情報セキュリティ管理基準と監査基準の違い

八王子さん  
(No.1)
https://www.sc-siken.com/s/kakomon/22_haru/am2_25.html

解説の「正解以外は、監査基準ではなく管理基準についての記載」といった旨の箇所が理解できません。
アなんて「監査人の規範である」とあるのに、なぜこれが管理基準の記載となるのですか?
管理基準が監査の参考になる事は知っていますが、どう理解して解けばいいか全く分かりません。

監査人は「HDDを処分する時はちゃんと業者に依頼しているかなど、正しく情報が管理されているか判断する第三者の人達」
管理基準「HDDを処分する時はA業者に依頼するなど、実際に情報を使う人達が守るべき基準」

くらいの理解度なのですが、根本が間違っているのでしょうか?
2024.09.09 08:23
ラクスさん 
(No.2)
選択肢アについては「判断の尺度である」の部分が誤りであり、「監査人の規範である」との記載は単純な「引っかけ」です。
正確には「情報セキュリティ対策等を講じる際の判断の尺度」であり「管理基準」の領域になります。
なお、「情報セキュリティ監査基準」はそれほどボリュームはありませんので、通読することをお勧めします。
2024.09.09 09:20
ラクスさん 
(No.3)
追伸です。
「情報セキュリティ管理基準」は経済産業省のWebサイトに掲載されております。
直接リンクを貼ることが出来ませんので、「政策について→政策一覧→安全・安心→サイバーセキュリティ政策→情報セキュリティ監査制度」の順にたどって下さい。
ご参考になれば幸いです。
2024.09.09 09:27
八王子さん  
(No.4)
>ラクスさん
ありがとうございます。その他は後半の記載が引っ掛けでしたか……
監査基準を拝見しましたが5ページ程度なのですね。一読させていただきます。 有益な情報までありがとうございました!
2024.09.09 18:29

返信投稿用フォーム

スパム防止のためにスレッド作成日から30日経過したスレッドへの投稿はできません。

その他のスレッド


Pagetop