システムライフサイクルの監査/廃棄/
今回はシステムライフサイクルの「保守」と「廃棄」のチェックリストの作成に挑戦します。引き続き、チェックの観点は「ここから始めるIT監査」(社団法人日本内部監査協会編)によるものです。
必要な統制
- 保守手順書
- プログラミング検証記録
- 廃棄計画書
- 廃棄申請書
チェックリスト
6.保守- 保守計画
- 変更依頼書等に対して、保守の内容および影響範囲の調査、分析が実施されているか
- 保守手順書に変更依頼書等に対する保守内容と影響範囲の調査・分析手順が記載されていることを確認
- 変更依頼書の管理台帳から保守手順どおりに変更依頼書が処理されていることを確認
- 保守手順は保守の規模、期間、システム特性等を考慮して決定されているか
- 保守手順書が規模・期間・システム特性毎に記載されていることを確認
- 保守の実施
- システム設計書、プログラム設計書等は、保守計画に基づいて変更されているか
- 保守手順書にシステム設計書、プログラム設計書等に保守計画を反映する手順が記載されていることを確認
- システム設計書・プログラム設計書等に保守計画が反映されていることを確認
- プログラミングの検証は、変更したプログラム設計書に基づいて実施されているか
- プログラミング検証記録から検証の元になったプログラム設計書を確認
- 変更したプログラムは、影響範囲を考慮してテストが実施されているか
- プログラムの検証記録にテストの影響範囲が記載されていることを確認
- 保守担当者と運用担当者とで職務分離がされているか
- 組織図・業務分担表にて保守担当者と運用担当者が分かれていることを確認
- 移行
- 変更前のプログラムおよびデータのバックアップが取得されているか
- バックアップされた変更前のプログラムおよびデータを確認
7.廃棄
- 廃棄計画
- 廃棄計画はリスクを考慮して策定されているか
- 廃棄計画書に想定されるリスクと対応が記載されていることを確認
- 廃棄
- 廃棄は、ユーザー、運用、保守の責任者の承認を得ているか
- 廃棄申請書にてユーザー、運用、保守の責任者の承認を確認
- 廃棄方法および廃棄時期は、不正防止、機密保護の対策を考慮して決定されているか
- 廃棄申請書に廃棄方法および廃棄時期の決定理由が記載されていることを確認
保守と廃棄にもドキュメントが必要ですね。次回はFISCのみのため飛ばしていた「5.システム利用」について整理します。
0 件のコメント:
コメントを投稿