HOME > 経営を良くする > 中小企業のための情報セキュリティQ&A

中小企業のための情報セキュリティQ&A

情報セキュリティのトップページへ

情報セキュリティQ&Aの活用法

情報セキュリティQ&A 情報セキュリティの基礎
予防対策
トラブルが発生したら
認証について

リンク集 公的機関
OS関連
ウイルス対策
ニュース・メディア
総合情報
[ カテゴリー:予防対策 ]

[Q2-15] セキュリティ監査とは

質問

情報セキュリティ監査とはなんですか。そのための制度はありますか。

回答

情報セキュリティ管理のPDCA(Plan-Do-Check-Action)サイクルの中でCheck工程に当たる作業で、企業の情報セキュリティ対策の実効性を、技術面、運用面双方にわたり評価することです。
情報セキュリティ監査を実施する人は情報セキュリティの実施状況を監査基準に従い評価し、経営者に監査結果を報告して、情報セキュリティ管理の是正・改善を実施することを求めます。
経済産業省は情報セキュリティ監査をひろめるために情報セキュリティ監査制度を設けました。監査基準を明確にするため、国際的にも認知されたISO/IEC17799(JIS X 5080)をもとに「情報セキュリティ監査」を実施する際に準拠する「情報セキュリティ管理基準」と「情報セキュリティ監査基準」を策定し、公開しています。
また、外部の第三者による情報セキュリティ監査を普及させるために、「情報セキュリティ監査」を行う企業や団体を登録する「情報セキュリティ監査企業台帳」を公開しています。
民間企業だけでなく、政府・自治体をふくめ、あらゆる団体が利用できる制度で、「不備はなかった」ことを示す「保証型監査」と、「不備な点はここ」と指摘する「助言型監査」の両者が重要であることを強調しています。

外部機関に監査してもらいたい企業が依頼先を見つけやすいように、 情報セキュリティ監査を行う主体を登録する「情報セキュリティ監査企業台帳」を公開しています(平成17年3月31日現在、延べ486の事業主体が登録済み)。登録の申請は日本セキュリティ監査協会が窓口になっています。

日本セキュリティ監査協会は情報セキュリティ監査スキルを認定する公認情報セキュリティ監査人資格制度を設けて、監査を実施する人の質の向上を図っています。(2005年7月:吉村)


Q&A TOPへ