ドクターQがお届けするIT統制ブログ　ITサプリ

内部統制システムの「本番稼動」まで、すでに11ヶ月あまり。本番前のテスト稼動期間に非常に役立つのが、本シリーズで取り上げている経済産業省からリリースされた「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)」(※以下、追補版)です。

今回も引き続き、追補版の付録として巻末に掲載され、システム強化ポイントの例示も豊富な「付録2．システム管理基準の統制目標」に注目したいと思います。(追補版のPDFでは、P99からはじまります)。

シリーズ5回目は、運用業務／データ管理に関する管理項目、全10項目のうち、(1)、(2)、(4)、(7)、(9)、(10)の5項目が対象になります。その中から今回は(4)と(7)と(9)に関するシステム強化ポイントを具体的に解説していきます。

全体最適化計画の策定に関する管理項目と趣旨、
および想定されるシステム強化ポイント
■運用業務／データ管理■

(4)データの利用状況を記録し、定期的に分析すること。

↓↓↓↓↓↓↓↓

◎趣旨(目的)
データの利用を予想し、不正利用を防止するため、データの利用状況を記録し、定期的に分析する必要がある。

↓↓↓↓↓↓↓↓

◎システム強化ポイント
機密扱いのデータの中でも、特に個人情報関連データの利用状況を、定期的にレポート化できる機能は必須となります。
各クライアントPC内における、個人情報関連データの保存場所が適正がどうかを、随時チェックできる体制が必要です。
同時に機密データの不正流出を防止するために、社内のクライアントPC内に対して、P2Pソフトやフリーウェアなどのインストール状況を監査できる体制を整備することも極めて重要になるでしょう。

(7)データの交換は、不正防止及び機密保護の対策を講じること。

↓↓↓↓↓↓↓↓

◎趣旨(目的)
不正利用の防止、機密情報の漏えい及び個人情報保護のため、データの交換は、不正防止及び機密保護の対策を講ずる必要がある。

↓↓↓↓↓↓↓↓

◎システム強化ポイント
機密データを、PDFなどへ暗号化して配信することが必須となります。さらに受信者別に操作権限を設定した認証キー付きで配信することができれば、不正防止を徹底できます。

(9)データに対するコンピュータウイルス対策を講じること。

↓↓↓↓↓↓↓↓

◎趣旨(目的)
データをコンピュータウイルスから保護するため、コンピュータウイルス対策を講ずる必要がある。

↓↓↓↓↓↓↓↓

◎システム強化ポイント
重要なのは、社内の全てのクライアントPCに対する監査体制を強化することです。OSのセキュリティパッチの更新漏れがないか、
また、ウイルス対策ソフトの定義ファイルの更新漏れがないか、それらをチェックできる体制が必要です。
また、重要な更新漏れがあった場合、クライアントPCのインターネット接続を強制的に遮断できる機能も整備すべきでしょう。

いかがでしょうか、今後のシステム強化ポイントがクリアになったでしょうか。クオリティでは、これらシステム強化に即活用できるツールをご用意しています。ぜひテクノロジーサイトでご確認ください。

Dr.QがITサプリをお届けしました。

次回も引き続き「システム管理基準の管理項目と統制目標の対応」を解説します。

なお、クオリティでは、ITリスクに対する対応策をFlashムービーにてご紹介する「ITリスク対策室」を開設いたしました。内部統制・コンプライアンス・セキュリティ・情報管理という4つのカテゴリと、22のテーマをご用意しました。気になるITリスクにピッタリの対応策がきっと見つかります！

さらに今回ご紹介した「システム管理基準の管理項目と統制目標の対応」をベースに「内部統制チェックテスト2」を公開しています。質問に答えることで、御社のIT 統制の到達度をチェックできます。ぜひトライしてください。