情報セキュリティのPDCAサイクルのCheckで
行われる監視活動は、現場レベルの責任者によるチェックや、
部門間による相互チェックをなどの「日常的監視業務」と
監査(audit)などの「独立的評価業務」に分けられます。
監視活動では、計画の通りに正しく運用されているかという「準拠性」は
もちろんですが、運用している管理策がリスク対応として適切かという
「有効性」も確認します。
この有効性とは、
人、物、金、時間などが無駄に使われていないかを意味しています。
監査とは、その目的の行為が適正に行われていることを、検証・評価し、
その結果を報告することです。
監査は、組織内部で自らで行う内部監査と、組織から独立した第三者によって行われる外部監査に分けられます。
また、助言型監査と保障型監査に分類することもあります。
一般に内部監査は、改善を目的に、問題点を検出して、改善提言を行う助言型監査です。
外部監査は、助言型の働きで行うこともありますが、
外部組織に対して 組織の行為が適切であることを評価する保障型監査としても行われます。
監査は、法廷監査と任意監査に分類できます。
法廷監査は法令の定めで強制的になされなければならない監査で、
会社法で要求される会社法監査や、証券取引法で要求される証券取引法監査があります。
対して、強制力を持たないシステム監査や情報セキュリティ監査が
任意監査となります。
システム監査は、情報システムの全体最適化(情報セキュリティの側面を含む)で、信頼性、安全性、および効率性を目的に行うものです。
(当初会計システムにおけるデータの真正性確保が目的で実施され、その後、セキュリティが課題になって
リスク管理、品質管理、情報資産保護 などが追加されています。)
対して、
情報セキュリティ監査は情報システム以外の部分も対象とし、
「情報セキュリティ確保のためのマネジメントが効果的に行われること」を目的として行う監査です。
「情報セキュリティ監査制度」は、経済産業省により2003年4月に始まりました。
この具体的な基準やモデルとして、
「情報セキュリティ監査基準」と「情報セキュリティ管理基準」の2つを示しています。
情報セキュリティ管理基準は、
情報セキュリティ監査を受ける組織の情報セキュリティマネージメントの実施基準で
あるとともに、
情報セキュリティ監査行う鑑査人の評価基準になっている。
情報セキュリティ監査基準は、 情報セキュリティ監査業務を、有効かつ効率的に実施するための監査人の行為規範です。