タスク一覧



「セキュリティ領域」のタスク例

タスク大分類 「セキュリティ領域」で定義されているタスク例です。これらを参考にしながらタスクや役割を定義してください。
また、各タスクの詳細を参照する場合は、「評価項目を表示」ボタンをクリックしてください。
をクリックすると関連する研修・書籍・資格が検索できます。

タスク大分類 タスク中分類 タスク小分類
セキュリティ領域 IT戦略策定・実行推進>基本方針の策定 現状分析・環境分析評価項目を表示
IT基本方針の策定評価項目を表示

▼評価項目

中長期経営計画から導出される重点IT化領域について検討し、実現のためのIT基本方針を明らかにする

ITガバナンス要件、技術ロードマップ、IT戦略上の課題を踏まえて、組織全体の主要なIT方針を決定、更新する

ITポートフォリオ、IT方針が組織全体のガバナンスに準じていることを検証し、ガバナンスの承認を得る

IT基本方針が組織全体で理解されるよう、マネジメント層を活用して周知する

IT戦略策定・実行推進>IT化計画の策定 IT中期計画の作成評価項目を表示

▼評価項目

事業に関連する業務の流れ、主要データ、主要情報システムならびにIT技術動向を把握する

事業のIT化の課題解決の方向性を明らかにして、目指すべき事業とシステムの将来像を描く

システムの将来像に至るロードマップ(アプリケーションロードマップ)を作成し、実現のために必要なシステム基盤と関連事業への要求を整理する

システムの将来像実現の制約事項やリスクを踏まえたリソース(ヒト、モノ、カネ)を評価し、中期的投資原案を作成する

IT基盤戦略の策定評価項目を表示

▼評価項目

システム基盤のアーキテクチャ、技術フレームワーク、開発方式・技法に関する技術動向、他社動向を把握し、主要な技術ロードマップを整理する

最新のシステム基盤(共通基盤、個別システム基盤)とIT技術動向の調査・分析結果を踏まえて、目指すべきシステム基盤の将来像を描く

システム基盤の将来像に至るロードマップ(IT基盤戦略)を策定し、アプリケーションロードマップとの整合性を調整する

ロードマップ実現のための実行計画を、優先度や投資対効果を踏まえて洗い出す

IT基盤戦略の実現に向けた活動が進捗し、成果を出しているかを評価するための成果指標と目標値を設定する

事業部門のIT化計画の作成評価項目を表示

▼評価項目

事業戦略からITに繋がる要素を導き出し、重要性、緊急性を踏まえて重点施策を設定する

関係者から提示された個別の計画案を、事業戦略達成のバランス、リソース要件を踏まえて調整し、集約する

事業部門のIT化計画の成果と到達目標について、指標を設定し、目標レベルを設定する

IT基盤計画の作成評価項目を表示

▼評価項目

事業部門のIT化計画を踏まえて、IT基盤の開発・改善対象を識別し、優先順位をつけて計画案をまとめる

計画実施に必要な投資、体制、リスク(前提となる環境変化、費用算定単価等)に基づいて、必要なリソースを文書化する

計画案がIT基本方針に準じ、IT基盤戦略を推進するように調整する

計画案において、IT基盤戦略の目標到達や投資対効果を評価できる指標を設定し、目標レベルを設定する

全体計画の策定評価項目を表示

▼評価項目

事業部門のIT化計画とIT基盤計画を集約し、評価指標(戦略との整合性、個別優先度、全体最適等)に基づく評価基準をまとめる

全組織の統括レベルの戦略課題や事業横断案件を不整合なく全体計画に組み込む

全体計画を、中期、年度の両投資原案として精査し、IT化計画の確定案としてまとめる

必要な投資、体制、リスク(前提となる環境変化、費用算定単価等)に基づいて計画を取りまとめ、IT戦略(投資配分)を文書化する

決定機関の承認後、関係部門にIT戦略と共に確定した計画を周知する

IT戦略策定・実行推進>IT戦略実行マネジメント プログラム戦略マネジメント評価項目を表示

▼評価項目

プログラムの目的を達成するための問題解決の基本的な枠組みを定める

プログラムの重要な戦略要素を識別し、時間、基盤、コスト、資源、市場の評価軸を使ってプログラムのシナリオを選択する

プログラムの置かれた内部・外部環境を分析し、現実的な戦略を定める

プログラムリスクへの対応評価項目を表示

▼評価項目

プログラムを実行する複数のプロジェクト間で、優先順位や各種リソース(人、時間、予算等)配分等を調整する

計画からの逸脱および結果や問題に対して、是生処置または予防処置を立案して実行する

個別プロジェクトで期待価値が生み出されていない場合に、適切な手立てを取って、プロジェクトの建て直し、再編、停止等の措置を講じる

プログラムのミッションと実行状況に応じて、中途終結を含むプログラムの構造の変更の意思決定をする

システム企画立案>システム化計画の策定 サービスレベルと品質に対する基本方針の明確化評価項目を表示

▼評価項目

業務に求められるサービスレベル、ならびに達成状況を把握するタイミングを定義する

システムに求められるサービスレベル、ならびに達成状況を把握するタイミングを定義する

システムの品質に対する基本的な要件を定める

システムの品質保証体制に対する基本的な要件を定める

システム企画立案>業務・システム要件定義 システム要件の定義評価項目を表示

▼評価項目

システム化の対象となる人の作業およびシステム機能の実現範囲を定義する

ユーザのニーズや要望をもとに情報管理の観点、単位、形式等を分析する

他システムとの情報授受等のインタフェースを定義する

ユーザがシステムをどのような環境(システム、人の動き)で運用・保守するのかを確認し、運用要件を検討する

ユーザのニーズに適合した性能、可用性、キャパシティ、セキュリティ、ユーザビリティ等に関する要件を検討する

システム企画立案>情報セキュリティ要件定義 情報セキュリティ要件の定義評価項目を表示

▼評価項目

セキュリティポリシーやコンプライアンス、情報保証上の必要性を情報セキュリティ要件に反映させる

実装すべき情報セキュリティの要件(障害発生時の復旧時間の許容時間、データ復旧範囲等、障害対応に関する要件を含む)、実施レベル、考慮点等を明らかにする

各々の情報セキュリティ要件に対する実装方式を提示する

情報セキュリティ要件を実現するための費用を算出する

システムに存在する脆弱性について、その対策と緩和のための取り組みの方針を決定する(アプリケーションの可用性維持からパッチを適用しない場合の対策等を含む)

情報セキュリティ要件に関する制約事項を抽出する

情報セキュリティ規定の作成評価項目を表示

▼評価項目

セキュリティポリシーに基づき、企業活動のセキュリティ規定を作成する

セキュリティポリシーに基づき、情報システムのセキュリティ規定を作成する

経営層、情報セキュリティ関係担当役員、企画関係者にセキュリティ規定を説明し、承認を得る

情報セキュリティ計画の立案評価項目を表示

▼評価項目

情報セキュリティをベースにしたセキュリティ計画を策定する

セキュリティ計画の立案、およびセキュリティ計画を実行するにあたって発生する問題のソリューションを提案する

経営層、情報セキュリティ関係担当役員、企画関係者にセキュリティ計画を説明し、承認を得る

情報セキュリティ基準の策定評価項目を表示

▼評価項目

事業戦略、事業継続計画に基づき、各物理サイトの物理的保護レベルを定義する

セキュリティホール情報やセキュリティ勧告およびパッチの最新情報の分析に基づき、パッチ適用基準を策定する

従業員のソーシャルメディア使用に関するルールを策定する

アウトソース先のセキュリティ基準を策定する

電子データの信頼性を確保するために、第三者機関が発行する電子証明書と自組織が発行する電子証明書をそれぞれ利用する手続きを策定する

情報ネットワークのセキュリティ対策のためのガイダンス文書の発行管理を行う

システム要件定義・方式設計>システム化要件定義 要求事項の調査と分析評価項目を表示

▼評価項目

現行システムをシステム利用状況、ユーザビリティ、HW構成、SW構成、データ構成、運用管理等の視点で分析する

システム化要件を明らかにするために、対象範囲と連携する他機能・システムの把握すべき項目を設定し調査する

システム化要件を明らかにするために、対象範囲の把握すべき項目を設定し調査する

システム化で利用する予定の技術や製品について調査し、機能、制約、リスクを把握する

非機能要件の定義評価項目を表示

▼評価項目

可用性、性能・拡張性、運用・保守性、移行性、セキュリティ、システム環境・エコロジーに関する要求をシステムとして実現するための非機能要件として具体化する

非機能要件に対する実装方式を提示する

非機能要件を実現するための費用を算出する

非機能要件に関する制約事項を抽出する

システム要件定義・方式設計>セキュリティ要件定義 現状把握評価項目を表示

▼評価項目

組織のセキュリティポリシーを把握し、情報セキュリティに関する組織規程やルール、法令、ガイドラインの内容を確認する

当該システムの制約、前提条件、特性を明らかにする

セキュリティポリシーやシステムの制約、前提条件、特性に基づき、セキュリティリスク(システムの脆弱性、脅威等)の分析を行う

セキュリティ要件の定義評価項目を表示

▼評価項目

セキュリティリスクを回避するための認証、利用制限、データの秘匿、不正追跡・監視、ネットワーク対策、マルウェア対策、Web対策等の要件項目を明らかにする

各セキュリティ要件項目の具体的な要件と達成指標を定義する

決定したセキュリティ要件を実現するセキュリティ対策を定義し、文書化する

セキュリティ要件の評価評価項目を表示

▼評価項目

セキュリティ要件のセキュリティポリシーへの準拠性を評価する

当該システムにおける機能要件およびセキュリティ以外の非機能要件との一貫性を評価する

当該システムにおけるセキュリティ要件の実現可能性を評価する

当該システムにセキュリティ要件を実装した際の運用・保守の実現可能性を評価する

システム要件定義・方式設計>システム方式設計 適用製品・技術の評価と選定評価項目を表示

▼評価項目

システム方式設計に準じて、利用候補となる技術、製品の性能や適合性を評価する

システム方式設計に準じて、利用候補となるパッケージソフトウェアの機能や性能、適合性を評価する

システム方式設計に準じて、利用候補となるPaaS、IaaS等のシステム稼働環境の性能や適合性を評価する

利用する技術、製品、稼働環境等を選定し、その事由と実装リスク、前提条件を明らかにする

セキュリティの観点からの設計評価項目を表示

▼評価項目

評価項目は未定義

運用設計>システム運用設計 システム運用設計とレビュー評価項目を表示

▼評価項目

業務の組織、要員、運用体制、運用フロー等の業務運用に基づきシステム運用方式をまとめる

障害監視対象を明らかにし、システム監視方法を設計する

システム運用管理要件を踏まえ、システム監視方式を設計する

システム運用管理要件を踏まえ、バックアップ・リストア方式を設計する

災害発生を想定し、リスク分散や復旧の手順を設計する

運用手順書(定常時、障害時、保守、更新、構成変更)を作成し、レビューする

対象とするシステムの運用計画に、必要なセキュリティレベルを確保するために実施すべき情報セキュリティ対策を反映させる

運用設計>セキュリティ運用設計 通常時におけるセキュリティ運用の設計評価項目を表示

▼評価項目

評価項目は未定義

インシデント発生時におけるセキュリティ運用の設計評価項目を表示

▼評価項目

評価項目は未定義

基盤システム構築>基盤システム設計(共通) 全体設計(基本設計)評価項目を表示

▼評価項目

システム基盤の設計・構築の各工程で利用する技術標準や作成すべきドキュメントを決定する

システム基盤に対する機能要件、非機能要件、運用要件を満たす構成要素の組み合わせを検討し、基本モデルを選定する

システム基盤に起因するアプリケーション構築上の制約を提言する

基盤システム構築>基盤システム設計(情報セキュリティ) セキュリティの設計評価項目を表示

▼評価項目

セキュリティポリシーに則して、情報資産別にアクセス方法を設計する

ネットワーク上のデータの改ざんや攻撃、コンピュータウイルス等の脅威を抑止するための安全策を設計する

ネットワーク以外の攻撃等について、脅威を抑止するための安全策を設計する

セキュリティ監視の範囲および監視結果の情報の保管方法を決定する

実施するセキュリティ対策について、セキュリティアーキテクチャとの整合を図る

特に高度なセキュリティが求められる箇所について、形式手法等を用いて脆弱性が生じにくいソフトウェアの設計・開発を行う

新たな技術や技術改良についてのセキュリティプログラムの実装を識別する

情報保証の観点から、アプリケーション、システム、ネットワークについてのセキュリティ評価を実施し、その結果を文書化する

情報保証において、レビュー結果をもとにセキュリティ、回復力および信頼性に関する対策を提言する

情報セキュリティ要件をもとに、ソフトウェアおよびシステムが備えるべきセキュリティ機能に関するセキュリティ設計仕様書を文書化する

基盤システム構築>基盤システム構築・テスト(情報セキュリティ) セキュリティの実装評価項目を表示

▼評価項目

情報システムやネットワークの構成要素を識別し、それぞれの構成要素に対してセキュリティ製品を選択し導入する

セキュリティ設計を実装する適当なセキュリティ製品が存在しない場合、必要に応じて独自にソフトウェア開発を行う

セキュリティ設計仕様書に則ったセキュリティ対策を実装する

情報保証の観点から、不適切に実装されたアプリケーション、システム、ネットワークの修正のための取り組みを実施させ、その実施状況を確認する

テスト計画と実施評価項目を表示

▼評価項目

テストの要求事項と適用範囲を明らかにし、テスト仕様書を作成する

テストを実施し、機密性、完全性、可用性等の要件に適合を確認する

適切な手法やツールを用いて脆弱性の検査を行う

情報保証において、セキュリティ、回復力、信頼性の要件に関するシステムの適合性を測定、評価する

テスト結果を評価し、支障があった場合にはプロジェクト関係者と連携をとって対応を検討し、改善する

ISO/IEC 15408の定める手順に基づき、ソフトウェアおよびシステムのセキュリティ評価を行う

組込みソフトウェア開発>安全性テスト 安全性テストの準備評価項目を表示

▼評価項目

安全性要件仕様書に基づき、確認すべき安全機能の事項をリストアップしてテスト項目を作成する

安全性要件仕様書に基づき、システムの利用・運用方式に応じたテスト項目を作成する

システム異常時に利用者やシステム管理者が実施する事項をテスト項目として作成する

テスト結果の判定基準、評価基準を安全要件定義、安全度水準に準じて設定する

安全性テストの実施と評価評価項目を表示

▼評価項目

安全性テスト仕様書のテスト項目に準じたテスト状態を設定し、動作を確認する

安全性テスト仕様書に記載された合否判定基準に準じてテストの合否を判断し、不具合の原因箇所を特定する

解決された不具合の対応結果を、その影響範囲を見極めた上で検証する

テスト結果を取りまとめて、未解決の問題の有無や対応を明記したテスト報告書を作成する

セキュリティテスト>セキュリティテスト計画策定 セキュリティテスト計画の作成評価項目を表示

▼評価項目

当該システムのセキュリティ要件を踏まえてセキュリティテスト方針を定める

セキュリティテスト方針に基づくテストの対象範囲と実施環境を明らかにする

セキュリティ要件に基づくセキュリティテスト項目と合否判定基準を定める

テストの実施スケジュール、体制、実施環境を含むテスト計画書を作成する

セキュリティテストの準備評価項目を表示

▼評価項目

テスト結果として報告すべき内容(不適格と判定されたテスト項目について、発生条件、リスクの大きさ、実施すべき対策の明示等)をテスト実施要領として定める

テスト計画書およびテスト実施要領に基づき、テスト実施体制を決定する(社内体制の構築または外部機関の選定)

テストの実施に必要な環境や条件を明らかにする

セキュリティテスト>セキュリティテスト実施 セキュリティテストの実施評価項目を表示

▼評価項目

テスト計画書に基づき、テストの実施に必要な環境を準備する

テスト計画書およびテスト実施要領に基づくセキュリティテストを実施(または委託)する

テスト結果の報告を受け、テスト計画およびテスト実施要領に準じた内容であることを確認する

セキュリティテスト結果の対策実施評価項目を表示

▼評価項目

テスト結果を評価し、不適格と判定されたテスト項目への対策の必要可否を判断する

対策の内容(設計変更、システム運用方法の変更等)を定める

当該システムに施した対策に対する再テストを行い、判定結果に基づいた対策を定める

セキュリティテストの結果と対策の内容を関連文書(設計書、テスト仕様書、運用手順書等)に反映する

移行・導入(システムリリース)>受入れテスト 受入れテストの支援評価項目を表示

▼評価項目

必要な資源、スケジュール、評価基準、テスト手順等を盛り込んだ受入れテスト計画書のたたき台を作成する

ユーザから提供されたテストデータをもとに、受入テスト環境を準備する

ユーザがテストを行う際、システムの操作方法や既存システムとの違い等を説明しながらテストを支援する

テストの進行状況についての情報をユーザと共有し、ユーザの課題解決を支援する

セキュリティテスト>第三者によるシステムセキュリティの確認 第三者による確認に関する計画の作成評価項目を表示

▼評価項目

評価項目は未定義

第三者による確認の実施評価項目を表示

▼評価項目

評価項目は未定義

第三者による確認結果の検討及び反映評価項目を表示

▼評価項目

評価項目は未定義

プロジェクトマネジメント>プロジェクト計画策定 品質保証計画の策定評価項目を表示

▼評価項目

プロジェクトに求められる品質特性を理解し、品質方針と達成目標(品質基準)を定める

品質を作り込む手段としての開発プロセス、アーキテクチャ、基準、規約等を選択または決定する

品質保証のための組織構造、責任、プロセス、資源等を明らかにし、品質保証計画を策定する

品質リスクを明らかにする

リスク管理計画の策定評価項目を表示

▼評価項目

プロジェクトにかかわる主要なリスク(スケジュール、資源計画、組織・要員、調達、費用、品質)を想定する

リスクの発生確率や影響範囲を定量化する

リスクがプロジェクトに与える影響度を計り、対応の優先順位を決定し、対応策を立案する

リスク発生の予防策を計画し、詳細レベルタスクに組み込む

不測事態対応計画を策定する

リスク発生を監視、追跡し、コントロールするための管理表を作成する

プロジェクトマネジメント>プロジェクト追跡と実行管理 品質管理評価項目を表示

▼評価項目

定められた手順に沿って、品質管理を実施する

品質基準に満たない事象が識別された場合、対応策を講じる

プロジェクト全体の品質に大きな影響が予測される場合、品質保証計画を変更し、承認を受けて実施する

品質保証計画の変更に伴う改善状況を確認する

リスク管理評価項目を表示

▼評価項目

リスク管理対象のすべての要素に対して監視および追跡を継続する

計画されたすべてのリスク予防策を実施し、その効果を確認する

新たに識別したリスクへの予防策、発生時対応計画を策定し、実施する

リスクの発生に伴い、不測事態対応計画を実行して復旧状態を確認し、その過程を評価する

リスク発生に伴うすべての事項を文書化する

プロジェクトマネジメント>プロジェクト計画策定 プロジェクトについてのセキュリティ管理計画の策定評価項目を表示

▼評価項目

評価項目は未定義

要員についてのセキュリティ管理計画の策定評価項目を表示

▼評価項目

評価項目は未定義

サービスデスク>IT利活用 セキュリティ適合確認の実施評価項目を表示

▼評価項目

評価項目は未定義

サービスデスク>システム利用者対応 セキュリティ適合確認の実施評価項目を表示

▼評価項目

評価項目は未定義

サービスデスク>顧客統括管理 セキュリティ適合確認の実施評価項目を表示

▼評価項目

評価項目は未定義

IT運用コントロール>情報セキュリティ管理 情報セキュリティの運用評価項目を表示

▼評価項目

パッチ適用基準に基づくパッチのマネジメントを行う

従業員が発信する電子メールの内容確認、閲覧するサイトの管理、機器の持ち出し・持ち込み等の管理を行う

セキュリティ基準に基づき、アウトソース選定時および継続時におけるセキュリティ実施状況の有効性を検証する

第三者機関が発行する電子証明書を申請して入手し、その有効期限を管理し、期限切れになる前に更新手続きを行う

手続きやガイドラインがセキュリティポリシーに確実に適合しているかどうか、ポリシーに基づく標準と実装戦略を監視する

実行中のサービスからの要求を予測し、必要に応じてセキュリティ上の前提条件に関する評価を行う

組織内の関係者との連携のもとで、重要な業務機能を識別し、優先度を設定する

自組織で発行する電子証明書について、その発行業務を企画し、発行手続きを定める

自組織で発行する電子証明書について、その発行を管理し、それぞれの電子証明書の有効期限を管理し、期限切れになる前に更新手続きが必要なことを通知する

情報セキュリティの評価と検証評価項目を表示

▼評価項目

セキュリティを調査し、耐監査性、機密性、可用性、完全性等の観点から問題点を抽出する

セキュリティの安全性と有効性を検証する

情報保証において、アプリケーション、システム、ネットワークのリスクのレベルが許容範囲内であるかどうかを、観測結果をもとに継続的に検査する

情報保証の観点から、情報システムに関する保証と認定を維持するために必要な対策を講じて、それらの保証と認定を維持する

上位者または本部組織に対して、技術文書、インシデントレポート、検査結果、その他の観測情報を提供する

インシデント対応とコンピュータネットワーク防御に関して、外部組織と情報交換を行う

システム運用管理>変更管理 変更の評価評価項目を表示

▼評価項目

顧客の要件、コストの削減、性能の向上等、変更によって期待される効果が実現されていることを検証し、客観的な証拠を提示する

変更による意図しない影響を明確にし、フィードバックを行う

リスク・プロファイル、逸脱レポート、推奨事項、検定記述書からなる評価レポートを作成する

システム運用管理>リリース管理 妥当性確認とテスト評価項目を表示

▼評価項目

コンポーネントの最終的な品質確認のためのテストを行う

リリースにより提供されるサービスが、予定されているコスト、キャパシティ、制約の範囲内で期待されている成果と価値を提供することを確認する

リリースにより提供されるサービスが、あらかじめ合意されたサービスレベル、顧客の事業要件およびステークホルダの要件を満たすことを検証し、客観的な証拠を提示する

システム運用管理>セキュリティ障害管理 事故の検知評価項目を表示

▼評価項目

ログファイルを定期的にチェックし、セキュリティ事故を検知する

システムの整合性を定期的にチェックし、セキュリティ事故を検知する

自動ツールを駆使し、不正侵入を検知する

事故の初動処理評価項目を表示

▼評価項目

事故発生時の情報システム責任者や関係部門への連絡を定められた手続通りに行う

事故の影響の大きさと範囲を想定して処置の優先順位を付け、被害拡大を回避する処置を行う

事故に対する初動処理を記録し、報告する

事故の分析評価項目を表示

▼評価項目

事故の被害の範囲を識別する

セキュリティホール情報やセキュリティ勧告、パッチ情報の最新情報を得て事故の分析を行う

事故の原因を特定する

必要に応じてデジタルフォレンジックを行う

事故からの復旧評価項目を表示

▼評価項目

必要に応じてシステムの再編成を行う

事故に対する対処と復旧の経過を記録する

情報システム管理者およびユーザに事故からの復旧を通知する

再発防止策の実施評価項目を表示

▼評価項目

同じような事故に対する再発防止策を決定して実施する

事故の再発防止のために、必要に応じてシステムの再構築を行う

再発防止策に基づき、セキュリティの見直しを提言する

セキュリティの評価評価項目を表示

▼評価項目

侵入検査を行い、セキュリティポリシーの遵守状況を評価する

侵入検査を継続的に実施する

侵入検査で不備のある場合に対策を行う

セキュリティの評価情報に基づき、セキュリティの見直を提言する

システム運用管理>障害対応・保守支援 問題発生時のコントロール(問題・障害管理)評価項目を表示

▼評価項目

問題に対応する体制を確保し、解決まで維持・更新する

問題の識別、解決、回復処理までをコントロールする

活動の経過と結果を記録し、関係者に報告する

システム評価・改善>セキュリティの評価 セキュリティ計画に照らした評価評価項目を表示

▼評価項目

評価項目は未定義

評価結果を踏まえた改善の実施評価項目を表示

▼評価項目

評価項目は未定義

事業継続マネジメント>事業継続計画の策定 事業継続計画策定の準備評価項目を表示

▼評価項目

情報システムに関連した事業継続の対象範囲を把握する

情報システムに関連した事業継続の方針を立案し、組織体の責任者の承認を得る

情報システムに関連した事業継続におけるリスクを明らかにする

事業継続計画の作成のための情報システムおよび、それを支える内部・外部のリソースに関するガイダンスを提供する

対象事故・災害のリスク分析評価項目を表示

▼評価項目

すべての自然災害およびテロ等による破壊について、最大規模の被害を想定し、地理的、組織的、物理的視点から検証する

情報システムの停止や機能縮退によって被る損失を、影響を受ける業務をすべて網羅して分析する

情報システムの停止や機能縮退による組織体の損害および社会的損害を明らかにする

他組織の情報システムの停止や機能縮退による自組織の損害を明らかにする

災害、テロ等の発生時に求められる業務継続性、事業ニーズを明らかにし、関連部門および取引先等の同意を得る

事業継続計画の策定評価項目を表示

▼評価項目

物的影響や取引先の影響する業務の重要性、緊急性、影響範囲、他の業務との整合性、取引先への影響ならびに実現可能性を考慮して回復許容時間と回復優先順位を設定し、関連部門および取引先等の同意を得る

目的、範囲、実行体制、見直しのルール等、PDCAサイクルを含む事業継続計画を策定する

事業継続の方針と事業継続計画の整合性を検証する

事業継続計画を組織体の責任者に説明し、承認を得る

従業員に対する事業継続計画の教育訓練の方針を明らかにする

事業継続マネジメント>事業継続計画の運用 事業継続のためのリソースの確保評価項目を表示

▼評価項目

人的影響による業務停止、業務の縮退も考慮して人的資源の確保と配置を検討する

事業継続のための物的資源(機器、備品類、バックアップデータ、帳票類、非常用電源稼動用燃料、生活物資等を含む)および提供を受けるサービスの確保および入手ルートを整備する

災害、テロ等の発生時のコミュニケーション手段を整備する

事業継続のための財政措置を含む必要なリソースを確保する

事業継続のためのリソース確保時に発生した問題点を抽出し、事業継続計画に反映させる

事業継続マネジメント>事業継続計画の見直し 事業継続計画の見直し評価項目を表示

▼評価項目

事業継続計画見直しをルールに基づき実施する

事業継続計画見直しによる変更の理由を明らかにする

変更した事業継続計画を組織体の責任者に説明し、承認を得る

事業継続マネジメント>災害復旧計画の策定 災害復旧計画の策定評価項目を表示

▼評価項目

情報資産の評価結果とリスク分析結果を踏まえた災害時の対応計画を策定する

災害復旧計画において、バックアップ、代替処理、復旧対策、見直しのルール等を明らかにする

事業継続計画と災害復旧計画との整合性を検証する

災害復旧計画を組織体の責任者に説明し、承認を得る

災害復旧計画に基づく従業員に対する教育訓練の方針を明らかにする

災害復旧計画の実現可能性の検証評価項目を表示

▼評価項目

災害復旧計画の実現可能性を検証する計画を策定する

被害被災の程度に応じた検証を計画する

検証結果を記録し、災害復旧計画に反映させる

緊急時対応体制の確立評価項目を表示

▼評価項目

代替要員を必要とする作業を明らかにする

作業の優先順位を判断する

代替要員を確保するまでの臨時措置を検討する

交通経路、宿泊施設を検討する

従業員の避難場所を明らかにする

緊急連絡体制を策定し、従業員に周知する

事業継続マネジメント>災害復旧計画の見直し 災害復旧計画の見直し評価項目を表示

▼評価項目

災害復旧計画見直しのルールを明らかにする

災害復旧計画見直しによる変更の理由を明らかにする

変更した災害復旧計画を組織体の責任者に説明し、承認を得る

変更した災害復旧計画の検証を実施する

情報セキュリティマネジメント>情報セキュリティ戦略と方針の策定 基本戦略の策定評価項目を表示

▼評価項目

組織体の情報セキュリティ目標を定める

情報セキュリティ戦略を実施するにあたり、その実行体制を確立する

経営戦略に準じた組織全体の改善サイクルとなるようにエンタープライズアーキテクチャ(BA、DA、AA、TA)開発組織を統轄する

セキュリティ業務全体を見て、その業務の一部を委託をすべきなのかを判断、決定する

システムのセキュリティやリスクに関する技術動向調査を行い、その情報をIT戦略立案に活用する

CSIRTの方針を策定し、経営層、情報セキュリティ関係担当役員、企画関係者に説明し、承認を得る

CSIRTの体制を構築し、リソースを確保する

情報資産の評価評価項目を表示

▼評価項目

情報資産(システム、データ、人材、ドキュメント)を識別する

機密性、完全性、可用性の3つの側面から経営における重要度、致命度を評価し、整理する

整理、評価した情報資産について、経営層、情報セキュリティ関係担当役員、企画関係者に説明し、承認を得る

脅威とリスクの識別評価項目を表示

▼評価項目

現状の脅威に関する情報を網羅的に収集する

現状の脅威に関する情報を情報の改ざん、情報の漏洩、資源の浪費、資源の不正利用、人による過ち等の分類項目で整理する

情報資産に対する現状のリスク(システム廃棄を含む)を識別する

リスクの発生しうる場所および発生時期を整理する

リスクの原因を、物理的な要因、技術的な要因、人的な要因に分類し、整理する

リスクの評価評価項目を表示

▼評価項目

現状、リスクに対して対策がどの程度実施されているか調査し、その結果を整理する

整理されたリスクの発生確率を明らかにし、損害額を算定する

各リスクに対して、リスク軽減の対策とコストを算定する

リスクアセスメントで発見された残留リスクが許容可能か否かを評価する

各々のリスク対策にランク付けを行う

セキュリティポリシーの策定評価項目を表示

▼評価項目

セキュリティ対策への取り組みを経営方針に反映させる

セキュリティ対策の目的、適用範囲、達成レベル、対策基準の方針、情報セキュリティの責任者、経営者・従業員の遵守事項、組織または実施体制、運用、罰則、公開、見直しについて記述する

経営層、情報セキュリティ関係担当役員、企画関係者にセキュリティ方針と体制を説明し、承認を得る

情報セキュリティに関する法律やISO、JIS等の標準規格を踏まえて、ポリシー案およびその調整に関するレビューと承認を行う

組織のセキュリティ目標を実現するための情報セキュリティ戦略の代替案を分析する

情報セキュリティマネジメント>情報セキュリティの運用 情報セキュリティガバナンス評価項目を表示

▼評価項目

セキュアな運用と情報保全の維持に必要なリソースを確保する

リスクアセスメント、監査、検査を通じて識別された脆弱性に対して、適切な対策を講じる

セキュリティリスクの分析結果を、組織設計、職務分掌、業務プロセス定義等に反映させる

現場部門に情報セキュリティ戦略に対応したプロセスを実施させる

必要なセキュリティレベルを確保するために満足すべきセキュリティ対策に関する要件を、システムおよびサービスの調達要件に反映させる

セキュリティリスク、緩和策およびその他の技術リスクを扱うリスクガバナンスのプロセスに関与する

情報セキュリティ対策について、組織の目標の達成に向けて組織管理者と連携する

情報セキュリティ予算、要員、契約を主導・監督する

認定ないし保証されたセキュリティ対策の実施状況に関する最新の文書を入手し、利用する

組織内のさまざまな関係者と情報セキュリティ対策の在り方について意見交換する

予め緊急時の対応の権限を委任され、必要な対処を行う

組織で実施する検査、テスト、レビューを、ネットワーク環境に適した形で確実に実施させる

情報セキュリティのインシデント発生時にCSIRTを指揮し、情報を収集し、経営陣に報告する

情報セキュリティの周知と教育評価項目を表示

▼評価項目

情報セキュリティ戦略、セキュリティポリシーおよび遵守すべきガイドラインを協働者、アウトソース等を含む関係者に周知徹底する

役割別、階層別の情報セキュリティ教育を企画し、実施する

セキュリティインシデントがもたらす社会的影響を従業員に理解させる

情報セキュリティマネジメント>情報セキュリティの見直し 情報の収集と評価評価項目を表示

▼評価項目

セキュリティに関する法令の改正や社会通念の変化、コンプライアンス上の新たな課題等の情報を収集する

セキュリティホールやセキュリティ勧告およびパッチの最新情報を収集する

最新のセキュリティ技術情報を収集し、対象システムに適用できるかどうか評価する

運用上の問題点整理と分析評価項目を表示

▼評価項目

アンケートやヒアリングを行い、セキュリティポリシー実施上の問題点を収集、整理する

違反者の多いセキュリティ基準を収集、整理する

非遵守事項が情報セキュリティにどのような影響を及ぼすかを導き出す

整理された問題点について、セキュリティポリシー変更に対する分析を行い、ポリシーを見直す

事故の再発防止策の実施によってセキュリティポリシーの受ける影響を分析し、ポリシーを見直す

適切な緩和策を確実に実施するための監査指摘事項と勧告の追跡を行う

セキュリティ対策に関する改善策が確実に実施されていることを確認する

技術上の問題点整理と分析評価項目を表示

▼評価項目

新技術の開発により影響を受けるセキュリティポリシーの箇所を識別し、整理する

セキュリティ評価の結果から、影響を受けるセキュリティポリシーの箇所を識別し、整理する

整理された問題点について、セキュリティポリシー変更に対する分析を行い、ポリシーを見直す

情報技術の変化に応じてセキュリティ要件を変更する、もしくは変更が不要なことを確認する

新たなリスクの整理と分析評価項目を表示

▼評価項目

新たなリスクを収集、整理する

新たなリスクにより影響を受けるセキュリティポリシーの箇所を識別し、整理する

情報保証の観点から、リスクのレベルがアプリケーション、システム、ネットワークにおいて許容範囲内であることを確認するためのレビューを行う

整理された問題点について、セキュリティポリシー変更に対する分析を行い、ポリシーを見直す

セキュリティポリシーの更新評価項目を表示

▼評価項目

セキュリティポリシーの見直し対象について、再度リスク分析を行い、ポリシーを更新する

セキュリティポリシーの更新を経営層、情報セキュリティ関係担当役員、企画関係者に説明し、承認を得る

継続的にセキュリティポリシーの見直しを行う

情報技術の変化に応じて、セキュリティ要件を変更、もしくは変更が不要なことを確認する

品質マネジメント>品質管理のコントロール 品質マネジメントシステムの運用評価項目を表示

▼評価項目

プロジェクトマネージャまたは組織体の品質活動を通じて、組織体が生み出すプロダクトの品質とそれらを生むプロセスの改善活動を実行する

品質とプロセスの改善目標や改善範囲を設定し、関係者に周知徹底する

障害発生を契機として改善のサイクルを主導し、活動を根付かせる

品質標準および品質管理実践基準の定義評価項目を表示

▼評価項目

品質標準や品質管理の実践基準に関する技術動向や業界のベストプラクティスを把握する

システムのライフサイクルを通じた開発、保守、運用、調達の品質に関する標準を定義する

主要な工程ごとの品質標準に対する測定基準と承認基準を設定する

設定した品質標準および品質管理実践基準を、関係者の合意を経て関係組織に導入する

品質の測定、モニタリングおよび改善評価項目を表示

▼評価項目

品質マネジメントシステムのコンプライアンスおよび品質マネジメントシステムが提供する価値をモニタするための測定項目を設定する

各プロジェクト、プロセスへの品質標準、品質管理実践基準の導入状況をモニタリングし、準拠性の評価と例外の妥当性を判断する

品質標準および品質管理実践基準の非準拠等の例外の要因を特定し、プロセス標準や実施内容との調整を図りながら改善する

品質マネジメント>組織全体の品質マネジメント 検査のマネジメント評価項目を表示

▼評価項目

ソフトウェア開発の各工程での検査要領(検査方針、体制、方法、環境や日程)を明らかにし、検査計画書を作成する

ソフトウェア開発の成果物の各種ドキュメント(設計書、マニュアル、テスト計画書等)を検査し、合否を判定する

各テスト工程完了時に、テスト工程での摘出不良件数や摘出傾向の監査やサンプリング検査を行い、検査の合格に不十分な点の対策を開発担当に実施させる

ユーザ(利用者)の立場でプロダクト検査内容を作成、実施し、合否を判定する

契約管理>契約締結管理 委託/受託業務の内容と責任分担の明確化評価項目を表示

▼評価項目

該当案件の委託/受託業務内容および責任分担を契約書、仕様書に明記する

委託/受託業務の完了条件や検収条件を契約書に明記し、相手方と合意する

追加作業についての取り扱いを契約書に明記する

法的要件を満たした契約内容の作成評価項目を表示

▼評価項目

(相手方/当方が)作成したプログラム、データおよびドキュメントの知的財産権の帰属を明らかにして、契約書に反映する

必要な特約条項および免責条項を明らかにして、契約書に反映する

損害賠償に関する会社方針を確認し、損害賠償条項を契約書に反映する

該当案件の再委託にかかわる方針を明らかにし、再委託条項を契約書に反映する

再委託先の機密保持の適用条件を契約書に明記する

監査に関する会社方針を確認し、監査条項を契約書に反映する

監査の対象範囲、適用する基準および結果の取り扱いを明らかにする

セキュリティに関する契約内容の交渉・確認評価項目を表示

▼評価項目

評価項目は未定義

契約の締結評価項目を表示

▼評価項目

契約上の責任、役割、条件、関連する法令、組織体の規定に関する事項が網羅されているか、契約内容を確認する

契約条項の内容を理解し、優先して交渉する条項、譲歩ができる条項等の区別を行う

契約交渉を行い、相手方の指摘や主張の内容や狙いを確認し、法務部門と連携して受入可否の判断を行う

当方の主張、相手方の主張を調整し、合意形成を行う

委託/受託契約ルール遵守評価項目を表示

▼評価項目

委託契約ルールまたは受託契約ルールを定める

委託/受託契約ルールに基づいた契約書を作成し、委託/受託の責任者の承認を得る

契約書の内容を関係者に周知徹底する

供給/委託先の選択・交渉評価項目を表示

▼評価項目

供給・委託先の選択ルールに基づき、その手順を明らかにする

供給・委託先を決定し、その理由を根拠となる情報と共に関係者に説明する

購買要件、条件を明らかにし、供給・委託先に提示の上で合意形成を図る

選定した供給・委託先との契約内容を確定するために、必要に応じて法務部門や外部専門家の指導を受けながら、知的所有権、ライセンス条件等を含めた契約内容を交渉する

費用の支払い方法、支払い条件を確定し、日常業務の経理部門に対して、経費発生額と時期を通知し、資金計画を要請する

契約管理>契約変更管理 追加変更発生時の対応評価項目を表示

▼評価項目

該当案件の契約書および仕様書の委託業務内容を確認する

既契約外として追加、変更される作業の内容を明らかにする

当初契約以外の作業を別契約として取りまとめ、覚書を締結する

契約の変更要求の受付と影響分析評価項目を表示

▼評価項目

契約の変更要求を受付け、既契約内容の確認を行う

変更要求の影響範囲とリスクを具体的に整理する

影響範囲とリスクに基づき、対応方針を定め、合意の条件を設定する

契約変更の協議と締結評価項目を表示

▼評価項目

当方の主張、相手方の主張を調整し、合意形成を行う

合意した内容で変更契約を締結する

契約の変更内容、変更時期を関係者に徹底し、説明する

コンプライアンス>管理方針と体制 法令および規範の管理体制確立評価項目を表示

▼評価項目

法令および規範の主管部門を明らかにし、業務分掌に定義する

主管部門における管理責任者を定め、責任の所在を明らかにする

法令および規範の遵守状況を確認する

遵守すべき法令および規範の識別評価項目を表示

▼評価項目

法令、規範への対応方針を明らかにし、コンプライアンスポリシーとして定める

ITを用いて業務改革やシステム企画、運用を実施する上で、関係する法令を洗い出す

洗い出した法令のうち、対応が必要となる関係法令や規範を識別し特定する

特定した関係法令および規範について、定期的に見直しを行う

情報倫理規定の策定評価項目を表示

▼評価項目

業務遂行上必要となる関係法令や規範に基づき、組織体が遵守すべきルールを情報倫理規定や行動指針として定める

情報倫理規定を組織体へ周知徹底するための手段や体制等の仕組みを確立する

関係法令や規範の定期的な見直しと連動して、情報倫理規定を見直す

個人情報の保護評価項目を表示

▼評価項目

個人情報保護の観点から個人情報取扱い方針を明らかにする

個人情報として取り扱う情報種別を定義する

個人情報を保全するための活動を業務手順書として取りまとめ、情報の取扱い規則を定める

個人情報漏洩等の事故が発生した際の対応方針、プロシージャを決定する

知的財産権の保護評価項目を表示

▼評価項目

知的財産保護の観点から知的財産取扱い方針を明らかにする

知的財産として取り扱う財産種別を定義する

知的財産を保全するための活動を業務手順書として取りまとめ、情報の取扱い規則を定める

知的財産侵犯等の事故が発生した際の対応方針、プロシージャを決定する

外部への情報提供評価項目を表示

▼評価項目

各種権利保護と情報取扱いの観点から外部への情報提供に関する方針を明らかにする

外部への情報提供を制約するデータを定義する

外部への情報提供にかかわる活動を業務手順書として取りまとめ、情報の取扱い規則を定める

外部への情報提供時に情報事故が発生した際の対応方針、プロシージャを決定する

コンプライアンス>実施と評価 教育と周知徹底評価項目を表示

▼評価項目

特定した関係法令や規範、および情報倫理規定について、組織体内外の関係者に周知徹底を行う教育体制を定める

関係法令や規範、および情報倫理規定についての教育実施責任者を定める

教育対象者と教育内容を定めた年間教育計画を策定する

教育実施責任者により、対象となる各種法令、規定を関係者に教育する

関連法令や規範、および情報倫理規定の周知徹底を図るために、繰り返し教育(リカレント教育)を実施する

遵守状況の評価と改善評価項目を表示

▼評価項目

法令や規範、および情報倫理規定の遵守状況を業務監査等により定期的に点検、評価する

遵守状況の点検、評価によって明らかになった指摘事項や改善事項に対して改善計画を策定する

改善計画のマネジメントレビューを実施し、組織体の長の承認を得る

改善計画に基づき、改善のための必要な方策を活動計画として取りまとめ、実施する

外部要件に対するコンプライアンスの保証評価項目を表示

▼評価項目

ITのポリシー、標準、手続きおよび方法論を適合させるために、遵守すべき国内外の法律、規制等の外部要件を特定する

ITのポリシー、標準と手続きを最適化し、法律や規制の要件に効率的に対応する

ITのポリシー、標準、手続きおよび方法論について、法律や規制の要件に対するコンプライアンス状況を確認する

コンプライアンスが不十分な場合に取るべき是正措置がタイムリーに講じられていることを確認する

法律、規制および契約要件に関するIT部門の報告と、その他の事業部門からの類似報告を統合する

システム監査>システム監査計画の策定 基本計画書の作成評価項目を表示

▼評価項目

経営目標の実現に向けて、第三者の視点からシステムの安全性・信頼性・効率性、ITガバナンスの向上、情報の安全性・完全性等の点検・評価を行うための中長期計画書を作成する

中長期計画を経営層に申請し、承認を受ける

中長期計画書を受けて、年度単位の基本計画方針を作成する

当年度の監査の目的、対象、重点テーマ、実施体制、実施スケジュール等を盛り込んだ基本計画書を作成する

J-SOX監査等、外部監査に関する実施計画を策定する

個別計画書の作成評価項目を表示

▼評価項目

基本計画書を受けて、個々の監査の目標を設定する

基本計画書を受けて、点検・評価の実施、報告、フォローアップまでの全プロセスを計画する

個別計画書に個々の監査の目的、対象、範囲、目標、手続き、スケジュール、実施責任者および業務分担、被監査部門の責任者および担当者、他の監査との連係・調整、必要コスト等を盛り込む

システム監査>システム監査の実施 予備調査評価項目を表示

▼評価項目

被監査部門に対して個別計画書の内容を通知し、協力を要請する

関連資料の収集、関係者へのインタビュー、現地調査等により、監査対象業務・システムの概要およびコントロールの実態を把握する

現実の状態とあるべき状態の間のギャップと問題点を認識する

現状把握に際して、個別計画書に記載された監査目的に対して組織体が目標とすべきレベルを事前に明らかにする

個別計画書作成時に予測できなかった問題点が存在する可能性がある場合、監査時に確認すべき項目として取りまとめる

監査手続書の作成評価項目を表示

▼評価項目

本調査で実施する具体的な監査手続きを検討し、監査手続書を作成する

予備調査の結果を踏まえ、監査手続書に個別計画書作成時に予測できなかった問題点を確認できる手続きを盛り込む

次回以降の監査の参考として利用できるように、監査手続書の内容を精査する

本調査評価項目を表示

▼評価項目

現地に赴き、自らの目で確認、評価する

現地調査時に、監査結果の裏付けとなる証拠資料を入手する

適切な対象者、日程、質問事項等を事前に準備し、インタビューを実施する

監査手続書に基づいて資料を入手し、レビューする

実施結果の記録(監査調書の作成)評価項目を表示

▼評価項目

本調査で入手した監査証拠に基づき、監査調書を作成する

監査調書の内容に事実誤認がないか、被監査部門に確認する

監査調書に発見事項とともに監査担当者の判断等を記載する

監査報告書案の作成評価項目を表示

▼評価項目

監査調書に基づいて、総合評価、指摘事項、改善勧告の原案をまとめる

指摘事項として、発見事項の内容、それを問題と判断するに至った根拠、問題を生じさせている原因、及ぼしている影響、他の指摘事項との関連性を記載する

改善内容は可能な限り具体的、詳細なものとし、被監査部門との意見交換を行い、改善策の実現可能性について確認する

報告書を被監査部門へ提示し、誤認確認を行う

システム監査>システム監査結果の報告 監査報告の実施評価項目を表示

▼評価項目

被監査部門の責任者による監査報告書案の最終確認を行い、経営層に提出する

関係者を一堂に会して監査報告会を開催する

改善作業のスケジュールや担当者を決定し、関係者の同意を得る

フォローアップの実施評価項目を表示

▼評価項目

次回以降の監査での確認方法を被監査部門に指示する

監査報告会の開催や改善作業の実行計画書および改善報告書等により実施状況を把握する

指摘事項や改善勧告事項への実施状況のフォローアップ時に課題が発生した際に対応指示を行う

年次監査報告書の作成評価項目を表示

▼評価項目

基本計画書に対応して、当該年度に実施した結果を年次監査報告書としてまとめる

当該年度に発生した課題や監査上での気づきに関し、次年度の基本計画に反映できるよう取りまとめる

必要に応じ、監査中期計画の対象、実施内容、実施時期等を見直す

システム監査>システム監査対応 監査実施対応評価項目を表示

▼評価項目

予備調査で求められる監査対象業務・システムの概要、コントロールの状況についての資料を準備する

現地調査で求められる証拠資料について、必要な範囲を見極め提供する

インタビューの実施日程を確認し、質問事項の確認内容を理解し、回答する

監査調書をレビューし、事実誤認がないことを確認する

監査報告書案の改善事項勧告の実現可能性を監査部門に提言する

J-SOX等、外部監査に対応する

セキュリティ監査>セキュリティ監査計画の策定 基本計画書の作成評価項目を表示

▼評価項目

評価項目は未定義

個別計画書の作成評価項目を表示

▼評価項目

評価項目は未定義

セキュリティ監査>セキュリティ監査の実施 予備調査評価項目を表示

▼評価項目

評価項目は未定義

監査手続書の作成評価項目を表示

▼評価項目

評価項目は未定義

本調査評価項目を表示

▼評価項目

評価項目は未定義

実施結果の記録(監査調書の作成)評価項目を表示

▼評価項目

評価項目は未定義

監査報告書案の作成評価項目を表示

▼評価項目

評価項目は未定義

セキュリティ監査>セキュリティ監査結果の報告 監査報告の実施評価項目を表示

▼評価項目

評価項目は未定義

フォローアップの実施評価項目を表示

▼評価項目

評価項目は未定義

年次監査報告書の作成評価項目を表示

▼評価項目

評価項目は未定義

セキュリティ監査>セキュリティ監査対応 監査実施対応評価項目を表示

▼評価項目

評価項目は未定義

マーケティング・セールス>ソリューションの組立て リスク計画の策定評価項目を表示

▼評価項目

想定されるすべてのリスクを洗い出し、発生に伴う影響を評価する

リスク予防策の実施効果を検証する

整理されたリスクの発生確率を想定する

リスク対策が現状どの程度実施されているかどうか調査し、整理する

セキュリティ適合確認の実施評価項目を表示

▼評価項目

評価項目は未定義

マーケティング・セールス>ソリューションの提案 ソリューションの提案評価項目を表示

▼評価項目

顧客の財務状態(決算指標等)や経営戦略の概要を分析し、自社のソリューションを購入できる時期や価格帯を検証する

顧客の課題や戦略に基づくIT要件の主要なポイントを把握し、自社のソリューションの適合性を分析する

顧客の購買基準をヒアリングし、基準に適合するように可能な限り調整した上で提案する

顧客のセキュリティ基準、監査基準をヒアリングし、基準に適合するように可能な限り調整した上で提案する

再利用>再利用資産管理 再利用資産管理の準備評価項目を表示

▼評価項目

再利用を目的として、企画・開発・保守のプロセスで作成される資産(ソフトウェア、技術資料等の成果物)の体系と様式を規定する

再利用資産の保管と検索の仕組みを作成し、維持する

再利用を目的とした資産作成のための規定を作成し、関係者の同意を得る

再利用資産の保管と管理評価項目を表示

▼評価項目

再利用を目的とした資産作成の規定に準じて各プロセスから提示された資産を受領し管理する

共同レビューを実施して提示された資産の価値を査定し、再利用のために関係者に通知する

再利用による効果を収集、分析し、再利用を目的とした資産作成のための規定を改定する

セキュリティ適合確認の実施評価項目を表示

▼評価項目

評価項目は未定義

再利用>再利用施策管理 再利用施策の計画評価項目を表示

▼評価項目

既存の再利用資産の内容、プロジェクトの予算、期待成果に基づき再利用資産の活用方針を決定する

再利用を実践する対象を識別する

再利用の実態効果を測定するための基準を設定する

再利用資産の活用方針に基づき、再利用計画を策定する

再利用施策の実施評価項目を表示

▼評価項目

再利用計画を実行し、その進捗を監視する

定められた基準に基づき再利用の効果を測定する

再利用の状況と効果を収集して再利用計画を評価し、次期の再利用計画への助言・提言を行う

セキュリティ適合確認の実施評価項目を表示

▼評価項目

評価項目は未定義

調達・委託>委託業務管理 セキュリティの調査評価項目を表示

▼評価項目

組織体のセキュリティポリシー、セキュリティ規定を確認し、情報取扱いルール等、委託先に求めるセキュリティ要件を整理する

委託先にセキュリティ要件を提示し、要件に対する充足度についての報告をもらう

組織体のセキュリティ要件を満たさない事項の報告を受けた際、その是正に関し、対応方法、時期、対応費用の取扱いを含め、委託先と調整を行う

セキュリティ是正の実施完了を確認し、委託先に求めるセキュリティ要件が充足されているか評価する

委託開始時と更新時においてセキュリティが担保されていることを調査する

委託業務の開始・推進評価項目を表示

▼評価項目

委託業務開始前に契約内容を確認する

委託先が契約履行に必要な情報について、資料管理責任者と担当を明らかにし、委託契約料、仕様書に基づいて要求仕様、データ、資料を提供する

委託業務の実施内容を委託先責任者に説明し、把握させる

決められた方法に基づき、委託業務の実施内容を確認するとともに、契約内容の相違点の有無を確認する

委託業務の実施内容と契約内容に相違がある場合、齟齬の発生理由と課題を明らかにし、措置を講じることにより是正を図る

進捗状況の把握と遅延、その他のリスク対策評価項目を表示

▼評価項目

決められたタイミングと手段ならびに報告内容から想定される課題等を委託先に確認しながら、進捗状況を把握する

遅延や品質、コスト等にかかわる問題点の原因を究明し、措置を講じることで是正を図る

誤謬防止、不正防止、機密保護等の対策の実現方法を明らかに、これらの実現状況を把握する

誤謬防止、不正防止、機密保護等の対策の実現状況に応じて、担当者の誓約書を取り交わす等の必要な改善措置を講じる

成果物の検収評価項目を表示

▼評価項目

成果物の検収条件を検収基準として策定し、検収不可の場合の対策方法を含めて、作業委託時に委託先に提示する

予め定めた検収基準に基づき、成果物検収を実施する

検収不可の場合、委託先に対して、定められた手順に則り是正を勧告する

検収結果を報告書に取りまとめ、委託責任者の承認を得る

業務終了後のデータ、資料等の回収と廃棄確認評価項目を表示

▼評価項目

委託先に提示した資料の変換、回収、廃棄等の方法を定義し、委託先を指導する

決められたタイミングと手続きで委託先に提示した資料の回収、廃棄を指示し、実行結果を確認する

委託先からの資料回収、資料廃棄を報告書に取りまとめ、委託責任者の承認を得る

業務結果の分析と評価評価項目を表示

▼評価項目

業務委託終了後、委託業務実績について、品質、納期、費用等の観点で分析を行い、評価報告として取りまとめる

委託業務評価報告書を委託責任者に承認を得る

複数案件の委託業務評価報告を取りまとめ、委託先企業の品質、納期遵守、費用等に関する総合評価を行い、以降の委託先選定時の参考資料を作成する

委託先との今後の付き合い方やベンダ選定基準等への反映を狙い、関係者に評価結果を報告する

標準の策定・維持・管理>標準の策定 セキュリティの観点からの検討評価項目を表示

▼評価項目

評価項目は未定義

標準の策定・維持・管理>標準の維持管理 実状調査評価項目を表示

▼評価項目

標準化されたプロセスや手順、管理基準等の適用状況を調査する

準拠性レビューの結果を調査、分析する

標準策定時と現状との経営方針、企業目標、IT戦略等の変化を把握する

標準の見直し評価項目を表示

▼評価項目

標準の見直しを検討すべきポイントを抽出する

標準の見直し対象範囲を明らかにする

標準の見直しを検討し、他の標準との関連を再整理して矛盾点、影響等を確認する

新ビジネス・新技術の調査・分析と技術支援>最新技術の研究・検証 調査対象の設定と情報収集評価項目を表示

▼評価項目

情報技術動向の調査方針を明らかにする

ビジネスへの影響を踏まえて、重点的に評価・検討すべき技術領域、手法・製品を特定する

重点的に評価・検討すべき最新技術の獲得方法を選択し、必要な情報を必要な時期までに収集する

最新技術の評価・検証評価項目を表示

▼評価項目

収集した技術情報を分析し、そのトレンドや影響の大きさ、速さ等を要素とした技術マップを作成する

最新技術について、単独の性能、効果、特性と実活用を踏まえた組合せの性能、効果、特性を検証する

最新技術の特性や接続性を踏まえて典型的な既存技術との組合せの性能、効果、特性を検証する

最新技術の特性、性能、コスト効果を分析し、現在や近い将来の用途を洗い出す

データの再利用>状況の評価 セキュリティとプライバシー保護の観点からの分析評価項目を表示

▼評価項目

評価項目は未定義

新たな価値創造による新規製品・サービス開発>プロトタイピングを通した新規製品の検討 セキュリティの観点からの評価評価項目を表示

▼評価項目

評価項目は未定義

総務・人事・経理>ガバナンス(総務)>情報セキュリティ事故対応 インシデント報告受付評価項目を表示

▼評価項目

インシデント報告書の内容を確認し、必要に応じて差し戻しを行う

確認したインシデント報告書を定められたルートに従い上申する

承認されたインシデント報告書を管理する

対応状況確認評価項目を表示

▼評価項目

計画された対応策の実施進捗状況を確認する

計画遅延等が見られる場合は、必要に応じて改善フォローを行う

再発防止対策評価項目を表示

▼評価項目

計画された再発防止策の実施進捗状況を確認する

必要に応じ、真因分析と有効な再発防止策の実施をフォローする

障害分析・改善評価項目を表示

▼評価項目

報告されたインシデント報告を集約し、障害内容、原因等を分析し、全社的な改善計画を立案する

改善計画を定められたルートに従い上申する

承認された改善計画を全社に周知する

改善計画の実施状況を確認し、必要に応じて改善策のフォローを行う

総務・人事・経理>社内業務監査>内部監査 監査計画評価項目を表示

▼評価項目

関係部門と調整して内部監査計画を立案する

計画した内部監査計画を上申し、承認を得る

関係部門に内部監査計画を周知する

監査計画に応じて必要な重点監査項目を洗い出し、監査準備を行う

監査実施評価項目を表示

▼評価項目

監査計画に従い関係部門の内部監査を実施し、監査記録を作成する

監査終了後に監査記録を整理し、監査部門と調整する

指摘事項等を確定し、監査部門とのクロージングを実施する

全監査が終了した時点で監査記録を整理し、全体クロージングを実施する

監査結果分析と改善フォロー評価項目を表示

▼評価項目

監査結果を集約し、関係部門に改善計画作成を依頼する

回収した改善計画の妥当性を確認し、必要に応じて差し戻しを行う

監査結果、改善計画を整理し、経営層に報告する

改善計画の実施期限を管理し、改善実施をフォローする

総務・人事・経理>社内業務監査>外部審査 審査計画評価項目を表示

▼評価項目

外部審査機関や関係部門と調整し、外部審査日程を決定する

外部審査計画を上申し、承認を得る

関係部門に外部審査計画を周知する

外部審査に必要な会議室、機材等を確保する

審査実施評価項目を表示

▼評価項目

外部審査の立ち会い、現場確認の同行、案内を実施する

審査の内容を記録する

クロージングに参加し、審査記録との整合性を確認する

審査結果分析と改善フォロー評価項目を表示

▼評価項目

審査報告書を受領し、関係部門に周知し、改善計画作成を依頼する

回収した改善計画の妥当性を確認し、必要に応じて差し戻しを行う

審査結果、改善計画を整理し、経営層に報告する

改善計画の実施期限を管理し、改善実施をフォローする

総務・人事・経理>社内業務監査>社内業務改善 社内業務改善活動の実施評価項目を表示

▼評価項目

定期的に社内業務改善検討会議を開催し、社内業務改善を検討する

必要に応じて規格改訂、見直し案を作成し、改善検討会議に上申する

検討会議の結果に応じて規格改訂を反映し、上申する

承認された規格改訂内容を発行し、全社に周知する