質問
ISMAP管理基準2.2.4において、「個別管理策の内容が変更されている場合」として具体的に統制変更と想定されている事象はどのようなものでしょうか。
回答
「個別管理策の内容が変更されている場合」 とは、主に規程・手順書等、実装方法や運用方法の変更により、統制の実現方法に影響を及ぼすものが該当します。
・統制に関連する規程・手順書等の変更
・統制の実現方法の変更
(統制に影響を及ぼす構成変更や機能追加等に繋がる、設計書、仕様書、システム設定の変更等)
・統制の運用方法の変更
(統制に影響を及ぼす申請書、承認記録、システムログ、台帳等の管理・運用方法、実施頻度等の変更)
・管理する仕組みの変更
(手作業からシステムによる対応への変更、統制に影響を及ぼす管理ツールの変更等)
・管理策の非採用から採用への変更
一方で、規程、手順類や実装、運用に関わる資料において、誤字脱字・体裁の修正等、統制の実現方法への影響がないと明確に判断できる場合は、統制変更に該当しないと判断することも考えられます。
また、個別管理策の記載に変更がない場合でも、前述の統制変更に該当する場合には「統制変更」として取扱い、個別管理策の記載を実施状況が客観的に確認できるように見直す必要がある点に留意してください。