情報システム監査、情報セキュリティ監査

コンピュータやインターネットが急速に普及し、データの保存や利用に使われるようになったことで、サイバー犯罪やハッカーの存在、マルウェアによるデータの破損など、データの安全性や完全性についての懸念も高まっています。こうしたことから、組織の利益を守るための様々な学問や制度が発展してきました。情報システム監査と情報セキュリティ監査は、情報や機密データの安全性と完全性を確保するための2つのツールです。この2つのツールの区別に戸惑い、同じものだと感じてしまう人がよくいます。しかし、今回は、その違いの一部を紹介します。

情報システム監査は、職務分掌、サーバーやデバイスの管理、問題やインシデントの管理、ネットワークの細分化、セキュリティ、安全性、プライバシー保証などを含む、大きく幅広い用語である。一方、情報セキュリティ監査は、その名の通り、データのセキュリティと保管・伝送中の情報という一点を議題とするものである。印刷物も同様に重要であり、そのセキュリティもこの監査に含まれるため、ここでデータを電子データと混同してはならない。

両者の監査は重複する部分が多く、多くの人が混乱する。しかし、物理的な観点から見ると、情報システム監査がコアに関係するのに対し、情報セキュリティ監査は外部環境に関係する。ここでいうコアとは、システム、サーバー、ストレージ、さらにはプリントアウトやペンドライブなどを指し、アウターサークルとは、ネットワーク、ファイアウォール、インターネットなどを指すと考えることができる。

論理的に考えれば、情報システム監査は運用やインフラを扱うのに対し、情報セキュリティ監査はデータ全体を扱うということがわかると思います。