システム監査:システム監査とは(最終更新:2015/12/06 16:33:44 JST)
システム監査において,システム監査基準とともに重要な意味を持つ,システム管理基準と情報セキュリティ監査基準についても触れておきたい.
システム管理基準とシステム監査基準の特徴を対比することで整理しておく.
システム監査基準,システム管理基準は次のサイトから入手可能である.
- 新「システム監査基準」、「システム管理基準」の公表について(経済産業省)
- システム管理基準[PDF]
- システム監査基準[PDF]
システム管理基準は全部で287項目から構成されている.ここでは大きな分類を示す.詳細な分類は経済産業省から公開されているPDF資料を参照されたい.
システム監査と関連のある情報セキュリティ監査に関連する諸基準にも触れておきたい(情報処理技術者試験のシステム監査にたびたび出題されているので).
情報セキュリティ監査基準には以下のような記載がある.
情報セキュリティ監査の目的は、情報セキュリティに係るリスクのマネジメントが効果的に実施されるように、リスクアセスメントに基づく適切なコントロールの整備、運用状況を、情報セキュリティ監査人が独立かつ専門的な立場から検証又は評価して、もって保証を与えあるいは助言を行うこと(「情報セキュリティ監査の目的」より抜粋)
- 情報セキュリティ監査基準(経済産業省)[PDF]
情報セキュリティ監査基準の意義は以下のようである.
情報セキュリティ監査基準とは,情報セキュリティ監査業務の品質を確保し,有効かつ効率的に監査を実施することを目的とした監査人の行為規範である.以下の3つの基準から構成.
- 一般基準:監査人としての適格性及び監査業務上の遵守事項を規定
- 実施基準:監査計画の立案及び監査手続の適用方法を中心に監査実施上の枠組みを規定
- 報告基準:監査報告に係る留意事項と監査報告書の記載方式を規定
情報セキュリティ管理基準の意義,位置づけは以下のようである.
情報セキュリティ管理基準は組織体が効果的な情報セキュリティマネジメント体制を構築し,適切なコントロール(管理策)を整備・運用するための実践的な規範である.また組織体の業種及び規模等を問わず汎用的に適用できるように,情報資産を保護するための最適な実践慣行を帰納要約し,情報セキュリティに関するコントロールの目的,コントロールの項目を規定している.
情報セキュリティ監査基準(平成15年経済産業省告示第114号)に従って監査を行う場合,原則として,監査人が監査上の判断の尺度として用いるべき基準となる.また,本管理基準は,日本におけるISMS認証制度である「ISMS適合性評価制度」において用いられる適合性評価の尺度と整合するように配慮されている
- 情報セキュリティ管理基準(経済産業省)[PDF}
このサイトに関するお問い合わせは,連絡先のページをご覧ください.情報セキュリティ監査に関連する諸基準は以下のサイトから入手可能である.
- 情報セキュリティ監査制度(経済産業省)
- 情報セキュリティ監査基準(経済産業省)[PDF]
- 情報セキュリティ管理基準(経済産業省)[PDF]