オーバーフォーティーおやじログ

とある作業はEXCELのボタンを押せばある程度簡単に作業できるところまではやったんだけど作業自体が漏れてしまうということがあって、何とかできないかなぁと思っていました。色々とどんな手があるかと考えていたら。Outlookには予定表なるものがあるじゃないですか。なのでそれを使ってリマインダーしてみようと挑戦。OutlookのVBAがあるらしいですが、Outlookは難しそうなのと引継の時とかにEXCELシートで1年分のアラートをまとめて登録することも視野に入れていたのでEXCEL/VBAで実装してみました。 アラートだけなので会議出席依頼の返信不要オプションを指定して複数人でアラートを共有するようなことで考えています。 とりあえず意図通り動いてくれましたよ。100%コピペです。 そしてエラー実装ゼロ、まぁ落ちても被害はそこまで大きくないので、、、、 しかしシステムの仕事長いのに未だに綺麗なコード書けないし、変数の命名とかダメダメだし、テストコード書けないほぼ素人なので今年こそは何とかしたいんですけどね。 ◆参照サイト https://outlooklab.wordpress.com/2012/05/19/excel-%E3%81%AE%E3%83%87%E3%83%BC%E3%82%BF%E3%82%92%E3%82%82%E3%81%A8%E3%81%AB%E4%BC%9A%E8%AD%B0%E5%87%BA%E5%B8%AD%E4%BE%9D%E9%A0%BC%E3%82%92%E9%80%81%E4%BF%A1%E3%81%99%E3%82%8B%E3%83%9E%E3%82%AF/ http://www.ken3.org/cgi-bin/group/vba_outlook_Appointment.asp https://oshiete.goo.ne.jp/qa/5722929.html http://jus7733.hatenablog.com/entry/2015/05/27/164738 http://officevba.info/outlookschedule/ https://docs.microsoft.com/ja-jp/office/vba/api/outlook.appointmentitem.send(m

前々回 と 前回 からさらに続きます。 今回は 情報セキュリティ監査基準 と 情報セキュリティ管理基準 です。情報セキュリティ監査基準はペラペラの5ページです。ほとんど内容が書かれていない感じです。それに対して情報セキュリティ管理基準は84ページと少しボリュームがあります。 ひとまず中身を見てみて自分なりの注釈を加えました。まぁ原文に当たられることをお勧めします。 ■情報セキュリティ監査基準 　I.一般基準 　　1.目的、権限と責任 　　　根拠となる文書(規程など)が必要 　　2.独立性、客観性と職業倫理 　　　2.1.外観上の独立性 　　　　　被監査主体から独立していないといけない。 　　　2.2.精神上の独立性 　　　　　偏向を排し公正かつ客観的に判断する 　　　2.3.職業倫理と誠実性 　　3.専門能力 　　　教育と実務経験を通じて技能を保持する必要あり 　　4.業務上の義務 　　　4.1.注意義務 　　　4.2.守秘義務 　　5.品質管理 　II.実施基準 　　1.監査計画の立案 　　　手続き内容、時期及び範囲などについて立案する。計画は弾力的に 　　　運用できるようにする必要がある。 　　2.監査の実施 　　　2.1.監査証拠の入手と評価 　　　2.2.監査証拠の作成と保存 　　3.監査業務の体制 　　　体制整備、監査計画立案、監査報告書提出、改善指導までの全体管理が必須 　　4.他の専門職の利用 　　　支援を仰いでもいいが、結果の判断の責任は監査人に帰する。 　III.報告基準 　　1.監査報告書の提出と開示 　　2.監査報告の根拠 　　　監査証拠に裏付けられていないといけない 　　3.監査報告の記載事項 　　　監査対象、監査の概要、保証意見又は助言意見、制約又は除外事項その他特記事項 　　4.監査報告についての責任 　　　監査人がその責を負う 　　5.監査報告に基づく改善指導 　　　適切な指導を行う必要がある。 ■情報セキュリティ管理基準 JISQ27001:2014 (ISO/IEC 27001:2013), JISQ27002:2014 (ISO/IEC27002:2013)と整合を取った形で構成されている。また、情報セキュリティ監査基準に沿って監査する場合の判

さて 前回 に引き続き、 システム監査試験 のお勉強です。今回は システム管理基準 を踏まえた運用の場合はどういう監査を考えないといけないかというのを私見でまとめてみてます。少しずれてるかもですけど、まぁこんな感じかなぁと思ってます。 ちなみに システム管理基準(骨子) あります。こっちを読んでから本編に入る方がとっつきやすいです。骨子の方は システム監査基準 同様、40ページ程度なので1時間もあれば読めると思います。開発フェーズ毎でどういう観点で対応しないといけないかをまとめた内容のようですが、全部守ってたら幾らリソースがあっても足りないですし、できているところ見たことありません。本気でこれ守れというと運用が破綻します。 ※カスタマイズしていいよとはなっているものの一部だけ入れるとおかしくなります。 ツールを導入するにしても中堅、中小企業だと効果を説明したとて導入を許してもらえず サービス残業 を余儀なくするような運用が多く感じられました。アジャイル開発についても触れていますが、じゃどうすりゃいいんだよって感じでした。あくまで骨子版しか目を通していないですけど、本編もまぁおおよそ似たようなもんでしょう。では、本題です。 I. ITガバナンス 　 1.情報システム戦略の方針及び目標設定 　　・情報システム戦略の方針および目標決定の手続きについて規程などが整備できているか？ 　　・経営戦略に沿って情報システム化基本計画が策定され見直しが行われているか？ 　　・経営陣が情報システム戦略に沿って組織・業務変革方針を明確にして指示できているか？ 　 2.情報システム戦略遂行のための組織体制 　　・情報システム戦略遂行のため CIO が任命され関連する組織が整備されているか？ 　　・情報戦略に沿って計画が遂行されているかをモニタリングする仕組みが整備できているか？ 　　・最新技術動向に対応するための適切な評価手続きが整備できているか？ 　　・ モニタリング した内容が経営陣に報告されているか？ 　 3.情報システム部門の役割と体制 　　・情報システム部門について職務分掌に規定され、権限が明確化されているか？ 　 4. 情報システム戦略 の策定の評価・指示・モニタ 　　・情報システム戦略策定において経営が関与しているか？ 　　・策定さ

4月にIPAの システム監査試験(AU) を再受験するので、勉強をしているものの「システム監査」試験関連の情報って意外となかったりするし。かちっとこうイメージできるもの少なかったりするので自分のためにまとめてみようかなどと思った。 ちなみにシステム監査試験は今年で3回目で前回2018年は午後1は通ったものの論文で B評価という悔しい思いをいたしました。 まずは平成30年に変わったばっかりの システム監査基準 を読み解いてみた。 あまり役には立たないかもしれないけどひとまずは整理してみると何かわかるかと思って読んでみた。(全文も40ページ程度なので1時間あれば読めると思います。) 経産省のサイト にシステム管理基準共々準備されています。 それでは以下、メモ程度にご参照ください。 I.システム監査の体制整備に係る基準 　基準1：システム監査人の権限と責任等の明確化 　　・システム監査の内容とシステム監査人の権限と・責任等を文書化する。 　　・取締役会などしかるべき機関にて承認を得る 　　・監査を外部委託する場合にも同様に文書および承認を行う必要がある。 　基準2:監査能力の保持と向上 　　・適切な技能を備えた監査人をアサインする必要がある。 　　・監査人は外部教育、実務経験を通じて能力を高める必要がある。 　　・技能を備えた監査人の確保が難しい場合は外部の専門家の力を借りる 　基準3:システム監査に対するニーズの把握と品質の確保 　　・システム監査依頼者が何を求めて監査を依頼しているのか把握する。 　　・ニーズに応じて適切な基準やガイドラインを組み合わせて判断尺度にする。 　　・監査組織の点検、評価を定期的に実施し品質向上に努める。 II.システム監査人の独立性・客観性及び慎重な姿勢に係る基準 　基準4:システム監査人としての独立性と客観性の保持 　　・監査対象からの独立性が担保できている必要がある。 　　・システム監査人には倫理観が重要となる。 　　・システム監査人は専門的な知識・技能が必須 　基準5:慎重な姿勢と倫理の保持 　　・誤った判断や誤解に基づく判断が起こらない様に注意を払う。 　　・システム監査人には職業倫理の遵守が求められる。 　　・業務上知りえた事項を自己の利益のために利用してはならない。