運用

監査証跡とは

監査証跡とは、システム監査人が追跡可能なようにデータ処理内容や処理過去を時系列的に記録したものです。

• 完全性

  例）
  原始記録、中間記録、終了記録

• 機密性

  例）
  アクセスログ

• 可用性

  例）
  ハードウェア・ソフトウェアモニタによる監視
  CPUの性能評価レポート

• 信頼性

  例)
  プログラムメンテナンス履歴
  ハードウェア障害ログ
  単体テスト結果報告書

• 効率性

  ユーザニーズ分析書
  費用対効果分析表

• 安全性

  何らかの危険が迫った際の抵抗力
  例）
  アクセスログ、オペレーションログ

予備調査とは

予備調査とは、システム監査を効率的に実施するための事前調査です。

監査調書とは

監査調書とは、非監査部門から入手した資料、監査人が作成した資料を含む全ての証拠資料です。

情報セキュリティ監査基準とは

情報セキュリティ監査基準は、監査対象からの独立性を持つ必要があります。

情報セキュリティに関連する法律

• 著作権法
• 不正競争防止法

  機密情報を保護するための法律です。

• 不正アクセス禁止法
• 個人情報保護法
• SOX法
• e文書法
• 電子署名法

情報セキュリティに関連する制度、企画

• プライバシーマーク制度
• ISO15408

  セキュリティー製品に関する国際標準です。

• ISO270002

  ISMS(情報セキュリティーマネージメント)の規範です。

• JISQ 27001:2006 (ISO/IEX 27001:2005)　情報セキュリティマネージメントシステム 要求事項

  ISMS 適合性評価制度の認証基準で、経営陣は下記責任を求められています。

  • 基本方針の確立
  • 経営資源の提供
  • リスク受容基準および受容可能レベルの決定
  • 内部監査実施
  • マネージメントレビューなどによるコミットメントの証拠
• JISQ 9000:2006品質マネージメントシステム　基本および用語

  是正処置(corrective action)とは、検出された不適合又は、その他の検出された望ましくない状況の原因を除去するための処置です。

• ISO 9001シリーズ

  組織における品質マネージメントシステムの企画です。

  • ISO9001 ： 要求事項
  • ISO9001 ： 2000 : 経営者の責任

    トップマネージメントは、品質マネージメントシステムの構成及び実施、並びにその有効性を継続的に改善することに対するコミットメントの証拠を次の事項によって示す必要があります。
    a) 法令、規制要求事項を満たすことは当然のこととして、顧客要求事項を満たすことの重要性を組織内に周知する。
    b) 品質方針を設定する。
    c) 品質目標が設定されていることを確実にする。
    d) マネージメントレビューを実施する。
    e) 資源が使用できる事を確実にする。

  • ISO9004 ： パフォーマンス改善
• JISX 5070シリーズ (ISO / IEC15408)

  情報処理製品の評価と認証のためのセキュリティー機能と保証要件を規定した規格で、EAL1～ EAL7のレベルで規定されています。

• JISX 5080シリーズ
  • JISX 5080 事業継続管理11.1.1

    重要な業務手続きの識別および、優先順位決めも含め組織が直面しているリスクをその可能性および影響の面から理解する必要があります。
    対策例）
    複数の連絡手段による連絡先をまとめる。

  • JISX 5080 事業継続計画の試験、維持及び再評価　11.1.5

    実際の交代手段に基づく施設、装置、要員、方法で計画野試験を定期的に行い評価します。
    ※代替手順野文書化

  • JISX 5080 搬送中の媒体のセキュリティー

    取扱いに慎重を要する情報を認可されていない、露呈又は、改ざんから保護するために、必要ならば特別な管理策を採用することが望ましい。
    対策例）
    施錠されたコンテナで保管する。
    デジタル署名
    暗号

  • JISX 5080 システム試験データの保護

    運用情報は試験を完了した後、直ちに試験運用システムから削除して返却する必要があります。

  • JISX 5080 第３者アクセスのセキュリティー

    情報の機密性が特に必要な場合は、守秘義務契約を用いることになります。

ISMS適合性評価制度

情報システムの安全対策基準です。