セキュリティ監査とは
経済産業省は、2003年に情報システムのセキュリティに対する基準として「情報セキュリティ管理基準」、「情報セキュリティ監査基準」を策定し、情報セキュリティ監査制度を開始しています。情報セキュリティ監査基準は、組織体(会社等)が保有する情報資産を監査の対象として、情報セキュリティマネジメントに対する保証型監査や助言型監査を実施するための情報セキュリティ監査人の規範を定めたものです。
監査の対象
情報セキュリティ管理・監査基準では、情報システムそのものだけではなくて、より広い概念である情報資産を対象としています。
セキュリティ認証規格
情報セキュリティの認証規格には、例えば、プライバシーマーク(Pマーク)、ISMS適合性評価制度があります。
- プライバシーマーク制度
ライバシーマーク制度は、日本工業規格「JIS Q 15001個人情報保護マネジメントシステム―要求事項」に適合して、個人情報について適切な保護措置を講ずる体制を整備している事業者等を認定して、その旨を示すプライバシーマークを付与し、事業活動に関してプライバシーマークの使用を認める制度です。
- ISMS適合性評価制度
組織として情報セキュリティマネジメントを確立するためには、技術的なセキュリティ対策と組織全体のマネ ジメントの両面から取り組む必要です。
ISMS適合性評価制度は、国際的に整合性のとれた情報セキュリティマネジメントに対する第三者適合性評価制度であり、わが国の情報セキュリ ティ全体の向上に貢献するとともに、諸外国からも信頼を得られる情報セキュリティレベルを達成することを目的としたものです。
続いてISMSのポイントを説明します。
●関連リンク