CIA tunetterの監査論?~IT監査を中心に~

公認内部監査人(CIA)tunetterのブログです。 内部監査の試行錯誤を記録していきます。

にほんブログ村 経営ブログ 経営学へ
いま何位?

2010年2月5日金曜日

管理体制(ネットワーク・システム監査)チェックリスト

ネットワーク・システム監査/管理体制/

ネットワーク・システム監査のチェックリス ト作成第1弾です。参考書は引き続き「ここから始めるIT監査」(社団 法人日本内部監査協会編)を使います。

  1. 管理体制
  2. 安 全性
  3. 耐障害性
  4. 経済性
それでは、1.管理体制のチェックリストを作成し ていきましょう。

  必要な統制

  1. システム部門の業務分担表
  2. システム部門の職 務権限規程
  3. ネットワークユーザー管理台帳
  4. ネットワーク設計書
  5. ネットワーク運用手順書
  6. ネッ トワーク利用の研修

  チェックリスト

    1.管理体制
  1. 責任と権限
    1. 組織のネットワーク管理に係る情報を集約し、適切 に判断を下すネットワーク管理者が定められているか
      • システム 部門の業務分担表からネットワーク管理者が定義されていることを確認
      • 組織図上、ネットワーク管理者が情報を集約できる立場にあることを 確認
    2. ネットワーク管理者の職務と権限が明確に定義されているか
      • システム部門の業務分担表からネットワーク管理者の職務と権限が記載されていることを確認
    3. ネッ トワーク管理者が職務として機能しているか
      • システム部門の職 務権限規程からネットワーク管理者が集めるべき情報と下すべき判断項目を確認
      • ネットワーク管理者に、把握している情報と判断結果を確認
  2. 利 用者の範囲
    1. ネットワーク利用者の範囲が明確に定義されているか
      • ネットワークユーザー管理台帳の存在を確認
      • ネットワークユーザー管理台帳と組織図・座席表 との整合性を確認
    2. ネットワーク利用者の役割に応じて、区分して管理されているか
      • ネットワークユーザー管理台帳にユーザー区分が記載されていることを確認
  3. 構 成管理
    1. ネットワーク構成図等を作成し、構成内容を把握しているか
      • ネットワーク構成図の存在を確認
    2. ネットワークが部門別等にセグメント分 割されているか
      • ネットワーク設計書からセグメントポリシーを 確認
      • ネットワーク構成図からセグメントの分割状況を確認
  4. ネットワーク設計
    1. ネッ トワーク設計に係る基準が明確に定義されているか
      • ネットワー ク設計書に設計基準が記載されていることを確認
    2. 基準にしたがって、ネットワークが設計されているか
      • ネットワーク運用で使用しているネットワーク構成図とネットワークの設計基準 の整合性を確認
    3. 拡張性、保守性を考慮しているか
      • ネットワークの設計書に拡張性や保守性についての記載があることを確認
    4. ネットワーク設計は 責任者によって承認されているか
      • ネットワーク設計書の承認者 が責任者であることを確認
  5. OS/アプリケーション
    1. ネットワークで使用するOS やアプリケーションが明確に定義されているか
      • ネットワーク設 計書に使用するOSやアプリケーションの一覧が存在することを確認
    2. ネットワークでの使用を禁止するアプリケーション が明確に定義されているか
      • ネットワーク設計書に使用を禁止す るアプリケーションの一覧が存在することを確認
    3. 許可されないOSやアプリケーションの使用を検出する仕組みを備えて いるか
      • IT資産管理ツール等の存在を確認
  6. 運 用管理
    1. ネットワークに係るハードウェア、ソフトウェアの導入、運用の手順が定義されているか(変更管理の手順を含む)
      • ネットワーク運用手順書が存在することを確認
    2. ネッ トワーク設定情報の設定、管理(バックアップ等を含む)の手順が定義されているか
      • ネットワーク運用手順書にネットワーク設定情報の設定、管理の手順が定義されていることを確認
    3. 他 組織との接続やリモートアクセスを承認する手順が定義されているか
      • ネッ トワーク運用手順書に他組織との接続やリモートアクセスの承認手順が記載されていることを確認
    4. ネットワークのアクセ ス状況を管理する手順が定義されているか
      • ネットワーク運用手 順書にアクセス状況の管理手順が記載されていることを確認
    5. ネットワークに異常が検知された場合の報告手順が定義され ているか
      • ネットワーク運用手順書にネットワークの異常を報告 する手順が記載されていることを確認
  7. ネットワークの見直し
    1. ネットワークのトラ フィック状況など、見直しのための指標が定義されているか
      • ネッ トワーク運用手順書に管理すべき指標が記載されていることを確認
    2. 見直しのための指標データを定期的に取得し、検討し ているか
      • 管理すべき指標の過去の状況資料を確認
  8. 利 用教育
    1. ネットワークを安全かつ効率的に利用するためのルールについて、教育・研修する仕組みが整備されているか
      • ネットワーク利用の研修教材を確認
    2. 定期 的に教育・研修が実施されているか
      • ネットワーク利用の研修の 実施記録を確認

ネットワーク・システ ムの監査は他のIT監査と比較して、よりシステム色が強いと感じました。次回も引き続きネットワーク・システムの監査です。
投稿者 tunetter 時刻: 23:13
ラベル:

0 件のコメント:

コメントを投稿

登録: コメントの投稿 (Atom)