情報セキュリティ監査制度 | KPMG | JP

情報セキュリティ監査制度

情報セキュリティ監査制度

情報セキュリティ監査制度とは、情報セキュリティマネジメントおよびその監査を効果的に普及するため、経済産業省が定めたもので、2003年4月から運用が開始されました。

関連するコンテンツ

基準とガイドライン

基準 ガイドライン
情報セキュリティ管理基準
個別管理基準(監督項目)策定ガイドライン
電子政府情報セキュリティ管理基準モデル
情報セキュリティ監査基準 情報セキュリティ監査基準実施基準ガイドライン
情報セキュリティ監査基準報告基準ガイドライン
電子政府情報セキュリティ監査基準モデル

助言型監査と保証型監査

情報セキュリティ監査制度では、被監査主体の目的と情報セキュリティマネジメントの状況に合わせた監査を実施できるよう、助言型と保証型の2種類の監査が設定されています。

助言型では、監査人は、情報セキュリティマネジメント向上の支援を目的として、改善が必要な事項と改善のための助言について被監査主体に報告します。一方、保証型では、監査人は、被監査主体の情報セキュリティマネジメントが一定の水準にあることを保証する報告書を作成します。

助言型の監査報告書は、通常は被監査主体内部での利用を目的としますが、保証型監査報告書は、主に外部のステークホルダー(顧客など)への開示を目的とします。情報セキュリティ監査制度では、助言型あるいは保証型のいずれか、または両方を組み合わせた監査を実施することができるとされています。

成熟度モデル

情報セキュリティ監査制度では、被監査主体の情報セキュリティマネジメントの状況に応じた監査を実施できるよう、成熟度モデルの考え方を示しています。成熟度モデルの考え方として、『情報セキュリティ監査基準実施基準ガイドライン』では、「組織体が設定又は運用する情報セキュリティ対策の実施水準を5段階にレベル分けすることが多い。」としています。また、監査において成熟度モデルを利用する場合、「どのような成熟度モデルを利用するのか、成熟度のレベル分けの判断基準はどのようなものであるのかについて監査依頼者又は被監査側と充分に協議した上で決定することが望ましい。」としています。

情報セキュリティ監査企業台帳

情報セキュリティ監査制度では、情報セキュリティ監査人として、内部監査部門および外部監査人の両方を想定しています。外部監査人への委託を行う際に委託先選定の参考となるよう、情報セキュリティ監査制度の導入に合わせて、情報セキュリティ監査サービスを提供する事業者を登録する「情報セキュリティ監査企業台帳」が整備されました。

ただし、情報セキュリティ監査企業台帳への情報セキュリティ監査サービス事業者の登録は、事業者からの申告にもとづき行われています。このため、委託先の選定にあたっては、委託先の実績や能力などを、委託者である被監査主体が適切に評価する必要があります。

ビジネスキーワード

ビジネスキーワード

最新キーワードをわかりやすく解説しています。

お問合せ

 

RFP(提案書依頼)

 

送信