■SOX法時代のセキュリティ体制へ■
徹底解説!! 財務報告に係わるIT統制ガイダンス
その17
いまだ途絶えるこのない、Winnyによる機密情報漏洩。
先日、今度は某教育機関で生徒の個人情報が、教師のパソコン内のWinnyを通じて不正流出してしまいました。
経済産業省からリリースされたシステム管理基準 追補版(財務報告に係るIT統制ガイダンス)」(※以下、追補版)は、情報漏洩等のリスク対策を検討する上でも、非常に有効的な指針になります。
今回も引き続き、追補版の付録として巻末に掲載され、システム強化ポイントの例示も豊富な「付録2.システム管理基準の統制目標」に注目したいと思います。(追補版のPDFでは、P99からはじまります)
今回は、運用業務/ハードウェア管理に関する管理項目と、その趣意、つまり目的に着目したいと思います。趣旨から、システム強化ポイントを具体的に解説しましょう。
および想定されるシステム強化ポイント
■運用業務/ハードウェア管理■
ハードウェア管理では、6つのポイントが取り上げられていますが、このうち統制趣旨が明確でシステムの強化ポイントが分かりやすい、(1)(2)(3)(5)(6)に注目したいと思います。
(1)ハードウェア管理ルールを定め、遵守すること。
◎趣旨(目的)
ハードウェアの適切な利用を図り、障害を防止し、自然災害、不正行為等から保護するため、ハードウェア管理ルールを定め、遵守する必要がある。
↓↓↓↓↓↓↓↓
◎システム強化ポイント
管理ルールの策定には、第一に社内のハードウェアを網羅した全社的なIT監査体制を強化することが重要です。ここで言うハードウェアとは、単にPCのハードウェアだけでなく、各サーバのハードウェア、プリンタ、ルータ、スイッチなど全てを網羅した監査体制を整備する必要があります。特にクライアントPCのハードウェア関連情報を収集し、セキュリティポリシ違反の私物PCの基幹ネットワークへのアクセスを徹底的に排除できる監査体制確立などが、まず第一に必要となります。
(2)ハードウェアは、想定されるリスクに対応できる環境に設置すること。
◎趣旨(目的)
障害、自然災害、不正行為等が情報システムに及ぼす影響を最少にするため、ハードウェアは想定されるリスクに対応できる環境に設置する必要がある。
◎システム強化ポイント
ITによる監査体制に「例外」を残してはいけないことを意味しています。一般社員から管理職、役員、全ての人員が利用する全てのハードウェアを監査対象にする必要があります。また、例外を残さないことで、リスク対策を徹底できる利点があります。
いかがでしょうか。今後のシステム強化ポイントがクリアになったでしょうか。
次回は引き続き、運用業務/ハードウェア管理に関する管理項目の(3)、(5)、(6)について説明します。
なお、現在クオリティでは、今回ご紹介した「システム管理基準の管理項目と統制目標の対応」をベースに「内部統制チェックテスト2」を公開しています。質問に答えることで、御社のIT統制の到達度をチェックできます。ぜひトライしてください。
6月 12, 2007 徹底解説!! 財務報告に係わるIT統制ガイダンス | Permalink
トラックバック
この記事のトラックバックURL:
http://app.cocolog-nifty.com/t/trackback/173353/15406996
この記事へのトラックバック一覧です: ■SOX法時代のセキュリティ体制へ■
徹底解説!! 財務報告に係わるIT統制ガイダンス
その17:
