システム監査試験対策(その5:最終回)
前回まででシステム監査基準とか大まかな監査の流れとかをまとめました。
試験自体は来週なので今回が最終回です。でどういう内容かというと法令関連を
まとめておきます。
1.対策基準
以下の3つは、、、古すぎるだろ。あかんじゃないか前世紀の感覚で
対策基準を定めてそれが生きているとはどういうこと?
・コンピュータウイルス対策基準
・コンピュータ不正アクセス対策基準
・ソフトウェア管理ガイドライン
2.セキュリティ関連
・ISO27001
情報セキュリティマネジメントシステム要求事項
Pマークの要求事項と対応している模様
・ISO15408(JIS X 5070)
セキュリティの機能要件と保証要件をまとめた規格
EALがポイント
・その他(ISO27001に統合された)
BS7799:英国のマネジメントシステムでISO17799の元
ISO17799:BS7799を元とした規格、ISO27001に統合
ISMS:日本独自、ISO27001に統合
3.刑法
・電磁的記録の定義:第7条の2
・電磁的記録の不正作出・供用罪:第161条の2
・電子計算機損壊業務妨害罪:第234条の2
・電子計算機使用詐欺罪:第246条の2
4.不正アクセス禁止法
・目的:第1条
・不正アクセス行為:第2条
主になりすましと不正認証により他人のIDを使用してシステムに
ログインすること
・不正アクセス助長行為:第5条
5.金融商品取引法(J-SOX法)
・法律の根拠
規程自体は第24条にある通りだがそれ以上のことはガイドラインで
詳細を定義してある模様
*財務報告に係る内部統制の評価及び監査の基準
*財務報告に係る内部統制の評価及び監査に関する実施基準
こんなんもあった。
・内部統制
(6つの枠組み)
統制環境
リスクの評価と対応
統制活動
情報と伝達
モニタリング
(3種類の統制)
全社的な内部統制→IT全社的統制
業務プロセスに係る内部統制→IT全般統制、IT業務処理統制
6.個人情報保護関連法規
・OECDプライバシーガイドライン
・個人情報保護法
対象、取り扱い、本人関与、苦情処理、事業者に対する監督、
適用除外を規定している。
※個人情報保護関連五法で諸手続きや範囲もはっきりさせている。
・Pマーク制度
国内に拠点があり、JIS Q 15001準拠の体制を構築していてJIPDECの
定めた欠格事由に該当しなければ申請できる
7.知的所有権
・著作権法
プログラム保護:第10条
データベースの著作権:第12条
著作者人格権:第18条~20条
複製権:第30条、第47条の3
プログラム改変の特例:第20条
職務著作:第15条
※請負開発の場合は受託者側に権利がある。
→契約で委託者側に権利を担保しておく必要がある。
・特許法
発明:第2条
成立要件:第29条
出願:第29条の2
職務発明:第35条
・不正競争防止法
営業秘密の要件:第2条6項
※非公知性、秘密管理性、有用性を満たす必要あり。
不正行為:第2条1項
ドメイン名保護:第2条第13項
8.労働関連法規
・労働基準法
労働時間:第32条(1日8時間、1週40時間以内)
休憩:第34条(労働時間が6時間超=45分、8時間超=1時間以上)
休日:第35条(4週を通じて4日以上)
時間外および休日の労働:第36条(36協定締結がないとダメ)
年次有給休暇:第39条(6ヶ月継続勤務しかつ全労働日の8割以上からが対象)
・男女雇用機会均等法
・労働者派遣法
労働者派遣:第2条第1項
一般労働者派遣事業の定義:第2条第4項
特定労働者派遣事業の定義:第2条第5項
紹介予定派遣:第2条第6項
派遣対象業務:第4条
契約の内容:第26条(定められたものの記載がないとNG)
人物の特定につながる行為は禁止
9.その他
・電子帳簿保存法
国税関連書類を電子データで保管してOKという根拠の法律
・e-文書法
法令上義務付けられた文書を電子化してもOKという根拠法律
・電子署名法
電子署名が押印と同等の扱いとできる
・特定電子メール法
迷惑メールの送信を規制するための法律
・特定商取引法
・電子消費者契約法
・下請代金支払遅延防止法
製造関連、プログラム作成とか倉庫保管とかの役務の場合
その他サービス関連
支払期日:第2条の2(納品から60日以内)
試験自体は来週なので今回が最終回です。でどういう内容かというと法令関連を
まとめておきます。
1.対策基準
以下の3つは、、、古すぎるだろ。あかんじゃないか前世紀の感覚で
対策基準を定めてそれが生きているとはどういうこと?
・コンピュータウイルス対策基準
・コンピュータ不正アクセス対策基準
・ソフトウェア管理ガイドライン
2.セキュリティ関連
・ISO27001
情報セキュリティマネジメントシステム要求事項
Pマークの要求事項と対応している模様
・ISO15408(JIS X 5070)
セキュリティの機能要件と保証要件をまとめた規格
EALがポイント
・その他(ISO27001に統合された)
BS7799:英国のマネジメントシステムでISO17799の元
ISO17799:BS7799を元とした規格、ISO27001に統合
ISMS:日本独自、ISO27001に統合
3.刑法
・電磁的記録の定義:第7条の2
・電磁的記録の不正作出・供用罪:第161条の2
・電子計算機損壊業務妨害罪:第234条の2
・電子計算機使用詐欺罪:第246条の2
4.不正アクセス禁止法
・目的:第1条
・不正アクセス行為:第2条
主になりすましと不正認証により他人のIDを使用してシステムに
ログインすること
・不正アクセス助長行為:第5条
5.金融商品取引法(J-SOX法)
・法律の根拠
規程自体は第24条にある通りだがそれ以上のことはガイドラインで
詳細を定義してある模様
*財務報告に係る内部統制の評価及び監査の基準
*財務報告に係る内部統制の評価及び監査に関する実施基準
こんなんもあった。
・内部統制
(6つの枠組み)
統制環境
リスクの評価と対応
統制活動
情報と伝達
モニタリング
(3種類の統制)
全社的な内部統制→IT全社的統制
業務プロセスに係る内部統制→IT全般統制、IT業務処理統制
6.個人情報保護関連法規
・OECDプライバシーガイドライン
・個人情報保護法
対象、取り扱い、本人関与、苦情処理、事業者に対する監督、
適用除外を規定している。
※個人情報保護関連五法で諸手続きや範囲もはっきりさせている。
・Pマーク制度
国内に拠点があり、JIS Q 15001準拠の体制を構築していてJIPDECの
定めた欠格事由に該当しなければ申請できる
7.知的所有権
・著作権法
プログラム保護:第10条
データベースの著作権:第12条
著作者人格権:第18条~20条
複製権:第30条、第47条の3
プログラム改変の特例:第20条
職務著作:第15条
※請負開発の場合は受託者側に権利がある。
→契約で委託者側に権利を担保しておく必要がある。
・特許法
発明:第2条
成立要件:第29条
出願:第29条の2
職務発明:第35条
・不正競争防止法
営業秘密の要件:第2条6項
※非公知性、秘密管理性、有用性を満たす必要あり。
不正行為:第2条1項
ドメイン名保護:第2条第13項
8.労働関連法規
・労働基準法
労働時間:第32条(1日8時間、1週40時間以内)
休憩:第34条(労働時間が6時間超=45分、8時間超=1時間以上)
休日:第35条(4週を通じて4日以上)
時間外および休日の労働:第36条(36協定締結がないとダメ)
年次有給休暇:第39条(6ヶ月継続勤務しかつ全労働日の8割以上からが対象)
・男女雇用機会均等法
・労働者派遣法
労働者派遣:第2条第1項
一般労働者派遣事業の定義:第2条第4項
特定労働者派遣事業の定義:第2条第5項
紹介予定派遣:第2条第6項
派遣対象業務:第4条
契約の内容:第26条(定められたものの記載がないとNG)
人物の特定につながる行為は禁止
9.その他
・電子帳簿保存法
国税関連書類を電子データで保管してOKという根拠の法律
・e-文書法
法令上義務付けられた文書を電子化してもOKという根拠法律
・電子署名法
電子署名が押印と同等の扱いとできる
・特定電子メール法
迷惑メールの送信を規制するための法律
・特定商取引法
・電子消費者契約法
・下請代金支払遅延防止法
製造関連、プログラム作成とか倉庫保管とかの役務の場合
| 親事業者 | 下請事業者 |
| 資本金3億円超 | 資本金3億円以下(個人含む) |
| 資本金1千万円超3億円以下 | 資本金1千万円以下(個人含む) |
| 親事業者 | 下請事業者 |
| 資本金5千万円超 | 資本金5千万円以下(個人含む) |
| 資本金1千万円超3千万円以下 | 資本金1千万円以下(個人含む) |
書面の交付:第3条(書面を必ず出さないとダメ)
・PL法
ソフトウェアは製造物ではないけど、組込みソフトウェアは製造物
・プロバイダ責任制限法
プライバシー侵害や著作権侵害があった場合の手続き関連について
駆け足だが、何とか間に合いました。
こんなことしてるより論文はどうするって、確かにその通り明日と来週土曜で何とか
2本書きたいところです。
一番いいパターンだと下のように設問ィでコントロールをつらつら書いて、
ウでそれに対応する手続きを書くような流れならいいんだが設問ィで留意事項とか
入れて来れれると書きにくい。まぁおおよその構成は以下の通りだけどね。
設問ア:システム概要、システムのごにょごにょ
・システム概要:400字
・システムのごにょごにょ(2つくらい):400字
設問イ:ごにょごにょに対するコントロール
・システムのごにょごにょ1:800字
システムのごにょごにょ1-1:400字
システムのごにょごにょ1-2:400字
・システムのごにょごにょ2:800字
システムのごにょごにょ2-1:400字
システムのごにょごにょ2-2:400字
システムのごにょごにょ1-2:300字
・PL法
ソフトウェアは製造物ではないけど、組込みソフトウェアは製造物
・プロバイダ責任制限法
プライバシー侵害や著作権侵害があった場合の手続き関連について
駆け足だが、何とか間に合いました。
こんなことしてるより論文はどうするって、確かにその通り明日と来週土曜で何とか
2本書きたいところです。
一番いいパターンだと下のように設問ィでコントロールをつらつら書いて、
ウでそれに対応する手続きを書くような流れならいいんだが設問ィで留意事項とか
入れて来れれると書きにくい。まぁおおよその構成は以下の通りだけどね。
設問ア:システム概要、システムのごにょごにょ
・システム概要:400字
・システムのごにょごにょ(2つくらい):400字
設問イ:ごにょごにょに対するコントロール
・システムのごにょごにょ1:800字
システムのごにょごにょ1-1:400字
システムのごにょごにょ1-2:400字
・システムのごにょごにょ2:800字
システムのごにょごにょ2-1:400字
システムのごにょごにょ2-2:400字
設問ウ:コントロールに対する監査手続き
システムのごにょごにょ1-1:300字システムのごにょごにょ1-2:300字
システムのごにょごにょ2-1:300字
システムのごにょごにょ2-2:300字
システムのごにょごにょ2-2:300字
では試験に向けてラストスパート入ります。今年こそは頑張って合格したい。
コメント