今回もシステムライフサイクルの「システム利用」のチェックリストの作成に挑戦します。このパートのチェックの観点は「金融機関等のシステム監査指針」(FISC)によるものです。
必要な統制
- 権限リスト
- 決済記録
- 入退出カード、端末キー、ユーザーID等の管理台帳
- 異例処理記録
- 社外持ち出し用パソコン等一覧
チェックリスト
(青字はコメント)3.業務管理
- 端末機等の操作に係る担当者ごとの権限が明確にされているか
- 権限リストを確認
- 特に特定業務(責任者の代行業務等)に係る操作権限の付与については、責任者の任命により行われているか
- 権限リストから代行状況を確認
- 端末機等の操作にあたっては、担当者の取引権限の範囲に従って処理されているか
- 決済記録と権限リストを照合し確認
- 入退出カード、端末キー、ユーザーID等の管理責任者が、任命されているか
- 入退出カード、端末キー、ユーザーID等の管理台帳を確認
- ユーザーIDの管理が適切に行われているか
- ユーザーIDの管理ルールを確認
- ユーザーIDの管理記録と管理ルールを照合し確認
- 入退出カード受入簿を作成し、維持管理しているか
- 入退出カード、端末キー、ユーザーID等の管理台帳に受入状況が継続して記載されていることを確認
- 入退出カード貸与記録を作成し、貸与を受けた者の受領証跡を残しているか
- 入退出カード、端末キー、ユーザーID等の管理台帳に貸与記録と受領証跡があることを確認
- 端末機離席時にログオフしているか
- 離席時のログオフ状況を実査して確認
- 人依存であり有効な統制がなければ監査は現実的ではない
- タイムアウト機能がある場合、設定時間等の条件が設定されているか
- タイムアウトの設定内容を実査して確認
- 入退出カードの貸借がないか
- 入退出カード保持者が本人であることを確認
- 人依存であり有効な統制がなければ監査は現実的ではない
- 転出・退職等に際しては、入退出カードは定められた方法で回収されていること
- 転出・退職時の処理フローに回収方法があることを確認
- 定められた回収方法どおり回収されていることを確認
- 日々の取引内容が記録され参照・検証可能であること
- 取引ログの存在と参照可能な状況であることを確認
- 異例処理が管理されているか
- 異例処理記録が存在していることを確認
- 業務終了後は、施錠等により端末機器及び関連機器が使用できないようになっているか
- 業務終了後に施錠等を実査して確認
- 社外持ち出し用パソコン等は、その利用形態に応じたセキュリティ対策が検討されているか
- 社外持ち出し用パソコンのセキュリティー対策を実査して確認
- 社外持ち出し用パソコン等の一覧が作成され、取扱者と識別IDが記載されているか
- 社外持ち出し用パソコン等一覧の存在を確認
- 社外持ち出し用パソコン等一覧から取扱者と識別IDが記載されていることを確認
- 社外持ち出し用パソコン等の台数は、定期的に照合されているか
- 社外持ち出し用パソコン等一覧から照合の日付けを確認
- 社外持ち出し用パソコン等のパスワードは、定期的に変更されているか
- パスワードを定期的に変更する旨の通達を行っているか確認
- パスワードを強制的に変える仕組みが必要
- 社外持ち出し用パソコン等の取扱者割当は、人事異動等必要に応じて変更されているか
- 人事異動等の処理フローに社外持ち出しパソコン等の取扱者割当を変更する手続があることを確認
- 社外持ち出し用パソコン等一覧が定められた手続どおり変更されていることを確認
- 社外持ち出し用パソコン等の盗難、紛失に際しての緊急連絡方法や連絡先が定められ、周知徹底されているか。
- 盗難・紛失時の対応マニュアルが存在することを確認
- 利用者が対応マニュアルを所持していることを実査して確認
金融機関特有の項目は割愛しました。「渉外用パソコン等」は「社外持ち出し用等」に読み替えています。
来週から、情報セキュリティ(情報セキュリティマネジメント態勢、建物・設備等の安全対策、アクセスコントロー)に入ります。
0 件のコメント:
コメントを投稿