セクション: 情報資産の保護

良い習慣であるだけでなく、法律や規制により、財務諸表に影響を与える情報を組織が保管することが求められる場合があります。電子メールによるコミュニケーションが従来の「紙」の公式形式と同じと見なされる訴訟が多発しているため、企業の電子メールの保管は必須となっています。組織のハードウェアで生成されたすべての電子メールは組織の所有物であり、電子メール ポリシーでは、既知および予期しない訴訟の両方を考慮して、メッセージの保管に対処する必要があります。ポリシーでは、メッセージ自体の性質と機密性を保護するために、指定された期間後に電子メールを破棄することも対処する必要があります。電子メール ポリシーで保管の問題に対処すると、回復、再構築、再利用が容易になります。

インターネット プロトコル (IP) アドレス制限は、ファイアウォールで使用され、事前定義されたルールに基づいて特定の IP アドレスまたは IP アドレスの範囲へのアクセスを許可または拒否することで、エンティティの内部リソースを保護します。
リモート アクセス サーバー、セキュア ソケット レイヤー (SSL)、およびフェイルオーバー サービスは、ファイアウォール保護とは直接関係ありませんが、認証、暗号化、可用性など、ネットワーク セキュリティの他の側面と関係があります。参考資料: CISA レビュー マニュアル (デジタル版)、第 5 章: 情報資産の保護、セクション 5.2: ネットワーク セキュリティ デバイスとテクノロジ

システム ドキュメントの欠如は、情報システムの取得、開発、実装プロセスをレビューする IS 監査人にとって最も懸念すべき事項です。これは、システム ドキュメントが、システムの目的、機能、設計、アーキテクチャ、テスト、展開、運用、保守を説明する重要な情報源であるためです。システム ドキュメントは、IS 監査人がシステムの品質、パフォーマンス、セキュリティ、コンプライアンス、ビジネス要件および目標との整合性を理解し、評価するのに役立ちます。システム ドキュメントがなければ、IS 監査人はシステムの徹底的かつ効果的な監査を実行できないだけでなく、システムの信頼性や整合性に影響を与える可能性のある問題やリスクを特定できない可能性があります12。
データ所有者がデータ変換ツールの使用方法についてトレーニングを受けていないことは、システム実装に対するユーザーの準備または能力が不足していることを示している可能性はありますが、最も懸念される問題ではありません。データ変換ツールは、レガシー システムから新しいシステムなど、データをある形式または構造から別の形式または構造に変換するのに役立つソフトウェア アプリケーションです。データ所有者とは、自分のドメイン内でデータを管理および制御する責任と権限を持つユーザーです。データ所有者は、データが正確かつ安全に新しいシステムに転送され、データの損失、破損、または不整合が回避されるように、データ変換ツールの使用方法についてトレーニングを受ける必要があります。ただし、システム実装のトレーニングが必要なユーザーはデータ所有者だけではありませんし、トレーニングが必要なツールはデータ変換ツールだけではありません34。
実装後の教訓抽出演習が実施されなかったことは、システム開発および実装プロセスにおける継続的な改善や学習文化の欠如を示している可能性はあるものの、最も懸念される問題ではありません。実装後の教訓抽出演習とは、システム実装プロジェクトの完了後に行われる会議またはセッションであり、プロジェクトチームと関係者がプロジェクトの成功と失敗について話し合い、文書化するとともに、将来のプロジェクトのためのベストプラクティスや改善点を特定します。実装後の教訓抽出演習は、プロジェクトチームと関係者のプロジェクト管理スキル、知識、パフォーマンスを向上させるとともに、将来のプロジェクトで同じ間違いや問題を繰り返さないようにするのに役立ちます56。
システム導入が請負業者によって日常的に行われていることは、システム実装プロセスにいくつかの課題やリスクをもたらす可能性はあるものの、最も懸念される問題ではありません。システム導入は、システム開発ライフサイクル (SDLC) の最終段階であり、システムがターゲット環境にインストールおよび構成され、エンドユーザーが使用できるようになります。システム導入は、リソースの可用性、専門知識、コストに応じて、社内スタッフまたは外部請負業者によって実行できます。請負業者によるシステム導入は、社内スタッフよりも迅速な納品、低コスト、高品質などの利点があります。ただし、請負業者によるシステム導入は、システム実装プロセスにおける制御の喪失、依存性、セキュリティ侵害などのリスクももたらす可能性があります。