セキュリティと一言に行ってもその世界は広く、
テクニカルなものだけではなくて、ガバナンス&リスク&コンプライアンスと呼ばれる分野も対象に含まれます。
GRCとは、「Governance・Risk・Compliance」の略であり、経営の意思決定効率を高めるための統合的リスク管理手法です。法令やグループ方針・ルールを徹底させる「Governance」、各組織・業務・プロセスの運営上のリスクを統制する「Risk Management」、これらの運用遵守を確認する「Compliance」の3つを首尾一貫させ、重複なく効率的にリスク管理として統合化しようとする概念です。
GRC (ガバナンス・リスク・コンプライアンス)|EY Japan
以前、セキュリティ監査のタイプについて書きましたが、
その他にも試験に出題される、覚えておくべきポイントをまとめました。
監査関連の文書
監査基準
監査基準は「監査人とはこうあるべき!」という行為規範です。
その他覚えておくべきキーワード
プルーフリスト
情報システムへの入力データを加工せずそのまま印刷したもの
許容逸脱率
監査の際の母集団で不備が認められる割合。内部統制では10%未満とされている
システム監査基準とシステム管理基準
システム監査基準は、監査時に順守すべき事項や実施が望ましい事項をシステム監査人向けにまとめた文書。システム管理基準は、システム監査人に加えて情報システムを導入するユーザー企業に向けて、情報システムを管理するうえで実施すべき事項をまとめた文書だ。
※システム監査基準は「監査ってこういう風にやるべきだよ」という監査人の行為基準でシステム管理基準は システムを適切に運用するための実践規範。
その他の関連用語
その他の関連用語はコチラ⬇︎