内部監査

サービスマネジメントシステムが規格要求事項に適合し、効果的に実施・維持されているかを定期的に評価する活動。パフォーマンス評価の一環として行われ、改善の機会を特定する。

組織内部の独立した監査部門が、自組織の業務活動やシステムを対象として実施する監査。経営目標の達成に向けて、内部統制やリスク管理の有効性を評価・改善することを目的とする。

組織自らが、ISMSの要求事項及び組織の情報セキュリティ要求事項への適合状況を定期的に検証する活動。ISO/IEC 27001ではISMSの継続的改善のために内部監査の実施が要求されている。

規格の要求事項、組織の方針・手順、またはSLAなどの合意された基準を満たしていない状態。内部監査やマネジメントレビューを通じて検出され、是正処置の対象となる。

CMDBに記録されている構成情報と、実際のIT環境の構成が一致しているかを検証する活動。定期的に実施し、構成情報の正確性と完全性を確保する。

情報システムの信頼性、安全性、効率性を独立した立場から評価する監査活動。ITサービスマネジメントにおいては、SMSのプロセスや管理策の適切性を第三者視点で検証する手段として活用される。

情報システムの信頼性、安全性、効率性などを、独立した立場の監査人が客観的に評価・検証する活動。システムのリスクやコントロールの有効性を点検し、改善のための助言を行う。

システム監査を実施する専門家。被監査部門から独立した立場で、客観性と公正性を保ちながら監査を行う。専門的な知識と能力を持ち、職業倫理に基づいて業務を遂行する。

経済産業省が策定した、システム監査を実施する際の判断基準やガイドライン。監査人の行動規範、監査の実施手順、報告のあり方などを定め、監査の品質と信頼性を確保するための指針となる。