IT全般統制、外部監査などの言葉を聞いたことはありますか?
私は運用業務に就くまでは、全く知らない言葉でした。
この記事では、保守運用業務を5年以上経験して分かった「すべきこと」「注意する点」について記載します。
難しい言葉だけでは理解も困難ですので、私が実施した具体的な対応も例として記載しています。
はじめに
扱っている情報や、会社の規模、データの重要性などで外部監査があるかどうか、また、何をすべきかは変わります。
ここでは、私が実際に行っていた内容を記載しますが、業務によって違う対応になる可能性がある事はご了承ください。
自信が担当している業務で外部監査の対応がある場合は、事前に残しておくべき情報や、外部監査のための手順書の熟読をすることをお勧めします。
外部監査とは
一言でいうと、ちゃんとルール通りに運用されていることを社外の方がチェックをすることです。
当然のことだと思いますが、ルールは明確になっているか(承認された方針手順書があるか)、承認者は適切か等、意外と細かく見られます。
保守運用業務と関係は
手順書に沿った運用をしているかチェックされるため、保守運用業務と関係がある
保守運用しているシステムが監査対象のシステムである場合は、普段の保守運用業務がチェックされると考えて良いと思います。
当然、そのシステムに対するアプリ開発やアプリ運用を対象とした監査も別であるはずです。
外部監査では何をチェックするの
社内で正式に承認された手順書に従った運用が行われていることを確認されます
チェックされるのは分かったけど、実際、何に注意すればいいの?と思われるかもしれません。
答えは単純で、手順書に記載されている内容に沿った運用ができていれば大丈夫です。
ただ、手順書は承認された正式にリリースされたものが必要です。
この手順書も外部監査に提出される資料になると思います。
外部監査のために提出する資料
障害(インシデント)、変更、承認証跡など、手順書に明記されている資料
手順書に記載されている資料の提出を要求されます。
「承認を得て」等の記載がある場合は、承認証跡が必要になりますし、「履歴は保管しておく」等の記載がある場合は、過去の履歴が必要になります。
承認証跡は、どのような運用を行っているかにもよりますが、メールで承認を取っている場合は、そのメール自体が必要になります。
また、インシデントチケットや変更チケット自体を提出する場合もあります。
具体的な提出資料
もう少し具体的な例をあげると、以下の様な内容になります。
- インシデントリスト
- インシデントクローズの承認証跡
- インシデントの詳細
- 体制図(承認した人が適切かを判断)
基本的にはITSMツールで管理していると思いますので、そこからエクスポートするだけです。
体制図は別で準備しておく必要があると思います。
もう一つ例を挙げておきます。
特別なアプリケーションへログインするために、アカウントの払い出し方法を手順書に記載している場合。
「承認を得て申請書にてアカウントを払い出し。使用後はパスワードを変更」等の記載がされている場合です。
- アカウントを払い出す際の申請書
- 承認証跡
- 体制図(承認者が適切かを判断)
- パスワードの変更方法
- パスワードの変更履歴
一般的には特権ID管理と言われるものです。
こちらもツールを使用していれば資料を集めるのは楽だと思います。
ただ、ツールを使用している場合は、ツール自体の設定や操作ログを求められると思います。
もしも、Excel管理等をしていて、メールベースの申請受付等をしている場合は、申請書や申請メール自体が必要になります。
まとめ
もしも担当しているシステムで監査対応がある場合は、何を情報として保管しておくかを上長などに確認しておく必要があります。
申請書等の過去の資料が必要、と急に言われてもその情報を集めるだけでも時間がかかります。
監査にパスしないと、是正対応など作業が増えることも十分に考えられるため、外部監査の対応があり求められる資料も明確になっている場合は、日々の運用から情報を蓄積しておいた方がいいですよ。