情報システムのセキュリティコントロール
「予防・防止」、「検知」、「復旧・回復」のいずれかに分類される
予防・防止
- アクセス制御
- データの暗号化
- 入退出管理
- パッチの適用
検知
- アクセスログの記録
- コンピュータウィルスの常時検査
- システムの稼働状況の監視
復旧・回復
- 障害からの復旧
- 回復手順の明確化
- 不測事態への対応訓練
コンティンジェンシープラン
システムが抱える潜在的なリスクが現実化した際に、組織やシステムが被る損害を最小限にとどめ、速やかにその緊急事態の克服を図るための手続きが記述された対応計画
IT統制
ITを取り入れた情報システムに関する統制
目標:会計上の取引記録の正当性、完全性および正確性を確保すること
正当性
インテグリティ(Integrity、完全性)
記録した取引に漏れや重複がないこと
正確性
コントロールトータルチェック
入力された数値の合計と出力される数値の合計を都度照合することで、データ処理の完全性を高める機能
アクセスコントロール
参照可能な資源及び許可する操作を、利用者の属性ごとに適切に制御することで気密性を高める機能
エディットバリデーションチェック
ユーザにより入力された値が「範囲内におさまっているか」、「論理的に正しいか」、「決められたフォーマットになっているか」などをシステムが予定される形式であるかを確認することで入力値の正確性を高める機能
チェックデジット
下の符号から規則によって算出された数字を下の符号に付加することで、符号の入力誤りなどを検出する方法
