日時:平成13年9月15日(土) 時間:15:00〜17:00
場所:福岡市早良区百道2−2−1 早良市民センター 実習室
参加者:11名 |
|
|
[内容]
- 1.金融検査マニュアルの改正について(行武 郁博氏)
- −リスク管理態勢の確認検査用チェックリスト(共通編)及びシステムリスク管理態勢の確認検査用チェックリストの改正事項−
(1)改正の要点
- 用語の改正:従来の「内部検査」を「内部監査」という用語に統一した。原則として自店検査は含めない。
- 内部監査・内部監査部門の重要性の認識:内部監査・内部監査部門の経営上の重要性、及び整備すべき内部監査態勢、機能、規程の記述
- 内部監査の手法及び対象の明確化:手法は、リスクの種類や程度に応じて頻度及び深度等に配慮した効率的かつ実効性のある内部監査であること、対象は、金融機関の全業務および法令等に基づく連結対象子会社・持分法適用会社の業務等
- 内部監査部門と外部監査人との連携の重要性の認識:従来あまりうまくいっていなかった内部監査部門と外部監査人との協力、連携の重視
- インターネット取引管理:特に、インターネット取引における顧客の保護を重点的に記述
(2)リスク共通チェックリストの改正事項:例会で配布した資料。リスク管理態勢の確認検査用チェックリスト(共通編)の今回の新設項目、内容改正項目を抽出して記述したもの。
(3)システムリスクチェックリストの改正事項:例会で配布した資料。システムリスク管理態勢の確認検査用チェックリストの今回の新設項目、内容改正項目を抽出したもの。
(4)所感、問題点など
- 内部監査、内部監査部門の重視について
従来の内部検査が、規定の違反チェックを中心としたものであり、経営の中枢に関わるものとの認識が薄かった点は否めない。
経営における内部管理(リスク管理を含む)の重要性が改めて認識され、内部検査は内部監査に変更された。
内部監査は、内部管理態勢の適切性、有効性を検証するプロセスとされ、問題点の発見、指摘にとどまらず改善方法の提言までおこなうことなった。
ここで最も重要なことは、内部監査部門への優秀な、高度に専門性を備えた人材の投入であろう。
人材投入の開発指向から管理指向への大きな転換が必要となる。
また、適切な人材の配置の客観的な判断には、内部監査人が持っている専門分野についての適切な一定の資格があると思う。
- 監査対象
内部監査の対象は、金融機関の全ての業務のほか、連結対象子会社、持分法適用会社や外部委託業務についても及ぶこととなったが、内部監査の対象とできないものは業務所管部門の管理状況の監査といういはば間接的な監査となっている。
情報システム等の外部委託業務については管理者の設置やリスク管理態勢や業者の定期的評価等が挙げられているが、アウトソーシング等でシステムの殆どが外部へ委託されている場合を考慮すると、契約等により内部監査部門が直接監査を行うことができる態勢が望ましいのではないか。
- 監査の頻度、深度等
監査の頻度については、「原則年1回以上」、「3年に1回」が「定期的に」等回数を明示しない表現も採用されている。
「リスクの種類・程度に応じて頻度及び深度等に配慮した効率的かつ実効性のある監査」ということによる結果であり金融機関自らが決めるべき問題であるということであろうが、客観的な手がかりが薄くなった感じが否めない。
2.ISO/IEC15408の情報技術セキュリテイ評価基準関係の最近の動向(福田 啓二氏)
- (1)政府部門
情報処理振興事業協会(IPA)セキュリテイセンター
(URL= http://www.ipa.go.jp/security/)
公開されている規格書(日本語訳)
◇ITセキュリテイ評価基準(Common Criteira− CC)
Common Criteria for Information Technology Security Evaluation,Version
2.1 (August1999):日本語訳
『情報技術セキュリテイ評価のためのコモンクライテリア』
パート1:枕説と一般モデル(平成13年1月翻訳 第1.2版)
パート2:セキュリテイ機能要件(平成13年1月翻訳 第1.2版)
パート3:セキュリテイ保証要件(平成13年1月翻訳 第1.2版)
◇評価方法論(Common Evaluation Methodology− CEM)
Common Evaluation Methodology for Information Technology Security
Partl:Introduction and general model
[CEM−97/0171997/01/11,Ver0.6]
『情報技術セキュリテイのための共通評価方法論−パート1:概説と一般モデル(平成13年2月翻訳 第1.0版)』
Common Methodology for Information Technology Security Evaluation
Part2:Evaluation Methodology
[CEM−99/045 1999/08,Xerl.0]
『情報技術セキュリテイ評価のための共通方法論− パート2:評価方法論(平成13年2月翻訳 第1.0版)』
情報処理振興事業協会(IPA)セキュリテイセンター
電子政府向けシステムPPを公開 (2001年7月11日)
- 電子政府向け情報提供システムPP(2001/06Vl.0)[PDF形式:306KB]
- 電子政府向け電子申請システムPP(2001/06Vl.0)[PDF形式:433KB]
- 電子政府向け電子調達システムPP(2001/06Vl、0)〔PDF形式:523KB]
情報処理振興事業協会(IPA)セキュリテイセンター
「電子政府向けプロテクションプロファイル(PP)開発」の企募 採択侯補テーマ一覧(9件中)(2001年9月7日)
| No |
テーマ名 |
提案者名 |
| 1 |
PXIスマートカード |
日立ソフトウェアエンジニアリング株式会社 |
| 2 |
電子政府向け情報提供、電子申請、電子調達システムPP |
社団法人電子情報技術産業協会 |
| 3 |
電子政府向け電子認証サーバプロテクションプロファイル |
株式会社 日本総合研究所 |
| 4 |
多用途セキュアシステムLSTチップのPP |
電子商取引安全技術研究組合 |
|
- 経済産業省 ISO/IEC15408を活用した調達のガイドブックをバージョンアップ(1.04)。
http://www.meti.go.jp/policy/netsecurity/downloadfiles/CCguide_ver1_04.pdf
独立行政法人製品評価技術基盤機構 情報技術セキュリテイ評価機関認定プログラムを開始
電子政府において調達される情報技術(IT)製品/システム(以下IT製品等という。)について、国際規格に基づいたセキュリテイ評価されたものを利用することが推奨されています。
このため、平成13年度より経済産業省からの委託を受けて、独立行政法人製品評価技術基盤機構(以下、機構という。)は、IT製品等のセキュリテイ評価を行う評価機関の認定を行う情報技術セキュリテイ評価機関認定プログラム(以下、認定プログラム)を開始します。(2001年4月19日)
認定プログラムの概要
- 認定プログラムの目的
電子政府のための政府調達に係るIT製品等のITセキュリテイ評価を行う試験所(評価機関)の認定を行うことを目的とします。
- 認定対象分野
JIS]5070(ISO/IEC15408)及びCEM(共通評価手法)に基づくITセキュリテイ評価
- 審査基準
JISQ17025(ISO/IEC17025)
http://www.nite.go.jp/asse/its/
独立行政法人 製品評価技術基盤機構 生活・福祉技術センター
情報処理振興事業協会(IPA)セキュリテイセンター
ITセキュリテイ評価及び認証制度並びにST評価・確認業務に係るペンダ向け説明会を開催 2001年9月4日(東京)、9月6日(大阪)で開催
- (2)民間部門
|
|
| 以上 |
