経済産業省「システム監査基準」(http://www.meti.go.jp/policy/netsecurity/downloadfiles/system_kansa.pdf)、「システム管理基準」(http://www.meti.go.jp/policy/netsecurity/downloadfiles/system_kanri.pdf)(昭和60年1月告示、平成16年10月改訂)は、システム監査の目的を次のように示しています。
組織体の情報システムにまつわるリスクに対するコントロールが、
リスクアセスメントに基づいて適切に整備・運用されているかを、
(リスクアセスメント:リスク評価→「システム管理基準」)
独立かつ専門的な立場のシステム監査人が検証又は評価することによって、
保証を与えあるいは助言を行い、
(保証と助言の2つがあることに注意)
もってITガバナンスの実現に寄与することにある。
- システム監査基準
- 監査人が監査をするための基準です。監査人は被監査部門から独立していること、情報システムと監査に関する能力を持っていることなど、監査人に関する規程や、監査の方法、報告の方法などの基準が定められています。
- システム管理基準
- 監査の判断尺度として用いるべき基準で、経営戦略に沿って効果的な情報システム戦略を立案し、その戦略に基づき情報システムの企画・開発・運用・保守というライフサイクルの中で、効果的な情報システム投資、リスクコントロールを適切に整備・運用するための実践規範になっています。
システム管理基準の体系
- Ⅰ 情報戦略
1.全体最適化
2.組織体制
3.情報化投資
4.情報資産管理
5.事業継続計画
6.コンプライアンス
- Ⅱ 企画業務
1.開発計画
2.分析
3.調達
- Ⅲ 開発業務
1.開発手順
2.システム設計
3.プログラム設計
4.プログラミング
5.システムテスト・ユーザ受け入れテスト
6.移行
- Ⅳ 運用業務
1.運用管理ルール
2.運用管理
3.入力管理
4.データ管理
5.出力管理
6.ソフトウェア管理
7.ハードウェア管理
8.ネットワーク管理
9.構成管理
10.建物・関連設備管理
- Ⅴ 保守業務
1.保守手順
2.保守計画
3.保守の実施
4.保守の確認
5.移行
6.情報システムの廃棄
- Ⅵ 共通業務
1.ドキュメント管理
2.進捗管理
3.品質管理
4.人的資源管理
5.委託・受託
6.変更管理
7.災害対策