ドクターQがお届けするIT統制ブログ　ITサプリ

日本版SOX法に適用する、より安全性の高いシステム構築に向けての具体的な対策、第14回目です。

さて、今回は日本版SOX法に対応した情報資源バックアップ体制の、ウィークポイントと課題が明確になる質問リストです。より円滑に事業を運営していくには、万一の場合に備えてデータ、システム・ソフトウェア、アプリケーション・プログラムなどに関してバックアップ体制を整備しておくことが不可欠。内部統制を考える上でも重要なポイントです。御社の現状をチェックしてください。実際に監査法人に内部統制のコンサルティングを依頼した際、ほとんどの監査法人が質問してくると想定される質問リストです。

Q1.データの重要性に応じて、回数、タイミング、組数、媒体など最適なバックアップ方法を講じていますか?
（ YES ・ NO ） 

Q2.データ、プログラム、システム、構成管理情報などに関して、バックアップの対象範囲が明確化され、また文書化されていますか?
（ YES ・ NO ） 

Q3.システム関係文書（システム設計書、各種マニュアル、操作手順書、業務マニュアルなど）、業務継続計画書、災害時対応計画書などもバックアップの対象にしていますか?
（ YES ・ NO ） 

Q4.バックアップ媒体のオンサイト保管（自社内での保管）、オフサイト保管の（契約先や委託先などによる外部保管）の区分は適切ですか?
（ YES ・ NO ）

Q5.バックアップ媒体がオンサイト保管されている場合、耐火金庫などで保管されていますか?
（ YES ・ NO ）

Q6.バックアップ媒体がオフサイト保管されている場合、外部の専門保管業者の倉庫での保管、また事業所間の相互保管などが実施されていますか?
（ YES ・ NO ）

Q7.保管されているバックアップ媒体の記録内容、移動・廃棄状況について、台帳が作成されていますか?
（ YES ・ NO ）

Q8.バックアップ媒体からの復旧テストは、定期的に実施されていますか?
（ YES ・ NO ）

Q9.大規模なシステム変更があった場合は、バックアップ媒体からの復旧のテストが通常以上に入念に行われていますか?
（ YES ・ NO ）

Q10.バックアップ媒体からの復旧テスト方法の有効性を定期的に検討し、必要であれば改善できる体制を整備していますか?
（ YES ・ NO ）

いかがでしょうか。NOが一つでもあれば、内部統制評価でNGとなります。逆にすべてをクリアできていれば、新法に適用した内部統制システムが確立されていることを意味します。

2008年4月に向けて、カウントダウンははじまっています。

なお次回の「SOX法時代のセキュリティ体制へ…内部統制チェックテスト」では、
このブログに掲載した5回分の質問をまとめてチェックできる、IT管理者や経営者向けの
内部統制チェックプログラムを公開します。ぜひお試しください。

クオリティではメールマガジン「Q-NEWS」を毎週配信中。今回ご紹介したドキュメント管理に関するツールなど、即役立つ情報を無料で手に入れることができます。ただいまプレゼントが当たる、キャンペーン実施中です。