ITエンジニアが取り組む内部統制>リスク1:アクセス権管理が甘い:ITpro
内部統制を確立する上で,あらかじめ決められた権限以上の操作をできないようにすることは欠かせない。米SOX法対応に取り組んだファイザー日本法人の崎田史也氏は,「アクセス権管理として,システム部門が最優先すべき作業があった」と振り返る。 日本版SOX法では,年度末に監査法人が適切に内部統制されているかを確認する。そのとき,前回示した「(1)アクセス権管理が甘い」「(2)不正入力が可能」「(3)開発と運用が分離できていない」「(4)変更管理ができていない」という状況のままだと,不適切だと判断されるだろう。この大きな四つのリスクをどのようにつぶせばいいのか,順に見ていこう。 部門長に権限リスト配布 内部統制を確立する上で,あらかじめ決められた権限以上の操作をできないようにすることは欠かせない対策の一つだ。例えば,本来なら部長でないと承認できないことが,システム上,一般社員でも承認できるという状況で
個人情報ずさん管理 滞納状況など個人保管 セキュリティー不備(産経新聞) - Yahoo!ニュース
■都主税局、監査で指摘 専門機関の指示放置も 東京都主税局の23カ所の部署で、機密性の高い個人情報を含んだ外部記録媒体(USBメモリーなど)が長期にわたって職員による個人保管となっていたことが9日、平成20年度の都の包括外部監査報告で分かった。局内の外部記録媒体の保有状況も不明で、不正な持ち出しや情報漏洩(ろうえい)を防止、発見できない状況にあった。機密情報に絡みシステムのパスワードの初期設定が変更されていないなど、不正アクセスが容易な環境が放置されていたことも判明。包括外部監査は情報管理体制の不備を指摘し、早期の是正を求めた。 包括外部監査報告によると、主税局では外部記録媒体の保有個数、機密情報入力の有無などが正確に報告されておらず、保有状況をまとめた資料に「記載内容漏れが多い」と指摘。個人の滞納状況など機密性の高い情報を含んだ外部記録媒体を職員が個人保管しているため、「管理が属人化
COBITの紹介
COBIT5の紹介 COBIT: 今、ひとつの完成した「事業体のITのガバナンス」 (GEIT)のためのビジネスフレームワーク ISACAからのビジネスフレームワーク http://www.isaca.org/cobit COBIT 5 フレームワーク メインはCOBIT 5プロダクト全体の包括 エグゼクティブサマリーとCOBIT 5フレームワークの全ての要素について記述。 ・ COBIT5の5つのプリンシプル ・ COBIT5の7つのイネーブラー と ・ ISACAによって提供される導入ガイダンスの紹介 (COBIT 5 導入) ・ COBITアセスメントプログラムの紹介(COBIT 5固有ではない)及び、ISACAによってCOBITに採用されているプロセス能力アプローチの紹介。 COBIT 5 プロダクトファミリー COBIT 5の5つのプリンシプル 1. ステークホルダーのニーズへの
統制の鍵となるシステムセキュリティ保証とは
アイデンティティ管理で求められること アイデンティティ管理とアクセス管理は密接に結び付いているため、どこまでをアイデンティティ管理とするかは難しいのですが、SOX法対応におけるアイデンティティ管理の要件として、「システム上のIDとIDにひも付く情報の管理」の要件をまとめてみました。 利用者個人とIDが1対1であること 当たり前のことですが、データ・プログラムに対して、アクセスするのは利用者個人(人間)であり、システム上で利用者の制御を行うために、利用者個人を特定する(Identify)IDが使われます。従って、システム上において、利用者個人とIDは1対1の関係である必要があります。 通常この関係は保たれているのですが、この関係が保たれていない場合があります。 まず、「ゴーストID」と呼ばれる退職者のIDや利用者不明のIDです。この場合、利用者とIDの関係は、0対1となります。このためゴース
あずさ監査法人 | IT全社統制およびIT全般統制の文書化ポイント Page1
2007.08 ページ| 1 | 2 | 3 | 4 | IT全社統制およびIT全般統制の文書化ポイント 日本における財務報告に係る内部統制の評価及び監査への対応、とりわけIT統制に係る文書化については、何をどのように対応してよいか、また効率的に進めるにはどうしたらよいか、判断に困る管理者も多いと思われる。文書化にあたっての基本的な考え方は実施基準に記載してある通りであるが、本章ではもう少し具体的な項目を示しながら、社内のIT統制を把握、評価し、その結果を文書化する方法について述べる(IT業務処理統制(ITAC)については「IT業務処理統制の文書化ポイント」で述べるため、IT全社統制(ITCLC)およびIT全般統制(ITGC)に焦点をあてて説明する)。 IT統制の分類 IT統制を文書化、評価するにあたっては、IT統制を適切に分類し、それぞれの特性に応じて文書化、評価する
[名物記者のトレンド解説]J-SOX対応工数削減のカギは監査人との徹底した対話---日経コンピュータ
ITpro EXPO 2008 Autumnで,記者自ら講演する「名物記者のトレンド解説」のトップバッターを務めたのはERP(統合基幹業務システム)パッケージやJ-SOX(日本版SOX法)の動向を中心に追う日経コンピュータの島田優子記者。2008年10月15日に「まだ間に合う!J-SOXの勘所」について講演した(写真)。 J-SOXは08年4月以降に始まる事業年度から適用が始まっている。10月時点で対応に残された期間は半年しかない。米SOX法(サーベインズ・オクスリー法)対応企業や,内部統制監査を実施する監査人,J-SOX対応を手がけるコンサルタントなどへの取材を通じて,「システム部門の担当者が残り半年を有効に活用するには,J-SOXの対象である業務の再確認に加え,監査人との徹底した対話が欠かせない」と島田記者は強調した。 IT全般統制と業務処理統制のズレに注意 システム部門が手がけるJ-
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
統制管理手順書 サンプル | 遠隔地リアルタイムバックアップソフトウェア Secure Back 3 | ネットワークセキュリティ製品 | 網屋
アイティメディアID:セッションエラー
あずさ監査法人 | IT全社統制およびIT全般統制の文書化ポイント Page2