Chapter6 情報セキュリティ監査
- 平成15年4月 経済産業省 情報セキュリティ監査制度
- 保証型監査
- 情報セキュリティマネジメント・コントロールが監査した限りに置いては適切であることを監査意見として表明する
- 助言型監査
- 情報セキュリティマネジメント・コントロールの改善を目的として、欠陥・問題を検出して、必要に応じて改善意見として表明する
- どちらを選ぶかは被監査側が決定する
- 監査制度と同時にISMS認証制度が動き出した
- 両方ともJIS X 5080がベースにある
- 情報セキュリティ監査 vs システム監査
- ベースはJIS X 5080
- 情報セキュリティ管理基準:判断基準
- 情報セキュリティ監査基準:行動規範
- 経済産業省 -> ガイドラインとモデルを出している
- 情報セキュリティ監査基準:行動規範
- 目的
- 企業におけるリスクマネジメントの保証か助言
- 単なるコントロールの実装チェックではない
- 目的
さて
- この辺の話は根本的に理解しておく必要がありそうなんですが、この薄っぺらな内容の本からはいるのは危険な香りがする。
- 一度、経済産業省の公式資料とJIS X 5080に目を通しておくことにしよう。
- 情報セキュリティ監査研究会報告書 2003/3/36
- それにしても、4月にsecuadの勉強始めた頃はまったく意味不明だったところなんですが、変われば変わる物です。
- 今となっては、情報セキュリティと呼ばれるカテゴリでも最も興味がある分野になってしまっているし。