経産省 システム管理基準 追補版まとめ-6

第4章は、IT統制を構築し、評価するためのガイダンスであり、4つの記述ガイドがあります。

IT統制を整備のために必要となるIT統制方針規定書の記述サンプルとしてまとめています。

この資料を作成するためのいくつかの重要文書は付録にそのサンプル記述を提示しています。

(1)IT統制の統制項目記述には「統制に関する方針」、「統制目標」、「統制の例と統制評価手続の例」が必要である
(2)IT統制記述の分野は「IT全社的統制」、「IT全般統制」、「IT業務処理統制」、「モニタリング」の4分野である
(3)IT統制の統制項目記述はリスク分析が起点である
(4)統制目標、統制項目作成にはシステム管理基準の管理項目を活用していること
4点について、順に解説していきます。

(1)IT統制の方針記述には「統制に関する方針」、「統制目標」、「統制の例と統制評価手続の例」が必要

【統制に関する指針】は、 IT統制事項に対するIT統制の主旨と考慮点を「指針」としてまとめています。
IT全社的統制は金融庁の実施基準(参考1)注をもとに、5つの基本的要素に対するIT統制の観点で整理し、その他の統制の指針はシステム管理基準の管理基準を参照して作成されています。
(注)5つの基本的要素に対する全社的要素の統制状況をチェック項目としてまとめた資料です。

【統制目標の例】は、「システム管理基準」の管理項目を基礎にその目標としての統制目標例を作成しています。
【統制の例と統制評価手続の例】は、それぞれの統制目標(IT統制としてあるべき状態を表す)に対して想定されるリスクを「リスクの例」欄に、そのリスク対処としての統制対策を「統制の例」欄に記載しています。

そして、この統制の実施及び検証手続の例を「統制評価手続の例」の欄として記述しています。

(2)IT統制の記述分野は「IT全社的統制」、「IT全般統制」、「IT業務処理統制」、「モニタリング」

IT統制の方針の記述は、「IT全社的方針」のもとに、「IT全般統制」、「IT業務処理統制」、「モニタリング」の方針が作成されることになります。

モニタリングは各IT統制のモニタリングを集約した分野です。

以上で、今回は終わります。

次回は、「経産省 システム管理基準まとめ-7」 では第4章の要点のつづきを整理します。

シェアする

  • このエントリーをはてなブックマークに追加

フォローする