・システム監査
情報システムを対象にした、第三者の評価。
・情報セキュリティ監査
情報セキュリティマネジメント体制を対象にした、第三者の評価。
情報セキュリティ管理基準(情報セキュリティ監査を受ける組織の実践規範)
情報セキュリティ監査基準(監査人の行為規範)
システム監査と情報セキュリティ監査の違い
システム監査(対象が情報システム。情報セキュリティを含む、情報システムの信頼性・安全性・効率性・有効性を監査する。)
情報セキュリティ監査(対象が情報資産。組織の情報セキュリティ確保のためのマネジメントの実施状況を監査する。)
監査とコンサルティングの違い
監査(監査報告書を、監査対象の組織とその組織の利害関係者に公開する。)
コンサルティング(調査報告を、対象の組織のみに公開する。)
・内部統制
企業が財務会計でミスや不正を行わないように、組織内部のルールや仕事のやり方を整備・実施・証明すること。
・IT統制
内部統制のうち、ITに関連した内容を統制すること。
IT業務処理統制(システムを使った業務を統制すること。)
IT全般統制(IT業務処理統制を実施できるように、適切にシステムを開発・運用すること。)
・ITガバナンス
企業が経営目標を達成するために、ITを過不足なく活用すること。
コーポレートガバナンス(企業の利害関係者が、企業経営層を統制・監視するための仕組み。)
情報セキュリティガバナンス(企業が、情報資産のリスク管理のために、情報セキュリティの意識・取組み・業務活動を組織内に徹底させるための仕組み。)
ITガバナンスの範囲と情報セキュリティガバナンスの範囲は、重複する場合がある。