情報セキュリティ監査制度は、組織やシステムが情報セキュリティ管理基準等の判断基準に準拠しているかを監査する「保証型監査」、それとのギャップは何かについて監査する「助言型監査」の2種類がある。いずれも、情報セキュリティ監査人が監査を実施し報告する制度だ。
この制度は、経済産業省が2003年から開始したもので、NPO日本セキュリティ監査協会(JASA)が主体となって制度の普及・啓発に努めている。JASAは、情報セキュリティ監査を実施する主体が中心となって設立された団体で、そのほか、監査の標準的な手続きなどを定めたり、監査人の質を向上させるための教育を行っている。今年度より、情報セキュリティ監査人の資格認定制度(略称:ケイズCAIS)を開始した。
情報セキュリティ監査では、原則として情報セキュリティ管理基準を判断基準として監査を行う。情報セキュリティ管理基準は、日本工業規格であるJIS X 5080の詳細管理策をコントロール(統制活動)することと、その具体的な対策であるサブコントロールからなる。サブコントロールは1000項目弱ある。JIS X 5080はベストプラクティス集であるため、サブコントロールのすべてが実現できていることが要求されるわけではない。
参考サイト
JASA
情報セキュリティ監査企業台帳
システム監査と情報セキュリティ監査について対比すると次のようになる。
|
Copyright © ITmedia, Inc. All Rights Reserved.