工業規格であるJIS X 5080の詳細管理策をコントロール（統制活動）することと、その具体的な対策であるサブコントロールからなる。サブコントロールは1000項目弱ある。JIS X 5080はベストプラクティス集であるため、サブコントロールのすべてが実現できていることが要求されるわけではない。

参考サイト
JASA
情報セキュリティ監査企業台帳

システム監査と情報セキュリティ監査を比較する

　システム監査と情報セキュリティ監査について対比すると次のようになる。

表3●システム監査と情報セキュリティ監査の比較

システム監査 情報セキュリティ監査 目的 企画、開発、運用、保守という情報システムのライフサイクルに従って、特に情報システム構築、運用の全体最適化を目的として監査を行う。 情報資産のライフサイクルに従い、情報システム以外も対象として、情報セキュリティ確保のための管理、運用を有効に行うことを目的に監査を行う。 成り立ち 元来、内部監査による助言型監査を前提として成立してきた。 情報セキュリティの確保の認識、評価、可視化の必要性という社会的要請から成立した。当初は助言型監査中心の市場になることを想定しているものの、最終的には保証型監査を中心に行われることを前提としている。 基準 監査人の行為規範： 監査人の行為規範： システム監査基準　 情報セキュリティ監査基準 （経済産業省告示） 判断の尺度： 判断の尺度： システム管理基準　 情報セキュリティ管理基準 （経済産業省告示）

図1■システム監査と情報セキュリティ監査の関係

監査のタイプ