システムライフサイクルの監査/情報戦略/事業継続計画/
システムライフサイクルの監査/情報戦略/コンプライアンス/
今回は「情報戦略」の「情報資産管理の方針」と「事業継続計画」と「コンプライアンス」のチェックリスト作成に挑戦です。今回で「情報戦略」の項は一旦終了です。
必要な統制
- ISMS(情報セキュリティマネジメントシステム)
- BCP(事業継続計画)/BCM(事業継続マネジメント)
チェックリスト
(青字はコメント)- 情報資産管理の方針
- 情報資産の管理方針及び体制を明確にすること。
- ISMS基本方針を確認
- ISMSマニュアルを確認
- 情報資産のリスク分析を行い、その対応策を考慮すること。
- ISMSの情報資産リスク評価シートを確認
- 考慮とは?
- 情報資産の効率的で有効な活用を考慮すること。
- ISMSの資産ランクと管理策を確認
- 考慮とは?
- 情報資産の共有化による生産性向上を考慮すること。
- ISMSの資産ランクと管理策を確認
- 考慮とは?
- 事業継続計画
- 情報システムに関連した事業継続の方針を策定すること。
- BCPの方針に情報システムに関する記載があることを確認
- 事業継続計画は、利害関係者を含んだ組織的体制で立案し、組織体の長が承認すること。
- BCPの立案~承認のプロセスを確認
- 事業継続計画は、従業員の教育訓練の方針を明確にすること。
- BCPに従業員の教育訓練の方針が記載されていることを確認
- 事業継続計画は、関係各部に周知徹底すること。
- 関係各部がBCPを閲覧できる状態にあることを確認
- 関係各部員がBCPの内容を理解しているか確認
- 事業継続計画は、必要に応じて見直すこと。
- BCPの見直し状況を確認
- コンプライアンス
- 法令及び規範の管理体制を確立するとともに、管理責任者を定めること。
- 職務分掌規程にコンプライアンス担当部署と責任者が明記されていることを確認
- 遵守すべき法令及び規範を識別し、関係者に教育及び周知徹底すること。
- 弁護士等の外部専門家からの指導状況を確認
- 社内での法務関連の情報共有の実施状況を確認
- 情報倫理規程を定め、関係者に教育及び周知徹底すること。
- 情報倫理規程とその教育と周知の状況を確認
- 個人情報の取扱い、知的財産権の保護、外部へのデータ提供等に関する方針を定めること。
- ISMSの該当箇所を確認
- 法令、規範及び情報倫理規程の遵守状況を評価し、改善のために必要な方策を講じること
- 顧問弁護士等の外部専門家に法令の順守状況を確認
- 情報倫理規定遵守のモニタリング状況を確認
- 規範が守られていることを確認することは可能か?
0 件のコメント:
コメントを投稿