システム監査技術者6+++
システム監査
6 関連法規の要点
システム監査基準は暗記する位の勢いで読み込もう
6.1システム監査基準、システム管理基準
新システムの完成基準の改定ポイントについて
1IT技術変革への対応
2企業における情報システム位置づけ変化への対応
3社会に対する説明責任の高まり保証型監査の必要性
4情報システム管理の基準と監査人の行動規範の峻別
5情報セキュリティ監査制度との関係
システム監査基準の新旧の違いについてを把握しておく必要がある
目的適合性
独立性
適切な品質管理
適切な監査計画
監査調書の作成と保存
専門職との連携
セキュリティー監査基準の利用等
システム管理基準の新旧比較
情報戦略として
事業継続性やコンプライアンス資産管理方針、全体最適化
組織体制、情報化投資などプロジェクト全般について記述あり
情報システム監査は企画開発運用保守ライフサイクルシステムしたがって全体最適化を目的に行った情報セキュリティ監査は資産ライフサイクルシステムをもとにシステム以外の部分も監査対象となる
新システム監査基準は
システム監査の目的
一般基準
実施基準
報告基準
に別れる
一般基準は
目的権限と責任
独立性客観性
専門能力
業務上の義務
品質管理
に分かれる
実施基準は
階差監査計画の立案
監査の手順
監査の実施
監査業務の体制
専門職の利用
情報セキュリティ監査
に別れる
報告基準は
監査報告書の提出と開始
監査報告の根拠
監査報告書の記載事項
監査報告について責任
監査報告に基づく改善指導
に別れる
システム管理基準は
情報戦略
企画業務
開発義務
運用業務
保守業務
共通業務
に別れる
情報戦略は
全体最適化
組織体制
情報化投資
資産管理の方針
事業継続計画
コンプライアンス
に分かれる
企画業務は
開発計画
分析
調達
にわかれる
開発業務は
開発手順
システム設計
プログラム設計
プログラミング
システムテストユーザー受入テスト
移行
に別れる
運用業務は
運用管理ルール
運用管理
入力管理
データ管理
出力管理
ソフトウェア管理
ハードウェア管理
ネットワーク管理
構成管理
関連施設管理
に別れる
保守業務は
保守手順
保守計画
保守の実施
保守の確認
移行
情報システムの廃棄
に分かれる
共通業務は
ドキュメント管理
進捗管理
品質管理
人的資源管理
委託受託管理
変更管理
災害対策
に別れる
6.2セキュリティー関連基準
・情報セキュリティ監査基準と情報セキュリティ管理基準がある
情報セキュリティ監査基準は
情報セキュリティ監査の目的、
一般基準
実施基準
報告基準
から構成されている
情報セキュリティ管理基準
各組織絵画自らの間に基準等規定する場合の拠り所であり判断基準となる
JISX 5080:2002
・コンピュータウイルス対策基準
システムユーザ基準
システム管理者基準
ソフトウェア供給者基準
ネットワーク事業者基準
システムサービス事業所基準
・コンピュータ不正アクセス対策基準
システムユーザ基準
システム管理者基準
ネットワーク事業者基準
ハードウェアソフトウェア供給者基準
・ソフトウェア管理ガイドライン
法人等が実施すべき基本的事項
ソフトや管理責任者が実施すべき事項
ソフトウェアユーザの実施すべき事項
・セキュリティ関連の基準とガイドライン
ISO 27001(情報セキュリティマネジメントシステム要求事項)
ISO 15408(JISX5070)
6.3セキュリティ関連法規
・刑法
電磁的記録の定義第7条の2
電磁的記録の偽造第161条の2
コンピュータ関連業務妨害第234条の2
コンピューター使用詐欺第246条の2
・不正アクセス行為の禁止等に関する法律
目的第一条
電気通信に関する秩序の維持を図り高度情報化社会の発展に寄与する
不正アクセス行為
他人のIDパスワード奪取しアクセス認証超える行為第3条第二項第一号など
不正アクセス行為を助長する行為第4条
特定のアクセス制御認証情報をその端末業者が人間に漏洩すると30万以下の罰金
6.4J-SOX法(金融商品取引法)とシステム監査
・内部統制報告書
提出義務
事業年度ごとに当該会社の属する企業集団及び当該会社に係る財務計算に関する書類
内部統制報告書の監査
公認会計士また監査法人の監査証明なければならない
・実施のガイドライン
1内部統制の基本的枠組み
2財務報告に係る内部統制の評価及び報告
3財務報告に係る内部統制の監査
詳細は省略
6.5個人情報保護関連法規
・OECDプライバシーガイドライン8原則はある
収集制限の原則
データ内容の原則
目的明確化の原則
利用制限の原則
安全保護の原則
公開の原則
個人参加の原則
責任の原則
・個人情報保護法
基本部分
個人情報の適正な取扱いに関する基本理念と国頭の責務や施策が述べられている
一般法部分
対象情報2
個人情報の15-23
本人関与24-27
苦情37,41
事業所に対する監督46,47
適用除外50
・個人情報保護関連五法
・プライバシーマーク制度
詳細は省略
6.6知的所有権関連法規
・著作権
1.著作権法により保護される主要な権利
1プログラムの保護10
プログラムの複製や改変
制限しているがアリゴリズムは保護対象とならない
2データベースの著作権12-2
データベースでその情報の選択または体系的な構成によって創作性を有するものは著作物として保護する
3著作者人格権18-20
他人に譲渡できない権利
公表権
氏名表示権
同一性保持権がある
4複製権
私的利用はOK
所有者による複製は限定OK
5プログラム改変の特例20
動かないプログラム動くようにする改変
効果的に使うために必要な改変
2.権利の帰属
1職務著作15
法人に著作者の地位を与える
2プログラムに関する職務著作15
法人に自動的に帰属
3請負開発の著作権
原則として著作権は受諾者側にある
3.著作権の発生17,51
著作者人格権および著作権の享有はいかなる方式の履行も必要としない
著作権の存続期間は創作時に始まる
4.国際条約
ベルヌ条約(無方式主義)
自動的に著作物に著作権が発生するとみなす原則
万国著作権条約(方式主義)
・特許法
ソフトウエアのノウハウは特記で保護されることがある
特許法で規定される
特許法は発明の保護及び利用図ることにより発明を奨励しもく産業の発達に寄与すること目的としている
1.発明とは2
自然法則を利用した技術的思想の創作のうち高度のもの
2.特許成立の要件
産業上利用することが29-1
新規性がある29-1
進歩性がある29-2
3.出願
最先に出した出願のみ認められる29-2
4.ソフトウェアの特許
ビジネスモデル特許としてソフトウェア特許も認められるようになった
5.職務発明とは35
発明するに至った行為が現在過去の職務に属する発明
相当の対価を受ける権利を有する
・不正競争防止法
1営業秘密の要件2-6
非公知性
秘密管理性
有用性
2不正取得行為2-1
不正な手段目的で取得すること
3ドメイン名の保護
不正な利益を得る目的で他人の商標と同等または類似のドメイン名を取得する行為を防止する
6.7労働関連法規
・労働基準法
労働時間32
休憩34
休日35
時間外及び休日の労働36
年次有給休暇39
・男女雇用機会均等法
1募集及び採用5
2差別的取り扱い6
3性別以外の事由を要件とする措置7
・労働者派遣法
労働者派遣2-1
一般労働者派遣事業2-4
特定労働者派遣事業2-5
紹介予定派遣2-6
派遣対象4
契約の内容等26
人物特定に繋がる行為の禁止26
派遣元の責任5,16,15,22,30,31,33
派遣元責任者の役割36
派遣先の責任40-42
派遣先責任者の役割41
詳細は省略
6.8その他の法律
・電子帳簿保存法
訂正事実と内容確認できること
保存場所に処理設備を置き記録内容速やかに出力できること
記録を検索ができること
・e文書法
納品書注文書契約書定款株主総会資料等
契約書及び領収書(3万以上)免許証等は認められない
・電子署名及び認証業務に関する法律
1電子署名の定義2
2電磁的記録の真正性3
3認証業務とは2-2
4特定認証業務とは2-3
5特定認証業務の認定4
・特定電子メール送信適正化法
1特定電子メールの定義2
2特定電子メールの送信の制限3
3表示義務4
4その他の禁止事項5,6,11
・特定商取引法
オプトイン規制
電子メール広告の送信を停止する方法表示義務
広告メール送信拒否した消費者への送信禁止
消費者からの請求承諾の記録保存義務
・電子消費者契約法
1電子消費者契約とは2
当該映像画面に表示手続きしたがって申し込みを送信することによって行う
2承諾の意思表示3
重大な過失があるときは取り消しができないは1部適用しない場合がある
3内容の解説
遅延を間違って申し込んでて9取り消すことができるか確認画面で確認した場合取り消すことができない
・下請代金支払遅延等防止法
実家事業者下請け事業者の定義2
支払い期日2-2
書面の交付3
・PL法
製造物責任本
1欠陥とは2
2欠陥の範囲
3 pl法の特徴
4免責事由
5ソフトウェアの扱い
通常のソフトウェアは製造物とみなされない、ハードウェアに組み込まれたソフトは対象となりうる
詳細は省略
