監査調書

監査の実施過程で収集した証拠や分析結果、判断の根拠などを記録した文書。監査報告書の作成基礎となり、監査の品質管理やフォローアップの際にも参照される。

監査人が監査の実施過程で作成・収集した記録や資料。監査計画、実施した手続き、発見事項、判断根拠などを文書化したもので、監査証拠の裏付けとなり、監査品質の証拠として保管される。

システム監査人が調査、収集、検証、評価した情報を体系的に整理して文書化したもの。監査の結論に至った過程を記録し、監査報告書を作成するときの基礎資料や監査結果の裏付けとなる。適切に作成・保管する必要がある。

監査の計画、実施過程、証拠、判断根拠、結論などを記録した文書。監査意見の根拠を第三者に説明するための基礎資料であり、監査品質の証跡として一定期間保存する。

文書や記録として存在する監査証拠。契約書、議事録、規程類、システムログ、出力帳票などが該当する。外部から入手した文書は内部文書より一般に高い信頼性がある。

完成した監査調書を適切な期間保管すること。保管期間は監査の種類や法的要件により異なるが、監査結論の根拠を説明する必要がある限り保管する。機密性の確保とアクセス管理も重要である。

組織の情報セキュリティ対策が適切に実施されているかを独立した立場から検証・評価する活動。監査計画に基づき、管理策の有効性、諸規程の遵守状況を確認し、改善のための助言を行う。助言型監査と保証型監査がある。

情報システムの信頼性、安全性、効率性を独立した立場から検証・評価する活動。監査計画の策定、監査証拠の収集・分析、監査報告書の作成というプロセスで実施する。情報セキュリティの観点からの評価も含む。

組織自らが、ISMSの要求事項及び組織の情報セキュリティ要求事項への適合状況を定期的に検証する活動。ISO/IEC 27001ではISMSの継続的改善のために内部監査の実施が要求されている。

監査の結論を裏付けるために収集される記録、事実の陳述、その他の情報。システムログ、ネットワークのログ、設定情報、文書記録などが含まれる。十分かつ適切な監査証拠に基づいて監査意見を形成する。