情報セキュリティ監査基準／情報セキュリティ管理基準

情報セキュリティ監査の概要

情報セキュリティ監査の目的

ＩＴが組織体の活動や社会生活に深く浸透することに伴い、情報セキュリティの確保は、組織体が有効かつ効率的に事業活動を遂行するための必要な条件、安全・安心な社会生活を支えるための基盤要件となっていることから、経済産業省は情報セキュリティ監査制度（http://www.meti.go.jp/policy/netsecurity/audit.htm）を策定しています。

情報セキュリティ監査とは、独立かつ専門的な立場の情報セキュリティ監査人が、組織体の情報セキュリティの状況を検証又は評価して、情報セキュリティの適切性を保証し、情報セキュリティの改善に役立つ的確な助言を与えるものです。

情報セキュリティ監査は、システム監査と同様の任意監査です。会計監査のような法的な監査ではありません。内部統制の一環として社内だけで行うこともできますが、高い専門性や倫理性を有している外部の情報セキュリティ監査人に監査をしてもらうのが適切です。
　これは、ステークホルダへの説明責任の観点からも重要です。

情報セキュリティはマネジメントシステムとして、全社的に継続的に行うべきものです。ＰＤＣＡサイクルのモニタリング機能として不可欠なものであり、情報セキュリティに係るリスクのマネジメントが効果的に実施されていることを担保するための有効な手段であり、情報セキュリティの分野でのＩＴガバナンスの向上になります。

監査対象は情報資産全般に対するセキュリティです。コンピュータシステムだけでなく、紙媒体の情報なども対象になります。
　そのため、ハードウェアとしてのコンピュータを導入していない部署でも，情報セキュリティ監査の対象になります。

情報セキュリティ監査基準と情報セキュリティ管理基準

情報セキュリティ監査制度に関する主な文書に、「情報セキュリティ監査基準」と「情報セキュリティ管理基準」があり、それらを具体的に実施するための多数のガイドラインがあります。

情報セキュリティ監査基準

http://www.meti.go.jp/policy/netsecurity/downloadfiles/IS_Audit_Annex04.pdf
情報セキュリティ監査基準とは、情報セキュリティ監査業務の品質を確保し、有効かつ効率的に監査を実施することを目的とした監査人の行為規範です。
この内容は、「システム監査基準」とほぼ同じです。「システム監査」を「情報セキュリティ」と読み替えればほぼ同ですので、ここでは割愛します。

情報セキュリティ管理基準

http://www.meti.go.jp/policy/netsecurity/downloadfiles/IS_Management_Standard.pdf
情報セキュリティ管理基準は、組織体が効果的な情報セキュリティマネジメント体制を構築し、適切なコントロール（管理策）を整備・運用するための実践規範です。監査人が情報資産の監査を行う際に判断の尺度として用いるべき基準でもあります。
次の２つの基準から構成されています。

• マネジメント基準
  情報セキュリティマネジメントの計画、実行、点検、処置に必要な実施事項を定めています。
  単に必要事項を列挙するのではなく、目的、成果物、留意事項などの説明があります。
• 管理策基準
  組織に情報セキュリティマネジメントの確立段階において、リスク対応方針に従って管理策を選択する際の選択肢を与えるものです。マネジメント基準での要求事項を実現するための具体的な手段を示しています。
  例えば、情報セキュリティ基本方針文書に関しては、「経営陣が承認し、また、全従業員及び関連する外部関係者に公表し、通知する」として、その小項目に、文書に含むべき事項や公表での留意事項などについて８つの事項を掲げています。

ISO/IEC 27001（JIS Q 27001）、ＩＳＭＳ適合性評価制度との関係

情報セキュリティマネジメントに関わる重要な国際規格として、
　　ISO/IEC 27001（JIS Q 27001） ＩＳＭＳ（情報セキュリティマネジメントシステム）要求事項
　　ISO/IEC 27002（JIS Q 27002）情報セキュリティマネジメントのための実践規範
があります。また、ＩＳＭＳに関する第三者認証制度に「ＩＳＭＳ適合性評価制度」があります。
　システム管理基準は、それらとの整合性をもっていますが、次の事項に配慮しています。
　マネジメント基準では、ＩＳＭＳ認証取得を目指している組織、独自に情報セキュリティマネジメントの確立を検討している組織、情報セキュリティ監査を実施する組織、情報セキュリティ監査を受ける組織など幅広い利用者を想定した記述にすること、情報セキュリティマネジメントの計画、実行、点検、処置の各プロセスで行うべき事項を明確にしています。管理策基準ではJIS Q 27001の附属書Ａ「管理目的及び管理策」をもとに専門家の知見を加えて作成しています。

情報セキュリティ監査には保証型監査と助言型監査があります。保証型監査は、情報セキュリティ対策の適切性に対して一定の保証を付与することを目的とする監査であり、助言型監査は情報セキュリティ対策の改善に役立つ助言を行うことを目的とする監査です。
　それに対してＩＳＭＳ適合性評価制度は、審査を行い、合格したときに認証と合格マークの使用を許可する制度で、審査員は助言をしないことになっています。
　このような関係により、まず情報セキュリティ監査制度により成熟度を高め、一定のレベルに達したときにＩＳＭＳ適合性評価制度により第三者認定を取得するのが適切です。

マネジメント基準の内容

３段階の体系になっており、それぞれに説明があります。「1.3 リスクアセスメント」を例にすると次のような記述になっています。

1 情報セキュリティマネジメントの確立

1.1 適用範囲の定義
1.2 基本方針の策定
1.3 リスクアセスメント
1.4 管理策の選択

2 情報セキュリティマネジメントの導入と運用

2.1 リスク対応計画
2.2 管理策の実施
2.3 情報セキュリティマネジメントの運用管理
2.4 教育、訓練、意識向上および力量

3 情報セキュリティマネジメントの監視およびレビュー

3.1 有効性の継続的改善
3.2 監視及びレビューの準備
3.3 管理策の有効性評価
3.4 情報セキュリティマネジメントの継続性評価

4 情報セキュリティマネジメントの維持および改善

4.1 改善策の導入
4.2 是正処置
4.3 予防処置

5 文書管理および記録の管理

5.1 文書化
5.2 文書管理
5.3 記録の管理

管理策基準

３段階の体系になっており、４段階目が実践項目になっています。「1.1 情報セキュリティ基本方針」を例にすると次のような記述になっています。

1 セキュリティ基本方針
　　1.1 情報セキュリティ基本方針
2 情報セキュリティのための組織
　　2.1 内部組織
　　2.2 外部組織
3 資産の管理
　　3.1 資産に対する責任
　　3.2 情報の分類
4 人的資源のセキュリティ
　　4.1 雇用前
　　4.2 雇用期間中
　　4.3 雇用の終了又は変更
5 物理的及び環境的セキュリティ
　　5.1 セキュリティを保つべき領域
　　5.2 装置のセキュリティ
6 通信及び運用管理
　　6.1 運用の手順及び責任
　　6.2 第三者が提供するサービスの管理
　　6.3 システムの計画作成及び受入れ
　　6.4 悪意のあるコード及びモバイルコードからの保護
　　6.5 バックアップ
　　6.6 ネットワークセキュリティ管理
　　6.7 媒体の取扱い
　　6.8 情報の交換
　　6.9 電子商取引サービス
　　6.10 監視
7 アクセス制御
　　7.1 アクセス制御に対する業務上の要求事項
　　7.2 利用者アクセスの管理（詳細）

　　7.3 利用者の責任（詳細）

　　7.4 ネットワークのアクセス制御
　　7.5 オペレーティングシステムのアクセス制御
　　7.6 業務用ソフトウェア及び情報のアクセス制御
　　7.7 モバイルコンピューティング及びテレワーキング
8 情報システムの取得、開発及び保守
　　8.1 情報システムのセキュリティ要求事項
　　8.2 業務用ソフトウェアでの正確な処理
　　8.3 暗号による管理策
　　8.4 システムファイルのセキュリティ
　　8.5 開発及びサポートプロセスにおけるセキュリティ
　　8.6 技術的ぜい弱性管理
9 情報セキュリティインシデントの管理
　　9.1 情報セキュリティの事象及び弱点の報告
　　9.2 情報セキュリティインシデントの管理及びその改善
10 事業継続管理
　　10.1 事業継続管理における情報セキュリティの側面
11 順守
　　11.1 法的要求事項の順守
　　11.2 セキュリティ方針及び標準の順守並びに技術的順守
　　11.3 情報システムの監査に対する考慮事項