情報セキュリティ監査

組織の情報セキュリティ対策が適切に整備・運用されているかを独立した立場から検証・評価する活動。情報セキュリティ管理基準に基づき、保証型監査と助言型監査がある。

組織の情報セキュリティ対策が適切に整備・運用されているかを独立した立場から検証・評価する活動。情報セキュリティ管理基準に基づき、技術面・管理面・物理面のセキュリティを監査する。

組織の情報セキュリティ対策が適切に実施されているかを独立した立場から検証・評価する活動。監査計画に基づき、管理策の有効性、諸規程の遵守状況を確認し、改善のための助言を行う。助言型監査と保証型監査がある。

経済産業省が策定した、情報セキュリティ監査を行う際の行為規範。情報セキュリティ管理基準とあわせて活用し、組織の情報セキュリティ対策の適切性・有効性を検証・評価する枠組みを提供する。

経済産業省が策定した、情報セキュリティ管理における判断の尺度。ISO/IEC 27001およびISO/IEC 27002を基にしており、情報セキュリティ監査の判断基準として活用される。

組織が保有する情報およびその情報を管理するための仕組み（情報システム、ネットワーク、設備等）の総称。情報セキュリティリスクアセスメントでは、保護すべき情報資産の特定が最初のステップとなる。

組織の情報セキュリティに関する基本方針、対策基準、実施手順を体系化した文書群。経営者が策定・承認し、組織全体に周知・徹底する。監査では方針の適切性と遵守状況を検証する。

情報セキュリティのマネジメントやコントロールが適切であることについて、監査人が一定の保証を与える形式の情報セキュリティ監査。情報セキュリティ監査基準で定められた手続に基づいて実施する。

情報セキュリティのマネジメントやコントロールの改善に向けた助言を行うことを目的とした情報セキュリティ監査。問題点の指摘と改善提案を行い、組織のセキュリティ水準の向上を支援する。