タスク一覧



「セキュリティアドミニストレータ(ISセキュリティアドミニストレータ)」のタスク例

タスクプロフィール 「セキュリティアドミニストレータ(ISセキュリティアドミニストレータ)」で定義されているタスク例です。これらを参考にしながらタスクや役割を定義してください。
また、各タスクの詳細を参照する場合は、「評価項目を表示」ボタンをクリックしてください。
このタスクプロフィールに関する研修・書籍・資格の情報が こちらから検索できます。

タスク大分類 タスク中分類 タスク小分類
システム企画立案 システム化計画の策定 サービスレベルと品質に対する基本方針の明確化評価項目を表示
業務・システム要件定義 システム要件の定義評価項目を表示

▼評価項目

システム化の対象となる人の作業およびシステム機能の実現範囲を定義する

ユーザのニーズや要望をもとに情報管理の観点、単位、形式等を分析する

他システムとの情報授受等のインタフェースを定義する

ユーザがシステムをどのような環境(システム、人の動き)で運用・保守するのかを確認し、運用要件を検討する

ユーザのニーズに適合した性能、可用性、キャパシティ、セキュリティ、ユーザビリティ等に関する要件を検討する

プロジェクトマネジメント プロジェクト計画策定 品質保証計画の策定評価項目を表示
リスク管理計画の策定評価項目を表示

▼評価項目

プロジェクトにかかわる主要なリスク(スケジュール、資源計画、組織・要員、調達、費用、品質)を想定する

リスクの発生確率や影響範囲を定量化する

リスクがプロジェクトに与える影響度を計り、対応の優先順位を決定し、対応策を立案する

リスク発生の予防策を計画し、詳細レベルタスクに組み込む

不測事態対応計画を策定する

リスク発生を監視、追跡し、コントロールするための管理表を作成する

プロジェクト追跡と実行管理 品質管理評価項目を表示

▼評価項目

定められた手順に沿って、品質管理を実施する

品質基準に満たない事象が識別された場合、対応策を講じる

プロジェクト全体の品質に大きな影響が予測される場合、品質保証計画を変更し、承認を受けて実施する

品質保証計画の変更に伴う改善状況を確認する

リスク管理評価項目を表示

▼評価項目

リスク管理対象のすべての要素に対して監視および追跡を継続する

計画されたすべてのリスク予防策を実施し、その効果を確認する

新たに識別したリスクへの予防策、発生時対応計画を策定し、実施する

リスクの発生に伴い、不測事態対応計画を実行して復旧状態を確認し、その過程を評価する

リスク発生に伴うすべての事項を文書化する

IT運用コントロール 情報セキュリティ管理 情報セキュリティの運用評価項目を表示
情報セキュリティの評価と検証評価項目を表示

▼評価項目

セキュリティを調査し、耐監査性、機密性、可用性、完全性等の観点から問題点を抽出する

セキュリティの安全性と有効性を検証する

情報保証において、アプリケーション、システム、ネットワークのリスクのレベルが許容範囲内であるかどうかを、観測結果をもとに継続的に検査する

情報保証の観点から、情報システムに関する保証と認定を維持するために必要な対策を講じて、それらの保証と認定を維持する

上位者または本部組織に対して、技術文書、インシデントレポート、検査結果、その他の観測情報を提供する

インシデント対応とコンピュータネットワーク防御に関して、外部組織と情報交換を行う

情報セキュリティマネジメント 情報セキュリティ戦略と方針の策定 基本戦略の策定評価項目を表示
情報資産の評価評価項目を表示

▼評価項目

情報資産(システム、データ、人材、ドキュメント)を識別する

機密性、完全性、可用性の3つの側面から経営における重要度、致命度を評価し、整理する

整理、評価した情報資産について、経営層、情報セキュリティ関係担当役員、企画関係者に説明し、承認を得る

脅威とリスクの識別評価項目を表示

▼評価項目

現状の脅威に関する情報を網羅的に収集する

現状の脅威に関する情報を情報の改ざん、情報の漏洩、資源の浪費、資源の不正利用、人による過ち等の分類項目で整理する

情報資産に対する現状のリスク(システム廃棄を含む)を識別する

リスクの発生しうる場所および発生時期を整理する

リスクの原因を、物理的な要因、技術的な要因、人的な要因に分類し、整理する

リスクの評価評価項目を表示

▼評価項目

現状、リスクに対して対策がどの程度実施されているか調査し、その結果を整理する

整理されたリスクの発生確率を明らかにし、損害額を算定する

各リスクに対して、リスク軽減の対策とコストを算定する

リスクアセスメントで発見された残留リスクが許容可能か否かを評価する

各々のリスク対策にランク付けを行う

セキュリティポリシーの策定評価項目を表示

▼評価項目

セキュリティ対策への取り組みを経営方針に反映させる

セキュリティ対策の目的、適用範囲、達成レベル、対策基準の方針、情報セキュリティの責任者、経営者・従業員の遵守事項、組織または実施体制、運用、罰則、公開、見直しについて記述する

経営層、情報セキュリティ関係担当役員、企画関係者にセキュリティ方針と体制を説明し、承認を得る

情報セキュリティに関する法律やISO、JIS等の標準規格を踏まえて、ポリシー案およびその調整に関するレビューと承認を行う

組織のセキュリティ目標を実現するための情報セキュリティ戦略の代替案を分析する

情報セキュリティの運用 情報セキュリティガバナンス評価項目を表示

▼評価項目

セキュアな運用と情報保全の維持に必要なリソースを確保する

リスクアセスメント、監査、検査を通じて識別された脆弱性に対して、適切な対策を講じる

セキュリティリスクの分析結果を、組織設計、職務分掌、業務プロセス定義等に反映させる

現場部門に情報セキュリティ戦略に対応したプロセスを実施させる

必要なセキュリティレベルを確保するために満足すべきセキュリティ対策に関する要件を、システムおよびサービスの調達要件に反映させる

セキュリティリスク、緩和策およびその他の技術リスクを扱うリスクガバナンスのプロセスに関与する

情報セキュリティ対策について、組織の目標の達成に向けて組織管理者と連携する

情報セキュリティ予算、要員、契約を主導・監督する

認定ないし保証されたセキュリティ対策の実施状況に関する最新の文書を入手し、利用する

組織内のさまざまな関係者と情報セキュリティ対策の在り方について意見交換する

予め緊急時の対応の権限を委任され、必要な対処を行う

組織で実施する検査、テスト、レビューを、ネットワーク環境に適した形で確実に実施させる

情報セキュリティのインシデント発生時にCSIRTを指揮し、情報を収集し、経営陣に報告する

情報セキュリティの周知と教育評価項目を表示

▼評価項目

情報セキュリティ戦略、セキュリティポリシーおよび遵守すべきガイドラインを協働者、アウトソース等を含む関係者に周知徹底する

役割別、階層別の情報セキュリティ教育を企画し、実施する

セキュリティインシデントがもたらす社会的影響を従業員に理解させる

情報セキュリティの見直し 情報の収集と評価評価項目を表示

▼評価項目

セキュリティに関する法令の改正や社会通念の変化、コンプライアンス上の新たな課題等の情報を収集する

セキュリティホールやセキュリティ勧告およびパッチの最新情報を収集する

最新のセキュリティ技術情報を収集し、対象システムに適用できるかどうか評価する

運用上の問題点整理と分析評価項目を表示

▼評価項目

アンケートやヒアリングを行い、セキュリティポリシー実施上の問題点を収集、整理する

違反者の多いセキュリティ基準を収集、整理する

非遵守事項が情報セキュリティにどのような影響を及ぼすかを導き出す

整理された問題点について、セキュリティポリシー変更に対する分析を行い、ポリシーを見直す

事故の再発防止策の実施によってセキュリティポリシーの受ける影響を分析し、ポリシーを見直す

適切な緩和策を確実に実施するための監査指摘事項と勧告の追跡を行う

セキュリティ対策に関する改善策が確実に実施されていることを確認する

技術上の問題点整理と分析評価項目を表示

▼評価項目

新技術の開発により影響を受けるセキュリティポリシーの箇所を識別し、整理する

セキュリティ評価の結果から、影響を受けるセキュリティポリシーの箇所を識別し、整理する

整理された問題点について、セキュリティポリシー変更に対する分析を行い、ポリシーを見直す

情報技術の変化に応じてセキュリティ要件を変更する、もしくは変更が不要なことを確認する

新たなリスクの整理と分析評価項目を表示

▼評価項目

新たなリスクを収集、整理する

新たなリスクにより影響を受けるセキュリティポリシーの箇所を識別し、整理する

情報保証の観点から、リスクのレベルがアプリケーション、システム、ネットワークにおいて許容範囲内であることを確認するためのレビューを行う

整理された問題点について、セキュリティポリシー変更に対する分析を行い、ポリシーを見直す

セキュリティポリシーの更新評価項目を表示

▼評価項目

セキュリティポリシーの見直し対象について、再度リスク分析を行い、ポリシーを更新する

セキュリティポリシーの更新を経営層、情報セキュリティ関係担当役員、企画関係者に説明し、承認を得る

継続的にセキュリティポリシーの見直しを行う

情報技術の変化に応じて、セキュリティ要件を変更、もしくは変更が不要なことを確認する

品質マネジメント 品質管理のコントロール 品質マネジメントシステムの運用評価項目を表示
品質標準および品質管理実践基準の定義評価項目を表示

▼評価項目

品質標準や品質管理の実践基準に関する技術動向や業界のベストプラクティスを把握する

システムのライフサイクルを通じた開発、保守、運用、調達の品質に関する標準を定義する

主要な工程ごとの品質標準に対する測定基準と承認基準を設定する

設定した品質標準および品質管理実践基準を、関係者の合意を経て関係組織に導入する

品質の測定、モニタリングおよび改善評価項目を表示

▼評価項目

品質マネジメントシステムのコンプライアンスおよび品質マネジメントシステムが提供する価値をモニタするための測定項目を設定する

各プロジェクト、プロセスへの品質標準、品質管理実践基準の導入状況をモニタリングし、準拠性の評価と例外の妥当性を判断する

品質標準および品質管理実践基準の非準拠等の例外の要因を特定し、プロセス標準や実施内容との調整を図りながら改善する

契約管理 契約締結管理 委託/受託業務の内容と責任分担の明確化評価項目を表示
法的要件を満たした契約内容の作成評価項目を表示

▼評価項目

(相手方/当方が)作成したプログラム、データおよびドキュメントの知的財産権の帰属を明らかにして、契約書に反映する

必要な特約条項および免責条項を明らかにして、契約書に反映する

損害賠償に関する会社方針を確認し、損害賠償条項を契約書に反映する

該当案件の再委託にかかわる方針を明らかにし、再委託条項を契約書に反映する

再委託先の機密保持の適用条件を契約書に明記する

監査に関する会社方針を確認し、監査条項を契約書に反映する

監査の対象範囲、適用する基準および結果の取り扱いを明らかにする

契約の締結評価項目を表示

▼評価項目

契約上の責任、役割、条件、関連する法令、組織体の規定に関する事項が網羅されているか、契約内容を確認する

契約条項の内容を理解し、優先して交渉する条項、譲歩ができる条項等の区別を行う

契約交渉を行い、相手方の指摘や主張の内容や狙いを確認し、法務部門と連携して受入可否の判断を行う

当方の主張、相手方の主張を調整し、合意形成を行う

委託/受託契約ルール遵守評価項目を表示

▼評価項目

委託契約ルールまたは受託契約ルールを定める

委託/受託契約ルールに基づいた契約書を作成し、委託/受託の責任者の承認を得る

契約書の内容を関係者に周知徹底する

供給/委託先の選択・交渉評価項目を表示

▼評価項目

供給・委託先の選択ルールに基づき、その手順を明らかにする

供給・委託先を決定し、その理由を根拠となる情報と共に関係者に説明する

購買要件、条件を明らかにし、供給・委託先に提示の上で合意形成を図る

選定した供給・委託先との契約内容を確定するために、必要に応じて法務部門や外部専門家の指導を受けながら、知的所有権、ライセンス条件等を含めた契約内容を交渉する

費用の支払い方法、支払い条件を確定し、日常業務の経理部門に対して、経費発生額と時期を通知し、資金計画を要請する

口座開設評価項目を表示

▼評価項目

新規取引の場合には口座開設の申し込みを行う

顧客口座開設に必要な書類を作成し、社内の決済を得る

顧客サイドに口座開設の承認が下りたことを確認する

機密情報管理評価項目を表示

▼評価項目

機密情報保持契約の内容を理解し、顧客との間で契約を締結する

顧客から預かった情報資産の受け入れ日、保管期限等を管理する

顧客から預かった情報資産の保管期限が過ぎた場合、ルールに従い廃棄する

契約変更管理 追加変更発生時の対応評価項目を表示

▼評価項目

該当案件の契約書および仕様書の委託業務内容を確認する

既契約外として追加、変更される作業の内容を明らかにする

当初契約以外の作業を別契約として取りまとめ、覚書を締結する

契約の変更要求の受付と影響分析評価項目を表示

▼評価項目

契約の変更要求を受付け、既契約内容の確認を行う

変更要求の影響範囲とリスクを具体的に整理する

影響範囲とリスクに基づき、対応方針を定め、合意の条件を設定する

契約変更の協議と締結評価項目を表示

▼評価項目

当方の主張、相手方の主張を調整し、合意形成を行う

合意した内容で変更契約を締結する

契約の変更内容、変更時期を関係者に徹底し、説明する

マーケティング・セールス ソリューションの組立て リスク計画の策定評価項目を表示
ソリューションの提案 ソリューションの提案評価項目を表示

▼評価項目

顧客の財務状態(決算指標等)や経営戦略の概要を分析し、自社のソリューションを購入できる時期や価格帯を検証する

顧客の課題や戦略に基づくIT要件の主要なポイントを把握し、自社のソリューションの適合性を分析する

顧客の購買基準をヒアリングし、基準に適合するように可能な限り調整した上で提案する

顧客のセキュリティ基準、監査基準をヒアリングし、基準に適合するように可能な限り調整した上で提案する

調達・委託 委託業務管理 セキュリティの調査評価項目を表示
委託業務の開始・推進評価項目を表示

▼評価項目

委託業務開始前に契約内容を確認する

委託先が契約履行に必要な情報について、資料管理責任者と担当を明らかにし、委託契約料、仕様書に基づいて要求仕様、データ、資料を提供する

委託業務の実施内容を委託先責任者に説明し、把握させる

決められた方法に基づき、委託業務の実施内容を確認するとともに、契約内容の相違点の有無を確認する

委託業務の実施内容と契約内容に相違がある場合、齟齬の発生理由と課題を明らかにし、措置を講じることにより是正を図る

進捗状況の把握と遅延、その他のリスク対策評価項目を表示

▼評価項目

決められたタイミングと手段ならびに報告内容から想定される課題等を委託先に確認しながら、進捗状況を把握する

遅延や品質、コスト等にかかわる問題点の原因を究明し、措置を講じることで是正を図る

誤謬防止、不正防止、機密保護等の対策の実現方法を明らかに、これらの実現状況を把握する

誤謬防止、不正防止、機密保護等の対策の実現状況に応じて、担当者の誓約書を取り交わす等の必要な改善措置を講じる

成果物の検収評価項目を表示

▼評価項目

成果物の検収条件を検収基準として策定し、検収不可の場合の対策方法を含めて、作業委託時に委託先に提示する

予め定めた検収基準に基づき、成果物検収を実施する

検収不可の場合、委託先に対して、定められた手順に則り是正を勧告する

検収結果を報告書に取りまとめ、委託責任者の承認を得る

業務終了後のデータ、資料等の回収と廃棄確認評価項目を表示

▼評価項目

委託先に提示した資料の変換、回収、廃棄等の方法を定義し、委託先を指導する

決められたタイミングと手続きで委託先に提示した資料の回収、廃棄を指示し、実行結果を確認する

委託先からの資料回収、資料廃棄を報告書に取りまとめ、委託責任者の承認を得る

業務結果の分析と評価評価項目を表示

▼評価項目

業務委託終了後、委託業務実績について、品質、納期、費用等の観点で分析を行い、評価報告として取りまとめる

委託業務評価報告書を委託責任者に承認を得る

複数案件の委託業務評価報告を取りまとめ、委託先企業の品質、納期遵守、費用等に関する総合評価を行い、以降の委託先選定時の参考資料を作成する

委託先との今後の付き合い方やベンダ選定基準等への反映を狙い、関係者に評価結果を報告する

営業業務 ソリューションの組立て リスク計画の策定評価項目を表示
契約締結管理 委託/受託業務の内容と責任分担の明確化評価項目を表示

▼評価項目

該当案件の委託/受託業務内容および責任分担を契約書、仕様書に明記する

委託/受託業務の完了条件や検収条件を契約書に明記し、相手方と合意する

追加作業についての取り扱いを契約書に明記する

口座開設評価項目を表示

▼評価項目

新規取引の場合には口座開設の申し込みを行う

顧客口座開設に必要な書類を作成し、社内の決済を得る

顧客サイドに口座開設の承認が下りたことを確認する

法的要件を満たした契約内容の作成評価項目を表示

▼評価項目

(相手方/当方が)作成したプログラム、データおよびドキュメントの知的財産権の帰属を明らかにして、契約書に反映する

必要な特約条項および免責条項を明らかにして、契約書に反映する

損害賠償に関する会社方針を確認し、損害賠償条項を契約書に反映する

該当案件の再委託にかかわる方針を明らかにし、再委託条項を契約書に反映する

再委託先の機密保持の適用条件を契約書に明記する

監査に関する会社方針を確認し、監査条項を契約書に反映する

監査の対象範囲、適用する基準および結果の取り扱いを明らかにする

契約の締結評価項目を表示

▼評価項目

契約上の責任、役割、条件、関連する法令、組織体の規定に関する事項が網羅されているか、契約内容を確認する

契約条項の内容を理解し、優先して交渉する条項、譲歩ができる条項等の区別を行う

契約交渉を行い、相手方の指摘や主張の内容や狙いを確認し、法務部門と連携して受入可否の判断を行う

当方の主張、相手方の主張を調整し、合意形成を行う

顧客に契約書の内容を説明し、理解を得、契約を締結する

委託/受託契約ルール遵守評価項目を表示

▼評価項目

委託契約ルールまたは受託契約ルールを定める

委託/受託契約ルールに基づいた契約書を作成し、委託/受託の責任者の承認を得る

契約書の内容を関係者に周知徹底する

供給/委託先の選択・交渉評価項目を表示

▼評価項目

供給・委託先の選択ルールに基づき、その手順を明らかにする

供給・委託先を決定し、その理由を根拠となる情報と共に関係者に説明する

購買要件、条件を明らかにし、供給・委託先に提示の上で合意形成を図る

選定した供給・委託先との契約内容を確定するために、必要に応じて法務部門や外部専門家の指導を受けながら、知的所有権、ライセンス条件等を含めた契約内容を交渉する

費用の支払い方法、支払い条件を確定し、日常業務の経理部門に対して、経費発生額と時期を通知し、資金計画を要請する

機密情報管理評価項目を表示

▼評価項目

機密情報保持契約の内容を理解し、顧客との間で契約を締結する

顧客から預かった情報資産の受け入れ日、保管期限等を管理する

顧客から預かった情報資産の保管期限が過ぎた場合、ルールに従い廃棄する

契約変更管理 追加変更発生時の対応評価項目を表示

▼評価項目

該当案件の契約書および仕様書の委託業務内容を確認する

既契約外として追加、変更される作業の内容を明らかにする

当初契約以外の作業を別契約として取りまとめ、覚書を締結する

契約の変更要求の受付と影響分析評価項目を表示

▼評価項目

契約の変更要求を受付け、既契約内容の確認を行う

変更要求の影響範囲とリスクを具体的に整理する

影響範囲とリスクに基づき、対応方針を定め、合意の条件を設定する

契約変更の協議と締結評価項目を表示

▼評価項目

当方の主張、相手方の主張を調整し、合意形成を行う

合意した内容で変更契約を締結する

契約の変更内容、変更時期を関係者に徹底し、説明する

セキュリティ領域 システム企画立案>システム化計画の策定 サービスレベルと品質に対する基本方針の明確化評価項目を表示
システム企画立案>業務・システム要件定義 システム要件の定義評価項目を表示

▼評価項目

システム化の対象となる人の作業およびシステム機能の実現範囲を定義する

ユーザのニーズや要望をもとに情報管理の観点、単位、形式等を分析する

他システムとの情報授受等のインタフェースを定義する

ユーザがシステムをどのような環境(システム、人の動き)で運用・保守するのかを確認し、運用要件を検討する

ユーザのニーズに適合した性能、可用性、キャパシティ、セキュリティ、ユーザビリティ等に関する要件を検討する

プロジェクトマネジメント>プロジェクト計画策定 品質保証計画の策定評価項目を表示

▼評価項目

プロジェクトに求められる品質特性を理解し、品質方針と達成目標(品質基準)を定める

品質を作り込む手段としての開発プロセス、アーキテクチャ、基準、規約等を選択または決定する

品質保証のための組織構造、責任、プロセス、資源等を明らかにし、品質保証計画を策定する

品質リスクを明らかにする

リスク管理計画の策定評価項目を表示

▼評価項目

プロジェクトにかかわる主要なリスク(スケジュール、資源計画、組織・要員、調達、費用、品質)を想定する

リスクの発生確率や影響範囲を定量化する

リスクがプロジェクトに与える影響度を計り、対応の優先順位を決定し、対応策を立案する

リスク発生の予防策を計画し、詳細レベルタスクに組み込む

不測事態対応計画を策定する

リスク発生を監視、追跡し、コントロールするための管理表を作成する

プロジェクトマネジメント>プロジェクト追跡と実行管理 品質管理評価項目を表示

▼評価項目

定められた手順に沿って、品質管理を実施する

品質基準に満たない事象が識別された場合、対応策を講じる

プロジェクト全体の品質に大きな影響が予測される場合、品質保証計画を変更し、承認を受けて実施する

品質保証計画の変更に伴う改善状況を確認する

リスク管理評価項目を表示

▼評価項目

リスク管理対象のすべての要素に対して監視および追跡を継続する

計画されたすべてのリスク予防策を実施し、その効果を確認する

新たに識別したリスクへの予防策、発生時対応計画を策定し、実施する

リスクの発生に伴い、不測事態対応計画を実行して復旧状態を確認し、その過程を評価する

リスク発生に伴うすべての事項を文書化する

IT運用コントロール>情報セキュリティ管理 情報セキュリティの運用評価項目を表示

▼評価項目

パッチ適用基準に基づくパッチのマネジメントを行う

従業員が発信する電子メールの内容確認、閲覧するサイトの管理、機器の持ち出し・持ち込み等の管理を行う

セキュリティ基準に基づき、アウトソース選定時および継続時におけるセキュリティ実施状況の有効性を検証する

第三者機関が発行する電子証明書を申請して入手し、その有効期限を管理し、期限切れになる前に更新手続きを行う

手続きやガイドラインがセキュリティポリシーに確実に適合しているかどうか、ポリシーに基づく標準と実装戦略を監視する

実行中のサービスからの要求を予測し、必要に応じてセキュリティ上の前提条件に関する評価を行う

組織内の関係者との連携のもとで、重要な業務機能を識別し、優先度を設定する

自組織で発行する電子証明書について、その発行業務を企画し、発行手続きを定める

自組織で発行する電子証明書について、その発行を管理し、それぞれの電子証明書の有効期限を管理し、期限切れになる前に更新手続きが必要なことを通知する

情報セキュリティの評価と検証評価項目を表示

▼評価項目

セキュリティを調査し、耐監査性、機密性、可用性、完全性等の観点から問題点を抽出する

セキュリティの安全性と有効性を検証する

情報保証において、アプリケーション、システム、ネットワークのリスクのレベルが許容範囲内であるかどうかを、観測結果をもとに継続的に検査する

情報保証の観点から、情報システムに関する保証と認定を維持するために必要な対策を講じて、それらの保証と認定を維持する

上位者または本部組織に対して、技術文書、インシデントレポート、検査結果、その他の観測情報を提供する

インシデント対応とコンピュータネットワーク防御に関して、外部組織と情報交換を行う

情報セキュリティマネジメント>情報セキュリティ戦略と方針の策定 基本戦略の策定評価項目を表示

▼評価項目

組織体の情報セキュリティ目標を定める

情報セキュリティ戦略を実施するにあたり、その実行体制を確立する

経営戦略に準じた組織全体の改善サイクルとなるようにエンタープライズアーキテクチャ(BA、DA、AA、TA)開発組織を統轄する

セキュリティ業務全体を見て、その業務の一部を委託をすべきなのかを判断、決定する

システムのセキュリティやリスクに関する技術動向調査を行い、その情報をIT戦略立案に活用する

CSIRTの方針を策定し、経営層、情報セキュリティ関係担当役員、企画関係者に説明し、承認を得る

CSIRTの体制を構築し、リソースを確保する

情報資産の評価評価項目を表示

▼評価項目

情報資産(システム、データ、人材、ドキュメント)を識別する

機密性、完全性、可用性の3つの側面から経営における重要度、致命度を評価し、整理する

整理、評価した情報資産について、経営層、情報セキュリティ関係担当役員、企画関係者に説明し、承認を得る

脅威とリスクの識別評価項目を表示

▼評価項目

現状の脅威に関する情報を網羅的に収集する

現状の脅威に関する情報を情報の改ざん、情報の漏洩、資源の浪費、資源の不正利用、人による過ち等の分類項目で整理する

情報資産に対する現状のリスク(システム廃棄を含む)を識別する

リスクの発生しうる場所および発生時期を整理する

リスクの原因を、物理的な要因、技術的な要因、人的な要因に分類し、整理する

リスクの評価評価項目を表示

▼評価項目

現状、リスクに対して対策がどの程度実施されているか調査し、その結果を整理する

整理されたリスクの発生確率を明らかにし、損害額を算定する

各リスクに対して、リスク軽減の対策とコストを算定する

リスクアセスメントで発見された残留リスクが許容可能か否かを評価する

各々のリスク対策にランク付けを行う

セキュリティポリシーの策定評価項目を表示

▼評価項目

セキュリティ対策への取り組みを経営方針に反映させる

セキュリティ対策の目的、適用範囲、達成レベル、対策基準の方針、情報セキュリティの責任者、経営者・従業員の遵守事項、組織または実施体制、運用、罰則、公開、見直しについて記述する

経営層、情報セキュリティ関係担当役員、企画関係者にセキュリティ方針と体制を説明し、承認を得る

情報セキュリティに関する法律やISO、JIS等の標準規格を踏まえて、ポリシー案およびその調整に関するレビューと承認を行う

組織のセキュリティ目標を実現するための情報セキュリティ戦略の代替案を分析する

情報セキュリティマネジメント>情報セキュリティの運用 情報セキュリティガバナンス評価項目を表示

▼評価項目

セキュアな運用と情報保全の維持に必要なリソースを確保する

リスクアセスメント、監査、検査を通じて識別された脆弱性に対して、適切な対策を講じる

セキュリティリスクの分析結果を、組織設計、職務分掌、業務プロセス定義等に反映させる

現場部門に情報セキュリティ戦略に対応したプロセスを実施させる

必要なセキュリティレベルを確保するために満足すべきセキュリティ対策に関する要件を、システムおよびサービスの調達要件に反映させる

セキュリティリスク、緩和策およびその他の技術リスクを扱うリスクガバナンスのプロセスに関与する

情報セキュリティ対策について、組織の目標の達成に向けて組織管理者と連携する

情報セキュリティ予算、要員、契約を主導・監督する

認定ないし保証されたセキュリティ対策の実施状況に関する最新の文書を入手し、利用する

組織内のさまざまな関係者と情報セキュリティ対策の在り方について意見交換する

予め緊急時の対応の権限を委任され、必要な対処を行う

組織で実施する検査、テスト、レビューを、ネットワーク環境に適した形で確実に実施させる

情報セキュリティのインシデント発生時にCSIRTを指揮し、情報を収集し、経営陣に報告する

情報セキュリティの周知と教育評価項目を表示

▼評価項目

情報セキュリティ戦略、セキュリティポリシーおよび遵守すべきガイドラインを協働者、アウトソース等を含む関係者に周知徹底する

役割別、階層別の情報セキュリティ教育を企画し、実施する

セキュリティインシデントがもたらす社会的影響を従業員に理解させる

情報セキュリティマネジメント>情報セキュリティの見直し 情報の収集と評価評価項目を表示

▼評価項目

セキュリティに関する法令の改正や社会通念の変化、コンプライアンス上の新たな課題等の情報を収集する

セキュリティホールやセキュリティ勧告およびパッチの最新情報を収集する

最新のセキュリティ技術情報を収集し、対象システムに適用できるかどうか評価する

運用上の問題点整理と分析評価項目を表示

▼評価項目

アンケートやヒアリングを行い、セキュリティポリシー実施上の問題点を収集、整理する

違反者の多いセキュリティ基準を収集、整理する

非遵守事項が情報セキュリティにどのような影響を及ぼすかを導き出す

整理された問題点について、セキュリティポリシー変更に対する分析を行い、ポリシーを見直す

事故の再発防止策の実施によってセキュリティポリシーの受ける影響を分析し、ポリシーを見直す

適切な緩和策を確実に実施するための監査指摘事項と勧告の追跡を行う

セキュリティ対策に関する改善策が確実に実施されていることを確認する

技術上の問題点整理と分析評価項目を表示

▼評価項目

新技術の開発により影響を受けるセキュリティポリシーの箇所を識別し、整理する

セキュリティ評価の結果から、影響を受けるセキュリティポリシーの箇所を識別し、整理する

整理された問題点について、セキュリティポリシー変更に対する分析を行い、ポリシーを見直す

情報技術の変化に応じてセキュリティ要件を変更する、もしくは変更が不要なことを確認する

新たなリスクの整理と分析評価項目を表示

▼評価項目

新たなリスクを収集、整理する

新たなリスクにより影響を受けるセキュリティポリシーの箇所を識別し、整理する

情報保証の観点から、リスクのレベルがアプリケーション、システム、ネットワークにおいて許容範囲内であることを確認するためのレビューを行う

整理された問題点について、セキュリティポリシー変更に対する分析を行い、ポリシーを見直す

セキュリティポリシーの更新評価項目を表示

▼評価項目

セキュリティポリシーの見直し対象について、再度リスク分析を行い、ポリシーを更新する

セキュリティポリシーの更新を経営層、情報セキュリティ関係担当役員、企画関係者に説明し、承認を得る

継続的にセキュリティポリシーの見直しを行う

情報技術の変化に応じて、セキュリティ要件を変更、もしくは変更が不要なことを確認する

品質マネジメント>品質管理のコントロール 品質マネジメントシステムの運用評価項目を表示

▼評価項目

プロジェクトマネージャまたは組織体の品質活動を通じて、組織体が生み出すプロダクトの品質とそれらを生むプロセスの改善活動を実行する

品質とプロセスの改善目標や改善範囲を設定し、関係者に周知徹底する

障害発生を契機として改善のサイクルを主導し、活動を根付かせる

品質標準および品質管理実践基準の定義評価項目を表示

▼評価項目

品質標準や品質管理の実践基準に関する技術動向や業界のベストプラクティスを把握する

システムのライフサイクルを通じた開発、保守、運用、調達の品質に関する標準を定義する

主要な工程ごとの品質標準に対する測定基準と承認基準を設定する

設定した品質標準および品質管理実践基準を、関係者の合意を経て関係組織に導入する

品質の測定、モニタリングおよび改善評価項目を表示

▼評価項目

品質マネジメントシステムのコンプライアンスおよび品質マネジメントシステムが提供する価値をモニタするための測定項目を設定する

各プロジェクト、プロセスへの品質標準、品質管理実践基準の導入状況をモニタリングし、準拠性の評価と例外の妥当性を判断する

品質標準および品質管理実践基準の非準拠等の例外の要因を特定し、プロセス標準や実施内容との調整を図りながら改善する

契約管理>契約締結管理 委託/受託業務の内容と責任分担の明確化評価項目を表示

▼評価項目

該当案件の委託/受託業務内容および責任分担を契約書、仕様書に明記する

委託/受託業務の完了条件や検収条件を契約書に明記し、相手方と合意する

追加作業についての取り扱いを契約書に明記する

法的要件を満たした契約内容の作成評価項目を表示

▼評価項目

(相手方/当方が)作成したプログラム、データおよびドキュメントの知的財産権の帰属を明らかにして、契約書に反映する

必要な特約条項および免責条項を明らかにして、契約書に反映する

損害賠償に関する会社方針を確認し、損害賠償条項を契約書に反映する

該当案件の再委託にかかわる方針を明らかにし、再委託条項を契約書に反映する

再委託先の機密保持の適用条件を契約書に明記する

監査に関する会社方針を確認し、監査条項を契約書に反映する

監査の対象範囲、適用する基準および結果の取り扱いを明らかにする

契約の締結評価項目を表示

▼評価項目

契約上の責任、役割、条件、関連する法令、組織体の規定に関する事項が網羅されているか、契約内容を確認する

契約条項の内容を理解し、優先して交渉する条項、譲歩ができる条項等の区別を行う

契約交渉を行い、相手方の指摘や主張の内容や狙いを確認し、法務部門と連携して受入可否の判断を行う

当方の主張、相手方の主張を調整し、合意形成を行う

委託/受託契約ルール遵守評価項目を表示

▼評価項目

委託契約ルールまたは受託契約ルールを定める

委託/受託契約ルールに基づいた契約書を作成し、委託/受託の責任者の承認を得る

契約書の内容を関係者に周知徹底する

供給/委託先の選択・交渉評価項目を表示

▼評価項目

供給・委託先の選択ルールに基づき、その手順を明らかにする

供給・委託先を決定し、その理由を根拠となる情報と共に関係者に説明する

購買要件、条件を明らかにし、供給・委託先に提示の上で合意形成を図る

選定した供給・委託先との契約内容を確定するために、必要に応じて法務部門や外部専門家の指導を受けながら、知的所有権、ライセンス条件等を含めた契約内容を交渉する

費用の支払い方法、支払い条件を確定し、日常業務の経理部門に対して、経費発生額と時期を通知し、資金計画を要請する

契約管理>契約変更管理 追加変更発生時の対応評価項目を表示

▼評価項目

該当案件の契約書および仕様書の委託業務内容を確認する

既契約外として追加、変更される作業の内容を明らかにする

当初契約以外の作業を別契約として取りまとめ、覚書を締結する

契約の変更要求の受付と影響分析評価項目を表示

▼評価項目

契約の変更要求を受付け、既契約内容の確認を行う

変更要求の影響範囲とリスクを具体的に整理する

影響範囲とリスクに基づき、対応方針を定め、合意の条件を設定する

契約変更の協議と締結評価項目を表示

▼評価項目

当方の主張、相手方の主張を調整し、合意形成を行う

合意した内容で変更契約を締結する

契約の変更内容、変更時期を関係者に徹底し、説明する

マーケティング・セールス>ソリューションの組立て リスク計画の策定評価項目を表示

▼評価項目

想定されるすべてのリスクを洗い出し、発生に伴う影響を評価する

リスク予防策の実施効果を検証する

整理されたリスクの発生確率を想定する

リスク対策が現状どの程度実施されているかどうか調査し、整理する

マーケティング・セールス>ソリューションの提案 ソリューションの提案評価項目を表示

▼評価項目

顧客の財務状態(決算指標等)や経営戦略の概要を分析し、自社のソリューションを購入できる時期や価格帯を検証する

顧客の課題や戦略に基づくIT要件の主要なポイントを把握し、自社のソリューションの適合性を分析する

顧客の購買基準をヒアリングし、基準に適合するように可能な限り調整した上で提案する

顧客のセキュリティ基準、監査基準をヒアリングし、基準に適合するように可能な限り調整した上で提案する

調達・委託>委託業務管理 セキュリティの調査評価項目を表示

▼評価項目

組織体のセキュリティポリシー、セキュリティ規定を確認し、情報取扱いルール等、委託先に求めるセキュリティ要件を整理する

委託先にセキュリティ要件を提示し、要件に対する充足度についての報告をもらう

組織体のセキュリティ要件を満たさない事項の報告を受けた際、その是正に関し、対応方法、時期、対応費用の取扱いを含め、委託先と調整を行う

セキュリティ是正の実施完了を確認し、委託先に求めるセキュリティ要件が充足されているか評価する

委託開始時と更新時においてセキュリティが担保されていることを調査する

委託業務の開始・推進評価項目を表示

▼評価項目

委託業務開始前に契約内容を確認する

委託先が契約履行に必要な情報について、資料管理責任者と担当を明らかにし、委託契約料、仕様書に基づいて要求仕様、データ、資料を提供する

委託業務の実施内容を委託先責任者に説明し、把握させる

決められた方法に基づき、委託業務の実施内容を確認するとともに、契約内容の相違点の有無を確認する

委託業務の実施内容と契約内容に相違がある場合、齟齬の発生理由と課題を明らかにし、措置を講じることにより是正を図る

進捗状況の把握と遅延、その他のリスク対策評価項目を表示

▼評価項目

決められたタイミングと手段ならびに報告内容から想定される課題等を委託先に確認しながら、進捗状況を把握する

遅延や品質、コスト等にかかわる問題点の原因を究明し、措置を講じることで是正を図る

誤謬防止、不正防止、機密保護等の対策の実現方法を明らかに、これらの実現状況を把握する

誤謬防止、不正防止、機密保護等の対策の実現状況に応じて、担当者の誓約書を取り交わす等の必要な改善措置を講じる

成果物の検収評価項目を表示

▼評価項目

成果物の検収条件を検収基準として策定し、検収不可の場合の対策方法を含めて、作業委託時に委託先に提示する

予め定めた検収基準に基づき、成果物検収を実施する

検収不可の場合、委託先に対して、定められた手順に則り是正を勧告する

検収結果を報告書に取りまとめ、委託責任者の承認を得る

業務終了後のデータ、資料等の回収と廃棄確認評価項目を表示

▼評価項目

委託先に提示した資料の変換、回収、廃棄等の方法を定義し、委託先を指導する

決められたタイミングと手続きで委託先に提示した資料の回収、廃棄を指示し、実行結果を確認する

委託先からの資料回収、資料廃棄を報告書に取りまとめ、委託責任者の承認を得る

業務結果の分析と評価評価項目を表示

▼評価項目

業務委託終了後、委託業務実績について、品質、納期、費用等の観点で分析を行い、評価報告として取りまとめる

委託業務評価報告書を委託責任者に承認を得る

複数案件の委託業務評価報告を取りまとめ、委託先企業の品質、納期遵守、費用等に関する総合評価を行い、以降の委託先選定時の参考資料を作成する

委託先との今後の付き合い方やベンダ選定基準等への反映を狙い、関係者に評価結果を報告する