95-システム監査技術者(note移行前) のバックアップ(No.2)

 

●午後2の対策

 

・知識外

OK→「である」、「なぜならば・・・~と考えたからである」、「なぜならば・・・~と考えた根拠は・・・だからである」

NG→「ですます」、「思う」、「~ため」

 

・三章(問題ウ)を解くための知識やノウハウ

 

第二章でチェックすべきリスクを概ね洗い出すパターンが多い、これを踏まえて

そのリスクをコントロールするパターンをさらに整理しておくと書きやすい。

 

●監査方法のあれこれ(定番)

・戦略のコントール→経営戦略と整合したシステム化計画か

・信頼性のコントロール→品質、障害予防、レスポンスタイム

・安全性のコントロール→セキュリティ面

・機密性のコントロール→アクセス権とか

・可用性のコントロール→障害体制、復旧、可用性

 

※以下のコントロールは利用頻度ひくいかも

・有効性のコントロール→業務目的に合致してるか

・準拠性のコントロール→法令

・完全性のコントロール→情報システムが正しく完全である状態の維持

 

★各カテゴリに共有するざっくりコントロール

・ルールや計画の書類があるか

・ルールやドキュメント類は承認を得ているか(議事録)

・そのルールに沿って運用できてるかチェックする(いろんな記録やインタビュ)

・セキュリティはよいか

 

★監査技法

・チェックリスト

・ドキュメントレビュー

・突合、照合

・現地調査

・インタビュー

 

★開発系の監査手続き(コントロール)

●要件定義

・企画書や計画書等の文書が作成されていること。

・関係部門も含めて文書をレビューしきちんと検討してるか(議事録みる)

・テスト仕様書がつくられているか

●運用

・運用手順書やマニュアル、ルール類がそろっているか

・そのルールに従い運用できているかチェックする

・チェックリストなど

●保守

・保守改修のルールはあるか

・保守計画はあるか

 

★要件定義系の監査手続き(コントロール)