情報セキュリティ監査の対象とその視点
情報セキュリティに関する脅威は、技術や社会環境の動向により日々変化するものである。また、情報セキュリティ事故の多くは「組織内部の人的要因」が原因となっており、組織外からの攻撃のみに注目しても解決はできない。
そのため組織内の情報セキュリティマネジメントサイクルを確立し、「PDCA」サイクルをまわすことが重要となる。従って、情報セキュリティ監査は、このマネジメントサイクルを構築されているか、改善のプロセスが存在するかの視点から行なわれる。
具体的には、その組織の情報資産に対してリスクアセスメントが行なわれているか、その結果に基づいて適切な対策(コントロール)がなされているかの監査が行なわれる。また、リスクアセスメントが効果的なものかを判断するために監査自体としても組織の情報資産に対するリスクアセスメントを行うことが重要となる。