5月7日の経済産業省の報道発表で5月4日のバンコク(タイ)での気候変動に関する政府間パネル(IPCC:Intergovernmental Panel on Climate Change)の第4次第3作業部会((WGIII)は、温室効果ガスの排出抑制及び気候変動の緩和策をそれぞれ評価)の評価報告書の概要速報版が配布されています。
すでに報道されているように2030年までの短中期的な個別部門の排出量の緩和策と2031年以降の長期的な緩和策とを展望し、開発の道筋をより持続可能な開発に向けるならば、気候変動の緩和にも大きく貢献する可能性があると結んでいます。
さて本日は、「金融証券取引法」(日本版SOX法)に関係して、組織で「内部統制」を実践する上で重要な要素となる「IT統制」、またIT統制の有効な整備で必須となる「ITセキュリティマネジメント」、さらにその一大要素である「セキュリティリスクマネジメント」について実践事例を交えて分かり易く解説している本を紹介します。
本書:「IT統制に活かすセキュリティリスクマネジメント入門」です。
「企業の内部統制構築の第一歩」との副題が付いています。
本書は、著者:関 竜司氏、尾崎 雅彦氏の協力にて、2007年4月に日科技連出版社より発行されています。
本書の表紙の折り返し部には、本書の特長として以下の4つのポイントが挙げられています。
- 本書の狙いは、企業が「IT統制」整備の取り組む際に、実効性を高め、投入するリソースを軽減できることにある。このため「マネジメントシステム」構築の考え方を取り入れ、「継続的改善」によって「IT統制」を整備できる手引書としての活用も意図。
- 本書は、「セキュリティリスクマネジメント」だけの入門書としての活用も可能。
- 既にISMS構築し実践している実績のある企業において、不適切なリスク分析・評価実施に起因する情報セキュリティ体制の不備や形骸化の問題が生じているとすれば、本書を参考に、既存の体制を見直し・改善することが可能。
- 適切な「セキュリティリスクマネジメント」の実現は、組織全体の正しいマネジメント及び業務の確保・維持につながっている。そして、このことは「IT統制」整備、ひいては「内部統制」整備のハードルを飛躍的に低くすることになる。
本書は、4つの章から構成されています。
第1章では、「セキュリティリスクマネジメント」と「IT統制」」
として「セキュリティリスクマネジメントとは」から始まり、情報セキュリティトラブルの実態、その対策の実態、その重要性などを解説し、「IT統制」に「セキュリティリスクマネジメント」を活用するメリットはどんな点にあるかなど解説しています。
第2章では、「IT統制の理論」として
IT統制の整備の基準となるフレームワークについて各種の内容を紹介し、その位置づけから関連について総括的に解説しています。例えば、IT統制と内部統制報告制度の仕組み、さらに「IT統制」と「内部統制」との関係、「IT統制」の位置づけ、IT統制のフレームワーク、COSO内部統制フレームワーク、ITのアウトソーシングについてPCAOBの「監査基準第2号」とアウトソーシングの考え方、SAS70、18号監査などの「IT統制」に関わる重要な概念など解説しています。
第3章では、「セキュリティリスクマネジメントの理論」
として、「リスクマネジメント」のJIS TR Q 0008:2003に基づく定義を「リスクに関して組織を指揮管理する調整された以下の「1)リスクアセスメント、2)リスク対応、3)リスク受容、4)リスクコミュニケーション」活動として解説し、本書における「セキュリティリスクマネジメント」は、「情報セキュリティリスクマネジメント」とし、リスクアセスメントの手法やリスクアプローチリスクアセスメントの手順などを詳細に解説しています。
第4章では、「「IT統制」整備における「セキュリティリスクマネジメント」の活用」
として、セキュリティリスクマネジメントを「IT統制」に有効に活用するための実践方法について解説しています。最初に「IT統制」のフレームワークとして「COBIT for SOX」を採用して最小限の「IT統制」を整備し、次いで「COBIT for SOX」以外の第2段階のフレームワークを整備するというステップによる「IT統制」の仕組みについて解説しています。ISMS構築のステップと「COBIT for SOX」のIT統制整備のステップを表により詳細に比較し、解説しています。「「IT統制」整備の実践例として、情報サービスA社の事例を取り上げ「COBIT for SOX」のSOX法対応ロードマップの手順について、STEP1の「「IT統制」整備の計画と対象範囲の決定」からSTEP6の「持続性の構築」までを解説しています。ここでIT全般統制の洗い出しチェックリスト等が掲載されています。
なお本書の付録に「「リスクカタログ」の例」が掲載されています。
なお本書の目次は、以下の内容です。
第1章「セキュリティリスクマネジメント」と「IT統制」
1.1 「セキュリティリスクマネジメント」
1.2 「セキュリティリスクマネジメント」の「IT統制」への活用
第2章 IT統制の理論
2.1 IT統制と内部統制報告制度
2.2 「IT統制」とは
2.3 IT統制のフレームワーク
2.4 COSO内部統制フレームワーク
2.5 ITのアウトソーシングについて
第3章 セキュリティリスクマネジメントの理論
3.1 リスクマネジメント
3.2 リスクアプローチリスクアセスメント
第4章 「IT統制」整備における「セキュリティリスクマネジメント」の活用
4.1 IT統制フレームワークの選択
4.2「IT統制」整備の実践例
4.3 「内部統制報告制度」対応のための「IT統制」
付録:「リスクカタログ」の例
(広告)
- 2007年05月09日
- リスクマネジメント, 内部統制 | ISMS(情報セキュリティマネジメント)
- コメント(0)
- トラックバック(0)