|
|
COBIT |
ISO27001 |
ISO20000 |
|
|
■計画と組織 |
|
|
|
|
戦略的IT計画の定義 |
4.2.1a)適用範囲 4.2.1b)ISMS基本方針 |
|
|
|
情報アーキテクチャの定義 |
4.2.1a)適用範囲 |
|
|
|
技術指針の決定 |
4.2.1a)適用範囲 |
|
|
|
IT組織の関係の定義 |
5.1 経営陣のコミットメント |
|
|
|
IT投資の管理 |
5.2.1 経営資源の提供 |
|
|
|
運用目標と指針の伝達 |
5.1 経営陣のコミットメント |
|
|
|
IT人的資源の管理 |
5.2.2 教育・訓練、認識及び力量 |
|
|
|
品質管理 |
※直接対応する項目見当たらず |
|
|
|
リスクの査定と管理 |
4.2.1c)〜 |
|
|
|
プロジェクト管理 |
4.2.2リスク対応計画 |
|
|
|
■取得とインプリメント |
|
|
|
|
自動化されたソリューションの検証 |
A.12.2.1 入力データの妥当性確認 A.12.2.2 内部処理の管理 A.12.2.3 メッセージの完全性 A.12.2.4 出力データの妥当性確認 |
|
|
|
アプリケーションソフトの調達・保守 |
A.10.3.2 システムの受け入れ A.12.5.3 パッケージソフトウエアの変更に対する制限 |
|
|
|
技術基盤の調達・保守 |
A.9.3.2 装置のセキュリティ |
|
|
|
プロセスの開発・保守 |
※直接対応する項目見当たらず |
|
|
|
IT資源の調達 |
※直接対応する項目見当たらず |
|
|
|
変更管理 |
A.10.1.1 変更管理 A.12.5.1 変更管理 |
|
|
|
ソリューションと変更の導入・認定 |
同上 |
|
|
|
■供給とサポート |
|
|
|
|
サービスレベルの定義と管理 |
A.12.1.1 情報セキュリティ要求事項の分析及び仕様化 |
|
|
|
サードパーティサービス管理 |
A.12.5.5 外部委託によるソフトウエア開発 |
|
|
|
性能やキャパシティの管理 |
A.10.3.1 容量・能力の管理 |
|
|
|
継続的サービスの保証 |
A.14 事業継続管理 |
|
|
|
システムセキュリティの保証 (*アクセス管理) |
※全体の目的そのもの (*A.11 アクセス制御) |
|
|
|
識別とコスト配賦 |
5.2.1 経営資源の提供 |
|
|
|
ユーザーの教育・訓練 |
5.2.2 教育・訓練、認識及び力量 A.8.2.2 情報セキュリティの意識向上、教育及び訓練 |
|
|
|
サービスデスクとインシデント管理 |
A.13 情報セキュリティインシデントの管理 |
|
|
|
構成管理 |
※直接対応する項目見当たらず |
|
|
|
問題管理 |
8.2 是正処置 A.13 情報セキュリティインシデントの管理 |
|
|
|
データ管理 |
A.12.4.2 システム試験データの保護 A.12.5.4 情報の漏洩 |
|
|
|
物理環境管理 |
A.9 物理的環境的セキュリティ |
|
|
|
運用管理 |
4.2.2 ISMSの導入及び運用 f) ISMSの運用を管理する |
|
|
|
■モニタと評価 |
|
|
|
|
ITパフォーマンスのモニタと評価 |
4.2.3 ISMSの監視及び見直し d)5)実施された管理策の有効性 |
|
|
|
内部統制のモニタと評価 |
A.15.3 情報システム鑑査に対する考慮事項 |
|
|
|
コンプライアンス遵守の保証 |
A.15 コンプライアンス A.15.1 法的要求事項の順守 A.15.2 セキュリティ方針及び標準の順守、ならびに技術的コンプライアンス |
|
|
|
ITガバナンスの提供 |
6 ISMSの内部鑑査 7 ISMSのマネジメントレビュー |
|
COBITの項目に対してISO27001で関連するものを拾った。保証策になっている訳ではない。具体的な手順に落とした時に共用できるチャンスはある。このことは、ISO20000を軸に関連するISO27001を拾った時と同じことです。
・ISO27001を軸に、ISO20000、JSOX(COBIT)を見る表
・ISO20000を軸に、ISO27001、JSOX(COBIT)を見る表
・JSOX(COBIT)を軸に、ISO20000、ISO27001を見る表
合計3通りの参照表が出来る。この表は文書化で重複・不整合を避ける時の手助けになる。更に、個々の文書類の一つ一つが規格のどの要求に対応して作成されているかを示すことが出来れば文書類のメンテナンス活動の手助けになる。
*なお、FXのITGSは@変更管理Aアクセス管理を重点に進める。これはCOBITの変更管理、システムのセキュリティの保証(シェードした箇所)に相当と思われる。
COBITはITプロセス全体を見ており、PDCAサイクルも大きく捉えているため、ISMSとの対応関係は比較的分かりやすい。
◆ 推進の障害(最初の課題)
経営者の意志がどの程度明確か。
1. 世間がやるからそろそろ
2. 他の部署が始めたから
JSOX法の要求
『正しい財務報告のためには、@業務AIT利用の両面で正しく管理されていることを監査(@業務統制監査AIT全般統制監査)を通じて確認し結果を監査報告として財務報告に添付しなければならない。』
ISMSの要求
『保有する情報資産についてリスクアセスメントを実施し、その結果に応じて適切なリスク対応を行ない、継続的に改善していくこと』
|
|
◇ IT全般統制 |
◇ ISMS |
|
対象 |
財務報告に影響するシステム(経理システムが中心) |
全てのシステムを含む全ての情報資産。 |
|
リスクアセスメント |
・財務データの確かさの保証の観点で、「完全性」に主眼を置いたリスク評価。 |
機密性・完全性・可用性(CIA)に対する脅威脆弱性の観点でリスク評価。方針にもよるが機密性が主眼になることが多い。 |
|
リスク対応(統制) |
・統制 |
・詳細管理策(基本133項目)・リスク対応計画 |
|
文書化 |
システム別の文書化(必ずしも全体の体系化には配慮しない)・説明文(管理策の記述を含む) ・プロセス ・リスク管理マトリクス(リスクと管理策の対応マトリクス) ・職務分離 |
マネジメントシステムとして体系化された文書 ・ISMSマニュアル/方針/適用宣言書 ・リスクアセス/リスク対応 ・コンプライアンス/事業継続/など ※プロセスフローチャート、職務分離表の作成自体は規格要求ではない。 |
|
監査 |
内部統制監査(会計監査の一環) |
ISMS監査 |
シナジーの考え方
1. ISMSは網羅的なアプローチであり適切に実施する限り、IT全般統制の要求はクリアできる。
2. IT全般統制は、特定の要求を満たすための管理策であり、その有効性の改善を図る手段としてISMSを適用することは有用である。
3. 手順として、@先ずコンプライアンス対応のIT全般統制対応を先行し管理策(統制)の具体化を図り、A次にISMSの枠組みで包み込むことで、結果的に矛盾の無い体系的なマネジメントシステムの構築が期待できる。