Riverside Learning LABO(Skill/Idea/Code)

よりよいシステムのため工学系と人間系の学習下書きメモ

トップ > study > システム監査技術者5+

システム監査技術者5+

study development 研究 開発

システム監査
5 テーマ別監査
■5.1システムライフサイクルの監査
システムライフサイクルが情報戦略、企画、開発、運用、保守の5つの段階に分けられることが多い。それぞれの段階における監査目標とコントロール目標をみる<情報戦略の監査>
1.監査目標
組織体全体の情報システムのあるべき姿が明確になっていること
ITガバナンスの方針が明確になっていること
2.コントロール目標
情報戦略の監査では監査目標を達成するためにコントロールが機能しているかをみる
全体最適
全体最適化計画の周知徹底
・組織体制
情報システム委員、部門の責任
・情報化投資
情報化投資計画は整合性
・情報資産管理の方針
情報資産の管理方針及び体制
・事業継続計画
事業継続の方針
コンプライアンス
法令及び規範の遵守を管理する<システム企画業務の監査>
1.監査目標
開発を予定しているシステムが経営方針に従っていること
開発計画の実現可能性などを企画段階で十分評価です
2.コントロール目標
次のコントロールが機能しているかをみるチェックする
1計画
システム化計画の立案の妥当性
システム開発の承認ルールの確立と準拠状況
2調査分析
ユーザニーズの調査
現状分析
技術調査
リスク分析
内外制度との関連
3開発検討
目的
資金
要員
設備
期間
効果
業務分担
責任体制<システム開発業務の監査>
1.監査目標
企画段階で計画された通りに開発されていること想定されるリスクコントロールが組み込まれていること

2.コントロール目標
次のコントロールが機能しているかをチェックする
・開発手順
開発手順の適切性
標準化された開発マニュアル
・システム設計
承認ルール、マニュアルの準拠
セキュリティー対策、障害対策
システムテスト移行計画
データintegrity
データベース設計
・プログラム設計
システム設計への準拠性
プログラム仕様の標準化、モジュール化
・プログラミング
プログラム仕様の準拠
マニュアルの準拠
分担とテスト技法
システムテスト
テスト計画の準拠
テスト実施体制承認
データの保管<システム運用業務の監査>
1.監査目標
システム安定的に稼働させるためにシステムの定期的なチェックが行われている事をチェックする

2.コントロール目標
次のコントロールが機能しているかをチェックする
オペレーション
入力データの作成および入力
データおよびプログラムの管理
ファシリティ管理
出力情報の管理及び活用
外部委託<システム保守業務の監査>
1.監査目標
システムを安定的に稼働させるためにシステム保守業務の定期的なチェックが行われている事

2.コントロール目標
次のコントロールが機能しているかをチェックする
保守体制
保守手続
テスト方法と移行


■5.2アプリケーションシステムの監査インテグリティが確保されているかを点検するものである

1.監査目標
データのインテグリティーが確保されていること
網羅性正確性妥当性整合性を満たしたデータであること

2.コントロール目標
アプリケーションコントロール(業務処理統制)とはシステム自体のコントロールだけでなく承認などの業務手続き上のコントロールも含んで概念である
次のコントロールが機能しているかをチェックする

・データ作成のコントロール
入力原票の設計
未使用原票の管理
入力原票の作成、承認、訂正、保存

・データ入力のコントロール
バッチ処理、オンライン処理、外部からの連携、エディットバリデーションチェック、入力データの承認、入力原票がない場合、エラーデータの修正、エラーデータの分析

・データ処理のコントロール
オペレーションの正確性
エディットバリデーションチェック
アプリケーション間の整合性
エラーデータの修正
監査証跡の確保

・データ出力のコントロール
出力情報の検証
出力情報の訂正
出力情報の配布
企業外部のデータ連携
出力情報の保存
出力情報の廃棄
出力情報のセキュリティ
出力情報の有用性

・データファイルに関するコントロール
データファイルの更新
データファイルの整合性
データファイルのセキュリティ


■5.3セキュリティーの監査
セキュリティ監査の概要監査目標
1.監査目標
許可の使用開示改ざん損害孫子つか情報保護するために私指定席力が保障されていること

2.情報セキュリティの定義
機密性
完全性
可用性

・セキュリティー対策の分類
物理的セキュリティと論理的セキュリティ
論理的セキュリティは以下に細分化できる
人的セキュリティ
管理的セキュリティ
システム的セキュリティ

・物理的セキュリティの対策
物理的な隔離が確認されている
情報漏洩に適した物理媒体が選択されている
ネットワーク事故に対して最小限に抑えられるネットワークトポロジーが選択されている

・人的セキュリティ対策
労務管理、教育、カウンセリング
1職務定義および雇用におけるセキュリティで人により誤りを軽減する
2利用者の訓練でセキュリティ基本方針を徹底させる
3セキュリティ事件事故及び誤動作からの学習

・管理的セキュリティ
バックアップリストの作業手順
バックアップの保管
重要データの社外持ち出し手続き
監視用収集データファイル対象
監視用データの保存

・システム的セキュリティ
1ユーザーIDパスワード管理
2ファイアウォールの配置ネットワークサービスの設計
3暗号化
4資産へのアクセス制限

情報セキュリティの機能
抑止機能
防止機能
検知機能
回復機能