「システム監査基準」及び「システム管理基準」の改訂 | 京都で働くコンサルタントのブログ
2018-05-01 06:30:25

「システム監査基準」及び「システム管理基準」の改訂

テーマ:情報セキュリティマネジメント

皆さん、こんにちは。
(株)マネジメント総研の小山です。 


経済産業省策定の「システム監査基準」及び「システム管理基準」が、2018年4月20日に改訂されました。

前回の改訂は2004年10月8日でしたので、実に10年超を経過しての改訂となりました。


「システム監査基準」とは何か?
「システム管理基準」とは何か?

一言で言えば、

「システム監査基準」は、システム監査を実施する監査人の
行為規範と監査手続の規則を規定したものであり、

「システム管理基準」は、
システム監査人の判断の尺度を規定したものです。


前回の改訂後、管理基準の内容であるITガバナンスや事業継続管理が国際規格化されるとともに、技術の進展に伴う新たな開発手法の発生等、社会状況の変化が生じ、基準の改訂が喫緊の課題となっていたことから、「システム監査に関する検討会」が開催され、改訂の検討が行われ、有識者やパブリックコメントにおける意見等を踏まえ、今回の改訂に至りました。


経済産業省のホームページでは、
(「システム監査基準」及び「システム管理基準」の改訂について)
http://www.meti.go.jp/policy/netsecurity/sys-kansa/h30kaitei.html
以下3点が改訂のポイントとして記載されています。

・従来の「システム管理基準」においても「ITガバナンス」の概念や
 「業務継続計画」について定めていたが、その公開後にそれぞれ
 「JIS Q 38500」や「JIS Q 22301」等の国際規格が成立したため、
 これらとの整合性をとるとともに、米国のITガバナンスの規格で
 国際的に影響力を有する「COBIT」等の内容も踏まえた見直しを行った。

・従来の「システム管理基準」では、企画、開発、運用及び保守
 という概念を前提としたウォーターフォール型のシステム開発を
 前提としていたが、短期間での反復した開発を行うアジャイル型の
 システム開発における取扱いについても管理策として含め、また、
 クラウドの利用等も念頭に置いた整理等の見直しを行った。

・従来の「システム監査基準」及び「システム管理基準」は、
 項目の詳細説明がなく、運用において、各項目の内容を解説した
 資料を参照することが必要となっていたため、今回の見直しにより、
 「システム監査基準」には“主旨”及び“解釈指針”を、
 「システム管理基準」には“主旨”及び“着眼点”を併せて記載する
 ことにより、基準の記載内容に基づく運用が行いやすくなるよう
 見直しを行った。また、「システム監査基準」において、
 実務への適用を踏まえて監査実施の流れに沿った構成の見直しを行った。



上記のページには、以下の資料(PDFファイル)が掲載されています。

・システム監査基準(平成30年4月20日改訂)
・システム管理基準(平成30年4月20日改訂)
・システム管理基準骨子(平成30年4月20日)
・情報セキュリティ管理基準参照表
・システム監査基準新旧対照表
・システム管理基準新旧対照表
・システム監査に関する検討会構成員名簿


ぜひ詳細をご確認ください。
 
 

 

 

 

株式会社マネジメント総研さんをフォロー

ブログの更新情報が受け取れて、アクセスが簡単になります

Ameba人気のブログ

Amebaトピックス