情報セキュリティ入門

情報セキュリティ監査制度

情報セキュリティ対策の不備に起因する情報漏洩やネットワークへの不正アクセス等の事件や事故を防ぐために、電子政府や電子自治体、民間企業などが外部の専門家から客観的な助言、評価を受ける仕組みとして、経済産業省が2003年から運用しています。この制度は「標準的な基準の策定」・「監査主体のあり方の提示」・「電子政府のモデル提示」の3つで構成されています。

ISMSとの違いは、情報セキュリティ監査制度では、監査の内容について基本的に被監査主体の選択の自由度が高いということです。ISMSでは技術的対策、人的対策など「ISMS認証基準」の項目すべてについて審査しますが、情報セキュリティ監査制度では特定テーマに絞って監査を受けることが可能です。

したがって、情報セキュリティ監査制度の普及は、ISMS認証取得の予備軍を増やし、セキュリティレベルをISMS認証取得レベルまで向上させ、結果的に認証取得会社が増加するというメリットがあります。

2004年には、特定非営利活動法人日本セキュリティ監査協会において公認情報セキュリティ監査人資格制度が創設され、監査を実施するうえで求められる知識・経験・技術を有した専門家の育成が図られています。