« ITGI-Japan設立記念カンファレンス SOX対応の経験から学んだこと・・・ | Main | 準拠性検査のサンプル数 (2) »

2006.11.20

IT Control Objectives for SOX 2nd Edition 業務レベルのIT全般統制とテクノロジー階層のコントロールの優先順位表

 こんにちは、丸山満彦です。IT全般統制を評価する場合に、ネットワークまで見るの?とか、物理的なセキュリティって重要?って話があると思うのですが、IT Control Objectives for SOX 2nd Editionの「参考資料G 固有リスク評価とコントロールの優先順位の表」でそのあたりが整理されています。といっても、考え方のスタートポイントと個別の企業に当てはめる場合のガイダンスですので、それをみて誰でも直ちに答えがでるものではありません。。。

 

 

PCAOB

IT CO for SOX

AP

DB

OS

NW

HW

 

プログラム開発
プログラム変更

アプリケーションソフトウエアの調達と開発

R

D

D

D

D

技術インフラの調達

D

D

D

D

D

方針と手続きの策定と保守

R

R

R

R

R

アプリケーションソフトウェアと技術インフラの導入とテスト

R

R

D

D

D

変更管理

R

R

R

D

D

 

コンピュータ運用
プログラム及び
データへのアクセス

サービスレベルの定義と管理

D

D

D

D

D

サードパーティのサービスの管理

R

R

R

D

D

システムセキュリティの保証

R

R

R

R

D

構成管理

R

R

R

D

D

問題管理とインシデント管理

R

R

R

R

D

データ管理

R

R

D

D

D

運用管理

R

R

D

D

D

=====
AP=アプリケーション
DB=データベース
OS=オペレーティングシステム
NW=ネットワーク
HW=ハードウェア

R=推奨:それぞれのテクノロジー階層ごとにIT統制の検証を検討すべき。
D=任意:リスクが特定された部分はIT統制の検証を検討すべき。
=====

【ISACA】
IT Control Objectives for Sarbanes-Oxley 2nd Edition (PDF)
○図表45:コントロールの優先順位の表

|

« ITGI-Japan設立記念カンファレンス SOX対応の経験から学んだこと・・・ | Main | 準拠性検査のサンプル数 (2) »

Comments

Post a comment



(Not displayed with comment.)




TrackBack


Listed below are links to weblogs that reference IT Control Objectives for SOX 2nd Edition 業務レベルのIT全般統制とテクノロジー階層のコントロールの優先順位表:

« ITGI-Japan設立記念カンファレンス SOX対応の経験から学んだこと・・・ | Main | 準拠性検査のサンプル数 (2) »