経済産業省 「情報セキュリティ監査基準改正案等」に対する意見募集

こんにちは、丸山満彦です。

経済産業省の情報セキュリティ監査基準が20数年ぶりに改訂の話になっていますね...

この制度がつづいているのは、当時としては頑張って団体すなわち特定非営利活動法人日本セキュリティ監査協会 (JASA)
をつくったことです...

（あの時、土居先生が会長を、下村さんが事務局長を引き受けたのは、すごいなぁと思いました...でも、そのおかげで、そして、その後、つぎつぎとバトンがわたっていったのがよかったのかもですね。。。）

 

今回の変更点である部分...

---

...監査の目的として示されている「保証の付与」について、「セキュリティインシデントが発生しないことを保証する」という文脈における保証（英語の guarantee に相当）として誤解される事例があることが指摘されるようになった。そこで Ver2.0 への改訂にあたり、これまで「保証」及び「助言」と記載していた箇所について、それぞれ「アシュアランス」及び「アドバイザリー」と表記を改めることとした。表記の変更に伴う意味の変更は生じていないが、用語に馴染みのない読者のため、次項に示す「情報セキュリティ監査の目的」においてそれぞれの定義を示している。

...

アシュアランスとは証拠等の客観的な検証を根拠とした事実認定に基づき信頼性についての意見表明をすることをいい、アドバイザリーとは同様の検証を根拠とした基準不適合の事項に対する改善のための助言を行うことをいう。

...

---

 

これは良かったと思います。

会計監査の世界では、保証という言葉が通じていますが、より法律を含む一般の世界では、保証というとguaranteeとなるので、混乱を招きかねないです...

作成当初はそのようなことに気がまわらなかったので、会計監査の世界の言葉を使ってしまいましたが、これからのことを考えると、アシュアランスという言葉に変えたほうがよいと思います...

 

私は今回の改正に関わっていませんが（ので？）、よいものができていると思いますが、多くの人がコメントをだしてくれることを期待しています。。。

 

● e-Gov

・「情報セキュリティ監査基準改正案等」に対する意見募集について

• 情報セキュリティ監査基準_改正案
• 情報セキュリティ監査実施基準ガイドライン_改正案
• 情報セキュリティ監査報告基準ガイドライン_改正案 
• 情報セキュリティ管理基準_改正案 
• 情報セキュリティ管理基準活用ガイドライン案 

 

現在の監査基準等は、こちら...

● 経済産業省

 

・情報セキュリティ監査制度

・・情報セキュリティ監査基準（平成15年経済産業省告示第114号）

・・・実施基準ガイドライン

・・・報告基準ガイドライン

・・情報セキュリティ管理基準（平成28年経済産業省告示第37号）

・ ・・個別管理基準（監査項目）策定ガイドライン

 

● 特定非営利活動法人日本セキュリティ監査協会 (JASA)