「パッケージのセキュリティ統制概要」について述べていきます。
付録8は、会計パッケージに対するセキュリティ機能に対する方針作りを手助けするために作成されています。
パッケージを購入し、活用するユーザーとしては、この方針の基に作成された機能が会計パッケージに必要なセキュリティ項目であるとして判断して、検証すれば良いと思います。
市販の会計パッケージを評価対象として、TOE(Target Of Evaluation)と表現し、そのパッケージのセキュリティ機能をTSF(TOE Security Function)と呼んでいます。
初めての言葉で、若干とまどいますので、ご注意ください。
今日は、「IT内部統制 追加付録概要」の第5回です。
「セキュリティ機能定義構造例」について述べていきます。
付録8では、TSF(TOE Security Function)としてのセキュリティ機能をその環境、(注)TOE(Target Of Evaluation:評価対象の市販の会計パッケージのこと)セキュリティ対策方針、セキュリティ要件の順にその要件を展開する手順とその事例
を提示しています。
そして、その展開ステップはセキュリティ定義事項の正当性証明を記述しています。
この手順の出典は、ISO/IEC15408のCC(Common Criteria for Information Technology Security Evaluation Ver2.3)と記述されています。
その構造を把握することで、会計パッケージに対する要件とその手順を知ることが出来ます。
(Read the article)
付録9では、財務報告プロセスとその他のプロセス(重要業務プロセスとも言われる)に対するIT統制目標(ITコントロール目標)とアサーションの関係記述例を取り上げています。
この付録で取り上げる業務プロセスの範囲は、IT統制に係るほとんどの業務プロセスに亘る例示を提供しています。
財務報告プロセスのからは、「連結決算プロセス」、「個別決算プロセス」とその他のプロセス(重要業務プロセスとも言われています)では、「販売プロセス」、「購買プロセス」、「たな卸資産プロセス」、「固定資産プロセス」、「人事給与プロセス」、「仕訳計上プロセス」を事例を取り上げて記載しています。
各業務プロセスの業務処理ごとにリスクと統制活動、およびITコントロール目標と財務アサーションの関係を事例として整理していますので、参考にしてみましょう。
平成19年12月26日の「システム管理基準 追補版」に対する追加付録、「システム管理基準 追補版」(財務報告に係るIT統制ガイダンス追加付録)(以下、「追補版 追加付録」と言います)、
URL: http://www.meti.go.jp/press/20071226006/03_furoku.pdf
と平成20年1月21日に「ASP/SaaSの安全・信頼性に係る情報開示指針」で「SaaS向けSLAガイドライン」(以下、「SLAガイド」という)を公表しました。
URL: http://www.meti.go.jp/press/20080121004/20080121004.html
共に、IT統制においては、非常に重要な意味を持つガイドラインとなっています。
「追補版 追加付録」は、日本版SOX法の対象である会計パッケージのIT業務処理統制と連結決算に係る重要業務のRCMのガイドです。
一方、「SLAガイド」は、IT全般統制の統制項目の「外部委託に関する契約の管理」に対するSLA、SLMのガイドラインを提供しています。
今回からは、経済産業省「SLAガイド」の第1回です。
(Read the article)
SLAとは、「ITベンダーとユーザー間または情報システム部門とユーザー部門との間で締結されるサービスレベルの合意書」です。
日本版SOX法に基づきますと、重要拠点で重要業務に当る業務システムを外部委託する場合、日本版SOXの対象範囲となります。
つまり、委託企業のIT統制の実施状況を監査し統制することが責任範囲となります。
その統制のために、当事者間で締結する合意項目をSLA(Service Level Agreement)と言います。
その合意項目には、以下の6点の綱目を網羅することが必要とこのガイドラインでは述べています。それらの項目とは、「前提条件」、「委託範囲」、「役割と責任」、「サービスレベル項目」、「結果対応」、「運営ルール」の6つです。
SLA項目の中で、中心になる項目が「サービスレベル項目」です。
このサービスレベル項目として、4つの項目を設定しています。
それらの項目とは、「アプリケーション運用」、「サポート」、「データ管理」、「セキュリティ」です。
SaaS・ASPの要件ですので、IT全般統制としての要件がほとんどになります。
それらの項目について以下に整理しておきましょう。
(1)「アプリケーション運用」は、サービスレベル項目の中での中心項目です。
システムの使い勝手に係る項目を設定します。使い勝手といえば、システムの 「可用性」、「信頼性」、「性能」、「拡張性」のレベルの高さが目標となります。
例えば、「可用性」では、サービス時間や稼働率などが対象項目となります。
◆「信頼性」には、平均復旧時間、システム監視基準などが対象です。
◆「性能」は、オンライン応答時間やバッチ処理時間などを取り上げます。
◆「拡張性」では、カストマイズ性、外部接続性などが項目として上がります。
(2)「サポート」は、障害対応や一般問合せに係るサービスデスクの運用サポート に対する項目を設定します。
例えば、サービス時間帯における障害対応や一般問合せの対応時間などを設定します。
(3)「データ管理」では、データバックアップを含む利用データの保証に係る項目を設定します。
例えば、バックアップの方法やデータ消去の要件などが対象項目となります。
(4)「セキュリティ」は、公的認証や第三者評価(監査)を含むセキュリティに係る項目を設定します。
例えば、ISO等の規格への準拠性、データやデータベース維持の妥当性・整合性検証、アクセス管理、ログ管理、保守計画の管理、通信経路の保護などが設定項目として挙げられます。
今回はここで終わります。次回は「サービスレベル項目記述例」を取り上げます
経済産業省「SLAガイド」メルマガの第4回「サービスレベル項目の記述例」を取り上げます。
SLAの4つのサービスレベル項目の詳細設定の記述例です。
「アプリケーション運用」、「サポート」、「データ管理」、「セキュリティ」に関するサービスレベル項目、規定内容、測定単位、設定例が参考例として記述してあります。
ここでは、 「アプリケーション運用」に関する事項を表示しています。
「アプリケーション運用」はシステムの使い勝手として、可用性/信頼性/性能/拡張性が設定事項としてありました。
例として、アプリケーション運用の「可用性」のサービスレベル項目「サービス稼働率」を取り上げてみます。
◆「規定内容」には、“サービスを利用できる確率”とあり、サービスレベル項目のサービス稼働率の意味を定義しています。
◆「測定単位」では、測定する指標として“稼働率”を定義しています。
◆「設定例」では、設定の目標値を提示しています。“99.9%以上(基幹業務)”と“99%以上(上記以外)”が稼働率の目標値の記述例となっています。
(Read the article)
今日は、経済産業省「SLAガイド」の第5回「SLAの運用サイクル」を取り上げます。
SLMとは、Service Level Managementの略称です。SLAで設定したサービスレベル項目を統制していく運営・管理の手法です。
定義では、「サービスに関わるルール、プロセス、体制等の改善により、高品質なサービスを維持し、サービスレベルの要求水準とサービス内容を利用者の事業上の要求の変化に対応させるための継続的な運営・管理手法である。」と記述されて
います。
今までは、ITコンサルタントの基礎知識を述べてきました。
お伝えしてきました内容は、皆様への最新情報の伝達は大きな目的としてありますが、同時に当職の勉強と仕事の準備を兼ねた知識の整理の意味もありました。
時間も経ち、経験も積んできますと以前書いた投稿が時代遅れや考慮不足な内容になっているところも見受けられます。
また、項目が多すぎて各投稿の関係が掴みづらくなっていると思います。
実際に、コンサルやワークショップ研修等の仕事で活用していますと、いろんな工夫や改善要素が見えてきます。
その経験を通して感じた工夫や実践ポイントを整理して話してみようと思います。
自分の意見を出して話し、皆さんと問い掛け形式の対話が出来上がれば良いかなという想いで進めていきます。
今日は、ブログテーマ「IT経営コンサル実践考察」の第1回です。