◎組織体制の監査
・組織体制
・セキュリティ対策
・職務権限
・職務の分離
職務をある組織または然るべき職位の要員に割当てる。
1つの職務を2つの組織が行ったり、
1人の担当者が2つ以上の職務を兼ねることのないよう
コントロールする。相互牽制を実現する。
◎要員管理の監査
・要員管理
・作業環境
・職務権限規定
・要員配置
・作業分担
・健康管理体制
・外部要因管理
◎情報化投資の監査
・情報化投資
・投資効率
・定量的効果
・開発費用
・運用費用
| 目次に戻る |
◎システム企画業務の監査 ・システムライフサイクル ・システム企画業務 ・承認ルール ・システム化計画 ・開発計画(書) ・ユーザニーズ ・ユーザ参画 ・現状分析 ・開発検討 ・中長期計画書 ◎システム開発業務の監査 ・システム開発業務 ・(システム)開発マニュアル ・システム設計(書) ・トラブル対策 ・セキュリティ対策 ・定期保守 ・インテグリティ ・プログラム設計 ・標準化 ・ドキュメント ・プログラミング ・プログラム仕様 ・テスト計画 ・テスト環境 ・システムテスト ・システム分析 ・システム移行 ・システム変更 ◎システム運用業務の監査 ・システム運用業務 ・オペレーション ・リカバリ(処理) ・バックアップ(体制) ・ファシリティ(管理) ・外部委託 ◎システム保守業務の監査 ・システム保守業務 ・保守体制 ・保守手続き
| 目次に戻る |
◎アプリケーションシステムの監査 ・データ入力、処理、出力、ファイルコントロール ・データのインテグリティ ・網羅性 ・正確性 ・妥当性 ・整合性 ・アプリケーションコントロール ・コントロールマトリックス ・コントロール環境 ◎販売情報システムの監査 ・販売情報システム ◎購買情報システムの監査 ・購買情報システム ◎生産情報システムの監査 ・生産情報システム ◎会計情報システムの監査 ・会計情報システム ◎人事情報システムの監査 ・人事情報システム
| 目次に戻る |
◎セキュリティシステムの監査 ・物理的セキュリティ ・入退室管理 ・アクセスコントロール ・リスク分析 ・セキュリティ対策 ・障害対策 ・インテグリティ ・可用性 ・機密性 ◎ネットワークシステムの監査 ・ネットワーク ・外部接続 ・ファシリティ ・ネットワークシステム ◎データベースシステムの監査 ・データベース管理者 ・データベース(構造) ・データベースマネジメントシステム ・データ管理 ・リカバリ ・バックアップ ・データベースのコントロール ◎エンドユーザコンピューティングの監査 ・エンドユーザーコンピューティング ◎アウトソーシングの監査 ・アウトソーシング ◎ソフトウェアパッケージ適用の監査 ・ソフトウェアパッケージ ◎ドキュメントの監査 ・ドキュメント
本基準は、設置基準、技術基準及び運用基準から構成されており、
その内容は以下のとおりである
(1)設置基準(100項目)
情報システム、関連設備、防災設備及び防犯設備を火災、地震等の
自然災害、構成要素の障害、不法侵入者による破壊行為等の危険から
物理的に保護するための設備及び機器の設置環境面の対策
(2)技術基準(26項目)
情報システムの具備すべき機能を、円滑かつ安全に発揮するための
ハードウェア及びソフトウェアによる技術面の対策
(3)運用基準(66項目)
設置基準、技術基準で示すそれぞれの対策の適切な適用を図り、
情報システム等の安全性及び信頼性の確保を図るための運用面の対策
本基準は、システムユーザ基準、システム管理者基準、ソフトウェア供給者基準、
ネットワーク事業者基準及びシステムサービス事業者基準から成り、
その構成及び内容は、以下のとおりである。
1.システムユーザ基準(18項目)
システムを利用する者(以下「システムユーザ」とする。)のための
対策をまとめたもの。
(1)ソフトウェア管理(2項目)
システムユーザが導入するソフトウェアに対する対策についてまとめたもの。
(2)運用管理(12項目)
システムユーザがシステムを利用する上での対策についてまとめたもの。
(3)事後対応(3項目)
システムユーザがウイルスを発見した場合の対策についてまとめたもの。
(4)監査(1項目)
ウイルス対策が適切に実施されていることを監査する項目について
まとめたもの。
2.システム管理者基準(31項目)
システムを導入、維持及び管理する者(以下「システム管理者」とする。)
のための対策についてまとめたもの。
(1)コンピュータ管理(8項目)
システム管理者がハードウェア及びソフトウェアを
導入及び更新する場合の対策についてまとめたもの。
(2)ネットワーク管理(5項目)
システム管理者がネットワークを導入及び更新する上での
対策についてまとめたもの。
(3)運用管理(9項目)
システム管理者がシステムを維持及び管理する上での
対策についてまとめたもの。
(4)事後対応(6項目)
システム管理者がウイルスを発見した場合及びシステムユーザから
発見の連絡を受けた場合の対策についてまとめたもの。
(5)教育・啓蒙(2項目)
システム管理者及びシステムユーザに対して行うウイルス対策の
教育・啓蒙についてまとめ たもの。
(6)監査(1項目)
ウイルス対策が適切に実施されていることを監査する項目について
まとめたもの。
3.ソフトウェア供給者基準(21項目) ソフトェアの開発並びに
ソフトウェア製品の開発、製造及び出荷を行う者(以下「ソフトウェア
供給者」とする。)のための対策をまとめたもの。
(1)開発管理(9項目)
ソフトウェア及びソフトウェア製品の開発並びに開発環境の導入、
更新及び管理に関する対 策についてまとめたもの。
(2)製品管理(3項目)
ソフトウェア製品の製造及び出荷をする場合の対策について
まとめたもの。
(3)事後対応(7項目)
ソフトウェア供給者がウイルスを発見した場合及び製品の
ユーザから発見の連絡を受けた場合の対策についてまとめたもの。
(4)教育・啓蒙(1項目)
ソフトウェア供給者に対して行うウイルス対策の教育・啓蒙について
まとめたもの。
(5)監査(1項目)
ウイルス対策が適切に実施されていることを監査する項目について
まとめたもの。
4.ネットワーク事業者基準(15項目)
パソコン通信等のネットワークを介して情報を提供する事業者
(以下「ネットワーク事業者」とする。)のための対策をまとめたもの。
(1)システム管理(2項目)
ネットワーク事業に用いるシステムを導入及び更新する上での
対策についてまとめたもの。
(2)運用管理(4項目)
ネットワーク事業に用いるシステムを維持及び管理する上での
対策についてまとめたもの。
(3)事後対応(6項目)
ネットワーク事業者がウイルスを発見した場合及びネットワークの
ユーザから発見の連絡を 受けた場合の対策についてまとめたもの。
(4)教育・啓蒙(2項目)
ネットワーク事業者及びネットワークのユーザに対して行う
ウイルス対策の教育・啓蒙につ いてまとめたもの。
(5)監査(1項目)
ウイルス対策が適切に実施されていることを監査する項目について
まとめたもの。
5.システムサービス事業者基準(19項目)
システムの管理、保守、レンタル等のサービスを行う事業者
(以下「システムサービス事業者」とする。)のための
対策をまとめたもの。
(1)システム管理(5項目)
サービスに用いるシステムを導入及び更新する上での対策について
まとめたもの。
(2)運用管理(6項目)
サービスに用いるシステムを維持及び管理する上での対策について
まとめたもの。
(3)事後対応(6項目)
システムサービス事業者がウイルスを発見した場合及びサービスを
受けているユーザから発見の連絡を受けた場合の対策について
まとめたもの。
(4)教育・啓蒙(1項目)
システムサービス事業者に対して行うウイルス対策の
教育・啓蒙についてまとめたもの。
(5)監査(1項目)
ウイルス対策が適切に実施されていることを監査する項目について
まとめたもの。
本ガイドラインは、法人等が実施すべき基本的事項、
ソフトウェア管理責任者が実施すべき事項、ソフトウェアユーザが実施すべき
事項から成り、その構成及び内容は以下のとおりである。
(1)法人等が実施すべき基本的事項
法人等が、自己の組織内においてソフトウェアの違法複製等が
行われることを防止するために行うべき最も基本的な事項について
まとめたもの。
(2)ソフトウェア管理責任者が実施すべき事項
法人等におけるソフトウェアの使用等について責任を負う者(以下
「ソフトウェア管理責任者」という。)が行うべき事項について
まとめたもの。
(3)ソフトウェアユーザが実施すべき事項
法人等の事業所においてソフトウェアを使用する法人等の
構成員(以下「ソフトウェアユーザ」という。)が行うべき
事項についてまとめたもの。
| 目次に戻る |