コラムカテゴリー:ITコンサルティング, 業界動向
【はじめに】
2018年4月20日に経済産業省は、情報システムの監査や管理の項目をまとめた、
システム監査基準およびシステム管理基準の改訂版をリリースしました。
2004年10月8日以来の改訂ですので、実に13年半ぶりの改訂です。
http://www.meti.go.jp/policy/netsecurity/sys-kansa/h20kaitei.html
弊社におけるシステム監査も、本文書に即し、
お客様の事業規模やお客様の業界等に応じた評価をすることが基本になります。
システム監査に馴染みのない方々はピンとこないかもしれませんが、事業規模に関わらず、
自社の情報システムを客観的に評価することは、今後の事業戦略や投資計画を考える上でも重要なことです。
しかしながら、特に中小企業の方々は、わざわざコンサルタントにシステム監査を依頼することは、
コストも含めて抵抗があることも事実かと思います。
そのような場合には、本文書を用いてセルフチェックを実施されることをオススメします。
本コラムでは、「本文書をセルフチェックに利用する」という視点で、
3つのシステム管理基準の改訂ポイントご紹介をいたします。
【ポイント① ITガバナンスに関する見直し】
今回の改訂により、ITガバナンスに関する記載部分に対して、
COBIT等のフレームワークを踏まえた見直しが行われました。
この見直しにより、「リスク」と「モニタリング」の概念が取り入れられたことが特徴的です。
また、改訂前の記載レベルは、ITガバナンスの概念や業務継続計画について、
方針の明確化をすることを述べるところまでに留められていました。
改定後は、CIOを任命し、その配下に情報システム部門をおき、
それらの役割と実施するべき事項まで明示されています。
この事項をベースに、自社がどこまで実施できているのか、チェックすることができます。
実施するべき事項から更に具体化した、「モニタリング」の方法と結果に応じた対応は、
社内で順次整備していくことになるかと思いますが、
するべきことを把握および関係者で共有するという意味では、有用なツールになります。
【ポイント② アジャイル開発とクラウドを踏まえた見直し】
事業規模によらず、現在進行中のシステム開発プロジェクトでは、
アジャイル開発を取り入れているケースも多いかと思います。
しかし、改訂前はウォーターフォール開発を前提とした記載のみでした。
本文書のアジャイル開発に関する記載は、必要最低限に留められていますが、
一つ一つの事項を咀嚼し、具体化することによって、セルフチェックを実施することができます。
また、改訂前は、システム監査の実施者(監査人)が、
クラウド事業者を委託先と読み替えて監査および管理の評価をしていましたが、
改訂後は「クラウド事業者」と、明示的に記載されています。
加えて、情報漏洩防止の観点で、
クラウドサービスにおけるデータの廃棄について注意が促されています。
ちなみに本文書では、普段から情報システムに触れていない人にとって、
耳馴染みの低い用語が出てきますが、巻末に用語定義がありますので、
アジャイル開発におけるプロダクトオーナーやイテレーションなどは、
そちらで確認しながら読んでいただくと、理解が深まります。
【ポイント③ 監査実務を踏まえた見直し】
このポイントがセルフチェックをする上で、最も重要な変更点であるといえます。
改訂前は管理基準の項目を提示するだけだった部分が、
改訂後は「主旨」と「解釈指針」および「着眼点」の提示までされており、
項目によっては監査時に作成した方が良い文書などが記載されています。
つまり、システム監査の実施者(監査人)の経験によって補足されていた部分が記載されることにより、
システム監査の経験が少ない人であっても、システム監査を実施しやすくなっています。
【まとめ】
13年半経過したとしても、情報システムの監査および管理をする上で、
大きな枠組みに変更はありません。
とはいえ、新しいフレームワークや技術を取り入れていかなければ、
使いにくい基準となってしまいます。
今回の改訂は、新しい内容を取り入れただけでなく、
情報量が大幅に増えたことで、より実務で使いやすくなっています。
この改訂版を用いて、ずっと自社でセルフチェックを実施されるのも良いかと思います。
一方、自社の中で毎年セルフチェックを実施された上で、数年に1度、
より客観的な評価や課題の解決をするために、
弊社のようなコンサルタントを活用していただくことも効果的です。
何か迷われることがありましたら、お気軽にご相談ください。
関連サービス
2018年06月12日 (火)
青山システムコンサルティング株式会社