システム監査:関連法規の要点(最終更新:2015/12/06 16:33:44 JST)
この章の内容
システム監査基準は,1985年に初版が公表され,1996年に改訂された後,2004年10月に全面改訂された.改訂のポイントは次のとおり.
教科書337~338ページにシステム監査基準,システム管理基準のそれぞれについて,新基準と旧基準の対応表が示されている.特に新基準で追加された内容について把握しておく必要がある.
新システム監査基準では,情報セキュリティに関しては,情報セキュリティ監査基準を活用することになっている.両者の違いは次のようである.
関連資料
- システム監査と情報セキュリティ監査の関係(JIPDEC)
2004年の改訂で,システム監査基準とシステム管理基準が分割された.両者の違いはおさらいになるが,つぎのとおり.
教科書339ページ図6.2に,旧システム監査基準と新システム監査基準,新システム管理基準との対応が図示されている.
システム監査基準は,次の各項目から構成される.
また,システム管理基準は次の各項目から構成される.既に2章で解説しているので,ここでは大項目の提示に留める.
システム監査基準,システム管理基準は次のサイトから入手可能である.
- 新「システム監査基準」、「システム管理基準」の公表について(経済産業省)
- システム管理基準[PDF]
- システム監査基準[PDF]
情報セキュリティの重要性の高まりに対応する形で,従来はシステム監査の一部として実施されていた情報セキュリティ監査を2003年に明示的に分離する形で示した.既に概略は2章で解説している.
なお経済産業省は情報セキュリティ監査を実施する際に準拠すべき基準として,情報セキュリティ監査基準と情報セキュリティ管理基準,またそれらに対応した4つのガイドライン(2009年に追加されている)と2つのモデルを公表している.
基準 | 情報セキュリティ監査基準 | 情報セキュリティ管理基準 |
---|---|---|
ガイドライン | 情報セキュリティ監査基準実施基準ガイドライン 情報セキュリティ監査基準実施報告ガイドライン |
個別管理基準(監査項目)策定ガイドライン 情報セキュリティ監査手続ガイドライン |
モデル | 電子政府情報セキュリティ監査基準モデル | 電子政府情報セキュリティ管理基準モデル |
その他の情報セキュリティに関する基準としては次のようなものが経済産業省から公表されている.
経済産業省から公表されている基準やガイドライン,モデルは次のサイトから入手可能である.
また経済産業省以外の基準やガイドラインには次のようなものがある.
詳細な情報は次のサイトを参照のこと.
コンピュータ関連の犯罪は刑法で規定を設けている.主なものには次のようなものがある.
通称,不正アクセス禁止法と呼ばれる.以下のサイトから参照できる.
- 不正アクセス行為の禁止等に関する法律(IPA)
J-SOX法は元々米国のサーベンス・オクスリー法の成立を受けて,日本にも内部統制の評価を義務付ける法制が導入されたものである.ただし,米国のように法律ではなく,金融商品取引法の第24条の4の4を指している.
金融商品取引法 第24条の4の4(抜粋)
(財務計算に関する書類その他の情報の適正性を確保するための体制の評価)
第二十四条の四の四 第二十四条第一項の規定による有価証券報告書を提出しなければならない会社(第二十三条の三第四項の規定により当該有価証券報告書を提出した会社を含む。次項において同じ。)のうち、第二十四条第一項第一号に掲げる有価証券の発行者である会社その他の政令で定めるものは、内閣府令で定めるところにより、事業年度ごとに、当該会社の属する企業集団及び当該会社に係る財務計算に関する書類その他の情報の適正性を確保するために必要なものとして内閣府令で定める体制について、内閣府令で定めるところにより評価した報告書(以下「内部統制報告書」という。)を有価証券報告書(同条第八項の規定により同項に規定する有価証券報告書等に代えて外国会社報告書を提出する場合にあつては、当該外国会社報告書)と併せて内閣総理大臣に提出しなければならない。
なお金融商品取引法の内部統制に関する規定は次の2つである.
その他の実施上のガイドラインは企業会計審議会から公表されている.
OECDで1980年に採択された,個人法保護に関して官民両組織に適用される最小限の基準である.詳細は次のサイトを参照されたい.
- 個人情報の保護に関する法律(首相官邸)
プライバシーマークの概要は次のとおり.
プライバシーマーク制度のサイトの制度の概要より抜粋
プライバシーマーク制度は、日本工業規格「JIS Q 15001個人情報保護マネジメントシステム―要求事項」に適合して、個人情報について適切な保護措置を講ずる体制を整備している事業者等を認定して、その旨を示すプライバシーマークを付与し、事業活動に関してプライバシーマークの使用を認める制度です。
プログラムやデータベースは著作権で保護されており,著作権法の規定に従う必要がある.
著作権法の目的
(目的)
第一条 この法律は、著作物並びに実演、レコード、放送及び有線放送に関し著作者の権利及びこれに隣接する権利を定め、これらの文化的所産の公正な利用に留意しつつ、著作者等の権利の保護を図り、もつて文化の発展に寄与することを目的とする。
ソフトウェアのノウハウは特許権で保護されることがある.特許は特許法で規定される.
特許権法の目的
(目的)
第一条 この法律は、発明の保護及び利用を図ることにより、発明を奨励し、もつて産業の発達に寄与することを目的とする。
営業秘密は不正競争防止法で保護される.
不正競争防止法の目的
(目的)
第一条 この法律は、事業者間の公正な競争及びこれに関する国際約束の的確な実施を確保するため、不正競争の防止及び不正競争に係る損害賠償に関する措置等を講じ、もって国民経済の健全な発展に寄与することを目的とする。
労働関連の放棄には次のようなものがある.
その他で関連する法律として次のようなものがある.
このサイトに関するお問い合わせは,連絡先のページをご覧ください.