質問
ISMAP管理基準2.2.4において、「個別管理策の内容が変更されている場合」として具体的に統制変更と想定されている事象はどのようなものでしょうか。
回答
「個別管理策の内容が変更されている場合」 とは、主に規程・手順書等、実装方法や運用方法の変更により、統制の実現方法に影響を及ぼすものが該当します。
・統制に関連する規程・手順書等の変更
・統制の実現方法の変更
(統制に影響を及ぼす構成変更や機能追加等に繋がる、設計書、仕様書、システム設定の変更等)
・統制の運用方法の変更
(統制に影響を及ぼす申請書、承認記録、システムログ、台帳等の管理・運用方法、実施頻度等の変更)
・管理する仕組みの変更
(手作業からシステムによる対応への変更、統制に影響を及ぼす管理ツールの変更等)
・管理策の非採用から採用への変更
なお、マネジメント基準における統制変更に関しても、基本的な考え方は前述の考え方と同様となります。例えば、統制変更の例としては、会社の合併等に伴い、マネジメントの方針、プロセス及び手順などが変わり、マネジメントプロセスに影響を及ぼす場合等が該当すると考えられます。
一方で、組織変更による管理者の変更、システムやリージョンの増加など、既存のマネジメントプロセス内での変更や、管理策基準における個別管理策の変更をもって、一律にマネジメント基準における統制変更とすることを求めるものではありません。
【参考】
上記に関わらず、規程、手順類や実装、運用に関わる資料において、誤字脱字・体裁の修正等、統制の実現方法への影響がないと明確に判断できる場合は、統制変更に該当しないと判断することも考えられます。
また、言明対象へのサービスやリージョンの追加などによって、言明対象範囲に変化が生じる場合についても、個別管理策ごとに統制変更が生じているかどうかに応じて対応を求めるものであり、一律全ての管理策について統制変更とすることを求めるものではありません。ただし、言明対象へのサービスやリージョンの追加などによって、関連する個別管理策に対して当該統制変更による影響が生じる可能性は考えられるため、自社の統制への影響を十分に確認することが求められます。
一方で、個別管理策の記載に変更がない場合でも、前述の統制変更に該当する場合には「統制変更」として取扱い、個別管理策の記載から統制の実施状況を客観的に確認できるように見直す必要がある点にも留意してください。