ドクターQがお届けするIT統制ブログ　ITサプリ

経済産業省からリリースされた「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)」(※以下、追補版)は、内部統制に対応したシステム強化を検討する上で役に立つ資料です。

当ブログでは、追補版の付録として巻末に掲載され、システム強化ポイントの例示も豊富な「付録2．システム管理基準の統制目標」に注目して連載を行なっています。(「付録2.システム管理基準の統制目標」は追補版PDFの99ページに掲載されています)

先週に引き続き、今週も運用業務／構成管理に関する管理項目とその趣意の続きを解説したいと思います。では早速、趣旨から、システム強化ポイントをチェックしていきましょう。

構成管理では、4つのポイントが取り上げられていますが、このうち統制趣旨が明確でシステムの強化ポイントが分かりやすい、(1)(2)(3)の3項目に着目します。今週は(2)(3)についてご紹介しましょう。なお項目(1)の解説は先週の記事を参照してください。

(2)ソフトウェア、ハードウェア及びネットワークの構成、調達先、サポート条件等を明確にすること。

↓↓↓↓↓↓↓↓

◎趣旨(目的)
情報システムの機能維持及び障害時の早期回復を図るため、ソフトウェア、ハードウェア及びネットワークの構成、調達先、サポート条件等を明確にする必要がある。

↓↓↓↓↓↓↓↓

◎システム強化ポイント
サポート条件を明確にすることは、言い換えれば「サポート対象外」のハードウェアやソフトウェアを発生させないことです。例えば、サポート対象外のフリーウェアがインストールされているクライアントPCを発見した場合は、遠隔で起動を制御できる機能を管理システムに持たせることが極めて重要になります。さらに、システム管理者側からの通達に従わないクライアントPCのインターネット接続を、強制的に遮断できる機能を持たせることも必須になるでしょう。

(3)ソフトウェア、ハードウェア及びネットワークの導入並びに変更は、影響を受ける範囲を検討して決定すること。

↓↓↓↓↓↓↓↓

◎趣旨(目的)
情報システムの停止、機能低下等を防止し、安定稼働を図るため、ソフトウェア、ハードウェア及びネットワークの導入及び変更は、影響を受ける範囲を検討して決定する必要がある。

↓↓↓↓↓↓↓↓

◎システム強化ポイント
組織の改編や人事異動などクライアントPCが移動し、ネットワークの構成が変更されるケースに対しても、即対応できる管理体制を構築しておく必要があります。最適なのは、フロアマップなどのグラフィックと連動して、該当インベントリ情報を含むクライアントPCの移動、削除を容易にできる管理システムです。クライアント監査自体を可視化できるため、統制活動にシステム管理部以外の方も参加が可能となるでしょう。経営層の積極参加が実現します。

いかがでしょうか、今後のシステム強化ポイントがクリアになったでしょうか。クオリティでは、これらシステム強化に即活用できるツールをご用意しています。ぜひテクノロジーサイトでご確認ください。Dr.QがITサプリをお届けしました。次回も引き続き「システム管理基準の管理項目と統制目標の対応」を解説します。

なお、現在クオリティでは、今回ご紹介した「システム管理基準の管理項目と統制目標の対応」をベースに「内部統制チェックテスト2」を公開しています。質問に答えることで、御社のIT統制の到達度をチェックできます。ぜひトライしてください。