〇論文設計テンプレート
太字:問題文抜粋箇所
1. 情報セキュリティ関連規程の見直しの概要と影響を与えるIT資産の管理と利用
1.1 情報セキュリティ関連規程の見直しの概要と背景
〇見直しの概要
・営業部へ〇〇システムを提供しているユーザ系SIer
・インターネットを介してカード情報を処理している業務
└PCIDSS導入
└コーディング規程の見直し
〇見直しの背景
・新たな攻撃手法の出現
└最近は不正アクセスによるセンター攻撃の可能性が高くなってきており、情報システムセンターの防御体制や情報漏えいリスク管理体制について、一層の強化が求められる。
・社会環境の変化
・自社の情報システムの利用環境の変化
└グループ統合に伴う業務移管が生じシステムを再構築
1.2 影響を与えるIT資産の管理と利用
・ソフトウェア、(ネットワーク)
└カード情報の決済に係るソースコード
└運用部及び開発部(ベンダーN社)
2. 手続きの適切性を確かめるための監査手続きと留意すべき事項
2.1 関連規程見直しに関する手続きの適切性を確かめるための監査手続き
①見直しの手続きについて関連規程の中に見直しの規程がありその内容が適切であるか確認
②セキュリティリスクについての洗い出す手続きが規程されているか確認
③②を踏まえて新たな対応策が検討されているか確認
④実際の規程通りの手順で見直しの手続きが行われていたかを確認
└社会環境や自社の情報システムの利用環境の変化を踏まえて、新たなリスクが十分に洗い出されていること
2.2 留意すべき事項
⑤セキュリティ専門家や社外のセキュリティ関連会社の意見も取り入れていること
└セキュアコーディングスタンダードと比較
3. 関連規程を周知徹底するための計画及び周知徹底状況の適切性の監査手続きと留意すべき事項
・単に社員教育だけでなく、影響するIT資産・利用者の範囲、組織体制などを考慮した周知手続、進捗管理、適用上の問題解決などが重要
3.1 見直した関連規程を周知徹底するための計画の適切性を確かめるための監査手続及び
社員への周知(チラシ・説明会)
説明会の開催計画⇒周知されているかどうかを確認
〇留意すべき事項
開発担当者が関連PJで遵守しているかどうか
3.2 周知徹底状況の適切性を確かめるための監査手続き
・影響するIT資産、利用者の範囲、組織体制などを考慮した周知手続き、進捗管理、運用上の問題解決
社員へのインタビューと直近のコードを確認