スポンサーリンク

アクセス管理の落とし穴

ワークフロー


 IT統制では、「誰に情報をアクセスさせるか」というアクセス管理が重要です。


 新規の利用者は、ワークフローなどを使用してアクセス権を申請します。

 その時に、適切なコントロールができているでしょうか?

 アクセス管理には重要な2つの利害関係者が存在します。


 ひとつは、情報システム部門

 ひとつは、システムオーナー部門


 情報システム部門は、申請に対し、アクセス権の設定作業を行います。

 そのために必要な管理者権限を持ちます。


 システムオーナー部門は、システムや情報のオーナーであり、
 誰にアクセスさせるか決定権を持ちます


 新規利用者の申請に対し、まず、システムオーナー部門が承認し、

 その上で、情報システム部門がアクセス権の設定作業を行う。


 これが正しいコントロールです。


 ところが、ここで思わぬ落とし穴が。。。


 システムオーナー部門の承認を得ずに、
 情報システム部門がアクセス権を設定してしまうというリスクです。


 例え、ルールとして決まっていても、

 社内でシステムオーナーに対する周知が不十分であると、

 新規利用者が情報システム部門に直接、
 アクセス権の設定を依頼することがあります。

 特にシステムオーナー部門ではない、他部門からの依頼で。


 依頼を受けた情報システム部門が、
 システムオーナー部門に対する認識が低いと

 未承認でアクセス権を設定してしまう!


 情報システム部門はアクセス権を設定するために必要な管理者権限を持っており、

 設定作業はできてしまうので。。。


 理想的にはシステムオーナー部門管理者権限を持ち、
 アクセス権の設定作業を行う事でしょう。

 しかし、一方でほとんどの組織で
 アクセス権の設定作業は情報システム部門の仕事との認識があります。


 誰にアクセスさせるかの決定権者
 実際のアクセス権設定者異なるという点


 ここにアクセス管理の落とし穴があります。


 このような落とし穴への対策が、エビデンスを残すことです。


 システムオーナー部門承認が必須の申請書やワークフローを制度設計し、
 運用で承認の証跡を残す。


 IT統制では、やたらと証跡が求められ煩わしいと感じることもありますが、

 それは統制の落とし穴に陥らないためのリスクコントロールなのです。
  

 ルールだけ決めて、適切な制度設計をせず、

 電子メールなどでアクセス権の申請を受け付けたりしていると落とし穴に陥ります。
 

 *********************************************
 孫子の兵法 軍形篇
 善く兵を用うる者は、道を修めて法を保つ
 *********************************************

■120社1000人以上が受講!!

 経験と勘に頼ったレビューからの脱却!
 レビューを体系的に学び、成果につなげる!

研修『【リスク指向】超ドキュメントレビュー実践法』
実務ですぐに使えるチェックリストを使用した演習付き!

■便利な道具箱

自動でしゃべるパワーポイント(VBAマクロ)
 ノート欄のテキストを音声合成エンジンが読み上げ、画面も自動で切り替わるVBAマクロ!
音声を録音するよりとっても楽です。失敗して録音をやり直す手間もなく、部分的な変更も楽々です。

簡易日程計算(Excel/VBA)
 製品構成展開されたツリーデータを使用して、製品を期日までに組立完成させるために必要な日程を計算するExcel/VBA!

簡易原価積上げ計算(Excel/VBA)
 製品構成展開されたツリーデータを使用して、製品を構成する部材の原価を積上げ、製品原価を計算するExcel/VBA!

簡易所要量計算(Excel/VBA)
 製品構成展開されたツリーデータを使用して、製品を組み立てるために必要な部品の個数を
 計算するExcel/VBA! 

■間違いだらけのシステム構築(無料冊子ダウンロード)
 ~企業システムの強化書~
 https://www.kigyo-systems.com/books/book.html

メルマガ読者登録・配信中止



コメント

タイトルとURLをコピーしました