システム監査
6 関連法規の要点
システム監査基準は暗記する位の勢いで読み込もう

6.1システム監査基準、システム管理基準
新システムの完成基準の改定ポイントについて
1IT技術変革への対応
2企業における情報システム位置づけ変化への対応
3社会に対する説明責任の高まり保証型監査の必要性
4情報システム管理の基準と監査人の行動規範の峻別
5情報セキュリティ監査制度との関係

システム監査基準の新旧の違いについてを把握しておく必要がある
目的適合性
独立性
適切な品質管理
適切な監査計画
監査調書の作成と保存
専門職との連携
セキュリティー監査基準の利用等

システム管理基準の新旧比較
情報戦略として
事業継続性やコンプライアンス資産管理方針、全体最適化
組織体制、情報化投資などプロジェクト全般について記述あり

情報システム監査は企画開発運用保守ライフサイクルシステムしたがって全体最適化を目的に行った情報セキュリティ監査は資産ライフサイクルシステムをもとにシステム以外の部分も監査対象となる

新システム監査基準は
システム監査の目的
一般基準
実施基準
報告基準
に別れる

一般基準は
目的権限と責任
独立性客観性
専門能力
業務上の義務
品質管理
に分かれる

実施基準は
階差監査計画の立案
監査の手順
監査の実施
監査業務の体制
専門職の利用
情報セキュリティ監査
に別れる

報告基準は
監査報告書の提出と開始
監査報告の根拠
監査報告書の記載事項
監査報告について責任
監査報告に基づく改善指導
に別れる

システム管理基準は
情報戦略
企画業務
開発義務
運用業務
保守業務
共通業務
に別れる

情報戦略は
全体最適化
組織体制
情報化投資
資産管理の方針
事業継続計画
コンプライアンス
に分かれる

企画業務は
開発計画
分析
調達
にわかれる

開発業務は
開発手順
システム設計
プログラム設計
プログラミング
システムテストユーザー受入テスト
移行
に別れる

運用業務は
運用管理ルール
運用管理
入力管理
データ管理
出力管理
ソフトウェア管理
ハードウェア管理
ネットワーク管理
構成管理
関連施設管理
に別れる

保守業務は
保守手順
保守計画
保守の実施
保守の確認
移行
情報システムの廃棄
に分かれる

共通業務は
ドキュメント管理
進捗管理
品質管理
人的資源管理
委託受託管理
変更管理
災害対策
に別れる

6.2セキュリティー関連基準
・情報セキュリティ監査基準と情報セキュリティ管理基準がある

情報セキュリティ監査基準は
情報セキュリティ監査の目的、
一般基準
実施基準
報告基準
から構成されている

情報セキュリティ管理基準
各組織絵画自らの間に基準等規定する場合の拠り所であり判断基準となる
JISX 5080:2002

・コンピュータウイルス対策基準
システムユーザ基準
システム管理者基準
ソフトウェア供給者基準
ネットワーク事業者基準
システムサービス事業所基準

・コンピュータ不正アクセス対策基準
システムユーザ基準
システム管理者基準
ネットワーク事業者基準
ハードウェアソフトウェア供給者基準

・ソフトウェア管理ガイドライン
法人等が実施すべき基本的事項
ソフトや管理責任者が実施すべき事項
ソフトウェアユーザの実施すべき事項

・セキュリティ関連の基準とガイドライン
ISO 27001(情報セキュリティマネジメントシステム要求事項)
ISO 15408(JISX5070)

6.3セキュリティ関連法規
・刑法
電磁的記録の定義第7条の2
電磁的記録の偽造第161条の2
コンピュータ関連業務妨害第234条の2
コンピューター使用詐欺第246条の2
・不正アクセス行為の禁止等に関する法律
目的第一条
電気通信に関する秩序の維持を図り高度情報化社会の発展に寄与する
不正アクセス行為
他人のIDパスワード奪取しアクセス認証超える行為第3条第二項第一号など
不正アクセス行為を助長する行為第4条
特定のアクセス制御認証情報をその端末業者が人間に漏洩すると30万以下の罰金