IT監査資料集

ガイド2：組織の成功に不可欠な変更・パッチ管理のコントロール

＜＜ 一覧に戻る

概要

ビジネスプロセスのアウトソーシング、ERP（企業資源計画Enterprise Resource Planning)実施における失敗、サーベンスオクスレー法404条等の法的要求への変更の影響を受けて、IIAはIT変更とパッチ管理のガイダンスが早急に必要であると判断した。「組織の成功に不可欠な変更・パッチ管理のコントロール」はGTAGシリーズの第2編である。なぜIIAはこの題材についてガイダンスを配布することにしたのだろうか？

この書籍にはガバナンス・プロセスに携わる者にとってますます問題となっている、リスクマネジメントに関する内容が書かれている。情報セキュリティ、IT変更の管理といった内容は、もしその運用に失敗した場合、組織全体にダメージを与え、オペレーションを中断させるといった意味でも最も基本的なプロセスである。この組織全体への影響は、監査委員会、ひいては最高経営者に変更管理への関心を持たせるものである。

このガイダンスの目的は、IT変更とパッチ管理が組織の成功にいかに効果的、効率的に貢献するか伝えることである。対象者としてはCAE（内部監査部門長）またはそれと同等の者、またその部下としている。監査の役割はリスクを評価し、組織にアシュアランスを提供することを要求するので、監査人は情報システムとその他のIT資産への変更が業務執行にもたらす潜在的な影響を無視できない。何より重要なことには、このガイダンスは管理変更のリスクとコントロールに関して、経営陣からの相談に乗る際、また組織が継続的に変更される法的要求を遵守しようとする際の助けとなる、重要な知識を提供するのである。

ページTOP