ITのSegregation of duty -OperatingとProgrammingとLibrary
IT における Segregation of duty。最低でも Computer systems に関連する以下の Function は分ける必要がある。
- Operating
- Programming
- Library
System を Manual から Computer に変更すると、ITによる Process の変化により、Manual 時での Duty が Segregate できない場合がある。
Information processing の Department は、他の Department と Separate させる必要がある。
さらに、不正をなくすために Information processing department の内部でも Segregation of duty を行う。Authorizeing、Designing、Modifying、Implementing を分離させる。
- System analyst
- Administrators
- Computer Operators
- Systems Programmers
- Applications Programmers
- Librarians
System analyst
システムアナリスト。Information system の分析や System の構築などを行う。
新しい System や Data processing の導入や変更に Responsibility をもつ。その際には、他の Department との Principal liaison(調整役) になり、Cost-benefit analyses(費用対効果)も考える。
- Application design
- Evaluating user requirements
- Specification development
また、Data processing の Application の Review や、System documentation の Maintain も行う。
System analyst は、Programing にはかかわらない。
Administrators
- Database administrators
- Network administrators
Database administrators
Database の管理者。Data dictionary の Documentation item の Add や Upgrade を行う。
データ流出を防ぐために、バックアップは別の人間が行う。
Network administrators
Network の管理者。Computer network の Hardware と Software の Maintaining に Responsibility をもつ。
Remote access の Managing の Responsibility も Network administrators がおう。
Computer operators
Data の Input を行う役割。Entry errors の修正も行う。Computer operations (Live data) に Access できる。
Computer operators correct detected data entry errors.
企業内の Help desk function の Responsibility をおう
Operator は、Computer system の Manual や Instructions に Access するべきではない。改ざんをふせぐ。
Systems programmers
System software の Program を書く人。Operating system software の Modify と Adapt も行う。Computer operations に Access できる。
Systems programmers modify and adapt operating system software.
Operating system と 言語を変換する Compile に Responsibility をもつ。
また、Operating systems の Upgrade の Installing も Systems programmers が Responsibility をおう。
System の Maintaining は行わない。
Applications programmers
Application software の Program の Developing に Responsibility をおう。Coding。
Approve された Code の Change(修正)も行う。
Applications programmers code approved changes to application software program.
Applications programmers は、Data の Entry は行わない。
また、完成した Program に、Programmers が Access できないように Control する必要がある。
Application development department
Librarians
Library をさわる人たち。
Library とは単体では機能しない補助的な Program の集まり。用途にあわえて他の Software などから呼び出されて動く。
Librarian は、この Library や Code の管理を行う。
Librarian maintain custody of the billing program code and its documentation.
Librarian は、データの管理を行うだけで、データの入力はしない。Librarian がデータの入力をしてしまうと改ざんリスクが生じる。そのため、Computer operations (Live data) には Access できない。
Programming 、Operation 、Library をわければ、Programmed controls を無視した Programs の Modify は防ぐことができる。
Library の種類。
- Production library
- Test library
- Source program library
Production library
実働ライブラリ。Program を動かす。
Librarian は Production library にアクセスする権限をもち、データの変更などを行う。Programmer や Operatorは Library にアクセスしない。
Source program library
SPL 。Computer programs の Source code の Library。
Source program library management system
SPLMS 。Programs の Storing 、Retrieving 、Deleting 、Program 変更の Document を行う。
Control group
Function の Supervising を行う。Internal audit function などが行う。
Input 、Operations 、Output の Distribution の Monitoring を実施する。Error report は Review する。
