文書管理 1. 文書管理ツール...2009/11/30 · 開発 ai2...
TRANSCRIPT
-
ITツール適用項目表 (1/32)
■文書管理
1. 文書管理ツール
ツール適用領域 フレームワークとの関係システム管理基準項目番号
管理項目 発生リスク 統制項目 実施基準 COBIT® for SOX
Ⅱ-02-0-(04)企画(分析)
ユーザニーズは文書化し、ユーザ部門が確認すること。
ユーザニーズの調査結果を的確に開発計画の策定、開発業務に反映することができない。
要求定義書等はユーザ部門責任者のレビュ/承認 を受ける。
開発 AI2 アプリケーション調達と保守&変更管理
Ⅱ-03-0-(01)企画(調達)
調達の要求事項は、開発計画及び、ユーザニーズに基づき作成し、ユーザ、開発、運用及び保守の責任者が承認すること。
構築する情報システムの機能、性能、品質等の要求が、計画とおりに達成することができない。
調達要求事項は、ユーザ部門責任者及び、システム部門責任者(企画/開発/保守運用)のレビュ・承認 を受ける。
開発運用
AI2 アプリケーション調達と保守&変更管理
Ⅱ-03-0-(01)企画(調達)
調達の要求事項は、開発計画及び、ユーザニーズに基づき作成し、ユーザ、開発、運用及び保守の責任者が承認すること。
構築する情報システムの機能、性能、品質等の要求が、計画とおりに達成することができない。
調達要求事項レビュ実施記録 を作成し、保存 する。
開発運用
AI2 アプリケーション調達と保守&変更管理
Ⅲ-01-0-(01)開発(開発手順)
開発手順は、開発の責任者が承認すること。
開発手順が、システム分析及び要求定義で定めた要員、予算、期間などを満たしているか確認できない。
プロジェクト計画書はシステム部門開任者(企画/開発)のレビュ/承認 を受ける。
開発 AI2 アプリケーション調達と保守&変更管理
Ⅲ-01-0-(01)開発(開発手順)
開発手順は、開発の責任者が承認すること。
開発手順が、システム分析及び要求定義で定めた要員、予算、期間などを満たしているか確認できない。
プロジェクト計画書レビュ実施記録 を作成し、保存 する。
開発 AI2 アプリケーション調達と保守&変更管理
Ⅲ-02-0-(01)開発(システム設計)
システム設計書は、ユーザ、開発、運用及び保守の責任者が承認すること。
ユーザ・開発要員・運用担当者の間で共有物として認知されず、システム設計書の品質が確保できない。大規模なシステムの場合に、システム最適化計画など、全体でのシステム構成が考慮されない。
システム設計書を作成しユーザ部門責任者及び、システム部門責任者(開発/保守運用)のレビュ/承認 を受ける。
開発運用
AI2 アプリケーション調達と保守&変更管理
Ⅲ-02-0-(01)開発(システム設計)
システム設計書は、ユーザ、開発、運用及び保守の責任者が承認すること。
ユーザ・開発要員・運用担当者の間で共有物として認知されず、システム設計書の品質が確保できない。大規模なシステムの場合に、システム最適化計画など、全体でのシステム構成が考慮されない。
システム設計書レビュ実施記録 を作成し、保存する。
開発運用
AI2 アプリケーション調達と保守&変更管理
All Rights Reserved, Copyright (c) JEITA 2009
-
ITツール適用項目表 (2/32)
■文書管理
1. 文書管理ツール
ツール適用領域 フレームワークとの関係システム管理基準項目番号
管理項目 発生リスク 統制項目 実施基準 COBIT® for SOX
Ⅲ-03-0-(01)開発(プログラム設計)
プログラム設計書は、開発の責任者が承認すること。
システム設計との不整合などプログラム設計書の品質が確保できず、確実なプログラミング作業が行われない。
プログラム設計書がシステム設計書と整合性が確保 されているか、確認し承認 する。
開発 AI2 アプリケーション調達と保守&変更管理
Ⅲ-03-0-(05)開発(プログラム設計)
プログラム設計時に発見したシステム設計の矛盾は、システム設計の再検討を行って解決すること。
システム設計の矛盾点を発見しても、フォローする手段がなく、放置されてしまうなど、システム設計及びプログラム設計の整合性が確保できない。
必要に応じてシステム部門とユーザ部門の責任者を含むメンバによるプログラム設計のレビュ/承認 を受ける。
開発 AI2 アプリケーション調達と保守&変更管理
Ⅳ-01-0-(01)運用(運用管理ルール)
運用管理ルールや運用手順は、運用の責任者が承認すること。
運用が円滑・安全または効率的に実行されない。
運用管理ルール及び運用手順のレビュ/承認を受ける。
運用 AI4 操作、運用手続きの作成と維持
Ⅳ-01-0-(01)運用(運用管理ルール)
運用管理ルールや運用手順は、運用の責任者が承認すること。
運用が円滑・安全または効率的に実行されない。
運用管理ルール及び運用手順のレビュ実施/承認記録 を保存 する。
運用 AI4 操作、運用手続きの作成と維持
Ⅳ-01-0-(02)運用(運用管理ルール)
運用管理ルールは、運用設計に基づいて作成すること。
各アプリケーションまたは基本となるインフラストラクチャが前提とする運用要件と不整合となり、安全かつ効率的な運用ができない。
運用管理ルールを運用設計に基づいて作成する。※文書を作成後、承認を受けて保存するため
運用 AI4 操作、運用手続きの作成と維持
Ⅳ-01-0-(03)運用(運用管理ルール)
運用手順は、運用設計や運用管理ルールに基づいて、規模、期間、システム特性等を考慮して作成すること。
運用業務が効率よく実行されない。
運用手順を、運用設計及び運用管理ルールに基づき、かつ規模、期間、およびシステム特性等を考慮して作成する。※文書を作成後、承認を受けて保存するため
運用 AI4 操作、運用手続きの作成と維持
Ⅵ-05-5.1-(01)共通(委託・受託)
委託又は受託の計画は全体最適化計画に基づいて策定し、責任者が承認すること。
委託又は委託業務の内容を具体化することができない。
委託内容について責任者のレビュ/承認 を受ける。
外部 DS2 サードパーティのサービスの管理
Ⅵ-05-5.1-(01)共通(委託・受託)
委託又は受託の計画は全体最適化計画に基づいて策定し、責任者が承認すること。
委託又は委託業務の内容を具体化することができない。
レビュ/承認の実施記録 を作成し、保存 する。 外部 DS2 サードパーティのサービスの管理
Ⅵ-05-5.3-(01)共通(委託・受託)
契約は、委託契約ルール又は受託契約ルールに基づいて締結すること。
委託契約が確実に行われなくなる、あるいは法的要件を満足しないため、コンプライアンス違反を起こ
委託契約ルール又は受託契約ルールに基づき契約を実行したことを承認者が承認 する。
外部 DS2 サードパーティのサービスの管理
All Rights Reserved, Copyright (c) JEITA 2009
-
ITツール適用項目表 (3/32)
■文書管理
1. 文書管理ツール
ツール適用領域 フレームワークとの関係システム管理基準項目番号
管理項目 発生リスク 統制項目 実施基準 COBIT® for SOX
Ⅵ-05-5.3-(06)共通(委託・受託)
業務内容及び責任分担を明確にすること。
事故や障害による損害が発生した場合、保証や損害賠償が適正に行われなくなる。委託先が追加費用を要求することがある。
業務内容及び責任分担の決定事項に関して承認者が承認 する。
外部 DS2 サードパーティのサービスの管理
Ⅵ-05-5.3-(07)共通(委託・受託)
契約締結後の業務内容に追加及び変更が生じた場合、契約内容の再検討を行うこと。
委託先の委託業務内容が不明確になり、円滑に業務を遂行できなくなる。
再検討が実施基準の範囲内であり、かつ再検討結果が当初の全体最適化計画と整合することを承認者が承認 する。
外部 DS2 サードパーティのサービスの管理
Ⅵ-05-5.4-(01)共通(委託・受託)
委託業務の実施内容は、契約内容と一致すること。
委託業務の実施内容に過不足が生じ、違法行為、業務遅延、追加コストが発生する。
検査結果を承認者が承認 する。 外部 DS2 サードパーティのサービスの管理
Ⅵ-05-5.4-(07)共通(委託・受託)
委託した業務の結果を分析及び評価すること。
委託計画の達成状況を把握できないため、委託計画及び委託先選定の品質精度の向上(改善)ができなくなる。
分析および評価の結果を承認者が承認 する。 外部 DS2 サードパーティのサービスの管理
Ⅵ-05-5.5-(01)共通(委託・受託)
受託業務の実施内容は、契約内容を遵守すること。
受託業務の実施内容に過不足が生じるため、違法行為、業務遅延、追加コストが発生する。
遵守を確認したことを承認 する。 外部 DS2 サードパーティのサービスの管理
Ⅳ-06-0-(01)運用(ソフトウェア管理)
ソフトウェア管理ルールを定め、遵守すること。
ソフトウェアを適切に利用できず、不正を防止できない。
ソフトウェア管理ルールは、ユーザ部門責任者および、システム部門責任者(企画/開発/保守運用)のレビュ/承認 を受ける。
運用 DS9 構成管理
Ⅳ-06-0-(01)運用(ソフトウェア管理)
ソフトウェア管理ルールを定め、遵守すること。
ソフトウェアを適切に利用できず、不正を防止できない。
ソフトウェア管理ルールのレビュ/承認 の実施記録 を作成し、保存 する。
運用 DS9 構成管理
Ⅳ-02-0-(11)運用(運用管理)
事故および障害の内容を記録し、情報システムの運用の責任者に報告するこ
事故、障害から迅速に回復することができず、再発を防止できない。
事故及び障害の内容を記録 する。 運用 DS10 問題と事故の管理
Ⅳ-02-0-(11)運用(運用管理)
事故および障害の内容を記録し、情報システムの運用の責任者に報告するこ
事故、障害から迅速に回復することができず、再発を防止できない。
事故及び障害の内容を情報システムの運用の責任者に報告する。※文書を作成後、承認を受けて保存するため
運用 DS10 問題と事故の管理
Ⅳ-02-0-(12)運用(運用管理)
事故および障害の原因を究明し、再発防止の措置を講じること。
同一または類似した事故や障害が繰り返し発生する。
再発防止処置をユーザ部門責任者、システム部門責任者(開発/保守運用)のレビュー/承認を得る。
運用 DS10 問題と事故の管理
Ⅳ-02-0-(12)運用(運用管理)
事故および障害の原因を究明し、再発防止の措置を講じること。
同一または類似した事故や障害が繰り返し発生する。
レビュ実施記録 を作成し保存 する。 運用 DS10 問題と事故の管理
All Rights Reserved, Copyright (c) JEITA 2009
-
ITツール適用項目表 (4/32)
■文書管理
1. 文書管理ツール
ツール適用領域 フレームワークとの関係システム管理基準項目番号
管理項目 発生リスク 統制項目 実施基準 COBIT® for SOX
Ⅲ-02-0-(05)開発(システム設計)
データのインテグリティを確保すること。
データ処理の完全性、正確性、正当性が保証できない。
設計時にレビュを実施し、データ処理の正確性を確認する。※レビュ記録を作成後、承認を受けて保存するため
開発 DS11データ管理
Ⅳ-03-0-(01)運用(入力管理)
入力管理ルールを定め、遵守すること。
入力データの作成、授受、検証、入力実施、入力後の確認、保管等が正しく行われない。
必要に応じて入力の記録を残し、入力管理ルールが遵守されていることを検証する。※検証結果を作成後、承認を受けて保存するため
開発 DS11データ管理
All Rights Reserved, Copyright (c) JEITA 2009
-
ITツール適用項目表 (5/32)
■ワークフロー
2. ワークフローツール
ツール適用領域 フレームワークとの関係システム管理基準項目番号
管理項目 発生リスク 統制項目 実施基準 COBIT® for SOX
Ⅱ-02-0-(04)企画(分析)
ユーザニーズは文書化し、ユーザ部門が確認すること。
ユーザニーズの調査結果を的確に開発計画の策定、開発業務に反映することができない。
要求定義書等はユーザ部門責任者のレビュ/承認 を受ける。
開発 AI2アプリケーション調達と保守&変更管理
Ⅱ-03-0-(01)企画(調達)
調達の要求事項は、開発計画及び、ユーザニーズに基づき作成し、ユーザ、開発、運用及び保守の責任者が承認すること。
構築する情報システムの機能、性能、品質等の要求が、計画とおりに達成することができない。
調達要求事項は、ユーザ部門責任者及び、システム部門責任者(企画/開発/保守運用)のレビュ・承認 を受ける。
開発運用
AI2 アプリケーション調達と保守&変更管理
Ⅱ-03-0-(01)企画(調達)
調達の要求事項は、開発計画及び、ユーザニーズに基づき作成し、ユーザ、開発、運用及び保守の責任者が承認すること。
構築する情報システムの機能、性能、品質等の要求が、計画とおりに達成することができない。
調達要求事項レビュ実施記録を作成し、保存する。※実施記録を作成後、承認を受けて保存するため
開発運用
AI2 アプリケーション調達と保守&変更管理
Ⅲ-01-0-(01)開発(開発手順)
開発手順は、開発の責任者が承認すること。
開発手順が、システム分析及び要求定義で定めた要員、予算、期間などを満たしているか確認できない。
プロジェクト計画書はシステム部門開任者(企画/開発)のレビュ/承認 を受ける。
開発 AI2 アプリケーション調達と保守&変更管理
Ⅲ-01-0-(01)開発(開発手順)
開発手順は、開発の責任者が承認すること。
開発手順が、システム分析及び要求定義で定めた要員、予算、期間などを満たしているか確認できない。
プロジェクト計画書レビュ実施記録を作成し、保存する。※実施記録を作成後、承認を受けて保存するため
開発 AI2 アプリケーション調達と保守&変更管理
Ⅲ-02-0-(01)開発(システム設計)
システム設計書は、ユーザ、開発、運用及び保守の責任者が承認すること。
ユーザ・開発要員・運用担当者の間で共有物として認知されず、システム設計書の品質が確保できない。大規模なシステムの場合に、システム最適化計画など、全体でのシステム構成が考慮されない。
システム設計書を作成しユーザ部門責任者及び、システム部門責任者(開発/保守運用)のレビュ/承認 を受ける。
開発運用
AI2 アプリケーション調達と保守&変更管理
Ⅲ-02-0-(01)開発(システム設計)
システム設計書は、ユーザ、開発、運用及び保守の責任者が承認すること。
ユーザ・開発要員・運用担当者の間で共有物として認知されず、システム設計書の品質が確保できない。大規模なシステムの場合に、システム最適化計画など、全体でのシステム構成が考慮されない。
システム設計書レビュ実施記録を作成し、保存する。※実施記録を作成後、承認を受けて保存するため
開発運用
AI2 アプリケーション調達と保守&変更管理
All Rights Reserved, Copyright (c) JEITA 2009
-
ITツール適用項目表 (6/32)
■ワークフロー
2. ワークフローツール
ツール適用領域 フレームワークとの関係システム管理基準項目番号
管理項目 発生リスク 統制項目 実施基準 COBIT® for SOX
Ⅲ-03-0-(01)開発(プログラム設計)
プログラム設計書は、開発の責任者が承認すること。
システム設計との不整合などプログラム設計書の品質が確保できず、確実なプログラミング作業が行われない。
プログラム設計書がシステム設計書と整合性が確保 されているか、確認し承認 する。
開発 AI2 アプリケーション調達と保守&変更管理
Ⅲ-03-0-(05)開発(プログラム設計)
プログラム設計時に発見したシステム設計の矛盾は、システム設計の再検討を行って解決すること。
システム設計の矛盾点を発見しても、フォローする手段がなく、放置されてしまうなど、システム設計及びプログラム設計の整合性が確保できない。
必要に応じてシステム部門とユーザ部門の責任者を含むメンバによるプログラム設計のレビュ/承認 を受ける。
開発 AI2 アプリケーション調達と保守&変更管理
Ⅳ-01-0-(01)運用(運用管理ルール)
運用管理ルールや運用手順は、運用の責任者が承認すること。
運用が円滑・安全または効率的に実行されない。
運用管理ルール及び運用手順のレビュ/承認を受ける。
運用 AI4 操作、運用手続きの作成と維持
Ⅳ-01-0-(01)運用(運用管理ルール)
運用管理ルールや運用手順は、運用の責任者が承認すること。
運用が円滑・安全または効率的に実行されない。
運用管理ルール及び運用手順のレビュ実施/承認 記録を保存する。
運用 AI4 操作、運用手続きの作成と維持
Ⅳ-01-0-(02)運用(運用管理ルール)
運用管理ルールは、運用設計に基づいて作成すること。
各アプリケーションまたは基本となるインフラストラクチャが前提とする運用要件と不整合となり、安全かつ効率的な運用ができない。
運用管理ルールを運用設計に基づいて作成する。※文書を作成後、承認を受けて保存するため
運用 AI4 操作、運用手続きの作成と維持
Ⅳ-01-0-(03)運用(運用管理ルール)
運用手順は、運用設計や運用管理ルールに基づいて、規模、期間、システム特性等を考慮して作成すること。
運用業務が効率よく実行されない。
運用手順を、運用設計及び運用管理ルールに基づき、かつ規模、期間、およびシステム特性等を考慮して作成する。※文書を作成後、承認を受けて保存するため
運用 AI4 操作、運用手続きの作成と維持
Ⅵ-05-5.1-(01)共通(委託・受託)
委託又は受託の計画は全体最適化計画に基づいて策定し、責任者が承認すること。
委託又は委託業務の内容を具体化することができない。
委託内容について責任者のレビュ/承認 を受ける。
外部 DS2 サードパーティのサービスの管理
Ⅵ-05-5.1-(01)共通(委託・受託)
委託又は受託の計画は全体最適化計画に基づいて策定し、責任者が承認すること。
委託又は委託業務の内容を具体化することができない。
レビュ/承認 の実施記録を作成し、保存する。 外部 DS2 サードパーティのサービスの管理
Ⅵ-05-5.3-(01)共通(委託・受託)
契約は、委託契約ルール又は受託契約ルールに基づいて締結すること。
委託契約が確実に行われなくなる、あるいは法的要件を満足しないため、コンプライアンス違反を起こ
委託契約ルール又は受託契約ルールに基づき契約を実行したことを承認者が承認 する。
外部 DS2 サードパーティのサービスの管理
All Rights Reserved, Copyright (c) JEITA 2009
-
ITツール適用項目表 (7/32)
■ワークフロー
2. ワークフローツール
ツール適用領域 フレームワークとの関係システム管理基準項目番号
管理項目 発生リスク 統制項目 実施基準 COBIT® for SOX
Ⅵ-05-5.3-(06)共通(委託・受託)
業務内容及び責任分担を明確にすること。
事故や障害による損害が発生した場合、保証や損害賠償が適正に行われなくなる。委託先が追加費用を要求することがある。
業務内容及び責任分担の決定事項に関して承認者が承認 する。
外部 DS2 サードパーティのサービスの管理
Ⅵ-05-5.3-(07)共通(委託・受託)
契約締結後の業務内容に追加及び変更が生じた場合、契約内容の再検討を行うこと。
委託先の委託業務内容が不明確になり、円滑に業務を遂行できなくなる。
再検討が実施基準の範囲内であり、かつ再検討結果が当初の全体最適化計画と整合することを承認者が承認 する。
外部 DS2 サードパーティのサービスの管理
Ⅵ-05-5.4-(01)共通(委託・受託)
委託業務の実施内容は、契約内容と一致すること。
委託業務の実施内容に過不足が生じ、違法行為、業務遅延、追加コストが発生する。
検査結果を承認者が承認 する。 外部 DS2 サードパーティのサービスの管理
Ⅵ-05-5.4-(07)共通(委託・受託)
委託した業務の結果を分析及び評価すること。
委託計画の達成状況を把握できないため、委託計画及び委託先選定の品質精度の向上(改善)ができなくなる。
分析および評価の結果を承認者が承認 する。 外部 DS2 サードパーティのサービスの管理
Ⅵ-05-5.5-(01)共通(委託・受託)
受託業務の実施内容は、契約内容を遵守すること。
受託業務の実施内容に過不足が生じるため、違法行為、業務遅延、追加コストが発生する。
遵守を確認したことを承認 する。 外部 DS2 サードパーティのサービスの管理
Ⅲ-02-0-(10)開発(システム設計)
情報システムの障害対策を考慮して設計すること。
情報システムの障害発生を未然に防止できず、障害の影響の最小化・迅速な回復が行えない。信頼性の指標が設定されておらず、障害発生を判別できない。
システム設計の標準化を行う。・要件の妥当性の確認 (レビュ)
開発安全
DS5 システムセキュリティの保証
Ⅲ-02-0-(11)開発(システム設計)
誤謬防止、不正防止、機密保護等を考慮して設計すること。
情報システムの安全性の確保ができず、健全な運用が行えない。リスクが明確にされておらず、コントロールそのものがされない。
システム設計の標準化を行う。・要件の妥当性の確認 (レビュ)
開発安全
DS5 システムセキュリティの保証
All Rights Reserved, Copyright (c) JEITA 2009
-
ITツール適用項目表 (8/32)
■ワークフロー
2. ワークフローツール
ツール適用領域 フレームワークとの関係システム管理基準項目番号
管理項目 発生リスク 統制項目 実施基準 COBIT® for SOX
Ⅳ-06-0-(05)運用(ソフトウェア管理)
ソフトウェアの授受は、ソフトウェア管理ルールに基づいて行うこと。
ソフトウエアの誤使用、不正利用、改ざん等の防止が図れない。
正式なソフトウェア(テスト結果の確認や受入承認済)が本番環境に正確に登録されるよう仕組みを明確に定め、そのルールに則って実施する。①登録依頼の手続き②責任者による登録承認の手続き③正しく登録されたかを登録後に検証する手続き※ルールに則って実施するためには承認が必要なため
開発運用
DS5 システムセキュリティの保証
Ⅳ-06-0-(05)運用(ソフトウェア管理)
ソフトウェアの授受は、ソフトウェア管理ルールに基づいて行うこと。
ソフトウエアの誤使用、不正利用、改ざん等の防止が図れない。
以下の検証を定期的に実施している。①承認済だが登録漏れとなっているプログラムがない②未承認のプログラムが登録されていない③許可されていない者によるプログラム登録がされていない※ルールに則って実施するためには承認が必要なため
開発運用
DS5 システムセキュリティの保証
Ⅳ-06-0-(01)運用(ソフトウェア管理)
ソフトウェア管理ルールを定め、遵守すること。
ソフトウェアを適切に利用できず、不正を防止できない。
ソフトウェア管理ルールは、ユーザ部門責任者および、システム部門責任者(企画/開発/保守運用)のレビュ/承認 を受ける。
運用 DS9 構成管理
Ⅳ-06-0-(01)運用(ソフトウェア管理)
ソフトウェア管理ルールを定め、遵守すること。
ソフトウェアを適切に利用できず、不正を防止できない。
ソフトウェア管理ルールのレビュ/承認 の実施記録を作成し、保存する。
運用 DS9 構成管理
Ⅳ-02-0-(11)運用(運用管理)
事故および障害の内容を記録し、情報システムの運用の責任者に報告するこ
事故、障害から迅速に回復することができず、再発を防止できない。
事故及び障害の内容を記録する。※文書を作成後、承認を受けて保存するため
運用 DS10 問題と事故の管理
Ⅳ-02-0-(11)運用(運用管理)
事故および障害の内容を記録し、情報システムの運用の責任者に報告するこ
事故、障害から迅速に回復することができず、再発を防止できない。
事故及び障害の内容を情報システムの運用の責任者に報告する。※文書を作成後、承認を受けて保存するため
運用 DS10 問題と事故の管理
Ⅳ-02-0-(12)運用(運用管理)
事故および障害の原因を究明し、再発防止の措置を講じること。
同一または類似した事故や障害が繰り返し発生する。
再発防止処置をユーザ部門責任者、システム部門責任者(開発/保守運用)のレビュー/承認を得る。
運用 DS10 問題と事故の管理
Ⅳ-02-0-(12)運用(運用管理)
事故および障害の原因を究明し、再発防止の措置を講じること。
同一または類似した事故や障害が繰り返し発生する。
レビュ実施記録を作成し保存する。※実施記録を作成後、承認を受けて保存するため
運用 DS10 問題と事故の管理
All Rights Reserved, Copyright (c) JEITA 2009
-
ITツール適用項目表 (9/32)
■ワークフロー
2. ワークフローツール
ツール適用領域 フレームワークとの関係システム管理基準項目番号
管理項目 発生リスク 統制項目 実施基準 COBIT® for SOX
Ⅲ-02-0-(05)開発(システム設計)
データのインテグリティを確保すること。
データ処理の完全性、正確性、正当性が保証できない。
設計時にレビュを実施し、データ処理の正確性を確認する。※レビュ記録を作成後、承認を受けて保存するため
開発 DS11データ管理
Ⅳ-03-0-(01)運用(入力管理)
入力管理ルールを定め、遵守すること。
入力データの作成、授受、検証、入力実施、入力後の確認、保管等が正しく行われない。
必要に応じて入力の記録を残し、入力管理ルールが遵守されていることを検証する。※検証結果を作成後、承認を受けて保存するため
開発 DS11データ管理
All Rights Reserved, Copyright (c) JEITA 2009
-
ITツール適用項目表 (10/32)
■ID管理
3. ID管理ツール
ツール適用領域 フレームワークとの関係システム管理基準項目番号
管理項目 発生リスク 統制項目 実施基準 COBIT® for SOX
下記のような手段によりソフトウェアを保護する。・暗号化、パスワード 等のデータ保護・データ格納容器の施錠、封印等・受渡し場所の特定 等
運用安全
DS5 システムセキュリティの保証
重要なソフトウェアの利用は制限されている。(ID作成 や本番環境へのアクセス が可能なユーティリティ類)(対象ソフトウェア指定、使用目的及び使用者の限定など)
運用安全
DS5 システムセキュリティの保証
Ⅳ-02-0-(07)運用(運用管理)
オペレータの交替は、運用管理ルールに基づいて行うこと。
業務処理の正確性や円滑な遂行が図られない。
交替時の記録を残す。※運用管理ルールに応じた利用者のID管理
運用 DS11 データ管理
Ⅳ-03-0-(01)運用(入力管理)
入力管理ルールを定め、遵守すること。
入力データの作成、授受、検証、入力実施、入力後の確認、保管等が正しく行われない。
必要に応じて入力の記録を残し、入力管理ルールが遵守されていることを検証する。※入力管理ルールに応じた利用者のID管理
運用 DS11 データ管理
Ⅳ-05-0-(03)運用(出力管理)
出力情報の作成手順、取扱い等は誤謬防止、不正防止、機密保護等の対策を講じること。
改ざん、盗難、漏洩等の防止が図られない。
出力情報の機密度に応じて取扱者を限定 する。 運用 DS11 データ管理
Ⅳ-06-0-(02)運用(ソフトウェア管理)
ソフトウェアへのアクセスコントロール及びモニタリングは、有効に機能すること。
ソフトウエアの不正利用防止が図れない。
All Rights Reserved, Copyright (c) JEITA 2009
-
ITツール適用項目表 (11/32)
■ID管理
4. アクセス管理ツール
ツール適用領域 フレームワークとの関係システム管理基準項目番号
管理項目 発生リスク 統制項目 実施基準 COBIT® for SOX
Ⅳ-06-0-(02)運用(ソフトウェア管理)
ソフトウェアへのアクセスコントロール及びモニタリングは、有効に機能すること。
ソフトウエアの不正利用防止が図れない。
重要なソフトウェアの利用は制限 されている。(ID作成や本番環境へのアクセスが可能なユーティリティ類)(対象ソフトウェア指定、使用目的及び使用者の限定 など)
運用安全
DS5 システムセキュリティの保証
Ⅳ-06-0-(03)運用(ソフトウェア管理)
ソフトウェアの利用状況を記録し、定期的に分析すること。
ソフトウエアの稼動効率の向上、また不正利用の防止が図れない。
ソフトウェアに関する利用状況・アクセス状況をモニタリング する仕組みがある。
運用安全
DS5 システムセキュリティの保証
Ⅳ-08-0-(02)運用(ネットワーク管理)
ネットワークへのアクセスコントロール及びモニタリングは、有効に機能すること。
ネットワークへの侵入及び不正利用の未然防止、早期発見が出来ない。
ネットワークへのアクセスに関するイベントをモニタリング する(ログの保存、異常ログの拾い出しなど)。
運用安全
DS5 システムセキュリティの保証
Ⅳ-08-0-(03)運用(ネットワーク管理)
ネットワーク監視ログを定期的に分析すること。
進入及び不正利用を検出して必要な対策を講じられない。
ネットワークへのアクセスに関するイベントをモニタリング する(異常ログの分析 など)。
運用安全
DS5 システムセキュリティの保証
Ⅲ-02-0-(05)開発(システム設計)
データのインテグリティを確保すること。
データ処理の完全性、正確性、正当性が保証できない。
設計時にレビュを実施し、データ処理の正確性を確認する。
開発 DS11 データ管理
Ⅳ-02-0-(07)運用(運用管理)
オペレータの交替は、運用管理ルールに基づいて行うこと。
業務処理の正確性や円滑な遂行が図られない。
交替時の記録を残す。※運用管理ルールに応じたアクセスコントロール(制限、記録、報告)
運用 DS11 データ管理
Ⅳ-03-0-(01)運用(入力管理)
入力管理ルールを定め、遵守すること。
入力データの作成、授受、検証、入力実施、入力後の確認、保管等が正しく行われない。
必要に応じて入力の記録を残し、入力管理ルールが遵守 されていることを検証する。
運用 DS11 データ管理
データへのアクセスコントロール とモニタリングのしくみを作成する。
アクセスコントロール およびモニタリングの定期的に記録を取り、レビュする。
Ⅳ-04-0-(04)運用(データ管理)
データの利用状況を記録し、定期的に分析すること。
データの利用を想定し、不正使用を防止できない。
データの利用状況を記録する。※データ利用に関するルールに応じたアクセスコントロール(制限、記録、報告)
運用安全
DS11 データ管理
DS11 データ管理Ⅳ-04-0-(02)運用(データ管理)
データへのアクセスコントロール及びモニタリングは、有効に機能すること。
データへの不正アクセスの防止、不正利用の防止、機密保護および個人情報保護が図れない。
運用
All Rights Reserved, Copyright (c) JEITA 2009
-
ITツール適用項目表 (12/32)
■ID管理
4. アクセス管理ツール
ツール適用領域 フレームワークとの関係システム管理基準項目番号
管理項目 発生リスク 統制項目 実施基準 COBIT® for SOX
Ⅳ-04-0-(07)運用(データ管理)
データの交換は、不正防止及び機密保護の対策を講じること。
不正利用の防止、機密情報の漏洩及び個人情報保護を図れない。
データの交換の形態に応じ、暗号化の処置等、不正防止 、機密保護 及び個人情報保護の対策を講じる。
運用安全
DS11 データ管理
Ⅳ-04-0-(08)運用(データ管理)
データの保管、複写および廃棄は、誤謬防止、不正防止及び機密保護の対策を講じること。
データの不正利用、漏洩の防止及び個人情報の侵害等の防止を図れない。
保管、複写、廃棄はデータの重要度に応じて、複写を制限 したり、複写履歴をとる等の不正防止 、機密保護 及び個人情報保護の対策を講じる。
運用安全
DS11 データ管理
不正な複写、複製等を防止 する対策を講じる。
出力情報の機密度に応じて取扱者を限定 する。
Ⅳ-05-0-(07)運用(出力管理)
出力情報の利用状況を記録し、定期的に分析すること。
出力情報の有効利用が図れない。
出力情報の利用状況を記録する。※出力に関わる各種アクセスコントロール(制限、記録、報告)
運用 DS11 データ管理
DS11 データ管理Ⅳ-05-0-(03)運用(出力管理)
出力情報の作成手順、取扱い等は誤謬防止、不正防止、機密保護等の対策を講じること。
改ざん、盗難、漏洩等の防止が図られない。
運用
All Rights Reserved, Copyright (c) JEITA 2009
-
ITツール適用項目表 (13/32)
■ログ管理
5. ログ管理ツール
ツール適用領域 フレームワークとの関係システム管理基準項目番号
管理項目 発生リスク 統制項目 実施基準 COBIT® for SOX
Ⅳ-06-0-(02)運用(ソフトウェア管理)
ソフトウェアへのアクセスコントロール及びモニタリングは、有効に機能するこ
ソフトウエアの不正利用防止が図れない。
ソフトウェアに関するセキュリティイベントをモニタリング する仕組みがある。
運用安全
DS5システムセキュリティーの保証
Ⅳ-06-0-(03)運用(ソフトウェア管理)
ソフトウェアの利用状況を記録し、定期的に分析すること。
ソフトウエアの稼動効率の向上、また不正利用の防止が図れない。
ソフトウェアに関する利用状況・アクセス状況をモニタリング する仕組みがある。
運用安全
DS5システムセキュリティーの保証
Ⅳ-08-0-(02)運用(ネットワーク管理)
ネットワークへのアクセスコントロール及びモニタリングは、有効に機能すること。
ネットワークへの侵入及び不正利用の未然防止、早期発見が出来ない。
ネットワークへのアクセスに関するイベントをモニタリング する(ログの保存 、異常ログの拾い出しなど)。
運用安全
DS5システムセキュリティーの保証
Ⅳ-08-0-(03)運用(ネットワーク管理)
ネットワーク監視ログを定期的に分析すること。
進入及び不正利用を検出して必要な対策を講じられない。
ネットワークへのアクセスに関するイベントをモニタリング する(異常ログの分析 など)。
運用安全
DS5システムセキュリティーの保証
Ⅳ-02-0-(05)運用(運用管理)
オペレーションは、ジョブスケジュール及び指示書に基づいて行うこと。
資源の有効活用、操作上の誤りや不正防止が図られない。
オペレーションを記録・保存 する。 運用 DS11データ管理
Ⅳ-02-0-(06)運用(運用管理)
例外処理のオペレーションは、運用管理ルールに基づいて行うこと。
操作上の誤りや不正防止、円滑な業務処理が図られない。
例外処理のオペレーションを記録・保存 する。 運用 DS11データ管理
Ⅳ-02-0-(07)運用(運用管理)
オペレータの交替は、運用管理ルールに基づいて行うこと。
業務処理の正確性や円滑な遂行が図られない。
交替時の記録 を残す。運用 DS11データ管理
Ⅳ-02-0-(08)運用(運用管理)
ジョブスケジュール及びオペレーション実施記録を採り、ジョブスケジュールとの差異分析を行うこと。
操作上の誤りや不正防止、円滑な業務処理が図られない。
ジョブスケジュールやオペレーションの実施記録を取る。 運用 DS11データ管理
Ⅳ-02-0-(09)運用(運用管理)
オペレーション実施記録は、運用管理ルールに基づいて一定期間保管すること。
操作上の誤り、不正、事故・障害の原因究明に支障を来たす。
オペレーション実施記録 を取る。 運用 DS11データ管理
Ⅳ-03-0-(01)運用(入力管理)
入力管理ルールを定め、遵守すること。
入力データの作成、授受、検証、入力実施、入力後の確認、保管等が正しく行われない。
必要に応じて入力の記録 を残し、入力管理ルールが遵守されていることを検証 する。
運用 DS11データ管理
All Rights Reserved, Copyright (c) JEITA 2009
-
ITツール適用項目表 (14/32)
■ログ管理
5. ログ管理ツール
ツール適用領域 フレームワークとの関係システム管理基準項目番号
管理項目 発生リスク 統制項目 実施基準 COBIT® for SOX
Ⅳ-04-0-(02)運用(データ管理)
データへのアクセスコントロール及びモニタリングは、有効に機能すること。
データへの不正アクセスの防止、不正利用の防止、機密保護および個人情報保護が図れない。
データへのアクセスコントロールとモニタリング のしくみを作成する。 運用 DS11データ管理
Ⅳ-04-0-(02)運用(データ管理)
データへのアクセスコントロール及びモニタリングは、有効に機能すること。
データへの不正アクセスの防止、不正利用の防止、機密保護および個人情報保護が図れない。
アクセスコントロールおよびモニタリング の定期的に記録 を取り、レビュする。 運用 DS11データ管理
Ⅳ-04-0-(04)運用(データ管理)
データの利用状況を記録し、定期的に分析すること。
データの利用を想定し、不正使用を防止できない。
データの利用状況を記録 する。運用安全
DS11データ管理
Ⅳ-04-0-(04)運用(データ管理)
データの利用状況を記録し、定期的に分析すること。
データの利用を想定し、不正使用を防止できない。
データの利用状況を分析 し、改善措置を図る。 運用安全
DS11データ管理
Ⅳ-04-0-(07)運用(データ管理)
データの交換は、不正防止及び機密保護の対策を講じること。
不正利用の防止、機密情報の漏洩及び個人情報保護を図れない。
データの交換の形態に応じ、暗号化の処置等、不正防止 、機密保護 及び個人情報保護の対策を講じる。
運用安全
DS11データ管理
Ⅳ-04-0-(08)運用(データ管理)
データの保管、複写および廃棄は、誤謬防止、不正防止及び機密保護の対策を講じること。
データの不正利用、漏洩の防止及び個人情報の侵害等の防止を図れない。
保管、複写、廃棄はデータの重要度に応じて、複写を制限したり、複写履歴をとる等の不正防止 、機密保護 及び個人情報保護の対策を講じる。
運用安全
DS11データ管理
Ⅳ-05-0-(01)運用(出力管理)
出力管理ルールを定め、遵守すること。
出力方法の誤謬、不正利用、漏洩等の防止が図れない、機密保護および個人情報保護が図れない。
必要に応じて出力の記録 を残し、出力管理ルールが遵守されていることを検証 する。
運用 DS11データ管理
Ⅳ-05-0-(02)運用(出力管理)
出力情報は漏れなく、重複なく、正確に行うこと。
出力情報の結果の誤り、欠落、二重出力等の誤りが発生する。
出力記録 及び端末操作記録 を一定期間保管する。 運用 DS11データ管理
Ⅳ-05-0-(06)運用(出力管理)
出力情報のエラー状況を記録し、定期的に分析すること。
出力情報の正確さが維持できない。
出力情報のエラー状況を記録 する。開発運用
DS11データ管理
Ⅳ-05-0-(07)運用(出力管理)
出力情報の利用状況を記録し、定期的に分析すること。
出力情報の有効利用が図れない。
出力情報の利用状況を記録 する。 運用 DS11データ管理
All Rights Reserved, Copyright (c) JEITA 2009
-
ITツール適用項目表 (15/32)
■ログ管理
6. クライアントPC操作ログ取得ツール
ツール適用領域 フレームワークとの関係システム管理基準項目番号
管理項目 発生リスク 統制項目 実施基準 COBIT® for SOX
Ⅳ-02-0-(05)運用(運用管理)
オペレーションは、ジョブスケジュール及び指示書に基づいて行うこと。
資源の有効活用、操作上の誤りや不正防止が図られない。
オペレーションを記録・保存 する。 運用 DS11データ管理
Ⅳ-02-0-(06)運用(運用管理)
例外処理のオペレーションは、運用管理ルールに基づいて行うこと。
操作上の誤りや不正防止、円滑な業務処理が図られない。
例外処理のオペレーションを記録・保存 する。 運用 DS11データ管理
Ⅳ-02-0-(09)運用(運用管理)
オペレーション実施記録は、運用管理ルールに基づいて一定期間保管すること。
操作上の誤り、不正、事故・障害の原因究明に支障を来たす。
オペレーション実施記録 を取る。 運用 DS11データ管理
Ⅳ-02-0-(09)運用(運用管理)
オペレーション実施記録は、運用管理ルールに基づいて一定期間保管すること。
操作上の誤り、不正、事故・障害の原因究明に支障を来たす。
承認されたオペレーション実施記録 は、運用管理ルールに基づき一定期間保管する。 運用 DS11データ管理
Ⅳ-05-0-(01)運用(出力管理)
出力管理ルールを定め、遵守すること。
出力方法の誤謬、不正利用、漏洩等の防止が図れない、機密保護および個人情報保護が図れない。
必要に応じて出力の記録 を残し、出力管理ルールが遵守されていることを検証 する。
運用 DS11データ管理
Ⅳ-05-0-(02)運用(出力管理)
出力情報は漏れなく、重複なく、正確に行うこと。
出力情報の結果の誤り、欠落、二重出力等の誤りが発生する。
出力記録 及び端末操作記録 を一定期間保管する。 運用 DS11データ管理
All Rights Reserved, Copyright (c) JEITA 2009
-
ITツール適用項目表 (16/32)
■ 運用管理
7. 運用管理ツール
ツール適用領域 フレームワークとの関係システム管理基準項目番号
管理項目 発生リスク 統制項目 実施基準 COBIT® for SOX
Ⅳ-02-0-(05)運用(運用管理)
オペレーションは、ジョブスケジュール及び指示書に基づいて行うこと。
資源の有効活用、操作上の誤りや不正防止が図られない。
オペレーションを記録・保存する。※運用状況を監視する。
運用 DS11 データ管理
Ⅳ-02-0-(06)運用(運用管理)
例外処理のオペレーションは、運用管理ルールに基づいて行うこと。
操作上の誤りや不正防止、円滑な業務処理が図られない。
例外処理のオペレーションを記録・保存する。※運用管理ルールに応じて運用状況を監視する。
運用 DS11 データ管理
オペレーション実施記録を取る。※運用管理ルールに応じて運用状況を監視する。
運用 DS11 データ管理
承認されたオペレーション実施記録は、運用管理ルールに基づき一定期間保管する。※運用管理ルールに応じて運用状況を監視する。
運用 DS11 データ管理
Ⅳ-02-0-(09)運用(運用管理)
オペレーション実施記録は、運用管理ルールに基づいて一定期間保管すること。
操作上の誤り、不正、事故・障害の原因究明に支障を来たす。
All Rights Reserved, Copyright (c) JEITA 2009
-
ITツール適用項目表 (17/32)
■運用管理
8. IT資産管理ツール
ツール適用領域 フレームワークとの関係システム管理基準項目番号
管理項目 発生リスク 統制項目 実施基準 COBIT® for SOX
Ⅱ-03-0-(06)企画(調達)
調達した資源は、ルールに従って管理すること。
調達資源を、効果的に利活用できない。
調達した資源をルールに従い管理 する。開発運用
AI3 技術インフラの調達と保守
Ⅳ-06-0-(03)運用(ソフトウェア管理)
ソフトウェアの利用状況を記録し、定期的に分析すること。
ソフトウエアの稼動効率の向上、また不正利用の防止が図れない。
コンピュータ(サーバ、PC等)にインストールされているソフトウェアのライセンス管理 は適切に行われている。ライセンス外のソフトが利用されていないことを確認 している。
運用 DS5 システムセキュリティの保証
管理すべきIT資産(ソフトウェア等)を一覧などでリスト化 する。
運用 DS5 システムセキュリティの保証
IT資産の不正使用や紛失や盗難がないか、定期的に実地棚卸 を行う。
運用 DS5 システムセキュリティの保証
コンピュータ(サーバ、PC等)にインストールされているソフトウェアのライセンス管理 は適切に行われている。ライセンス外のソフトが利用されていないことを確認 している。
運用 DS5 システムセキュリティの保証
情報管理戦略に基づきIT資産(ソフトウェア)に対する各種施策を実行する。・各種施策検討時に、有効性を検討する。・施策の実施状況を定期的にモニタリング する。
運用安全
DS5 システムセキュリティの保証
管理すべきIT資産(PC等)を一覧などでリスト化する。
運用 DS5 システムセキュリティの保証
IT資産の不正使用や紛失や盗難がないか、定期的に実地棚卸 を行う。
運用 DS5 システムセキュリティの保証
ソフトウェアの保管、複写及び廃棄は、不正防止及び機密保護の対策を講じること。
ソフトウエアの不正使用、漏えい等の防止が図れない。
Ⅳ-06-0-(06)運用(ソフトウェア管理)
Ⅳ-07-0-(06)運用(ハードウェア管理)
ハードウェアの保管、移設及び廃棄は、不正防止及び機密保護の対策を講じること。
盗難、紛失等による権限者以外のハードウエア利用の防止、データ等の情報資産の保護が図れない。
Ⅳ-06-0-(08)運用(ソフトウェア管理)
ソフトウェアの知的財産権を管理すること。
開発したソフトウエアの知的財産権の保護および導入したソフトウエアの知的財産権の侵害を防止できない。
All Rights Reserved, Copyright (c) JEITA 2009
-
ITツール適用項目表 (18/32)
■運用管理
8. IT資産管理ツール
ツール適用領域 フレームワークとの関係システム管理基準項目番号
管理項目 発生リスク 統制項目 実施基準 COBIT® for SOX
Ⅳ-09-0-(01)運用(構成管理)
管理すべきソフトウェア、ハードウェア及びネットワークの対象範囲を明確にし、管理すること。
ユーザ、ネットワーク管理者の責任者、ベンダ間で、管理すべきソフトウエア、ハードウエア及びネットワークの二重管理や管理の漏れが生じる。
規程に基づきソフトウェア、ハードウェア及びネットワークを管理 する。
運用 DS9 構成管理
All Rights Reserved, Copyright (c) JEITA 2009
-
ITツール適用項目表 (19/32)
■ 運用管理
9. ネットワーク管理ツール
ツール適用領域 フレームワークとの関係システム管理基準項目番号
管理項目 発生リスク 統制項目 実施基準 COBIT® for SOX
Ⅳ-08-0-(02)運用(ネットワーク管理)
ネットワークへのアクセスコントロール及びモニタリングは、有効に機能すること。
ネットワークへの侵入及び不正利用の未然防止、早期発見が出来ない。
ネットワークへのアクセスに関するイベントをモニタリング する(ログの保存 、異常ログの拾い出しなど)。
運用安全
DS5 システムセキュリティの保証
Ⅳ-08-0-(03)運用(ネットワーク管理)
ネットワーク監視ログを定期的に分析すること。
進入及び不正利用を検出して必要な対策を講じられない。
ネットワークへのアクセスに関するイベントをモニタリング する(異常ログの分析 など)。
運用安全
DS5 システムセキュリティの保証
All Rights Reserved, Copyright (c) JEITA 2009
-
ITツール適用項目表 (20/32)
■運用管理
10. 構成管理ツール
ツール適用領域 フレームワークとの関係システム管理基準項目番号
管理項目 発生リスク 統制項目 実施基準 COBIT® for SOX
Ⅵ-06-6.2-(1)共通変更管理(実施)
変更管理案件は、変更管理ルールに従って実施すること。
変更管理が円滑にかつ安全に実施できない。
変更管理案件は、変更管理ルールに従って実施する。※最新の構成情報を管理する。
開発運用
AI6 変更管理
Ⅵ-06-6.2-(2)共通変更管理(実施)
変更管理案件を実施した場合に、関連する情報システムの環境も同時に変更すること。
変更が効率的に実施できないだけでなく、対象外のシステムでトラブルが発生する。
変更管理案件実施による他システムへの影響も考慮して変更計画書を作成する。※最新の構成情報を管理する。
開発運用
AI6 変更管理
Ⅳ-06-0-(05)運用(ソフトウェア管理)
ソフトウェアの授受は、ソフトウェア管理ルールに基づいて行うこと。
ソフトウエアの誤使用、不正利用、改ざん等の防止が図れない。
正式なソフトウェア(テスト結果の確認や受入承認済)が本番環境に正確に登録されるよう仕組みを明確に定め、そのルールに則って実施する。①登録依頼の手続き②責任者による登録承認の手続き③正しく登録されたかを登録後に検証する手続き※最新のソフトウェア構成情報を管理する。
開発運用
DS5 システムセキュリティの保証
Ⅳ-06-0-(05)運用(ソフトウェア管理)
ソフトウェアの授受は、ソフトウェア管理ルールに基づいて行うこと。
ソフトウエアの誤使用、不正利用、改ざん等の防止が図れない。
以下の検証を定期的に実施している。①承認済だが登録漏れとなっているプログラムがない②未承認のプログラムが登録されていない③許可されていない者によるプログラム登録がさ
開発運用
DS5 システムセキュリティの保証
All Rights Reserved, Copyright (c) JEITA 2009
-
ITツール適用項目表 (21/32)
■運用管理
11. バックアップツール
ツール適用領域 フレームワークとの関係システム管理基準項目番号
管理項目 発生リスク 統制項目 実施基準 COBIT® for SOX
Ⅴ-05-0-(02)保守(移行)
変更前のプログラム及びデータのバックアップを行うこと。
移行のトラブルに対応できない。プログラム、データが消失してしまう。
変更前のプログラム及びデータのバックアップ を取る。
開発運用
AI6 変更管理
Ⅴ-05-0-(02)保守(移行)
変更前のプログラム及びデータのバックアップを行うこと。
移行のトラブルに対応できない。プログラム、データが消失してしまう。
バックアップ の保管期間を定める開発運用
AI6 変更管理
Ⅳ-04-0-(03)運用(データ管理)
データのインテグリティを維持すること。
データの正確かつ完全で、正常である状態を保てない。
データに不具合が発生した場合の回復 手段を用意しておく。 運用 DS11 データ管理
Ⅳ-05-0-(02)運用(出力管理)
出力情報は漏れなく、重複なく、正確に行うこと。
出力情報の結果の誤り、欠落、二重出力等の誤りが発生する。
出力記録及び端末操作記録を一定期間保管 する。 運用 DS11 データ管理
Ⅳ-02-0-(09)運用(運用管理)
オペレーション実施記録は、運用管理ルールに基づいて一定期間保管すること。
操作上の誤り、不正、事故・障害の原因究明に支障を来たす。
承認されたオペレーション実施記録は、運用管理ルールに基づき一定期間保管 する。 運用 DS11 データ管理
All Rights Reserved, Copyright (c) JEITA 2009
-
ITツール適用項目表 (22/32)
■運用管理
12. プログラム変更管理ツール
ツール適用領域 フレームワークとの関係システム管理基準項目番号
管理項目 発生リスク 統制項目 実施基準 COBIT® for SOX
Ⅴ-03-0-(02)保守(保守の実施)
プログラムの変更は、保守手順書に基づき、保守の責任者の承認を得て実施すること。
プログラム変更時誤びゅう及び不正が発生する。
プログラムの変更は保守の責任者が承認 して実施する。
開発 AI6 変更管理
Ⅴ-04-0-(04)保守(保守の確認)
変更したプログラムのテストの結果は、ユーザ、運用及び保守の責任者が承認すること。
テストの妥当性、情報システムの機能及び性能が確認できない。
テスト結果をユーザ、運用および保守の責任者が承認 する
開発 AI6 変更管理
Ⅵ-06-6.2-(1)共通変更管理(実施)
変更管理案件は、変更管理ルールに従って実施すること。
変更管理が円滑にかつ安全に実施できない。
変更管理案件は、変更管理ルールに従って実施する。※変更管理に関わる手続きの自動化
開発運用
AI6 変更管理
正式なソフトウェア(テスト結果の確認や受入承認済)が本番環境に正確に登録されるよう仕組みを明確に定め、そのルールに則って実施する。①登録 依頼の手続き②責任者による登録承認 の手続き③正しく登録されたかを登録後に検証 する手続
開発運用
DS5 システムセキュリティの保証
以下の検証 を定期的に実施している。①承認済だが登録漏れとなっているプログラムがない②未承認のプログラムが登録されていない③許可されていない者によるプログラム登録がさ
開発運用
DS5 システムセキュリティの保証
Ⅳ-06-0-(05)運用(ソフトウェア管理)
ソフトウェアの授受は、ソフトウェア管理ルールに基づいて行うこと。
ソフトウエアの誤使用、不正利用、改ざん等の防止が図れない。
All Rights Reserved, Copyright (c) JEITA 2009
-
ITツール適用項目表 (23/32)
■運用管理
13. JOB実行ツール
ツール適用領域 フレームワークとの関係システム管理基準項目番号
管理項目 発生リスク 統制項目 実施基準 COBIT® for SOX
Ⅳ-02-0-(04)運用(運用管理)
ジョブスケジュールは、業務処理の優先度を考慮して設定すること。
資源の有効利用、ユーザニーズに対応した業務処理がされない。
業務処理の優先度を確認したうえで、ジョブスケジュールを設定 する。 開発 DS11 データ管理
Ⅳ-02-0-(08)運用(運用管理)
ジョブスケジュール及びオペレーション実施記録を採り、ジョブスケジュールとの差異分析を行うこと。
操作上の誤りや不正防止、円滑な業務処理が図られない。
業務処理の優先度を確認したうえで、ジョブスケジュールを設定 する。 運用 DS11 データ管理
All Rights Reserved, Copyright (c) JEITA 2009
-
ITツール適用項目表 (24/32)
■運用管理
14. 障害管理ツール
ツール適用領域 フレームワークとの関係システム管理基準項目番号
管理項目 発生リスク 統制項目 実施基準 COBIT® for SOX
事故及び障害の内容を記録 する。 運用 DS10 問題と事故の管理
事故及び障害の内容を情報システムの運用の責任者に報告 する。
運用 DS10 問題と事故の管理
事故及び障害の原因を究明し、再発防止の措置を決定する。※障害情報の収集・警告・集計・参照・分析
運用 DS10 問題と事故の管理
再発防止処置をユーザ部門責任者、システム部門責任者(開発/保守運用)のレビュー/承認を得る。※障害情報の収集・警告・集計・参照・分析
運用 DS10 問題と事故の管理
レビュ実施記録を作成し保存する。※障害情報の収集・警告・集計・参照・分析
運用 DS10 問題と事故の管理
Ⅳ-02-0-(11)運用(運用管理)
事故および障害の内容を記録し、情報システムの運用の責任者に報告すること。
事故、障害から迅速に回復することができず、再発を防止できない。
Ⅳ-02-0-(12)運用(運用管理)
事故および障害の原因を究明し、再発防止の措置を講じること。
同一または類似した事故や障害が繰り返し発生する。
All Rights Reserved, Copyright (c) JEITA 2009
-
ITツール適用項目表 (25/32)
■セキュリティ
15. 暗号化ツール
ツール適用領域 フレームワークとの関係システム管理基準項目番号
管理項目 発生リスク 統制項目 実施基準 COBIT® for SOX
Ⅳ-06-0-(02)運用(ソフトウェア管理)
ソフトウェアへのアクセスコントロール及びモニタリングは、有効に機能すること。
ソフトウエアの不正利用防止が図れない。
下記のような手段によりソフトウェアを保護 する。・暗号化 、パスワード等のデータ保護・データ格納容器の施錠、封印等・受渡し場所の特定 等
運用安全
DS5 システムセキュリティの保証
Ⅳ-04-0-(07)運用(データ管理)
データの交換は、不正防止及び機密保護の対策を講じること。
不正利用の防止、機密情報の漏洩及び個人情報保護を図れない。
データの交換の形態に応じ、暗号化 の処置等、不正防止 、機密保護 及び個人情報保護の対策を講じる。
運用安全
DS11 データ管理
Ⅳ-04-0-(08)運用(データ管理)
データの保管、複写および廃棄は、誤謬防止、不正防止及び機密保護の対策を講じること。
データの不正利用、漏洩の防止及び個人情報の侵害等の防止を図れない。
保管、複写、廃棄はデータの重要度に応じて、複写を制限 したり、複写履歴をとる等の不正防止 、機密保護 及び個人情報保護の対策を講じる。
運用安全
DS11 データ管理
All Rights Reserved, Copyright (c) JEITA 2009
-
ITツール適用項目表 (26/32)
■セキュリティ
16. 改ざん防止ツール
ツール適用領域 フレームワークとの関係システム管理基準項目番号
管理項目 発生リスク 統制項目 実施基準 COBIT® for SOX
Ⅳ-06-0-(02)運用(ソフトウェア管理)
ソフトウェアへのアクセスコントロール及びモニタリングは、有効に機能すること。
ソフトウエアの不正利用防止が図れない。
下記のような手段によりソフトウェアを保護 する。・暗号化 、パスワード等のデータ保護・データ格納容器の施錠、封印等・受渡し場所の特定 等
運用安全
DS5 システムセキュリティーの保証
Ⅳ-04-0-(07)運用(データ管理)
データの交換は、不正防止及び機密保護の対策を講じること。
不正利用の防止、機密情報の漏洩及び個人情報保護を図れない。
データの交換の形態に応じ、暗号化 の処置等、不正防止 、機密保護 及び個人情報保護の対策を講じる。
運用安全
DS11 データ管理
Ⅳ-04-0-(08)運用(データ管理)
データの保管、複写および廃棄は、誤謬防止、不正防止及び機密保護の対策を講じること。
データの不正利用、漏洩の防止及び個人情報の侵害等の防止を図れない。
保管、複写、廃棄はデータの重要度に応じて、複写を制限 したり、複写履歴をとる等の不正防止 、機密保護 及び個人情報保護の対策を講じる。
運用安全
DS11 データ管理
All Rights Reserved, Copyright (c) JEITA 2009
-
ITツール適用項目表 (27/32)
■セキュリティ
17. ウィルス対策ツール
ツール適用領域 フレームワークとの関係システム管理基準項目番号
管理項目 発生リスク 統制項目 実施基準 COBIT® for SOX
Ⅳ-06-0-(02)運用(ソフトウェア管理)
ソフトウェアへのアクセスコントロール及びモニタリングは、有効に機能すること。
ソフトウエアの不正利用防止が図れない。
ソフトウェアに関するセキュリティイベントをモニタリング する仕組みがある。
運用安全
DS5 システムセキュリティーの保証
Ⅳ-06-0-(07)運用(ソフトウェア管理)
ソフトウェアに対するコンピュータウイルス対策を講じること。
ソフトウエアをコンピュータウイルスから保護できない。
ウィルスによるデータ破壊を防止 するため、ネットワークに接続する全てのPCとサーバにウィルス対策ソフトを導入する。パターンファイルは適時に更新 する。
運用安全
DS5 システムセキュリティーの保証
Ⅳ-04-0-(09)運用(データ管理)
データに対するコンピュータウィルス対策を講じること。
データをコンピュータウィルスから保護することができない。
情報システムの環境に適合したコンピュータウィルス対策 を講じる。
運用 DS11 データ管理
All Rights Reserved, Copyright (c) JEITA 2009
-
ITツール適用項目表 (28/32)
■セキュリティ
18. データベース監査ツール
ツール適用領域 フレームワークとの関係システム管理基準項目番号
管理項目 発生リスク 統制項目 実施基準 COBIT® for SOX
Ⅳ-06-0-(02)運用(ソフトウェア管理)
ソフトウェアへのアクセスコントロール及びモニタリングは、有効に機能すること。
ソフトウエアの不正利用防止が図れない。
下記のような手段によりソフトウェアを保護 する。・暗号化、パスワード等のデータ保護・データ格納容器の施錠、封印等・受渡し場所の特定 等
運用安全
DS5 システムセキュリティーの保証
Ⅳ-04-0-(08)運用(データ管理)
データの保管、複写および廃棄は、誤謬防止、不正防止及び機密保護の対策を講じること。
データの不正利用、漏洩の防止及び個人情報の侵害等の防止を図れない。
保管、複写、廃棄はデータの重要度に応じて、複写を制限 したり、複写履歴をとる等の不正防止 、機密保護 及び個人情報保護の対策を講じる。
運用安全
DS11 データ管理
All Rights Reserved, Copyright (c) JEITA 2009
-
ITツール適用項目表 (29/32)
■開発管理
19. コーディングチェックツール
ツール適用領域 フレームワークとの関係システム管理基準項目番号
管理項目 発生リスク 統制項目 実施基準 COBITforSOX
Ⅲ-04-0-(01)開発(プログラミング)
プログラム設計書に基づいてプログラミングすること。
プログラム設計書で定義された機能が正確にプログラムに反映されない。プログラム仕様書に基づいたプログラミングであるか検証できない。
適宜コーディングレビュを実施し、プログラム設計書及びコーディング基準に即してコーディングが行われていることを確認 する。
開発 AI2 アプリケーションソフトウェアの調達と保守
変更したプログラム設計書に基づいてプログラミングを実施する。※プログラミング結果の確認
変更したプログラム部分のレビュ を行う。
AI6 変更管理Ⅴ-03-0-(03)保守(保守の実施)
変更したプログラム設計書に基づいてプログラミングしていることを検証すること。
プログラミング時の誤びゅうが発生する。
開発
All Rights Reserved, Copyright (c) JEITA 2009
-
ITツール適用項目表 (30/32)
■開発管理
20. 開発テストツール
ツール適用領域 フレームワークとの関係システム管理基準項目番号
管理項目 発生リスク 統制項目 実施基準 COBIT® for SOX
Ⅴ-04-0-(01)保守(保守の確認)
変更したプログラムのテストの実施は、保守のテスト計画に基いて行うこと。
プログラムのテストが円滑かつ確実に実施できない。
保守のテスト計画に基づいて変更したプログラムのテスト を実施する。 開発 AI6 変更管理
Ⅴ-04-0-(02)保守(保守の確認)
変更したプログラムは、影響範囲を考慮してテストを行うこと。
情報システムの機能及び性能の低下をもたらす。
変更プログラムが影響を及ぼす範囲を把握し、関係するソフトウェアとの結合テスト を実施する。
開発 AI6 変更管理
Ⅴ-04-0-(04)保守(保守の確認)
変更したプログラムのテストの結果は、ユーザ、運用及び保守の責任者が承認すること。
テストの妥当性、情報システムの機能及び性能が確認できない。
テスト結果をユーザ、運用および保守の責任者が承認 する
開発 AI6 変更管理
All Rights Reserved, Copyright (c) JEITA 2009
-
ITツール適用項目表 (31/32)
■開発管理
21. プロジェクト 管理ツール
ツール適用領域 フレームワークとの関係システム管理基準項目番号
管理項目 発生リスク 統制項目 実施基準 COBIT® for SOX
Ⅲ-02-0-(12)開発(システム設計)
テスト計画は、目的、範囲、方法、スケジュール等を明確にすること。
情報システムが設計どおりに開発されたかが確実かつ効率的に確認できない。性能評価に対して、分析方法がなく、チューニングが行えない。
テスト計画(目的、範囲、テストスケジュール、評価方法、利用者の関与、テスト環境など)を文書化 する。
開発 AI5 システムの導入と受入れ確認
Ⅲ-02-0-(13)開発(システム設計)
情報システムの利用に係る教育の方針、スケジュール等を明確にすること。
情報システムの導入が円滑に行われず、期待される効果も実現されない。
情報システムのユーザ教育訓練の方針とスケジュールを文書化 する。 開発 AI5 システムの導入と受入れ確認
Ⅲ-05-0-(11)開発(システムテスト・ユーザ受け入れテスト)
システムテスト及びユーザ受入れテストの結果は、ユーザ、開発、運用及び保守の責任者が承認すること。
テストの結果をユーザが正しいか判断できず、不具合が内在したままになるなど、システムテスト及びユーザ受入テストの計画で定めた目的の達成が検証できない。
テスト計画書及びテスト結果報告書はユーザ、開発、運用および保守の責任者の承認 を受ける。
開発運用
AI5 システムの導入と受入れ確認
Ⅲ-05-0-(12)開発(システムテスト・ユーザ受け入れテスト)
システムテスト及びユーザ受入れテストの経過及び結果を記録及び保管すること。
運用業務におけるトラブルの原因究明に時間を要する。保守業務の遂行に支障をきたす。
ユーザ、開発、運用および保守の責任者の承認を受けた、システムテストおよびユーザ受入れテストの経過および結果を記録/保管 する。
開発運用
AI5 システムの導入と受入れ確認
システム移行計画書は、ユーザ部門責任者および、システム部門責任者(企画/開発/保守運用)のレビュ/承認 を受ける。
システム移行計画書レビュ実施記録を作成し、保存 する。
システム移行計画書は、ユーザ部門責任者および、システム部門責任者(企画/開発/保守運用)のレビュ/承認 を受ける。
システム移行計画書のレビュ実施記録を作成し、保存 する。
AI5 システムの導入と受入れ確認
Ⅲ-06-0-(02)開発(移行)
移行作業は文書に記録し、責任者が承認すること。
運用段階における稼働が確実に行えない。
開発運用
AI5 システムの導入と受入れ確認
開発運用
移行までに、開発、導入、テストが終わらないなど、システムの開発・テスト段階から運用段階への移行が円滑かつ効率的に行えない。
移行計画を策定し、ユーザ、開発、運用及び保守の責任者が承認すること。
Ⅲ-06-0-(01)開発(移行)
All Rights Reserved, Copyright (c) JEITA 2009
-
ITツール適用項目表 (32/32)
■開発管理
21. プロジェクト 管理ツール
ツール適用領域 フレームワークとの関係システム管理基準項目番号
管理項目 発生リスク 統制項目 実施基準 COBIT® for SOX
Ⅲ-06-0-(07)開発(移行)
運用及び保守に必要なドキュメント、各種ツール等は開発の責任者から引き継いでいること。
移行作業終了後、正式稼働前までに、システムの運用及び保守の関係者が円滑に作業に入ることができない。
開発責任者は、開発時のドキュメント&各種ツールを構成管理ルールに従って登録する。
開発 AI5 システムの導入と受入れ確認
Ⅲ-06-0-(08)開発(移行)
移行は関係者に周知徹底すること。
当該システム及び内外の関連するシステムのそれぞれの運用に支障をきたす。
登録されている構成管理物については、構成管理ルールに基づいて、関係者に周知する。
開発 AI5 システムの導入と受入れ確認
All Rights Reserved, Copyright (c) JEITA 2009