「.NET 開発基盤部会 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。
目次 †
概要 †
- サービス・マネジメントのシステム監査
- システム監査の雰囲気を理解する。
システム監査 †
JIS Q 19011:2012 †
- マネジメントシステム監査のための指針
- マネジメントシステム監査のための手引を提供。
- 適用範囲
- 引用規格
- 用語及び定義
- 監査の原則
- 監査プログラムの管理
- 一般
- 監査プログラムの目的の設定
- 監査プログラムの策定
- 監査プログラムの実施
- 監査プログラムの監視
- 監査プログラムのレビュー及び改善
- 監査の実施
- 一般
- 監査の開始
- 監査活動の準備
- 監査活動の実施
- 監査報告書の作成及び配付
- 監査の完了
- 監査のフォローアップの実施
- 監査員の力量及び評価
- 一般
- 監査プログラムのニーズを満たす監査員の力量の決定
- 監査員の評価基準の設定
- 監査員の適切な評価方法の選定
- 監査員の評価の実施
- 監査員の力量の維持及び向上
- 附属書 A(参考)分野に固有の監査員の知識及び技能に関する手引及び例
- 附属書 B(参考)監査を計画及び実施する監査員に対する追加の手引
- 参考文献
監査とは? †
監査基準が満たされている程度を判定するための、
監査証拠を収集し、それを客観的に評価するための、
体系的で独立し、文書化されたプロセス。
監査の種類 †
監査の種類
監査の責任 †
システム監査人 †
監査報告書に記載した監査意見に関して責任を負う。
システム管理部門 †
監査対象のシステムの管理に関して責任を負う。
組織の代表者 †
- 監査結果の外部への開示に関して責任を負う
開示の是非については、システム監査人と慎重に検討。
監査の原則 †
監査プログラムの管理 †
監査手続 †
具体的な監査手順や監査技法を設定する。
- 実施準備 → 予備調査 → 本調査 → 評価・結論 → フォローアップ
- 実施準備
個別計画の内容を再確認し、関係者に協力要請する等、
システム監査が円滑に実施できるように準備する。
- 予備調
- 被監査部門の管理者・担当のリスク認識などの現状や問題点をアンケート調査
- 予備調査後、取集された情報を元に、本調査の監査手続(監査手順・技法)を計画。
- 本調査
監査手順書に従って監査対象システムの現状や問題点を確認、
それらの証拠を収集・評価して監査調書にまとめる。
- 被監査部門の担当に対して、
監査手順に従てヒアリングし、
監査対象の実態を調査する。
- 以下から指摘事項をまとめる。
・監査対象に関する手順書、実施記録
・被監査部門から入手した監査証拠
- 評価・結論
・監査結果を評価し、監査報告書にまとめる。
・監査結果をトップマネジメントに報告する。
- フォローアップ
監査報告を受けた被監査部門の
実施(改善・是正処置)内容の
妥当性や有効性を確認し、必用なら助言をする。
- 被監査部門から説明を受けながら
被監査部門の業務の現場を実際に見て
改善提案の実現可能性を確かめる。
期間計画書と個別計画書の記載内容 †
- 計画のコンテンツ
一定の期間内に実施しようとするシステム監査の
- 方針
- 目的
- 日程
- 重点目標(テーマ)
- 監査対象システム
- 日程毎に分けて策定する。
- 基本計画
当該年度を対象とする。
- 中長期計画
3-5年度を対象とする。
- 計画のコンテンツ
監査対象システム毎の具体的な実行計画、詳細な実施
- 目的
- 範囲
- 監査手続
監査手順、監査技法
- 監査日程
本調査だけでなく、予備調査と評価・報告(報告会・フォローアップ)も含める。
- 担当者
外部委託管理の監査 †
以下の様な監査を行う。
- 請負契約の場合、
- 委託先要員の委託元システムへのアクセス管理
- 委託先で開発され委託元に納品された成果物の品質管理状況
- 委託先が成果物の開発に適切な能力を備えているか?
- 準委任契約の場合、
- 委託元の指揮命令が適切に行われているか。
- ...。
SaaSへのアクセス・コントロール評価 †
- 利用できるのは「アプリケーションの利用者ID」のみ。
- 以下は、評価対象にならない
- サーバーOSへのログイン・アカウント
- RDBMSの管理者アカウント
- ストレージ(・デバイス?)の管理者アカウント
監査の実施 †
監査員の力量及び評価 †
内部統制 †
参考 †
![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
