1.The IS Audit Process
情報システム監査基準、ガイドライン、及びベスト・プラクティスに準拠した情報システム監査サービスを提供することにより、組織体が、自らの IT 及びビジネスシステムについて保護、管理されていることを保証するよう支援する。
Tasks
■情報システム監査基準、ガイドライン、及びベスト・プラクティスに従い、組織体の情報システム監査戦略の
策定と実施を 行う。
■自らの IT 及びビジネスシステムについて、保護、管理されていることを保証すべく、具体的な監査計画を
立案する。
■計画された監査目的を達成すべく、情報システム監査基準、ガイドライン、及びベスト・プラクティスに従い、
監査を行う。
■ 新たな問題や潜在的なリスクおよび監査結果について、主要な利害関係者とコミュニケーションをはかる。
■組織体内部で実施されるリスク管理やコントロール実務について、独立性を維持しながらアドバイスを行う。
■情報システム監査基準、ガイドライン、及びベスト・プラクティスに従い、組織体の情報システム監査戦略の
策定と実施を 行う。
■自らの IT 及びビジネスシステムについて、保護、管理されていることを保証すべく、具体的な監査計画を
立案する。
■計画された監査目的を達成すべく、情報システム監査基準、ガイドライン、及びベスト・プラクティスに従い、
監査を行う。
■ 新たな問題や潜在的なリスクおよび監査結果について、主要な利害関係者とコミュニケーションをはかる。
■組織体内部で実施されるリスク管理やコントロール実務について、独立性を維持しながらアドバイスを行う。
2. Governance
ITに関するコーポレートガバナンス要件を満たす上で必要な、機構・方針・説明責任・仕組み・監視手法を有しているという保証を提供する。
Tasks
■組織体の戦略や目標を支援する IT に関する意思決定・指示・成果について十分且つ広範なコントロール
を保証するために、 ITガバナンス体制の有効性について評価する。
■ITの組織構造および人事管理制度が、組織体の戦略や目標を支援していることを(保証するために)評
価する。
■IT戦略およびその開発・承認・実施・保守のプロセスが、組織体の戦略や目標を支援しているかを(保証
するために ) 評価 する。
■組織体の IT 方針・基準・手続き、及び開発・承認・実施・保守のプロセスが、IT戦略を支援し、法令や
諸規制を遵守している かを ( 保証するために ) 評価する。
■管理実務が組織体の IT 戦略・方針・基準・手続きに準拠しているかを ( 保証するために ) 評価する。
■IT 資源の投資、使用、分配実務が組織体の戦略と目標と合致しているかを ( 保証するために ) 評価す
る。
■IT 契約戦略、方針、及び契約実務が組織体の戦略や目標を支援しているかを(保証するために)評価す
る。
■IT 関連のリスクが適切に管理されているかを ( 保証するために ) リスクマネジメント実務を評価する。
■取締役会および経営者が IT の成果についての十分且つ適時な情報を受け取っているかを保証するため
に監視や保証実 務を評価する。
■組織体の戦略や目標を支援する IT に関する意思決定・指示・成果について十分且つ広範なコントロール
を保証するために、 ITガバナンス体制の有効性について評価する。
■ITの組織構造および人事管理制度が、組織体の戦略や目標を支援していることを(保証するために)評
価する。
■IT戦略およびその開発・承認・実施・保守のプロセスが、組織体の戦略や目標を支援しているかを(保証
するために ) 評価 する。
■組織体の IT 方針・基準・手続き、及び開発・承認・実施・保守のプロセスが、IT戦略を支援し、法令や
諸規制を遵守している かを ( 保証するために ) 評価する。
■管理実務が組織体の IT 戦略・方針・基準・手続きに準拠しているかを ( 保証するために ) 評価する。
■IT 資源の投資、使用、分配実務が組織体の戦略と目標と合致しているかを ( 保証するために ) 評価す
る。
■IT 契約戦略、方針、及び契約実務が組織体の戦略や目標を支援しているかを(保証するために)評価す
る。
■IT 関連のリスクが適切に管理されているかを ( 保証するために ) リスクマネジメント実務を評価する。
■取締役会および経営者が IT の成果についての十分且つ適時な情報を受け取っているかを保証するため
に監視や保証実 務を評価する。
3.Systems and Infrastructure Life Cycle Management
システムおよびインフラストラクチャーの開発 / 購入・テスト・導入・保守・廃棄に関するマネジメント実務が、組織体の目標と 合致する保証を提供する。
Tasks
■提案されたシステム開発 / 購入に関するビジネスケースが組織体のビ ジネス上の目標に合致しているかを
(保証するために)評価する。
■プロジェクトマネジメントのフレームワークやプロジェクトガバナンス実務が、組織体のリスクを管理しながら、費
用対効果 の高い方法でビジネス上の目標と合致しているかを ( 保証するために ) 評価する。
■プロジェクトが計画通り進行していることが文書によって適切に裏付けられ、ステータス・レポート(進捗管理
文書)が正確 であるということを保証するためにレビューを実施する。
■提案されたシステム及び/又 はインフラストラクチャーのコントロールの仕組みが、仕様の検討・開発/購入・
テストの期間中、 安全を確保し組織体の方針や他の要求事項を満たしていることを ( 保証するために )
評価する。
■成果物が組織体の目標と合致することを保証するために、システムおよび/またはインフラストラクチャーの開
発 / 購入・テス トプロセスを評価する。
■システム及び / 又インフラストラクチャーの導入、及び本番環境への移行が即座に実施できるか評価する
。
■システム及び / 又はインフラストラクチャーが組織体の目標に合致し、有効な内部統制に準拠しているかを
保証するために、 導入後のレビューを実施する。
■システム及び / 又はインフラストラクチャーが、継続的に組織体の目標に合致し、有効な内部統制に準拠
しているかを保証 するために、定期的なレビューを実施する。
■システム及び / 又はインフラストラクチャーの保守プロセスが、継続的に組織体の目標を支援し、有効な内
部統制に準拠し ているかを ( 保証するために ) 評価する。 ■システム及び / 又はインフラストラクチャーが
組織体の方針や手順に従ったプロセスによって廃棄されていることを ( 保証す るために ) 評価する。
■提案されたシステム開発 / 購入に関するビジネスケースが組織体のビ ジネス上の目標に合致しているかを
(保証するために)評価する。
■プロジェクトマネジメントのフレームワークやプロジェクトガバナンス実務が、組織体のリスクを管理しながら、費
用対効果 の高い方法でビジネス上の目標と合致しているかを ( 保証するために ) 評価する。
■プロジェクトが計画通り進行していることが文書によって適切に裏付けられ、ステータス・レポート(進捗管理
文書)が正確 であるということを保証するためにレビューを実施する。
■提案されたシステム及び/又 はインフラストラクチャーのコントロールの仕組みが、仕様の検討・開発/購入・
テストの期間中、 安全を確保し組織体の方針や他の要求事項を満たしていることを ( 保証するために )
評価する。
■成果物が組織体の目標と合致することを保証するために、システムおよび/またはインフラストラクチャーの開
発 / 購入・テス トプロセスを評価する。
■システム及び / 又インフラストラクチャーの導入、及び本番環境への移行が即座に実施できるか評価する
。
■システム及び / 又はインフラストラクチャーが組織体の目標に合致し、有効な内部統制に準拠しているかを
保証するために、 導入後のレビューを実施する。
■システム及び / 又はインフラストラクチャーが、継続的に組織体の目標に合致し、有効な内部統制に準拠
しているかを保証 するために、定期的なレビューを実施する。
■システム及び / 又はインフラストラクチャーの保守プロセスが、継続的に組織体の目標を支援し、有効な内
部統制に準拠し ているかを ( 保証するために ) 評価する。 ■システム及び / 又はインフラストラクチャーが
組織体の方針や手順に従ったプロセスによって廃棄されていることを ( 保証す るために ) 評価する。
4.IT Service Delivery and Support
ITサービス管理実務が、組織体の目標を達成するために必要なレベルのサービスを提供しているということを保証する。
Tasks
■内部及び外部のサービス業者からのサービスレベルが定義され管理されていることを保証するためにサービ
スレベル管 理を評価する。
■ITのサポート機能が効果的にビジネス目標と合致していることを保証するために運用管理を評価する。
■データベースのインテグリティと最適化を保証するためにデータベース管理実務を評価する。
■ITサービス機能が効果的にビジネス目標と合致していることを保証するために容量と成果測定ツール及び
技術の利用を 評価する。
■組織体の本番環境への変更が十分にコントロールされ、文書化されていることを保証するために変更、設
定、及び解除の 管理実務を評価する。
■偶発的な事故、問題、エラーが適時に記録、分析、及び解決されていることを確保するために事故問題
解決実務を保証す る。 ・ITインフラストラクチャー(ネットワーク要素、ハードウェア、システムソフトウェア等)
が組織体の目標を支援していることを 保証するためにITインフラ機能を評価する。
■内部及び外部のサービス業者からのサービスレベルが定義され管理されていることを保証するためにサービ
スレベル管 理を評価する。
■ITのサポート機能が効果的にビジネス目標と合致していることを保証するために運用管理を評価する。
■データベースのインテグリティと最適化を保証するためにデータベース管理実務を評価する。
■ITサービス機能が効果的にビジネス目標と合致していることを保証するために容量と成果測定ツール及び
技術の利用を 評価する。
■組織体の本番環境への変更が十分にコントロールされ、文書化されていることを保証するために変更、設
定、及び解除の 管理実務を評価する。
■偶発的な事故、問題、エラーが適時に記録、分析、及び解決されていることを確保するために事故問題
解決実務を保証す る。 ・ITインフラストラクチャー(ネットワーク要素、ハードウェア、システムソフトウェア等)
が組織体の目標を支援していることを 保証するためにITインフラ機能を評価する。
5.Protection of Information Assets
セキュリティのアーキテクチャー(方針、基準、手続き、及びコントロール等の基本設計概念)が情報資産の機密性、インテグリティ、可用性を確保していることを保証する。
Tasks
■情報資産の機密性、インテグリティ、可用性、及び権限のある者による利用を保証するために論理的アク
セスコントロール の設計、導入、及び監視を評価する。
■ネットワークと伝達情報の機密性、インテグリティ、可用性、及び権限のある者による利用を保証するために
ネットワーク・インフラストラクチャーのセキュリティを評価する。
■損失を予防もしくは最小化するために、環境コントロールの設計、導入、及び監視を評価する。
■情報資産が十分に保護されていることを保証するために物理的アクセスコントロールの設計、導入、及び
監視を評価する。
■機密情報資産の保存、回復、移送、及び廃棄に利用されるプロセス及び手続きを評価する。
■情報資産の機密性、インテグリティ、可用性、及び権限のある者による利用を保証するために論理的アク
セスコントロール の設計、導入、及び監視を評価する。
■ネットワークと伝達情報の機密性、インテグリティ、可用性、及び権限のある者による利用を保証するために
ネットワーク・インフラストラクチャーのセキュリティを評価する。
■損失を予防もしくは最小化するために、環境コントロールの設計、導入、及び監視を評価する。
■情報資産が十分に保護されていることを保証するために物理的アクセスコントロールの設計、導入、及び
監視を評価する。
■機密情報資産の保存、回復、移送、及び廃棄に利用されるプロセス及び手続きを評価する。
6.Business Continuity and Disaster Recovery
障害発生時に、事業継続及び障害回復プロセスが、ビジネスへの影響を最小化しながら適時にITサービスを再開することを確保することを保証する。
Tasks
■処理を再開するために必要な情報の可用性を保証するバックアップ及び復旧対策を評価する。
■災害時にIT処理能力を復活することが可能な組織体の障害回復計画を評価する。
■IT障害が発生した期間に重要なビジネスの運用が継続することを可能とすることを保証する組織体の事業
継続計画を評 価する。
■処理を再開するために必要な情報の可用性を保証するバックアップ及び復旧対策を評価する。
■災害時にIT処理能力を復活することが可能な組織体の障害回復計画を評価する。
■IT障害が発生した期間に重要なビジネスの運用が継続することを可能とすることを保証する組織体の事業
継続計画を評 価する。
