公認内部監査人(CIA)tunetterのブログです。 内部監査の試行錯誤を記録していきます。

にほんブログ村 経営ブログ 経営学へ
いま何位?

2010年2月27日土曜日

iPhoneをお財布ケータイにする

現在のところiPhoneには、日本のケータイで常識のICカード機能がありません。これを解決するためiPhoneにはICカードを入れられるケースがいくつか販売されています。
私が使っているもののひとつがサンワサプライのシリコンケースです。

このケースはiPhoneとICカードを一体で包み込むシリコンケースです。カードの分だけ少し厚みが増しますが、割とスマートに一体化することができます。そして、この手のケースを使うようになってからICカードもiPhoneも忘れることがなくなりました。
難点はICカードへのチャージですが、クレジットカードとの組み合わせでオートチャージを設定すればほぼカードを取り出す必要がなくなります。
お財布ケータイ機能がないからiPhoneの購入を躊躇している方におススメです。

2010年2月26日金曜日

Consistency With Applicable Laws and Regulations, Defined Commitments, Service-Level Agreements, and Other Contracts

今回も引き続き勝手訳を続けます。

Consistency With Applicable Laws and Regulations, Defined Commitments, Service-Level Agreements, and Other Contracts法令と規則、確約、サービスレベルに関する合意、その他 契約との一貫性

.08 Several of the principles and criteria refer to “consistency with applicable laws and regulations, defined commitments, service-level agreements, and other contracts.” Under normal circumstances, it would be beyond the scope of the engagement for the practitioner to undertake identification of all relevant “applicable laws and regulations, defined commitments, service-level agreements, and other contracts.”
Furthermore, Trust Services engagements do not require the practitioner to provide assurance of an entity’s compliance with applicable laws and regulations, defined commitments, service-level agreements, and other contracts, but rather of the effectiveness of the entity’s controls over monitoring compliance with them. Reference should be made to other professional standards related to providing assurance over compliance with laws, regulations, and agreements.


.08 いくつかの原則と基準は「適用される法律や規則、確約、サービスレベルに関する合意、その他契約との一貫性」について言及している
通常の環境下では全ての「適用される法律や規則、確約、サービスレベルに関する合意、その他契 約との一貫性」に関する識別を請け負う実務家にとって契約の目的外であるかも知れない。
さらに信用提供契約は実務家に、対象に適用される法律や規 則、確約、サービスレベルに関する合意、その他契約の遵守に関する信用提供を要求しない。し かし、むしろ求められるのは、対象について法令順守のモニタリングによる統制の有効性の保証である。証明書は、法令や規則そして合意の順守の保証供給に関連した他の専門家の標準に対して作られるべきである。

今 回もわかりにくい英語でしたがポイントは、
  • コンプライアンスは信用提供の目的外である。
  • 信用提供ではコン プライアンスの統制の有効性保証する。
  • コンプライアンスの保証は他の標準によってなされるべきである。
といったこ とだ思います。

2010年2月25日木曜日

Principles, Criteria, and Illustrative Controls

今回も引き続き勝手訳です。

Principles, Criteria, and Illustrative Controls(原則、基準そして実例となる統制)
  • .06 The following material sets out broad statements of principles and identifies specific criteria that should be achieved to meet each principle. Trust Services principles are broad statements of objectives. Criteria are benchmarks used to measure and present the subject matter and against which the practitioner evaluates the subject matter. Suitable criteria are objective, measurable, complete, and relevant—they will yield information useful to intended users. It is the view of the Assurance Services Executive Committee that the Trust Services principles and supporting criteria meet the characteristics for suitable criteria. Trust Services principles are used to describe the overall objective; however, the practitioner’s opinion makes reference only to criteria.
  • .06 以下の材料は原則について多くの声明を出し、それぞれの原則に見合うために達成すべき特定の基準を明らかにする。信用提供の原則は目的に関する多くの声明 である。基準は従うべきこと測定し示すこと、そして、実務家が従うべきことであると評価したことへの反論に使われるベンチマークである。適切な基準は、客観的で測定可能で、完全で、そして、妥当である。-それらは意図した利用者への情報を有用にする。信用提供の原則とそれらをサポートする基準を適切な基準の特徴に合致させる保証 提供執行委員会(Assurance Services Executive Committee)の視点である。信用提供の原則は全体の目的を述べてきたものである。しかしながら、実務家は基準だけを参照することを主張している。
  • .07 In the Trust Services Principles and Criteria, the criteria are supported by a list of illustrative controls. These illustrations are not intended to be all-inclusive and are presented as examples only. Actual controls in place at an entity may not be included in the list, and some of the listed controls may not be applicable to all systems and client circumstances. The practitioner should identify and assess the relevant controls the client has in place to satisfy the criteria. The choice and number of those controls would be based on the entity's management style, philosophy, size, and industry. In order to receive an unqualified opinion on a Trust Services engagement, all criteria must be met unless the criterion is clearly not applicable. In the context of the Trust Services Principles and Criteria, the term policies is used to refer to written statements that communicate management's intent, objectives, requirements, responsibilities, and/or standards for a particular subject. Such communications may be explicitly designated as policies, whereas others (such as communications with users not otherwise documented as policies, or written procedures) may be implicit. Policies may take many forms but should be in writing.
  • .07 信用提供の原則と基準の中では、基準は実例となる統制のリストによりサポートされている。これらの実例はすべてを包括することを意図するものでなく、また例示するのみでもない。現実に正しく行われている実際の統制はリストに含まれていないかもしれないし、いくつかの列挙された統制はすべてのシステムや顧客 環境に適用できないかもしれない。実務家は顧客が正しく基準を満足する妥当な統制を明らかにし、評価するべきである。選択とそれらの統制の数は実体のマネ ジメントスタイルや哲学、規模、そして産業に基づく。信用提供契約において無限定適正意見を受け取るためには、明確に適用外であるもの以外の全基準に合致 しなければならない。信用提供の原則と基準(the Trust Services Principles and Criteria)の文脈では、方針という用語は経営者の意思や目的や要求や責任そして/または特定の問題のための標準を伝達する文書化された声明で あるとされる。そのような伝達は明確に方針とされるが、他のもの(方針のように別途文書化されないユーザーとのコミュニケーションのような)は暗 示とされる。方針は形式は様々であるが文書化されていなければならない。
大変英語らしい言い回しが続きますが、ポイントは、
  • 原則を達成するために基準が存在する。
  • 信用提供の原則は目的について述べており、基準だけを参照 してはいけない。
  • 基準には実例となる統制がある。
  • 方針は文書化されなければならない。
といったところでしょうか。

Trust Services

今回はTrust Servicesです。引き続き、勝手訳を続けます。がんばって訳しますが、間違いがある可能性は否定できません。。。

Trust Services(信用提供)

  • .03 Trust Services (including WebTrust® and SysTrust®) are defined as a set of professional assurance and advisory services based on a common framework (that is, a core set of principles and criteria) to address the risks and opportunities of IT. Trust Services principles and criteria are issued by the Assurance Services Executive Committee.
  • .03 信用提供(WebTrustとSysTrustを含む)はITのリスクと機会について述べられた共通の枠組み(原則と基準を中核とした)に基づく専門家の保証と助言提供が一体となったものであると定義される。

Assurance Services(保証提供)

  • .04 Assurance services are those that result in the expression of an opinion by the reporting practitioner; for example, the opinion as to whether a defined system meets the principles and criteria for systems reliability. Assurance services are developed within the framework of Chapter 1, “Attest Engagements,” of Statement on Standards for Attestation Engagements (SSAE) No. 10, Attestation Standards: Revision and Recodification (AICPA, Professional Standards, vol. 1, AT sec. 101), as amended. Only certified public accountants (CPAs) may provide the assurance services of Trust Services that result in the expression of a Trust Services, WebTrust, or SysTrust opinion.
  • .04 保証提供は実務家の報告による意見の表明の結果である。例えば、当該システムがシステムの信頼性の原則と基準に合致するか否かという意見である。保証提供 は第1章すなわち立証契約の標準の声明(SSAE)No.10の"立証契約”と立証標準:改正版である「改訂と再編」(AICPA、専門家の標準 vol.1、AT sec. 101)の枠組みの中で開発される。公認会計士だけがWebTrustまたはSysTrustの表明結果である信用提供の保証提供を供給することが許され る。

Advisory Services(助言提供)

  • .05 In the context of Trust Services, advisory services include strategic, diagnostic, implementation and sustaining/managing services using Trust Services principles and criteria. Practitioners providing such services follow Statement on Standards for Consulting Services (AICPA, Professional Standards, vol. 2, CS sec. 100). There is no expression of an opinion by the practitioner under these engagements.
  • .05 信用提供としての助言提供には、戦略、診断、実装そして信用提 供の原則および基準を使用した、維持・管理サービスが含まれる。これらのサービスを供給する実務家はコンサルティングサービスの標準の声明 (AICPA, 専門家の標準, vol. 2, CS sec. 100)に従う。これらの契約下では実務家の意見は表明されない。

と ても直訳っぽくなりましたが、つまり、
  • Trust ServicesにはWebTrustとSysTrustが含まれる。
  • Trust Servicesには保証提供と助言提供がある。
  • 保証提供では実務家の意見が表明される。
  • 公認会計士だけ が保証提供を行うことができる。
  • 助言提供では実務家は意見を表明しない。
といったことが書かれていると思われます。

2010年2月23日火曜日

目次

前回ご紹介したSysTrust(含、WebTrust)のガイドラインとして、
Trust Services Principles, Criteria and Illustrations for Security, Availability,
Processing Integrity, Confidentiality, and Privacy (Including WebTrust® and
SysTrust®)

が あります。当ブログではしばらくこの長い題名のガイドラインの内容を確認していきたいと思います。初回はまず、Table of Contents(目次)です。

INTRODUCTION(序論)

  • TRUST SERVICES(信用提供)
  • PRINCIPLES, CRITERIA, AND ILLUSTRATIVE CONTROLS(原則および基準と統制の実例)
  • CONSISTENCY WITH APPLICABLE LAWS AND REGULATIONS, DEFINED COMMITMENTS, SERVICE-LEVEL AGREEMENTS, AND OTHER CONTRACTS(適用法令・規則、定義された責任、サービスレベルに関する合意、そしてその他契約との一貫性)
  • FOUNDATION FOR TRUST SERVICES—TRUST SERVICES PRINCIPLES AND CRITERIA.(信用提供の基礎-信用提供の原則と基準)
  • TRUST SERVICES—OFFERINGS OF SYSTRUST AND WEBTRUST(信用提供 -SysTrustとWebTrustの提供)

PRINCIPLES AND CRITERIA.(原則と基準)

  • SECURITY PRINCIPLE AND CRITERIA(セキュリティーの原則と基準)
  • AVAILABILITY PRINCIPLE AND CRITERIA(可用性の原則と基準)
  • PROCESSING INTEGRITY PRINCIPLE AND CRITERIA(処理過程の完全性の原則と基準)
  • CONFIDENTIALITY PRINCIPLE AND CRITERIA(機密性の原則と基準)
  • PRIVACY PRINCIPLES AND CRITERIA(個人情報の原則と基準)

APPENDIX A: ILLUSTRATIVE DISCLOSURES FOR E-COMMERCE SYSTEMS(付録A:Eコマースシステムの開示例)
APPENDIX B: EXAMPLE SYSTEM DESCRIPTION FOR NON–E-COMMERCE SYSTEMS .(付録B:Eコマースではないシステムのシステ ム説明の例)
APPENDIX C: PRACTITIONER GUIDANCE ON SCOPING AND REPORTING ISSUES(付録C:範囲の絞込みと報告事項の実務家用ガイダンス)
APPENDIX D: GENERALLY ACCEPTED PRIVACY PRINCIPLES – A GLOBAL PRIVACY FRAMEWORK(付録D:一般に公正妥当と認められた個人情報原則-グローバルな個人情報の枠組み)

分量としては、「導入」が3ページ、「原則と基準」が47ページ、付録A~Dが102ページあります。まずは、最初の50ページを意訳していきたいと思いま す。

2010年2月21日日曜日

大山鳴動して虫(?)一匹

自転車のタイヤの空気がすぐに抜けるようになりました。
これはパンクに違いないと思い、タイヤをリムから外し、チューブを点検したけど空気もれを確認できません。
もしやと思い、空気バルブを確認したところ、プランジャーの虫ゴムが破れていました。
そうです、空気漏れの原因はパンクではなく、虫ゴムの劣化だったのです。
結局、虫ゴムを交換し、無事空気漏れはなくなりました。
タイヤを外すのはかなり大変なので、まずは虫ゴムの確認を先にするべきだったと思います。
ネットで調べたところ、このようなページを見つけました。このマニュアルでも、最初に確認すべきは虫ゴムとなっています。

内部監査もパンク修理も思い込みは危険です。

2010年2月20日土曜日

鷹の爪.jp

木曜日の夜に秘密結社鷹の爪THE MOVIE3 ~http://鷹の爪.jpは永遠に~ を観に行きました。
一部でコアなファンがいる深夜番組のフラッシュアニメ「鷹の爪」の劇場版第3弾です。
映画のタイトルに日本語ドメイン名が使われていたり、本格的なCGが“部分的に”使われていたり、あからさまにスポンサーの宣伝が行われていたり、島根県と石川県が出てきたりと、大変楽しい内容です。
首都圏での上映はそろそろ終了し始めていますが、こういう遊び心いっぱいの映画はあまりないので、まだ間に合う方は是非ご覧になることをおススメします。

2010年2月19日金曜日

SysTrustって何だろう?

最近、SysTrustというものを知る機会がありました。
SysTrustとは公認会計士が提供するシステムの信頼性に対する保証業務で、以下の4つの原則について評価を行うそうです。
  1. 可用性(Availability)
  2. セキュリ ティ(Security)
  3. インテグリティ(Integrity、完全性)
  4. 維持性(Maintainability)
もともとは米国公認会計士協会とカナダ勅許会計士協会により開発されたもので、経営者、取締役会、取引先及び提携企業によるシステムに対する安心感を高める ことを意図しているとのことです。
具体的には以下のような検証報告書が発行され、Webサイトで確認できるようになります。
http://trust.salesforce.com/trust/assets/pdf/Misc_SysTrust.pdf

かなりシステムに特化した保証業務であり、公認会計士の業務範囲を広げることになると言われていますが、なぜシステムの専門家ではない公認会計士がこのよう な保証業務を行うことができるのか興味のあるところです。今後、しばらくの間、このSysTrustについて調べてみたいと思います。

▼ 信頼性提供の原則および基準と実例の原文
http://www.webtrust.org/item27805.pdf

▼日本公認会計士協会の説明
http://www.hp.jicpa.or.jp/specialized_field/pdf/00113-000201.pdf

2010年2月18日木曜日

ブレイクスルー指向を用いたアプローチ

月刊監査研究2010年2月号に島田裕次東洋大学教授の「内部監査の新たなアプローチ -ブレイクスルー指向を用いたアプローチの提案」という巻頭論文が紹介されていました。
この論文はリスクマネジメントの変化に対応し、デカルト思考の内部監査からブレイクスルー思考の内部監査へ変換することを提案しています。特に、システムの原則を用いた監査視点の整理は実務に役立つと思われますのでご紹介します。

システムの原則は目的、入力、出力、手順、環境、人的媒体、物的媒体、情報の8つの要素と基本、価値観、物差し、管理、関係、将来の6つの次元のマトリックスです。これら48(=8×6)の項目で業務を整理すると多面的かつ体系的に監査観点を整理できるとしています。
教科書どおりの監査観点ではどうもしっくりこないと感じている内部監査人にとって、このフレームワークは試す価値があると思いました。

________________________

_____基本_価値観_物差し_管理_関係_将来
________________________

目的
________________________

入力
________________________

出力
________________________

手順
________________________

環境
________________________

人的媒体
________________________

物的媒体
________________________

情報
________________________

2010年2月16日火曜日

品質の高い監査調書の作成

月刊監査研究2010年2月号に「品質の高い監査調書の作成」という海外論文が紹介されていました。
こ の論文はBrian Wueste,CPAの「Producing Quality Workpapers」をCIAフォーラム研究会No.3-Dが翻訳したものです。内部監査人として重要な心得が書かれていますので要点を抜粋します。

  1. 監 査調書の目的
    1. 監査計画、実施及びレビューを文書化すること
    2. 監査の所見、結論、最終報告書などの伝達事項の主 たる裏付けとなること
    3. 第三者レビュー及び再実施の手助けとなること
    4. 内部監査部門の品質管理プログラムを評価する基礎 資料になること
  2. 主要な特性
    1. 完全性(調書自体で完結し読めばわかるようになっていること)
    2. 正 確性(計算が正確で論理的にも誤りがないものであること)
    3. 調書の構成(体系的な番号付けがなされ、読みやすい構成であること)
    4. 妥 当性、簡潔性(監査目的に対して妥当な内容で、不要な長い記述を省く)
  3. 監査調書の構成要素
    1. 情報の 入手源(文書作成者の名前と役職を明記)
    2. 範囲(実施された手順の内容、時期及び実施範囲を記す)
    3. 関連付け(系統的な 番号を振り、監査プログラムと問題点にヒモ付ける)
    4. 作成者の署名(作成者のサインを行う)
    5. チェックマークの意味(使 用したチェックマークの定義を載せる)
    6. 指摘事項(指摘事項を文書化し、他 の文書にヒモ付ける)
  4. その他留意事項
    1. 仮定、類推、その他判断事項は明確に記載し、責任者がレビューする。
    2. 指摘事項の多さと重大性に応じて、監査文書にメリハリを付ける。
    3. 標準的な社内文書の形式やひな型にならうよう努める。
    4. 過年度の調書を下書きとする場合は現在の文書品質基準と合っているか注意する。

な かなか実施するのは難しい項目もありますが、監査調書の作成の際に留意していきたいと思います。特に、ヒモ付けについては監査調書は監査計画や報告書等と 関連づけてデータベース化する必要があると感じました。

2010年2月15日月曜日

ドキュメント管理チェックリスト

ドキュメント管理

 今回はドキュメント管理のチェックリストです。経済産業省のシステム管理基準をもとにまとめます。

  必要な統制

  1. ドキュメント管理ルール
  2. ド キュメント管理台帳
  3. セキュリティの高い廃棄処理

  チェッ クリスト  

  1. 作 成
    1. ドキュメントは、ユーザ゙部門及び情報システム部門の責任者が承認すること。
      • ドキュメント管理ルールにドキュメントの承認手続・体制が記載されていることを確認
      • 作成 されたドキュメントの承認者を確認
    2. ドキュメント作成ルールを定め、遵守すること。
      • ドキュメント管理ルールにドキュメントの作成ルールが記載されていることを確認
      • 実 際のドキュメントが作成ルールで決められた様式・項目が満たしていることを確認
    3. ドキュメントの作成計画を策定すること。
      • ドキュメント管理ルールにて作成することになっているドキュメントが網羅され た作成計画が策定されていることを確認
    4. ドキュメントの種類、目的、作成方法等を明確にすること。
      • ドキュメント管理ルールにドキュメントの種類、目的、作成方法が記載されている ことを確認
    5. ドキュメントは、作成計画に基づいて作成すること。
      • ドキュメントが作成計画どおりに作成されていることを確認
  2. 管 理
    1. ドキュメントの更新内容は、ユーザ部門及び情報システム部門の責任者が承認すること。
      • ドキュメント管理ルールにドキュメントの更新手続・体制が記載されていることを 確認
      • 更新されたドキュメントの承認者を確認
    2. ドキュメント管理ルールを定め、遵守すること。
      • ドキュメントの管理ルールが存在することを確認
      • ドキュメン ト管理ルールの周知がされていることを確認
    3. 情報システムの変更に伴い、ドキュメントの内容を更新し、更新履歴を記録 すること。
      • ドキュメント管理台帳が存在することを確認
      • ド キュメント管理台帳に更新履歴が記載されていることを確認
    4. ドキュメントの保管、複写及び廃棄は、不正防止及び機密保 護の対策を講じること。
      • 機密性の高いドキュメントの利用は責 任者の承認が必要となっていることを確認
      • 機密性の高いドキュメントの廃棄はセキュリティの高い方法で行われ、廃棄証明があることを確認

今回で予定したIT監査のチェックリストは一通り作成しましたが、試行錯誤しながら作成しているので、全体を通してみた場合に深度や表記にバラツキがある可能性があります。今後、修正作業を進めて行きます。

2010年2月14日日曜日

シューズラック

近所のディスカウントストアで「かさばらないシューズラック」なるものを買いました。



これで足の踏み場もない状態の玄関がすっきり片付きました。
でも本当に大切なのは、無駄に靴を買わない理性と不要な靴を捨てる勇気だと思います。(笑)

2010年2月13日土曜日

外部委託チェックリスト

外部委託
 今回は外部委託のチェックリストです。経済産業省のシステム管理基準をもとにまとめます。

  必要な統制

  1. 外部委託計画書
  2. 委託先からの業務報 告
  3. 検収書

  チェッ クリスト  

  1. 計画
    1. 委 託計画は全体最適化計画に基づいて策定し、責任者が承認すること。
      • 外部委託計画がIT計画書の全体最適化計画と整合性があることを確認
      • 外部委託計画書がシステム部門の責任者により承認されていることを確認
    2. 委託の目的、対象範囲、予算、体制等を明確にすること。
      • 委託計画に目的、対象範囲、予算、体制が記載されていることを確認
    3. 委託 は、具体的な効果、問題点等を評価して決定すること。
      • 外部委 託計画書に委託の効果と問題点の評価が記載されていることを確認
  2. 委託先選定
    1. 委 託先の選定基準を明確にすること。
      • 委託先の、財務の安定性・ 健全性、信用度・実績、技術レベル、システム環境、要求仕様への充実度、支払条件、セキュリティ対策等の検討資料が存在することを確認
    2. 委 託候補先に必要な要求仕様を提示すること。
      • 委託候補先へ提示 した要求仕様書を確認
    3. 委託候補先が提示した提案書の比較検討を行うこと。
      • 委託候補先が提示した提案書を確認
      • 提案書の比較検討結果資料 が存在することを確認
  3. 契約
    1. 契約は、委託契約ルールに基づいて締結すること。
      • 委託契約ルールを確認
      • 委託契約ルールと委託契約の整合性を確認
    2. コンプライアンスに関する条項を明確にすること。
      • 委託契約にコンプライアンスについての条項が存在することを確認
    3. 再委託 の可否について明確にすること。
      • 委託契約に再委託の可否に 関する条項が存在することを確認
    4. 知的財産権の帰属を明確にすること。
      • 委託契約に知的財産権の帰属の条項が存在することを確認
    5. 特約条項及び 免責条項を明確にすること。
      • 委託契約に特約条項及び免責条項 が存在することを確認
    6. 業務内容及び責任分担を明確にすること。
      • 委託契約に業務内容及び責任分担の条項が存在することを確認
    7. 契約締結後 の業務内容に追加及び変更が生じた場合、契約内容の再検討を行うこと。
      • 委託契約に契約内容の再検討に関する条項が存在することを確認
    8. シ ステム監査に関する方針を明確にすること。
      • 委託契約にシステム監査に関する条項が存在することを確認
  4. 委 託業務
    1. 委託業務の実施内容は、契約内容と一致すること。
      • 委託業務の業務日誌と契約内容を突合し確認
    2. 契約に基づき、必要な要求仕様、データ、資料等 を提供すること。
      • 委託先担当者が委託契約に記載された要求仕 様、データ、資料を所持していることを確認
    3. 委託業務の進捗状況を把握し、遅延対策を講じること。
      • 委託先からの報告資料に進捗状況の情報があることを確認
      • 遅延が発生している場合は対策の実施を確認
    4. 委託先における誤謬防止、不正防止、機密保護等の対策の実施状況を把握し、必 要な措置を講じること。
      • 委託先からの報告資料に誤謬防止、不正防止、機密保護の実施状況が記載されていることを確認
    5. 成果物の検収は、委託契約に基づいて行うこと。
      • 成果物の検収項目が委託契約と合致することを確認
    6. 業 務終了後、委託業務で提供したデータ、資料等の回収及び廃棄の確認を行うこと。
      • 回収された提供しデータを確認
      • 廃棄手続の完了を示す証憑を確認
    7. 委託した業務の 結果を分析及び評価すること。
      • 検収書から契約に定められた検収の実施を確認
      • 検収を責任者が承認していることを確認
次回は、ドキュメント管理です。

2010年2月11日木曜日

にほんブログ村で1位に!

にほんブログ村の経営学人気ランキングで当ブログが1位になりました。
日頃ご覧いただいている皆様ありがとうございます。

経済性(ネットワーク・シス テ ム監査)チェックリスト

ネットワーク・システム監査/経済性/

 ネットワーク・システム監査の チェック リス ト作成第4弾です。今回でネットワーク・システム監査は終了です。参考書は引き続き「ここから始めるIT監査」(社団 法人日本内部監査協会編)を使います。

  1. 管理体 制
  2. 安全性
  3. 耐障害性
  4. 経済性
それでは、4.経済性を作成していきましょう。

  必要な統制

  1. 予算・実績管理
  2. 中期設備投資計画

  チェッ クリスト  

    4.経済性
  1.     費用の正確な把握
    1. 接続区間ごとの回線使用料が正確に把握されているか
      • 予算・実績管理資料が存在することを確認
      • 予算・実績管理資料にて接続区間ごとの回線使用料 が管理されていることを確認
    2. 機器の減価償却費・リース料が正確に把握されているか
      • 予算・実績管理資料に減価償却・リース料の管理項目が存在することを確認
    3. ネッ トワーク監視費用が正確に把握されているか
      • 予算・実績管理 資料にネットワーク監視費用の管理項目が存在することを確認
  2. サー ビス見直しの仕組み
    1. ボ トルネックになっている部分がないか
      • 回線等の契約ごとにパ フォーマンスの測定がされていることを確認
    2. 所定の性能が得られているか
      • 測定されたパフォーマンスが契約内容(SLA)を満たしていることを確認
    3. キャ リア会社の新しいサービスを比較評価しているか
      • 新サービスの 情報収集資料が存在することを確認
    4. サービス自体の費用だけではなく、移行に係る機器の入替え費用等を含めて、比較検 討しているか
      • システム投資計画に移行費用が含められているこ とを確認
    5. サービスの契約期間や機器の耐用年数等を考慮して比較検討しているか
      • 中期の設備投資計画が契約期間や耐用年数を考慮して検討されていることを確認

次 回から外部委託に入ります。

2010年2月9日火曜日

耐障害性(ネットワーク・システ ム監査)チェックリスト

ネットワーク・システム監査/耐障害性/

 ネッ トワーク・システム監査のチェックリス ト作成第3弾です。参考書は引き続き「ここから始めるIT監査」(社団 法人日本内部監査協会編)を使います。

  1. 管理体制
  2. 安全性
  3. 耐障害性
  4. 経済性
それでは、3.耐障害性を作成していきましょ う。

  必要な統制

  1. 契約書
  2. 障害対応マニュアル
  3. イ ンシデントDB
  4. 定期点検・保守計画

  チェックリスト

    3.耐障害性
  1. インシデント予防
    1. 回線の二重 化、機器の冗長化構成等の対策を実施しているか
      • 回線契約や SLAから回線の二重化が確保されていることを確認
      • システム構成図から機器の冗長化構成を確認
    2. 電 力の2系統受電、蓄電池・発電機の設置等の対策を実施しているか
      • デー タセンタや建物の契約書・パンフレット等から電力の供給状況を確認
      • 蓄電池、発電機の実物を確認
    3. 地 震、火災、水害等の災害からネットワークを守るための対策を実施しているか
      • データセンタや建物の契約書・パンフレット等から災害対策の実施を確認
  2. 損害拡大防止、早期回復
    1. 障 害対応のための責任分界点が明確に定義されているか
      • 構成する 機器ごとのベンダーと責任範囲の一覧が存在することを確認
    2. 対策が必要とされる障害のレベルを定義し、それぞれに対す る対処の方針・手順について定義されているか(連絡体制、縮退等の対策を含む)
      • 障害対応マニュアルから障害のレベル定義を確認
      • 障害対応マニュアルに対処方針・手順が記載されていることを確認
    3. 故 障等の発生を検知・通報する仕組みが整備されているか
      • 検知・ 通報の体制図を確認
    4. ネットワーク管理者が対処の進捗状況を把握できる仕組みが整備されているか
      • インシデントDB等、ネットワーク管理者が進捗を把握できる仕組みが存在するこ とを確認
  3. 訓練
    1. 実効性を高めるため、手順にしたがった対処の訓練を定期的に実施 しているか
      • 訓練の実施記録を確認
  4. 定 期点検・保守
    1. 定期点検・保守の対象、頻度等を定義・計画しているか
      • 定期点検・保守計画が存在することを確認
      • 定期点検・保守計画に対象・頻度等の定義がされて いることを確認
    2. 定期点検・保守は、セキュリティを考慮した中で実施されているか
      • 定期点検・保守計画にセキュリティに関する考慮事項が記載されていることを確認
    3. 定 期点検・保守の結果は、保守計画の見直しや機器のリプレイス等に反映されているか
      • 保守計画の見直しや機器のリプレイスと定期点検・保守の結果の整合性を確認
  5. 再発防止
    1. 発 生した障害は、報告書にまとめられ、管理されているか
      • インシ デントDBと報告書を突合し整合性を確認
    2. 障害の傾向について、分析されているか
      • 障害の傾向の分析報告が存在することを確認
    3. 障 害の根本原因を追究し、解決策を策定しているか
      • インシデント DBから障害の原因と解決策を確認

次回は、経済性です。

2010年2月8日月曜日

安全性(ネットワーク・システ ム監査)チェックリスト【暫定版】

ネットワーク・システム監査/安全性/

※今回は、かなりシステムの専門知識が必要な内容なので暫定版です。順次改訂していきます。
 ネットワーク・システム監査のチェックリス ト作成第2弾です。参考書は引き続き「ここから始めるIT監査」(社団 法人日本内部監査協会編)を使います。

  1. 管理体制
  2. 安全性
  3. 耐障害性
  4. 経 済性
それでは、2.安全性のチェックリストを作成し ていきましょう。

  必要な統制

  1. ネッ トワーク構成図
  2. 電子署名の導入
  3. データベースのモニタリング
  4. ログ管理

  チェックリスト

    2.安全性
  1. 不正アク セス防止
    1. ファイアウォールやIDS/IPSなどの機器が適切に設置されているか
      • ネットワーク構成図からファイアウォールやIDS/IPSの設置を確認
      • ファイアウォール やIDS/IPSの管理画面で稼動を確認
    2. サーバやネットワーク機器の設定が適切であることを確認しているか
      • サーバーやネットワーク機器の設定方針を確認
      • サー バーやネットワーク機器の設定方針と設定値のシステムアウトプットの整合性を確認
    3. ウィルス対策ソフトが導入され、適 切に運用されているか
      • ウィルス対策ソフトのインストール状況 を確認
      • ウィルス対策ソフトの更新状況確認
  2. 認証
    1. 利用者の利用 場面に応じて、本人確認を確実にするための認証の仕組みが実施されているか(生体認証、多要素認証など)
      • 認証の実装状況を確認
    2. 否認を防止するための仕組みが実施されているか
      • 信頼できる認証局による電子署名の実装状況を確認
  3. 暗 号化
    1. 機密度の高い情報については、充分な強度を有する方式により、暗号化されているか
      • 機密度の高い情報の一覧が存在することを確認
      • 機密度の高い情 報に対する暗号化の方式を確認
  4. 完全性
    1. アプリケーション側で、コントロール・ トータルチェックや限度チェック等を実施しているか
      • データ ベースのモニタリング手法のマニュアルよりコントロール・トータルチェックや限度チェック等のモニタリング方法を確認
      • モニタリングの実 施記録を確認
    2. 電子署名を使って、改ざん防止を図っているか
      • 電子署名の導入状況を確認
  5. 監視
    1. 認 証失敗などの異常やIDS/IPSからの警報を検知し、適切に対処しているか
      • 警報の処理体制を確認
      • 警報に対する処理記録を確認
    2. 事後調査のため、発信元アド レス等を含む、必要十分な内容のログを取得し、分析しているか
      • ロ グの取得・保管状況を確認
      • ログの分析記録を確認
    3. 機密情報を保護するため、メールフィルタリング等 の対策を実施しているか
      • 社外への送信メールのフィルタリング 対策を確認
  6. 対策の見直し
    1. 脆弱性等に関する外部機関の最新情報を収集しているか
      • 情報収集を行う外部機関のリストを確認
      • 収集した情報の管理 状況を確認
    2. ペネトレーションテスト、Webアプリケーション診断等を実施し、安全対策の有効性を確認しているか
      • テスト項目を確認
      • テスト実施記録を確認

2010年2月7日日曜日

花粉症対策

花粉症対策としてアレルシャットという薬を購入しました。
綿棒で鼻の中に塗るだけで驚くほど花粉症を防ぐことができます。
一昨年頃から利用しているのですがなかなか優れものです。

花粉を防ぐにはマスクもありますが、屋外でスポーツをする場合はマスクができません。
アレルシャットはそんな状況で威力を発揮します。
また、メガネをしている人にとってもマスクによるメガネの曇りから解放されます。
花粉症の内服薬とは違い、眠くもならない点も魅力です。

花粉症でお悩みの方は一度お試しあれ。



2010年2月6日土曜日

バッテリー交換完了

先日注文したThinkPadのバッテリーが送られてきたので、交換しました。
バッテリーの情報を比較すると、交換前はフル充電&マックス・バッテリーライフ設定で1時間半ぐらいしか駆動できなかったのに、交換後は90%充電&マックス・パフォーマンスでも2時間以上駆動するようになりました。
これならモバイルシーンも少し現実的です。久しぶりにPCを持ち出してみたくなりました。

2010年2月5日金曜日

管理体制(ネットワーク・システム監査)チェックリスト

ネットワーク・システム監査/管理体制/

ネットワーク・システム監査のチェックリス ト作成第1弾です。参考書は引き続き「ここから始めるIT監査」(社団 法人日本内部監査協会編)を使います。

  1. 管理体制
  2. 安 全性
  3. 耐障害性
  4. 経済性
それでは、1.管理体制のチェックリストを作成し ていきましょう。

  必要な統制

  1. システム部門の業務分担表
  2. システム部門の職 務権限規程
  3. ネットワークユーザー管理台帳
  4. ネットワーク設計書
  5. ネットワーク運用手順書
  6. ネッ トワーク利用の研修

  チェックリスト

    1.管理体制
  1. 責任と権限
    1. 組織のネットワーク管理に係る情報を集約し、適切 に判断を下すネットワーク管理者が定められているか
      • システム 部門の業務分担表からネットワーク管理者が定義されていることを確認
      • 組織図上、ネットワーク管理者が情報を集約できる立場にあることを 確認
    2. ネットワーク管理者の職務と権限が明確に定義されているか
      • システム部門の業務分担表からネットワーク管理者の職務と権限が記載されていることを確認
    3. ネッ トワーク管理者が職務として機能しているか
      • システム部門の職 務権限規程からネットワーク管理者が集めるべき情報と下すべき判断項目を確認
      • ネットワーク管理者に、把握している情報と判断結果を確認
  2. 利 用者の範囲
    1. ネットワーク利用者の範囲が明確に定義されているか
      • ネットワークユーザー管理台帳の存在を確認
      • ネットワークユーザー管理台帳と組織図・座席表 との整合性を確認
    2. ネットワーク利用者の役割に応じて、区分して管理されているか
      • ネットワークユーザー管理台帳にユーザー区分が記載されていることを確認
  3. 構 成管理
    1. ネットワーク構成図等を作成し、構成内容を把握しているか
      • ネットワーク構成図の存在を確認
    2. ネットワークが部門別等にセグメント分 割されているか
      • ネットワーク設計書からセグメントポリシーを 確認
      • ネットワーク構成図からセグメントの分割状況を確認
  4. ネットワーク設計
    1. ネッ トワーク設計に係る基準が明確に定義されているか
      • ネットワー ク設計書に設計基準が記載されていることを確認
    2. 基準にしたがって、ネットワークが設計されているか
      • ネットワーク運用で使用しているネットワーク構成図とネットワークの設計基準 の整合性を確認
    3. 拡張性、保守性を考慮しているか
      • ネットワークの設計書に拡張性や保守性についての記載があることを確認
    4. ネットワーク設計は 責任者によって承認されているか
      • ネットワーク設計書の承認者 が責任者であることを確認
  5. OS/アプリケーション
    1. ネットワークで使用するOS やアプリケーションが明確に定義されているか
      • ネットワーク設 計書に使用するOSやアプリケーションの一覧が存在することを確認
    2. ネットワークでの使用を禁止するアプリケーション が明確に定義されているか
      • ネットワーク設計書に使用を禁止す るアプリケーションの一覧が存在することを確認
    3. 許可されないOSやアプリケーションの使用を検出する仕組みを備えて いるか
      • IT資産管理ツール等の存在を確認
  6. 運 用管理
    1. ネットワークに係るハードウェア、ソフトウェアの導入、運用の手順が定義されているか(変更管理の手順を含む)
      • ネットワーク運用手順書が存在することを確認
    2. ネッ トワーク設定情報の設定、管理(バックアップ等を含む)の手順が定義されているか
      • ネットワーク運用手順書にネットワーク設定情報の設定、管理の手順が定義されていることを確認
    3. 他 組織との接続やリモートアクセスを承認する手順が定義されているか
      • ネッ トワーク運用手順書に他組織との接続やリモートアクセスの承認手順が記載されていることを確認
    4. ネットワークのアクセ ス状況を管理する手順が定義されているか
      • ネットワーク運用手 順書にアクセス状況の管理手順が記載されていることを確認
    5. ネットワークに異常が検知された場合の報告手順が定義され ているか
      • ネットワーク運用手順書にネットワークの異常を報告 する手順が記載されていることを確認
  7. ネットワークの見直し
    1. ネットワークのトラ フィック状況など、見直しのための指標が定義されているか
      • ネッ トワーク運用手順書に管理すべき指標が記載されていることを確認
    2. 見直しのための指標データを定期的に取得し、検討し ているか
      • 管理すべき指標の過去の状況資料を確認
  8. 利 用教育
    1. ネットワークを安全かつ効率的に利用するためのルールについて、教育・研修する仕組みが整備されているか
      • ネットワーク利用の研修教材を確認
    2. 定期 的に教育・研修が実施されているか
      • ネットワーク利用の研修の 実施記録を確認

ネットワーク・システ ムの監査は他のIT監査と比較して、よりシステム色が強いと感じました。次回も引き続きネットワーク・システムの監査です。

2010年2月4日木曜日

導入・維持管理(事業継続管理の監査)チェックリスト

事業継続管理の監査/導入/
事業継続管理の監査/維持管理/

情報セキュリティの監査のチェックリス ト作成第3弾です。参考書は引き続き「ここから始めるIT監査」(社団 法人日本内部監査協会編)を使います。

3.事業継続管理の監査
    1. 戦略策定
    2. リスク評価
    3. 導 入
    4. 維持管理
そ れで は、3.導入と4.維持管理のチェックリストを作成していきましょう。

  必要な統制

  1. BCM 委員会
  2. 脆弱性リスト
  3. コンティンジェンシープラン
  4. BCM周知徹底計画
  5. BCM関連 文書

  チェックリスト

    3.導入
    1. BCM組織体制 の確立
      1. 脅威発生に備え事前準備をするための通常時の組織体制が整備されているか
        • 組織図からBCM委員会等が常設されていることを確認
      2. 緊急時に情報の 共有、判断を行うための組織体制が整備されているか
        • BCPに 緊急時の組織体制が定義されていることを確認
        • 定義されている緊急時の組織体制が情報共有と判断に必要なメンバーで構成されていることを 確認
    2. Availabilityの確保
      1. リスク評価にて対応する必要があると判断 されたAvailabilityに関わる脆弱性に対して、確実に対応策がとられているか
        • 対応する必要があるAvailabilityに関わる脆弱性のリストに対応策が記載されていることを確認
        • 記 載された対応策が実在することを確認
    3. Recoverabilityの確保
      1. リス ク評価にて対応する必要があると判断されたRecoverabilityに関わる脆弱性に対して、確実に対応策がとられているか
        • 対応する必要があるRecoverabilityに関わる脆弱性のリストに対応 策が記載されていることを確認
        • 記載された対応策が実在することを確認
    4. 緊急時対応の各種手順の策 定
      1. 想定したリスク・シナリオを考慮し、脅威発生時に備えたコンティンジェンシープラン(初期対応手順書、暫定対応手順書、本格 対応手順書を含む)を整備しているか
        • コンティンジェンシープ ランが存在し、初期対応手順書、暫定対応手順書、本格対応手順書が含まれていることを確認
    5. BCM関連文書の周知徹 底
      1. BCM関連文書(コンティンジェンシープラン等)の周知徹底施策が計画され、実施されているか。
        • BCM周知徹底計画が存在し、実施されていることを確認
        • 緊急 時に使用する文書が必要な者へ配布済みであることを確認
    

    4.維持管理
    1. BCM関連文書の管理
      1. 配布、保管、改訂等についてBCM関連文書の管理手順が 定められているか
        • BCM関連文書に文書の管理手順が存在する ことを確認
      2. 定められた管理手順にしたがい、BCM関連文書が管理されているか
        • BCM関連文書に文書リストが存在することを確認
        • 文 書リストの文書が最新の状態であることを確認
        • 文書リストの文書がすぐに使用可能であることを確認
    2. BCM 関連文書のテスト・訓練
      1. BCM関連文書のテスト・訓練が計画され、実施されているか
        • BCM関連文書の内容が機能することを確認するテストの計画書が存在することを 確認
        • テスト結果のドキュメントを確認
      2. BCM関連文書のテスト・訓練では、緊急時のBCM態勢が確 実に機能することや、緊急時に速やかに所定の手順が実行されることが確認されているか
        • テスト結果から検証項目を確認
    3. BCM態勢の見直し
      1. テ スト・訓練の実施結果、内部監査の指摘事項、人事異動やシステム変更等を反映し、BCM態勢を定期的に見直しているか
        • BCM関連文書の更新状況と態勢の整合性を確認
        • BCMの更新 情報が周知されていることを確認

これで事業継続管理の監査は終了です。次回からはネットワー クシステムの監査に入ります。

2010年2月3日水曜日

IT Compliance Summit 2010 Winterに行ってきました。

本日開催のIT Compliance Summit 2010 Winterへ行ってきました。
仕事の都合で、最初と最後のセッションのみの参加となりましたがなかなか有意義でした。
会場は表参道駅直結の青山ダイヤモンドホールで、なんと、参加は無料です。
私が参加したのは以下のふたつのセッションです。簡単にポイントも書いておきます。
  1. 『八田進二氏が金融庁・三井秀範開示課長に訊く!内部統制からIFRSへ~我が国の企業情報開示の課題と展望』(八田進二氏、三井秀範氏)
    • 初年度の重要な欠陥は米国の16%に対して日本は2%だった。
    • 先行した米国は文書化に偏重した。
    • 日本では業務改善につながったとの声もある。
    • IFRSの検討には当初から日本も参画している。
    • IFRSに対応することで、別途米国会計基準への一致を行う必要がなくなったことに意義がある。
    • IFRS対応について金融庁は柔軟な対応を考えている。
  2. 経済危機で重要性が高まる内部監査の役割(島田裕次氏)
    • 内部監査とは人の粗探しではない。
    • リスクの根本は目的である。
    • 予防型の内部監査が求めらる。
    • チェックは内部監査ではない。
    • 内部監査に不足しているのは工学的アプローチである。
    • 内部監査は経営全体を見渡すことができる。
    • 内部監査部門は定年間際の部署ではなく、若手人材が必要である。
このIT Compliance Summit 2010 Winterへ参加したことで欲しかった島田裕次氏の著書「内部監査入門」をいただくことができました。早速読みたいと思います。(もちろん、島田先生とは名刺交換をさせていただきました。)

2010年2月2日火曜日

体調不良でした

昨日から下痢と発熱で1日半ほど寝込んでいました。明日からブログを再開します。
医者にはノロウィルスかも知れないと言われましたが、ノロウィルスって有効な抗ウィルス薬がないんですね。