今回は、「IT全般統制」の構築について説明します。
「IT全般統制」の構築
内部統制において、ITに関しては、「IT全般統制」と「IT業務処理統制」の二つがあります。
今回紹介する「IT全般統制」とは、企業内の情報システムの構築や運用が社内手順に従って実施されているかを評価するものです。
一方の「IT業務処理統制」とは、情報システムのアプリケーションに組み込まれた、例えば入力チェック処理や、集計処理、エラーチェックなど、人の入力などのサポートを行う機能を持った処理で、この後の「その他業務処理統制」の中で紹介します。
「IT全般統制」の構築方法については、次に説明する各チェック事項を一覧表として整備する方法と、この後説明する内部統制の3点セットを構築する方法があります。会社の規模(人員や費用対効果)等を考慮して実施してください。
システム開発・変更管理
1.アプリケーション取得・開発管理
アプリケーションの取得および開発における要件定義、選定、開発、テスト、導入作業に関するプロセスです
2.アプリケーション変更管理
アプリケーションの変更における承認、変更、テスト、導入作業(緊急変更の場合を含む)に関するプロセスです
3.テストと移行管理
アプリケーション取得・開発時、変更におけるアプリケーションのテストおよびソースコード、モジュール等の移行プロセスです
4.インフラストラクチャ導入・変更管理
インフラストラクチャ(ハードウェア、ネットワーク、OS、データベースなど)の選定、テスト、導入作業に関するプロセスです
システム運用管理
1.システム運用管理
ジョブの管理等システム運用におけるプロセスです
2.データバックアップ・リカバリー
管理情報の定義、定期的なパックアップの実施、特別なパックアップの実施、オフサイト保管、リカバリー手順の確立、リカバリー手順の定期的なテストに関するプロセスです
3.障害管理
データセンター運用および一般ユーザーからの障害に関する問合せ受付(ヘルプデスク)、記録、対応、エスカレーション、報告作業に関するプロセスです
4.データメンテナンス
会計情報に関連するデータメンテナンスにおける依頼、承認、変更、確認作業に関するプロセスです
情報セキュリティ管理
1.セキュリティ管理
セキュリティポリシーや各種規程の整備、セキュリティリスクアセスメントの実施に関するプロセスです
2.アカウント管理
ユーザー認証やOS、DB、アプリケーションの特権アカウント管理に関するプロセスです
3.ネットワークセキュリティ管理
ネットワーク接続手順、不正アクセスやサイバー攻撃に対するプロセスに関するプロセスです
4.物理的セキュリティ管理
建物および執務室へのアクセスおよび重要が設置されているエリアヘのアクセス管理に関するプロセスです
IT資産管理
1.会社が保有しているIT資産(PC、サーバー、ネットワーク機器などの機器や各種ソフトウェア)の洗い出しと、これらIT資産のライセンス状況、バージョン管理、各種設定値、棚卸状況等を確認するプロセスです
事業継続管理
1.会社の事業継続計画(BCP)に沿った、情報セキュリティにおける事業継続への対策(二重化の状況、バックアップの取得・移送・保管)に関連した手順等の整備やリストアテストの実施に関するプロセスです
外部委託先管理
1.外部委託先の契約管理およびサービスレベル管理に関するプロセスに関するプロセスです