techcat

techcat

CISA(公認情報システム監査)試験対策  12.職務分掌(SoD)

本Noteでは職務分掌(Segregation of Duties)について説明します。 職務分掌 職務分掌とは、従業員が担当する業務の内容、範囲、責任と権限を明確化することです。職務権限を異なる担当者に割り当てることで、過失や不正行為のリスクを未然に回避、低減させる効果があります。 職務分掌実行のプロセス 1.会社全体の組織図の作成 まずは会社の全体像を把握するために、会社全体の組織図を作成します。組織図を作ることによって、会社の中にどのような部署や役職があるかを

techcat

    • M&A時に売り手が買い手から聞かれるセキュリティに関する6つの質問

      M&Aにおいて、買い手にとっても売り手にとってもセキュリティは最も慎重に議論されるべき事柄の一つです。 ここで紹介するのは売り手が買い手から質問されるであろう重要な6つのポイントです。 1.管理しているデータの属性と漏洩リスク 売り手企業は、どのシステム、データ、業務プロセスが最も重要か、そしてどのような脆弱性を持っているかを伝える必要があります。 さらに、脆弱性に対してどのような対策を行っているのか、行う予定なのかを説明する必要があります。 2.セキュリティ統制と

      techcat

      • Googleが勧める企業売却の前にすべき15のセキュリティ対策

        本Noteは、2017年にニューヨークで開催されたオライリー主催のセキュリティカンファレンスでGoogleが発表した内容を元にしています。 1.セキュリティ文化 2.ベンダーのセキュリティ評価 3.アクセスコントロール 4.機密データの暗号化 5.パスワードや秘密鍵の管理 6.多要素認証(MFA) 7.IT資産管理 8.構成管理の自動化 9.パッチ管理 10.ハードニング 11.脆弱性診断 12.ネットワークセグメンテーション 13.セキュリティを考

        techcat

        • CISA(公認情報システム監査)試験対策  11.VMOSAフレームワーク

          本Noteでは以下のトピックについて説明します。 ・VMOSAフレームワーク VMOSAフレームワーク VMOSA(Vision, Mission, Objectives, Strategies, and Action Plans)とは企業の戦略的計画を策定する際に使われるフレームワークの一つです。 Vision ビジョンとは組織の求める姿(夢、目標)です。 簡潔でキャッチーなものにすると良いでしょう。 Mission ミッションとは組織がやるべきこと(使命)

          techcat

        • CISA(公認情報システム監査)試験対策  12.職務分掌(SoD)

          techcat

        • M&A時に売り手が買い手から聞かれるセキュリティに関する6つの質問

          techcat

        • Googleが勧める企業売却の前にすべき15のセキュリティ対策

          techcat

        • CISA(公認情報システム監査)試験対策  11.VMOSAフレームワーク

          techcat

        マガジン

        • CISA試験対策
          0本

        記事

          CISA(公認情報システム監査)試験対策  10.コーポレートガバナンス

          本Noteでは以下のトピックについて説明します。 ・ガバナンスとは ・コーポレートガバナンスとは ・コーポレートガバナンスの目的 ・バランススコアカード ガバナンスとは 広義のガバナンスとは組織や企業における管理やリーダーシップのためのあらゆるプロセスのこと。 コーポレートガバナンスとは 企業の不正行為の防止と競争力・収益力の向上を総合的にとらえ、長期的な企業価値の増大に向けた企業経営の仕組みのこと。 コーポレートガバナンスの目的 ・組織戦略 企業の目的

          techcat

          CISA(公認情報システム監査)試験対策  10.コーポレートガバナンス

          techcat

          CISA(公認情報システム監査)試験対策  9.発展型監査

          本Noteでは以下のトピックについて説明します。 ・標準的監査と発展型監査 ・統制自己評価 ・統制自己評価の実施プロセス ・統合監査 ・継続的監査 標準的監査と発展型監査 標準的監査では監査人が計画、証跡収集、意見の形成、監査報告書の提出をすべて監査人が実施します。 発展型監査は広範囲な従業員からリアルタイムな証跡収集、多角的な分析、アジャイル的改善が特徴として挙げられます。 発展型監査では以下の3つの手法が使われます。 ・統制自己評価 ・統合監査 ・

          techcat

          CISA(公認情報システム監査)試験対策  9.発展型監査

          techcat

          CISA(公認情報システム監査)試験対策  8.コミュニケーションと監査結果の報告

          本Noteでは以下のトピックについて説明します。 ・事前コミュニケーション ・監査期間中のコミュニケーション ・監査期間中に行う統制または対策 ・監査終了前の意見交換 ・監査報告書の構成要素 ・フォローアップにおける注意事項 ・ケーススタディ(異議申し立て) あなたの実施した監査において、被監査部門の責任者が監査内容に対して不満を持っているようです。 最後の意見交換の際にその責任者はあなたの会社と監査内容について異議を申し立てました。 あなたはどのように対

          ¥100
          techcat

          CISA(公認情報システム監査)試験対策  8.コミュニケーションと監査結果の報告

          ¥100
          techcat

          CISA(公認情報システム監査)試験対策  7.サンプリングとその手法

          本Noteでは以下のトピックについて説明します。 ・サンプリングとは ・サンプリングリスクとは ・サンプリングの種類 ・属性サンプリングでの帰結手法 ・サンプリングプロセス ・コンピュータ利用監査技法 ・ケーススタディ                          (IT部門による不正データアクセスを監査する場合のサンプリング) あなたは監査対象企業のIT部門が会社のファイアウォールやインターネットフィルタリング設定を不正に変更し、機密データを不正に抜き出

          ¥100
          techcat

          CISA(公認情報システム監査)試験対策  7.サンプリングとその手法

          ¥100
          techcat

          CISA(公認情報システム監査)試験対策  6.監査証跡の収集

          本Noteでは以下のトピックについて説明します。 ・監査証跡とは ・ケーススタディ(監査証跡の収集) あなたはとある病院のIT監査をすることになりました。 ヒアリングの結果、HIPPAコンプライアンスに準拠するため、患者の個人情報を外部にメールで送る際に以下の内部統制があることを知りました。 ・内容を暗号化すること ・メールのタイトルに「Confidential」という文字を入れること ・いかなる例外も患者データの責任者の書面での承認が必要 メールシステムの管

          ¥100
          techcat

          CISA(公認情報システム監査)試験対策  6.監査証跡の収集

          ¥100
          techcat

          経営者が知るべき10のサイバー攻撃  (1~5)

          1.APT攻撃(Advanced Persistent Threats) APT攻撃とは、ある1つの攻撃方法を指すものではありません。 特定の攻撃対象に複数の高度な技術を利用して、継続的に攻撃をする行為です。 APT攻撃の特徴 ・高度な技術を使う ・複数の攻撃手法を使う ・複数システムを同時に標的にするコードを使う ・冗長化された侵入経路を構築する ・攻撃元の探知が難しい 一般的な実行プロセス 1.攻撃対象を特定する 2.協力者を探す 3.必要なツール

          techcat

          経営者が知るべき10のサイバー攻撃  (1~5)

          techcat

          CISA(公認情報システム監査)試験対策  5.監査の実施

          本Noteでは以下のトピックについて説明します。 ・監査人の独立性 ・監査の種類 ・監査実施の流れ ・監査人が考慮すべき2つの視点 ・ケーススタディ(監査計画) あなたはECサイトの監査計画を立てることになりました。 メインのシステムはパートナー会社によって開発、運用され、サーバーは外部のホスティング会社の環境に構築されています。 監査計画を立てるにあたり、あなたはまず何から始めますか? (答えは本文で確認できます)

          ¥100
          techcat

          CISA(公認情報システム監査)試験対策  5.監査の実施

          ¥100
          techcat

          CISA(公認情報システム監査)試験対策  4.リスクコントロール

          本Noteでは以下のトピックについて説明します。 ・コントロールとは ・コントロール目標 ・コントロールの種類 ・ケーススタディ(コントロールの分類) あなたは「Webアプリケーションに対する許可されていないアクセスを制限する」という内容の監査を実施することになりました。 事前のインタビューや調査から以下のコントロールポリシーが存在することが確認できました。 ・アクセスコントロールが定義されている。 ・サーバールームは24時間施錠し、CCTVで室内を監視し、不

          ¥100
          techcat

          CISA(公認情報システム監査)試験対策  4.リスクコントロール

          ¥100
          techcat

          CISA(公認情報システム監査)試験対策  3.リスクと監査の関係

          本Noteでは以下のトピックについて説明します。 ・リスクとは何か? ・リスクアセスメントと監査プロセス ・ケーススタディ(監査スコープについて) あなたはABC株式会社の内部監査を依頼されました。 最初の打ち合わせであなたは監査対象のシステム、業務プロセスのリストを受け取りました。 あなたは彼らにどのようにこのリストを作成したのか尋ねると、事業所の立地を元に監査対象をピックアップしたと答えました。 また、監査対象にはあなたの兄が従事している業務プロセスが含まれ

          ¥100
          techcat

          CISA(公認情報システム監査)試験対策  3.リスクと監査の関係

          ¥100
          techcat

          CISA(公認情報システム監査)試験対策  2.監査基準とガイドライン

          本Noteでは以下のトピックについて説明します。 ・ISACA職業倫理規定について ・情報システム監査および保証業務基準とガイドライン ・ケーススタディ(監査人の独立性について) あなたはあなたの所属する部署の監査をすることになりました。 監査の対象にはあなたの行っている業務も含まれます。 あなたの上司はあなたの業務知識とその部署に対する深い理解を評価し、あなたを監査人として推薦しました。 しかし、独立性、客観性を考えると一人で監査を実施してよいものか自信があり

          ¥100
          techcat

          CISA(公認情報システム監査)試験対策  2.監査基準とガイドライン

          ¥100
          techcat

          CISA(公認情報システム監査)試験対策  1.監査の基本

          本Noteでは以下のトピックについて説明します。 ・情報システム監査とは ・情報システム(IS)と情報技術(IT)の違い ・監査規程とは ・監査対象領域とは ・監査人の責務 ・ケーススタディ あなたはABC株式会社とXYZ株式会社の合併に際して情報システム監査を担当することになりました。 合併に先立ち、両社の監査体制を統合する必要があります。 両社の経営陣に対してあなたが最初に提示すべき提案はどのようなものでしょうか? (答えは本文で確認できます)

          ¥100
          techcat

          CISA(公認情報システム監査)試験対策  1.監査の基本

          ¥100
          techcat