去年３月に会社への親会社の内部監査指摘への対応に巻き込まれた。
このために職務分掌（Separation of Duties、SOD）の規定作成、施行。


また唯一の顧客のJ-SOXにも巻き込まれ、開発標準の改定を続けた。
意味のない改定、無意味な作業も多かった。


９月終わりには、情報セキュリティの監査にも巻き込まれて、
ユーザID管理、アクセスコントロール、着任・帰任検証作業などの指摘を受けた。



もう終わったと思っていたら、
今年は情報セキュリティのグループを担当することになった。


いろいろと調べていると、
内部監査などの指摘で、指摘のたびに管理規定を作っている。
対象、管理方法などに少しずつ相違があり、現場も混乱。
情報セキュリティとしての全体も捉えていない様子。


肝心のシステムで具備すべきセキュリティ標準も明確でない。


もっとヒドク、
組織的にもバラバラ、セキュリティポリシーもない。



提案を作成中。
・組織化
・セキュリティポリシー、計画などの立直し
・管理標準の再構築
・システムセキュリティ標準の再検討、実施
など。
この提案が通っても、ある程度出来上がるのは、来年初めか。


J-SOXなどもそうだが、管理面ばかりに目が行き、
現実的に実施可能な、有効なセキュリティ、内部統制が出来ていないように思われる。
大企業ほど、この傾向にあるようだ。