監査制度について | 情報セキュリティ監査制度 | JASA (Japan Information Security Audit Association)

情報セキュリティ監査制度のポイント

民間企業や政府、地方自治体等の情報セキュリティ対策の監査を目的とした「情報セキュリティ監査制度」には、以下の４つのポイントがあります。

監査の対象とその視点

情報システムのセキュリティだけではなく、情報資産全体のセキュリティマネジメントが監査の対象で、マネジメントサイクルが構築され、適切な対策がなされているかの視点で監査がなされる。

多様な監査方式

外部目的の保証型監査や内部目的の助言型監査、組織全体の監査や一部の監査など多様な監査ニーズに応じた監査方式を選択できる。

標準的な監査基準

客観的に定められた国の基準に基づき監査がなされる。（「情報セキュリティ管理基準（2016年3月告示）」及び「情報セキュティ監査基準（2003年4月告示）」））

独立した監査主体

「情報セキュリティサービス基準適合サービスリスト」^（注）に掲載されたサービスに従事する独立した専門家により監査がなされる。
（注）独立行政法人　情報処理推進機構が公表