システム監査技術者5++
システム監査
5 テーマ別監査
■5.1システムライフサイクルの監査
システムライフサイクルが情報戦略、企画、開発、運用、保守の5つの段階に分けられることが多い。それぞれの段階における監査目標とコントロール目標をみる<情報戦略の監査>
1.監査目標
組織体全体の情報システムのあるべき姿が明確になっていること
ITガバナンスの方針が明確になっていること
2.コントロール目標
情報戦略の監査では監査目標を達成するためにコントロールが機能しているかをみる
・全体最適化
全体最適化計画の周知徹底
・組織体制
情報システム委員、部門の責任
・情報化投資
情報化投資計画は整合性
・情報資産管理の方針
情報資産の管理方針及び体制
・事業継続計画
事業継続の方針
・コンプライアンス
法令及び規範の遵守を管理する<システム企画業務の監査>
1.監査目標
開発を予定しているシステムが経営方針に従っていること
開発計画の実現可能性などを企画段階で十分評価です
2.コントロール目標
次のコントロールが機能しているかをみるチェックする
1計画
システム化計画の立案の妥当性
システム開発の承認ルールの確立と準拠状況
2調査分析
ユーザニーズの調査
現状分析
技術調査
リスク分析
内外制度との関連
3開発検討
目的
資金
要員
設備
期間
効果
業務分担
責任体制<システム開発業務の監査>
1.監査目標
企画段階で計画された通りに開発されていること想定されるリスクコントロールが組み込まれていること
2.コントロール目標
次のコントロールが機能しているかをチェックする
・開発手順
開発手順の適切性
標準化された開発マニュアル
・システム設計
承認ルール、マニュアルの準拠
セキュリティー対策、障害対策
システムテスト移行計画
データintegrity
データベース設計
・プログラム設計
システム設計への準拠性
プログラム仕様の標準化、モジュール化
・プログラミング
プログラム仕様の準拠
マニュアルの準拠
分担とテスト技法
・システムテスト
テスト計画の準拠
テスト実施体制承認
データの保管<システム運用業務の監査>
1.監査目標
システム安定的に稼働させるためにシステムの定期的なチェックが行われている事をチェックする
2.コントロール目標
次のコントロールが機能しているかをチェックする
オペレーション
入力データの作成および入力
データおよびプログラムの管理
ファシリティ管理
出力情報の管理及び活用
外部委託<システム保守業務の監査>
1.監査目標
システムを安定的に稼働させるためにシステム保守業務の定期的なチェックが行われている事
2.コントロール目標
次のコントロールが機能しているかをチェックする
保守体制
保守手続
テスト方法と移行
■5.2アプリケーションシステムの監査インテグリティが確保されているかを点検するものである
1.監査目標
データのインテグリティーが確保されていること
網羅性正確性妥当性整合性を満たしたデータであること
2.コントロール目標
アプリケーションコントロール(業務処理統制)とはシステム自体のコントロールだけでなく承認などの業務手続き上のコントロールも含んで概念である
次のコントロールが機能しているかをチェックする
・データ作成のコントロール
入力原票の設計
未使用原票の管理
入力原票の作成、承認、訂正、保存
・データ入力のコントロール
バッチ処理、オンライン処理、外部からの連携、エディットバリデーションチェック、入力データの承認、入力原票がない場合、エラーデータの修正、エラーデータの分析
・データ処理のコントロール
オペレーションの正確性
エディットバリデーションチェック
アプリケーション間の整合性
エラーデータの修正
監査証跡の確保
・データ出力のコントロール
出力情報の検証
出力情報の訂正
出力情報の配布
企業外部のデータ連携
出力情報の保存
出力情報の廃棄
出力情報のセキュリティ
出力情報の有用性
・データファイルに関するコントロール
データファイルの更新
データファイルの整合性
データファイルのセキュリティ
■5.3セキュリティーの監査
セキュリティ監査の概要監査目標
1.監査目標
許可の使用開示改ざん損害孫子つか情報保護するために私指定席力が保障されていること
2.情報セキュリティの定義
機密性
完全性
可用性
・セキュリティー対策の分類
物理的セキュリティと論理的セキュリティ
論理的セキュリティは以下に細分化できる
人的セキュリティ
管理的セキュリティ
システム的セキュリティ
・物理的セキュリティの対策
物理的な隔離が確認されている
情報漏洩に適した物理媒体が選択されている
ネットワーク事故に対して最小限に抑えられるネットワークトポロジーが選択されている
・人的セキュリティ対策
労務管理、教育、カウンセリング
1職務定義および雇用におけるセキュリティで人により誤りを軽減する
2利用者の訓練でセキュリティ基本方針を徹底させる
3セキュリティ事件事故及び誤動作からの学習
・管理的セキュリティ
バックアップリストの作業手順
バックアップの保管
重要データの社外持ち出し手続き
監視用収集データファイル対象
監視用データの保存
・システム的セキュリティ
1ユーザーIDパスワード管理
2ファイアウォールの配置ネットワークサービスの設計
3暗号化
4資産へのアクセス制限
情報セキュリティの機能
抑止機能
防止機能
検知機能
回復機能
■5.4ネットワークの監査
ネットワークセキュリティリスクの増大
1.監査目標
セキュリティー増大のリスクを意識した効率的なネットワークシステムの開発運用行われている事
2.コントロール目標
次のコントロールが機能しているかをチェックする
1通信設備端末などのファシリティーの信頼性効率性
キャパシティ管理など
2ネットワーク自体と関連設備適用業務システムの運用も含めセキュリティー対策
暗号化技術など
3外部接続の状況契約の妥当性
障害発生時の責任関係の明確化など
4データintegrity確保のためのチェック機能
二重送信や欠落チェック機能が適切かなど
5ネットワーク管理個別適用業務の運用管理
ネットワーク監視体制は適切か
保守担当者の教育訓練状況はどうか
ユーザの満足度など
■5.5Webシステムの監査
1.監査目標
Webシステムに関するリスクが適切に分析評価されビジネスモデルを踏まえた有効性を評価して構築されていることを確認する
2.コントロール目標
次のコントロールが機能しているかをチェックする
1リスク分析評価の網羅性適切性の確保
不正アクセス
取引データの改ざん
取引の避妊
情報漏洩
コンプライアンス
dos攻撃について評価しているか
2ビジネスモデルの視点から見た有効性の確保
ビジネスモデルの目的とシステム化計画の整合性は取れているか
採算性
季節性
バックアップ
変更管理
パスワード管理
顧客取引先の教育
認証の適切性
暗号化
電子署名の利用
などを評価する
■5.6データベースの監査
1.監査目標
適切なアクセスコントロールが組み込まれてのインテグリティーが確保された情報をユーザーが利用していることを確認する
2.コントロール目標
次のコントロールが機能しているかをチェックする
・データベースシステムと適用業務データベースの利用形態データベースマネジメントシステムの利用状況
データベース管理の適切性
セキュリティ関連の適切性
DBMSの選定適切性
DBMSの性能評価とキャパシティー管理
データベース構造適切性
・適用業務システムデータベースの構造、データインテグリティの確保
データベース設計の適切性
排他制御適切性
入力データチェック適切性
・データベースへのアクセスコントロール状況
アクセスコントロールの管理方針
パスワード管理の妥当性
・データベース管理者の責任と権限等の管理的側面
データベースの管理方針
データベース管理者及び管理状況
・データベースシステムのバックアップ機能とリカバリ手続き
バックアップ機能の適切性
リカバリ手続きの明確化
テスト実施状況
・データベースシステムに対するユーザ利用状況
ユーザの使い勝手や利用状況の把握等
