ドクターQがお届けするIT統制ブログ　ITサプリ

内部統制システムの「本番稼動」まで、すでに11ヶ月あまり。本番前のテスト稼動期間に非常に役立つのが、本シリーズで取り上げている経済産業省からリリースされた「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)」(※以下、追補版)です。

今回も引き続き、追補版の付録として巻末に掲載され、システム強化ポイントの例示も豊富な「付録2．システム管理基準の統制目標」に注目したいと思います。(追補版のPDFでは、P99からはじまります)。

シリーズ5回目は、運用業務／データ管理に関する管理項目、全10項目のうち、(1)、(2)、(4)、(7)、(9)、(10)の5項目が対象になります。その中から今回は(1)と(2)に関するシステム強化ポイントを具体的に解説していきます。

(1)データ管理ルールを定め、遵守すること。

◎趣旨(目的)
データの誤処理防止、機密保護及び個人情報保護のため、開発、運用及び保守業務に応じたデータの取扱い、管理の体制等をルールとして明文化し、遵守する必要がある。

◎システム強化ポイント
管理体制の明文化は、単にルールを文章化するだけでは不十分です。企業はITによって、社内また社外との業務上でやりとりされる機密性の高いデータに対して、アクセス制御を行える業務環境を整備し、その機能を活用してのデータを管理していくことをルールに盛り込み、明文化することが重要です。同機能を活用し、開発中の新製品情報、設計データ、最新の顧客情報など、ファイル単体でアクセス制御を行い、ファイル受信者の操作権限を設定し、改竄や不正活用を防止することが要求されます。

(2)データへのアクセスコントロール及びモニタリングは、有効に機能すること。

◎趣旨(目的)
データへの不正アクセスの防止、不正利用の防止、機密保護及び個人情報保護のため、アクセスコントロール及びモニタリングが有効に機能していることを確認する必要がある。

◎システム強化ポイント
社内また社外の取引先との間でやりとりされる機密性の高いデータに関しては、アクセス制御だけでなくモニタリング機能を付加することも重要となります。

つまり

◎誰が　◎いつ　◎どのファイルを　◎どう操作したのか　その操作記録を全て取得できるシステム環境を整備する必要があります。

いかがでしょうか、今後のシステム強化ポイントがクリアになったでしょうか。クオリティでは、これらシステム強化に即活用できるツールをご用意しています。ぜひテクノロジーサイトでご確認ください。

Dr.QがITサプリをお届けしました。

次回も引き続き「システム管理基準の管理項目と統制目標の対応」を解説します。

なお、現在クオリティでは、今回ご紹介した「システム管理基準の管理項目と統制目標の対応」をベースに「内部統制チェックテスト2」を公開しています。質問に答えることで、御社のIT 統制の到達度をチェックできます。ぜひトライしてください。