質問

2008年10月14日 10時32分
  • 本番環境へのプログラムの登録権限

情シスのオープンナレッジ『Syszo』サービス終了のお知らせ

質問

IT全般統制の中で 監査員から
本番環境へのプログラムの登録権限は、必要最低限の適切な要員のみに付与されているか。また、その中に開発要員が含まれていないか
ということを言われたのです。
「プログラムの登録権限は、必要最低限の適切な要員のみに付与されているか」は理解できるのですが
「本番環境へのプログラムの登録権限は開発要員が含まれていない」というのはどうにも理解できなかったので質問したら「例えば プログラム開発員は本番環境が作れない様にして、運用員が本番環境を作るという体制」と言われました。
私のところでは人数の関係でとてもこのような体制は作れないので
「...適切な要員のみに付与されているがそれは開発要員にもなっている」という回答にして 「(それでも)有効!」という判定でしたのですが。

皆さんのところの 開発要員・運用要員の区別、本番環境作成者の定義 はどのようになさっているでしょうか?

1件の回答があります

回答

監査法人は、法人内で作成されたチェックリストに沿って質問していますのでこのような状況(コミュニケーションエラー)はある意味仕方無いことだと思っています。

企業によって、リソースやリスク認識の捉え方に大きな違いはあるのは当然ですので、リスクの大きさと、それに割けるリソースとのバランスは各企業のさじ加減だと思います。

私が情報を把握している小規模企業では、情報システムの人数が少なくどうしても開発員と運用員が分離できない場合には、
・本番環境を触る時には2名体制にする。(1人は監視者としてです)
・2名体制に出来ない場合には、運用の適正さを後日別の人間がシステムログにて確認する。(いわゆる発見的コントロールです。)
等で対応している場合が多いです。

監査法人のチェックリスト通りの運用が全てではなく、要は、リスクに対して適度なコントロールが効いているかが大事なのでコントロールの内容は企業の業種や規模等によって異なって当然だと思っています。

あなたもコメントしましょう!