読み方 : じょうほうセキュリティかんさ
情報セキュリティ監査【information security audit】
概要
情報漏洩や不正アクセス、サービス停止などのリスクを抑えるために、情報システムの管理施策が実際に機能しているかを検証する。評価対象には、セキュリティポリシーの整備状況、アクセス制御や暗号化などの技術的対策、インシデント対応手順、従業員教育の実施状況などが含まれる。単に規則やマニュアルの有無を問うだけでなく、現場での運用実態の調査や記録の整合性の確認なども行う。
実施方法としては、文書確認、担当者へのヒアリング、システム設定の確認、ログの点検などが用いられる。これらを通じて、規格や社内基準への適合性、リスクに対する統制の十分性、改善が必要な点を整理する。結果は監査報告書としてまとめられ、経営層や管理部門に共有され、是正措置や再発防止策の検討に活用される。
実施主体によって内部監査と外部監査に大別される。内部監査は自組織内の担当部門が実施し、継続的な改善を目的とする。一方、外部監査は第三者機関が実施し、客観性や信頼性の確保を重視する。国際規格であるISO/IEC 27001(ISMS)では内部監査の手順を規定しており、組織の管理体制が国際的な基準に適合しているかを評価する枠組みとして広く利用されている。
関連用語
資格試験などの「情報セキュリティ監査」の出題履歴
▼ ITパスポート試験
【令7 問38】 情報セキュリティ監査の説明として,最も適切なものはどれか。
【平31春 問50】 ある事業者において、情報資産のライフサイクルに従って実施される情報セキュリティ監査を行うことになった。この対象として、最も適切なものはどれか。
【平28秋 問40】 監査を、業務監査、システム監査、情報セキュリティ監査に分類したとき、監査の目的に関する記述 a~d と監査の種類の適切な組合せはどれか。
▼ 基本情報技術者試験
【令5修1 問59】 外部保管のために専門業者に機密情報を含むバックアップ媒体を引き渡す際の安全性について,情報セキュリティ監査を実施した。その結果として判明した状況のうち,監査人が指摘事項として監査報告書に記載すべきものはどれか。
【令3修12 問60】 情報セキュリティ監査において,可用性を確認するチェック項目はどれか。
【令3修6 問60】 外部保管のために専門業者に機密情報を含むバックアップ媒体を引き渡す際の安全性について,情報セキュリティ監査を実施した。その結果として判明した状況のうち,監査人が指摘事項として監査報告書に記載すべきものはどれか。
【令2修6 問59】 事務所の物理的セキュリティ対策について,JIS Q 27002:2014(情報セキュリティ管理策の実践のための規範)に基づいて情報セキュリティ監査を実施した。
【令2修1 問59】 外部保管のために専門業者に機密情報を含むバックアップ媒体を引き渡す際の安全性について,情報セキュリティ監査を実施した。その結果として判明した状況のうち,監査人が指摘事項として監査報告書に記載すべきものはどれか。
【令1修7 問59】 情報セキュリティ監査において,可用性を確認するチェック項目はどれか。
【平30秋 問59】 外部保管のために専門業者に機密情報を含むバックアップ媒体を引き渡す際の安全性について,情報セキュリティ監査を実施した。その結果として判明した状況のうち,監査人が指摘事項として監査報告書に記載すべきものはどれか。
【平30春 問60】 情報セキュリティ監査において,可用性を確認するチェック項目はどれか。
【平28秋 問59】 情報セキュリティ監査において,可用性を確認するチェック項目はどれか。
共有ボタンをタップ