95-システム監査技術者(note移行前)

●午後２の対策

・知識外

OK→「である」、「なぜならば・・・～と考えたからである」、「なぜならば・・・～と考えた根拠は・・・だからである」

NG→「ですます」、「思う」、「～ため」

・三章（問題ウ）を解くための知識やノウハウ

第二章でチェックすべきリスクを概ね洗い出すパターンが多い、これを踏まえて

そのリスクをコントロールするパターンをさらに整理しておくと書きやすい。

●監査方法のあれこれ（定番）

・戦略のコントール→経営戦略と整合したシステム化計画か

・信頼性のコントロール→品質、障害予防、レスポンスタイム

・安全性のコントロール→セキュリティ面

・機密性のコントロール→アクセス権とか

・可用性のコントロール→障害体制、復旧、可用性

※以下のコントロールは利用頻度ひくいかも

・有効性のコントロール→業務目的に合致してるか

・準拠性のコントロール→法令

・完全性のコントロール→情報システムが正しく完全である状態の維持

★各カテゴリに共有するざっくりコントロール

・ルールや計画の書類があるか

・ルールやドキュメント類は承認を得ているか（議事録）

・そのルールに沿って運用できてるかチェックする（いろんな記録やインタビュ）

・セキュリティはよいか

★監査技法

・チェックリスト

・ドキュメントレビュー

・突合、照合

・現地調査

・インタビュー

★開発系の監査手続き（コントロール）

●要件定義

・企画書や計画書等の文書が作成されていること。

・関係部門も含めて文書をレビューしきちんと検討してるか（議事録みる）

・テスト仕様書がつくられているか

●運用

・運用手順書やマニュアル、ルール類がそろっているか

・そのルールに従い運用できているかチェックする

・チェックリストなど

●保守

・保守改修のルールはあるか

・保守計画はあるか

●コントロールのテンプレ

１．戦略性のコントロール(IT投資系)

・経営戦略との整合性がとれているか、計画時に複数の選択しを評価しているか、投資に関するモニタリングをしているか

　投資効果の算出をしているか、投資予算のモニタしているか、投資費用が適正であったか

２．有効性コントロール(ガバナンス系)

・業務プロセスの適切性や妥当性を点検、評価、検証

３．効率性のコントロール

・費用対効果

・レスポンスタイム、処理時間、CPUやメモリの使用量、回線使用料

４．信頼性のコントロール

・レスポンスタイムが一定基準内にあること、障害の発生を未然に防ぎ安定した運用が維持できていること

　データのインテグリティが確保されていること、障害が発生しても迅速に復旧できること

５．準拠性のコントロール(コンプラ)

・関連法令、契約、内部規程など守るべきルールを遵守している度合い　コンプライアンスの評価

６．安全性のコントロール(セキュリティ)

・セキュリティコントロールの整備、運用

７．機密性のコントロール(セキュリティ)

・情報システムのアクセスコントロールの適切性や妥当性を点検、評価、検証

８．完全性のコントロール(セキュリティ)

・正当性、正確性、整合性　データの保全　→　情報システムが正しく完全である状態の維持

９．可用性のコントロール

・使用者が必要なときに使用できる確実性を確保すること