http://www.nikkei.com/article/DGXBZO55222010Z10C13A5000000/

●情報システムやデータへの特別な権限の行使状況は把握できるか。
●特別な権限行使状況から不審な行動を見つけることができるか。
●特別な権限を行使するにあたっての認可やアクセス制御は適切か。
●特別な権限の行使ルールは守れているか。また、そのルールは実態に合っているか。
●セキュリティー責任者は情報システム部門と兼務になっていないか。

昔からかわらない。