〇論文設計テンプレート
太字:問題文抜粋箇所
1. システム開発を海外拠点で行っている背景、目的及び実施状況
1.1 システム開発を海外拠点で行っている背景、目的
・グループ会社へ〇〇システムを提供しているSier
〇背景
グルーバル化の進展
プロパーに対し上流工程への参画を促し開発工程はアジア諸国へのオフショア開発を推進する方針
オフショア開発⇒国内の単価に対し安価である。(安価な労働力)
〇目的
将来的には開発工程は自社で行わず全てA社へ委託
1.2 海外のシステム開発の実施状況
・プロパー窓口となりA社の開発工程を管理(週次会議)
└開発環境の整備等も含む
2. 情報セキュリティ上の想定されるリスク及びコントロール
※海外拠点特有の状況を踏まえて記載
2.1 情報セキュリティ上の想定されるリスク
〇リスク
・文化
・商慣習
・従業員の労働条件
・法規制
・電力やネットワークなどの社会的インフラ
(1) 開発工程で使用するデータに顧客の個人情報が含まれている
(2) A社内における情報セキュリティに対する対策が杜撰
①担当プロジェクト以外のA社社員が入室可能
②担当プロジェクト以外のA社社員が開発システムへアクセス可能
③社員モラル低下による情報漏えい
2.2 情報セキュリティ上の想定されるコントロール
〇コントロール
(1) A社へ連携するデータ及び開発工程使用するデータのマスク処理
(2) ①カードキーの使用し担当者のみ入室可
②アクセス権の設定、操作ログ取得
③情報セキュリティ教育の実施
3. 情報セキュリティ監査を効率よく、効果的に実施するための留意事項
※採点講評:監査手続の記述は不要
3.1 情報セキュリティ監査を効率よく実施するための留意事項
(1) データマスク処理結果票を作成しルールに基づいた対象範囲を予め定めることとした。
(2) ①入退室ログを当社で取得し個人を特定することとした。
②監査ツールを使用しアクセスログから利用者の不正な操作を特定
⇒監査コストの低減
③e-ラニングシステムを活用し効率的に実施
3.2 情報セキュリティ監査を効果的に実施するための留意事項
(1) 顧客の個人情報を含むデータの一覧を作成し抜けや漏れがないかどうか当社でチェック
(2) ①入退室ログの妥当性を判断するため監視カメラの設置
(共連れ防止)
②監査ツールを使用した結果の妥当性を当社でもチェック
③未実施の受講者及び学習時間が一定時間未満の受講者の受講者の抽出
■用語
効率的:必要な作業に対し、使うことが少ないことを指すので、多くの場合は作業工数が少ないことやかけるコストが少ないことを指す。
(余分なことを減らす発想)
効果的:使った資源に対して監査の効果が大きいことを指すので、監査の結果が有効で今後の会社の経営に寄与しなくてはいけないことを指す。
(もっと多くできないかという発想)