【信長】
セキュリティ監査について理解してほしい。
重要なのは、経済産業省が出した
「情報セキュリティ監査基準(ver1.0)」
よく読んでほしい。
【光秀】
これは、JIS Q 15001と違って無料でダウンロードできますね。
また、ページ数も5ページと少ない。
【信長】
順に読んでみよう。
----「情報セキュリティ監査基準(ver1.0)」より引用
有効かつ効率的に監査を実施することを目的とした監査人の行為規範である。本監査基準は、監査人としての適格性及び監査業務上の遵守事項を規定する「一般基準」、監査計画の立案及び監査手続の適用方法を中心に監査実施上の枠組みを規定する「実施基準」、監査報告に係る
留意事項と監査報告書の記載方式を規定する「報告基準」からなっている。
(中略)
本監査基準は、情報セキュリティに保証を付与することを目的とした監査であっても、情報セキュリティの欠陥に対して助言を行うことを目的とした監査であって
も利用できる。
ポイントは
(1)監査人の行為規範であること。
(2)一般基準、実施基準、報告基準からなる
(3)監査には「保証型」と「助言型」があるが、双方で利用できる。
【光秀】
「保証型」と「助言型」について詳しくご教授ねがいます。
【信長】
「保証型」は、情報セキュリティ管理基準に適合していることを保証するもの。
「助言型」は、適合していない部分に関して、その対処策を助言するもの。
そこで、この監査をするには「情報セキュリティ管理基準」をよく理解しおく必要がある。これも、経済産業省から出されているが内容は膨大なので、ちょっと大変かも。
がんばって読んでほしい。
[参考URL] 経済産業省のページ