IT統制で 外部監査組織からレストアの確認の件を求められましたが”ツッパネました”。

もちろんシステム構築時にはリストア作業もやって確認はしてあります。

正確にそれを実行しようとすれば、本番環境を壊してリストアして復元確認をせねばならず、もし失敗すれば取り返しがつきません。本番稼働後にはおいそれとはできません。

J-SOXのIT統制もどの程度のシステムを想定しているのかわかりませんが（というよりいろいろ想定しすぎてごっちゃになっていますね）パソコンサーバ程度の小規模ならともかく、汎用計算機クラスになれば本当のリストアなんてやってられないです（もちろん本当にそうなったときは仕方ありません、何日かかっても復元します）　

というようなことを説明して 外部監査組織からはOKをもらいました。

ただしバックアップ作業とリストア作業の詳細な手順書は作成してあり、システムの小変更ごとに更新（更新しないでもよいという確認も含めて）を”レビューしてレビュー記録”をつけています。

内部統制やJ-SOXやISO監査などには完全に対応しているつもりですが、

・リストアの本番テストはやっていない

・開発要員と運用要員の分離はやっていない（ただし違う人が開発要件認証や運用結果認証をしている）

はできていません。　当然ながら外部監査組織には事情と対策を説明してOKをもらっています。

＃＃＃余談ですが、ほかの会社に監査に行ったときにこの２点について聞いたら「出来ている」と回答したので聞いてみたら”まったくできていません”でした。　認識そのものが出来ていないので簡単に「できてます」なんて答えてきたのです。そこで徹底的に指摘してやりましたが、まぁ危機感というか認識度というかまったくダメだったです。　そのくせ「よそ様のシステム構築します」なんて言っているのであきれちゃいました。

なので「”情シス兼務”さんがリストアの確認は定期的にされていますでしょうか？」と疑問の思われたのは「さすがです」と言いたい。