公認内部監査人(CIA)tunetterのブログです。 内部監査の試行錯誤を記録していきます。

にほんブログ村 経営ブログ 経営学へ
いま何位?

2010年2月8日月曜日

安全性(ネットワーク・システ ム監査)チェックリスト【暫定版】

ネットワーク・システム監査/安全性/

※今回は、かなりシステムの専門知識が必要な内容なので暫定版です。順次改訂していきます。
 ネットワーク・システム監査のチェックリス ト作成第2弾です。参考書は引き続き「ここから始めるIT監査」(社団 法人日本内部監査協会編)を使います。

  1. 管理体制
  2. 安全性
  3. 耐障害性
  4. 経 済性
それでは、2.安全性のチェックリストを作成し ていきましょう。

  必要な統制

  1. ネッ トワーク構成図
  2. 電子署名の導入
  3. データベースのモニタリング
  4. ログ管理

  チェックリスト

    2.安全性
  1. 不正アク セス防止
    1. ファイアウォールやIDS/IPSなどの機器が適切に設置されているか
      • ネットワーク構成図からファイアウォールやIDS/IPSの設置を確認
      • ファイアウォール やIDS/IPSの管理画面で稼動を確認
    2. サーバやネットワーク機器の設定が適切であることを確認しているか
      • サーバーやネットワーク機器の設定方針を確認
      • サー バーやネットワーク機器の設定方針と設定値のシステムアウトプットの整合性を確認
    3. ウィルス対策ソフトが導入され、適 切に運用されているか
      • ウィルス対策ソフトのインストール状況 を確認
      • ウィルス対策ソフトの更新状況確認
  2. 認証
    1. 利用者の利用 場面に応じて、本人確認を確実にするための認証の仕組みが実施されているか(生体認証、多要素認証など)
      • 認証の実装状況を確認
    2. 否認を防止するための仕組みが実施されているか
      • 信頼できる認証局による電子署名の実装状況を確認
  3. 暗 号化
    1. 機密度の高い情報については、充分な強度を有する方式により、暗号化されているか
      • 機密度の高い情報の一覧が存在することを確認
      • 機密度の高い情 報に対する暗号化の方式を確認
  4. 完全性
    1. アプリケーション側で、コントロール・ トータルチェックや限度チェック等を実施しているか
      • データ ベースのモニタリング手法のマニュアルよりコントロール・トータルチェックや限度チェック等のモニタリング方法を確認
      • モニタリングの実 施記録を確認
    2. 電子署名を使って、改ざん防止を図っているか
      • 電子署名の導入状況を確認
  5. 監視
    1. 認 証失敗などの異常やIDS/IPSからの警報を検知し、適切に対処しているか
      • 警報の処理体制を確認
      • 警報に対する処理記録を確認
    2. 事後調査のため、発信元アド レス等を含む、必要十分な内容のログを取得し、分析しているか
      • ロ グの取得・保管状況を確認
      • ログの分析記録を確認
    3. 機密情報を保護するため、メールフィルタリング等 の対策を実施しているか
      • 社外への送信メールのフィルタリング 対策を確認
  6. 対策の見直し
    1. 脆弱性等に関する外部機関の最新情報を収集しているか
      • 情報収集を行う外部機関のリストを確認
      • 収集した情報の管理 状況を確認
    2. ペネトレーションテスト、Webアプリケーション診断等を実施し、安全対策の有効性を確認しているか
      • テスト項目を確認
      • テスト実施記録を確認

0 件のコメント:

コメントを投稿