JIS Q 27001:2014の管理策について-34
今回は、「12.7 情報システムの監査に対する考慮事項」です。
12.7 情報システムの監査に対する考慮事項
目的:運用システムに対する監査活動の影響を最小限にするため。
12.7.1 運用システムの検証を伴う監査要求事項及び監査活動は、業務プロセスの中断を最小限に抑えるために、慎重に計画し、合意する。
運用システムの監査による業務プロセスへの影響を最小限に抑えるため、次のような対策が必要となります。
- システム及びデータへのアクセスに関する監査要求事項は、適切な管理層の承認を得る。
- 技術監査における試験の範囲を、事前に確認し、管理する。
- 監査における試験は、読出し専用のアクセスに限定する。
- 監査における試験では、読出し専用以外のアクセスは、複製に対してだけ許可し、それらの複製は、監査が完了した時点で消去する。
- 監査における試験がシステムの可用性に影響する可能性がある場合、試験の実施は営業時間外とする
- 監査における試験を実施する際には、参照用の証跡を残すために、全てのアクセスを監視し、ログを収集する。
運用システムの監査は、業務に影響を与えないよう、細心の注意と綿密な計画を立て、必要最小限のアクセスとすべきです。
次回は、「13 通信のセキュリティ」の予定です。