input management

B.入力管理

(概説)ネットワーク環境下における入力管理という概念は、そこで運用されているアプリケーションにより内容 が異なってくる。
企業の基幹システムに対する入力であれば、その管理は従来のホスト系システムに対する ものと変わるところはなく、また、電子メールの入力ということであれば、その管理は、ネットワーク上の エチケットに近いものとなるかもしれない。		 
監査目標
 (1) 入力管理ルールを定め、遵守しているか。
着眼点
      a)入力管理ルールが存在するかどうかを確認する。*1                                                                      
      b)入力管理ルールは、管理者により承認されているかを確認する。*1                                                        
     c)入力管理ルールの内容をチェックし、誤謬、不正、漏洩防止等の項目が盛り込まれているかを確認する。*1                    
     d)データ入力者を明確にし、当該入力者を管理者が承認しているかを確認する。*1                               
      e)入力管理ルールが、周知徹底されているかを確認する。*1                                                          
     f)入力管理ルールが環境の変化に応じて、見直されているかを確認する。*1                                      
留意事項
	 ・ルールは定期的に見直す。
	 ・データ入力者とそれぞれの担当者の持つ権限を明確にする、等。
     ・ネットワーク環境下では、誰でもどこからでもデータを入力することができるので、入力責任
	  を明らかにするために誰がどのデータを入力したか後からわかるようにする必要がある。
	  ・メーリングリスト等での発言責任も入力責任の一つと考えられる。
	
監査目標
 (2) 入力データの作成手順、取扱い等は、誤謬防止、不正防止及び機密保護の対策を講じているか。
着眼点
   a)入力データ作成基準の内容をチェックし、入力漏れ、重複入力等への対策がなされているかを確認する。*1                    
     b)入力データ作成基準の内容をチェックし、効率の良い入力データ作成方法となっているかを確認する。*1                     
     c)入力データの授受記録が適切に行われているかを確認する。*1                                                          
     d)入力データに機密度が設定されているかを確認する。*1                                                               
      e)機密のデータの入力に際しては、担当者が限定されているかを確認する。*1                                        
留意事項
	  ・データの重要性、機密レベルを考慮して、必要に応じデータの暗号化を実施する。
	  ・機密データに対する取り扱いをルール化する、等。		 

監査目標
 (3) データの入力・更新・削除は、入力管理ルールに基づいて行っているか。
着眼点
      a)入力は、入力管理ルールで定められた者が行っているかを確認する。*1                                    
     b)入力の確認(照合)は、ベリファイ、読み合わせ等により行われているかを確認する。*1                          
     c)入力データの漏れ、重複入力が発生しないよう、トータル・チェック等の手法により入力管理ルールに基     
     づき入力がされているかを確認する。*1                                                                   
     d)取り消し・修正・追加データの処理がルールどおりなされているかを確認する。*1                                                                                                                                     
      e)入力記録が、ルールに定められた期間保存されているかを確認する。*1                                                    
留意事項
	 ・入力・更新・削除記録を定められた期間保存する。
	 ・更新時のバックアップ(テンポラリーバックアップ)を作成する、等。	

監査目標

 (4) データの入力の誤びゆう防止、不正防止及び機密保護の対策は有効に機能しているか。
着眼点
      a)入力時のデータ照合が機能しており、データの誤入力、入力漏れ、重複入力が検知できる仕組みとなって      
     いるかを確認する。*1                                                                                      
     b)誤入力対策として、プログラムによるデータチェックが組み込まれているかを確認する。*1                                       
     c)不正データの追加、データの改ざん、データの削除等が行われたとき、発見できる仕組みが出来ているか                     
     を確認する。*1                                                                                        
      d)データの入力において、機密保護、プライバシー保護が適切になされているかを確認する。*1                                                                                                                         
      e)入力業務の効率化、誤り・不正入力防止等の観点から、手続きの見直しが、適切な時期になされているか         
        を確認する。*1 
      f)誤謬・不正を発見する手段を用意する。
      g)誤謬・不正が存在した場合の原因追求手段を用意する。
      h)これらの機能について定期的に機能チェックを行う。
留意事項
     ・入力チェック、権限チェック等のしくみを用意する。
	 ・ログチェックなどを定期的に且つ定型的に行うことのできるルールを策定する。

監査目標
 (5) 入カデータの保管及び廃棄は、入力管理ルールに基づいて行っているか。
着眼点
      a)入力データの保管・廃棄が、入力管理ルールに基づいて行われているかを確認する。*1                                 
      b)機密データやプライバシーに関わるデータの廃棄は責任者が立ち会う等、適切な管理が行われているかを    
     確認する。*1                                                                                                                          
     c)廃棄業務を外部に委託する場合は、契約条件、業者の信頼性、具体的な廃棄方法等を確認しているかを                          
        検証する。*1                                                                                                                          
     d)機密データやプライバシーに関わるデータの廃棄において、磁気媒体からの消去も確実になされているか                
     を確認する。*1                                                                                          
留意事項
	 ・災害、侵入者などの存在を考慮した保管場所を設定する。
	  ・廃棄時のシュレッダー処理を徹底する、等	  	

     *この項目は(3 データ管理(7))に含ませてしまってもよい。
ガイドラインの目次に戻る。