今回はシステムライフサイクルの「システム利用」のチェックリストの作成に挑戦します。このパートのチェックの観点は「金融機関等のシステム監査指針」(FISC)によるものです。他の項目とバランスをとるため、一部項目を省略しています。
必要な統制
- 記憶媒体等の管理台帳
- PC管理台帳
- 勤怠記録
- 入退出記録
- システム教育記録
- ITスキル記録
チェックリスト
5.システム利用- 運営と要員管理
- ユーザー部門において、情報システムの利用に係る責任者が定められ、情報システムの利用促進が図られているか
- 組織図・業務分担表にて情報システムの利用に係る責任者を確認
- 部署内の会議記録等から情報システムの利用促進活動が行われていることを確認
- 情報システムの利用案内が掲示されていることを確認
- ユーザー部門等において、情報システムに係る操作性の評価、操作権限における問題の把握、等の取り組みが行われているか?
- 保守手順書が規模・期間・システム特性毎に記載されていることを確認
- 記憶媒体、鍵・カード、ユーザーID等の管理の検査項目が定められ、検査が行われているか
- 記憶媒体、鍵、カードの管理方法とチェック方法を確認
- 各管理台帳でチェックの実施状況を確認
- 事務量に応じた適切なユーザー数や機器台数が把握されているか
- PC管理台帳にてPCの台数および配備先の管理状況を確認
- 長期間、特定のユーザーに同一の業務をさせない等、相互牽制を考慮した管理が行われているか
- 組織図・業務分担表を時系列で確認し、不正の発生しやすい業務について業務ローテーションが実施されていることを確認
- 恒常的に残業の多いユーザーがいないか
- 勤怠記録から恒常的に残業の多いユーザーを確認
- 最終退出者及び退出時刻が把握されているか
- 入退出時刻が記録されていることを確認
- システム関連機器の操作習熟のための教育が実施されているか
- IT教育記録から操作習熟教育の実施状況を確認
- ユーザーのスキルレベルや習得状況が把握されているか
- ITスキル記録を確認
- 本番システムのオペレーション教育は、本番環境を損なわないように教育用システムや端末により行われているか
- 教育用・テスト用のシステムの存在を確認
FISCのシステム利用のチェックポイントにはBCP関連等の項目を多く含んでいました。今回の整理では別にBCP関連の項があるので割愛しています。次回は「5.システム利用」その2です。
0 件のコメント:
コメントを投稿