情報セキュリティ管理基準とは｜監査の尺度

概要

情報セキュリティ管理基準とは、経済産業省が策定した、組織が情報セキュリティ管理を行う際の実践規範であり、情報セキュリティ監査における判断の尺度（ものさし）となる基準です。

「情報セキュリティ監査制度」とセットで用いられ、監査人が「組織のセキュリティ対策が適切か」を評価する際の基準として機能します。国際規格JIS Q 27002（管理策の実践規範）と整合した内容になっています。

詳細（監査基準との関係）

情報セキュリティ監査制度では、2つの基準が用いられます。

JIS Q 27002との関係

• 情報セキュリティ管理基準は、JIS Q 27002（管理策の実践規範）と整合して作られている。
• 組織は、これらを参考に具体的な管理策を選定・実施する。
• 監査では、これらを尺度として対策の妥当性を評価する。

関連例

情報セキュリティ監査では、組織の対策が管理基準に照らして十分かを点検します。例えば、アクセス管理やログ管理が基準を満たしていない場合、是正が勧告されます。客観的な尺度があることで、対策の抜け漏れを発見しやすくなります。

試験での問われ方

• 「情報セキュリティ監査の判断尺度となる基準はどれか」→ 情報セキュリティ管理基準。
• 「管理基準と監査基準の違い」を問う問題（実践規範か行為規範か）。