| (概説)ネットワーク上におけるデータ管理が従来のホスト系におけるデータ管理と大きく異なる点は、データの
保存場所が物理的に分散しているケースが非常に多く、それらを一括して管理する必要があるということで
ある。 例えば、全世界に分散している重要データを統一された基準・ルールなしで管理するのは簡単なこと ではなく、ルール策定の重要性は非常に大きい。 |
監査目標
(1)データ管理ルールを定め、遵守しているか。
着眼点
a)データ管理基準が存在するか確認する。*1
b)データ管理基準は、管理者により承認されているかを確認する。*1
c)データ管理基準が各担当者に周知徹底しているかを確認する。*1
d)データ管理の内容は、アクセスコントロール、バックアップ、リカバリー、データの授受、不正防止、機密
保護、プライバシー保護、コンピュータ・ウィルス対策、知的財産権等の課題を網羅しているか確認する。*1
e)データ管理基準は、環境の変化に応じて更新されているかを確認する。*1
f)データの機密レベルについて、統一した基準を設ける。*2
留意事項
・機密度の高いファイル(ソフトウェア、データ、ドキュメンテーション)など、機密レベルに応
じた取扱規定を定める。
(不正アクセス、不正更新、消失などからの保護)
・データの重要性、機密レベルを考慮して、必要に応じデータの暗号化を実施する。
監査目標
(2) データへのアクセスコントロール及びモニタリングは、有効に機能しているか。
着眼点
a)アクセスコントロールの機能は、対象データの重要性・機密性を考慮した場合、過不足ない内容になってい
るかを確認する。*1
b)アクセスコントロールおよびモニタリングの機能は、設計予定通りの効果を発揮しているかを確認する。*1
c)モニタリング情報を定期的に分析し、無資格者によるアクセスの有無、その原因等について究明がなされて
いるかを確認する。*1
d)アクセス記録等のモニタリング機能を活用し、特定ファイルへの偏った利用、異常な時刻での利用について
その原因が分析されているかを確認する。*1
e)アクセス記録等のモニタリング機能を活用し、不正利用、不正アクセスの分析を行い、その再発防止に努め
ているかを確認する。*1
f)業務内容、組織変更、基本ソフトウェアの変更等により、アクセスコントロール機能を見直しているかを確
認する。*1
監査目標
(3)データの利用状況を記録し、定期的に分析しているか。
着眼点
a)SMF(System Management Facility)等の機能を活用したデータの利用状況の記録が行われているかを確
認する。*1
b)データの利用状況を定期的に分析しているかを確認する。*1
c)分析の結果、ディスク・スペースの妥当性、今後の媒体のボリューム等を検討しているかを確認する。*1
d)不正利用の調査を行い、その対策を講じているかを確認する。*1
a)システム管理者は、システムの有効活用・システム資源のチェック・トラブル発見のため、レス
ポンスタイム、ディスクストレージのスペース、ネットワークの利用度について、監視しなければ
ならない。*2
b)処理中に発生した事故は、全て記録・分析され、適時に解決し、管理者に報告されなければなら
ない。*2
c)要員の作業分担・連絡・引き継ぎを明確にし、事故の発生を未然に防止する体制を作らなければ
ならない。*2
監査目標
(4)データのバックアップの範囲及びタイミングは、業務内容、処理形態及びリカバリの方法を考慮して
決定しているか。
着眼点
a)データのバックアップの範囲は明確になっているかを確認する。*1
b)バックアップ対象のファイルの範囲は、業務内容、処理形態及びリカバリの形態からして妥当かを検証する。*1
c)バックアップの方法は、業務内容、処理形態及びリカバリの形態からして妥当かを確認する。*1
d)バックアップの方法は、情報システムの変更に応じて、見直しがされているかを確認する。*1
e)バックアップファイルの更新及び保守に関する方針を策定する。*2
f)バックアップファイルは機密度、重要度に従って、優先順位付けし、一覧表としてまとめておく
とともに安全な場所に保管する。*2
g)バックアップ処理を行う担当者を正式な形で任命する。*2
h)分散配置されたサーバのバックアップについては、ネットワークを通じたセンターでの一括処理
も考慮すること。*2
監査目標
(5) データの授受は、データ管理ルールに基づいて行っているか。
着眼点
a)データの授受は、データ管理ルールに定める者が行っているかを確認する。*1
b)データの授受は、データ管理ルールに基づいた手続きによって行われているかを確認する。*1
c)データ授受の記録が、ルールに定められた期間保存されているかを確認する。*1
d)データの授受に関してデータ授受ルールを明確化するとともに、社内のみならず関係各者全てに
公開し、協力を要請する。*2
留意事項
・媒体毎(FD、テープ等)の交換ルールの設定
・媒体のウィルスチェックをする。
・社外とのデータやり取りにおけるルールの策定、等
監査目標
(6) データの交換は、不正防止及び機密保護の対策を講じているか。
着眼点
a)データ交換の対象となるデータの機密度が設定されているかを確認する。*1
b)データ交換の形態に応じた不正防止、機密保護及びプライバシー保護の対策が講じられれているかを確認す
る。*1
c)ネットワークを介してデータ交換を行う場合は、交換元、交換先とで交換手順を定め、互に確認しているか
を検証する。*1
d)データ交換の媒体にフロッピーディスクを使用するときは、出所が確かなものを使用しているかを確認する。*1
e)機密度の高いデータを交換する場合は、暗号化するなど適切な処置がなされているかを確認する。*1
f)ネットワーク上におけるデータの交換についてデータ交換ルールを策定する。*2
留意事項
・データ交換時の署名の奨励
・機密データ交換時におけるデータ暗号化の義務づけ、等
監査目標
(7) データの保管及び廃棄は、不正防止及び機密保護の対策を講じているか。
着眼点
a)データの保管及び廃棄のルールが存在するのかを確認する。*1
b)データの保管及び廃棄は、ルールに従って行われているかを確認する。*1 データの保管状況及び廃棄の現場を
c)データの保管・廃棄はデータ管理の責任者が承認の上行われているかを確認する。*1
d)データは、ルールで定めた所定の場所及び期間で保管されているかを確認する。*1
e)重要なデータの廃棄については、責任者が立ち会うなどルールで定めた方法が遵守されているかを確認する。*1
f)データの廃棄を業者に委託している場合は、廃棄の方法等について問題がないか確認する。*1
g)データの保管及び廃棄についてデータ保管・廃棄ルールを策定する。*2
留意事項
・媒体毎(FD、ハードディスク等)の保管・廃棄ルールの設定
・フォルダやファイルにアクセス権限を設定する、機密データは暗号化した状態で保存する、等
FDははさみで切断後廃棄する、ハードディスクはデータを全て消去したことを確認後廃棄する、
等
監査目標
(8) データの複写は、不正防止及び機密保護の対策を講じているか。
着眼点
a)データの複写についてルールに定めがあるか確認する。*1
b)データの複写ルールが、データの重要度、機密保護、プライバシー保護、不正防止の観点からみて、妥当か
どうか検証する。*1
c)データの複写ルールが、遵守されているかを確認する。*1
d)重要なデータの複写については、記録を保存しているかを確認する。*1
e)データの複写についてデータ複写ルールを策定する。*2
留意事項
・媒体毎(FD、ハードディスク等)の複写ルールの設定
・複写禁止のフォルダやファイルには読み取り専用属性をつける、等
・ 読取専用の属性では保護できない。サーバのアクセス権の設定やFD等媒体そのものを
管理しないと複写防止はできない。
監査目標
(9) データに対するコンピュータウイルス対策を講じているか。
着眼点
a)データ管理の中に、コンピュータウイルス対策が含まれているかを確認する。*1
b)コンピュータウイルス対策が、周知徹底されているかを確認する。*1
c)コンピュータウイルス対策は、運用の実態からして十分な内容となっているかを検証する。*1
d)ワクチンプログラムが活用されているかを確認する。*1
e)被害があった場合は、被害状況を情報処理振興事業協会(IPA)に報告をしているかを確認する。*1
監査目標
(10) データの知的財産権を管理しているか。
着眼点
a)従業員に対し、著作権、特許権等知的財産権に関する啓蒙・教育が実施されているかを確認する。*1
b)知的財産権保護の対象となるデータベースを、明確にしているかを確認する。特に外部から使用許諾を受け
ているデータベース等を明確にしているかを確認する。*1
c)外部からデータベースを導入する場合は、導入契約書の締結など所定の手続きを踏んでいるかを確認する。*1
d)外部から導入したデータベースが導入契約書で定められた使用の仕方をしているかを確認する。*1
e)コンピュータウイルス、著作権、セキュリティについての教育、啓蒙活動を実施する。ニューズ
レター等で新聞記事や社内外の実例を継続的に報知するのも有効である。*2
f)ハードウェア及びソフトウェアの購入契約書には、ベンダー・サポート、ライセンス、所有権、
納期、教育、技術支援、文書化条項、支払い条件、アップグレード条項、債務不履行の場合の買
手及びベンダーの賠償こついての条項を含んでおく。*2
g)特に海外のベンチャー等の場合は、M&A、倒産に関して、契約内容を考慮しておく。*2
h)使用するソフトウェアについて、著作権保護の考えに基づいた管理を行なう。*2