公認内部監査人(CIA)tunetterのブログです。 内部監査の試行錯誤を記録していきます。

にほんブログ村 経営ブログ 経営学へ
いま何位?

2010年1月28日木曜日

建物・設備等の安全対策(情報セキュリティの監査)チェックリスト

情報セキュリティの監査/建物・設備等 の安全対策/

情報セキュリティの監査のチェックリスト作成第2弾です。参考書は引き続き「ここから始めるIT監査」(社団 法人日本内部監査協会編)を使います。

2.情報セキュリティ
    1. 情 報セキュリティマネジメント態勢
    2. 建物・設備等の安全対策
    3. アクセスコントロール


そ れで は、2.建物・設備等の安全対策のチェックリストを作成していきましょう。

  必要な統制

  1. 安全対策基準の採用
  2. 入退室管理
  3. 入退室監視
  4. 機器および記憶媒体保管・持出 し・持込み・廃棄の管理
  5. 情報セキュリティマネジメントシステム
  6. サーバー設置基準
  7. データ保護手続
  8. 障 害発生時対応マニュアル

  チェックリスト

  1. 建物・設備の安全 対策
    1. コンピュータセンターの建物、コンピュータ室の設置場所、電源・空調・消火・回線関連等の設備は、一般に公表されている情 報システムに関連する安全対策基準等に基づいて維持・管理されているか
      • ど の安全対策基準を採用しているかを確認
      • 安全対策基準との適合状況を維持・管理していることを確認
    2. コ ンピュータセンター・コンピュータ室への入退は、入退者の本人確認を行い、入退権限を保有するものであることを確認しているか。また入退の記録がとられて いるか
      • 入退時の本人確認方法を確認
      • 入退の 記録の存在を確認
    3. コンピュータ室への入退室権限は、適切に管理されているか
      • 入退室権限の管理方法を確認
      • 入退室権限の管理実施状況を確認
    4. コ ンピュータ室への無許可の者の入退室がないことを確認されているか
      • 入 退室者の監視状況を確認
      • 監視記録から無許可の入退者が存在しないことを確認
  2. パソコン、 サーバーの管理
    1. パソコン等の機器および記憶媒体に係る、保管・持出し・持込み・廃棄等の管理方法は明確にされているか
      • パソコン等の機器および記憶媒体に係る、保管・持出し・持込み・廃棄等の管理 方法を確認
    2. パソコンや記憶媒体のデータが、漏洩しないような対策が講じられているか
      • 情報セキュリティマネジメントシステムを確認
    3. パ ソコン等の機器に、業務上、不必要なソフトウェアがインストールされないように管理されているか
      • インストールソフトウェアの管理状況を確認
      • 実査により不要なソフトウェアがインストールさ れていないことを確認
    4. サーバ等の設置基準、データ保護手続、障害発生時の対応策・手順等が明確にされているか
      • サーバー等の設置基準が存在することを確認
      • バックアップ等 のデータ保護手続を確認
      • 障害発生時の対応マニュアルを確認

昨今のセキュリティの動向を見ると、統制のレベルはもっと高くなければならないのかもし れません。統制のレベルが高くなると利便性が損なわれる可能性があるので難しいところです。

0 件のコメント:

コメントを投稿