情報セキュリティ監査制度と他の制度との関係について
「情報セキュリティ管理基準」は、JIS Q 27001: 2014及びJIS Q 27002: 2014をもとに策定されている。
ISMS適合性評価制度の管理基準も、JIS Q 27001: 2014及びJIS Q 27002: 2014を参照して策定されていることから、「情報セキュリティ監査」とISMS適合性評価制度の判断尺度は、整合性が図られることとなるが、その役割分担と他の制度との関係について以下に整理する。
ISMS適合性評価制度との関係
ISMS認証取得の裾野を広げる「情報セキュリティ監査制度」
「情報セキュリティ監査」においては、監査の内容については基本的に被監査主体の選択の自由度が高く、「情報セキュリティ管理基準」の項目の一部のみの監査を受けることも可能である。
例えば技術的な部分について、客観的に評価をしてもらいたいと思えば、「アクセス制御」の部分についてのみ、重点的に監査を受けることも可能である。またこれらの積み重ねでISMS準拠性監査を行い、ある段階でISMS認証を取得するといったことも考えられる。
また、マネジメントの監査を正面から実行したとして、助言型監査を用いて、そのレベルを徐々にISMS認証取得レベルに向上させていくという利用のされ方も考えられる。
したがって、「情報セキュリティ監査」の普及は、ISMS認証取得組織体の裾野を広げ、結果として認証取得組織体も増加していく相乗効果を生むものと期待されている。
典型的な情報セキュリティ監査市場のイメージ
ISMS認証取得後の保証型監査
ISMS認証取得後も、ISMS認証基準に定められる「監査」とは別に、「情報セキュリティ管理基準」及び「情報セキュリティ監査基準」に基づいた「情報セキュリティ監査」を行うことが考えられる。例えば、取引先等の特定の相手方から、マネジメントシステムの認証であるISMS認証に加え、技術的なコントロール(例えばアクセス制御など)についての監査結果を求められ、こうした部分的なコントロールについての重点的な保証型監査を受けるといった場合である。
システム監査(基準)との関係
「情報セキュリティ監査」は、「情報資産」全体のセキュリティの確保を目的としており、情報資産の分類やそのライフサイクルに沿った枠組みで構成されることが原則となる。
この点、現行の「システム監査基準」は、「情報システム」のライフサイクル(企画、開発、運用、保守)にしたがって、情報システムの信頼性、安全性及び効率性を検証するという体系となっている。したがって、「情報セキュリティ監査」の標準的な基準と「システム監査基準」は、その体系が異なることとなる。
一方で、情報資産は情報システム上で運用されることが多く、また、現在行われている実際のシステム監査の業務においては、その手法として情報資産のリスクアセスメントを出発点としているものも存在する。したがって、体系が異なるといっても、「情報セキュリティ監査」と「システム監査」とが排他的になるものではない。
プライバシーマーク制度との関係
プライバシーマーク制度は、JISQ 15001に準拠して個人情報の取り扱いを適切に行っている民間業者に対して、「プライバシーマーク」の使用を認める制度である。平成10年4月1日より運用が開始された。
プライバシーマーク制度は、通産省の個人情報保護の取り組みを受けて、民間事業者が積極的に推進する自主的な規制、努力にインセンティブを与え、我が国の個人情報保護を促進させるための手段として、事業者団体と協調して実施するものである。
この制度は個人情報保護に特化した制度であり、運用上の監査は個人情報保護を目的としたものである。一方「情報セキュリティ監査」は前述した通り、組織体の情報資産に対するセキュリティマネジメントを主とした監査である。