システム管理基準

経済産業省が策定した、システム監査業務の品質を確保し有効かつ効率的に行うための実践規範。監査人の行為規範、監査の計画・実施・報告に関する基準を体系的に定めている。

経済産業省が策定した、情報セキュリティ監査を行う際の行為規範。情報セキュリティ管理基準とあわせて活用し、組織の情報セキュリティ対策の適切性・有効性を検証・評価する枠組みを提供する。

経済産業省が策定した、情報セキュリティ管理における判断の尺度。ISO/IEC 27001およびISO/IEC 27002を基にしており、情報セキュリティ監査の判断基準として活用される。

情報システムの開発・運用等を外部の事業者に委託する際の管理。委託先の選定基準、契約条件、SLA、モニタリング方法、セキュリティ要件などを定め、委託先の統制状況を継続的に管理する。

組織が保有する情報資産の一覧を管理する台帳。資産名、管理者、機密区分、保管場所、利用範囲などを記録し、リスクアセスメントやアクセス管理の基礎資料として活用する。

システムやネットワークのアクセスログ、操作ログ、エラーログなどを適切に取得・保管・分析する管理活動。監査証跡の確保、不正行為の検出、障害分析に不可欠であり、ログの改ざん防止も重要である。