事業継続管理の監査/維持管理/
情報セキュリティの監査のチェックリス ト作成第3弾です。参考書は引き続き「ここから始めるIT監査」(社団 法人日本内部監査協会編)を使います。
3.事業継続管理の監査
- 戦略策定
- リスク評価
- 導 入
- 維持管理
必要な統制
- BCM 委員会
- 脆弱性リスト
- コンティンジェンシープラン
- BCM周知徹底計画
- BCM関連 文書
チェックリスト
3.導入- BCM組織体制 の確立
- 脅威発生に備え事前準備をするための通常時の組織体制が整備されているか
- 組織図からBCM委員会等が常設されていることを確認
- 緊急時に情報の 共有、判断を行うための組織体制が整備されているか
- BCPに 緊急時の組織体制が定義されていることを確認
- 定義されている緊急時の組織体制が情報共有と判断に必要なメンバーで構成されていることを 確認
- Availabilityの確保
- リスク評価にて対応する必要があると判断 されたAvailabilityに関わる脆弱性に対して、確実に対応策がとられているか
- 対応する必要があるAvailabilityに関わる脆弱性のリストに対応策が記載されていることを確認
- 記 載された対応策が実在することを確認
- Recoverabilityの確保
- リス ク評価にて対応する必要があると判断されたRecoverabilityに関わる脆弱性に対して、確実に対応策がとられているか
- 対応する必要があるRecoverabilityに関わる脆弱性のリストに対応 策が記載されていることを確認
- 記載された対応策が実在することを確認
- 緊急時対応の各種手順の策 定
- 想定したリスク・シナリオを考慮し、脅威発生時に備えたコンティンジェンシープラン(初期対応手順書、暫定対応手順書、本格 対応手順書を含む)を整備しているか
- コンティンジェンシープ ランが存在し、初期対応手順書、暫定対応手順書、本格対応手順書が含まれていることを確認
- BCM関連文書の周知徹 底
- BCM関連文書(コンティンジェンシープラン等)の周知徹底施策が計画され、実施されているか。
- BCM周知徹底計画が存在し、実施されていることを確認
- 緊急 時に使用する文書が必要な者へ配布済みであることを確認
4.維持管理
- BCM関連文書の管理
- 配布、保管、改訂等についてBCM関連文書の管理手順が 定められているか
- BCM関連文書に文書の管理手順が存在する ことを確認
- 定められた管理手順にしたがい、BCM関連文書が管理されているか
- BCM関連文書に文書リストが存在することを確認
- 文 書リストの文書が最新の状態であることを確認
- 文書リストの文書がすぐに使用可能であることを確認
- BCM 関連文書のテスト・訓練
- BCM関連文書のテスト・訓練が計画され、実施されているか
- BCM関連文書の内容が機能することを確認するテストの計画書が存在することを 確認
- テスト結果のドキュメントを確認
- BCM関連文書のテスト・訓練では、緊急時のBCM態勢が確 実に機能することや、緊急時に速やかに所定の手順が実行されることが確認されているか
- テスト結果から検証項目を確認
- BCM態勢の見直し
- テ スト・訓練の実施結果、内部監査の指摘事項、人事異動やシステム変更等を反映し、BCM態勢を定期的に見直しているか
- BCM関連文書の更新状況と態勢の整合性を確認
- BCMの更新 情報が周知されていることを確認
これで事業継続管理の監査は終了です。次回からはネットワー クシステムの監査に入ります。
0 件のコメント:
コメントを投稿