内部監査

サービスマネジメントシステムが規格要求事項に適合し、効果的に実施・維持されているかを定期的に評価する活動。パフォーマンス評価の一環として行われ、改善の機会を特定する。

組織内部の監査員が、SMSが計画通りに運用され、ISO/IEC 20000の要求事項に適合しているかを体系的に評価する活動。定期的な実施が求められ、改善の機会を特定する。

組織内部の独立した監査部門が、自組織の業務活動やシステムを対象として実施する監査。経営目標の達成に向けて、内部統制やリスク管理の有効性を評価・改善することを目的とする。

ISMSの要求事項を規定する国際規格。組織がISMSを確立、実施、維持、継続的に改善するための要求事項を定める。日本ではJIS Q 27001として翻訳規格が発行されており、ISMS認証の基準となる。

情報セキュリティマネジメントシステムで使用される用語を定義する日本産業規格。ISO/IEC 27000の翻訳規格であり、脅威、脆弱性、リスク、管理策などISMS関連の重要用語の定義を提供する。過去問では用語の正確な定義を問う問題が繰り返し出題されている。

組織の情報セキュリティ対策が適切に実施されているかを独立した立場から検証・評価する活動。監査計画に基づき、管理策の有効性、諸規程の遵守状況を確認し、改善のための助言を行う。助言型監査と保証型監査がある。

情報システムの信頼性、安全性、効率性を独立した立場から検証・評価する活動。監査計画の策定、監査証拠の収集・分析、監査報告書の作成というプロセスで実施する。情報セキュリティの観点からの評価も含む。

情報セキュリティマネジメントシステム。組織の情報セキュリティを管理するための仕組みで、JIS Q 27001（ISO/IEC 27001）に基づき、リスクアセスメントを行い、管理策を選定・実施・運用・監視・改善するPDCAサイクルを回す。

ISMSの要求事項を規定する日本産業規格。国際規格ISO/IEC 27001を翻訳したもの。組織がISMSを確立、実施、維持、継続的に改善するための要求事項を定め、ISMS認証の基準となる。