情報セキュリティ監査とは

「情報セキュリティ監査」とは、情報セキュリティに関するリスク管理が効果的に実施されるよう、情報セキュリティ対策やその運用状況を、専門的知識を持った第三者が客観的に評価を行い、保証あるいは助言を与えることです。
以前から情報セキュリティ監査は行われてきましたが、何を基準に監査するかが監査主体によってまちまちだったため、監査結果が適切かどうかの判断が困難でした。しかし、2003年「情報セキュリティ監査制度(経済産業省)」の施行によって、「情報セキュリティ管理基準」「情報セキュリティ監査基準」の2つの基準が設けられ、あいまいだった基準が明確になりました。
また、監査をどこに依頼すればよいかわからない、という疑問を払拭するために「情報セキュリティ監査企業台帳」が設けられました。この台帳には監査法人をはじめ情報セキュリティベンダー、システムベンダー、情報セキュリティ専門企業、システム監査企業などの様々な主体が登録されており、各企業の特色や傾向なども含めてインターネットで閲覧することが可能です。JMCリスクソリューションズも「情報セキュリティ監査企業台帳」に登録しています。

情報セキュリティ監査市場のイメージ(経済産業省)

上記0～5は単なるイメージであり、正式な定義等ではない。

情報セキュリティ監査を受けるメリット

第三者に対しての信頼の獲得

情報セキュリティ監査結果を第三者(取引先や消費者など)に示すことで、適切な情報セキュリティ対策を行っているという信頼を得ることができます。

課題の明確化

情報セキュリティ対策、情報セキュリティマネジメントの問題点について客観的な評価を受けることで、課題が明確になり、適切な改善を施せます。

情報セキュリティマネジメントの確立

定期的に情報セキュリティ監査を受けることで、情報セキュリティ対策の完備性が高まり、情報セキュリティマネジメントの確立が可能となります。

業界基準などへの適合性の評価

業界基準が整備されている下記業界に関しては、情報セキュリティ対策が業界基準に適合しているかを判断する上で非常に有効です。

・中央官庁
・地方自治体

・金融業界
・医療業界

・通信業界
　　　　　　など