違いがさっぱり分からない。
情報セキュリティ監査制度に関する @IT の記事 *1 *2 を参考にすると、どうやら次のようなことらしい。
- 情報セキュリティ管理基準 (監査の判断の尺度)
- 「監査人はここをチェックしろ!」。監査される側にとっては「こういうことやんなきゃね(という決まりを作ろう)」という際のガイドラインとして使える。
- 情報セキュリティ監査基準 (監査人の行為規範)
- 「監査人はチェックする時にこういうことに気をつけろ!」。助言型監査か保証型監査か事前に決めとけよ、とかそういう話。
ちなみに、「行為規範って何よ?」と調べてみた *3 ら、
- こういきはん【行為規範】
- 社会生活上当然行われるべき、または守られるべきものとされている規範。裁判規範に対する概念。
……さっぱり分からん!
