Comments
Description
Transcript
AI2 アプリケーションソフトウェアの調達と保守
IT内部統制項目表 (1/34) ■AI2 アプリケーションソフトウェアの調達と保守 統制活動 システム管理 基準項目番号 Ⅱ-02-0-(04) 企画(分析) Ⅱ-02-0-(08) 企画(分析) 管理項目 ユーザニーズは文書化 し、ユーザ部門が確認す ること。 パッケージソフトウェアの 使用に当っては、ユーザ ニーズとの適合性を検討 すること。 発生リスク 統制の タイプ 統制項目 システム開発に対する要求を要求定義書等と ユーザニーズの調査結果 して記述する。 を的確に開発計画の策 定、開発業務に反映する ことができない。 要求定義書等はユーザ部門責任者のレビュ/ 承認を受ける。 自 動 Ⅱ-03-0-(01) 企画(調達) ○ 情報システムが、期待され た機能、効果を得られたこ ユーザニーズとパッケージ機能を把握・分析し とを確認することができな てシステム計画書等の項目として記述する。 い。 プロジェクト計画書レビュ実施記録を作成し、 保存する。 文書管理ツール ワークフローツール ○ ○ 開発方法/規模、システム特性等に基づいてプ ロジェクト計画書を作成する。 開発手順が、システム分 析及び要求定義で定めた Ⅲ-01-0-(01) 開発手順は、開発の責任 プロジェクト計画書はシステム部門責任者(企 要員、予算、期間などを満 開発(開発手順) 者が承認すること。 画/開発)のレビュ/承認を受ける。 たしているか確認できな い。 ○ ○ 構築する情報システムの 調達要求事項は、ユーザ部門責任者及び、シ 機能、性能、品質等の要 ステム部門責任者(企画/開発/保守運用)の ○ 求が、計画とおりに達成す レビュ・承認を受ける。 ることができない。 調達要求事項レビュ実施記録を作成し、保存 する。 利用ITツール ○ 調達要求事項は開発計画やユーザニーズを 基に作成する。 調達の要求事項は、開発 計画及び、ユーザニーズ に基づき作成し、ユーザ、 開発、運用及び保守の責 任者が承認すること。 手 動 実施基準対応 ○ 文書管理ツール ワークフローツール ○ 文書管理ツール ワークフローツール ○ 規程類等 開 発 システム開発規程 要求定義書 ○ システム開発規程 要求定義書 ○ システム開発規程 システム計画書 要求定義書 ○ システム開発規程 システム計画書 要求定義書 保守/運用規程 システム開発規程 システム計画書 要求定義書 保守/運用規程 運 用 ○ ○ ○ ○ システム開発規程 要求定義書 保守/運用規程 ○ ○ システム開発規程 システム計画書 プロジェクト計画書 ○ ○ ○ 文書管理ツール ワークフローツール システム開発規程 システム計画書 プロジェクト計画書 ○ ○ ○ 文書管理ツール ワークフローツール システム開発規程 システム計画書 プロジェクト計画書 ○ 安 全 外 部 All Rights Reserved, Copyright (c) JEITA 2009 IT内部統制項目表 (2/34) ■AI2 アプリケーションソフトウェアの調達と保守 統制活動 システム管理 基準項目番号 管理項目 発生リスク ユーザ・開発要員・運用担 当者の間で共有物として 認知されず、システム設計 システム設計書は、ユー 書の品質が確保できな Ⅲ-02-0-(01) ザ、開発、運用及び保守 い。 開発 (システム設計) の責任者が承認すること。 大規模なシステムの場合 に、システム最適化計画な ど、全体でのシステム構成 が考慮されない。 統制の タイプ 統制項目 実施基準対応 利用ITツール 自 動 手 動 システム設計書を作成しユーザ部門責任者及 び、システム部門責任者(開発/保守運用)の ○ レビュ/承認を受ける。 ○ 文書管理ツール ワークフローツール システム設計書レビュ実施記録を作成し、保存 ○ する。 ○ 文書管理ツール ワークフローツール 規程類等 開 発 運 用 システム開発規程 システム設計書 保守/運用規程 ○ ○ システム開発規程 システム設計書 保守/運用規程 ○ ○ ○ システム稼働後の運用及 保守/運用規程を参照して保守/運用方針を定 Ⅲ-02-0-(02) 運用及び保守の基本方針 び保守作業が円滑かつ効 め、システム設計書に反映させる。 開発 を定めて設計すること。 果的に遂行されない。 (システム設計) ○ システム開発規程 システム設計書 保守/運用規程 ○ 利便性の基本的考え方と して簡易性、一貫性、効率 Ⅲ-02-0-(03) 入出力画面、入出力帳票 性、簡潔性が考慮されず、 入出力画面、出力帳票等はユーザニーズと利 開発 等はユーザの利便性を考 データ入力時のミスを誘引 便性(入力時のミス防止、等)を考慮し、システ (システム設計) しやすいなど、作業効率の ム設計書等の項目として反映する。 慮して設計すること。 向上・出力情報の利用効 率の向上が図れない。 ○ システム開発規程 システム設計書 ○ ○ システム開発規程 要求定義書 システム設計書 ○ ○ システム開発規程 システム設計書 ○ システム設計書 プログラム設計書 ○ 大量・多種のデータが効 データベースは、業務の 率的に格納できず、必要 システム開発規程及び要求定義書に基づいて Ⅲ-02-0-(04) 開発(システム設 内容及びシステム特性に な情報が要求定義を満た データベースの設計を行い、システム設計書 す性能で検索・更新できな に反映する。 応じて設計すること。 計) い。 他の情報システムとの接続状況と今回のシス 業務間の共通システムが テム変更が与える影響度を、システム設計書 他の情報システムとの整 ある場合の整合性や影響 Ⅲ-02-0-(09) の項目として記述する。 合性を考慮して設計するこ 度が考慮されず、複数シ 開発 ステムが稼働した場合に (システム設計) と。 不具合が発生する。 Ⅲ-03-0-(01) 開発 (プログラム設 計) システム設計との不整合 などプログラム設計書の プログラム設計書がシステム設計書と整合性 プログラム設計書は、開発 品質が確保できず、確実 が確保されているか、確認し承認する。 の責任者が承認すること。 なプログラミング作業が行 われない。 ○ ○ 文書管理ツール ワークフローツール 安 全 外 部 All Rights Reserved, Copyright (c) JEITA 2009 IT内部統制項目表 (3/34) ■AI2 アプリケーションソフトウェアの調達と保守 統制活動 システム管理 基準項目番号 管理項目 発生リスク 統制の タイプ 統制項目 自 動 手 動 実施基準対応 利用ITツール 規程類等 開 発 Ⅲ-03-0-(02) 開発 (プログラム設 計) システム設計書で定義さ れた機能及びシステム構 システム設計書に基づい 造が正確にプログラムに システム設計書で定義された機能およびシス て、プログラムを設計する 反映されない。 テムの構造が、過不足なく正確にプログラムに モジュールの共通化、再 こと。 反映されていることを適宜確認する。 利用が行われず、品質の リスクが高くなる。 ○ システム開発規程 システム設計書 プログラム設計書 ○ Ⅲ-03-0-(03) 開発 (プログラム設 計) プログラム設計及びプログ テスト計画書が作成されており、内容に不備が テスト要求事項を定義し、 ラミング結果の妥当性が ないか確認する。 文書化すること。 保証できない。 ○ 単体テスト計画書 結合テスト計画書 総合テスト計画書 ○ Ⅲ-03-0-(05) 開発 (プログラム設 計) プログラム設計時に発見 したシステム設計の矛盾 は、システム設計の再検 討を行って解決すること。 プログラム設計書 ○ プログラム設計書に基づ Ⅲ-04-0-(01) いてプログラミングするこ 開発 (プログラミング) と。 Ⅲ-05-0-(13) 開発 (システムテスト・ ユーザ受入テス ト) システム設計の矛盾点を 発見しても、フォローする 手段がなく、放置されてし まうなど、システム設計及 びプログラム設計の整合 性が確保できない。 プログラム設計書で定義さ れた機能が正確にプログ ラムに反映されない。 プログラム仕様書に基づ いたプログラミングである か検証できない。 必要に応じてシステム部門とユーザ部門の責 任者を含むメンバによるプログラム設計のレ ビュ/承認を受ける。 ○ ○ 文書管理ツール ワークフローツール 上記レビュの過程で矛盾が発見された場合、 システム設計工程に戻り、矛盾を是正する ○ システム設計書 プログラム設計書 ○ プログラム設計書に即してプログラミングを実 施する。 ○ プログラム設計書 ○ 適宜コーディングレビュを実施し、プログラム設 計書及びコーディング基準に即してコーディン ○ グが行われていることを確認する。 ○ プログラム設計書 ○ システム開発規程 ○ 調達するパッケージソフト パッケージソフトウェアを ウェアの品質がチェックさ パッケージソフトウェア開発元が実施した品質 調達する場合、開発元が れているか判定できず、情 テストの内容を確認する。 品質テストを実施したこと 報システムの品質が充分 を確認すること。 に確保されない。 ○ コーディングチェック ツール 運 用 安 全 外 部 ○ All Rights Reserved, Copyright (c) JEITA 2009 IT内部統制項目表 (4/34) ■AI3 技術インフラの調達と保守 統制活動 システム管理 基準項目番号 管理項目 発生リスク 統制の タイプ 統制項目 Ⅱ-03-0-(05) 企画(調達) ソフトウェア、ハードウェア 必要な資源を適時に、適 ソフトウェア、ハードウェア及びネットワークの 及びネットワークの調達 正な方法で調達することが 調達をルールに従い実施する。 は、ルールに従って実施 できない。 すること。 Ⅱ-03-0-(06) 企画(調達) 調達した資源は、ルール に従って管理すること。 調達資源を、効果的に利 調達した資源をルールに従い管理する。 活用できない。 自 動 手 動 実施基準対応 利用ITツール ○ ○ 規程類等 システム調達管理規程 システム開発規程 保守/運用規程 開 発 運 用 ○ ○ ○ ○ IT資産管理ツール IT資産管理規程 ○ 大量・多種のデータが要求 定義を満たす性能で伝送 Ⅲ-02-0-(06) システム開発規程および要求定義書に基づい ネットワークは、業務の内 されない。 開発 てネットワークの設計を行い、システム設計書 容及びシステム特性に応 利用するネットワークに業 (システム設計) じて設計すること。 に反映する。 務内容に適したセキュリ ティが確保されない。 ○ システム開発規程 要求定義書 システム設計書 ○ Ⅳ-07-0-(02) ハードウェア障害による情 ハードウェアは、定期的に 運用 報システム停止や機能低 ハードウェアを定期的に保守する。 (ハードウェア管 保守を行うこと。 下を予防できない。 理) ○ 保守/運用規程 安 全 外 部 ○ All Rights Reserved, Copyright (c) JEITA 2009 IT内部統制項目表 (5/34) ■AI4 操作、運用手続きの作成と維持 統制活動 システム管理 基準項目番号 管理項目 発生リスク 統制の タイプ 統制項目 実施基準対応 利用ITツール 規程類等 ○ 文書管理ツール ワークフローツール システム設計書 保守/運用規程 ○ 自 動 手 動 運用管理ルール及び運用手順のレビュ/承認 ○ を受ける。 開 発 運 用 Ⅳ-01-0-(01) 運用 (運用管理ルー ル) 運用管理ルールや運用手 運用が円滑・安全または 順は、運用の責任者が承 効率的に実行されない。 認すること。 運用管理ルール及び運用手順のレビュ実施/ ○ 承認記録を保存する。 ○ 文書管理ツール ワークフローツール システム設計書 保守/運用規程 ○ Ⅳ-01-0-(02) 運用 (運用管理ルー ル) 各アプリケーションまたは 基本となるインフラストラク 運用管理ルールは、運用 チャが前提とする運用要 運用管理ルールを運用設計に基づいて作成す ○ 設計に基づいて作成する 件と不整合となり、安全か る。 こと。 つ効率的な運用ができな い。 ○ 文書管理ツール ワークフローツール システム設計書 保守/運用規程 ○ Ⅳ-01-0-(03) 運用 (運用管理ルー ル) 運用手順は、運用設計や 運用管理ルールに基づい 運用業務が効率よく実行 て、規模、期間、システム されない。 特性等を考慮して作成す ること。 ○ 文書管理ツール ワークフローツール システム設計書 保守/運用規程 ○ Ⅳ-01-0-(04) 運用 (運用管理ルー ル) 運用設計及び運用管理ルールに基づいて、運 運用設計や運用管理ルー 通常運用以外に例外処 ルに基づいて、担当責任 理、障害対応等で迅速な 用システム別に体制、役割、責任範囲など保 意思決定がなされない。 守体制を明文化する。 者を定めること。 システム設計書 保守/運用規程 ○ 運用手順を、運用設計及び運用管理ルールに 基づき、かつ規模、期間、およびシステム特性 ○ 等を考慮して作成する。 ○ 安 全 外 部 All Rights Reserved, Copyright (c) JEITA 2009 IT内部統制項目表 (6/34) ■AI5 システムの導入と受入れ確認 統制活動 システム管理 基準項目番号 管理項目 発生リスク 統制の タイプ 統制項目 Ⅲ-02-0-(12) 開発 (システム設 計) 情報システムが設計ど おりに開発されたかが テスト計画は、目的、範 確実かつ効率的に確認 テスト計画(目的、範囲、テストスケジュール、 評価方法、利用者の関与、テスト環境など)を 囲、方法、スケジュール できない。 文書化する。 等を明確にすること。 性能評価に対して、分 析方法がなく、チューニ ングが行えない。 Ⅲ-02-0-(13) 開発 (システム設 計) 情報システムの利用に 係る教育の方針、スケ ジュール等を明確にす ること。 自 動 手 動 実施基準対応 利用ITツール 規程類等 ○ ○ プロジェクト管理ツール システム設計書 結合テスト計画書 総合テスト計画書 情報システムの導入が 円滑に行われず、期待 情報システムのユーザ教育訓練の方針とスケ ジュールを文書化する。 ○ ○ プロジェクト管理ツール プロジェクト計画書 される効果も実現されな い。 受入れテストの環境が Ⅲ-05-0-(08) 本番環境と同様である 開発 ユーザ受入れテストは、 ことが検証できないた テスト環境を本番同様の環境に設定する。 (システムテスト 本番同様の環境を設定 め、ユーザ要求事項の ・ユーザ受け入 すること。 妥当性が確認できな れテスト) い。 ○ Ⅲ-05-0-(09) 開発 (システムテスト ・ユーザ受け入 れテスト) ユーザ受入れテストは、 ユーザ要求事項の妥当 ユーザマニュアルに従 性が確認できない。 ユーザ受入れテストの実施項目は、ユーザマ い、本番運用を想定した 実務に対しての問題点 ニュアルに従って、テストケースを抽出する。 テストケースを設定して の有無が判断できな 実施すること。 い。 ○ Ⅲ-05-0-(10) 開発 (システムテスト ・ユーザ受け入 れテスト) ユーザ受入れテストは、 ユーザ及び運用の担当 本番開始後のトラブル 者もテストに参画して確 が収束しない。 認すること。 ○ ユーザ及び、運用の担当者も参加してユーザ 受入れテストを実施する。 ユーザテスト計画書 システム開発規程 構成管理規程 ユーザテスト計画書 ユーザテスト計画書 ユーザテスト結果報告 書 開 発 運 用 安 全 外 部 ○ ○ ○ ○ ○ ○ All Rights Reserved, Copyright (c) JEITA 2009 IT内部統制項目表 (7/34) ■AI5 システムの導入と受入れ確認 統制活動 システム管理 基準項目番号 管理項目 発生リスク テストの結果をユーザ が正しいか判断できず、 Ⅲ-05-0-(11) システムテスト及びユー 不具合が内在したまま 開発 ザ受入れテストの結果 になるなど、システムテ (システムテスト は、ユーザ、開発、運用 スト及びユーザ受入テ ・ユーザ受け入 及び保守の責任者が承 ストの計画で定めた目 れテスト) 認すること。 的の達成が検証できな い。 Ⅲ-05-0-(12) 開発 (システムテスト ・ユーザ受け入 れテスト) 統制の タイプ 統制項目 自 動 システムテストおよびユーザ受入れテストの結 果をユーザテスト結果報告書に記述する。 テスト計画書及びテスト結果報告書はユーザ、 開発、運用および保守の責任者の承認を受け ○ る。 利用ITツール 規程類等 システム開発規程 結合テスト計画書 総合テスト計画書 ○ ユーザテスト結果報告 書 システム開発規程 結合テスト計画書 ○ プロジェクト管理ツール 総合テスト計画書 ユーザテスト結果報告 書 運用業務におけるトラブ システム開発規程 システムテスト及びユー ルの原因究明に時間を ユーザ、開発、運用および保守の責任者の承 結合テスト計画書 ザ受入れテストの経過 認を受けた、システムテストおよびユーザ受入 ○ ○ プロジェクト管理ツール 総合テスト計画書 要する。 れテストの経過および結果を記録/保管す 及び結果を記録及び保 ユーザテスト結果報告 保守業務の遂行に支障 る。 管すること。 書 をきたす。 旧システムとの切り替えや、連携する他システ ムへの影響などを考え、本番環境への移行計 画を策定する。 Ⅲ-06-0-(01) 開発(移行) 手 動 実施基準対応 システム開発規程 システム移行計画書 ○ 移行までに、開発、導 移行計画を策定し、 入、テストが終わらない ユーザ、開発、運用及 など、システムの開発・ システム移行計画書は、ユーザ部門責任者お び保守の責任者が承認 テスト段階から運用段 よび、システム部門責任者(企画/開発/保 ○ ○ プロジェクト管理ツール システム開発規程 システム移行計画書 すること。 階への移行が円滑かつ 守運用)のレビュ/承認を受ける。 効率的に行えない。 システム移行計画書レビュ実施記録を作成し、 ○ 保存する。 ○ プロジェクト管理ツール システム開発規程 システム移行計画書 開 発 運 用 ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ 安 全 外 部 All Rights Reserved, Copyright (c) JEITA 2009 IT内部統制項目表 (8/34) ■AI5 システムの導入と受入れ確認 統制活動 システム管理 基準項目番号 管理項目 発生リスク 統制の タイプ 統制項目 利用ITツール 規程類等 開 発 運 用 システム開発規程 システム移行計画書 ○ ○ 移行作業は文書に記録 システム移行計画書は、ユーザ部門責任者お 運用段階における稼働 よび、システム部門責任者(企画/開発/保 ○ ○ プロジェクト管理ツール システム開発規程 し、責任者が承認するこ システム移行計画書 が確実に行えない。 守運用)のレビュ/承認を受ける。 と。 ○ ○ 自 動 移行作業/確認方法はシステム移行計画書 に記述する。 Ⅲ-06-0-(02) 開発(移行) 実施基準対応 システム移行計画書のレビュ実施記録を作成 し、保存する。 手 動 ○ ○ プロジェクト管理ツール システム開発規程 システム移行計画書 ○ ○ Ⅲ-06-0-(03) 開発(移行) 移行作業の完了が判別 移行完了の検証方法を できないため、情報シス 移行作業の検証方法をシステム移行計画書に 移行計画で明確にする テムの本番稼働環境が 記述する。 こと。 整ったか否かが確認で きない。 ○ システム開発規程 システム移行計画書 ○ ○ Ⅲ-06-0-(04) 開発(移行) 移行計画に基づいて、 移行計画通りの工数・ 移行計画に基づいて移行に必要なリソース(要 移行に必要な要員、予 予算で移行作業が実施 員、予算、設備等)を確保する。 算、設備等を確保するこ できない。 と。 ○ システム開発規程 システム移行計画書 ○ ○ Ⅲ-06-0-(05) 開発(移行) 移行は手順書を作成 し、実施すること。 移行作業に漏れ、重 複、評価・確認不足が発 システム移行計画書(作業に必要な、帳票類 生し、移行計画通りの移 &ツール&ワークフロー等)を作成し移行作業 を実施する。 行作業が実施できな い。 ○ システム開発規程 システム移行計画書 ○ ○ Ⅲ-06-0-(06) 開発(移行) 移行時のリスク対策を 検討すること。 移行時における有害事 予想される移行時のリスクを考慮して、システ 象の影響が特定でき ム移行計画書にリスクの回避手続きについて ず、影響範囲が拡大す 文書化する。 る。 ○ システム開発規程 システム移行計画書 ○ ○ ○ 安 全 外 部 All Rights Reserved, Copyright (c) JEITA 2009 IT内部統制項目表 (9/34) ■AI5 システムの導入と受入れ確認 統制活動 システム管理 基準項目番号 Ⅲ-06-0-(07) 開発(移行) 管理項目 発生リスク 統制の タイプ 統制項目 移行作業終了後、正式 開発責任者は、開発時のドキュメント&各種 運用及び保守に必要な 稼働前までに、システム ツールを構成管理ルールに従って登録する。 ドキュメント、各種ツー の運用及び保守の関係 ル等は開発の責任者か 者が円滑に作業に入る ら引き継いでいること。 運用及び、保守責任者は、開発時の資料(構 ことができない。 成管理対象物)を入手し確認する。 Ⅲ-06-0-(08) 開発(移行) 当該システム及び内外 の関連するシステムの 移行は関係者に周知徹 登録されている構成管理物については、構成 それぞれの運用に支障 管理ルールに基づいて、関係者に周知する。 底すること。 をきたす。 自 動 手 動 実施基準対応 利用ITツール 規程類等 システム開発規程 構成管理規程 ○ ○ プロジェクト管理ツール システム設計書 ○ ○ ○ プロジェクト管理ツール 開 発 運 用 安 全 外 部 ○ システム開発規程 システム設計書 ○ ○ システム開発規程 構成管理規程 ○ ○ All Rights Reserved, Copyright (c) JEITA 2009 IT内部統制項目表 (10/34) ■AI6 変更管理 統制活動 システム管理 基準項目番号 管理項目 発生リスク 統制項目 統制の タイプ 自 手 動 動 実施基準対応 利用ITツール 規程類等 開 発 保守ルール及び保守手順 円滑かつ効率的な保守業 保守ルール及び保守手順を保守の責任者が V-01-0-(01) は、保守の責任者が承認 務が出来ない。 承認しておく。 保守(保守手順) すること。 ○ 保守/運用規程 ○ 保守手順は、保守の規 模、期間、システムの特性 効率よい保守業務ができ 保守の規模、期間、システム特性などを確認 Ⅴ-01-0-(02) し、決定して保守計画書を作成する。 保守(保守手順) 等を考慮して決定するこ ない。 と。 ○ 保守計画書 ○ 保守時のリスクを評価し、 的確な対応策が取れず、 保守業務の実施にあたっては、想定される。 Ⅴ-01-0-(03) 必要な対応策を講じるこ システム障害等の各種トラ リスクを洗い出し、評価する。 保守(保守手順) ブルを発生させてしまう。 と。 ○ 保守計画書 ○ 保守計画書 ○ ○ 保守計画書 ○ ユーザ部門は保守のルールに基づいて、変更 変更依頼等に対し、保守 保守作業が円滑に行えな Ⅴ-02-0-(02) 依頼書を作成する。 の内容及び影響範囲の調 い。 保守(保守計画) 査並びに分析を行うこと。 ○ 保守変更依頼書 ○ 保守のテスト計画は、目 保守のテストが円滑に実 的、範囲、方法、スケ Ⅴ-02-0-(03) 保守(保守計画) ジュール等を明確にするこ 施できない。 と。 ○ 保守テスト計画書 ○ 保守計画をユーザ、運用および保守の責任者 保守の範囲および作業内 が承認する。 V-02-0-(01) 保守計画はユーザ及び保 容が不明確のため的確な 保守(保守計画) 守の責任者が承認する事 効のよい保守作業ができ ない 保守対象の影響範囲を分析して結果を記録す る。 V-03-0-(01) 保守(保守の実 施) 保守のテスト計画書は、目的、範囲、方法、ス ケジュール等を明確して作成する。 システム設計書、プログラ 保守計画に基づいて、システム設計書、プログ ム設計書等は、保守計画 誤びゅう、不正、機能の欠 ラム設計書などの関係箇所を変更し、ユーザ に基づいて変更し、ユーザ 落等が発生する。 および保守の責任者が承認する。 及び保守の責任者が承認 すること。 ○ 運 用 安 全 ○ ○ 外 部 ○ All Rights Reserved, Copyright (c) JEITA 2009 IT内部統制項目表 (11/34) ■AI6 変更管理 統制活動 システム管理 基準項目番号 Ⅴ-03-0-(02) 保守(保守の実 施) Ⅴ-03-0-(03) 保守(保守の実 施) 管理項目 発生リスク 統制項目 プログラムの変更は、保守 手順書に基づき、保守の プログラム変更時誤びゅう プログラムの変更は保守の責任者が承認して 実施する。 責任者の承認を得て実施 及び不正が発生する。 すること。 変更したプログラム設計書 に基づいてプログラミング プログラミング時の誤びゅ していることを検証するこ うが発生する。 と。 統制の タイプ 自 手 動 動 実施基準対応 利用ITツール 開 発 ○ ○ ○ プログラム変更管理 ツール プログラム変更計画書 変更したプログラム設計書に基づいてプログラ ミングを実施する。 ○ ○ コーディングチェック ツール プログラムテスト計画書 プログラムテスト結果報 ○ 告書 変更したプログラム部分のレビュを行う。 ○ コーディングチェック ツール プログラムテスト計画書 プログラムテスト結果報 ○ 告書 ○ Ⅴ-04-0-(01) 保守(保守の確 認) 保守のテスト計画に基づいて変更したプログラ 変更したプログラムのテス プログラムのテストが円滑 ムのテストを実施する。 ○ トの実施は、保守のテスト かつ確実に実施できない。 計画に基いて行うこと。 ○ 開発テストツール Ⅴ-04-0-(02) 保守(保守の確 認) 変更プログラムが影響を及ぼす範囲を把握 変更したプログラムは、影 情報システムの機能及び し、関係するソフトウェアとの結合テストを実施 響範囲を考慮してテストを 性能の低下をもたらす。 する。 行うこと。 ○ 開発テストツール Ⅴ-04-0-(03) 保守(保守の確 認) 業務に精通したユーザが参加してテストを行 変更したプログラムのテス う。 トは、ユーザが参画し、 情報システムが変更依頼 ユーザマニュアルに基い 等の要求を満たせない。 て実施すること。 テストはユーザマニュアルに基づいて実施する Ⅴ-04-0-(04) 保守(保守の確 認) 規程類等 変更したプログラムのテス テストの妥当性、情報シス テスト結果をユーザ、運用および保守の責任 トの結果は、ユーザ、運用 テムの機能及び性能が確 者が承認する 及び保守の責任者が承認 認できない。 すること。 ○ ○ 運 用 安 全 外 部 プログラムテスト計画書 プログラムテスト結果報 ○ 告書 ○ ○ ユーザテスト計画書 ○ ○ ユーザテスト計画書 ○ プログラム変更管理 ○ ツール 開発テストツール ユーザテスト結果報告 書 ○ All Rights Reserved, Copyright (c) JEITA 2009 IT内部統制項目表 (12/34) ■AI6 変更管理 統制活動 システム管理 基準項目番号 管理項目 発生リスク 統制項目 統制の タイプ 自 手 動 動 テスト内容およびその結果を記録して保管す る。 Ⅴ-04-0-(05) 保守(保守の確 認) 実施基準対応 利用ITツール ○ 変更したプログラムのテス テストの妥当性、障害等の トの結果を記録及び保管 トラブルの原因究明ができ すること。 ない。 規程類等 記録の保管規程、 プログラム変更計画書 開 発 運 用 安 全 外 部 ○ 保管にあたっては期間と責任者を定める。 Ⅴ-05-0-(01) 保守(移行) 移行に当たっては、タイミング、方法、体制など 移行手順は、移行の条件 移行が正確かつ円滑に行 の移行条件を明確にし、移行計画書を作成す を考慮して作成すること。 えない。 る。 Ⅴ-05-0-(02) 保守(移行) 変更前のプログラム及びデータのバックアップ ○ 変更前のプログラム及び 移行のトラブルに対応でき を取る。 データのバックアップを行 ない。プログラム、データ うこと。 が消失してしまう。 バックアップの保管期間を定める。 ○ Ⅴ-05-0-(03) 保守(移行) Ⅵ-06-6.1-(1) 共通変更管理 (管理) Ⅵ-06-6.1-(2) 共通変更管理 (管理) 運用及び保守の責任者 他の情報システムの機能 移行時、ほかのシステムへの影響を運用及び は、他の情報システムへ 及び性能低下等を引き起 保守の責任者が確認する。 影響を与えないことを確認 してしまう。 すること。 ・変更が円滑かつ効果的 変更管理ルールを定め、 変更管理ルールを作成し、ユーザ、開発及び に行われない ユーザ、開発及び保守の ・変更要求どおりに変更が 保守の責任者が承認する。 責任者が承認すること。 行われない 仕様変更、問題点、ペン 対象となる情報システムの 仕様変更、問題点、ペンディング事項などの変 ディング事項等の変更管 円滑な運用が妨げられる 更管理案件は他のシステムへ影響を考慮し実 理案件が生じた場合、他 だけでなく、他のシステム 行の可否を決定する。 システムの影響を考慮して へ悪影響を及ぼす。 決定すること。 ○ システム移行計画書 ○ ○ バックアップツール システム移行計画書 ○ ○ ○ バックアップツール システム移行計画書 ○ ○ ○ システム移行計画書 ○ ○ ○ 変更管理規程 プログラム変更計画書 ○ ○ ○ 変更管理規程、 プログラム変更計画書 ○ ○ All Rights Reserved, Copyright (c) JEITA 2009 IT内部統制項目表 (13/34) ■AI6 変更管理 統制活動 システム管理 基準項目番号 Ⅵ-06-6.1-(3) 共通変更管理 (管理) Ⅵ-06-6.2-(1) 共通変更管理 (実施) Ⅵ-06-6.2-(2) 共通変更管理 (実施) Ⅵ-06-6.2-(3) 共通変更管理 (実施) 管理項目 発生リスク 統制項目 統制の タイプ 自 手 動 動 実施基準対応 利用ITツール 規程類等 開 発 運 用 変更管理ルールに基づいて進捗管理を実施 変更管理案件は、提案か する。 ら完了までの状況を管理 必要な変更が適正な時期 し、未完了案件は定期的 に適正に行われない。 に分析すること。 未完了案件を定期的にフォローする。 ○ 変更管理規程、 プログラム変更計画書 ○ ○ ○ 変更管理規程、 プログラム変更計画書 ○ ○ 変更管理案件は、変更管 変更管理が円滑にかつ安 変更管理案件は、変更管理ルールに従って実 理ルールに従って実施す ○ 全に実施できない。 施する。 ること。 プログラム変更管理 ○ ツール 構成管理ツール 変更管理規程、 プログラム変更計画書 ○ ○ ○ 構成管理ツール 変更管理規程、 プログラム変更計画書 ○ ○ ○ 変更管理規程、 プログラム変更計画書 ○ ○ ○ 変更管理規程、 プログラム変更計画書 ○ ○ 変更管理案件を実施した 場合に、関連する情報シ ステムの環境も同時に変 更すること。 変更管理案件実施による他システムへの影響 も考慮して変更計画書を作成する。 ○ 変更が効率的に実施でき ないだけでなく、対象外の システムでトラブルが発生 する。 変更計画書に基づいて変更管理案件を実施 する。 変更の結果は、ユーザ、 変更が変更要求どおりに 変更の結果は、ユーザ、開発、運用及び保守 開発、運用及び保守の責 実施できたか確認すること の責任者が承認する。 ができない。 任者が承認すること。 安 全 外 部 All Rights Reserved, Copyright (c) JEITA 2009 IT内部統制項目表 (14/34) ■DS1 サービスレベルの定義と管理 統制活動 システム管理 基準項目番号 Ⅳ-09-0-(02) 運用 (構成管理) 管理項目 発生リスク 統制の タイプ 統制項目 ソフトウェア、ハードウェア 情報システムの機能維持 ソフトウェア、ハードウェア及びネットワークの およびネットワークの構 や障害時の早期回復に支 構成、調達先、サポート条件等のサービスレベ 成、調達先、サポート条件 ルについて明文化する。 障を来たす。 等を明確にすること。 自 動 手 動 ○ 実施基準対応 利用ITツール 利用ITツール 規程類等 システム調達管理規程 IT資産管理規程 開 発 運 用 ○ All Rights Reserved, Copyright (c) JEITA 2009 安 全 外 部 IT内部統制項目表 (15/34) ■DS2 サードパーティーのサービスの管理 統制活動 システム管理 基準項目番号 管理項目 発生リスク 統制の タイプ 統制項目 自 動 全体最適化計画の内容に従って委託内容を決 定する。 Ⅵ-05-5.1-(01) 共通 (委託・受託) 手 動 実施基準対応 利用ITツール 規程類等 開 発 運 用 安 全 外 部 全体最適化計画書 システム調達管理規程 ○ 委託業務契約書又は受 託業務契約書 ○ 委託業務契約書又は受 託業務契約書 ○ ○ 委託業務契約書又は受 託業務契約書 ○ ○ 委託業務契約書又は受 託業務契約書 ○ ○ システム調達管理規程 ○ 委託先選定基準を設定する。 ○ システム調達管理規程 ○ 委託又は受託の計画は全 委託又は委託業務の内容 体最適化計画に基づいて を具体化することができな 委託内容について責任者のレビュ/承認を受 策定し、責任者が承認す ける。 い。 ること。 ○ ○ レビュ/承認の実施記録を作成し、保存する。 ○ Ⅵ-05-5.1-(02) 共通 (委託・受託) 委託又は受託の目的、対 委託又は受託の業務を円 委託又は受託の目的、対象範囲、予算、体制 象範囲、予算、体制等を 滑に遂行することができな 等を明確に記録する。 い。 明確にすること。 Ⅵ-05-5.1-(03) 共通 (委託・受託) 委託又は受託は、具体的な効果、問題点等を 委託又は受託は、具体的 委託又は受託の目的、目 評価する。 な効果、問題点等を評価 標を確実に達成すること ができない。 して決定すること。 評価結果に基づいて、委託又は受託を決定す る。 文書管理ツール ○ ワークフローツール ○ 文書管理ツール ワークフローツール Ⅵ-05-5.2-(01) 共通 (委託・受託) 委託計画に基づいて委託 委託先の選定基準を明確 先を選定することができな にすること。 い。 委託先選定基準を定期的に見直す。 ○ システム調達管理規程 ○ Ⅵ-05-5.2-(02) 共通 (委託・受託) 委託先候補の作成する提 委託に必要な要求仕様を作成する。 委託候補先に必要な要求 案書の受託条件が曖昧に なる、あるいは委託の目的 仕様を提示すること。 と適合しなくなる。 委託候補先に要求仕様を提示する。 ○ 要求定義書 ○ ○ 要求定義書 ○ All Rights Reserved, Copyright (c) JEITA 2009 IT内部統制項目表 (16/34) ■DS2 サードパーティーのサービスの管理 統制活動 システム管理 基準項目番号 Ⅵ-05-5.2-(03) 共通 (委託・受託) 管理項目 発生リスク 統制の タイプ 統制項目 自 動 複数の委託候補先から提案書を受け取る。 委託候補先が提示した提 最適な委託先を公正に選 案書の比較検討を行うこ 定することができない。 と。 提案書を比較検討する。 委託契約ルール又は受託契約ルールを定め る。 Ⅵ-05-5.3-(01) 共通 (委託・受託) Ⅵ-05-5.3-(02) 共通 (委託・受託) 手 動 利用ITツール 規程類等 開 発 運 用 安 全 外 部 ○ システム調達管理規程 ○ ○ システム調達管理規程 ○ ○ システム調達管理規程 委託契約書又は受託契 約書 ○ システム調達管理規程 委託業務契約書又は受 託業務契約書 ○ システム調達管理規程 委託業務契約書又は受 託業務契約書 ○ 委託契約が確実に行われ 契約は、委託契約ルール なくなる、あるいは法的要 委託契約ルール又は受託契約ルールを定期 又は受託契約ルールに基 件を満足しないため、コン 的に保守する。 プライアンス違反を起こ づいて締結すること。 す。 ○ 委託契約ルール又は受託契約ルールに基づ き契約を実行したことを承認者が承認する。 ○ ○ 情報の不正利用、機密漏 えい、プライバシー侵害等 の問題が発生するだけで コンプライアンスに関する なく、問題が発生した時の 条項を明確にすること。 責任の所在が曖昧にな り、適切な措置が迅速にと られなくなる。 実施基準対応 文書管理ツール ワークフローツール コンプライアンスに関する条項に関する全社規 程を記した書類を確認する。 ○ 全社情報管理憲章 情報管理規程 システム調達管理規程 ○ ○ 個々の委託又は受託において、コンプライアン スに関する条項を明確にする。 ○ 委託業務契約書又は受 託業務契約書 ○ ○ Ⅵ-05-5.3-(03) 共通 (委託・受託) 再委託の可否について明 再委託にかかわるトラブル 再委託の可否を明確にする。 確にすること。 が発生する。 ○ 委託業務契約書又は受 託業務契約書 ○ Ⅵ-05-5.3-(04) 共通 (委託・受託) 知的財産権の帰属を明確 知的財産権にかかわるト にすること。 ラブルが発生する。 ○ 委託業務契約書又は受 託業務契約書 ○ 知的財産権の帰属を明確にする。 All Rights Reserved, Copyright (c) JEITA 2009 IT内部統制項目表 (17/34) ■DS2 サードパーティーのサービスの管理 統制活動 システム管理 基準項目番号 管理項目 発生リスク 統制の タイプ 統制項目 Ⅵ-05-5.3-(05) 共通 (委託・受託) 問題の発生が想定される 特約条項及び免責条項を 事項に対応することができ 特約条項及び免責条項を明確にする。 明確にすること。 ない。 Ⅵ-05-5.3-(06) 共通 (委託・受託) 事故や障害による損害が 発生した場合、保証や損 業務内容及び責任分担を明確に決定する。 業務内容及び責任分担を 害賠償が適正に行われな くなる。 明確にすること。 委託先が追加費用を要求 業務内容及び責任分担の決定事項に関して 承認者が承認する。 することがある。 Ⅵ-05-5.3-(07) 共通 (委託・受託) 自 動 ○ 利用ITツール 規程類等 開 発 運 用 安 全 外 部 ○ 委託業務契約書又は受 託業務契約書 ○ ○ 委託業務契約書又は受 託業務契約書 ○ 委託業務契約書又は受 託業務契約書 ○ ○ 文書管理ツール ワークフローツール 契約締結後の業務内容に追加及び変更が生 じた場合の、契約内容の再検討の実施基準を 明確にし、受託者又は委託者と合意する。 ○ 委託業務契約書又は受 託業務契約書 ○ 契約締結後の業務内容に 委託先の委託業務内容が 契約締結後の業務内容に追加及び変更が生 追加及び変更が生じた場 不明確になり、円滑に業 じた場合に、実施基準に基づいて、契約内容 合、契約内容の再検討を 務を遂行できなくなる。 を再検討する。 行うこと。 ○ 委託業務契約書又は受 託業務契約書 ○ 全体最適化計画書 ○ ○ 情報管理規程 ○ ○ 委託業務契約書又は受 託業務契約書 ○ 再検討が実施基準の範囲内であり、かつ再検 討結果が当初の全体最適化計画と整合するこ ○ とを承認者が承認する。 Ⅵ-05-5.3-(08) 共通 (委託・受託) 手 動 実施基準対応 システム監査に関する方 針を明確にすること。 システム監査に関する全社方針を明確にす 委託先の委託業務内容の る。 信頼性、安全性、効率性 の確保を担保することがで 全社方針に基づいて、個別システムの開発に きない。 おける方針を明確にする。 ○ 文書管理ツール ワークフローツール All Rights Reserved, Copyright (c) JEITA 2009 IT内部統制項目表 (18/34) ■DS2 サードパーティーのサービスの管理 統制活動 システム管理 基準項目番号 Ⅵ-05-5.4-(01) 共通 (委託・受託) Ⅵ-05-5.4-(02) 共通 (委託・受託) 管理項目 発生リスク 統制の タイプ 統制項目 委託業務の実施内容が、契約内容と一致する 委託業務の実施内容に過 ことを検査する。 委託業務の実施内容は、 不足が生じ、違法行為、業 契約内容と一致すること。 務遅延、追加コストが発生 する。 検査結果を承認者が承認する。 ○ 委託業務を委託計画どお りに遂行することができな 契約に基づき、必要な要 契約に基づき、必要な要求仕様、データ、資料 くなり、データの不正使 求仕様、データ、資料等を 用、機密漏えい、プライバ 等を提供する。 提供すること。 シー侵害などの問題が発 生する。 委託業務の進捗状況を把握する。 Ⅵ-05-5.4-(03) 共通 (委託・受託) 委託業務が委託計画どお 委託業務の進捗が遅延した場合の対策に関し 委託業務の進捗状況を把 りに遂行することができな て明確にする。 握し、遅延対策を講じるこ くなり、業務が遅延した時 に、適切な措置が講じられ と。 遅延した場合に対策を講じる。 なくなる。 遅延対策の結果を確認する。 Ⅵ-05-5.4-(04) 共通 (委託・受託) 自 動 委託先における誤謬防止、不正防止、機密保 委託先における誤謬防 委託契約どおりに、誤びゅ 護等の対策の実施状況を把握する。 止、不正防止、機密保護 う防止、不正利用、漏え 等の対策の実施状況を把 い、プライバシー侵害等を 握し、必要な措置を講じる 防止する対策を実現する 委託先における誤謬防止、不正防止、機密保 こと。 ことができない。 護等の対策の実施が不十分である場合に、必 要な措置を指示する。 手 動 実施基準対応 利用ITツール 規程類等 開 発 運 用 安 全 外 部 ○ 委託業務契約書又は受 託業務契約書 委託業務報告書又は受 託業務報告書 ○ 文書管理ツール ○ ワークフローツール 委託業務契約書又は受 託業務契約書 委託業務報告書又は受 託業務報告書 ○ ○ 情報管理規程 要求定義書 ○ 委託業務契約書又は受 託業務契約書 ○ ○ 委託業務契約書又は受 託業務契約書 ○ ○ 委託業務報告書又は受 託業務報告書 ○ ○ 委託業務報告書又は受 託業務報告書 ○ ○ 情報管理規程 IT資産管理規程 委託業務報告書又は受 託業務報告書 ○ ○ ○ 情報管理規程 IT資産管理規程 委託業務報告書又は受 託業務報告書 ○ ○ ○ ○ All Rights Reserved, Copyright (c) JEITA 2009 IT内部統制項目表 (19/34) ■DS2 サードパーティーのサービスの管理 統制活動 システム管理 基準項目番号 管理項目 発生リスク 統制の タイプ 統制項目 自 動 Ⅵ-05-5.4-(05) 共通 (委託・受託) 委託の目的が達成できた 成果物の検収は、委託契 かを確認することができな 成果物の検収は、委託契約に基づいて行う。 約に基づいて行うこと。 い。 Ⅵ-05-5.4-(06) 共通 (委託・受託) 業務終了後、委託業務で 提供したデータ、資料等の 回収及び廃棄の確認を行 うこと。 提供したデータの不正使 用、機密漏えい、プライバ 業務終了後、委託業務で提供したデータ、資 シー侵害などの問題が発 料等の回収及び廃棄を確認する。 生する。 Ⅵ-05-5.4-(07) 共通 (委託・受託) 委託した業務の結果を分析及び評価を実行す 委託計画の達成状況を把 る。 握できないため、委託計画 委託した業務の結果を分 及び委託先選定の品質精 析及び評価すること。 度の向上(改善)ができな くなる。 分析および評価の結果を承認者が承認する。 ○ Ⅵ-05-5.5-(01) 共通 (委託・受託) 受託業務の実施内容に過 受託業務の実施内容は、 不足が生じるため、違法 契約内容を遵守すること。 行為、業務遅延、追加コス トが発生する。 契約内容を遵守して、受託業務を実施する。 遵守を確認したことを承認する。 手 動 実施基準対応 利用ITツール 開 発 運 用 安 全 外 部 ○ 委託業務契約書又は受 託業務契約書 委託業務報告書又は受 託業務報告書 ○ ○ 情報管理規程 委託業務報告書又は受 託業務報告書 ○ ○ システム調達管理規程 委託業務報告書又は受 託業務報告書 ○ システム調達管理規程 委託業務報告書又は受 託業務報告書 ○ システム調達管理規程 委託業務契約書又は受 託業務契約書 ○ システム調達管理規程 委託業務報告書又は受 託業務報告書 ○ ○ 文書管理ツール ワークフローツール ○ ○ 規程類等 ○ 文書管理ツール ワークフローツール All Rights Reserved, Copyright (c) JEITA 2009 IT内部統制項目表 (20/34) ■DS2 サードパーティーのサービスの管理 統制活動 システム管理 基準項目番号 管理項目 発生リスク 統制の タイプ 統制項目 受託業務に関するリスクを評価し、取りうるリス ク対策を設定する。 Ⅵ-05-5.5-(02) 共通 (委託・受託) Ⅵ-05-5.5-(03) 共通 (委託・受託) Ⅵ-05-5.5-(04) 共通 (委託・受託) 自 動 手 動 実施基準対応 利用ITツール 規程類等 開 発 運 用 安 全 外 部 ○ 委託業務契約書又は受 託業務契約書 ○ ○ 委託業務契約書又は受 託業務契約書 ○ ○ 委託業務報告書又は受 託業務報告書 ○ リスク対策の結果を確認する。 ○ 委託業務報告書又は受 託業務報告書 ○ 品質基準を設定し、それを遵守することを明ら かにする。 ○ IT資産管理規程 委託業務契約書又は受 託業務契約書 ○ 品質基準に従って成果物の品質管理を行う。 ○ IT資産管理規程 委託業務報告書又は受 託業務報告書 ○ 提供されたデータの不正 契約に基づき、受託業務 使用、機密漏えい、プライ 契約に基づき、受託業務終了後、提供された 終了後、提供されたデー バシー侵害などの問題が データ、資料、機材等を返却又は廃棄する。 タ、資料、機材等を返却又 発生し、損害賠償を行うこ は廃棄すること。 とになる。 ○ 全社情報管理憲章 情報管理規程 委託業務契約書又は受 託業務契約書 受託業務が受託計画通り 受託内容の進捗状況を把 に遂行することができなく 受託内容の進捗状況を把握する。 握し、リスク対策を講じる なり、業務が遅延した時 こと。 に、適切な措置が講じられ 進捗が遅延した場合にリスク対策を講じる。 ない。 受託契約に基づく成果物 成果物の品質管理を行う の検収基準に成果物が到 こと。 達することができない。 ○ ○ All Rights Reserved, Copyright (c) JEITA 2009 IT内部統制項目表 (21/34) ■DS5 システムセキュリティの保証 統制活動 システム管理 基準項目番号 管理項目 発生リスク 統制の タイプ 統制項目 自 動 障害の発生を最小限にとどめるシステム設計 (フェールセーフ設計、二重化等)を行う。 情報システムの障害発生 を未然に防止できず、障害 の影響の最小化・迅速な システム設計の標準化を行う。 Ⅲ-02-0-(10) 情報システムの障害対策 ・要件の妥当性の確認(レビュ) 回復が行えない。 開発 を考慮して設計すること。 信頼性の指標が設定され (システム設計) ておらず、障害発生を判別 システム要件には、 ログの取得に関する要件 できない。 (障害情報の取得する等)や、ログのレビュ機 能に関する要件を含む。 情報システムの安全性の 確保ができず、健全な運 誤謬防止、不正防止、機 Ⅲ-02-0-(11) 用が行えない。 密保護等を考慮して設計 開発 リスクが明確にされておら (システム設計) すること。 ず、コントロールそのもの がされない。 Ⅳ-04-0-(10) 運用(データ管 理) ○ 設計要件には、システムの誤謬防止、不正防 止、機密性の要件を含む。 システム設計の標準化を行う。 ・要件の妥当性の確認(レビュ) 情報管理に関する規程類に必要十分な事項を 含む。 例えば、以下の事項を含む。 ①会社が要請する情報管理水準 ・経営的観点での水準 構築したデータの知的財 ・ビジネス遂行の観点での水準 データの知的財産権を管 産権保護や外部から導入 ・ISO/ISMS等の認証取得 等 したデータの知的財産権 ②当該要請を実現する基準 理すること。 ③情報管理施策の定期的な見直し 侵害を防止できない。 情報管理戦略に基づきデータに対して各種施 策を実行する。 ・各種施策検討時に、有効性を検討する。 ・施策の実施状況を定期的にモニタリングす る。 ○ 手 動 実施基準対応 利用ITツール 規程類等 開 発 運 用 安 全 ○ システム設計要綱 ○ ○ ○ ワークフローツール システム設計要綱 ○ ○ ○ システム設計要綱 ○ ○ ○ システム設計要綱 ○ ○ ○ ワークフローツール システム設計要綱 ○ ○ ○ 全社情報管理憲章 情報管理規程 ○ 情報管理規程 外 部 ○ ○ All Rights Reserved, Copyright (c) JEITA 2009 IT内部統制項目表 (22/34) ■DS5 システムセキュリティの保証 統制活動 システム管理 基準項目番号 Ⅳ-06-0-(02) 運用(ソフトウェ ア管理) 管理項目 発生リスク 統制の タイプ 統制項目 自 動 利用ITツール 規程類等 運 用 安 全 ○ ○ セキュリティ管理規程 (セキュリティ管理ツー ルログ記録) ○ ○ システム設計要綱(アク セスリスク分析の実施) 開 発 ソフトウェアへのアクセスに関するリスク分析 (不正利用に関するリスク評価)を実施する。 ○ 下記のような手段によりソフトウェアを保護す る。 ・暗号化、パスワード等のデータ保護 ・データ格納容器の施錠、封印等 ・受渡し場所の特定 等 ○ 改ざん防止ツール 暗号化ツール ○ データベース監査ツー ル ID管理ツール ○ ○ アクセス管理ツール ID管理ツール セキュリティ管理規程 (セキュリティ管理ツー ルログ記録) ○ ○ ○ ○ ウィルス対策ツール ログ管理ツール セキュリティ管理規程 (セキュリティ管理ツー ルログ記録) ○ ○ 職務分掌規程 セキュリティ管理規程 ○ ○ セキュリティ管理規程 (アクセスログ記録) ○ ○ ○ IT資産管理ツール IT資産管理規程 ○ ○ 職務分掌規程 セキュリティ管理規程 (セキュリティ管理ツー ルログ記録) ○ ソフトウェアへのアクセスコ 重要なソフトウェアの利用は制限されている。 ントロール及びモニタリン ソフトウエアの不正利用防 (ID作成や本番環境へのアクセスが可能な グは、有効に機能するこ 止が図れない。 ユーティリティ類) と。 (対象ソフトウェア指定、使用目的及び使用者 の限定など) ソフトウェアに関するセキュリティイベントをモ ニタリングする仕組みがある。 運用(ソフトウェア管理)に関する役割と責任が 明確に定義されている。 職務分離は考慮されている。 ソフトウェアに関する利用状況・アクセス状況を モニタリングする仕組みがある。 ○ Ⅳ-06-0-(03) 運用(ソフトウェ ア管理) 手 動 実施基準対応 コンピュータ(サーバ、PC等)にインストールさ ソフトウェアの利用状況を ソフトウエアの稼動効率の れているソフトウェアのライセンス管理は適切 記録し、定期的に分析す 向上、また不正利用の防 に行われている。 ○ ること。 止が図れない。 ライセンス外のソフトが利用されていないことを 確認している。 運用(ソフトウェア管理等)に関する役割と責任 を明確に定義する。 職務分離は考慮する。 ○ ○ ログ管理ツール アクセス管理ツール 外 部 ○ All Rights Reserved, Copyright (c) JEITA 2009 IT内部統制項目表 (23/34) ■DS5 システムセキュリティの保証 統制活動 システム管理 基準項目番号 Ⅳ-06-0-(05) 運用(ソフトウェ ア管理) 管理項目 発生リスク 統制の タイプ 統制項目 正式なソフトウェア(テスト結果の確認や受入 承認済)が本番環境に正確に登録されるよう 仕組みを明確に定め、そのルールに則って実 施する。 ①登録依頼の手続き ②責任者による登録承認の手続き ソフトウェアの授受は、ソフ ソフトウエアの誤使用、不 ③正しく登録されたかを登録後に検証する手 トウェア管理ルールに基づ 正利用、改ざん等の防止 続き が図れない。 いて行うこと。 以下の検証を定期的に実施している。 ①承認済だが登録漏れとなっているプログラ ムがない ②未承認のプログラムが登録されていない ③許可されていない者によるプログラム登録 がされていない 実施基準対応 利用ITツール 規程類等 自 動 手 動 ○ プログラム変更管理 ツール ○ ワークフローツール 構成管理ツール ○ プログラム変更管理 ツール ○ ワークフローツール 構成管理ツール Ⅳ-06-0-(06) 運用(ソフトウェ ア管理) 管理すべきIT資産(ソフトウェア等)を一覧など ○ ソフトウェアの保管、複写 ソフトウエアの不正使用、 でリスト化する。 及び廃棄は、不正防止及 漏えい等の防止が図れな び機密保護の対策を講じ い。 IT資産の不正使用や紛失や盗難がないか、定 ること。 ○ 期的に実地棚卸を行う。 Ⅳ-06-0-(07) 運用(ソフトウェ ア管理) ウィルスによるデータ破壊を防止するため、 ソフトウェアに対するコン ソフトウエアをコンピュータ ネットワークに接続する全てのPCとサーバに ピュータウイルス対策を講 ウイルスから保護できな ウィルス対策ソフトを導入する。 い。 じること。 パターンファイルは適時に更新する。 ○ 構成管理規程 構成管理規程 開 発 運 用 ○ ○ ○ ○ ○ IT資産管理ツール IT資産管理規程 ○ ○ IT資産管理ツール IT資産管理規程 ○ ○ ウィルス対策ツール セキュリティ管理規程 (セキュリティ管理ツー ルログ記録) ○ 安 全 外 部 ○ All Rights Reserved, Copyright (c) JEITA 2009 IT内部統制項目表 (24/34) ■DS5 システムセキュリティの保証 統制活動 システム管理 基準項目番号 Ⅳ-06-0-(08) 運用 (ソフトウェア管 理) Ⅳ-07-0-(06) 運用 (ハードウェア管 理) Ⅳ-08-0-(01) 運用 (ネットワーク管 理) 管理項目 発生リスク 統制の タイプ 統制項目 自 動 情報管理に関する規程類に必要十分な事項 が含まれる。 例えば、以下の事項を含む。 ①会社が要請する情報管理水準 ・経営的観点での水準 ・ビジネス遂行の観点での水準 ・ISO/ISMS等の認証取得 等 ②当該要請を実現する基準 開発したソフトウエアの知 ③情報管理施策の定期的な見直し 的財産権の保護および導 ソフトウェアの知的財産権 入したソフトウエアの知的 コンピュータ(サーバ、PC等)にインストールさ を管理すること。 財産権の侵害を防止でき れているソフトウェアのライセンス管理は適切 に行われている。 ない。 ○ ライセンス外のソフトが利用されていないことを 確認している。 盗難、紛失等による権限 ハードウェアの保管、移設 者以外のハードウエア利 及び廃棄は、不正防止及 用の防止、データ等の情 び機密保護の対策を講じ 報資産の保護が図れな ること。 い。 手 動 実施基準対応 利用ITツール ○ ○ IT資産管理ツール 規程類等 全社情報管理憲章 情報管理規程 IT資産管理規程 開 発 運 用 安 全 ○ ○ ○ 情報管理戦略に基づきIT資産(ソフトウェア)に 対する各種施策を実行する。 ○ ・各種施策検討時に、有効性を検討する。 ・施策の実施状況を定期的にモニタリングす る。 ○ IT資産管理ツール IT資産管理規程 IT資産台帳 ○ 管理すべきIT資産(PC等)を一覧などでリスト 化する。 ○ ○ IT資産管理ツール IT資産管理規程 ○ IT資産の不正使用や紛失や盗難がないか、定 ○ 期的に実地棚卸を行う。 ○ IT資産管理ツール IT資産に関して、管理方法(持ち出しのルール 等)を決める。 ネットワーク管理ルールを ネットワークの正常かつ効 ネットワークの正常かつ効率的な稼動のため 定め、遵守すること。 率的な稼動が図れない。 の、ネットワーク管理ルールを定め、遵守す る。 IT資産管理規程 外 部 ○ ○ ○ IT資産管理規程 セキュリティ管理規程 (IT資産に対する持ち出 し手続き) ○ ○ ネットワーク管理規程 セキュリティ管理規程 ○ ○ All Rights Reserved, Copyright (c) JEITA 2009 IT内部統制項目表 (25/34) ■DS5 システムセキュリティの保証 統制活動 システム管理 基準項目番号 管理項目 発生リスク 統制の タイプ 統制項目 自 動 Ⅳ-08-0-(02) 運用 (ネットワーク管 理) ネットワークとの接続に際してリスクの認識及 び対策が行われるように、申請や承認の手続 ネットワークへのアクセス ネットワークへの侵入及び を設る。 コントロール及びモニタリ 不正利用の未然防止、早 ングは、有効に機能するこ 期発見が出来ない。 ネットワークへのアクセスに関するイベントをモ と。 ニタリングする(ログの保存、異常ログの拾い ○ 出しなど)。 Ⅳ-08-0-(03) 運用 (ネットワーク管 理) ネットワークへのアクセスに関するイベントをモ ○ 進入及び不正利用を検出 ニタリングする(異常ログの分析など)。 ネットワーク監視ログを定 して必要な対策を講じられ 期的に分析すること。 ない。 異常ログを検出した場合、ネットワークが正常 に機能するような対策を講じるルールを確立 する。 実施基準対応 利用ITツール 規程類等 運 用 安 全 ○ ○ ネットワーク管理ツール セキュリティ管理規程 ネットワーク管理規程 ○ ログ管理ツール アクセス管理ツール ○ ○ ネットワーク管理ツール セキュリティ管理規程 ネットワーク管理規程 ○ ログ管理ツール アクセス管理ツール ○ ○ ○ ○ 手 動 ○ ○ セキュリティ管理規程 ネットワーク管理規程 セキュリティ管理規程 ネットワーク管理規程 開 発 外 部 All Rights Reserved, Copyright (c) JEITA 2009 IT内部統制項目表 (26/34) ■DS9 構成管理 統制活動 システム管理 基準項目番号 管理項目 発生リスク 統制の タイプ 統制項目 自 動 ソフトウェアの管理項目、管理サイクルなど管 理事項を明確にするためのソフトウェア管理 ルールを明文化する。 Ⅳ-06-0-(01) 運用 (ソフトウェア管 理) Ⅳ-09-0-(01) 運用 (構成管理) 手 動 実施基準対応 利用ITツール ○ 規程類等 開 発 運 用 IT資産管理規程 ○ ソフトウェアを適切に利用 ソフトウェア管理ルールは、ユーザ部門責任者 ソフトウェア管理ルールを できず、不正を防止できな および、システム部門責任者(企画/開発/ ○ 定め、遵守すること。 い。 保守運用)のレビュ/承認を受ける。 ○ 文書管理ツール ワークフローツール IT資産管理規程 ○ ソフトウェア管理ルールのレビュ/承認の実施 ○ 記録を作成し、保存する。 ○ 文書管理ツール ワークフローツール IT資産管理規程 ○ 管理するべきソフトウェア、ハードウェア及び ネットワークの管理対象、責任者、責任範囲な どを明文化する。 ○ IT資産管理規程 ○ ○ IT資産管理ツール IT資産管理規程 ○ ユーザ、ネットワーク管理 管理すべきソフトウェア、 者の責任者、ベンダ間で、 ハードウェア及びネット 管理すべきソフトウエア、 ワークの対象範囲を明確 ハードウエア及びネット にし、管理すること。 ワークの二重管理や管理 の漏れが生じる。 規程に基づきソフトウェア、ハードウェア及び ネットワークを管理する。 ○ 安 全 外 部 All Rights Reserved, Copyright (c) JEITA 2009 IT内部統制項目表 (27/34) ■DS10 問題と事故の管理 統制活動 システム管理 基準項目番号 Ⅳ-02-0-(10) 運用 (運用管理) Ⅳ-02-0-(11) 運用 (運用管理) 管理項目 事故および障害の影響度 に応じた報告体制および 対応手順を明確にするこ と。 発生リスク 統制の タイプ 統制項目 自 動 事故および障害の発生時 に、適切な処置を取れず、 事故及び障害の発生時には、影響度に応じた 影響の拡大を抑制するこ 報告体制及び対応手順を明確にする。 とができない。 事故及び障害の内容を記録する。 ○ 事故および障害の内容を 事故、障害から迅速に回 記録し、情報システムの運 復することができず、再発 用の責任者に報告するこ を防止できない。 事故及び障害の内容を情報システムの運用の と。 ○ 責任者に報告する。 事故及び障害の原因を究明し、再発防止の措 ○ 置を決定する。 Ⅳ-02-0-(12) 運用 (運用管理) 事故および障害の原因を 同一または類似した事故 再発防止処置をユーザ部門責任者、システム 究明し、再発防止の措置 や障害が繰り返し発生す 部門責任者(開発/保守運用)のレビュー/承 ○ 認を得る。 を講じること。 る。 レビュ実施記録を作成し保存する。 ○ 手 動 実施基準対応 利用ITツール 規程類等 開 発 運 用 ○ システム設計書 保守/運用規程 ○ ワークフローツール ○ 文書管理ツール 障害管理ツール システム設計書 保守/運用規程 ○ ワークフローツール ○ 文書管理ツール 障害管理ツール システム設計書 保守/運用規程 ○ ○ 障害管理ツール システム設計書 保守/運用規程 ○ ワークフローツール ○ 文書管理ツール 障害管理ツール システム設計書 保守/運用規程 ○ ワークフローツール ○ 文書管理ツール 障害管理ツール システム設計書 保守/運用規程 ○ 安 全 外 部 All Rights Reserved, Copyright (c) JEITA 2009 IT内部統制項目表 (28/34) ■DS11 データ管理 統制活動 システム管理 基準項目番号 管理項目 Ⅲ-02-0-(05) データのインテグリティを 開発 確保すること。 (システム設計) 発生リスク データ処理の完全性、正 確性、正当性が保証でき ない。 統制の タイプ 統制項目 自 動 設計時にレビュを実施し、データ処理の正確性 を確認する。 ○ ジョブスケジュールは、業 資源の有効利用、ユーザ 業務処理の優先度を確認したうえで、ジョブス Ⅳ-02-0-(04) 務処理の優先度を考慮し ニーズに対応した業務処 ケジュールを設定する。 運用(運用管理) 理がされない。 て設定すること。 ○ ジョブスケジュール及び指示書に基づいてオペ レーションを実行する。 オペレーションは、ジョブス 資源の有効活用、操作上 Ⅳ-02-0-(05) ケジュール及び指示書に の誤りや不正防止が図ら 運用(運用管理) 基づいて行うこと。 れない。 オペレーションを記録・保存する。 ○ 例外処理は運用管理ルールに基づいて行う。 例外処理のオペレーション 操作上の誤りや不正防 Ⅳ-02-0-(06) は、運用管理ルールに基 止、円滑な業務処理が図 運用(運用管理) られない。 づいて行うこと。 例外処理のオペレーションを記録・保存する。 オペレータの交替は、運用 業務処理の正確性や円滑 Ⅳ-02-0-(07) 管理ルールに基づいて行 な遂行が図られない。 運用(運用管理) うこと。 ○ オペレータの交替は運用管理ルールについて 基づいて行う。 交替時の記録を残す。 ○ 手 動 実施基準対応 利用ITツール 規程類 開 発 運 用 文書管理ツール ○ ワークフローツール アクセス管理ツール システム開発規程 ○ ○ JOB実行ツール システム開発規程 ○ ○ 保守/運用規程 ○ 運用管理ツール ログ管理ツール 保守/運用規程 ○ クライアントPC操作ログ 取得ツール ○ ○ 保守/運用規程 ○ 運用管理ツール ログ管理ツール 保守/運用規程 ○ クライアントPC操作ログ 取得ツール ○ ○ 保守/運用規程 ○ ID管理ツール ○ アクセス管理ツール ログ管理ツール 保守/運用規程 ○ 安 全 外 部 All Rights Reserved, Copyright (c) JEITA 2009 IT内部統制項目表 (29/34) ■DS11 データ管理 統制活動 システム管理 基準項目番号 管理項目 発生リスク 統制の タイプ 統制項目 自 動 ジョブスケジュールやオペレーションの実施記 ○ ジョブスケジュール及びオ 録を取る。 操作上の誤りや不正防 Ⅳ-02-0-(08) ペレーション実施記録を採 止、円滑な業務処理が図 運用(運用管理) り、ジョブスケジュールとの られない。 差異分析を行うこと。 ジョブスケジュールと実際のオペレーションとの 差異分析を定期的に実施する。 オペレーション実施記録を取る。 オペレーション実施記録 操作上の誤り、不正、事 は、運用管理ルールに基 Ⅳ-02-0-(09) 故・障害の原因究明に支 運用(運用管理) づいて一定期間保管する 障を来たす。 こと。 ○ 承認されたオペレーション実施記録は、運用管 理ルールに基づき一定期間保管する。 ○ 入力データの作成、授受、検証、入力実施、入 力後の確認、保管等の入力管理ルールを明文 化する。 入力データの作成、授受、 入力管理ルールは情報システム部門の責任 Ⅳ-03-0-(01) 入力管理ルールを定め、 検証、入力実施、入力後 者(開発・保守・運用)が承認する。 運用(入力管理) 遵守すること。 の確認、保管等が正しく行 われない。 データの入力は、入力管 入力データの欠落、二重 Ⅳ-03-0-(02) 理ルールに基づいて漏れ 入力等の誤りが発生す 運用(入力管理) なく、重複なく、正確に行う る。 こと。 手 動 ○ 実施基準対応 利用ITツール 規程類 JOB実行ツール ログ管理ツール 開 発 運 用 保守/運用規程 ○ 保守/運用規程 ○ 運用管理ツール ログ管理ツール 保守/運用規程 ○ クライアントPC操作ログ 取得ツール ○ 運用管理ツール クライアントPC操作ログ 保守/運用規程 取得ツール バックアップツール ○ ○ ○ ○ 情報管理規程 ○ ○ 情報管理規程 ○ 情報管理規程 ○ 情報管理規程 ○ 必要に応じて入力の記録を残し、入力管理 ルールが遵守されていることを検証する。 ○ 文書管理ツール ワークフローツール ○ ID管理ツール アクセス管理ツール ログ管理ツール データの入力は、入力管理ルールに基づいて 漏れや、重複がないか、確認する。 ○ ○ (個別アプリケーション ソフトウェア) 安 全 外 部 All Rights Reserved, Copyright (c) JEITA 2009 IT内部統制項目表 (30/34) ■DS11 データ管理 統制活動 システム管理 基準項目番号 管理項目 発生リスク 統制の タイプ 統制項目 自 動 入力管理ルールには誤謬防止、不正防止、機 入力データの作成手順、 入力データの作成、取扱 密保護等の対策を明文化する。 取扱い等は誤謬防止、不 Ⅳ-03-0-(03) い等の正確性維持や不正 運用(入力管理) 正防止、機密保護等の対 防止が図られない。 入力データの作成手順や取扱方法は情報シス 策を講じること。 テム部門の責任者が承認する。 データの入力の誤謬防 データ入力の、誤謬、不正 Ⅳ-03-0-(04) 止、不正防止、機密保護 の防止および機密保持が 入力データに関する記録を取り、保管する。 運用(入力管理) 等の対策は有効に機能す 図れない。 ること。 ○ 手 動 実施基準対応 利用ITツール 規程類 開 発 運 用 ○ 情報管理規程 ○ ○ 情報管理規程 ○ 情報管理規程 ○ ○ (個別アプリケーション ソフトウェア) 安 全 入力データの保管及び廃 入力データの紛失、盗難、 Ⅳ-03-0-(05) 入力管理ルールに基づいて入力データの保管 棄は、入力管理ルールに 漏えい等の防止が図れな 運用(入力管理) 及び廃棄を行う。 基づいて行うこと。 い。 ○ 情報管理規程 ○ データの誤処理防止、機密保護および個人情 報保護のため、開発、運用および保守に応じ たデータ管理ルールを明文化する。 ○ 情報管理規程 ○ データの誤処理防止、機 データ管理ルールを定め、 密保護および個人情報保 データ管理ルールは情報システム部門の責任 遵守すること。 者(開発保守運用)が承認する。 護が図れない。 ○ 情報管理規程 ○ ○ ○ Ⅳ-04-0-(01) 運用(データ管 理) ○ ○ (個別アプリケーション ソフトウェア) 情報管理規程 ○ データへのアクセスコントロールとモニタリング ○ のしくみを作成する。 ○ アクセス管理ツール ログ管理ツール 情報管理規程 ○ アクセスコントロールおよびモニタリングの定 期的に記録を取り、レビュする。 ○ ○ アクセス管理ツール ログ管理ツール 情報管理規程 ○ ○ ○ (個別アプリケーション ソフトウェア) 情報管理規程 ○ ○ ○ バックアップツール 情報管理規程 ○ 必要に応じて記録を残し、データ管理ルール が遵守されていることを検証する。 Ⅳ-04-0-(02) 運用(データ管 理) Ⅳ-04-0-(03) 運用(データ管 理) データへの不正アクセス データへのアクセスコント の防止、不正利用の防 ロール及びモニタリング 止、機密保護および個人 は、有効に機能すること。 情報保護が図れない。 データのインテグリティを 維持すること。 データ正確性、完全性を検証する手段を講じ データの正確かつ完全 る。 で、正常である状態を保て ない。 データに不具合が発生した場合の回復手段を 用意しておく。 外 部 All Rights Reserved, Copyright (c) JEITA 2009 IT内部統制項目表 (31/34) ■DS11 データ管理 統制活動 システム管理 基準項目番号 管理項目 発生リスク 統制の タイプ 統制項目 データの利用状況を記録する。 実施基準対応 利用ITツール 規程類 運 用 安 全 情報管理規程 ○ ○ ○ ログ管理ツール 情報管理規程 ○ ○ ○ 情報管理規程 保守/運用規定 ○ ○ 情報管理規程 ○ ○ 自 動 手 動 ○ ○ アクセス管理ツール ログ管理ツール 開 発 Ⅳ-04-0-(04) 運用(データ管 理) データの利用状況を記録 データの利用を想定し、不 し、定期的に分析するこ 正使用を防止できない。 と。 Ⅳ-04-0-(05) 運用(データ管 理) データのバックアップの範 囲、方法、及びタイミング は、業務内容、処理形態 及びリカバリの方法を考慮 して決定すること。 Ⅳ-04-0-(06) 運用(データ管 理) データの授受は、データ管 データの誤使用、不正利 理ルールに基づいて行う 用、改ざん等の防止を図 れない。 こと。 Ⅳ-04-0-(07) 運用(データ管 理) データの交換は、不正防 不正利用の防止、機密情 データの交換の形態に応じ、暗号化の処置 止及び機密保護の対策を 報の漏洩及び個人情報保 等、不正防止、機密保護及び個人情報保護の ○ 対策を講じる。 護を図れない。 講じること。 暗号化ツール 改ざん防止ツール ○ アクセス管理ツール ログ管理ツール 情報管理規程 ○ ○ Ⅳ-04-0-(08) 運用(データ管 理) データの保管、複写および データの不正利用、漏洩 廃棄は、誤謬防止、不正 の防止及び個人情報の侵 防止及び機密保護の対策 害等の防止を図れない。 を講じること。 暗号化ツール 改ざん防止ツール アクセス管理ツール ○ ログ管理ツール データベース監査ツー ル 情報管理規程 ○ ○ Ⅳ-04-0-(09) 運用(データ管 理) 情報システムの環境に適合したコンピュータ データに対するコンピュー データをコンピュータウィル ウィルス対策を講じる。 タウィルス対策を講じるこ スから保護することができ ない。 と。 コンピュータウィルス対策を周知徹底する。 情報管理規程 ○ 情報管理規程 ○ データの利用状況を分析し、改善措置を図る。 ○ データの記録媒体の障 バックアップの範囲、タイミング、記録媒体、保 害、誤操作、コンピュータ 管方法等は、業務内容、処理形態及びリカバ ウィルス等の影響の最小 リの方法に応じて定める。 化を図れない。 データ管理ルールに基づいて、データの授受、 保管、確認および返却を行う。 保管、複写、廃棄はデータの重要度に応じて、 複写を制限したり、複写履歴をとる等の不正防 ○ 止、機密保護及び個人情報保護の対策を講じ る。 ○ ウィルス対策ツール ○ 外 部 All Rights Reserved, Copyright (c) JEITA 2009 IT内部統制項目表 (32/34) ■DS11 データ管理 統制活動 システム管理 基準項目番号 管理項目 発生リスク 統制の タイプ 統制項目 自 動 誤謬、不正を防止し、機密保護や個人情報保 護を考慮した出力管理ルールを明文化する。 出力方法の誤謬、不正利 Ⅳ-05-0-(01) 出力管理ルールを定め、 用、漏洩等の防止が図れ 出力管理ルールは情報システム部門の責任 運用(出力管理) 遵守すること。 ない、機密保護および個 者(開発保守運用)が承認する。 人情報保護が図れない。 手 動 実施基準対応 利用ITツール 規程類 開 発 運 用 ○ 情報管理規程 ○ ○ 情報管理規程 ○ ○ 必要に応じて出力の記録を残し、出力管理 ルールが遵守されていることを検証する。 ○ ログ管理ツール ○ クライアントPC操作ログ 情報管理規程 取得ツール データの出力は、出力管理ルールに基づいて 漏れや、重複がないか、確認する。 ○ ○ 情報管理規程 ○ ○ ログ管理ツール クライアントPC操作ログ 情報管理規程 ○ 取得ツール バックアップツール ○ 不正な複写、複製等を防止する対策を講じる。 ○ 出力情報の作成手順、取 Ⅳ-05-0-(03) 扱い等は誤謬防止、不正 改ざん、盗難、漏洩等の防 運用(出力管理) 防止、機密保護等の対策 止が図られない。 出力情報の機密度に応じて取扱者を限定す を講じること。 ○ る。 ○ アクセス管理ツール 情報管理規程 ○ ID管理ツール アクセス管理ツール 情報管理規程 ○ 出力情報の引渡しを記録する。 出力情報の引渡しは、出 出力情報の引渡しの誤り、 Ⅳ-05-0-(04) 力管理ルールに基づいて 紛失、盗難等の防止が図 運用(出力管理) 引渡しの方法を出力管理ルールから適切に選 れない。 行うこと。 択する。 ○ 情報管理規程 ○ ○ 情報管理規程 ○ ○ 情報管理規程 ○ 出力情報の結果の誤り、 Ⅳ-05-0-(02) 出力情報は漏れなく、重複 欠落、二重出力等の誤り 運用(出力管理) なく、正確に行うこと。 が発生する。 出力記録及び端末操作記録を一定期間保管 する。 出力情報の保管及び廃棄 出力情報の紛失、盗難、 出力管理ルールに基づいて出力データの保管 Ⅳ-05-0-(05) は、出力管理ルールに基 漏えい等の防止が図れな 及び廃棄を行う。 運用(出力管理) い。 づいて行うこと。 ○ (個別アプリケーション ソフトウェア) 安 全 外 部 All Rights Reserved, Copyright (c) JEITA 2009 IT内部統制項目表 (33/34) ■DS11 データ管理 統制活動 システム管理 基準項目番号 管理項目 発生リスク 統制の タイプ 統制項目 実施基準対応 利用ITツール 規程類 開 発 運 用 ○ ○ 自 動 手 動 出力情報のエラー状況を記録する。 出力情報のエラー状況を 出力情報の正確さが維持 Ⅳ-05-0-(06) 記録し、定期的に分析する できない。 運用(出力管理) 出力情報のエラーの原因を究明し、改善措置 こと。 を図る。 ○ ○ ログ管理ツール 情報管理規程 ○ 情報管理規程 ○ 出力情報の利用状況を記録する。 出力情報の利用状況を記 出力情報の有効利用が図 Ⅳ-05-0-(07) 録し、定期的に分析するこ れない。 運用(出力管理) と。 出力情報の利用状況を分析し、改善措置を図 る。 ○ 情報管理規程 ○ 情報管理規程 ○ ○ ○ アクセス管理ツール ログ管理ツール 安 全 外 部 All Rights Reserved, Copyright (c) JEITA 2009 IT内部統制項目表 (34/34) ■DS13 オペレーション管理 統制活動 システム管理 基準項目番号 Ⅳ-02-0-(02) 運用 (運用管理) 管理項目 年間運用計画に基づい て、月次、日次等の運用 計画を策定すること。 発生リスク 統制の タイプ 統制項目 情報システムの運用を円 年間運用計画に基づいて、月次、日次の運用 滑かつ効率的に進められ 計画を策定する。 ない。 自 動 手 動 ○ 実施基準対応 利用ITツール 規程類等 保守/運用規程 開 発 運 用 安 全 外 部 ○ All Rights Reserved, Copyright (c) JEITA 2009