sg sg-management system_audit sg-security-management isms
まず結論
情報セキュリティ監査基準とは、情報セキュリティ監査を適切に行うために、監査人が守るべき考え方や進め方を示した基準です。
SG試験では、細かい条文を暗記するよりも、情報セキュリティ管理基準との違いを押さえることが大切です。
- 情報セキュリティ監査基準:監査をどう進めるか
- 情報セキュリティ管理基準:何を基準に管理策を判断するか
つまり、監査基準は「監査人の行動ルール」、管理基準は「管理策を評価するものさし」と考えると整理しやすいです。
直感的な説明
情報セキュリティ監査を、健康診断にたとえると分かりやすいです。
健康診断では、医師が好きな順番で好きな項目だけを見るのではなく、一定の手順に沿って検査し、結果を記録し、必要に応じて指摘します。
情報セキュリティ監査も同じです。
組織の情報セキュリティ対策について、
- 何を確認するか
- どのような証拠を集めるか
- どのように判断するか
- どのように報告するか
を、監査人が場当たり的に決めてしまうと、監査結果の信頼性が下がってしまいます。
そこで、情報セキュリティ監査基準によって、監査人が守るべき基本ルールを定めています。
定義・仕組み
情報セキュリティ監査基準は、情報セキュリティ監査を実施する監査人のための基準です。
経済産業省の情報セキュリティ監査制度では、情報セキュリティ監査基準や関連ガイドラインが公開されています。
公式情報は次のページで確認できます。
- 経済産業省:情報セキュリティ監査制度
https://www.meti.go.jp/policy/netsecurity/is-kansa/
情報セキュリティ監査基準は、大きく次の3つで構成されます。
| 区分 | 役割 |
|---|---|
| 一般基準 | 監査人の独立性、専門能力、職業倫理などを定める |
| 実施基準 | 監査計画、監査手続、証拠収集などの進め方を定める |
| 報告基準 | 監査結果をどのように報告するかを定める |
SG試験では、この3区分の細かい文言よりも、監査は計画して、証拠に基づいて実施し、結果を報告するという流れを押さえると十分です。
情報セキュリティ管理基準との違い
混同しやすいのが、情報セキュリティ管理基準です。
| 用語 | 何を示すか | イメージ |
|---|---|---|
| 情報セキュリティ監査基準 | 監査人がどう監査するか | 監査の進め方 |
| 情報セキュリティ管理基準 | 管理策が適切かを何で判断するか | 判断のものさし |
たとえば、従業員の守秘義務を監査する場合、
- 監査基準:監査計画を立て、証拠を集め、結果を報告するためのルール
- 管理基準:守秘義務やアクセス管理などが適切に整備されているかを判断する基準
という関係になります。
どんな場面で使う?
情報セキュリティ監査基準は、組織の情報セキュリティ対策を第三者または内部監査部門が確認する場面で使われます。
外部監査で使う
外部の監査人に依頼して、組織の情報セキュリティ対策を確認する場合に使われます。
例えば、取引先や顧客に対して、情報セキュリティ管理が適切であることを説明したい場合です。
このとき、監査人が好きな方法で確認するのではなく、一定の基準に沿って監査することで、監査結果の信頼性を高めます。
内部監査で使う
社内の内部監査部門が、情報セキュリティ対策の整備状況や運用状況を確認する場合にも使えます。
例えば、
- アクセス権限が定期的に見直されているか
- 委託先との契約に守秘義務が含まれているか
- インシデント対応手順が整備されているか
- 教育訓練が実施されているか
といった点を確認します。
保証型監査と助言型監査
情報セキュリティ監査には、組織の対策が適切かを評価する性格のものだけでなく、改善のための助言を行う性格のものもあります。
SG試験では、監査を「違反を見つけて罰するためだけのもの」と考えると引っかかりやすいです。
監査は、問題点を見つけるだけでなく、組織の情報セキュリティ管理を改善するためにも使われます。
よくある誤解・混同
誤解1:情報セキュリティ監査基準は、管理策の一覧である
これは誤りです。
管理策の妥当性を判断するための基準は、主に情報セキュリティ管理基準です。
情報セキュリティ監査基準は、監査人が監査を行うときの基本的な進め方や報告の考え方を示します。
選択肢で、
情報セキュリティ監査基準は、アクセス制御や守秘義務などの具体的な管理策を列挙したものである
のように書かれていたら注意です。
誤解2:監査人は、思いついた順に確認すればよい
これも誤りです。
監査では、監査計画を立て、監査手続を決め、証拠を収集し、判断し、報告します。
SG試験では、計画性と証拠に基づく判断が重要です。
誤解3:監査は外部の専門家だけが行うもの
これも誤りです。
情報セキュリティ監査基準は、外部監査だけでなく、内部監査でも利用できます。
社内の内部監査部門が、情報セキュリティ対策の整備状況や運用状況を確認する場合にも関係します。
誤解4:監査報告は、問題点だけを書けばよい
監査報告では、監査の目的、範囲、手続、結果などを適切に示す必要があります。
単に「問題がありました」と書くだけでは、監査結果として不十分です。
SG試験では、監査報告は証拠に基づいて、関係者が改善判断できる形で示すものと考えます。
まとめ(試験直前用)
- 情報セキュリティ監査基準は、監査人が監査をどう進めるかを示す基準である
- 情報セキュリティ管理基準は、管理策が適切かを判断するものさしである
- 監査基準は、一般基準・実施基準・報告基準で構成される
- 監査では、計画、証拠収集、判断、報告の流れが重要
- SG試験では、「監査基準=進め方」「管理基準=判断基準」と切り分ける
確認問題
情報セキュリティ監査基準の説明として、最も適切なものはどれか。
- 情報セキュリティ監査を行う監査人の行動や監査の進め方、報告の考え方を示す基準である。
- 組織が実施すべきアクセス制御、守秘義務、委託先管理などの管理策だけを具体的に列挙した基準である。
- 情報セキュリティ監査で見つかった問題に対して、監査人が直接改善命令を出すための基準である。
- 外部監査だけを対象とし、内部監査では利用できない基準である。
回答と解説
正解は **1** です。 情報セキュリティ監査基準は、監査人が監査をどのように実施し、どのように報告するかを示す基準です。 2は、情報セキュリティ管理基準との混同です。 3は、監査人の役割を強く言いすぎています。監査人は問題点を評価・報告しますが、直接改善命令を出す立場とは限りません。 4は誤りです。情報セキュリティ監査基準は、外部監査だけでなく内部監査でも利用できます。🔗 関連記事
- アクセス権限管理とは?付与・変更・削除の流れを整理【SG試験】
- 管理者権限とは?特権的アクセス権との違いを整理【SG試験】
- 情報資産台帳とは?リスク管理の出発点を整理【SG試験】
- 監査ログとは?不正検知と追跡の基本【SG試験】
- 稼働率とは?可用性の考え方とSLAでの判断基準【SG試験】