ネットワーク管理のガイドライン

                                                	ＩＳＡＣＡ大阪支部監査基準分科会
							 	   平成９年１２月３１日

　「ネットワーク管理のガイドライン」は、システム監査基準では不十分であるネットワーク管理について実務指針となる手順書を作ることを目的に、ＩＳＡＣＡ大阪支部の監査基準分科会でまとめたものです。
システム監査基準(１９９６年１月)は、「集中処理又は分散処理のいずれにも適用できる」とうたっているものの、集中処理を念頭に置いた記述がかなりあります。そのため、今ＥＤＰシステムで急速に普及しているＬＡＮやＷＡＮといったネットワークを監査しあるいは管理する場合に、寄るべき基準としては不十分といわざるを得ません。
監査基準の実務指針としては、１９９７年２月に、日本システム監査人協会が発刊した「新システム監査基準実務基準書」があります。これはとてもよく出来たガイドブックであり、実務上非常に役に立っていると聞きます。しかし、この基準書も、システム監査基準の内容を実務的観点から分析し、システム監査人に役立つ実践的な資料を提供することを目的とされているため、システム監査基準に詳しく触れられていない領域については物足りない点があります。
そこで、われわれ監査基準分科会では、ネットワーク管理に領域を絞りシステム監査人や実務担当者にとって役立つ実務指針をまとめることにしたわけです。幸い、１９９６年５月に企業情報システムのセキュリティ確保と診断のために、監査基準分科会で発刊した「ネットワーク管理のガイドライン」(第１版)がありましたので、これを基にそこでは記述出来なかった事項も盛り込み、ネットワーク管理に必要な監査上の留意事項を網羅的にまとめました。
ガイドライン作成に当たっては以下の方針でまとめました。

1. 監査とコントロールのどちらの目的からも使えるものとしました。ＥＤＰＡＡ(現ＩＳＡＣＡ)発行の「CONTROL OBJECTIVES」 と同様のまとめ方です。
   日本にシステム監査の言葉が一般に認知されてから１０年が過ぎて、システム監査に対する考え方もある程度こなれてきました。その中で、評価のためのシステム監査ではなく、システムの改善勧告のための監査という考え方がシステム監査には適していることがわかってきました。
   監査だけでなくコントロールの目的にも役立つ実務指針を目指す所以です。
2. 監査のフェイズにはいろいろな切口がありますが、システム監査基準を補足するという目的から、システム監査基準の採用しているフェイズを踏襲します。
   ただし、ネットワーク管理に範囲を限定するため、運用業務のみを対象としています。
   企画、開発及び保守業務は、分散環境下でもメインフレーム環境下の管理要点とさほど変わらないと考えられることもあります。
   共通業務からは、進捗管理を除いてドキュメント管理、要員管理、外部委託、災害対策を対象としました。進捗管理はネットワーク環境では特筆することがないと考えたので除きました。要員管理、外部委託、災害対策は、ネットワーク環境では特に重要ですので詳しく解説しています。
3. 実務指針となる手順書という性格から、各管理目標間で重複があってもかまわないものとしました。
   あまり理論的に監査要点を分類してしまうと、実務で質問書として使おうとした場合などに聞くべき要点を洩らしたりすることがあるからです。
4. システム監査基準の監査目標には、ネットワーク管理の実務指針としては重要でないものもあるので、その場合には重要でない旨を述べることにしました。
   重要な点は詳しく、メインフレーム環境下と重要性が変わらない点については簡単に解説するか、解説を省略しています。

1. 監査目標
2. 着眼点
3. 留意事項

着眼点は、平成８年８月に発行された新しい「監査基準に関する解説書」に示されたものを列記しています。ネットワーク管理と関連が薄いものもそのまま列記しています。集中管理での着眼点とネットワーク管理での着眼点を対比することが、ネットワーク管理を考える上で有益だと考えたためです。
ネットワーク管理の視点から補足したものがあります。「監査基準に関する解説書」に挙げられていた着眼点には(*1)を、補足したそれには(*2)を付けています。

留意事項が、本書の眼目です。ネットワーク管理についてまとまって解説したものが少ない今、実務に携わっている方々に多くのヒントを与えるものと自負しています。
なお、留意事項を補足するために「付録」として参考事項を掲げたものもあります。