■SOX法時代のセキュリティ体制へ■
徹底解説!! 財務報告に係わるIT統制ガイダンス
その26
経済産業省からリリースされた「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)」(※以下、追補版)は、内部統制に対応したシステム強化を検討する上で役に立つ資料です。
当ブログでは、この追補版の付録として巻末に掲載され、システム強化ポイントの例示も豊富な「付録2.システム管理基準の統制目標」に注目して連載を行なっています。(「付録2.システム管理基準の統制目標」は追補版PDFの99ページに掲載されています)
前回に引き続いて共通業務/委託・受託の章で取り上げられている「契約(委託先契約)」に関する管理項目と、その趣意、つまり目的に着目したいと思います。
および想定されるシステム強化ポイント
■委託・受託/契約(委託先契約)■
共通業務/委託・受託は、全部で8つのポイントがあります。その中でも情報システム部門に関係するのは(1)(2)(8)の3つです。前回解説した(1)に続いて、今回は(2)と(8)をご紹介します。
(2)コンプライアンスに関する条項を明確にすること。
◎趣旨(目的)
情報の不正利用、漏えい、プライバシーの侵害等を防止するため、契約時に不正防止、機密保護等の対策を明確にする必要がある。
◎今後の強化ポイント
多くの契約書が「適切な措置を講ずる」や「必要な措置を採る」といったあいまいな表現が使われています。しかし、今後は情報セキュリティレベルの維持管理に関する具体的な方策と、また客観的な立証を要求する必要があります。例えば、委託先は業務上どのようなツールとシステムを活用して個人情報の社外へのデータ持ち出しを制御するのか。またWinnyがインストールされた私物PCが委託先の業務ネットワークに接続された場合、どのようなツールとシステムを活用して接続を拒否するのか。今後は契約書の中で、委託先の管理体制を明記して法令遵守を徹底させる必要があります。
(8)システム監査に関する方針を明確にすること。
◎趣旨(目的)
委託先の委託業務内容の信頼性、安全性、効率性の確保を担保するために、委託契約にシステム監査に関する方針を明確にする必要がある。
◎今後の強化ポイント
従来の契約書において「監査」に関する表記は、いわば形式的なものでした。しかし、潜在するリスクを可視化するためにも、今後は定期的な監査が必須となります。ここで有効活用できるのが、セキュリティ監査レポートの定期的な提出です。個人情報の管理状況に関する数値レポート、Winnyなどの起動状況に関する数値レポートなど、客観性の高いセキュリティ監査レポートを委託先から定期的に提出させることが重要になります。
いかがでしょうか、今後の委託先管理の強化ポイントをご理解いただけたでしょうか。クオリティのツールを有効活用すれば、委託元と委託先のIT環境を同等のセキュリティレベルに維持することも可能です。ぜひテクノロジーサイトでご確認ください。Dr.QがITサプリをお届けしました。次回も引き続き「システム管理基準の管理項目と統制目標の対応」を解説します。
なお、現在クオリティでは、今回ご紹介した「システム管理基準の管理項目と統制目標の対応」をベースに「内部統制チェックテスト2」を公開しています。質問に答えることで、御社のIT 統制の到達度をチェックできます。ぜひトライしてください。
8月 22, 2007 徹底解説!! 財務報告に係わるIT統制ガイダンス | Permalink
トラックバック
この記事のトラックバックURL:
http://app.cocolog-nifty.com/t/trackback/173353/16200139
この記事へのトラックバック一覧です: ■SOX法時代のセキュリティ体制へ■
徹底解説!! 財務報告に係わるIT統制ガイダンス
その26:
