PJCからのお知らせ金融商品取引法対応
IT統制コンサルティング
PJCではあらゆる種類のIT統制のコンサルティングサービスを提供しています。
プロセス改善の強力なパートナーとしてご支援いたします。
「IT統制」は、時代が求めるリスクマネジメントです。
人間が行ってきた作業を機械にさせることで始まったコンピュータは、ITとなり情報と経営戦略を結ぶ大きな一つの機能になりました。企業は、ITによる、業務の標準化や効率化、情報分析からの売り上げや利益率のアップ、機会損失の削減や無駄の排除を行うことを実現してきました。しかし、その反面、IT運用には大きなリスクが数多く存在していることもあきらかになってきています。
IT統制は組織作りからはじまり、基盤整備、情報化のPDCA、リスクマネジメント等、行わなければならないことは多岐にわたります。システムの現状分析を行い、各プロセスにどのようにITが関わっているかを可視化した上で、戦略目標の決定、規程・手順の作成、教育・訓練、運用と段階を経てIT統制を構築していきます。
IT統制のポイント
- IT統制のための組織づくり
- 情報化のPDCA(計画、実行、効果の測定、評価)を行う
- ソフト、ハード、ネットワーク、周辺機器等IT基盤の整備
- 災害、障害、過失、不正等のリスクマネジメント
- 信頼性、機能性、拡張性、操作性、適時性、保守性、汎用性を確認
- 機密性、完全性、可用性の確保
- 業務の標準化、業務改善を、ITを用いて行う
ご提案例
- ISO27001
- COBIT
- ITIL&ISO20000
- ソフトウェア能力成熟度モデルCMMI
- Val ITによる戦略的IT投資コンサルティング
- IT内部統制の文書化(3点セット作成)コンサルティング
- IT内部統制の委託先管理コンサルティング
- システム開発・保守のプロジェクト管理コンサルティング
コンサルティングの流れ
IT統制の目標は、ISO27001(ISO/IEC27001)で対応可能
ISO27001(ISO/IEC27001)は、内部統制に不可欠です。
情報セキュリティマネジメントシステム(ISMS)では、企業が保護すべき情報資産について、次の3つをバランスよく維持し改善していくことが重要なポイントです。ISO27001は、IT統制に最適の規格です。
| 可用性 | 認可されたエンティティ(団体等)が要求したときに、アクセス及び使用が可能である特性 |
|---|---|
| 機密性 | 認可されていない個人、エンティティ又はプロセスに対して、情報を使用不可又は非公開にする特性 |
| 完全性 | 資産の正確さ及び完全さを保護する特性 |
| ISO/IEC27001とIT3号のITのコントロール目標との対比 | ||
|---|---|---|
| ISO/IEC27001 | 日本公認会計士協会IT委員会報告第3号(IT3号)のITのコントロール目標 | |
| A.15 順守 | ①準拠性 | 情報が会計原則、会計基準、関連する法律及び社内規則等に合致して処理されていること |
| ・完全性 | ②網羅性 | 情報が漏れなくかつ重複なく記録されていること |
| ・可用性 | ③可用性 | 情報が必要とされるときに利用可能であること |
| ・機密性 | ④機密性 | 情報が正当な権限者以外に利用されないように保護されていること |
| ・完全性 | ⑤正確性 | 情報が正確に記録され、提供されていること |
| A.14 事業継続管理 | ⑥維持継続性 | 必要な情報が正確に更新されかつ継続使用が可能なこと |
| A.11 アクセス制御 | ⑦正当性 | 情報が正規の承認手続きを経たものであること |
ISO27001管理策の構築で、財務諸表監査における情報システムのセキュリティの評価の対応が可能
| 財務諸表監査における情報システムのセキュリティの評価手続の例示 | ISO/IEC27001管理策 |
|---|---|
| 【全般統制としてのセキュリティ評価手続の例】 全社においてパスワード等の本人確認に関する管理を適切に行なっているか |
A.11.2.1「利用者登録」 A.11.2.3「利用者パスワードの管理」 A.11.2.4「利用者アクセス権のレビュー」 A.11.3.1「パスワードの利用」 |
| 【全般統制としてのセキュリティ評価手続の例】 ITに関わる法令遵守は適切に行われているか |
A.15.1.1「適用法令の識別」 A.15.1.2「知的財産権」 A.15.1.3「組織の記録の保護」 A.15.1.4「個人データ及び個人情報の保護」 A.15.1.5「情報処理施設の不正使用防止」 A.15.1.6「暗号化機能に対する規制」 |
| 【業務処理統制としてのセキュリティ評価手続の例】 データの入力、修正、閲覧、承認等の権限が誰に与えられているかのリストをシステムよりアウトプットし、当該権限付与が企業の権限規定等に準拠しているか、また、内部牽制的な観点からリスクはないか、権限を付与されている従業員ですでに退職した人、他部署に異動になった人などはいないかを確かめる。 |
A.11.2.1「利用者登録」 A.11.2.4「利用者アクセス権のレビュー」 |
| 【業務処理統制としてのセキュリティ評価手続の例】 監査対象となった情報システムについて、セキュリティ違反を捕捉するログが保持され、フォロー手続が行われているかを確かめる。 |
A.10.10.1「監査ログ取得」 A.10.10.2「システム使用状況の監視」 A.10.10.3「ログ情報の保護」 A.10.10.4「実務管理者及び運用担当者の作業ログ」 A.10.10.5「障害のログ取得」 |
PJCのISO/IEC27001〈完全サポート型 AtoZプログラム〉コンサルティング
| オフサイト | |
|---|---|
| PJCが文書作成 |
|
| オンサイトコンサルティング実施内容 | |
| 教育 |
|
| 調査分析 及び 文書作成支援 |
|
| 実地 |
|
| 是正 |
|
ISO27001認証の取得を目標としないISMS構築や、ご希望に合わせた部分的な構築なども可能です。お気軽にご相談ください。
関連リンク
このページに関する資料請求・お問い合わせ・その他のサービスについては、以下をご覧ください。