システム監査試験対策その2
さて前回に引き続き、システム監査試験のお勉強です。今回はシステム管理基準を踏まえた運用の場合はどういう監査を考えないといけないかというのを私見でまとめてみてます。少しずれてるかもですけど、まぁこんな感じかなぁと思ってます。
ちなみにシステム管理基準(骨子)あります。こっちを読んでから本編に入る方がとっつきやすいです。骨子の方はシステム監査基準同様、40ページ程度なので1時間もあれば読めると思います。開発フェーズ毎でどういう観点で対応しないといけないかをまとめた内容のようですが、全部守ってたら幾らリソースがあっても足りないですし、できているところ見たことありません。本気でこれ守れというと運用が破綻します。
※カスタマイズしていいよとはなっているものの一部だけ入れるとおかしくなります。
ツールを導入するにしても中堅、中小企業だと効果を説明したとて導入を許してもらえずサービス残業を余儀なくするような運用が多く感じられました。アジャイル開発についても触れていますが、じゃどうすりゃいいんだよって感じでした。あくまで骨子版しか目を通していないですけど、本編もまぁおおよそ似たようなもんでしょう。では、本題です。
I.ITガバナンス
1.情報システム戦略の方針及び目標設定
・情報システム戦略の方針および目標決定の手続きについて規程などが整備できているか?
・経営戦略に沿って情報システム化基本計画が策定され見直しが行われているか?
・経営陣が情報システム戦略に沿って組織・業務変革方針を明確にして指示できているか?
2.情報システム戦略遂行のための組織体制
・情報システム戦略遂行のためCIOが任命され関連する組織が整備されているか?
・情報戦略に沿って計画が遂行されているかをモニタリングする仕組みが整備できているか?
・最新技術動向に対応するための適切な評価手続きが整備できているか?
・モニタリングした内容が経営陣に報告されているか?
3.情報システム部門の役割と体制
・情報システム部門について職務分掌に規定され、権限が明確化されているか?
4.情報システム戦略の策定の評価・指示・モニタ
・情報システム戦略策定において経営が関与しているか?
・策定された戦略を定期的にモニタリング、確認できる仕組みが整備できているか?
5.情報システム投資の評価・指示・モニタ
・情報システム投資に対する評価指標が設定できているか?
・情報システム投資計画が立案され予実管理が適切に行われているか?
・情報システム投資に際して複数案を比較し検討しているか?
6.情報システム資源管理の評価・指示・モニタ
・情報システムに対しての定義やその管理方法を定めた規程などが整備されているか?
・情報システム管理に必要となる採用計画、育成計画が規定されているか?
7.コンプライアンスの評価・指示・モニタ
・法令や規制遵守のための組織、体制が整備されているか?
・組織全体に研修・教育などが適切に実施されているか?
8.情報セキュリティの評価・指示・モニタ
・情報セキュリティに関する規程などが整備されているか?
・情報セキュリティ対策に関しての定期報告が行われているか?
9.リスクマネジメントの評価・指示・モニタ
・リスクを管理するために必要となる組織、体制が整備できているか?
・リスクマネジメントに関する規程などが整備されているか?
10.事業継続管理の評価・指示・モニタ
・事業継続に関する規程やルール、連絡体制などが整備できているか?
・事業継続計画について経営会議などで承認が行われているか?
II.企画フェーズ
1.プロジェクト計画の管理
・プロジェクト計画が策定され経営陣に承認されているか?
・PMが任命され必要な体制が整備されているか?
2.要件定義の管理
・利害関係者の要求がまとめられ優先順位付けされ集約できているか?
・プロジェクトのリスクが分析され対策が検討できているか?
・要件定義書が作成され、経営陣の承認が得られているか?
3.調達の管理
・調達方法が明確化されており規程などが整備されているか?
・プロジェクト計画に基づき調達の要求事項が作成されているか?
III.開発フェーズ
1.開発ルールの管理
・システム開発と運用について職務分担が切り分けできているか?
・プロジェクト標準が整備され明文化できているか?
2.基本設計の管理
・基本設計書が作成され、プロジェクト会議体で承認されているか?
3.詳細設計の管理
・詳細設計書が作成され、プロジェクト会議体で承認されているか?
・テスト計画書が作成されているか?
4.実装の管理
・コーディング規約もしくはプログラミングルールが明文化されているか?
・単体テストが実施されているか?
5.システムテスト(総合テスト)の管理
・システムテスト計画書が作成され、プロジェクト会議体で承認されているか?
・システムテスト環境が準備されているか?
・システムテストの状況が文書化され保存できているか?
・システムテスト結果についてプロジェクト会議体で承認されているか?
6.ユーザ受入テストの管理
・ユーザ受入テスト計画書が作成され、プロジェクト会議体で承認されているか?
・ユーザ受入テスト結果が文書化され保存できているか?
・ユーザ受入テスト結果についてプロジェクト会議体で承認されているか?
7.移行の管理
・移行計画書が作成され、プロジェクト会議体で承認されているか?
・移行結果についてプロジェクト会議体で承認されているか?
8.プロジェクト管理
・プロジェクト進捗を管理する方法が規定されているか?
・進捗管理が行われ課題管理表などで定期的に管理が行われているか?
・プロジェクトのリスク管理が行われ文書として保管されているか?
・プロジェクト終了時にプロジェクト評価が行われ経営陣に報告できているか?
9.品質管理
・開発・運用の品質目標を設定した規程などが整備できているか?
・品質維持・向上に関する活動が実施されているか?
IV.アジャイル開発
1.アジャイル開発の概要
・ビジネス部門、システム部門が一体となったチームが整備されているか?
・反復開発が行われているか?
2.アジャイル開発に関係する人材の役割
・プロダクトは反復開発によってユーザが利用できる状態でリリースされているか?
・反復開発の開始前にリリース計画が策定されているか?
・コミュニケーション円滑化のためにミーティングが定期的に実施できているか?
・イテレーションごとに開発プロセスの評価が行われているか?
・リリース前に利害関係者へのデモンストレーションが行えているか?
V.運用・利用フェーズ
1.運用管理ルール
・運用設計に基づいて運用管理ルールが策定され文書化されているか?
・運用手順書が作成され運用管理者の承認が得られているか?
2.運用管理
・年間運用計画、月次・週次・日次の運用計画が策定され文書化されているか?
・運用管理ルールの遵守状況がチェックされていてその結果が文書化されているか?
・ジョブスケジュールについて業務処理との関連性を示した資料が整備できているか?
・例外処理については運用管理ルールに沿って手順書が整備できているか?
・指示書に基づきオペレーションが実施されているか?
・オペレーション実施記録は文書化され一定期間保持できているか?
・情報システムの資源管理、性能管理のため監視レポートが整備されているか?
3.情報セキュリティ管理
3.1.情報セキュリティ管理ルール
・情報セキュリティ方針が策定されそれに基づく情報セキュリティ管理ルールが文書化されているか?
・サイバー攻撃を受けた際の対応マニュアルが整備されていて定期的に改訂が行われているか?
・情報セキュリティ管理基準参照表が準備されていてセキュリティ管理策が設定されているか?
3.2.アクセス管理
・各システムのアクセス管理ルールが作成されていて情報システム部門長の承認が得られているか?
・データについてアクセス履歴が保管されており定期的にモニタリングが行われているか?
・情報セキュリティ管理基準参照表が準備されていてアクセス管理策が設定されているか?
4.データ管理
・データ管理ルールの遵守状況がチェックされていてその結果が文書化されているか?
・データの知的財産権の管理が管理台帳などを用いて適切に実施できているか?
・データの利用状況についてチェックされていてその結果が文書化されているか?
・データのバックアップ、リストアについて手順書が整備できているか?
・データ保管や廃棄の際に不正防止、機密保護策が講じられてそれが文書化できているか?
・利用部門でデータの入力ルール、出力ルールに関して文書化されているか?
5.ログ管理
・ログが収集され一覧が確認できる状況になっているか?
・すべてのログが一元管理されていて事故発生時に追跡が行える様になっているか?
・情報セキュリティ管理基準参照表が準備されていてログの項目が設定されているか?
6.構成管理
6.1.機器の構成管理
・機器管理台帳が作成され組織内のすべての機器、ソフトウェアについて登録され契約状況が管理できているか?
・導入および変更に際しての規程などが整備され、その規定に沿った運用が実施できているか?
6.2.ハードウェア管理
・ハードウェアの導入、運用、廃棄に関するルールが整備されていて文書化されているか?
・ハードウェアに秘密保護の対策が設定できているか?
・ハードウェアの設置環境についてルール化できているか。
・ハードウェア管理に係るルールが設けられ文書化されているか。また構成を管理するための台帳が整備できているか。
・ハードウェアの障害対策に関するルールが設けられ文書化できているか。また必要に応じて保守などの対策が取られているか?
・ハードウェアの利用状況管理のための記録簿などが整備できているか?
6.3.ネットワーク管理
・ネットワークの導入、利用、運用に関するルールが整備されていて文書化されているか?
・ネットワークに秘密保護の対策、可用性の対策が設定できているか?
・ネットワーク管理に係るルールが設けられ文書化されているか。また構成を管理するための台帳が整備できているか。
・ネットワークの障害対策に関するルールが設けられ文書化できているか。また必要に応じて保守などの対策が取られているか?
・ネットワークの利用状況管理、性能管理のため監視レポートが整備されているか?
7.ファシリティ管理
・リスクマネジメント結果に応じて建物および関連設備を準備できているか。またその基準について文書化できているか?
・入退室管理について不正防止および機密保護に必要となる対策が取られているか?
・ファシリティの障害対策に関するルールが設けられ文書化できているか。また必要に応じて保守などの対策が取られているか?
・入退室状況管理のため監視レポートが整備され、定期的に確認が行われているか?
8.サービスレベル管理
・サービスの要求事項に基づきサービスメニューが作成されそれが文書化できているか?
・サービスメニューに関しては変更管理が行われ、サービスレベルに関する前年比較が実施できているか?
9.インシデント管理
9.1.インシデント対応の管理
・インシデント管理手順、手続きに関してのルールが定められ文書化されているか?
・インシデント記録が一元化されるとともに報告書などの必要な文書が保管されているか?
9.2.問題管理
・再発防止策措置を講じることを含めた問題管理手順が整備され、文書化されているか?
9.3.変更管理
・変更時に必要となるルールが整備されていてそのルールが文書化されているか?
9.4.リリース管理
・リリース管理のルールが整備されていてそのルールが文書化されているか?
・リリース時にリリース手順が準備され承認を得たうえで作業が行われているか?
10.サービスデスク管理
・利用部門とシステム運用部門をつなぐ単一窓口が設置されていてその運用ルールが文書化されているか?
・利用部門からの問合せおよび対応について文書化されているか?
・利用部門がサービスデスクを活用している状況を可視化できているか?
VI.保守フェーズ
1.保守ルール
・保守対象が明確化され一覧として文書化されているか?
・保守の実施体制、役割分担が明記されていて体制図が準備されて定期的に更新できているか?
・開発完了時に運用側に成果物の引き渡しが行われその記録がなされているか?
・保守手順書と保守マニュアルが文書化され定期的に更新が行われているか?
2.保守計画
・保守依頼を受けた際に保守内容の確認、調査、分析が実施され文書化できているか?
・修正実施時に修正計画書が作成され定められた承認ルートにて承認が行われているか?
・修正完了後に受入れテストが行われそのテスト結果が文書化されているか?
3.情報セキュリティ管理
・脆弱性の情報収集について収集方法がルール化され文書化されているか?
・脆弱性発見時の修正対応に関してルール化され文書化されているか?
・脆弱性対策に関してその対応および決定過程について文書化されているか?
・コンピュータウイルス対策ソフトについて更新適用管理が行われているか?
4.変更管理
・仕様変更に伴うソフトウェアの修正に対応履歴が文書化されているか?
5.保守の実施
・修正計画が定められていてそれらについて文書化されているか?
・修正したソフトウェアのテスト結果が文書化されているか?
・関連するドキュメントが修正されその履歴が保持されているか?
・受入テストが実施されその記録が文書化できているか?
・本番システム環境へのリリースについて依頼書が存在し承認を得てから対応されているか?
6.ソフトウェア構成管理
・ソフトウェア構成管理のルールが定められて文書化されているか?
・ソフトウェアの履歴管理、リリースの履歴管理が行われているか?
7.ライフサイクル管理
・外部調達ソフトの情報収集方法および対応方針がルール化され文書化されているか?
・外部調達ソフトについての保守記録が文書化されているか?
・外部調達ソフトについての管理台帳が文書化されているか?
VII.外部サービス管理
1.外部サービス利用計画
・外部サービスを利用する際にCIOもしくは経営陣の承認が得られているか?
・外部サービス利用計画が準備され文書化されていること
2.委託先選定
・委託先選定基準がルール化され文書化されているか?
・外部委託の際には要求仕様書が作成されているか?
・外部委託先選定時に比較表が作成され選定結果が文書化されているか?
3.契約と管理
3.1.契約
・外部委託先との間で契約書が交わされているか?
・契約書内にシステム監査にかかる規定が設けられているか?
3.2.委託先管理
・委託業務内容と契約内容について管理が行われ一覧化できているか?
・委託先からの定期業務報告について文書化されているか?
・委託先と課題管理表が共有されその状況が管理されているか?
・外部委託先への定期監査が行われ監査記録が文書化されているか?
・検収記録が文書化されていて委託元責任者がそれを承認しているか?
・委託業務終了後に委託先評価が行われ文書化されているか?
・委託時に法令違反がないようにチェックリストが準備され定期確認されているか?
4.サービスレベル管理(SLM)
・委託先とSLA(サービスレベル合意)が行われているか、もしくは契約書にその条項があるか?
・委託業者とのSLA締結時には委託元責任者に加えサービス利用部門の部門長の承認が得られているか?
・定期的にSLAの遵守状況の確認記録が残されているか?
VIII.事業継続管理
1.リスクアセスメント
・リスク発生時の影響分析が実施され文書化が行われているか?
・業務の優先順位や復旧許容時間、復旧優先順位が一覧化され文書化されているか?
2.業務継続計画の管理
・事業継続計画に沿って情報システム業務継続計画が策定され承認された上で文書化されているか?
・業務継続計画について定期的に教育が実施されその状況が文書化されて記録されているか?
・情報システム業務継続計画についてシステム改修などがあった際の変更履歴があるか?
3.システム復旧計画の管理
・情報システムのバックアップ手順、リカバリ手順が文書化されているか?
・復旧代替処理手続き、体制に関する手順が文書化されているか?
・復旧代替処理手続き、体制に関して最新状態に更新されているか?
4.訓練の管理
・事業継続計画に沿って訓練が行われその記録が文書化されているか?
・訓練時に発生した不備について次回の訓練時までに手順書などに反映され文書化されているか?
5.計画の見直しの管理
・事故発生時に事故内容が記録されて文書化され、業務継続計画にその内容が反映されているか?
・定期的に業務継続計画を見直すための会議体があり、その内容が文書化されているか?
IX.人的資源管理
1.責任と権限の管理
・職務分掌や役割分担表で各担当者の職務内容が明記されているか?
・職務分掌、役割分担表の定期見直しが実施されているか?
・体制表が文書などの発信により全社周知されているか?
2.業務遂行の管理
・勤怠実績の残業時間から過度な負荷が特定担当者に集中していないか?
・1名でしか実施できない作業が業務一覧表上に存在しないか?
・要員に必要となるスキルセットが文書化されているか?
3.教育・訓練の管理
・年度の要員教育カリキュラムが策定されているか?
・教育実施記録、結果報告が文書化されているか?
・キャリアプランが策定され文書化されているか?
4.健康管理
・定期健康診断が受診できているか?
・残業時間が過度な担当者が存在しないか?
・情報システム部門長が適切なメンタルヘルス研修を受講できているか?
X.ドキュメント管理
1.ドキュメントの作成
・ドキュメント作成ルールが定められていて規程などで文書化されているか?
・ドキュメント作成計画が立案され整備状況が文書化されているか?
・ドキュメント発信前に部門長の承認が行われているか?
2.ドキュメントの管理
・ドキュメントの版管理が行われているか?
・ドキュメント更新内容は部門長の承認を得たうえで行われているか?
・ドキュメント複写、廃棄時のルールが定められ文書化されているか?
・ドキュメント複写、廃棄時のルールに沿って運用が行われているか?
ちなみにシステム管理基準(骨子)あります。こっちを読んでから本編に入る方がとっつきやすいです。骨子の方はシステム監査基準同様、40ページ程度なので1時間もあれば読めると思います。開発フェーズ毎でどういう観点で対応しないといけないかをまとめた内容のようですが、全部守ってたら幾らリソースがあっても足りないですし、できているところ見たことありません。本気でこれ守れというと運用が破綻します。
※カスタマイズしていいよとはなっているものの一部だけ入れるとおかしくなります。
ツールを導入するにしても中堅、中小企業だと効果を説明したとて導入を許してもらえずサービス残業を余儀なくするような運用が多く感じられました。アジャイル開発についても触れていますが、じゃどうすりゃいいんだよって感じでした。あくまで骨子版しか目を通していないですけど、本編もまぁおおよそ似たようなもんでしょう。では、本題です。
I.ITガバナンス
1.情報システム戦略の方針及び目標設定
・情報システム戦略の方針および目標決定の手続きについて規程などが整備できているか?
・経営戦略に沿って情報システム化基本計画が策定され見直しが行われているか?
・経営陣が情報システム戦略に沿って組織・業務変革方針を明確にして指示できているか?
2.情報システム戦略遂行のための組織体制
・情報システム戦略遂行のためCIOが任命され関連する組織が整備されているか?
・情報戦略に沿って計画が遂行されているかをモニタリングする仕組みが整備できているか?
・最新技術動向に対応するための適切な評価手続きが整備できているか?
・モニタリングした内容が経営陣に報告されているか?
3.情報システム部門の役割と体制
・情報システム部門について職務分掌に規定され、権限が明確化されているか?
4.情報システム戦略の策定の評価・指示・モニタ
・情報システム戦略策定において経営が関与しているか?
・策定された戦略を定期的にモニタリング、確認できる仕組みが整備できているか?
5.情報システム投資の評価・指示・モニタ
・情報システム投資に対する評価指標が設定できているか?
・情報システム投資計画が立案され予実管理が適切に行われているか?
・情報システム投資に際して複数案を比較し検討しているか?
6.情報システム資源管理の評価・指示・モニタ
・情報システムに対しての定義やその管理方法を定めた規程などが整備されているか?
・情報システム管理に必要となる採用計画、育成計画が規定されているか?
7.コンプライアンスの評価・指示・モニタ
・法令や規制遵守のための組織、体制が整備されているか?
・組織全体に研修・教育などが適切に実施されているか?
8.情報セキュリティの評価・指示・モニタ
・情報セキュリティに関する規程などが整備されているか?
・情報セキュリティ対策に関しての定期報告が行われているか?
9.リスクマネジメントの評価・指示・モニタ
・リスクを管理するために必要となる組織、体制が整備できているか?
・リスクマネジメントに関する規程などが整備されているか?
10.事業継続管理の評価・指示・モニタ
・事業継続に関する規程やルール、連絡体制などが整備できているか?
・事業継続計画について経営会議などで承認が行われているか?
II.企画フェーズ
1.プロジェクト計画の管理
・プロジェクト計画が策定され経営陣に承認されているか?
・PMが任命され必要な体制が整備されているか?
2.要件定義の管理
・利害関係者の要求がまとめられ優先順位付けされ集約できているか?
・プロジェクトのリスクが分析され対策が検討できているか?
・要件定義書が作成され、経営陣の承認が得られているか?
3.調達の管理
・調達方法が明確化されており規程などが整備されているか?
・プロジェクト計画に基づき調達の要求事項が作成されているか?
III.開発フェーズ
1.開発ルールの管理
・システム開発と運用について職務分担が切り分けできているか?
・プロジェクト標準が整備され明文化できているか?
2.基本設計の管理
・基本設計書が作成され、プロジェクト会議体で承認されているか?
3.詳細設計の管理
・詳細設計書が作成され、プロジェクト会議体で承認されているか?
・テスト計画書が作成されているか?
4.実装の管理
・コーディング規約もしくはプログラミングルールが明文化されているか?
・単体テストが実施されているか?
5.システムテスト(総合テスト)の管理
・システムテスト計画書が作成され、プロジェクト会議体で承認されているか?
・システムテスト環境が準備されているか?
・システムテストの状況が文書化され保存できているか?
・システムテスト結果についてプロジェクト会議体で承認されているか?
6.ユーザ受入テストの管理
・ユーザ受入テスト計画書が作成され、プロジェクト会議体で承認されているか?
・ユーザ受入テスト結果が文書化され保存できているか?
・ユーザ受入テスト結果についてプロジェクト会議体で承認されているか?
7.移行の管理
・移行計画書が作成され、プロジェクト会議体で承認されているか?
・移行結果についてプロジェクト会議体で承認されているか?
8.プロジェクト管理
・プロジェクト進捗を管理する方法が規定されているか?
・進捗管理が行われ課題管理表などで定期的に管理が行われているか?
・プロジェクトのリスク管理が行われ文書として保管されているか?
・プロジェクト終了時にプロジェクト評価が行われ経営陣に報告できているか?
9.品質管理
・開発・運用の品質目標を設定した規程などが整備できているか?
・品質維持・向上に関する活動が実施されているか?
IV.アジャイル開発
1.アジャイル開発の概要
・ビジネス部門、システム部門が一体となったチームが整備されているか?
・反復開発が行われているか?
2.アジャイル開発に関係する人材の役割
・プロダクトは反復開発によってユーザが利用できる状態でリリースされているか?
・反復開発の開始前にリリース計画が策定されているか?
・コミュニケーション円滑化のためにミーティングが定期的に実施できているか?
・イテレーションごとに開発プロセスの評価が行われているか?
・リリース前に利害関係者へのデモンストレーションが行えているか?
V.運用・利用フェーズ
1.運用管理ルール
・運用設計に基づいて運用管理ルールが策定され文書化されているか?
・運用手順書が作成され運用管理者の承認が得られているか?
2.運用管理
・年間運用計画、月次・週次・日次の運用計画が策定され文書化されているか?
・運用管理ルールの遵守状況がチェックされていてその結果が文書化されているか?
・ジョブスケジュールについて業務処理との関連性を示した資料が整備できているか?
・例外処理については運用管理ルールに沿って手順書が整備できているか?
・指示書に基づきオペレーションが実施されているか?
・オペレーション実施記録は文書化され一定期間保持できているか?
・情報システムの資源管理、性能管理のため監視レポートが整備されているか?
3.情報セキュリティ管理
3.1.情報セキュリティ管理ルール
・情報セキュリティ方針が策定されそれに基づく情報セキュリティ管理ルールが文書化されているか?
・サイバー攻撃を受けた際の対応マニュアルが整備されていて定期的に改訂が行われているか?
・情報セキュリティ管理基準参照表が準備されていてセキュリティ管理策が設定されているか?
3.2.アクセス管理
・各システムのアクセス管理ルールが作成されていて情報システム部門長の承認が得られているか?
・データについてアクセス履歴が保管されており定期的にモニタリングが行われているか?
・情報セキュリティ管理基準参照表が準備されていてアクセス管理策が設定されているか?
4.データ管理
・データ管理ルールの遵守状況がチェックされていてその結果が文書化されているか?
・データの知的財産権の管理が管理台帳などを用いて適切に実施できているか?
・データの利用状況についてチェックされていてその結果が文書化されているか?
・データのバックアップ、リストアについて手順書が整備できているか?
・データ保管や廃棄の際に不正防止、機密保護策が講じられてそれが文書化できているか?
・利用部門でデータの入力ルール、出力ルールに関して文書化されているか?
5.ログ管理
・ログが収集され一覧が確認できる状況になっているか?
・すべてのログが一元管理されていて事故発生時に追跡が行える様になっているか?
・情報セキュリティ管理基準参照表が準備されていてログの項目が設定されているか?
6.構成管理
6.1.機器の構成管理
・機器管理台帳が作成され組織内のすべての機器、ソフトウェアについて登録され契約状況が管理できているか?
・導入および変更に際しての規程などが整備され、その規定に沿った運用が実施できているか?
6.2.ハードウェア管理
・ハードウェアの導入、運用、廃棄に関するルールが整備されていて文書化されているか?
・ハードウェアに秘密保護の対策が設定できているか?
・ハードウェアの設置環境についてルール化できているか。
・ハードウェア管理に係るルールが設けられ文書化されているか。また構成を管理するための台帳が整備できているか。
・ハードウェアの障害対策に関するルールが設けられ文書化できているか。また必要に応じて保守などの対策が取られているか?
・ハードウェアの利用状況管理のための記録簿などが整備できているか?
6.3.ネットワーク管理
・ネットワークの導入、利用、運用に関するルールが整備されていて文書化されているか?
・ネットワークに秘密保護の対策、可用性の対策が設定できているか?
・ネットワーク管理に係るルールが設けられ文書化されているか。また構成を管理するための台帳が整備できているか。
・ネットワークの障害対策に関するルールが設けられ文書化できているか。また必要に応じて保守などの対策が取られているか?
・ネットワークの利用状況管理、性能管理のため監視レポートが整備されているか?
7.ファシリティ管理
・リスクマネジメント結果に応じて建物および関連設備を準備できているか。またその基準について文書化できているか?
・入退室管理について不正防止および機密保護に必要となる対策が取られているか?
・ファシリティの障害対策に関するルールが設けられ文書化できているか。また必要に応じて保守などの対策が取られているか?
・入退室状況管理のため監視レポートが整備され、定期的に確認が行われているか?
8.サービスレベル管理
・サービスの要求事項に基づきサービスメニューが作成されそれが文書化できているか?
・サービスメニューに関しては変更管理が行われ、サービスレベルに関する前年比較が実施できているか?
9.インシデント管理
9.1.インシデント対応の管理
・インシデント管理手順、手続きに関してのルールが定められ文書化されているか?
・インシデント記録が一元化されるとともに報告書などの必要な文書が保管されているか?
9.2.問題管理
・再発防止策措置を講じることを含めた問題管理手順が整備され、文書化されているか?
9.3.変更管理
・変更時に必要となるルールが整備されていてそのルールが文書化されているか?
9.4.リリース管理
・リリース管理のルールが整備されていてそのルールが文書化されているか?
・リリース時にリリース手順が準備され承認を得たうえで作業が行われているか?
10.サービスデスク管理
・利用部門とシステム運用部門をつなぐ単一窓口が設置されていてその運用ルールが文書化されているか?
・利用部門からの問合せおよび対応について文書化されているか?
・利用部門がサービスデスクを活用している状況を可視化できているか?
VI.保守フェーズ
1.保守ルール
・保守対象が明確化され一覧として文書化されているか?
・保守の実施体制、役割分担が明記されていて体制図が準備されて定期的に更新できているか?
・開発完了時に運用側に成果物の引き渡しが行われその記録がなされているか?
・保守手順書と保守マニュアルが文書化され定期的に更新が行われているか?
2.保守計画
・保守依頼を受けた際に保守内容の確認、調査、分析が実施され文書化できているか?
・修正実施時に修正計画書が作成され定められた承認ルートにて承認が行われているか?
・修正完了後に受入れテストが行われそのテスト結果が文書化されているか?
3.情報セキュリティ管理
・脆弱性の情報収集について収集方法がルール化され文書化されているか?
・脆弱性発見時の修正対応に関してルール化され文書化されているか?
・脆弱性対策に関してその対応および決定過程について文書化されているか?
・コンピュータウイルス対策ソフトについて更新適用管理が行われているか?
4.変更管理
・仕様変更に伴うソフトウェアの修正に対応履歴が文書化されているか?
5.保守の実施
・修正計画が定められていてそれらについて文書化されているか?
・修正したソフトウェアのテスト結果が文書化されているか?
・関連するドキュメントが修正されその履歴が保持されているか?
・受入テストが実施されその記録が文書化できているか?
・本番システム環境へのリリースについて依頼書が存在し承認を得てから対応されているか?
6.ソフトウェア構成管理
・ソフトウェア構成管理のルールが定められて文書化されているか?
・ソフトウェアの履歴管理、リリースの履歴管理が行われているか?
7.ライフサイクル管理
・外部調達ソフトの情報収集方法および対応方針がルール化され文書化されているか?
・外部調達ソフトについての保守記録が文書化されているか?
・外部調達ソフトについての管理台帳が文書化されているか?
VII.外部サービス管理
1.外部サービス利用計画
・外部サービスを利用する際にCIOもしくは経営陣の承認が得られているか?
・外部サービス利用計画が準備され文書化されていること
2.委託先選定
・委託先選定基準がルール化され文書化されているか?
・外部委託の際には要求仕様書が作成されているか?
・外部委託先選定時に比較表が作成され選定結果が文書化されているか?
3.契約と管理
3.1.契約
・外部委託先との間で契約書が交わされているか?
・契約書内にシステム監査にかかる規定が設けられているか?
3.2.委託先管理
・委託業務内容と契約内容について管理が行われ一覧化できているか?
・委託先からの定期業務報告について文書化されているか?
・委託先と課題管理表が共有されその状況が管理されているか?
・外部委託先への定期監査が行われ監査記録が文書化されているか?
・検収記録が文書化されていて委託元責任者がそれを承認しているか?
・委託業務終了後に委託先評価が行われ文書化されているか?
・委託時に法令違反がないようにチェックリストが準備され定期確認されているか?
4.サービスレベル管理(SLM)
・委託先とSLA(サービスレベル合意)が行われているか、もしくは契約書にその条項があるか?
・委託業者とのSLA締結時には委託元責任者に加えサービス利用部門の部門長の承認が得られているか?
・定期的にSLAの遵守状況の確認記録が残されているか?
VIII.事業継続管理
1.リスクアセスメント
・リスク発生時の影響分析が実施され文書化が行われているか?
・業務の優先順位や復旧許容時間、復旧優先順位が一覧化され文書化されているか?
2.業務継続計画の管理
・事業継続計画に沿って情報システム業務継続計画が策定され承認された上で文書化されているか?
・業務継続計画について定期的に教育が実施されその状況が文書化されて記録されているか?
・情報システム業務継続計画についてシステム改修などがあった際の変更履歴があるか?
3.システム復旧計画の管理
・情報システムのバックアップ手順、リカバリ手順が文書化されているか?
・復旧代替処理手続き、体制に関する手順が文書化されているか?
・復旧代替処理手続き、体制に関して最新状態に更新されているか?
4.訓練の管理
・事業継続計画に沿って訓練が行われその記録が文書化されているか?
・訓練時に発生した不備について次回の訓練時までに手順書などに反映され文書化されているか?
5.計画の見直しの管理
・事故発生時に事故内容が記録されて文書化され、業務継続計画にその内容が反映されているか?
・定期的に業務継続計画を見直すための会議体があり、その内容が文書化されているか?
IX.人的資源管理
1.責任と権限の管理
・職務分掌や役割分担表で各担当者の職務内容が明記されているか?
・職務分掌、役割分担表の定期見直しが実施されているか?
・体制表が文書などの発信により全社周知されているか?
2.業務遂行の管理
・勤怠実績の残業時間から過度な負荷が特定担当者に集中していないか?
・1名でしか実施できない作業が業務一覧表上に存在しないか?
・要員に必要となるスキルセットが文書化されているか?
3.教育・訓練の管理
・年度の要員教育カリキュラムが策定されているか?
・教育実施記録、結果報告が文書化されているか?
・キャリアプランが策定され文書化されているか?
4.健康管理
・定期健康診断が受診できているか?
・残業時間が過度な担当者が存在しないか?
・情報システム部門長が適切なメンタルヘルス研修を受講できているか?
X.ドキュメント管理
1.ドキュメントの作成
・ドキュメント作成ルールが定められていて規程などで文書化されているか?
・ドキュメント作成計画が立案され整備状況が文書化されているか?
・ドキュメント発信前に部門長の承認が行われているか?
2.ドキュメントの管理
・ドキュメントの版管理が行われているか?
・ドキュメント更新内容は部門長の承認を得たうえで行われているか?
・ドキュメント複写、廃棄時のルールが定められ文書化されているか?
・ドキュメント複写、廃棄時のルールに沿って運用が行われているか?
中堅、中小企業では外部業者にほぼ丸投げ状態なので、開発フェーズで求められるドキュメント全部作ったり、体制とか整えようとしたりすると数億単位で金がかかります。だからシステム投資に慎重にならざるを得ません。そして、大企業で内製できるところとしてもドキュメント整えようとするとくっそ高いツールとか、大量の技術者が必要になります。必然的にコストがかかります。
システム監査が入るときは規程と実運用の整合性を見ます。つまりは証跡が重要になってくるわけです。そうすると必然的に文書が必要になってくるわけです。最近でこそデータ化が進んできているものの、承認されているかどうかを判断するには紙とハンコ(デート印)じゃないと信頼できないとか寝ぼけた話になってくるわけで監査のためのアリバイとか証拠づくりで無駄な仕事が増えるわけです。誰も得なんかしていないです。みんな苦しいと思いますよ。
プロジェクト管理とかサービスデスク管理とかもRedmineで管理してGitとつなげりゃ少しは楽できるはずです。ワークフロー管理もRedmineとかでやれれば少しは楽になるはずです。ユーザからすればソリューションに金を払いたいわけです。システム管理基準に沿ってシステム開発されてもいいものはできないですし、現場の負荷が上がってひどい目に遭っていることがそれを示していませんか?
システム管理基準と監査ポイントで確認してみると気付きましたが、この基準自体がすっごくナンセンスなものに見えてしまいます。もう少し緩く、みんなが幸せになる様にやれれば残業とかも減るんじゃないかと思うわけです。それが働き方改革なんじゃないのかなぁとそう思います。
あ、本題から外れちゃった。自分の意見はどうあれ試験に合格するためにはシステム管理基準に沿ってアリバイ証跡が揃っていることをきちんと確認しないといけません。
コメント