りそな銀行ビジネスパートナー
Trusted Global Innovator NTT DATA Group

コラム

サービス追加情報

一覧へ戻る

お役に立ちま専科2

リスク管理コンサルティング

実効的な情報セキュリティマネジメントシステムの構築と運用

           課長 松井 宏

(経緯)

今でこそ情報セキュリティマネジメトシステム(以下ISMSと称す)という言葉は一般的になりましたが、弊社は2002年に当時の情報管理のノウハウを結集して、全国5番目、関西では最初に「ISMS」の認証を取得しました。
その後、この制度は国際規格であるISO/IEC27001に移行し、今や情報セキュリティのスタンダードとして、情報サービス企業だけでなく、一般の企業においても認証の取得はごく普通になってきました。

(弊社の取組み・特徴)

ISMSでは情報資産のリスクを自ら評価し、必要な管理策を実施、定期的なチェックを行って運用・維持していくという、いわゆるPDCAをまわしていくことが重要であり、弊社では、これまでの数多くの経験を生かして、効率的で効果的なISMS構築をお手伝いしてきました。

(具体的な事例)

ISMSの構築に際し、事務局として、体制や文書の整備からスタートし、認証の取得、その後の維持活動を支援しており、「効率的、効果的」な特徴的実例として以下のようなものがあります。

  1. 推進体制については、既存のリスク管理体制などとの調整を行い、位置づけや責任者の役割を明確にする。
  2. ISMS固有の体制や運用に関する規定は必要に応じて文書化するが、具体的な実施内容(ISMSでは管理策と呼ぶ)については、規程類を補強・見直し、既存のルールや手順を生かすように配慮する。
  3. リスクを評価する情報資産は分類を工夫することで、無意味に細かくならない様にする。基本は「ある部門(持ち主)において、同じところにある、同じ種類の情報は同じ管理のレベルにあり、同じ程度のリスクとの評価ができる」という考え方にたっている。
  4. 目標設定を行い、決められた間隔で実施状況を評価し、管理策の効果を定量的につかめるようにする。

(振り返って)

ある程度のひながたはどこにもありますが、これらは今までの構築・運用の経験をもとに、その都度課題や状況に応じて対応してきたものです。
柔軟な発想で、効果的な対策を議論し、工夫することで、やっかいと思われることも、実行する人に無理なく受け入れられるものになります。自然にできるように考えること、これによって実効的なものにできると考えています。

金融業務コンサルティング

『厳しく、客観的に、フォロー重視の監査』

課長 村上 清司

(経緯)

金融機関様において、元帳再編プロジェクトが発足し、経営層からも安全にシステム移行ができるよう、外部の眼を通しての監査の指示があり、弊社ではプロジェクトの管理状況や開発並びに本番稼動に向けての準備状況などについて、第三者の立場からの監査を行う機会をいただき、予定通りに安全にシステム移行ができるよう監査を通じてフォローを行いました。

(弊社における監査の概要)

プロジェクト監査の特徴として、具体的には以下の点を重視して実施しました。金融機関様からも有効であったと評価を頂きました。

(1)提案型監査を実施し、予防監査手法を採用する

弊社の監査の進め方・考え方の評価にあたっては、

  1. 厳しく
  2. 客観的に
  3. フォロー重視(助言・提案中心)

を基本に監査を行っています。
特に③のフォロー重視とありますように、結果だけを見て不備を指摘するのではなく、被監査部署もいっしょになってプロジェクトの進捗・品質・期限などの遵守を確実なものにして行くための活動を行っています。
また、従来型の監査に見られるような結果監査に加え、『予防監査』手法も採用しています。

(2)自己評価方式を採用します

実施する監査のプロセスは、基本的に自己評価方式を採用しながら、以下のようなプロセスで行っています。

  1. 評価基準を明確にし、被監査部門と合意
  2. 評価シートによる被監査部門での自己評価
  3. 各種資料の分析、自己評価結果の分析、被監査部門へのヒアリング
  4. 上記の総合的な評価にもとづく意見書の作成

評価シートの作成にあたっては、金融庁の「システムリスク管理態勢チェックリスト」やFISCの「金融機関等のシステム監査指針」、日銀による「事例からみたコンピュータシステムリスク管理の具体策」などを考慮しながら、具体的な監査案件に沿った内容で評価基準を決定します。(評価シートの例は、図表1参照)

(図表1:評価シートの例)
(3)評価結果では、評価レベルを明示します

評価結果については、「大体問題がない」や「概ねうまくいっている」といったあいまいな評価はせず、評価結果をレべリング(図表2参照)することとしています。

(図表2:評価結果をレベリング)
(4)わかりやすい監査報告書を作成します

報告書には、よくシステム専門用語や3文字程度のアルファベットの略語で表記されたレポートをよく見かけますが、わかりやすいレポート作りを心がけ、監査報告書(意見書)などは、特に経営層の方が見てもわかりやすい内容で作成しています。

(振り返って)

監査にあたったメンバーは、全員が勘定系システム更改などの大型案件をはじめ、数多くのシステム開発経験とともに、それらの経験やノウハウから、例えば確認テストの観点などについての的確なアドバイスをすることもでき、お客様にも喜んでいただき、少なからずより安全なシステム移行に寄与できたと考えております。

一覧へ戻る
Back to top
サイトマップ プライバシーポリシー 利用規約

© 2020 DACS All rights reserved.