今回からしばらくは私が課題としているIT監査について整理を進めます。
さ て、IT監査のガイドラインはいくつかありますが、ここでは「ここから始めるIT監査」(社団法人日本内部監査協会編、以下IIA)、「金融機関等のシス テム監査指針」(財団法人金融情報システムセンター、以下FISC)、「システム管理基準」(経済産業省、以下経産省)を参考に整理をしていきます。
もちろん、どれかひとつのガイドラインに従って整理することも可能ですが、各ガイドラインは要点から監査手法に至るまでの記述レベルがまちまちであるため、複数のガイドラインを総合的に整理するべきだと考えています。
まず第1回目は「IT監査の要点項目」です。IT監査の要点項目は以下の項目があります。
- システムライフサイクル
- 情報戦略(経産省のみ大項目あり)
- 企画
- 開発
- 運用
- システム利用(FISCのみ大項目あり)
- 保守(FISCは大項目無し)
- 廃棄(FISCは大項目無し)
- 情報セキュリティ
- 情報セキュリティマネジメント態勢
- 建物・設備等の安全対策
- アクセスコントロール
- 事業継続管理
- 戦略策定
- リスク評価
- 導入
- 維持管理
- ネットワーク・システム
- 管理体制
- 安全性
- 耐障害性
- 経済性
- 外部委託(IIAは大項目無し)
- ドキュメント管理(IIAは大項目無し)
あるガイドラインには要点の項立てが無い場合でも、チェックリスト等には織り込まれているといったケースがありますが、まずはこれらの項目を目次として、今後、整理を進めたいと思います。
0 件のコメント:
コメントを投稿