最終回 システム監査と情報セキュリティ監査を学ぶ:対策に最適な制度を活用する(2/3 ページ)
» 2005年02月10日 08時00分 公開
[丸山満彦,ITmedia]
情報セキュリティ監査制度は、組織やシステムが情報セキュリティ管理基準等の判断基準に準拠しているかを監査する「保証型監査」、それとのギャップは何かについて監査する「助言型監査」の2種類がある。いずれも、情報セキュリティ監査人が監査を実施し報告する制度だ。
この制度は、経済産業省が2003年から開始したもので、NPO日本セキュリティ監査協会(JASA)が主体となって制度の普及・啓発に努めている。JASAは、情報セキュリティ監査を実施する主体が中心となって設立された団体で、そのほか、監査の標準的な手続きなどを定めたり、監査人の質を向上させるための教育を行っている。今年度より、情報セキュリティ監査人の資格認定制度(略称:ケイズCAIS)を開始した。
情報セキュリティ監査では、原則として情報セキュリティ管理基準を判断基準として監査を行う。情報セキュリティ管理基準は、日本工業規格であるJIS X 5080の詳細管理策をコントロール(統制活動)することと、その具体的な対策であるサブコントロールからなる。サブコントロールは1000項目弱ある。JIS X 5080はベストプラクティス集であるため、サブコントロールのすべてが実現できていることが要求されるわけではない。
参考サイト
システム監査と情報セキュリティ監査を比較する
システム監査と情報セキュリティ監査について対比すると次のようになる。
| システム監査 | 情報セキュリティ監査 | |
|---|---|---|
| 目的 | 企画、開発、運用、保守という情報システムのライフサイクルに従って、特に情報システム構築、運用の全体最適化を目的として監査を行う。 | 情報資産のライフサイクルに従い、情報システム以外も対象として、情報セキュリティ確保のための管理、運用を有効に行うことを目的に監査を行う。 |
| 成り立ち | 元来、内部監査による助言型監査を前提として成立してきた。 | 情報セキュリティの確保の認識、評価、可視化の必要性という社会的要請から成立した。当初は助言型監査中心の市場になることを想定しているものの、最終的には保証型監査を中心に行われることを前提としている。 |
| 基準 | 監査人の行為規範: | 監査人の行為規範: |
| システム監査基準 | 情報セキュリティ監査基準(経済産業省告示) | |
| 判断の尺度: | 判断の尺度: | |
| システム管理基準 | 情報セキュリティ管理基準(経済産業省告示) | |
| 表3●システム監査と情報セキュリティ監査の比較 | ||
監査のタイプ
Copyright © ITmedia, Inc. All Rights Reserved.
SpecialPR
アイティメディアからのお知らせ
注目のテーマ
人気記事ランキング
- 10万超のWebサイトに影響 WordPress人気プラグインに深刻なRCE脆弱性
- 生成AIの次に来るのは「フィジカルAI」 NVIDIAが語る、普及に向けた「4つの壁」
- セールスフォースにも決められない? AIエージェント、「いくらが適正価格か」問題が勃発
- 7-Zipに深刻な脆弱性 旧バージョンは早急なアップデートを
- ランサム被害の8割超が復旧失敗 浮き彫りになったバックアップ運用の欠陥
- Let's Encrypt、証明書有効期間を90日から45日へと短縮 2028年までに
- サイバー戦争は認知空間が主戦場に? 「詐欺被害額が1年で倍増」を招いた裏事情
- 「フリーWi-Fiは使うな」 一見真実に思える“安全神話”はもう時代遅れ
- ソニー、AWSのAI基盤で推論処理300倍増へ ファンエンゲージメントはどう変わる?
- 三菱UFJ銀行もサイバーセキュリティの合弁会社を設立へ GMOイエラエらと
あなたにおすすめの記事PR
ITmediaはアイティメディア株式会社の登録商標です。