要約
「システム管理基準」「情報セキュリティ管理基準」を活用する企業に向けて、金融商品取引法で義務づけられた内部統制のうち「IT統制」への対応のための基準を新たに追加した。IT統制の定義から事例まで幅広く提供している。
特徴
・IT統制の概要及びIT統制の経営者評価を示した理論編、IT統制を例示したIT統制の導入ガイダンス(導入編)、統制目標の使い方やリスクコントロールマトリックス等の例を記述した付録から構成される。
・理論編では、IT統制の基本的な枠組み(IT統制の基本的概念やIT統制の評価ポイント等)を説明している。
・導入編では、全社的統制、全般統制、業務処理統制ごとにIT統制を例示し、IT統制項目ごとに「統制に関する指針」「統制目標の例」「統制の例と統制評価手続きの例」を示している。
・導入編は専門家の経験に基づく事例であり、各企業の状況や特性、リスク等に応じて、ガイダンス内容の取捨選択、また不足分の追加等を行い、企業ごとのIT統制を作り上げる必要がある。
公開元
http://www.meti.go.jp/policy/netsecurity/docs/isaudit/system_guidance_tuiho.pdf
(2014年9月)