監査の形態

■一部と全部

情報セキュリティ監査を実施する場合、該当する組織全体に対して実施するのが理想的です。特に、外部の人から見た場合には一番わかりやすいでしょう。

ただし、実際に機密情報を扱う部署などは物理的（店舗、支店など）、あるいは論理的（ネットワーク上、VPNなど）に他の部署とネットワークが切り離されているケースも多く、組織全体をセキュリティ監査の対象にしなくても妥当性の高いセキュリティ監査を実施することも可能です。このようなケース（特に大企業のような規模の大きい会社や自治体など）では監査の事前準備や現場の負担を考えた場合、一部の領域をセキュリティ監査した方が合理的とも考えられます。

また、情報セキュリティの管理基準に関しても、適切なリスク分析を実施している場合は、すべてのコントロール（管理項目）をセキュリティ監査しなくても、リスク分析で判明した特定の脅威、脆弱点を中心に管理項目を一部のコントロールだけに絞ったセキュリティ監査というのも合理的で有効性は高いということが言えます。

つまり、網羅性を意識しすぎて組織全体をセキュリティ監査しなければならないということではなく、対象範囲を一部に限定したり、一部のコントロールに絞ってセキュリティ監査を実施することも考えた方がよりスピーディで合理的なセキュリティ監査ができるかもしれません。そして、その監査報告書を基に有効な管理策が導きだせるのであれば、一部の情報セキュリティ監査も視野に入れる価値があるのです。

前の章で述べた「保証型」で、かつ一部のセキュリティ監査を実施する場合は、対象範囲を一部にした理由や一部のコントロールを使った理由を充分説明できるようにしておけることが重要になります。