95-システム監査技術者(note移行前) の変更点

• 追加された行はこの色です。
• 削除された行はこの色です。
• 95-システム監査技術者(note移行前) へ行く。
• 95-システム監査技術者(note移行前) の差分を削除

#br
●午後２の対策
#br
・知識外

OK→「である」、「なぜならば・・・～と考えたからである」、&size(16){「なぜならば・・・～と考えた根拠は・・・だからである」};

NG→「ですます」、「思う」、「～ため」
#br
・三章（問題ウ）を解くための知識やノウハウ
#br
第二章でチェックすべきリスクを概ね洗い出すパターンが多い、これを踏まえて

そのリスクをコントロールするパターンをさらに整理しておくと書きやすい。
#br
●監査方法のあれこれ（定番）

・戦略のコントール→経営戦略と整合したシステム化計画か

・信頼性のコントロール→品質、障害予防、レスポンスタイム

・安全性のコントロール→セキュリティ面

・機密性のコントロール→アクセス権とか

・可用性のコントロール→&size(16){障害体制、復旧、可用性};
#br
※以下のコントロールは利用頻度ひくいかも

・有効性のコントロール→業務目的に合致してるか

&size(16){・準拠性のコントロール→法令};

&size(16){・完全性のコントロール→情報システムが正しく完全である状態の維持};
#br
★各カテゴリに共有するざっくりコントロール

・ルールや計画の書類があるか

・ルールやドキュメント類は承認を得ているか（議事録）

・そのルールに沿って運用できてるかチェックする（いろんな記録やインタビュ）

・セキュリティはよいか
#br
★監査技法

・チェックリスト

・ドキュメントレビュー

・突合、照合

・現地調査

・インタビュー
#br
★開発系&size(16){の監査手続き（コントロール）};

●要件定義

・企画書や計画書等の文書が作成されていること。

・関係部門も含めて文書をレビューしきちんと検討してるか（議事録みる）

・テスト仕様書がつくられているか

●運用

・運用手順書やマニュアル、ルール類がそろっているか

・そのルールに従い運用できているかチェックする

・チェックリストなど

●保守

・保守改修のルールはあるか

・保守計画はあるか
#br
&size(16){★要件定義系};&size(16){の監査手続き（コントロール）};
#br
●コントロールのテンプレ
#br
１．戦略性のコントロール(IT投資系)

・経営戦略との整合性がとれているか、計画時に複数の選択しを評価しているか、投資に関するモニタリングをしているか

　投資効果の算出をしているか、投資予算のモニタしているか、投資費用が適正であったか
#br
２．有効性コントロール(ガバナンス系)

・業務プロセスの適切性や妥当性を点検、評価、検証
#br
３．効率性のコントロール

・費用対効果

・レスポンスタイム、処理時間、CPUやメモリの使用量、回線使用料
#br
４．信頼性のコントロール

・レスポンスタイムが一定基準内にあること、障害の発生を未然に防ぎ安定した運用が維持できていること

　データのインテグリティが確保されていること、障害が発生しても迅速に復旧できること
#br
５．準拠性のコントロール(コンプラ)

・関連法令、契約、内部規程など守るべきルールを遵守している度合い　コンプライアンスの評価
#br
６．安全性のコントロール(セキュリティ)

・セキュリティコントロールの整備、運用
#br
７．機密性のコントロール&size(16){(セキュリティ)};

・情報システムのアクセスコントロールの適切性や妥当性を点検、評価、検証
#br
８．完全性のコントロール&size(16){(セキュリティ)};

・正当性、正確性、整合性　データの保全　→　情報システムが正しく完全である状態の維持
#br
９．可用性のコントロール

・使用者が必要なときに使用できる確実性を確保すること