| (概説) 分散環境において、ドキュメンテーションは従来以上に重要なものである。 ホスト集中型システムよりも利用者が不特定多数になり、かつシステムに対する知識もまちまちのため操作・運用やトラブル対応のためドキュメンテーションの重要性は増している。 |
1 作 成
監査基準のこの部分は、開発業務に関わる部分ですので(3)以外の解説は省略します。 監査目標 (1) ドキュメント作成ルールを定め、遵守しているか。 着眼点 1)ドキュメント管理体制、ドキュメント作成体制が確立されていることを確認する。*1 2)ドキュメント管理責任者、ドキュメント作成責任者およびその役割と権限が、明確化されていることを確認 する。*1 3)ドキュメント作成ルールが、明文化されていることを確認する。*1 4)ドキュメント作成ルールが、情報戦略に基づいて定められていることを確認する。*1 5)ドキュメント作成ルールが、ドキュメントの作成に必要な体系、作成部門と利用部門、作成手順、レビュー 手順、作成要領などを定めていることを確認する。*1 6)ドキュメント作成ルールが、組織体として承認されていることを確認する。*1 7)ドキュメント作成ルールが、ドキュメント作成担当者および関係者に周知されていることを確認する。*1 8)ドキュメント作成ルールに従ってドキュメントを作成していることを、ドキュメント作成責任者が確認して いることを検証する。*1 9)ドキュメント作成ルールの見直しについて、ルール化されていることを確認する。*1 監査目標 (2) ドキュメントの作成計画を策定しているか。 着眼点 1)ドキュメント作成ルールに基づいて、企画、開発、運用および保守業務に係るドキュメント作成計画を策定 していることを確認する。*1 2)ドキュメント作成計画には、作成するドキュメントの一覧と、その作成目的が明記されていることを確認す る。*1 3)ドキュメント作成計画に明記されている作成ドキュメントは、各業務の作業手順と整合性を持っていること を確認する。*1 4)ドキュメント作成計画には、ドキュメント作成に必要な要員、環境、予算および期間などを明記しているこ とを確認する。*1 5)ドキュメント作成計画の内容が、開発計画と整合性を持っていることを確認する。*1 6)ドキュメント作成計画を、企画、開発、運用および保守部門の責任者が承認していることを確認する。*1 7)ドキュメント作成計画が、ドキュメント作成担当者および関係者に周知徹底されていることを確認する。*1 監査目標 (3) ドキュメントの種類、目的、作成方法等を明確にしているか。 着眼点 1)ドキュメント作成ルールに基づいて、ドキュメント作成方法を定めていることを確認する。*1 2)ドキュメント作成方法は、情報システムの形態、作成費用、保守作業などを考慮して定めていることを確認 する。*1 3)ドキュメント作成方法が、ドキュメント作成担当者に周知徹底されていることを確認する。*1 4)ドキュメント作成ルールに基づいて、作成するドキュメントの種類・体系・目的を明確化し、ドキュメント 作成計画に明記していることを確認する。*1 5)作成するドキュメントの種類およびその作成スケジュールは、開発計画と整合性を持っていることを確認す る。*1 6)ドキュメントの目的に応じて、その配布先を明確化していることを確認する。*1 留意事項 ネットワーク導入に際して、以下に述べるドキュメントは用意する必要があります。 対象;ネットワーク管理者用、シスアド用、ヘルプデスク用、ユーザ用 種類;運用管理マニュアル、ユーザマニュアル 目的;データ保護、セキュリティ対策、トラブル対応(再発防止)、業務の効率性向 上、保守、ユーザ利用 作成方法;印刷物、オンラインヘルプ、ホームページ(HTML文) ・ ネットワーク管理において十分な規定がドキュメント化されており、データの保護やセ キュリティが守られる様になっていなければならない。 ・ トラブルや災害などの対応がドキュメント化されており、速やかに対応できるようにな っていなければならない。 ・ 各部門で正確・効率的な業務ができ、かつ不正・トラブル防止等の適切な管理が実施で きるように運用マニュアルを作成しなければならない。 また、ノウハウの伝達・レベルの維持のために部門管理者用のマニュアルを作成しなけ ればならない。 ・ ログオン/ログオフ、バックアップ、ハードウェア保守、トラブル時の対処・報告等に ついて、以下のことを適切に行うためにその手順をドキュメント化する。 ・ セキュリティ対策 ・ トラブル対応(再発防止) ・ データ保護 ・ 円滑な業務運営のため、迅速にトラブル対応するため、ネットワーク上のアプリケーシ ョン全体について、ユーザーマニュアルを作成する。 監査目標 (4) ドキュメントは、作成計画に基づいて作成しているか。 着眼点 1)ドキュメント作成ルールおよび作成計画に基づいて、ドキュメントを作成していることを確認する。*1 2)ドキュメント作成責任者が、ドキュメント作成状況を作成計画に基づいて管理していることを確認する。*1 3)作成したドキュメントの種類、内容が作成計画と一致していることを確認する。*1 4)ドキュメント作成計画で計画されていたが作成されなかったドキュメントについて、その理由を明確にして いることを確認する。*1 5)ドキュメント作成計画に対して作成時期の大幅遅延、作成中止、内容変更などがあった場合、その理由を明 確にしていることを確認する。*1 6)ドキュメント作成計画に対して作成時期が大幅に遅延した場合、対応策を講じていることを確認する。*1 7)ドキュメント作成実績を記録、分析し、次の作成計画の立案の参考にしていることを確認する。*1 監査目標 (5) ドキュメントは、情報システム部門及びユーザ部門の責任者が承認しているか。 着眼点 1)ドキュメントのレビュー部門、レビュー体制が明確化されていることを確認する。*1 2)ドキュメントのレビュー責任者が明確化されていることを確認する。*1 3)ドキュメントのレビュー部門に、ユーザ部門が含まれていることを確認する。*1 4)ドキュメントのレビュー手順およびレビューポイントが明確化されていることを確認する。*1 5)ドキュメントのレビューが、手順に基づいて行われていることを確認する。*1 6)ドキュメントのレビュー結果を基に、ドキュメントの更新を行っていることを確認する。*1 7)ドキュメントの内容およびレビュー結果を、情報システム部門およびユーザ部門の責任者が承認しているこ とを確認する。*1 8)ドキュメントが、配布リストに基づいて配布されていることを確認する。*1 9)ドキュメントの内容が、配布された関係者に周知徹底されていることを確認する。*12 管 理
監査目標 (1) ドキュメント管理ルールを定め、遵守しているか。 着眼点 1)ドキュメント管理体制が確立されていることを確認する。*1 2)ドキュメント管理責任者およびその役割と権限が、明確化されていることを確認する。*1 3)ドキュメント管理ルールが、明文化されていることを確認する。*1 4)ドキュメント管理ルールが、情報戦略と整合性を持って作成されていることを確認する。*1 5)ドキュメント管理ルールには、ドキュメントの管理責任部署、管理方法、更新・廃棄手順などが明記されて いることを確認する。*1 6)ドキュメント管理ルールが、組織体の長によって承認されていることを確認する。*1 7)ドキュメント管理ルールが、ドキュメント管理担当者および関係者に周知徹底されていることを確認する。*1 8)ドキュメント管理台帳を作成・管理することが、ルール化されていることを確認する。*1 9)ドキュメント管理台帳には、ドキュメントの最新状況が記録されていることを確認する。*1 10)ドキュメント管理ルールの遵守状況を、ドキュメント管理責任者が確認していることを検証する。*1 11)ドキュメント管理ルールの見直しについて、ルール化されていることを確認する。*1 留意事項 ・ ドキュメントの重要度についてランクを設けておく。 そのランクにしたがってどのような媒体で作成するのか、誰に配布するのかを決めておく。 ドキュメントはいたずらに作成するのではなく、必要な者に利用可能な媒体で提供する ことを心掛けなければならない。 ・ ドキュメントが有効であるかどうか検討する必要がある。 有効なドキュメントは必要な者に配布し、そうでないドキュメントは作成を取りやめるべ きである。 ・ 誰が作成するのかルールを定めておく。 例えば、FAQを各ユーザ部門毎で作成していたのでは無駄が多すぎる。各ユーザ部門で 作成したFAQをまとめて、重複がなく遺漏もないドキュメントに仕上げる責任者をルー ルで定めておく方が効率的である。 監査目標 (2) 情報システムの変更に伴い、ドキュメントの内容を更新し、更新履歴を記録しているか。 着眼点 1)情報システムの変更に伴い影響を受けるドキュメントが、明確化されていることを確認する。*1 2)ドキュメントの更新手順および更新時の留意点が、明確化されていることを確認する。*1 3)ドキュメントの更新を、ドキュメント管理ルールに基づいて行っていることを確認する。*1 4)ドキュメントの更新が遅滞なく行われていることを確認する。*1 5)ドキュメント管理責任者が、ドキュメントの更新状況を確認していることを検証する。*1 6)ドキュメントの更新履歴を、作成・管理していることを確認する。*1 7)ドキュメント更新履歴の記載内容が、十分であることを確認する。*1 留意事項 ・ 各マニュアルは、定期的にレビュー及びメンテナンスする。 また、各マニュアルは、業務の効率化・最新技術動向を取入れ、内容を見直さなければ ならない。 マニュアルの内容にそって業務を行うよう徹底しなければならない。 ・ドキュメントの電子化や伝送による更新など維持・管理に関する工夫も重要である。 監査目標 (3) ドキュメントの更新内容は、情報システム部門及びユーザ部門の責任者が承認しているか。 着眼点 1)ドキュメントの更新に対するレビュー体制が、確立されていることを確認する。*1 2)ドキュメントの更新に対するレビュー体制には、ユーザ部門を含めた関連部門がすべて含まれていることを 確認する。*1 3)ドキュメントの更新に対するレビュー手順、レビューポイントが明確化されていることを確認する。*1 4)手順に基づいて、ドキュメントの更新に対するレビューを行っていることを確認する。*1 5)ドキュメントの更新に対するレビュー結果が記録、保管されていることを確認する。*1 6)更新したドキュメントの内容およびレビュー結果を、情報システム部門および利用者部門の責任者が承認し ていることを確認する。*1 7)変更したドキュメントが、定められた配布リストに基づいて配布されていることを確認する。*1 8)変更したドキュメントの内容が、配布された関係者に周知徹底されていることを確認する。*1 監査目標 (4) ドキュメントの保管及び廃棄は、不正防止及び機密保護の対策を講じているか。 着眼点 1)ドキュメントの保管および廃棄についてのルールが、明文化されていることを確認する。*1 2)ドキュメントの保管および廃棄ルールは、ドキュメントの種類、形態などを考慮して決められていることを 確認する。*1 3)ドキュメント管理責任者が、ドキュメントの保管状況、利用状況を定期的に確認していることを検証する。*1 4)ドキュメント保管場所および保管方法は、セキュリティを確保する上で問題のないことを確認する。*1 5)廃棄したドキュメントについて、ドキュメント管理台帳に記録されていることを確認する。*1 6)重要なドキュメント、機密性の高いドキュメントの廃棄方法は、セキュリティを確保する上で問題のないこ とを確認する。*1 7)重要なドキュメント、機密性の高いドキュメントの廃棄に際しては、ドキュメント管理責任者が立ち会って いることを確認する。*1 ・ 運用マニュアル、ユーザーマニュアルは、安全な場所に保管する。 ・ 災害対策等のためマニュアルのコピーは、離れた安全な場所に保管する。 監査目標 (5) ドキュメントの複写は、不正防止及び機密保護の対策を講じているか。 着眼点 1)ドキュメントの複写についてのルールが、明文化されていることを確認する。*1 2)複写禁止、複写制限のドキュメントを明確にしていることを確認する。*1 3)不正複写が発見された場合の処置について、明文化されていることを確認する。*1 4)ドキュメントの複写についての記録を、とっていることを確認する。*1 5)ドキュメント管理責任者が、ドキュメントの複写記録、複写状況を定期的に確認していることを検証する。*1 留意事項 ・ 電子化されネット上で開示しているドキュメントは、複写を阻止する方法はないと言っ てよい。機密保護を要するドキュメントについてはアクセスコントロールを考えるべきで ある。 社内文書であっても、暗号化することが機密保護のためには必要な場合がある。
ガイドラインの目次
に戻る。