2012年08月02日

再投稿:ISACAの出しているペーパー(調査研究関係)のうち、Audit/Assurance Programに該当するもののリスト( #自分用メモ #cchanabomemo )

忙しくしておりますが元気に過ごしております。家族も元気です。本務校でも、今年度からゼミが復活したのでそれなりに模索しつつ活動しております。最近は、研究分野としてシステム監査人や情報セキュリティ人材のキャリアデザインをずっと追っかけておりますが、一方で、監査のあり方としての様々な点についても見ていく必要性を強く感じています。技術的・枠組み的に変動があれば、当然それを追っていく必要性がありますので。

以下は、単なる自分用のメモです。普段は、Twitter上でメモをとるのですが、ちょっと数が多いのでブログにリストアップしようかと考えた次第です。
(7/30にUPしたのですが、追記したので再度投稿しなおしました。)

ISACA(www.isaca.org)は、元がAuditの団体ですので、定期的に調査研究物にAudit/Assuranceに関するものが含まれていますが、2010年後半ぐらいから割と最近の技術的なものについてもかなり力を入れて発表しているようです。ちょっといくつか見ていたものもあったのですが、見落としていたものも多数あります。
自分の興味の範囲内で、取りまとめておこうかと思っています。
ちなみに、今回リストアップしているものは、Audit/Assurance Programのみです・・・。こういうのもあるよーってので、実現場で監査どうしようって思っている方はお使いになると良いかと思います。というか、どの程度まで使えるものなのか知りたいところです。。。
(ほとんどのものがwww.isaca.orgのID/PWがないと入手できないものばかりですのでご容赦を。。。)

次項有ISACA本部
IPv6 Security Audit/Assurance Program
Voice-over Internet Protocol (VoIP) Audit/Assurance Program
IPv6とかVoIPとかのも出してたとは知らなかったです・・・不勉強にもほどがありますね(反省)。

IT Risk Management Audit/Assurance Program
IT Strategic Management Audit/Assurance Program
IT Tactical Management Audit/Assurance Program
Information Security Management Audit/Assurance Program
Crisis Management Audit/Assurance Program
Outsourced IT Environments Audit/Assurance Program
Network Perimeter Security Audit/Assurance Program
Security Incident Management Audit/Assurance Program
Systems Development and Project Management Audit/Assurance Program
IT Continuity Planning Audit/Assurance Program
Identity Management Audit/Assurance Program
Generic Application Audit/Assurance Program
Change Management Audit/Assurance Program
このへんはまあ・・・。2009年発表のものとかもあるので、ちょっと現状と環境変化してるかなって気もしてます。でも、変更管理とかそのあたりはあんまり変わらないしねー。

Lotus Domino Server Audit/Assurance Program
Microsoft Exchange Server 2010 Audit/Assurance Program
Microsoft SharePoint 2010 Audit/Assurance Program
Microsoft Windows File Server Audit/Assurance Program
Microsoft SQL Server Database Audit/Assurance Program
Microsoft Internet Information Services (IIS) 7 Web Services Server Audit/Assurance Program
VMware Server Virtualization Audit/Assurance Program
Windows Active Directory Audit/Assurance Program
UNIX/LINUX Operating System Security Audit/Assurance Program
z/OS Security Audit/Assurance Program
このあたりはISACAらしくて面白いかなと。結構導入して監査やっている人に聞いてみたいところです・・・内容は斜め読みしかしてませんのであれですがw 結構レアな感じのものもあるのであれでそれww

Apache Web Services Server Audit/Assurance Program
MySQL Server Audit/Assurance Program
Webアプリケーションに関する内容としてはこのあたりはあまり監査視点でのドキュメントって少ないように思いますので、実際にどの程度参考にされているのか/参考足りえるのか、という意味ではどうなんだろうという関心の持ち方をしてます。

Social Media Audit/Assurance Program
Mobile Computing Security Audit/Assurance Program
Cloud Computing Management Audit/Assurance Program
ソーシャルメディア、モバイル、クラウド…このあたりは2010年ぐらいからぐぐって出てきましたね。

準拠しているのはCOBIT4.1です。5の準拠ではないです。
中見ればわかりますが、基本的にはプロセスに伴うリスクがどうなっているのかという簡単な解説と、それから監査の視点からCOBITのどこを見ていけばいいかというクロスリファレンスが展開されてます。個々の細かい技術的なことまで言及されているわけではないかなと思います。おそらく、ある程度技術的に理解している人が監査でどのポイントを見ていけばいいかを概観するのに用いるには最適かなと思いましたです。

Security, Audit and Control Features Oracle E-Business Suite, 3rd Edition
Security, Audit and Control Features Oracle Database, 3rd Edition
Security, Audit and Control Features SAP ERP, 3rd Edition
ちょっと上のリストとは主旨がずれますが、このあたりは結構定番で、社会人学生の多い某大学院さんでも教科書指定してますよとか聞いたことあります。まあ、いわゆるベタなERP関係でのドキュメントって少ないからなーとも思いますが。監査とは関係ない分野の先生が使ってますよーなんておっしゃってたこともありますです。ふむ。

Audit/Assurance Programではないのですが、それ以前にも幾つか監査におけるCOBITとの結びつけ方を書いたりしたものが公表されてますがちょっと古いのでここにはリストアップしません。
上記のリストである程度代替できるんじゃないかと思うし。
こうやって上げてみると意外とマメに更新してんだなと思うですよw

------------以下、更に追記(2012.8.2 12:20)
ISACA東京支部の一斉配信メールで流れましたが、東京支部基準委員会から、IT Audit and Assurance Guidelinesの日本語版『IT監査・保証ガイドライン』が一ヶ月前の7/1に出されています。
日本語版ないんかーとかおっしゃる方はまずこちらをドゾー。
IT Audit and Assurance Guidelines(IT監査・保証ガイドライン)(PDFに直接リンクしてます)
posted by はなだせんせ at 06:54| 群馬 ☔| Comment(0) | TrackBack(0) | ISACA関係 | このブログの読者になる | 更新情報をチェックする
この記事へのコメント
コメントを書く
お名前: [必須入力]

メールアドレス:

ホームページアドレス:

コメント: [必須入力]

※ブログオーナーが承認したコメントのみ表示されます。
この記事へのトラックバックURL
http://blog.seesaa.jp/tb/284316478
※ブログオーナーが承認したトラックバックのみ表示されます。

この記事へのトラックバック
×

この広告は1年以上新しい記事の投稿がないブログに表示されております。