情報セキュリティ監査基準、情報セキュリティ管理基準
経済産業省「情報セキュリティ管理基準 Ver.1.0」 (http://www.meti.go.jp/policy/netsecurity/downloadfiles/IS_Audit_Annex01.pdf)「情報セキュリティ監査基準 Ver.1.0」 (http://www.meti.go.jp/policy/netsecurity/downloadfiles/IS_Audit_Annex04.pdf)(平成15年3月)では、情報セキュリティ監査制度を次のように定義しています。
情報セキュリティ監査制度は、
情報セキュリティに係わるリスクのマネジメントが効果的に実施されるように、
リスクアセスメントに基づく適切なコントロールの整備、運用状況を、
情報セキュリティ監査を行う主体が独立かつ専門的な立場から、
国際的にも整合性の取れた基準に従って検証または評価し、
もって保証を与え、あるいは助言を行う
活動である。
情報セキュリティ監査基準の位置付けは、情報セキュリティ監査業務の品質を確保し、有効かつ効率的に監査を実施することを目的とした監査人の行為規範であり、情報セキュリティ管理基準は、情報セキュリティ監査をするときの評価基準になるものです。
情報セキュリティ監査には保証型監査と助言型監査があります。保証型監査は、情報セキュリティ対策の適切性に対して一定の保証を付与することを目的とする監査であり、助言型監査は情報セキュリティ対策の改善に役立つ助言を行うことを目的とする監査です。