Riverside Learning LABO(Skill/Idea/Code)

よりよいシステムのため工学系と人間系の学習下書きメモ

トップ > study > システム監査技術者6++

システム監査技術者6++

study development 研究 開発

システム監査
6 関連法規の要点
システム監査基準は暗記する位の勢いで読み込もう


6.1システム監査基準、システム管理基準
新システムの完成基準の改定ポイントについて
1IT技術変革への対応
2企業における情報システム位置づけ変化への対応
3社会に対する説明責任の高まり保証型監査の必要性
4情報システム管理の基準と監査人の行動規範の峻別
5情報セキュリティ監査制度との関係


システム監査基準の新旧の違いについてを把握しておく必要がある
目的適合性
独立性
適切な品質管理
適切な監査計画
監査調書の作成と保存
専門職との連携
セキュリティー監査基準の利用等


システム管理基準の新旧比較
情報戦略として
事業継続性やコンプライアンス資産管理方針、全体最適
組織体制、情報化投資などプロジェクト全般について記述あり


情報システム監査は企画開発運用保守ライフサイクルシステムしたがって全体最適化を目的に行った情報セキュリティ監査は資産ライフサイクルシステムをもとにシステム以外の部分も監査対象となる


新システム監査基準は
システム監査の目的
一般基準
実施基準
報告基準
に別れる


一般基準は
目的権限と責任
独立性客観性
専門能力
業務上の義務
品質管理
に分かれる


実施基準は
階差監査計画の立案
監査の手順
監査の実施
監査業務の体制
専門職の利用
情報セキュリティ監査
に別れる


報告基準は
監査報告書の提出と開始
監査報告の根拠
監査報告書の記載事項
監査報告について責任
監査報告に基づく改善指導
に別れる


システム管理基準は
情報戦略
企画業務
開発義務
運用業務
保守業務
共通業務
に別れる


情報戦略は
全体最適
組織体制
情報化投資
資産管理の方針
事業継続計画
コンプライアンス
に分かれる


企画業務は
開発計画
分析
調達
にわかれる


開発業務は
開発手順
システム設計
プログラム設計
プログラミング
システムテストユーザー受入テスト
移行
に別れる


運用業務は
運用管理ルール
運用管理
入力管理
データ管理
出力管理
ソフトウェア管理
ハードウェア管理
ネットワーク管理
構成管理
関連施設管理
に別れる


保守業務は
保守手順
保守計画
保守の実施
保守の確認
移行
情報システムの廃棄
に分かれる


共通業務は
ドキュメント管理
進捗管理
品質管理
人的資源管理
委託受託管理
変更管理
災害対策
に別れる


6.2セキュリティー関連基準
・情報セキュリティ監査基準と情報セキュリティ管理基準がある

情報セキュリティ監査基準は
情報セキュリティ監査の目的、
一般基準
実施基準
報告基準
から構成されている


情報セキュリティ管理基準
各組織絵画自らの間に基準等規定する場合の拠り所であり判断基準となる
JISX 5080:2002


コンピュータウイルス対策基準
システムユーザ基準
システム管理者基準
ソフトウェア供給者基準
ネットワーク事業者基準
システムサービス事業所基準


・コンピュータ不正アクセス対策基準
システムユーザ基準
システム管理者基準
ネットワーク事業者基準
ハードウェアソフトウェア供給者基準


・ソフトウェア管理ガイドライン
法人等が実施すべき基本的事項
ソフトや管理責任者が実施すべき事項
ソフトウェアユーザの実施すべき事項


・セキュリティ関連の基準とガイドライン
ISO 27001(情報セキュリティマネジメントシステム要求事項)
ISO 15408(JISX5070)


6.3セキュリティ関連法規
・刑法
電磁的記録の定義第7条の2
電磁的記録の偽造第161条の2
コンピュータ関連業務妨害第234条の2
コンピューター使用詐欺第246条の2
不正アクセス行為の禁止等に関する法律
目的第一条
電気通信に関する秩序の維持を図り高度情報化社会の発展に寄与する
不正アクセス行為
他人のIDパスワード奪取しアクセス認証超える行為第3条第二項第一号など
不正アクセス行為を助長する行為第4条
特定のアクセス制御認証情報をその端末業者が人間に漏洩すると30万以下の罰金


6.4J-SOX法(金融商品取引法)とシステム監査
・内部統制報告書
提出義務
事業年度ごとに当該会社の属する企業集団及び当該会社に係る財務計算に関する書類
内部統制報告書の監査
公認会計士また監査法人の監査証明なければならない


・実施のガイドライン
1内部統制の基本的枠組み
2財務報告に係る内部統制の評価及び報告
3財務報告に係る内部統制の監査
詳細は省略


6.5個人情報保護関連法規
OECDプライバシーガイドライン8原則はある
収集制限の原則
データ内容の原則
目的明確化の原則
利用制限の原則
安全保護の原則
公開の原則
個人参加の原則
責任の原則


個人情報保護法
基本部分
個人情報の適正な取扱いに関する基本理念と国頭の責務や施策が述べられている
一般法部分
対象情報2
個人情報の15-23
本人関与24-27
苦情37,41
事業所に対する監督46,47
適用除外50
・個人情報保護関連五法
プライバシーマーク制度
詳細は省略


6.6知的所有権関連法規
著作権
1.著作権法により保護される主要な権利
1プログラムの保護10
プログラムの複製や改変
制限しているがアリゴリズムは保護対象とならない
2データベースの著作権12-2
データベースでその情報の選択または体系的な構成によって創作性を有するものは著作物として保護する
3著作者人格権18-20
他人に譲渡できない権利
公表権
氏名表示権
同一性保持権がある
4複製権
私的利用はOK
所有者による複製は限定OK
5プログラム改変の特例20
動かないプログラム動くようにする改変
効果的に使うために必要な改変


2.権利の帰属
1職務著作15
法人に著作者の地位を与える
2プログラムに関する職務著作15
法人に自動的に帰属
3請負開発の著作権
原則として著作権は受諾者側にある
3.著作権の発生17,51
著作者人格権および著作権の享有はいかなる方式の履行も必要としない
著作権の存続期間は創作時に始まる
4.国際条約
ベルヌ条約(無方式主義)
自動的に著作物に著作権が発生するとみなす原則
万国著作権条約(方式主義)


特許法
ソフトウエアのノウハウは特記で保護されることがある
特許法で規定される
特許法は発明の保護及び利用図ることにより発明を奨励しもく産業の発達に寄与すること目的としている


1.発明とは2
自然法則を利用した技術的思想の創作のうち高度のもの

2.特許成立の要件
産業上利用することが29-1
新規性がある29-1
進歩性がある29-2

3.出願
最先に出した出願のみ認められる29-2


4.ソフトウェアの特許
ビジネスモデル特許としてソフトウェア特許も認められるようになった


5.職務発明とは35
発明するに至った行為が現在過去の職務に属する発明
相当の対価を受ける権利を有する

不正競争防止法
1営業秘密の要件2-6
非公知性
秘密管理性
有用性
2不正取得行為2-1
不正な手段目的で取得すること
3ドメイン名の保護
不正な利益を得る目的で他人の商標と同等または類似のドメイン名を取得する行為を防止する