うんぼぼwiki - CISA - C2
  1. 情報システム監査委員会の役割は、情報システム部門が組織のミッションと目的に対して調和していることを保証することである。これを保証するために、委員会は情報システムがビジネス要件に貢献しているかどうかを判定しなければならない。
  2. 情報システム委員会が存在しない、または委員会が上級経営者により組織されていない状況は、情報技術が組織全体の戦略に一致しなくなるリスクを増大させる。
  3. 情報システム委員会は、主要な情報システムプロジェクトに関する一般的な調査委員会として機能し、定例的な運営に関係してはならない。
  4. 情報システム運営委員会の活動と決定を文章化するため、運営委員会の詳細な議事録を保持することは、重要であり取締役会に適時、知らされるべきである。
  5. 戦略計画の立案は、企業がその目標と目的に適合することを保証するための基礎をもたらす。その計画において確立された目標と目的が処理されるために上級管理者の関与は重要である。
  6. ITを効果的に統治するためには、IT計画が企業のeビジネスプランと整合性を持ち、ITとビジネスが同一の方向に向かう必要がある。
  7. 上級経営者層は、リスクの許容レベルを確立しなければならない。なぜならば、彼らが企業の効果的かつ効率的な運営に関する最高の、また最終的な責任を持っているからである。
  8. ITガバナンスは、第一には(取締役会に代表される)経営幹部ならびに株主の責務である。
  9. コントロールの観点から、職務記述書は遂行責任と説明責任を明らかにすべきである。このことはユーザーがあらかじめ定義した遂行責任に従ってシステムへのアクセスを与えられているということを保証することができる。
  10. 過去の経歴による選考は、将来の従業員の誠実性(インテグリティ)を確認するための第一の手段である。
  11. 辞めた従業員がアクセス権を悪用する可能性があるため、辞めた従業員の論理的アクセスを不能にするのは、最も重要な作業である。
  12. ITバランススコアカード(BSC)は、消決算以外のITパフォーマンス評価指標を監視するためのITビジネス・ガバナンス・ツールである。
  13. 通常の業務を行う以外の、センシティブな職務を遂行する要員に対しては、時には1週間またはそれ以上の休暇/休日が強制される。これは、不適切または非合法な行為を犯す機会を減少させ、この期間中に発生したいかなる不正行為の発見も可能にする。
  14. LAN管理者は、エンドユーザーの責務を果たすことはあってもプログラミングの責務を負ってはならない。
  15. 強力な技術的経験と幅広い管理業務の経験を持ち、長期間情報システム部門の従業員であったものが、情報システム監査部門の空席の職位に応募してきた。空席の職位に雇うか否かを決定するためには、本人の業務経験に加えて、既存の情報システムとの関係から独立的である情報システム監査人としての能力を根拠とすべきである。この評価は、個人的関係、財政的な関心、および前任の担当業務と責任の変化を要素として考慮すべきである。
  16. テレコミュニケーションのアナリストがシステム性能の監視とプログラム変更から生じた問題の追跡をすることは自己監視的なので、情報システム監査人が関与すべきである。
  17. ITバランススコアカードが導入される前に、主要業績評価指標が定義されている必要がある。
  18. 組織全体の目標実現への貢献を確実にするために、情報システム部門は、組織目標を達成するための対極的計画と整合した長期および短期の計画を持つべきである。
  19. 情報システムの短期(戦術的な)計画をレビューする際は、プロジェクトに情報システムおよび業務部門のスタッフが参画しているかを判定すべきである。
  20. 情報システム部門は、短期的にはどの資源が割り振られたかについて、特に注意を払うべきである。
  21. 組織の戦略計画にはビジネスの全体的な方向に焦点を当てようするとビジネス目的が含まれる。
  22. 情報システム戦略を評価する場合、組織のビジネス目的を支援していることを最も重視すべきである。
  23. 情報システム計画を評価するためには最初に、情報システム監査人自身がその組織の事業計画に精通することが必要である。
  24. 情報システム計画が経営戦略と合致しているかどうか見極めることは、情報システム/IT計画をビジネスプランに関連付けることになる。
  25. ボトムアップ・アプローチは、リスク評価の結果として導き出され実行されるようなオペレーションレベルの要求や方針を明確にすることによって始まる。会社レベルのポリシーは、その後で、既存のオペレーショナルポリシーの統合により整備される。
  26. 特定のシステムに対するアクセス権を与えるのは誰に責任があるかを定義する方針がない場合、実際には権限を持つべきでない人がシステムへのアクセスを得る(付与される)リスクが増大する。
  27. 情報技術セキュリティポリシーに関する情報システム監査は、第一に、ITや関連するセキュリティとコントロール方針が業務とITの目的を支援しているかどうかにフォーカスすべきである。
  28. 技術の進歩は、良い変更管理プロセスが導入され強化されることを必要とする。
  29. 全ての従業員が企業のセキュリティ・ポリシーを知っているとは言えないことを発見したとき、情報システム監査人は、従業員による意図しない機密情報の開示を招くかもしれない、との結論を得るべきである。
  30. 情報システムセキュリティ方針の策定に最終的に責任を負うのは取締役会である。
  31. ネットワーク侵入に対する有効な情報セキュリティ方針は応答プログラムである。
  32. 組織の情報システムセキュリティ方針にはアクセス権限付与の根拠が含まれるべきである。
  33. ファイやウォールポリシーを策定する際の最初のステップは、外部からアクセスされるネットワークアプリケーションの識別である。
  34. セキュリティ自覚プログラムには、定期的なトレーニングが含まれるべきである。
  35. セキュリティ・ポリシーを成功裡に導入、メンテナンスするに際して、枠組みと文書化された主旨を、全関係者で共有することが重要である。
  36. 組織のハードウェア上で作成された全ての電子メールは組織の所有物であり、電子メールポリシーはメッセージの保存について述べるべきである。
  37. コントロールの十分性を確かめることによって、最小基準レベルの定義を監査人は最初に評価すべきである。
  38. 組織がプライバシー上の課題を遵守しているかどうかを確認するために、情報システム監査人は法律と規制上の要件を最初に確認すべきである。
  39. ITコントロール目標は、特定のITアクティビティにコントロール手続きを導入した際に期待される成果や、達成されるべき目的を記述したものと定義される。
  40. 全社的情報セキュリティ・ポリシー宣言は、適切なセキュリティに向けた経営者層の意図と支援を反映したものであり、セキュリティプログラムの策定の始点を確立するものである。
  41. 会社が必要とするサービスが提供されることを保証するために外部委託したサービス・プロバイダーのパフォーマンスを監視することは、重要である。
  42. 情報システム監査人は、外部サービス会社の計画の妥当性を評価し自己の会社の補助的な計画の導入を援助するので、サービス会社の業務継続計画のコピーとレビューを要求することは妥当である。
  43. 知的財産の所有者は、著しいコストを負っており外部委託契約において定義される主要な側面である。
  44. 電子送金プロセスで、処理スキームが他の国に集約されている時には、法的準拠性の問題が起こる場合があり、その国でレビューする権利に影響することがある。
  45. 独立したサービス提供者(ISP)のサービスを情報システム部門が調達する際に、提案依頼書(RFP)は他の顧客による評価を含むべきである。
  46. 適切に保存する電子メール記録に関するポリシーにより、特定の電子メール記録へのアクセスや検索が、他の機密の電子メール記録を公開することなしに可能である。
  47. リスク管理プロセスでは、例えば許容リスクレベル等、セキュリティに関連した具体的な決定を行う。
  48. 情報システム監査人は、脆弱性を招く可能性のある資産を識別し、その上で、脅威および発生可能性を識別しなければならない。
  49. リスクは、適切なセキュリティおよびコントロールの実践によって軽減される。
  50. 保護されるべき(情報)資産の識別は、リスクマネジメント・プログラムの策定の中で最初のステップである。
  51. 金額的損失を見積もることが困難な場合の常套手段として、定性的アプローチが考えれらる。この場合、損害を被る部門の管理者は、金額的損失を重みつき尺度に置き換えて評価する。
  52. 十分なセキュリティ・コントロールがない場合、機密の情報やデータを、ハッカーによる被害・攻撃・不正アクセスにさらし、機密情報の損失ひいては組織の信用損失につながる脆弱性となる。
  53. 情報技術のパフォーマンス測定は、パフォーマンスを最大にして、製品やサービスを評価・管理し、説明責任を果たし、予算の意思決定をするために活用できる。
  54. (経営)戦略との整合性は、企業の(経営)課題からもたらされるセキュリティ要件のインプットとなる。
  55. 組織におけるITセキュリティの責任が明確に割り当てられ、施行され、かつITセキュリティリスクとインパクトの分析が継続的に行われている場合、それは「管理された、かつ測定可能な(レベル)」と言える。
  56. トップマネジメントが、ビジネスとテクノロジー間の課題の調整を行うことが、IT戦略の整合性のベストプラクティスである。
  57. 効果的なITガバナンスが必要とする(会社の)組織構造と業務処理を確立するには、IT戦略が組織の戦略と目的にまで及ぶことである。
  58. ITリスクを見積もるためには、脅威と脆弱性に関し質的または量的にリスク評価するアプローチが必要である。
  59. レビューは不適切な行動を検地する手段であり、また悪用を思いとどまらせる手段にもなる。なぜなら(悪用できるという)状況を利用しようと言う誘惑にかられる人間に、捕まるという可能性を気付かせるからである。
  60. 会社全体の方針を受け継いだ低レベルの方針により、トップダウンアプローチは組織全体にわたる首尾一貫性と他の方針との整合性の確立に役立つ。
  61. 交差訓練(クロストレーニング)は、特定のジョブや手続きを一人の個人ではなくより多くの人をかけて行う訓練である。
  62. 補完的コントロールは、権限が適切に分離できない可能性がある場合、すでに存在するリスクまたは潜在的なコントロールの弱点が発現しそうなものを減らす内部統制である。
  63. 個人を識別可能な情報が国境をまたいで流出することをプライバシー法が禁止しているため、他国に顧客情報を含むデータウェアハウスを置くことは不可能となる可能性がある。
  64. 外部委託業者のサービスレベルの改善とコスト最小化を図るには、契約条項にパフォーマンス実績によるボーナスを選ぶべきである。なぜなら外部委託業者には、節約を達成した割合やパフォーマンス実績によるボーナスにより、向上のための経済的インセンティブが働き、顧客にとってはコスト節減が図れるからである。
  65. 組織が情報セキュリティ機能をアウトソースする場合でも、組織内部にて会社のセキュリティポリシーに対する説明責任は保持する必要がある。
  66. ソーシャルエンジニアリングは、ユーザーがだまされることによって起こるので、その防止の最良の対応策はセキュリティを自覚させるプログラムである。
  67. セキュリティを自覚させるコンテンツの適切性は、定期的にレビューされ業界のベストプラクティスと比較されることによって最も良く評価することができる。
  68. ITガバナンス・プログラムの主要な目的は業務の支援であるため、組織の戦略を特定することはITとコーポレートガバナンスとの間の整合を確保するために必要である。
  69. ITバランススコアカード(BSC)は、顧客満足度、内部プロセス及び刷新する能力を評価する手法用いて従来の財務評価を補完することにより、IT目標と業務目標の間の橋渡しをする。
  70. データベース・アクティビティ・ログはデータベース管理者(DBA)が行う活動を記録するため、その削除はDBA以外の者がすべきである。
  71. リスクの低減とは、記述されたリスクに対処するためのコントロールの定義と導入を行う戦略である。
  72. 賢明でないパスワードの選択や、保護されていない通信回線上の送信は、脆弱性である。
  73. 情報システム監査人が、IT構造及び最近様々なプロバイダーに外部委託された活動のレビューを任命されている。この情報システム監査人はプロバイダーの契約上の保証が組織のビジネスニーズを支援していることを最初に決定すべきである。
  74. ITバランススコアシート(BSC)は、顧客満足度、内部プロセス及び刷新する能力を評価する手法を用いて従来の財務評価を補完することにより、IT目標と業務目標の橋渡しをするツールである。
  75. 組織の中核となる活動は、その組織が最もうまく行うことであるため、通常は外部委託すべきではない。
  76. 直接利益は通常、数量化可能な財務上の利益である。
  77. エンタープライズ・アーキテクチャ(EA)には、組織のIT資産とプロセスをIT投資の理解・管理・計画を促進するような構造化された方法で文書化することが含まれる。
  78. ITの戦略的計画、ITの任務とビジョンの明確な記載を含まなくてはならない。
  79. サービス提供者がサービスの一部を別のサービス提供者に外部委託した場合には、情報の機密性が損なわれる潜在的リスクがある。
  80. 職務記述書にセキュリティ責任を含めることはセキュリティ教育の一つの形であり、スタッフと管理者に情報セキュリティに関する自己の役割を認識させる補助となる。
  81. 契約上の要求事項は、情報資産の管理に対する要求事項を特定するために参照すべき情報源の一つである。