« September 2008 | Main | November 2008 »

2008.10.31

内部統制報告制度では支配権のない持分法適用会社であっても「内部」統制の一部として評価しなければならないのに、100%子会社に情報の取り扱いを委託する場合は「外部」委託といわれる

 こんにちは、丸山満彦です。長い題です。もちろん、状況によって外部内部の切分線が異なるのは当然ですが。。。ちょっと本質を考えてほしいと思うんですね。
 支配権が及ばない持分法適用会社を企業グループの内部として内部統制の評価に含めるのはおかしいんじゃないの?という話は、
=====
 2008.06.26 質問:そもそも持分法適用会社の内部統制って、親会社ではないけど大株主である企業から見た場合の内部統制ですか?
=====
 でちょっとした議論となりましたが、逆に個人情報の取扱等情報セキュリティの分野では、一部門が子会社化し、完全一体化して運営されているような子会社についても法形式的には外部ということで、「外部委託は禁止だ。。。」みたいなことが言われたりします。

Continue reading "内部統制報告制度では支配権のない持分法適用会社であっても「内部」統制の一部として評価しなければならないのに、100%子会社に情報の取り扱いを委託する場合は「外部」委託といわれる"

| | Comments (2) | TrackBack (0)

2008.10.28

IT全般統制の統制目標 (同業他社からもほめられました(笑))

 こんにちは、丸山満彦です。内部監査推進全国大会で話をした内容です。前から話をしていた内容ですが、同業他社(KPMG、PwC)の人からも「わかりやすい!」とほめられました(笑)。IT全般統制について、チェックリストがまずでてきますよね。。。チェックリストの前にある本質は何ですか?ということを説明したスライドです。

Continue reading "IT全般統制の統制目標 (同業他社からもほめられました(笑))"

| | Comments (7) | TrackBack (0)

2008.10.27

国民が自律できなければ法律で規律するしかないのかなぁ・・・

 こんにちは、丸山満彦です。最近ふとそう思いました。情報セキュリティには関係ないのですが。。。

| | Comments (2) | TrackBack (0)

2008.10.26

金融庁 パブコメ 事務ガイドライン(第三分冊:金融会社関係 12電子債権記録機関関係)(案)

 こんにちは、丸山満彦です。電子債権にちょっとかかわっていましたので。。。金融庁が、「事務ガイドライン(第三分冊:金融会社関係 12 電子債権記録機関関係)(案)」についての意見募集をしていますね。。。さぁ、電子債権は普及するのでしょうか。。。
 

Continue reading "金融庁 パブコメ 事務ガイドライン(第三分冊:金融会社関係 12電子債権記録機関関係)(案)"

| | Comments (0) | TrackBack (0)

2008.10.20

上司と部下の関係が悪い場合は上司に褒められても部下の責任感が低下する by JR西日本安全研究所

 こんにちは、丸山満彦です。JR西日本安全研究所はこういう組織です↓。
=====
 「安全研究所」は、二度と重大な事故を繰り返さないとの決意から2006年6月23日に設立されました。
「いつでも」「どこでも」「だれでも」できる安全を、現場とともに追求する。つまり、真に現場に役立つ実効性のある研究を、ヒューマンファクター(人的要因)の視点を中心として多角的に推進する組織です。
(http://www.westjr.co.jp/security/labs/)
=====
 そこで、上司と部下の関係を調査した結果がまとまったようです。

Continue reading "上司と部下の関係が悪い場合は上司に褒められても部下の責任感が低下する by JR西日本安全研究所"

| | Comments (4) | TrackBack (0)

キーコントロールかどうかは監査人ではなく経営者が決める、はず。。。

 こんにちは、丸山満彦です。売上高の実在性を確実にするための重要なコントロールとして何を考えているかは監査人が指摘して決めるのではなく、経営者自らが考えてすでに設計しているはずです。でも、監査人が×××をキーコントロールとしてくださいというケースもあるようですね。

Continue reading "キーコントロールかどうかは監査人ではなく経営者が決める、はず。。。"

| | Comments (6) | TrackBack (0)

2008.10.19

セキュリティいろはかるた by 日立システム

 こんにちは、丸山満彦です。日立システム情報セキュリティブログで「セキュリティいろはかるた」を募集していますね。。。
 武田先生も監修しているんですね。。。

Continue reading "セキュリティいろはかるた by 日立システム"

| | Comments (4) | TrackBack (0)

2008.10.17

金融庁の金融審議会が格付会社規制の検討を開始

 こんにちは、丸山満彦です。ばたばたしておりましてなかなか更新ができません。今日もメモ。。。

Continue reading "金融庁の金融審議会が格付会社規制の検討を開始"

| | Comments (0) | TrackBack (0)

2008.10.11

固定ID問題が相変わらず問題にされない。。。

 こんにちは、丸山満彦です。ネットワーク・セキュリティ・ワークショップ in 越後湯沢 2008にいってきました。といっても、金曜日の夜からの参加ということで、上原先生にも会えず、高木さんや佐藤さんの話も聞けなかったのですが。。。それでも夜の会?などもあり楽しい会でしたね。。。酔うぞさんとも話せたし、高倉先生ともこいー話ができたし、ラックの西本さんのこいー話もきけたし、町村先生とも話ができたし、、、いろんな人と話をしたので、全員の名前をあげることができませんが。。。
 
 それで本題、高木さんと鈴木先生と固定ID問題の話をすることができました。

Continue reading "固定ID問題が相変わらず問題にされない。。。"

| | Comments (4) | TrackBack (0)

2008.10.10

IT業務処理統制は誰が識別すべきか。。。

 こんにちは、丸山満彦です。このタイミングで、IT業務処理統制は誰が識別すべきか悩んでいるという話を聞いてちょっとびっくりしておりますが。。。
 IT業務処理統制は簡単にいうと、「アサーションに直接関係する統制のうち、人間だけではなくてコンピュータも利用して行っている統制」です。たとえば、「売上金額の正確性を確保するために、単価マスターの数字以外が入力できないようにする」というのは、売上の正確性に関係するIT業務処理統制と考えることができます。
 さて、このようなIT業務処理統制は誰が識別すべきか、つまり業務部門側とIT部門側の誰が識別すべきかというのが問題になっている会社もあるようです。
 この問題を解決するためには、オーナーとカストディアンという関係を整理するとよいと思います。。。

Continue reading "IT業務処理統制は誰が識別すべきか。。。"

| | Comments (2) | TrackBack (0)

2008.10.07

経済産業省 パブコメ「情報システムの信頼性向上に関するガイドライン第2版(案)」

 こんにちは、丸山満彦です。かなり前になりますが、経済産業省が「情報システムの信頼性向上に関するガイドライン第2版(案)」に対するコメントを募集していますね。。。

Continue reading "経済産業省 パブコメ「情報システムの信頼性向上に関するガイドライン第2版(案)」"

| | Comments (0) | TrackBack (0)

2008.10.03

新「内部監査の専門職的実施の国際基準」 仮訳も公表

 こんにちは、丸山満彦です。内部監査人協会(The Institute of Internal Auditors,Inc. IIA)が新しい「International Standards for the Professional Practice of Internal Auditing」を公開していますね。日本内部監査協会もその仮訳を公開しています。大きな変更はないようですが。。。

Continue reading "新「内部監査の専門職的実施の国際基準」 仮訳も公表"

| | Comments (2) | TrackBack (0)

2008.10.02

経済産業省 政府機関としてST確認された基盤ネットワークを初めて導入

 こんにちは、丸山満彦です。経済産業省が「政府機関としてST確認された基盤ネットワークを初めて導入」したことを発表していますね。。。
=====
1.ST確認とは、国際的なセキュリティ評価基準に基づき、情報システムのセキュリティ面の設計を、開発した事業者の申請に基づいて、規定された評価方法に従って第三者機関が評価し、さらに独立行政法人情報処理推進機構(IPA)がその評価結果を確認するわが国固有の制度です。

2.内閣官房情報セキュリティセンターが定めた「政府機関の情報セキュリティ対策のための統一基準」により、政府機関の情報システムについては、セキュリティレベルを高めるため、ST確認を活用することが求められております。

3.経済産業省は、本年度、更新中の基盤ネットワークシステムの構築に当たって、ST確認を取得するべく準備を進めて参りましたが、9月30日にIPAによる確認が完了いたしました。
=====
 ということのようですね。。。

Continue reading "経済産業省 政府機関としてST確認された基盤ネットワークを初めて導入"

| | Comments (0) | TrackBack (0)

2008.10.01

白浜シンポ 経済産業大臣表彰「情報セキュリティ促進部門」

 こんにちは、丸山満彦です。「サイバー犯罪に関する白浜シンポジウム実行委員会」が経済産業大臣表彰「情報セキュリティ促進部門」を受賞しましたね。。。実行委員長が受賞までの時間を会社でつぶしていたような。。。(冗談です。)=>仕事してました。
 12年間の地道な努力の積み重ねです。商業ベースではありません。地元と業界の手作りのシンポです。
 これだけ長い間続いたわけですから、いろいろなことがあったと思いますが、そんな、こんながあってもやっぱり続いていることが今回の受賞につながったのだと思います。
 関係者の皆様、本当におめでとうございました。私もいろいろと勉強させてもらいましたし、このシンポで様々な方と知り合うことができました!
 これからもずーっと続くことを期待しております。もちろん、私もできる範囲で協力します。。。

 

Continue reading "白浜シンポ 経済産業大臣表彰「情報セキュリティ促進部門」"

| | Comments (0) | TrackBack (0)

« September 2008 | Main | November 2008 »