公認内部監査人(CIA)tunetterのブログです。 内部監査の試行錯誤を記録していきます。

にほんブログ村 経営ブログ 経営学へ
いま何位?

2010年1月28日木曜日

アクセス・コントロール(情報セキュリティの監査)チェックリスト

情報セキュリティの監査/アクセス・コントロール/

情報セキュリティの監査のチェックリス ト作成第3弾です。参考書は引き続き「ここから始めるIT監査」(社団 法人日本内部監査協会編)を使います。

2.情報セキュリティ
    1. 情 報セキュリティマネジメント態勢
    2. 建物・設備等の安全対策
    3. ア クセスコントロール


そ れで は、3.アクセス・コントロールのチェックリストを作成していきましょう。

  必要な統制

  1. アクセス・コントロール方針
  2. アクセス・コントロール
  3. アクセス権限管理手続
  4. ア クセス権限管理台帳
  5. アクセスログ

  チェックリスト

  1. ア クセス・コントロール設計
    1. アクセス権設定基準、ユーザーID管理、パスワード管理等のアクセス・コントロール方針は明 確にされているか
      •  アクセス・コントロール方針の存 在を確認
    2. ユーザーID等の識別・認証機能、ユーザーIDへの権限設定機能、データ暗号化機能等のアクセス・コントロール機能 が検討され、アクセス・コントロールの方針に則しているか
      • ア クセス・コントロールの実装状状況を確認
      • アクセス・コントロールが方針に則している確認
    3. システム 導入、パスワード管理、本番環境へのアクセス・更新等の特権的IDは、必要な種類に限定して設定されているか
      • アクセス・コントロール方針から特権的IDが必要な業務を確認
      • 特 権的IDの設定状況を確認
    4. 非権限者によるアクセス防止のため、必要に応じてタイムアウト機能が組み込まれているか
      • アクセス・コントロール方針からタイムアウト機能の組み込みポリシーを確認
      • タ イムアウト機能の組み込み状況を確認
  2. ユーザーID・パスワードの管理
    1. ア クセス権限の設定は適切か
      • 組織図や業務分担表からア クセス権限が職位や業務内容を考慮していることを確認
      • アクセス権限がシステムごとに設定されていることを確認
    2. ア クセス権限の付与に係る申請・承認・発行・削除等の手続が定められているか
      • アクセス権限管理手続の存在を確認
    3. ユーザーIDの登録・変更・削除の管理者が定められ、 ユーザーIDが一元管理されているか
      • アクセス権限の 管理者を確認
      • アクセス権限管理台帳から定期的に設定状況が確認されていることを確認
    4. 特権的IDの 付与は、責任者の承認により行われているか
      • アクセス権限管理 台帳から特権的IDの付与に責任者の承認があることを確認
    5. 特権的IDの使用については、操作記録を取る等、使用状況 が明確になるように管理されているか
      • アクセスログから特権的 IDの使用状況を確認
    6. 第三者に見破られないようなパスワードを使用することが徹底されているか
      • パスワードの設定ルールを確認
      • パスワードの設定制限の実装を 確認
  3. アクセスの監視
    1. システムや保有情報の重要度に応じて、ユーザーID、ログ イン・ログオフ日時、操作内容等のアクセスログが記録され、管理方法が定められているか
      • アクセスログの管理ルールを確認
      • アクセスログの記録項目にシステムファイルへのアクセスの失敗や権限外のコ マンド操作の失敗の記録があることを確認
    2. アクセスログは必要に応じて、定期的に分析され、改ざん・削除されないように保管さ れているか
      • アクセスログの分析記録を確認
      • ア クセスログの保管状況を確認

先 日のセミナーではアクセスログの管理だけでは不十分であると教わりました。アクセス・コントロールは監査でどのレベルまで確認するべきなのか難しい領域で す。

0 件のコメント:

コメントを投稿