95-システム監査技術者(note移行前) のビジュアル編集 Top > 95-システム監査技術者(note移行前) <br /><p>●午後2の対策</p><br /><p>・知識外</p><p>OK→「である」、「なぜならば・・・~と考えたからである」、<span style="font-size:16px; line-height:130%">「なぜならば・・・~と考えた根拠は・・・だからである」</span></p><p>NG→「ですます」、「思う」、「~ため」</p><br /><p>・三章(問題ウ)を解くための知識やノウハウ</p><br /><p>第二章でチェックすべきリスクを概ね洗い出すパターンが多い、これを踏まえて</p><p>そのリスクをコントロールするパターンをさらに整理しておくと書きやすい。</p><br /><p>●監査方法のあれこれ(定番)</p><p>・戦略のコントール→経営戦略と整合したシステム化計画か</p><p>・信頼性のコントロール→品質、障害予防、レスポンスタイム</p><p>・安全性のコントロール→セキュリティ面</p><p>・機密性のコントロール→アクセス権とか</p><p>・可用性のコントロール→<span style="font-size:16px; line-height:130%">障害体制、復旧、可用性</span></p><br /><p>※以下のコントロールは利用頻度ひくいかも</p><p>・有効性のコントロール→業務目的に合致してるか</p><p><span style="font-size:16px; line-height:130%">・準拠性のコントロール→法令</span></p><p><span style="font-size:16px; line-height:130%">・完全性のコントロール→情報システムが正しく完全である状態の維持</span></p><br /><p>★各カテゴリに共有するざっくりコントロール</p><p>・ルールや計画の書類があるか</p><p>・ルールやドキュメント類は承認を得ているか(議事録)</p><p>・そのルールに沿って運用できてるかチェックする(いろんな記録やインタビュ)</p><p>・セキュリティはよいか</p><br /><p>★監査技法</p><p>・チェックリスト</p><p>・ドキュメントレビュー</p><p>・突合、照合</p><p>・現地調査</p><p>・インタビュー</p><br /><p>★開発系<span style="font-size:16px; line-height:130%">の監査手続き(コントロール)</span></p><p>●要件定義</p><p>・企画書や計画書等の文書が作成されていること。</p><p>・関係部門も含めて文書をレビューしきちんと検討してるか(議事録みる)</p><p>・テスト仕様書がつくられているか</p><p>●運用</p><p>・運用手順書やマニュアル、ルール類がそろっているか</p><p>・そのルールに従い運用できているかチェックする</p><p>・チェックリストなど</p><p>●保守</p><p>・保守改修のルールはあるか</p><p>・保守計画はあるか</p><br /><br /><p>●コントロールのテンプレ</p><br /><p>1.戦略性のコントロール(IT投資系)</p><p>・経営戦略との整合性がとれているか、計画時に複数の選択しを評価しているか、投資に関するモニタリングをしているか</p><p> 投資効果の算出をしているか、投資予算のモニタしているか、投資費用が適正であったか</p><br /><p>2.有効性コントロール(ガバナンス系)</p><p>・業務プロセスの適切性や妥当性を点検、評価、検証</p><br /><p>3.効率性のコントロール</p><p>・費用対効果</p><p>・レスポンスタイム、処理時間、CPUやメモリの使用量、回線使用料</p><br /><p>4.信頼性のコントロール</p><p>・レスポンスタイムが一定基準内にあること、障害の発生を未然に防ぎ安定した運用が維持できていること</p><p> データのインテグリティが確保されていること、障害が発生しても迅速に復旧できること</p><br /><p>5.準拠性のコントロール(コンプラ)</p><p>・関連法令、契約、内部規程など守るべきルールを遵守している度合い コンプライアンスの評価</p><br /><p>6.安全性のコントロール(セキュリティ)</p><p>・セキュリティコントロールの整備、運用</p><br /><p>7.機密性のコントロール<span style="font-size:16px; line-height:130%">(セキュリティ)</span></p><p>・情報システムのアクセスコントロールの適切性や妥当性を点検、評価、検証</p><br /><p>8.完全性のコントロール<span style="font-size:16px; line-height:130%">(セキュリティ)</span></p><p>・正当性、正確性、整合性 データの保全 → 情報システムが正しく完全である状態の維持</p><br /><p>9.可用性のコントロール</p><p>・使用者が必要なときに使用できる確実性を確保すること</p><p> </p> #br ●午後2の対策 #br ・知識外 OK→「である」、「なぜならば・・・~と考えたからである」、&size(16){「なぜならば・・・~と考えた根拠は・・・だからである」}; NG→「ですます」、「思う」、「~ため」 #br ・三章(問題ウ)を解くための知識やノウハウ #br 第二章でチェックすべきリスクを概ね洗い出すパターンが多い、これを踏まえて そのリスクをコントロールするパターンをさらに整理しておくと書きやすい。 #br ●監査方法のあれこれ(定番) ・戦略のコントール→経営戦略と整合したシステム化計画か ・信頼性のコントロール→品質、障害予防、レスポンスタイム ・安全性のコントロール→セキュリティ面 ・機密性のコントロール→アクセス権とか ・可用性のコントロール→&size(16){障害体制、復旧、可用性}; #br ※以下のコントロールは利用頻度ひくいかも ・有効性のコントロール→業務目的に合致してるか &size(16){・準拠性のコントロール→法令}; &size(16){・完全性のコントロール→情報システムが正しく完全である状態の維持}; #br ★各カテゴリに共有するざっくりコントロール ・ルールや計画の書類があるか ・ルールやドキュメント類は承認を得ているか(議事録) ・そのルールに沿って運用できてるかチェックする(いろんな記録やインタビュ) ・セキュリティはよいか #br ★監査技法 ・チェックリスト ・ドキュメントレビュー ・突合、照合 ・現地調査 ・インタビュー #br ★開発系&size(16){の監査手続き(コントロール)}; ●要件定義 ・企画書や計画書等の文書が作成されていること。 ・関係部門も含めて文書をレビューしきちんと検討してるか(議事録みる) ・テスト仕様書がつくられているか ●運用 ・運用手順書やマニュアル、ルール類がそろっているか ・そのルールに従い運用できているかチェックする ・チェックリストなど ●保守 ・保守改修のルールはあるか ・保守計画はあるか #br #br ●コントロールのテンプレ #br 1.戦略性のコントロール(IT投資系) ・経営戦略との整合性がとれているか、計画時に複数の選択しを評価しているか、投資に関するモニタリングをしているか 投資効果の算出をしているか、投資予算のモニタしているか、投資費用が適正であったか #br 2.有効性コントロール(ガバナンス系) ・業務プロセスの適切性や妥当性を点検、評価、検証 #br 3.効率性のコントロール ・費用対効果 ・レスポンスタイム、処理時間、CPUやメモリの使用量、回線使用料 #br 4.信頼性のコントロール ・レスポンスタイムが一定基準内にあること、障害の発生を未然に防ぎ安定した運用が維持できていること データのインテグリティが確保されていること、障害が発生しても迅速に復旧できること #br 5.準拠性のコントロール(コンプラ) ・関連法令、契約、内部規程など守るべきルールを遵守している度合い コンプライアンスの評価 #br 6.安全性のコントロール(セキュリティ) ・セキュリティコントロールの整備、運用 #br 7.機密性のコントロール&size(16){(セキュリティ)}; ・情報システムのアクセスコントロールの適切性や妥当性を点検、評価、検証 #br 8.完全性のコントロール&size(16){(セキュリティ)}; ・正当性、正確性、整合性 データの保全 → 情報システムが正しく完全である状態の維持 #br 9.可用性のコントロール ・使用者が必要なときに使用できる確実性を確保すること ページの更新 通常編集モードに切り替える データ参照プラグイン 入力支援ツールを表示 ▼参照先ページ選択:データを表示 元データの書式(インラインプラグイン)を継承する
