ITプロセス統制の要件-業務処理統制その2

今回は、「ITプロセス統制の要件」の中で、COBITの「業務処理統制」の続きを、述べてみようと思います。

(3)「データ処理コントロール」では、3つのコントロール項目があります。

★「AC9 データ処理のインテグリティ」
データ処理手続において職務分離が維持され、実施作業が定期的に確認され、更新
コントロールが整備されていることが手続として保証されることをいいます。

★「AC10 データ処理の妥当性チェックおよび編集」は、
手続を定め、データ処理の妥当性チェック、認証、および編集を可能な限り、処理
直後に行うこととしています。

★「AC11 データ処理のエラー処理」とは、
エラー処理手続を定め、誤りのあるトランザクションの特定が可能になり、また、
不当な処理の中断も回避できることです。
予防的エラー対処と発生的エラー対処が必要になります。

(4)「データ出力コントロール」では、5つのコントロール項目があります。

★「AC12 出力の処理とコントロール」は、
出力の処理と保持は手続に沿って実施し、プライバシー要件およびセキュリティ
要件が考慮されていることをいいます。

★「AC13 出力の配布」とは、
アウトプットの配布手続が定義、周知、および遵守されることです。

★「AC14 出力のバランス保持と調整」は、
出力は関連する総合コントロールに合わせて定期的にバランスが図られ、監査証跡
によりトランザクションの追跡と破損データの補正が可能であることが必要として
います。
そのために、ログの記録は必須事項になります。

★「AC15 出力のレビューとエラー処理」は、
手続により、出力報告の正確性に関するレビューの実施が保証され、エラー特定と
手続が保証されることです。エラー発生時のインシデント管理や原因把握のための
問題管理等の仕組みが求められます。

★「AC16 出力報告のセキュリティ確保」とは、
手続により、ユーザーへの配布前後の出力報告のセキュリティ保守が行われている
ことが保証されることです。 特に配布後の処置に対するセキュリティの確保手続
きが必要です。

(5)境界におけるコントロール

このコントロールは、自社管理下以外の外部企業等との情報のやり取りにおける統制
です。
★「AC17 真正性とインテグリティ」とは、
組織の外部で作成された情報について、 重大な処理を行う前に、情報媒体の真正性
とインテグリティを検証することです。真正性とは、偽りでないことをいい、責任
と媒体が本物であることに認証があり、インティグリティとは、正確性と網羅性を
含めた意味があります。
つまり、処理するファイルのデータ等が処理対象として正しいデータであり、デー
タが正確でもれなく処理されるように統制できることです。

★「AC18 送信中や移送中の機密情報の保護」は、
送信時および移送時における不正なアクセス、改変、および宛先間違い等からの
機密情報が十分に保護されることです。

以上の項目は、経産省の「システム管理基準 追補版」の追加付録がサンプル付で平成19年10月16日に公示しました。IT業務処理統制の統制項目のサンプル記述があります。
COBITを参考にしていることが良く分かりますね。参考になりますのでご案内します。
こちらです。
http://search.e-gov.go.jp/servlet/Public?CLASSNAME=Pcm1010&BID=595207037&OBJCD=&GROUP=

今回はここで終わります。
次回は、「IT成熟度モデル-その1」で、COBIT4.0のIT成熟度全体像と一般成熟度モデルを解説します。

シェアする

  • このエントリーをはてなブックマークに追加

フォローする