事業継続管理の監査/リスク評価/
情報セキュリティの監査のチェックリス ト作成第3弾です。参考書は引き続き「ここから始めるIT監査」(社団 法人日本内部監査協会編)を使います。
3.事業継続管理の監査
- 戦略策定
- リスク評価
- 導 入
- 維持管理
必要な統制
- BCPの方針文書
- 業務リスト
- リスクシナリオ
- 脆 弱性リスト
チェックリスト
- 戦略策定
- BCPの方針策定
- BCMに関する組織の基本的な考え方を示したBCPの方針が策定されているか
- BCPの方針文書が存在することを確認
- BCPの 方針は組織員に充分周知されているか
- BCPの方針文書が掲示 されていることを確認
- BCPの方針文書の内容を組織員が理解していることを確認
- BCM 構築体制の整備
- 全組織横断的なBCM構築体制が整備されているか
- BCM構築メンバーが全社から募られていることを確認
- BCM構築が経営者により指示されて いることを確認
- リスク評価
- ビジネス影響度分析
- 各業務が停止した場合の影響度を分析(ビジネス影響度分析)
- 業務リストの存在を確認
- 業務リストに業務ごとに停止 した場合の影響が記載されていることを確認
- 各業務の再開までの目標時間(RTO)が決定されているか
- 業務リストに各業務の再開までの目標時間(RTO)が記載されていることを確 認
- リスクシナリオの作成
- 業務を停止させる脅威および優先的に保護すべき経営資 源(人員、場所、情報システム、重要書類等)を洗い出しているか
- リ スクシナリオには優先的に保護すべき経営資源が記載されていることを確認
- 脅威が発生した際に経営資源に複合的に影響 を与えるシナリオ(リスク・シナリオ)を想定しているか
- リス クシナリオは業務を中断させる脅威が複合的に発生することを想定していることを確認(電気と公共交通機関が同時に停まる等)
- Availability に関わる脆弱性の洗い出しとそれらへの対応
- 業務を停止させる恐れのある脆弱性(Availabilityに関わる脆弱性)を洗 い出しているか
- 脆弱性リストには、地震の多発地帯への立地の ように、脅威の発生を促す脆弱性が記載されていることを確認
- 脆弱性リストには、消火設備の不備のように、脅威の発生時に業務の中断を促 す脆弱性が記載されていることを確認
- 洗い出したすべての脆弱性に対して、対応の必要性が検討されているか
- 脆弱性リストに、各脆弱性への対応状況が記載されていることを確認
- Recoverability に関わる脆弱性の洗い出しとそれらへの対応
- 業務が停止した際に、復旧を遅延させたり、被害を拡大させたりする恐れのある脆弱性 (Recoverabilityに関わる脆弱性)を洗い出しているか
- 脆 弱性リストには、緊急連絡網・手順等の未整備のように、脅威発生時に早期復旧を阻む脆弱性が記載されていることを確認
- 脆弱性リストに は、マスコミ対応窓口の分散のように、脅威発生時に業務への影響を拡大する脆弱性が記載されていることを確認
- 洗い出したすべ ての脆弱性に対して、対応の必要性が検討されているか
- 脆弱性 リストに、各脆弱性への対応状況が記載されていることを確認
BCPの用語は日本語訳が洗練されていないため、わかりにくい印象があります。
0 件のコメント:
コメントを投稿