プリント用表示 | ブログに書く by kwout |

特集
2005/02/10 08:00 更新

対策に最適な制度を活用する
最終回 システム監査と情報セキュリティ監査を学ぶ (1/3)

個人情報に関する各種制度を解説するシリーズの最終回。今回は個人情報保護にかかわる監査制度として、システム監査制度と情報セキュリティ監査制度について解説する。

2つの制度

 システム監査制度および情報セキュリティ監査制度は、プライバシーマーク制度やISMS適合性評価制度と異なり、認定、認証制度でもなくシール制度でもない。システム監査やセキュリティ監査の「結果を利用する者」「監査を受ける者」「監査を実施する者」の3者間の認識の共通化を図るための制度といえる。

1.システム監査制度

 システム監査制度は、「組織体の情報システムにまつわるリスクに対するコントロールがリスクアセスメントに基づいて適切に整備・運用されているかを、独立かつ専門的な立場のシステム監査人が検証又は評価することによって、保証を与えあるいは助言を行い、もってITガバナンスの実現に寄与すること」(システム監査基準/NPOシステム監査人協会)を目的とした制度で、1985年に制度が開始された。そういう意味では、本連載で紹介してきた制度の中で最も歴史が古い。

 システム監査の監査対象は、情報システムのライフサイクルに従った情報システム戦略および計画、設計、運用、保守といったプロセスに含まれる内部統制である。システム監査制度では、システム管理基準を判断基準として監査を実施するのが原則だ(ただし、セキュリティ部分については、情報セキュリティ管理基準を利用する)。システム管理基準の概要は以下の通りである。

表1●システム管理基準の概要:2004年10月8日策定(出展:システム管理基準/NPOシステム監査人協会
大項目 中項目 小項目数
T. 情報戦略 01. 全体最適化 18 47
02. 組織体制 9
03. 情報化投資 6
04. 情報資産管理の方針 4
05. 事業継続計画 5
06. コンプライアンス 5
U. 企画業務 01. 開発計画 9 23
02. 分析 8
03. 調達 6
V. 開発業務 01. 開発手順 4 49
02. システム設計 15
03. プログラム設計 5
04. プログラミング 4
05. システムテスト・ユーザ受入れテスト 13
06. 移行 8
W. 運用業務 01. 運用管理ルール 4 73
02. 運用管理 16
03. 入力管理 5
04. データ管理 10
05. 出力管理 7
06. ソフトウェア管理 9
07. ハードウェア管理 6
08. ネットワーク管理 6
09. 構成管理 4
10. 建物・関連設備管理 6
X. 保守業務 01. 保守手順 3 19
02. 保守計画 3
03. 保守の実施 3
04. 保守の確認 5
05. 移行 3
06. 情報システムの廃棄 2
Y. 共通業務 01. ドキュメント管理 9 76
02. 進捗管理 6
03. 品質管理 4
04. 人的資源管理 13
05. 委託・受託 25
06. 変更管理 6
07. 災害対策 13
      287

 なお、情報システムコントロール協会(ISACA)もCOBIT(Control Obective Information and Related Technology)というシステムの内部統制目標の一覧表を公表している。COBITもシステムのライフサイクルに従って、300以上の内部統制目標が整理されている。COBITの概要については、以下の通りである。

表2●COBITの概要(出展:COBIT Ver.3を仮訳/ISACA
ドメイン ハイレベルコントロール
PO 計画と組織 01 戦略的IT計画の定義
02 情報アーキテクチャの定義
03 技術指針の決定
04 ITの組織とそのかかわりの定義
05 IT投資の管理
06 マネジメントの意図と指針の周知
07 人的資源の管理
08 外部要求事項の遵守の保証
09 リスク評価
10 プロジェクト管理
11 品質管理
AI 取得と実施 01 コンピュータ化対応策の明確化
02 アプリケーションソフトウェアの調達と保守
03 技術インフラの調達と保守
04 操作、運用手続の作成と維持
05 システムの導入と受入信認
06 変更管理
DS デリバリーとサポート 01 サービスレベルの定義と管理
02 サードパーティのサービスの管理
03 成果と能力(キャパシティ)の管理
04 継続的なサービスの保証
05 システムセキュリティの保証
06 コストの捕捉と配賦
07 利用者の教育と研修
08 利用者に対する支援と助言
09 構成管理
10 問題と事故の管理
11 データ管理
12 設備管理
13 オペレーション管理
M モニタリング 01 プロセスのモニタリング
02 内部統制の十分性の評価
03 独立した第三者の保証の獲得
04 独立監査の実施

 システム監査については、NPOシステム監査人協会(SAAJ)が主体となって制度の普及・啓発に努めている。SAAJでは、システム監査の資格認定、システム監査学会(JSSA)が情報セキュリティ、個人情報保護、会計システムについての専門監査人資格認定も行っている。

 また、グローバルという視点では、ISACAがあり、システム監査の普及啓発、システム監査人の認定を行っている。

参考サイト
SAAJ
JSSA
ISACA本部
ISACA東京支部
ISACA大阪支部
システム監査企業台帳(経済産業省)

情報セキュリティ監査

      | 1 2 3 | 次のページ

[丸山満彦,ITmedia]

Copyright© 2010 ITmedia, Inc. All Rights Reserved.




PR
PR

キャリアアップ



オンライン・ムックPlus

点検:ストレスなきデジタル情報整理術――紙とデジタルの調和
一歩先を行く PCとケータイを使った整理術(3/19 更新)

世界で勝つ 強い日本企業のつくり方
世界で勝つにはキャッシュの管理が不可欠 (2/26 更新)

IT投資の新方程式
「こんなこと聞いたら怒られるかも、って心配はない」――現役MS社員が“社員力”を語る(2/12 更新)

プライベートクラウド化を成功させる「現実解」
ファーファが語る?――IT基盤が標準化される安心感(2/19 更新)

クラウド時代のデータべース新潮流
オラクルが提示するデータベースの未来形(11/18 更新)

現場で効くデータ活用と業務カイゼン
導入事例:FileMakerで作る業務システム、成功の秘訣はSIerとの「二人三脚」(2/22 更新)

勝ち残る企業のWebプロモーション
ネットの風評を“良き”流れに転換する方法(3/19 更新)

企業IT最適化のゴールを目指す
APサーバを問わずJavaアプリケーションを動かすには?(12/8 更新)

企業価値を向上させるIT基盤構築
日本のクラウド市場の現状とクラウドの価値へのフォーカス(3/17 更新)

エンタープライズ・ピックアップ

news008.jpg クラウドがもたらす本当のメリット:日本のクラウド市場の現状とクラウドの価値へのフォーカス
クラウドに関する企業ユーザーの声は厳しい。それが何を意味するのかがいまだ分かりにくく、まして何を提供してどのような利便性が生まれるのかの説明がなされていないからである。クラウドがもたらす変化や体験を正しく伝え、理解されることが、本当のクラウドを企業へ推進することにつながるのである。

news008.jpg 点検 ストレスなきデジタル情報整理術:「残業ゼロ」に向けて社員の能力を引き出す方法――元トリンプ社長の吉越氏
業務の生産性向上や効率化などの課題を解決するには、ITの活用に加えて、社員が活力を維持できることも重要になる。ストレスのない働き方を実現していくためのポイントを、「残業ゼロの仕事術」で知られる元トリンプ・インターナショナル・ジャパン社長の吉越浩一郎氏に聞いた。

news040.jpg 戦略コンサルタントの視点:無料化するクラウド、潜む落とし穴
戦略コンサルティングファーム独ローランド・ベルガーに、情報システムの新たな姿について寄稿してもらう。4回目は、クラウドコンピューティングの落とし穴について解説する。

news013.jpg ITmedia リサーチインタラクティブ 第5回調査:Google Appsへの期待が鮮明に――変わる企業の情報共有基盤
電子メールやスケジュール管理などの機能を持つコミュニケーションツールの入れ替え時期が迫っている。10年前に導入した企業が約4割に上り、今後の導入においてはGoogle Appsへの期待が高まっている。ITmedia エンタープライズとITRが実施した読者調査から、企業の情報共有基盤に対するニーズの変化を明らかにする。

news011.jpg ドジっ娘リーダー奮闘記:年上の男の子
年功序列型の組織ではあまり存在しなかった立場と年齢の逆転が実力主義の現在では当たり前になり、若いリーダーが年上のメンバーとの関係に戸惑うことが多いようです。今日は年上のメンバーへの接し方を、しんこちゃん&春美ちゃんの新米リーダーペアとともに学びましょう。


利用規約 | プライバシーポリシー | 広告案内 | サイトマップ | お問い合わせ
運営会社 | 採用情報 | IR情報

ITmediaITmedia NewsプロモバITmedia エンタープライズITmedia エグゼクティブTechTargetジャパン
+D+D LifeStyle+D PC USER+D Mobile+D ShoppingGamezOneTopi
@IT@IT情報マネジメント@IT MONOist@IT自分戦略研究所JOB@IT
Business Media 誠誠 Biz.IDEE Times環境メディアBARKSzoome