ドクターQがお届けするIT統制ブログ　ITサプリ

経済産業省からリリースされた「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)」(※以下、追補版)は、内部統制に対応したシステム強化を検討する上で役に立つ資料です。

当ブログでは、追補版の付録として巻末に掲載され、システム強化ポイントの例示も豊富な「付録2．システム管理基準の統制目標」に注目して連載を行なっています。(「付録2.システム管理基準の統制目標」は追補版PDFの99ページに掲載されています)

今回は、先週の運用業務／ハードウェア管理に関する管理項目とその趣意の続きを解説したいと思います。では早速、趣旨から、システム強化ポイントを具体的に解説しましょう。

ハードウェア管理では、6つのポイントが取り上げられていますが、今週は(3)(5)(6)に注目したいと思います。なお(1)と(2)の解説は先週の記事を参照してください。

全体最適化計画の策定に関する管理項目と趣旨、
および想定されるシステム強化ポイント
■運用業務／ハードウェア管理■

(3)ハードウェアは、定期的に保守を行うこと。

↓↓↓↓↓↓↓↓

◎趣旨(目的)
ハードウェア障害による情報システムの停止及び機能低下を未然に防止するため、定期的に保守を実施する必要がある。

↓↓↓↓↓↓↓↓

◎システム強化ポイント
特に通常業務で活用されているファイルサーバ、アプリケーションサーバ、システムサーバ、そしてクライアントPCに関しては、ハードウェアのメンテナンス時期を統括管理することが重要です。従来のように、壊れたから修理するという姿勢ではなく、保守の周期を一定化してリスクを低減すべきです。また、一連の管理をITによって行うことが基本となります。

(5)ハードウェアの利用状況を記録し、定期的に分析すること。

↓↓↓↓↓↓↓↓

◎趣旨(目的)
ハードウェアの有効利用を図り、不正利用を防止するため、利用状況を記録し、定期的に分析する必要がある。 

↓↓↓↓↓↓↓↓

◎システム強化ポイント
今後は従来以上に、クライアントPCから収集するインベントリ情報項目を強化する必要があります。利用可能メモリや、ローカルドライブ毎の総容量、ローカルドライブ毎の空き容量などの詳細情報を収集し、自動的に定期レポート化できる体制が要求されます。

(6)ハードウェアの保管、移設及び廃棄は、不正防止及び機密保護の対策を講じること。

↓↓↓↓↓↓↓↓

◎趣旨(目的)
ハードウェアの盗難、紛失等による権限者以外のハードウェア利用の防止、及びデータ等の情報資産保護のため、ハードウェアの保管、移設及び廃棄は、不正防止及び機密保護の対策を講ずる必要がある｡

↓↓↓↓↓↓↓↓

◎システム強化ポイント
利用者変更のPCや廃棄PCに対して、ハードディスクを完全消去できる環境構築が必要です。HDD消去証跡を文書化(データ化)して残すことも重要となります。最終設置場所、最終PC使用者、HDD消去実行日、HDD消去責任者などを文書化(データ化)して管理する必要があります。

いかがでしょうか。今後のシステム強化ポイントがクリアになったでしょうか。
次回は引き続き、運用業務／ハードウェア管理に関する管理項目の(3)、(5)、(6)について説明します。

なお、現在クオリティでは、今回ご紹介した「システム管理基準の管理項目と統制目標の対応」をベースに「内部統制チェックテスト2」を公開しています。質問に答えることで、御社のIT統制の到達度をチェックできます。ぜひトライしてください。