情報セキュリティマネジメント(8)
情報セキュリティ監査・システム監査
似ているが、その目的などに若干の違いがある。
| 情報セキュリティ監査 | : | セキュリティの監査をする |
| システム監査 | : | 情報システムの監査をする システムというのは、ITをうまく活用することで会社の業績に貢献する |
情報セキュリティ監査
情報セキュリティ監査の目的
自組織の情報資産に対する情報セキュリティ対策が適切に整備・運用されているか否かを、独立かつ専門的な立場から検証・評価・改善すること
情報セキュリティ監査基準
- 情報セキュリティ監査業務の品質を確保し、有効かつ効率的に監査を実施することを目的とした監査人の行為規範
- 「一般基準」、「実施基準」、「報告基準」からなっている
- 監査には「保証型」と「助言型」があるが、双方で利用できる
 一般基準: | 監査人としての適格性及び監査業務上の遵守事項を規定する |
|---|---|
| 実施基準: | 監査計画の立案及び監査手続の適用方法を中心に監査実施上の枠組みを規定する |
| 報告基準: | 監査報告に係る留意事項と監査報告書の記載方式を規定する |
「保証型」と「助言型」
| 保証型監査: | 情報セキュリティ管理基準に適合していることを保証するもの |
|---|---|
| 助言型監査: | 適合していない部分に関して、その対処策を助言するもの |
情報セキュリティ監査企業台帳
「情報セキュリティ監査」を行う事業者(監査主体)を登録するもの。監査法人、情報セキュリティベンダ、システムベンダ、情報セキュリティ専門企業、システム監査企業など、様々な主体が登録されている。それぞれの特性、ユーザのニーズに応じた多様なサービスが提供されることが期待されている
システム監査
システム監査の目的
組織体の情報システムにまつわるリスクに対するコントロールがリスクアセスメントに基づいて適切に整備・運用されているかを、独立かつ専門的な立場のシステム監査人が検証又は評価することによって、保証を与えあるいは助言を行い、もってITガバナンスの実現に寄与することにある
システム管理基準
情報システムが備えていなければならない標準的項目をまとめたもの
組織体が主体的に経営戦略に沿って効果的な情報システム戦略を立案し、その戦略に基づき情報システムの企画・開発・運用・保守というライフサイクルの中で、効果的な情報システム投資のための、またリスクを低減するためのコントロールを適切に整備・運用するための実践規範である
システム監査基準
システム監査業務の品質を確保し、有効かつ効率的に監査を実施することを目的とした監査人の行為規範で、次の3つの大きな基準で構成されている
- 一般基準:監査人としての適格性および監査実施上の順守事項を規定する
- 実施基準:監査計画の立案および監査手続きの適用方法を中心に監査実施上の枠組みを規定する
- 報告基準:監査報告にかかわる留意事項と監査報告書の記載方法を規定する
システム監査企業台帳
外部システム監査を希望する企業が、システム監査を実施できる企業を容易に知ることができるよう「システム監査企業台帳」に登録し、公開している
