« IPA、IT人材育成本部を設立 | トップページ | 「グミ指」の作り方 »

2007年10月 2日 (火)

情報セキュリティ監査における「保証(assurance)」

日経ITpro(日経ガバメントテクノロジー)情報セキュリティ監査の基本とトレンド「第1回 保証型情報セキュリティ監査とは?」からです。

日本では情報システムや情報セキュリティの監査というと、どうしても「改善目的」であるという考え方になっていました。
このような監査は「助言型」と呼ばれてきました。

ですが、海外ではこのような考え方はほとんどありません。
「監査(audit)」とは「保証(assurance)」が目的であるというのが一般的な考え方です。
海外の方に「助言型」という話をしても、「それはコンサルティングではないのか」ということになります。
(そういうものは、auditとは呼ばれず、assessment、inspection、verificationというような言葉になるようです)

とにかく、日本ではこの「保証(assurance)」という考え方がなかなか浸透していないようです
※ 情報セキュリティ監査だけでなく、ISO/IEC15408(CC)も然り・・・

(この記事にも書かれていますが)証型監査は、監査が果たす社会的役割や価値などから、
・社会的合意方式
・利用者合意方式
・被監査主体合意方式

の3つに分けられています。

ぜひ、これをご覧になって「保証(assurance)」について、少し理解を深めてみてください。

|

« IPA、IT人材育成本部を設立 | トップページ | 「グミ指」の作り方 »

お役立ちのイベント・資料・書籍・情報」カテゴリの記事

コメント

コメントを書く



(ウェブ上には掲載しません)




トラックバック

この記事のトラックバックURL:
http://app.f.cocolog-nifty.com/t/trackback/98720/8197032

この記事へのトラックバック一覧です: 情報セキュリティ監査における「保証(assurance)」:

« IPA、IT人材育成本部を設立 | トップページ | 「グミ指」の作り方 »