システム監査：システム監査とは（最終更新：2015/12/06 16:33:44 JST）

システム監査とは（その3）

システム監査において，システム監査基準とともに重要な意味を持つ，システム管理基準と情報セキュリティ監査基準についても触れておきたい．

システム管理基準

システム管理基準の位置づけ

システム管理基準とシステム監査基準の特徴を対比することで整理しておく．

システム管理基準

組織体が主体的に経営戦略に沿って効果的な情報システム戦略を立案し，その戦略に基づき情報システムの企画・開発・運用・保守というライフサイクルの中で，効果的な情報システム投資のための，またリスクを低減するためのコントロールを適切に整備・運用するための実践規範．システム監査基準に従って監査を行う場合，原則として，監査人が監査上の判断の尺度として用いるべき基準

システム監査基準

システム監査業務の品質を確保し，有効かつ効率的に監査を実施することを目的とした監査人の行為規範

システム監査基準，システム管理基準は次のサイトから入手可能である．

• 新「システム監査基準」、「システム管理基準」の公表について（経済産業省）
• システム管理基準[PDF]
• システム監査基準[PDF]

[*]下へ▼ ▲[#]上へ

システム管理基準の構成

システム管理基準は全部で287項目から構成されている．ここでは大きな分類を示す．詳細な分類は経済産業省から公開されているPDF資料を参照されたい．

1. 情報戦略(47)
   1. 全体最適化(18)
      1. 全体最適化の方針・目標(6)
      2. 全体最適化計画の承認(3)
      3. 全体最適化計画の策定(7)
      4. 全体最適化計画の運用(2)
   2. 組織体制(9)
      1. 情報システム化委員会(5)
      2. 情報システム部門(2)
      3. 人的資源管理の方針(2)
   3. 情報化投資(6)
   4. 情報資産管理の方針(4)
   5. 事業継続計画(5)
   6. コンプライアンス(5)
2. 企画業務(23)
   1. 開発計画(9)
   2. 分析(8)
   3. 調達(6)
3. 開発業務(49)
   1. 開発手順(4)
   2. システム設計(15)
   3. プログラム設計(5)
   4. プログラミング(4)
   5. システムテスト・ユーザ受入れテスト(13)
   6. 移行(8)
4. 運用業務(73)
   1. 運用管理ルール(4)
   2. 運用管理(16)
   3. 入力管理(5)
   4. データ管理(10)
   5. 出力管理(7)
   6. ソフトウェア管理(9)
   7. ハードウェア管理(6)
   8. ネットワーク管理(6)
   9. 構成管理(4)
   10. 建物・関連設備管理(6)
5. 保守業務(19)
   1. 保守手順(3)
   2. 保守計画(3)
   3. 保守の実施(3)
   4. 保守の確認(5)
   5. 移行(3)
   6. 情報システムの廃棄(2)
6. 共通業務(76)
   1. ドキュメント管理(9)
      1. 作成(5)
      2. 管理(4)
   2. 進捗管理(6)
      1. 実施(3)
      2. 評価(3)
   3. 品質管理(4)
      1. 計画(2)
      2. 実施(2)
   4. 人的資源管理(13)
      1. 責任・権限(3)
      2. 業務遂行(4)
      3. 教育・訓練(4)
      4. 健康管理(2)
   5. 委託・受託(25)
      1. 計画(3)
      2. 委託先選定(3)
      3. 契約(8)
      4. 委託業務(7)
      5. 受託業務(4)
   6. 変更管理(6)
      1. 管理(3)
      2. 実施(3)
   7. 災害対策(13)
      1. リスク分析(3)
      2. 災害時対応計画(6)
      3. バックアップ(2)
      4. 代替処理・復旧(2)

[*]下へ▼ ▲[#]上へ

情報セキュリティ監査基準

システム監査と関連のある情報セキュリティ監査に関連する諸基準にも触れておきたい（情報処理技術者試験のシステム監査にたびたび出題されているので）．

情報セキュリティ監査の位置づけ

情報セキュリティ監査基準には以下のような記載がある．

情報セキュリティ監査の目的は、情報セキュリティに係るリスクのマネジメントが効果的に実施されるように、リスクアセスメントに基づく適切なコントロールの整備、運用状況を、情報セキュリティ監査人が独立かつ専門的な立場から検証又は評価して、もって保証を与えあるいは助言を行うこと（「情報セキュリティ監査の目的」より抜粋）

• 情報セキュリティ監査基準（経済産業省）[PDF]

情報セキュリティ監査基準の意義は以下のようである．

情報セキュリティ監査基準とは，情報セキュリティ監査業務の品質を確保し，有効かつ効率的に監査を実施することを目的とした監査人の行為規範である．以下の3つの基準から構成．

• 一般基準：監査人としての適格性及び監査業務上の遵守事項を規定
• 実施基準：監査計画の立案及び監査手続の適用方法を中心に監査実施上の枠組みを規定
• 報告基準：監査報告に係る留意事項と監査報告書の記載方式を規定

情報セキュリティ管理基準の意義，位置づけは以下のようである．

情報セキュリティ管理基準は組織体が効果的な情報セキュリティマネジメント体制を構築し，適切なコントロール（管理策）を整備・運用するための実践的な規範である．また組織体の業種及び規模等を問わず汎用的に適用できるように，情報資産を保護するための最適な実践慣行を帰納要約し，情報セキュリティに関するコントロールの目的，コントロールの項目を規定している．

情報セキュリティ監査基準（平成15年経済産業省告示第114号）に従って監査を行う場合，原則として，監査人が監査上の判断の尺度として用いるべき基準となる．また，本管理基準は，日本におけるISMS認証制度である「ISMS適合性評価制度」において用いられる適合性評価の尺度と整合するように配慮されている

• 情報セキュリティ管理基準（経済産業省）[PDF}

情報セキュリティ監査に関連する諸基準は以下のサイトから入手可能である．

• 情報セキュリティ監査制度（経済産業省）
• 情報セキュリティ監査基準（経済産業省）[PDF]
• 情報セキュリティ管理基準（経済産業省）[PDF]

[*]下へ▼ ▲[#]上へ