III 基準の構成
本基準は、一般基準、実施基準及び報告基準から構成しており、その内容は以下のとおりである。
(1) 一般基準(9項目)
一般基準は、システム監査において基本となる監査計画及びシステム監査人に求められる要件等の原則を定めている。
(2) 実施基準(191項目)
実施基準は、システム監査の対象である情報システムの企画、開発、運用及び保守業務並びに共通業務に対する監査項目を定めている。
(3) 報告基準(8項目)
報告基準は、システム監査の結果をとりまとめるに当たっての必要事項及び結果に基づく措置を定めている。
IV 実施基準の考え方
(1) 実施基準は、集中処理又は分散処理のいずれにも適用できる。
(2) 実施基準は、開発方法に依存することなく適用できる。
(3) 企画業務は、情報戦略からシステム分析・要求定義までを対象とする。
(4) 開発業務は、開発手順から移行までを対象とする。
(5) 運用業務は、情報システムの運用に係るソフトウェア、ハードウェア、ネットワーク、建物等の管理を対象とする。
(6) 保守業務は、ソフトウェアの変更に係る事項で、保守手順から旧情報システムの廃棄までを対象とする。
(7) 情報システムの大幅変更は、企画及び開発業務とする。
(8) 共通業務は、企画、開発、運用及び保守業務に共通するドキュメント管理、進捗管理、要員管理及び外部委託並びに災害対策から構成している。
(9) 企画、開発、運用及び保守業務の監査に当たっては、共通業務の基準についても考慮し、適用すること。なお、共通業務の基準は、単独で適用することができる。
(10) 実施基準は、組織体の実態に応じ適切に適用すること。
