「システム監査基準」、「システム管理基準」を読む その2
土曜日は、「システム監査基準」、「システム管理基準」を読むと決めました
今回は、システム管理基準の前文です。
■前文
・組織体の情報システム:組織のインフラ
→ネットワーク化 :社会のインフラ
→多様化、複雑化 :さまざまなリスク顕在化
→利害関係者も :社会へと広がっている
・従ってこのような情報システムにまつわるリスクを
適切にコントロールすることが組織体における重要な
経営課題
・システム監査:リスクコントロールが適切に整備・運用
されていることを担保する有効な手段
→ITガバナンスの実現に寄与
・組織体が情報システムにまつわるリスクコントロールを
整備・運用する目的
・情報システムが、経営方針、戦略目標の実現に貢献
・情報システムが、安全、有効、効率的に機能
・情報システムが、情報の信頼性を保つ
・情報システムが、関連法規、契約、内部規程などに準拠
・システム監査基準
経営戦略に従って効果的な情報システム戦略を立案
情報システムの企画・開発・運用・保守(ライフサイクル)中で
効率的な情報システム投資のため
リスクを低減するためのコントロールを適切に運用整備
するための実践規範
・システム監査基準は
システム監査基準に従って監査する場合、
原則として監査人が監査の判断の尺度として用いるべき基準
→ただし、必要があれば、独自の管理基準を策定
詳細なサブコントロール項目を策定することが望ましい
・情報セキュリティの観点から監査を実施する場合
情報セキュリティ監査制度に基づく除法セキュリティ監査
システム監査基準の情報セキュリティの確保に関連する項目
→それぞれの項目について、情報セキュリティ管理基準を活用して
監査を実施することが望ましい。