タスク一覧



「クラウドアーキテクト」のタスク例

タスクプロフィール 「クラウドアーキテクト」で定義されているタスク例です。これらを参考にしながらタスクや役割を定義してください。
また、各タスクの詳細を参照する場合は、「評価項目を表示」ボタンをクリックしてください。
このタスクプロフィールに関する研修・書籍・資格の情報が こちらから検索できます。

タスク大分類 タスク中分類 タスク小分類
システム企画立案 システム化構想の立案 システム化構想基本方針の策定評価項目を表示
現行業務、システムの調査分析評価項目を表示

▼評価項目

現行業務を調査し、業務実態を把握する

業務知識の保有状況(有識者の有無、有識者のスキルセットとカバー範囲、ドキュメントの有無と最新性)を調査し、把握する

現行システムの状況(規模、構成、処理方式、非機能要件、データ量、データ構造、保守状況等)を調査し、把握する

現行の業務やシステムの状況から、開発、改善、改革対象の範囲を把握する

新業務の全体像把握と評価指標の設定評価項目を表示

▼評価項目

システム化の主要テーマ(HW/SW老朽化対応、維持コスト削減、業務のスリム化、新ビジネスや新サービスへの対応、要員不足対応等)を設定する

システム化で対応する業務機能のあるべき姿を描く

あるべき業務機能に求められる主要機能を明らかにする

企画するシステムにおける業務運用の定量的評価指標を設定する

企画するシステムにおける業務運用の定性的評価指標を設定する

投資規模の策定評価項目を表示

▼評価項目

企画するシステムの開発(一次費用)に関する期間、体制、工数、設備費の概算を見積もる

企画するシステムの保守運用(継続費用)に関する体制、工数、機器保守費の概算を見積もる

ビジネスモデルとシステムアーキテクチャによる企業目標、経営戦略およびIT戦略の実現性を評価する

システム化構想の成案化評価項目を表示

▼評価項目

システム化構想書の原案を作成する

有識者を集め、システム化構想書をレビューし、成案化する

組織体のルールに従ってシステム化構想の承認を得る

システム化計画の推進体制を立案する

推進体制案を関係先と調整し、体制を確立する

システム化構想の支援評価項目を表示

▼評価項目

対象業務のユーザ要件を把握する

適用情報技術の調査を通じて、主要機能実現のためのシステム方式を提言する

業界で利用されているアプリケーションの傾向を調査し、適合性について評価、提言する

システム化計画の策定 システム化計画におけるプロジェクト計画の策定評価項目を表示

▼評価項目

システム化計画の策定に必要な環境および工程を洗い出す

システム化計画工程のプロジェクト計画書案を作成する

有識者を集め、プロジェクト計画書案をレビューし、成案化する

組織体のルールに従って、プロジェクト計画の承認を得る

システム計画の基本要件の確認評価項目を表示

▼評価項目

システムに求められる基本機能から、システム化の前提条件を整理する

システムが果たすべき機能、役割、サービスを考慮し、システム化の範囲を図式化する

システム化範囲の基本要件について、経営層やユーザ部門との合意形成を図る

対象業務の課題整理評価項目を表示

▼評価項目

システム化におけるユーザの作業分担範囲を決める

対象業務の流れと情報を整理し、業務上の課題を分析する

業務上の課題の中からシステム化によって解決すべき課題を抽出し文書化する

現状システムの分析と対応方針の策定評価項目を表示

▼評価項目

対象となるシステムの現状について、機能、性能の両面を把握する

システム障害による影響を分析し、障害対策レベルを設定する

既存システムとの連携(制限事項)を踏まえ、採用する技術の評価、選定を行う

業務モデルの作成評価項目を表示

▼評価項目

経営戦略を実現し、組織が継続的に発展できるビジネスモデルを作成する

ビジネスモデルを実現するために、対象業務および関連する全業務を整理し、業務機能の再構成および業務プロセスを企画する

対象業務と策定した業務プロセスの主要な変更点および業務実施上の具体的課題を整理し、文書化する

業務処理の正確性、完全性、可監査性を考慮して、認可方法、情報のインテグリティ、アクセスコントロール、バックアップ、および監査証跡の記録についての方針を定める

ガバナンスの確立のために、プロセスオーナー、システムオーナー、データオーナーを定義する

システム化機能の整理とシステム方式の検討評価項目を表示

▼評価項目

主要機能を実現するための情報と処理を定義する

主要機能を実現するシステムアーキテクチャを定義する

主要機能が必要とするデータベースとネットワークの一覧および構成を作成する

システム再構築手法(リビルド、リライト、リホスト、ハードウェア更新)を選択する

パッケージソフト導入や外部資源の活用を検討する

付帯機能、付帯設備に対する基本方針の明確化評価項目を表示

▼評価項目

システム移行にかかわる方針および基本的要件を定める

システム移行のための概略の計画を策する

環境整備に要する大枠のシステム使用期間と使用量を見積もる

業務とシステムに関する教育・訓練の目的および対象範囲等を設定する

教育・訓練の教育体制、設備、環境および実施スケジュール等を設定する

サービスレベルと品質に対する基本方針の明確化評価項目を表示

▼評価項目

業務に求められるサービスレベル、ならびに達成状況を把握するタイミングを定義する

システムに求められるサービスレベル、ならびに達成状況を把握するタイミングを定義する

システムの品質に対する基本的な要件を定める

システムの品質保証体制に対する基本的な要件を定める

プロジェクトの目標設定評価項目を表示

▼評価項目

プロジェクトの実施によって取得できる有形、無形の価値を明らかにし、その評価指標を設定する

業務の定量的・定性的評価指標を設定する

システムの定量的・定性的評価指標を設定する

業務やシステムの評価指標について、経営層やユーザ部門との合意形成を図る

実現可能性の検討評価項目を表示

▼評価項目

開発、運用、保守、移行、環境整備および品質に関する基本要件を定める

過去のシステム運用評価の結果を把握し、システム化計画の運用要件の充足度を確認する

システム運用時に発生する障害やリスクに対する保守体制および保守内容の基本要件を定める

開発の期間、コストおよび作業責任分担等の基本方針を定める

技術的、経済的な実現可能性を検討する

全体開発スケジュールの作成評価項目を表示

▼評価項目

システム導入計画の基本要件に適合したサブシステムに分割する

サブシステムの開発優先順位を決定する

サブシステムの単位スケジュールを基本方針に沿って決定する

システム選定方針の策定評価項目を表示

▼評価項目

システムアーキテクチャの基本的な機能と構成要件を設定する

システム選定の調査範囲を定義する

システム投資予算枠を決定する

費用とシステム投資効果の予測評価項目を表示

▼評価項目

企画するシステムの開発(一次費用)に関する期間、体制、工数、設備費を予測する

企画するシステムの保守運用(継続費用)に関する体制、工数、機器保守費を予測する

システム化による費用対効果を算出し、評価する

システム化しなかった場合を考慮して費用対効果を算出し、評価する

システム化構想の実現により、企業目標、経営戦略、IT戦略が実現できるかを検証する

システム化計画の成案化評価項目を表示

▼評価項目

システム化計画書の原案を作成する

有識者を集め、システム化計画書をレビューし、成案化する

組織体のルールに従って、システム化計画の承認を得る

要員、納期およびコスト等の制約を把握する

開発プロジェクトの構成とその要員数、役割分担を定義する

ITサービス要件定義 ITサービス要件の定義評価項目を表示

▼評価項目

顧客が抱えるシステム運用・保守の課題と運用・保守サービスへのニーズを把握し、サービスの要件をまとめる

運用・保守サービス要件を満たすために必要な体制(要員スキル、要員数、勤務パターン)をまとめる

運用・保守サービス要件に応じてサービスメニューを作成し、顧客に提案する

SLAの草案となる運用・保守サービスの内容、提供時間帯、体制、セキュリティ等をまとめる

情報セキュリティ要件定義 情報セキュリティ要件の定義評価項目を表示

▼評価項目

セキュリティポリシーやコンプライアンス、情報保証上の必要性を情報セキュリティ要件に反映させる

実装すべき情報セキュリティの要件(障害発生時の復旧時間の許容時間、データ復旧範囲等、障害対応に関する要件を含む)、実施レベル、考慮点等を明らかにする

各々の情報セキュリティ要件に対する実装方式を提示する

情報セキュリティ要件を実現するための費用を算出する

システムに存在する脆弱性について、その対策と緩和のための取り組みの方針を決定する(アプリケーションの可用性維持からパッチを適用しない場合の対策等を含む)

情報セキュリティ要件に関する制約事項を抽出する

情報セキュリティ規定の作成評価項目を表示

▼評価項目

セキュリティポリシーに基づき、企業活動のセキュリティ規定を作成する

セキュリティポリシーに基づき、情報システムのセキュリティ規定を作成する

経営層、情報セキュリティ関係担当役員、企画関係者にセキュリティ規定を説明し、承認を得る

情報セキュリティ計画の立案評価項目を表示

▼評価項目

情報セキュリティをベースにしたセキュリティ計画を策定する

セキュリティ計画の立案、およびセキュリティ計画を実行するにあたって発生する問題のソリューションを提案する

経営層、情報セキュリティ関係担当役員、企画関係者にセキュリティ計画を説明し、承認を得る

情報セキュリティ基準の策定評価項目を表示

▼評価項目

事業戦略、事業継続計画に基づき、各物理サイトの物理的保護レベルを定義する

セキュリティホール情報やセキュリティ勧告およびパッチの最新情報の分析に基づき、パッチ適用基準を策定する

従業員のソーシャルメディア使用に関するルールを策定する

アウトソース先のセキュリティ基準を策定する

電子データの信頼性を確保するために、第三者機関が発行する電子証明書と自組織が発行する電子証明書をそれぞれ利用する手続きを策定する

情報ネットワークのセキュリティ対策のためのガイダンス文書の発行管理を行う

システム要件定義・方式設計 セキュリティ要件定義 現状把握評価項目を表示
セキュリティ要件の定義評価項目を表示

▼評価項目

セキュリティリスクを回避するための認証、利用制限、データの秘匿、不正追跡・監視、ネットワーク対策、マルウェア対策、Web対策等の要件項目を明らかにする

各セキュリティ要件項目の具体的な要件と達成指標を定義する

決定したセキュリティ要件を実現するセキュリティ対策を定義し、文書化する

セキュリティ要件の評価評価項目を表示

▼評価項目

セキュリティ要件のセキュリティポリシーへの準拠性を評価する

当該システムにおける機能要件およびセキュリティ以外の非機能要件との一貫性を評価する

当該システムにおけるセキュリティ要件の実現可能性を評価する

当該システムにセキュリティ要件を実装した際の運用・保守の実現可能性を評価する

システム方式設計 システム方式の設計評価項目を表示

▼評価項目

システム化要件を実現する最上位レベルの方式(ハードウェア構成、ネットワーク、ソフトウェア構成、手作業)を設計する

システムの構成要素単位に機能要件、非機能要件を割り当てる

外部インタフェースおよびシステムの構成要素間のインタフェースを定義する

アプリケーション、システム、ネットワークの実装のためのセキュリティアーキテクチャを設計する

適用製品・技術の評価と選定評価項目を表示

▼評価項目

システム方式設計に準じて、利用候補となる技術、製品の性能や適合性を評価する

システム方式設計に準じて、利用候補となるパッケージソフトウェアの機能や性能、適合性を評価する

システム方式設計に準じて、利用候補となるPaaS、IaaS等のシステム稼働環境の性能や適合性を評価する

利用する技術、製品、稼働環境等を選定し、その事由と実装リスク、前提条件を明らかにする

システム方式設計の文書化とレビュー評価項目を表示

▼評価項目

システム方式およびシステム化要件との対応、インタフェース等をシステム方式設計書にまとめる

すべての機能要件および非機能要件がいずれかのシステムの構成要素に割り当てられていることを検証する

システム方式設計におけるシステム化要件の実現可能性を評価する

システム方式設計における運用および保守の実現可能性を評価する

運用設計 システム運用設計 方針と基準の策定評価項目を表示
システム運用設計とレビュー評価項目を表示

▼評価項目

業務の組織、要員、運用体制、運用フロー等の業務運用に基づきシステム運用方式をまとめる

障害監視対象を明らかにし、システム監視方法を設計する

システム運用管理要件を踏まえ、システム監視方式を設計する

システム運用管理要件を踏まえ、バックアップ・リストア方式を設計する

災害発生を想定し、リスク分散や復旧の手順を設計する

運用手順書(定常時、障害時、保守、更新、構成変更)を作成し、レビューする

対象とするシステムの運用計画に、必要なセキュリティレベルを確保するために実施すべき情報セキュリティ対策を反映させる

ITサービス設計 運用・保守サービスの設計評価項目を表示

▼評価項目

運用・保守サービスの要件に基づき、サービスの内容とサービスレベルを運用・保守プランとして具体化する

運用・保守プランの実行方法と体制を具体化し、コストを算出する

運用・保守業務規定、実行に必要なマニュアル等のドキュメントを取りまとめる

システムを構成するソフトウェア(製品、アプリケーション)、ネットワーク、ハードウェア等の責任分界と連絡方法を明らかにする

サービスの内容、提供時間帯、体制、セキュリティ、サービスレベル指標とその目標値等を定めたSLAを作成し、顧客と合意する

基盤システム構築 基盤システム設計(共通) 全体設計(基本設計)評価項目を表示
基盤システム設計(プラットフォーム) プラットフォーム設計評価項目を表示

▼評価項目

プラットフォームに対する機能要件、非機能要件、運用要件に基づき製品を選定する

プラットフォームに対する機能要件、非機能要件、運用要件に基づき物理構成を設計する

ハードウェア、オペレーティングシステム、ミドルウェア等のコンポーネントごとのパラメータを設計する

プラットフォーム設計書を作成し、設計が要件を満たし、コンポーネント間の不整合がないことをレビューする

基盤システム設計(データベース) 物理データベース設計評価項目を表示

▼評価項目

データベースに対する機能要件、非機能要件、運用要件に基づき、DBMS製品を選定する

必要となるディスク容量を見積もる

論理的なI/O試算を行い、性能面からボトルネックを検証する

代替データベース、複数ディスクへの分散、データの格納順序、障害対策等を考慮してデータベースの物理的な配置を決定する

レスポンスタイムを想定し、DBMS製品の特性を活かした性能調整(フィールド設計、テーブルの非正規化、インデックスの設定、ファイルアクセス効率の改善等)を行う

機器の故障や災害や事故による障害に備えたデータのバックアップおよび回復の手段を決定する

データベースの運用管理・保守の設計評価項目を表示

▼評価項目

監視対象、監視方法、システム管理要素を特定する

データベースの運用手続きを決定し、データベース運用管理計画を作成する

全社標準およびシステム個別の要求事項を勘案して、データベースの保守方針を決定する

基盤システム設計(ネットワーク) ネットワークシステムの設計評価項目を表示

▼評価項目

サーバ、クライアント等のハードウェアの配置およびプロトコル、トポロジ等のネットワークアーキテクチャを決定し、予想されるネットワークの性能を評価する

セキュリティポリシーを認識し、セキュリティ対策を実現するために必要なネットワーク技術、機器を選定する

機器や回線の故障、災害や事故による障害に備えたバックアップおよび回復の手段を決定する

費用対効果、実現可能性を踏まえた信頼性対策を行う

設計したネットワーク構成が、アップタイム、性能、冗長性、可用性などのネットワーク要件を満たすことを確認する

ユーザの業務への影響の最小化を考慮し、不具合が生じた場合の復旧作業を含めた新ネットワークシステム構築の作業計画を作成する

ネットワークの運用管理・保守の設計評価項目を表示

▼評価項目

監視対象、監視方法、システム管理要素を特定する

ネットワークの運用手続きを決定し、ネットワーク運用管理計画を作成する

全社標準およびシステム個別の要求事項を勘案して、ネットワークの保守方針を決定する

基盤システム設計(システム管理) 運用管理システムの設計評価項目を表示

▼評価項目

運用要件に基づき運用管理ツールを選定する

運用管理設計に基づき、選定した運用管理ツールのパラメータを設計する

運用管理に必要なジョブ制御プログラム(ジョブネット、スクリプト等)を設計する

基盤システム構築・テスト(プラットフォーム) プラットフォームの構築評価項目を表示

▼評価項目

サーバやストレージの設置を行い、OS、ドライバソフトウェア、ミドルウェア等のインストールと正常起動を確認する

設計書に基づきコンポーネントのパラメータを設定する

コンポーネント単体の動作テストを実施し、正常動作を確認する

テストの計画と実施評価項目を表示

▼評価項目

テストの要求事項と適用範囲を明らかにし、テスト仕様書を作成する

コンポーネントを結合し、正常に動作することを確認する

テストを実施し、性能、セキュリティ、バックアップ・リカバリ等が要件に適合することを確認する

性能改善の観点から、必要に応じてチューニングを行う

テスト結果を評価し、支障があった場合にはプロジェクト関係者と連携をとって対応を検討し、改善する

基盤システム構築・テスト(データベース) データベースの構築評価項目を表示

▼評価項目

DBMSのインストール、テーブルやインデックス、ユーザ等の作成、初期データの投入等を行う

設計書に基づきデータベースのパラメータを設定する

求められる性能等の要件を満たすための分析とチューニングを行う

テストの計画と実施評価項目を表示

▼評価項目

テストの要求事項と適用範囲を明らかにし、テスト仕様書を作成する

データベースアクセステストを実施し、性能、セキュリティ、インテグリティ、バックアップ・リカバリ等が要件に適合することを確認する

テスト結果を評価し、支障があった場合にはプロジェクト関係者と連携をとって対応を検討し、改善する

基盤システム構築・テスト(ネットワーク) ネットワークの構築評価項目を表示

▼評価項目

作業計画に基づきネットワーク機器および回線の手配を行う

ネットワーク機器や回線を設置してソフトウェアをインストールし、各々の機器および回線の接続、設定を行う

求められる性能等の要件を満たすための分析とチューニングを行う

テストの計画と実施評価項目を表示

▼評価項目

テストの要求事項と適用範囲を明らかにし、テスト仕様書を作成する

テストを実施し、性能、セキュリティ等が要件に適合することを確認する

テスト結果を評価し、支障があった場合にはプロジェクト関係者と連携をとって対応を検討し、改善する

基盤システム構築・テスト(システム管理) 運用管理システムの構築評価項目を表示

▼評価項目

運用管理ツールをインストールし、正常起動を確認する

設計書に基づき運用管理ツールのパラメータを設定する

ジョブ制御プログラム(ジョブネット、スクリプト等)を作成する

テストの計画と実施評価項目を表示

▼評価項目

テストの要求事項と適用範囲を明らかにし、テスト仕様書を作成する

テストを実施し、運用要件に適合することを確認する

テスト結果を評価し、支障があった場合にはプロジェクト関係者と連携をとって対応を検討し、改善する

システムテスト システムテスト計画策定 システムテスト計画の作成評価項目を表示
システムテストの準備評価項目を表示

▼評価項目

各々の機能の特性に即し、システム要件を網羅したテストケースを設定する

性能要件として定められた事項に適したテスト環境、状態を定義し、目標性能と共にテストケースを設定する

システムテスト計画書に基づき、テストに必要な資源(ツール、コンピュータ資源、要員、体制等)を手配する

検証すべきテストケースに適したテストデータをデータ作成プログラム等も活用しながら準備する

システムテスト実施 システム結合評価項目を表示

▼評価項目

本番環境と物理的、論理的に隔離されたテスト環境を構築する

システム構成仕様に基づき、システムを構成するすべてのコンポーネントを結合し、動作可能な環境を作成する

システム結合環境の制約、制限と動作確認への影響を明らかにする

システムテストの実施と評価評価項目を表示

▼評価項目

個々のシステムテストの結果を踏まえて、以降のテストの保留や再開等、状況に応じた判断を行う

システムテストで発見した問題の内容と想定される原因、再現方法等を報告する

性能テストを実施し、再現性のある性能結果をまとめ、課題を洗い出す

システムの高負荷状態をシミュレーションや実環境で実現して負荷テストを実施し、結果を集計、分析して問題を明らかにする

システムテストで洗い出された課題を解決するために、設計、開発およびテストの再行計画を作成する

セキュリティテスト セキュリティテスト計画策定 セキュリティテスト計画の作成評価項目を表示
セキュリティテストの準備評価項目を表示

▼評価項目

テスト結果として報告すべき内容(不適格と判定されたテスト項目について、発生条件、リスクの大きさ、実施すべき対策の明示等)をテスト実施要領として定める

テスト計画書およびテスト実施要領に基づき、テスト実施体制を決定する(社内体制の構築または外部機関の選定)

テストの実施に必要な環境や条件を明らかにする

セキュリティテスト実施 セキュリティテストの実施評価項目を表示

▼評価項目

テスト計画書に基づき、テストの実施に必要な環境を準備する

テスト計画書およびテスト実施要領に基づくセキュリティテストを実施(または委託)する

テスト結果の報告を受け、テスト計画およびテスト実施要領に準じた内容であることを確認する

セキュリティテスト結果の対策実施評価項目を表示

▼評価項目

テスト結果を評価し、不適格と判定されたテスト項目への対策の必要可否を判断する

対策の内容(設計変更、システム運用方法の変更等)を定める

当該システムに施した対策に対する再テストを行い、判定結果に基づいた対策を定める

セキュリティテストの結果と対策の内容を関連文書(設計書、テスト仕様書、運用手順書等)に反映する

ソフトウェア保守 保守の方針と計画の策定 保守および更新・構成変更の方針策定評価項目を表示
保守計画の策定評価項目を表示

▼評価項目

保守計画(体制、スケジュール等)を作成し、運用および保守の責任者の承認を得る

情報資産のシステムライフサイクルを把握し、資産の償却期間を考慮した保守計画を作成する

開発環境の構築等、開発業務から引き継いだテスト環境を利用するための準備を行う

変更されたコンポーネントの受入れ基準を明らかにし、テストの内容やレビュー方法を運用および開発責任者と合意する

問題の調査と分析 問題の把握評価項目を表示

▼評価項目

報告された問題に関する事実、現象と発生環境を分析し、派生する他の現象や原因の候補を洗い出す

原因を特定するための情報とその入手方法を明らかにし、可能な方法を実行する

収集した情報から問題の原因を絞り込み(または特定し)、問題の拡大を回避する方法や代替策を明らかにする

保守内容、影響範囲の調査と分析評価項目を表示

▼評価項目

保守の要求事項を確認し、影響範囲や費用対効果を調査、分析して、保守要件として具体化する

保守対象ドキュメント、プログラム、データ等の分析結果を記録する

変更依頼を作成し、ユーザおよび保守の責任者の承認を得る

IT運用コントロール IT運用管理 オペレーション管理評価項目を表示
情報セキュリティ管理 情報セキュリティの運用評価項目を表示

▼評価項目

パッチ適用基準に基づくパッチのマネジメントを行う

従業員が発信する電子メールの内容確認、閲覧するサイトの管理、機器の持ち出し・持ち込み等の管理を行う

セキュリティ基準に基づき、アウトソース選定時および継続時におけるセキュリティ実施状況の有効性を検証する

第三者機関が発行する電子証明書を申請して入手し、その有効期限を管理し、期限切れになる前に更新手続きを行う

手続きやガイドラインがセキュリティポリシーに確実に適合しているかどうか、ポリシーに基づく標準と実装戦略を監視する

実行中のサービスからの要求を予測し、必要に応じてセキュリティ上の前提条件に関する評価を行う

組織内の関係者との連携のもとで、重要な業務機能を識別し、優先度を設定する

自組織で発行する電子証明書について、その発行業務を企画し、発行手続きを定める

自組織で発行する電子証明書について、その発行を管理し、それぞれの電子証明書の有効期限を管理し、期限切れになる前に更新手続きが必要なことを通知する

情報セキュリティの評価と検証評価項目を表示

▼評価項目

セキュリティを調査し、耐監査性、機密性、可用性、完全性等の観点から問題点を抽出する

セキュリティの安全性と有効性を検証する

情報保証において、アプリケーション、システム、ネットワークのリスクのレベルが許容範囲内であるかどうかを、観測結果をもとに継続的に検査する

情報保証の観点から、情報システムに関する保証と認定を維持するために必要な対策を講じて、それらの保証と認定を維持する

上位者または本部組織に対して、技術文書、インシデントレポート、検査結果、その他の観測情報を提供する

インシデント対応とコンピュータネットワーク防御に関して、外部組織と情報交換を行う

システム運用管理 問題管理 問題コントロールの開始評価項目を表示
エラーコントロール評価項目を表示

▼評価項目

故障や不具合等のエラーを識別し、記録する

関係部門と共同でエラーの内容を調査し、恒久的な解決策や回避策を立案する

エラー対策のための構成品目(CI)の変更を変更管理プロセスへ申請する

変更管理プロセスを経た解決策をリリース管理プロセスが実施するまでの作業の進捗を監視する

リリース管理プロセスを経た解決策を評価し、問題をクローズする

変更管理 変更要求の受付と記録評価項目を表示

▼評価項目

変更要求を受け付け、記録する手順とフォーマットを定める

変更要求に必要な情報がすべて網羅されていることを確認し、受付または却下を判断する

変更要求の影響範囲、影響の大きさ、変更の緊急度、優先度等を識別する

変更の実施評価項目を表示

▼評価項目

変更の実施、リリースおよび変更に失敗した際の修復の計画立案とスケジューリングを行う

変更の影響とリスクに応じた、しかるべき関係者に変更・テストの認可を得る

標準的な変更を、事前に決められた手順に基づき実施する

変更の評価評価項目を表示

▼評価項目

顧客の要件、コストの削減、性能の向上等、変更によって期待される効果が実現されていることを検証し、客観的な証拠を提示する

変更による意図しない影響を明確にし、フィードバックを行う

リスク・プロファイル、逸脱レポート、推奨事項、検定記述書からなる評価レポートを作成する

変更のレビューとクローズ評価項目を表示

▼評価項目

変更の効果、変更後の性能、リスク等に関して、要求元やステークホルダによるレビューを行う

変更がその達成目標に到達していない場合、必要な処置を検討し、決定する

変更がその達成目標に到達し、要求元やステークホルダの合意が得られた場合、変更のクローズを記録する

構成管理 構成管理の計画策定と設計評価項目を表示

▼評価項目

構成管理の目的、適用範囲、達成目標や役割責任を明らかにし、管理計画を作成する

構成品目(CI)の命名規約、細かさの度合い、属性を定める

構成管理の目的に応じた必要な機能に基づき、CMDB(構成管理データベース)やDSL(確定版ソフトウェアのライブラリ)等の構成管理システムを選定する

構成管理の実施評価項目を表示

▼評価項目

構成品目(CI)を分類、識別し、登録する

CMDB(構成管理データベース)内を定期的にチェックし、構成品目(CI)の情報を正しい状態に維持管理する

管理している構成品目(CI)の現バージョンと変更履歴、ステータスを取りまとめた報告書を発行する

リリース管理 リリースの計画、準備と実施評価項目を表示

▼評価項目

変更管理プロセスで承認された変更要求に基づき、リリース実施計画を作成する

リリースのための操作や必要な記録、切り戻しの手順等を定めたリリース手順書を作成する

利用マニュアル、トレーニング教材の作成等、ユーザへの対応を準備する

変更結果を構成管理システムに反映する

妥当性確認とテスト評価項目を表示

▼評価項目

コンポーネントの最終的な品質確認のためのテストを行う

リリースにより提供されるサービスが、予定されているコスト、キャパシティ、制約の範囲内で期待されている成果と価値を提供することを確認する

リリースにより提供されるサービスが、あらかじめ合意されたサービスレベル、顧客の事業要件およびステークホルダの要件を満たすことを検証し、客観的な証拠を提示する

障害管理 障害対応評価項目を表示

▼評価項目

エラーメッセージやエラーログ、データの状態等からシステムの状況を把握し、影響範囲を特定する

業務を再開するための暫定処置を施す

発生した障害を保守部門へエスカレーションする

保守部門が障害の原因を特定し、本来あるべき状態になるように恒久対応を施すことを支援する

障害管理報告書の内容を理解し、問題が発生した際に、過去の障害対応にさかのぼって調査、対応する

障害記録・再発防止評価項目を表示

▼評価項目

障害の情報をナレッジ化し、再発防止に努める

障害発生時の状況や解決に至るまでのプロセスを記録し、障害管理報告書を作成する

過去の障害対応の記録に基づき、将来起こり得る障害を想定した対応マニュアルや復旧手順書を作成する

性能管理 パフォーマンスとキャパシティの管理評価項目を表示

▼評価項目

ハードウェアやソフトウェア等のリソースのキャパシティとパフォーマンスのデータを収集し分析する

収集したデータからキャパシティおよびパフォーマンスの傾向をとらえ、しきい値や例外条件を設定する

キャパシティの最適化やパフォーマンスの向上を実現するために変更箇所を検討し、変更策を決定する

チューニングにより特定された構成品目(CI)の変更を変更管理プロセスへ申請する

処理量や処理内容に対して評価を行い、サービス性能が今後どうなるかをシミュレーションする

資源管理 ハードウェアの管理評価項目を表示

▼評価項目

安全性、信頼性、拡張性、性能を確保するために、ハードウェアの更新を提案する

ハードウェア資源管理のツールと仕組みを導入する

ハードウェア資源管理の仕組みを運用する

ハードウェア資源管理を行う体制や役割を定める

ソフトウェアの管理評価項目を表示

▼評価項目

安全性、信頼性、拡張性、性能を確保するために、ソフトウェアの更新を提案する

ソフトウェア資源管理のツールと仕組みを導入する

ソフトウェア資源管理の仕組みを運用する

ソフトウェア資源管理を行う体制や役割を定める

データの管理評価項目を表示

▼評価項目

バックアップ対象の特性やデータ量、処理時間等により、記録媒体やバックアップサイクル等を決定する

バックアップとリストアの所要時間を踏まえて、全体バックアップと差分バックアップのサイクルを設定する

記録媒体の適切な管理方法と管理場所を提案する

データを保全するためにバックアップ・リカバリの運用を実施する

データ量を定期的に測定し、不要データの廃棄やディスク容量の増強を図る

ネットワーク資源の管理評価項目を表示

▼評価項目

安全性、信頼性、拡張性、性能を確保するためにネットワークの更新を提案する

ネットワーク資源管理のツールと仕組みを導入する

ネットワーク資源管理の仕組みを運用する

ネットワーク資源管理を行う体制や役割を定める

セキュリティ障害管理 事故の検知評価項目を表示

▼評価項目

ログファイルを定期的にチェックし、セキュリティ事故を検知する

システムの整合性を定期的にチェックし、セキュリティ事故を検知する

自動ツールを駆使し、不正侵入を検知する

事故の初動処理評価項目を表示

▼評価項目

事故発生時の情報システム責任者や関係部門への連絡を定められた手続通りに行う

事故の影響の大きさと範囲を想定して処置の優先順位を付け、被害拡大を回避する処置を行う

事故に対する初動処理を記録し、報告する

事故の分析評価項目を表示

▼評価項目

事故の被害の範囲を識別する

セキュリティホール情報やセキュリティ勧告、パッチ情報の最新情報を得て事故の分析を行う

事故の原因を特定する

必要に応じてデジタルフォレンジックを行う

事故からの復旧評価項目を表示

▼評価項目

必要に応じてシステムの再編成を行う

事故に対する対処と復旧の経過を記録する

情報システム管理者およびユーザに事故からの復旧を通知する

再発防止策の実施評価項目を表示

▼評価項目

同じような事故に対する再発防止策を決定して実施する

事故の再発防止のために、必要に応じてシステムの再構築を行う

再発防止策に基づき、セキュリティの見直しを提言する

セキュリティの評価評価項目を表示

▼評価項目

侵入検査を行い、セキュリティポリシーの遵守状況を評価する

侵入検査を継続的に実施する

侵入検査で不備のある場合に対策を行う

セキュリティの評価情報に基づき、セキュリティの見直を提言する

障害対応・保守支援 問題発生時のコントロール(問題・障害管理)評価項目を表示

▼評価項目

問題に対応する体制を確保し、解決まで維持・更新する

問題の識別、解決、回復処理までをコントロールする

活動の経過と結果を記録し、関係者に報告する

障害発生時の対応(一次障害対応)評価項目を表示

▼評価項目

発生データ、検査ツール・機器、ナレッジデータ等を活用して障害箇所の特定、不具合状況の把握、障害または不具合の原因の判別を行う

障害の原因を想定し、確実性を評価した上で、顧客に原因と復旧方法を説明する

障害修復プランや回避策に従って障害修復・回避作業を行い、動作の確認を確認し、結果を報告する

障害による影響の大きさ、修復の難易度や必要時間、抜本的な解決の必要性を判断し、適切にエスカレーションする

復旧作業に必要な要員を確保し、障害復旧の措置完了まで作業を指示、管理する

重大障害発生時の対応(二次障害対応、復旧対応)評価項目を表示

▼評価項目

関係部門を招集して対策会議を行い、早期解決を図るための体制と取り組みを統制する

障害調査結果に応じて応援者への派遣要請・指示、水平展開の要否の判断、設計部門への応援、支援の依頼を行う

障害対応による業務影響度、重要障害報告書の作成を支援する

システム改修までの障害対応を検討し、保守担当者に周知・徹底する

顧客責任者にタイムリーな報告を行い、対応完了時に障害修復作業結果報告書を作成して説明する

障害の根治(製品の対応)評価項目を表示

▼評価項目

発生した障害の製品対応に必要な情報を把握し、関係者に通知する

障害の解決が確認された製品(修正ソフトウェア)を適用して動作を確認する

障害の根治の経過や結果を関係者に説明する

障害とその対策をナレッジとして登録し、共有する

障害発生の現地(顧客サイト)で障害の情報を収集し、対策を行う

予防保守 ハードウェアの予防保守評価項目を表示

▼評価項目

保守サービス規定に基づき、保守対象毎の保守スケジュールと作業内容をまとめ、作業に必要なリソースを用意する

保守計画の意図を理解し、対象機器の監視・点検、必要なデータバックアップ、機器・ファームウェア交換等の保守作業を行う

保守管理ツールを利用してネットワーク機器の稼働状況の監視と性能測定を行う

予防保守作業において、機密保護、改ざん防止、ウイルス対策、個人情報管理等のセキュリティ管理に配慮する

ソフトウェアの予防保守評価項目を表示

▼評価項目

ソフトウェアバグの情報を収集し、対応策をまとめる

ウイルス等のマルウェアの検出と駆除等の対応策を講じる

保守計画と指示・指令書の意図を理解し、対象ソフトウェアの更新、配信作業、構成情報のバックアップ等の保守作業を行う

サービスマネジメント サービス戦略管理 ITサービス戦略管理評価項目を表示
サービスポートフォリオ管理評価項目を表示

▼評価項目

利益予想と受容可能なリスクレベルに関する分析を行い、どのサービスを提供すべきかを決定するためのプロセスと仕組みを構築する

提供する各サービスが満たすビジネスニーズと達成する事業成果を明らかにした確定版サービスポートフォリオを作成し、維持管理する

どのサービスをどのような条件で、どの投資レベルで提供するかをコントロールする

存続できないサービスを識別し、廃止するタイミングを決定する

課金管理評価項目を表示

▼評価項目

課金の目的(サービスの受益者負担、ユーザのコスト意識の醸成等)を踏まえ、公平な課金の仕組みの必要性を検討する

サービスの提供に関する課金の仕組みを構築する

サービスの提供に関する課金の仕組みを運用する

コスト管理評価項目を表示

▼評価項目

コストの内訳を把握し、妥当性を評価する

運用業務への要求レベルとコスト効率を総合的に勘案したサービスレベルの見直しを提案し、顧客と合意する

必要に応じて契約等の見直しを交渉し、顧客と合意する

需要管理評価項目を表示

▼評価項目

顧客のプロファイルを定義・分析し、さまざまな種類の顧客から発生するサービスに対する需要の代表的なプロファイルを把握する

サービスに対する需要がそのサービスを提供するためのキャパシティを超える状況を予測し、防止する

サービスに対する需要の変動に対応するために、サービスの提供に必要なリソースを調整する

事業関係管理評価項目を表示

▼評価項目

サービスに対する顧客の観点を理解し、サービスおよびサービス資産の優先度を定める

提供するサービスの種類、レベル、利用の有無に影響を与える可能性のある顧客環境の変化を識別する

サービスおよびサービスレベルが確実に価値を提供できるように、顧客との協力関係を構築する

サービス設計と移行 要員管理評価項目を表示

▼評価項目

関係組織の人事システム、ルール、服務規程を踏まえて、要員管理を行う

要員の役割分担と動機付けを行う

要員の業務能力を把握した上で、業務の配分、スケジュールの管理を行う

サービスレベルの管理評価項目を表示

▼評価項目

顧客との間で達成可能なサービスレベルを交渉し、SLAを締結する

SLAで定めたサービスレベルの評価指標に基づき、到達状況を測定する

SLAの未到達項目の改善策を提示し、改善に向けて指導する

SLAの到達状況に基づき、根本的な課題を洗い出し、関係者と協業して改善策を講じる

サービス実施体制の管理評価項目を表示

▼評価項目

サービスの提供に必要な要員を確保するために、派遣契約、業務委託契約を維持管理する

社員、派遣社員、業務委託社員の守秘義務を維持管理する

状況に応じて運用体制を見直し、関係者と調整する

サービスカタログ管理評価項目を表示

▼評価項目

サービスカタログ内に含まれる情報(成果物、価格、連絡先、注文、要求のプロセスに関する情報)を管理する

サービスカタログに稼働環境で実行されている、または実行のために準備されているすべてのサービスの最新の詳細、ステータス、インタフェース、依存関係が反映されるように維持管理を行う

サービスカタログの利用者にとって効果的、効率的な利用方法を確立する

可用性管理評価項目を表示

▼評価項目

現在および将来のビジネスニーズを反映する可用性計画を作成し、維持管理を行う

サービスの可用性が合意された目標値を実現するために、サービスとリソースに関連する可用性パフォーマンスを管理する

可用性計画におけるすべての変更の影響およびサービスとリソースの可用性をアセスメントする

ITサービス継続管理評価項目を表示

▼評価項目

組織の全体的な事業継続計画を支援する一連のITサービス継続計画を作成し、維持管理を行う

ITサービス継続計画が事業への影響と事業要件の変化にあわせて維持管理されるように、定期的にBIA(事業インパクト分析)を行う

ITサービス継続計画に対する変更の影響をアセスメントする

サプライヤ管理評価項目を表示

▼評価項目

ビジネスニーズと整合し、投資に見合う価値を得るために、サプライヤとの契約内容を定める

サプライヤのパフォーマンスを管理する

契約についてサプライヤと交渉、合意し、そのライフサイクルを通して管理を行う

ナレッジ管理評価項目を表示

▼評価項目

情報やナレッジを作成、レビュー、承認、維持、コントロール、破棄するプロセスを定め、文書化する

サービスを支援するために有用なナレッジの識別を支援する

組織内および組織間、担当者間のナレッジの継承を促進するために、関連するナレッジを検索し取り出す効果的、効率的な仕組みを構築する

システム評価・改善 ITシステムの評価 ITシステム評価指標による検証評価項目を表示
ITシステム評価報告の成案化評価項目を表示

▼評価項目

ITシステムの評価結果から、課題の抽出とニーズ分析を行う

業務運用の評価結果から、課題の抽出とニーズ分析を行う

ITシステムの評価結果、課題、ニーズおよび開発経験等を次期のシステム化構想やシステム化計画に反映できるように取りまとめる

業務運用の評価結果、課題、ニーズおよび運用経験等を次期のシステム化構想やシステム化計画に反映できるように取りまとめる

ITシステムの企画・運用に関する評価結果を報告書に取りまとめ、組織体のルールに基づき承認を得る

資産管理・評価 資産管理規定の策定 資産管理方針と体制の策定評価項目を表示
資産管理規定の作成と更新評価項目を表示

▼評価項目

資産管理方針と関連法規に基づき、資産の受入れと識別、変更管理、利用管理、廃棄等のルールを規定する

現在の資産管理状況および関連法規を踏まえて資産管理規定の改定案を作成する

作成(改定)された資産管理規定(案)を、関係者交えてレビューし、確定する

資産管理プロセスの実施 資産管理規定に基づくプロセスの実施評価項目を表示

▼評価項目

資産管理規定に基づき、受入資産を識別し、目録を作成する

資産管理規定に基づき、対象資産を保管し、利用状況を記録する

資産管理規定に基づき、対象資産の配置、管理者、構成の変更等を追跡し記録する

対象資産の評価価値と利用状況を把握し、必要に応じて資産の再分類(廃棄を含む)を行う

資産管理規定と管理者の決定に基づき、対象資産の廃棄処理を完結する

情報機器の導入・更新計画の作成・実施・評価評価項目を表示

▼評価項目

既存の情報機器を機能面、運用コスト面から分析し、課題と対応優先順位をまとめる

既存の情報機器の課題を解消できる機器を調査し、導入効果を定量的にまとめる

業務の影響を考慮した情報機器の導入計画を策定し、実施する

導入した情報機器の利用方法を告知、教育し、効果的な利用を推進する

廃棄計画の策定と実施評価項目を表示

▼評価項目

情報システムまたはソフトウェアの廃棄におけるリスクを評価し、リスクに対応した廃棄計画を策定する

情報システムまたはソフトウェアのシステムライフサイクルを把握し、償却期間を考慮した廃棄計画を策定する

情報システムの機密度や重要度を考慮した廃棄方法を決定する

廃棄計画に基づくスケジュール、作業内容、影響等を関係者に通知する

廃棄計画に基づき、情報システムまたはソフトウェアの廃棄処理を完結する

事業継続マネジメント 災害復旧計画の策定 災害復旧計画の策定評価項目を表示
災害復旧計画の実現可能性の検証評価項目を表示

▼評価項目

災害復旧計画の実現可能性を検証する計画を策定する

被害被災の程度に応じた検証を計画する

検証結果を記録し、災害復旧計画に反映させる

緊急時対応体制の確立評価項目を表示

▼評価項目

代替要員を必要とする作業を明らかにする

作業の優先順位を判断する

代替要員を確保するまでの臨時措置を検討する

交通経路、宿泊施設を検討する

従業員の避難場所を明らかにする

緊急連絡体制を策定し、従業員に周知する

災害復旧計画の運用 関連部門および取引先等への周知徹底評価項目を表示

▼評価項目

災害復旧計画の周知徹底の方法とタイミングを明らかにする

適切な時期に災害復旧計画の周知徹底を行い、その結果を確認する

災害復旧計画が変更された場合には、関連部門および取引先等に周知徹底し、その結果を確認する

災害復旧計画に基づいて、教育訓練を定期的に実施する

災害発生時の予行・訓練の実施評価項目を表示

▼評価項目

予行・訓練として、災害復旧計画に基づいて状況を把握し、計画を発動する

予行・訓練として、災害復旧計画に基づいたデータバックアップを遂行する

予行・訓練として、災害復旧計画に基づいたデータ復旧、待機系への切替え、本番系への再切換えを遂行する

予行・訓練の結果を記録し、災害復旧計画に反映させる

予行・訓練として、緊急連絡体制を確認する訓練を実施し、緊急連絡体制は最新に更新する

災害復旧計画の見直し 災害復旧計画の見直し評価項目を表示

▼評価項目

災害復旧計画見直しのルールを明らかにする

災害復旧計画見直しによる変更の理由を明らかにする

変更した災害復旧計画を組織体の責任者に説明し、承認を得る

変更した災害復旧計画の検証を実施する

新たな価値創造による新規製品・サービス開発 プロトタイピングを通した新規製品の検討 業務モデルの作成評価項目を表示
新規製品・サービスの事業化計画立案 サービスレベルの管理評価項目を表示

▼評価項目

顧客との間で達成可能なサービスレベルを交渉し、SLAを締結する

SLAで定めたサービスレベルの評価指標に基づき、到達状況を測定する

SLAの未到達項目の改善策を提示し、改善に向けて指導する

SLAの到達状況に基づき、根本的な課題を洗い出し、関係者と協業して改善策を講じる

セキュリティ領域 システム企画立案>システム化計画の策定 サービスレベルと品質に対する基本方針の明確化評価項目を表示
システム企画立案>情報セキュリティ要件定義 情報セキュリティ要件の定義評価項目を表示

▼評価項目

セキュリティポリシーやコンプライアンス、情報保証上の必要性を情報セキュリティ要件に反映させる

実装すべき情報セキュリティの要件(障害発生時の復旧時間の許容時間、データ復旧範囲等、障害対応に関する要件を含む)、実施レベル、考慮点等を明らかにする

各々の情報セキュリティ要件に対する実装方式を提示する

情報セキュリティ要件を実現するための費用を算出する

システムに存在する脆弱性について、その対策と緩和のための取り組みの方針を決定する(アプリケーションの可用性維持からパッチを適用しない場合の対策等を含む)

情報セキュリティ要件に関する制約事項を抽出する

情報セキュリティ規定の作成評価項目を表示

▼評価項目

セキュリティポリシーに基づき、企業活動のセキュリティ規定を作成する

セキュリティポリシーに基づき、情報システムのセキュリティ規定を作成する

経営層、情報セキュリティ関係担当役員、企画関係者にセキュリティ規定を説明し、承認を得る

情報セキュリティ計画の立案評価項目を表示

▼評価項目

情報セキュリティをベースにしたセキュリティ計画を策定する

セキュリティ計画の立案、およびセキュリティ計画を実行するにあたって発生する問題のソリューションを提案する

経営層、情報セキュリティ関係担当役員、企画関係者にセキュリティ計画を説明し、承認を得る

情報セキュリティ基準の策定評価項目を表示

▼評価項目

事業戦略、事業継続計画に基づき、各物理サイトの物理的保護レベルを定義する

セキュリティホール情報やセキュリティ勧告およびパッチの最新情報の分析に基づき、パッチ適用基準を策定する

従業員のソーシャルメディア使用に関するルールを策定する

アウトソース先のセキュリティ基準を策定する

電子データの信頼性を確保するために、第三者機関が発行する電子証明書と自組織が発行する電子証明書をそれぞれ利用する手続きを策定する

情報ネットワークのセキュリティ対策のためのガイダンス文書の発行管理を行う

システム要件定義・方式設計>セキュリティ要件定義 現状把握評価項目を表示

▼評価項目

組織のセキュリティポリシーを把握し、情報セキュリティに関する組織規程やルール、法令、ガイドラインの内容を確認する

当該システムの制約、前提条件、特性を明らかにする

セキュリティポリシーやシステムの制約、前提条件、特性に基づき、セキュリティリスク(システムの脆弱性、脅威等)の分析を行う

セキュリティ要件の定義評価項目を表示

▼評価項目

セキュリティリスクを回避するための認証、利用制限、データの秘匿、不正追跡・監視、ネットワーク対策、マルウェア対策、Web対策等の要件項目を明らかにする

各セキュリティ要件項目の具体的な要件と達成指標を定義する

決定したセキュリティ要件を実現するセキュリティ対策を定義し、文書化する

セキュリティ要件の評価評価項目を表示

▼評価項目

セキュリティ要件のセキュリティポリシーへの準拠性を評価する

当該システムにおける機能要件およびセキュリティ以外の非機能要件との一貫性を評価する

当該システムにおけるセキュリティ要件の実現可能性を評価する

当該システムにセキュリティ要件を実装した際の運用・保守の実現可能性を評価する

システム要件定義・方式設計>システム方式設計 適用製品・技術の評価と選定評価項目を表示

▼評価項目

システム方式設計に準じて、利用候補となる技術、製品の性能や適合性を評価する

システム方式設計に準じて、利用候補となるパッケージソフトウェアの機能や性能、適合性を評価する

システム方式設計に準じて、利用候補となるPaaS、IaaS等のシステム稼働環境の性能や適合性を評価する

利用する技術、製品、稼働環境等を選定し、その事由と実装リスク、前提条件を明らかにする

運用設計>システム運用設計 システム運用設計とレビュー評価項目を表示

▼評価項目

業務の組織、要員、運用体制、運用フロー等の業務運用に基づきシステム運用方式をまとめる

障害監視対象を明らかにし、システム監視方法を設計する

システム運用管理要件を踏まえ、システム監視方式を設計する

システム運用管理要件を踏まえ、バックアップ・リストア方式を設計する

災害発生を想定し、リスク分散や復旧の手順を設計する

運用手順書(定常時、障害時、保守、更新、構成変更)を作成し、レビューする

対象とするシステムの運用計画に、必要なセキュリティレベルを確保するために実施すべき情報セキュリティ対策を反映させる

基盤システム構築>基盤システム設計(共通) 全体設計(基本設計)評価項目を表示

▼評価項目

システム基盤の設計・構築の各工程で利用する技術標準や作成すべきドキュメントを決定する

システム基盤に対する機能要件、非機能要件、運用要件を満たす構成要素の組み合わせを検討し、基本モデルを選定する

システム基盤に起因するアプリケーション構築上の制約を提言する

セキュリティテスト>セキュリティテスト計画策定 セキュリティテスト計画の作成評価項目を表示

▼評価項目

当該システムのセキュリティ要件を踏まえてセキュリティテスト方針を定める

セキュリティテスト方針に基づくテストの対象範囲と実施環境を明らかにする

セキュリティ要件に基づくセキュリティテスト項目と合否判定基準を定める

テストの実施スケジュール、体制、実施環境を含むテスト計画書を作成する

セキュリティテストの準備評価項目を表示

▼評価項目

テスト結果として報告すべき内容(不適格と判定されたテスト項目について、発生条件、リスクの大きさ、実施すべき対策の明示等)をテスト実施要領として定める

テスト計画書およびテスト実施要領に基づき、テスト実施体制を決定する(社内体制の構築または外部機関の選定)

テストの実施に必要な環境や条件を明らかにする

セキュリティテスト>セキュリティテスト実施 セキュリティテストの実施評価項目を表示

▼評価項目

テスト計画書に基づき、テストの実施に必要な環境を準備する

テスト計画書およびテスト実施要領に基づくセキュリティテストを実施(または委託)する

テスト結果の報告を受け、テスト計画およびテスト実施要領に準じた内容であることを確認する

セキュリティテスト結果の対策実施評価項目を表示

▼評価項目

テスト結果を評価し、不適格と判定されたテスト項目への対策の必要可否を判断する

対策の内容(設計変更、システム運用方法の変更等)を定める

当該システムに施した対策に対する再テストを行い、判定結果に基づいた対策を定める

セキュリティテストの結果と対策の内容を関連文書(設計書、テスト仕様書、運用手順書等)に反映する

IT運用コントロール>情報セキュリティ管理 情報セキュリティの運用評価項目を表示

▼評価項目

パッチ適用基準に基づくパッチのマネジメントを行う

従業員が発信する電子メールの内容確認、閲覧するサイトの管理、機器の持ち出し・持ち込み等の管理を行う

セキュリティ基準に基づき、アウトソース選定時および継続時におけるセキュリティ実施状況の有効性を検証する

第三者機関が発行する電子証明書を申請して入手し、その有効期限を管理し、期限切れになる前に更新手続きを行う

手続きやガイドラインがセキュリティポリシーに確実に適合しているかどうか、ポリシーに基づく標準と実装戦略を監視する

実行中のサービスからの要求を予測し、必要に応じてセキュリティ上の前提条件に関する評価を行う

組織内の関係者との連携のもとで、重要な業務機能を識別し、優先度を設定する

自組織で発行する電子証明書について、その発行業務を企画し、発行手続きを定める

自組織で発行する電子証明書について、その発行を管理し、それぞれの電子証明書の有効期限を管理し、期限切れになる前に更新手続きが必要なことを通知する

情報セキュリティの評価と検証評価項目を表示

▼評価項目

セキュリティを調査し、耐監査性、機密性、可用性、完全性等の観点から問題点を抽出する

セキュリティの安全性と有効性を検証する

情報保証において、アプリケーション、システム、ネットワークのリスクのレベルが許容範囲内であるかどうかを、観測結果をもとに継続的に検査する

情報保証の観点から、情報システムに関する保証と認定を維持するために必要な対策を講じて、それらの保証と認定を維持する

上位者または本部組織に対して、技術文書、インシデントレポート、検査結果、その他の観測情報を提供する

インシデント対応とコンピュータネットワーク防御に関して、外部組織と情報交換を行う

システム運用管理>変更管理 変更の評価評価項目を表示

▼評価項目

顧客の要件、コストの削減、性能の向上等、変更によって期待される効果が実現されていることを検証し、客観的な証拠を提示する

変更による意図しない影響を明確にし、フィードバックを行う

リスク・プロファイル、逸脱レポート、推奨事項、検定記述書からなる評価レポートを作成する

システム運用管理>リリース管理 妥当性確認とテスト評価項目を表示

▼評価項目

コンポーネントの最終的な品質確認のためのテストを行う

リリースにより提供されるサービスが、予定されているコスト、キャパシティ、制約の範囲内で期待されている成果と価値を提供することを確認する

リリースにより提供されるサービスが、あらかじめ合意されたサービスレベル、顧客の事業要件およびステークホルダの要件を満たすことを検証し、客観的な証拠を提示する

システム運用管理>セキュリティ障害管理 事故の検知評価項目を表示

▼評価項目

ログファイルを定期的にチェックし、セキュリティ事故を検知する

システムの整合性を定期的にチェックし、セキュリティ事故を検知する

自動ツールを駆使し、不正侵入を検知する

事故の初動処理評価項目を表示

▼評価項目

事故発生時の情報システム責任者や関係部門への連絡を定められた手続通りに行う

事故の影響の大きさと範囲を想定して処置の優先順位を付け、被害拡大を回避する処置を行う

事故に対する初動処理を記録し、報告する

事故の分析評価項目を表示

▼評価項目

事故の被害の範囲を識別する

セキュリティホール情報やセキュリティ勧告、パッチ情報の最新情報を得て事故の分析を行う

事故の原因を特定する

必要に応じてデジタルフォレンジックを行う

事故からの復旧評価項目を表示

▼評価項目

必要に応じてシステムの再編成を行う

事故に対する対処と復旧の経過を記録する

情報システム管理者およびユーザに事故からの復旧を通知する

再発防止策の実施評価項目を表示

▼評価項目

同じような事故に対する再発防止策を決定して実施する

事故の再発防止のために、必要に応じてシステムの再構築を行う

再発防止策に基づき、セキュリティの見直しを提言する

セキュリティの評価評価項目を表示

▼評価項目

侵入検査を行い、セキュリティポリシーの遵守状況を評価する

侵入検査を継続的に実施する

侵入検査で不備のある場合に対策を行う

セキュリティの評価情報に基づき、セキュリティの見直を提言する

システム運用管理>障害対応・保守支援 問題発生時のコントロール(問題・障害管理)評価項目を表示

▼評価項目

問題に対応する体制を確保し、解決まで維持・更新する

問題の識別、解決、回復処理までをコントロールする

活動の経過と結果を記録し、関係者に報告する

事業継続マネジメント>災害復旧計画の策定 災害復旧計画の策定評価項目を表示

▼評価項目

情報資産の評価結果とリスク分析結果を踏まえた災害時の対応計画を策定する

災害復旧計画において、バックアップ、代替処理、復旧対策、見直しのルール等を明らかにする

事業継続計画と災害復旧計画との整合性を検証する

災害復旧計画を組織体の責任者に説明し、承認を得る

災害復旧計画に基づく従業員に対する教育訓練の方針を明らかにする

災害復旧計画の実現可能性の検証評価項目を表示

▼評価項目

災害復旧計画の実現可能性を検証する計画を策定する

被害被災の程度に応じた検証を計画する

検証結果を記録し、災害復旧計画に反映させる

緊急時対応体制の確立評価項目を表示

▼評価項目

代替要員を必要とする作業を明らかにする

作業の優先順位を判断する

代替要員を確保するまでの臨時措置を検討する

交通経路、宿泊施設を検討する

従業員の避難場所を明らかにする

緊急連絡体制を策定し、従業員に周知する

事業継続マネジメント>災害復旧計画の見直し 災害復旧計画の見直し評価項目を表示

▼評価項目

災害復旧計画見直しのルールを明らかにする

災害復旧計画見直しによる変更の理由を明らかにする

変更した災害復旧計画を組織体の責任者に説明し、承認を得る

変更した災害復旧計画の検証を実施する