タスク一覧



「情報セキュリティ統括」のタスク例

タスクプロフィール 「情報セキュリティ統括」で定義されているタスク例です。これらを参考にしながらタスクや役割を定義してください。
また、各タスクの詳細を参照する場合は、「評価項目を表示」ボタンをクリックしてください。
このタスクプロフィールに関する研修・書籍・資格の情報が こちらから検索できます。

タスク大分類 タスク中分類 タスク小分類
システム企画立案 情報セキュリティ要件定義 情報セキュリティ要件の定義評価項目を表示
情報セキュリティ規定の作成評価項目を表示

▼評価項目

セキュリティポリシーに基づき、企業活動のセキュリティ規定を作成する

セキュリティポリシーに基づき、情報システムのセキュリティ規定を作成する

経営層、情報セキュリティ関係担当役員、企画関係者にセキュリティ規定を説明し、承認を得る

情報セキュリティ計画の立案評価項目を表示

▼評価項目

情報セキュリティをベースにしたセキュリティ計画を策定する

セキュリティ計画の立案、およびセキュリティ計画を実行するにあたって発生する問題のソリューションを提案する

経営層、情報セキュリティ関係担当役員、企画関係者にセキュリティ計画を説明し、承認を得る

情報セキュリティ基準の策定評価項目を表示

▼評価項目

事業戦略、事業継続計画に基づき、各物理サイトの物理的保護レベルを定義する

セキュリティホール情報やセキュリティ勧告およびパッチの最新情報の分析に基づき、パッチ適用基準を策定する

従業員のソーシャルメディア使用に関するルールを策定する

アウトソース先のセキュリティ基準を策定する

電子データの信頼性を確保するために、第三者機関が発行する電子証明書と自組織が発行する電子証明書をそれぞれ利用する手続きを策定する

情報ネットワークのセキュリティ対策のためのガイダンス文書の発行管理を行う

IT運用コントロール 情報セキュリティ管理 情報セキュリティの運用評価項目を表示
情報セキュリティの評価と検証評価項目を表示

▼評価項目

セキュリティを調査し、耐監査性、機密性、可用性、完全性等の観点から問題点を抽出する

セキュリティの安全性と有効性を検証する

情報保証において、アプリケーション、システム、ネットワークのリスクのレベルが許容範囲内であるかどうかを、観測結果をもとに継続的に検査する

情報保証の観点から、情報システムに関する保証と認定を維持するために必要な対策を講じて、それらの保証と認定を維持する

上位者または本部組織に対して、技術文書、インシデントレポート、検査結果、その他の観測情報を提供する

インシデント対応とコンピュータネットワーク防御に関して、外部組織と情報交換を行う

システム運用管理 セキュリティ障害管理 事故の検知評価項目を表示
事故の初動処理評価項目を表示

▼評価項目

事故発生時の情報システム責任者や関係部門への連絡を定められた手続通りに行う

事故の影響の大きさと範囲を想定して処置の優先順位を付け、被害拡大を回避する処置を行う

事故に対する初動処理を記録し、報告する

事故の分析評価項目を表示

▼評価項目

事故の被害の範囲を識別する

セキュリティホール情報やセキュリティ勧告、パッチ情報の最新情報を得て事故の分析を行う

事故の原因を特定する

必要に応じてデジタルフォレンジックを行う

事故からの復旧評価項目を表示

▼評価項目

必要に応じてシステムの再編成を行う

事故に対する対処と復旧の経過を記録する

情報システム管理者およびユーザに事故からの復旧を通知する

再発防止策の実施評価項目を表示

▼評価項目

同じような事故に対する再発防止策を決定して実施する

事故の再発防止のために、必要に応じてシステムの再構築を行う

再発防止策に基づき、セキュリティの見直しを提言する

セキュリティの評価評価項目を表示

▼評価項目

侵入検査を行い、セキュリティポリシーの遵守状況を評価する

侵入検査を継続的に実施する

侵入検査で不備のある場合に対策を行う

セキュリティの評価情報に基づき、セキュリティの見直を提言する

情報セキュリティマネジメント 情報セキュリティ戦略と方針の策定 基本戦略の策定評価項目を表示
情報資産の評価評価項目を表示

▼評価項目

情報資産(システム、データ、人材、ドキュメント)を識別する

機密性、完全性、可用性の3つの側面から経営における重要度、致命度を評価し、整理する

整理、評価した情報資産について、経営層、情報セキュリティ関係担当役員、企画関係者に説明し、承認を得る

脅威とリスクの識別評価項目を表示

▼評価項目

現状の脅威に関する情報を網羅的に収集する

現状の脅威に関する情報を情報の改ざん、情報の漏洩、資源の浪費、資源の不正利用、人による過ち等の分類項目で整理する

情報資産に対する現状のリスク(システム廃棄を含む)を識別する

リスクの発生しうる場所および発生時期を整理する

リスクの原因を、物理的な要因、技術的な要因、人的な要因に分類し、整理する

リスクの評価評価項目を表示

▼評価項目

現状、リスクに対して対策がどの程度実施されているか調査し、その結果を整理する

整理されたリスクの発生確率を明らかにし、損害額を算定する

各リスクに対して、リスク軽減の対策とコストを算定する

リスクアセスメントで発見された残留リスクが許容可能か否かを評価する

各々のリスク対策にランク付けを行う

セキュリティポリシーの策定評価項目を表示

▼評価項目

セキュリティ対策への取り組みを経営方針に反映させる

セキュリティ対策の目的、適用範囲、達成レベル、対策基準の方針、情報セキュリティの責任者、経営者・従業員の遵守事項、組織または実施体制、運用、罰則、公開、見直しについて記述する

経営層、情報セキュリティ関係担当役員、企画関係者にセキュリティ方針と体制を説明し、承認を得る

情報セキュリティに関する法律やISO、JIS等の標準規格を踏まえて、ポリシー案およびその調整に関するレビューと承認を行う

組織のセキュリティ目標を実現するための情報セキュリティ戦略の代替案を分析する

情報セキュリティの運用 情報セキュリティガバナンス評価項目を表示

▼評価項目

セキュアな運用と情報保全の維持に必要なリソースを確保する

リスクアセスメント、監査、検査を通じて識別された脆弱性に対して、適切な対策を講じる

セキュリティリスクの分析結果を、組織設計、職務分掌、業務プロセス定義等に反映させる

現場部門に情報セキュリティ戦略に対応したプロセスを実施させる

必要なセキュリティレベルを確保するために満足すべきセキュリティ対策に関する要件を、システムおよびサービスの調達要件に反映させる

セキュリティリスク、緩和策およびその他の技術リスクを扱うリスクガバナンスのプロセスに関与する

情報セキュリティ対策について、組織の目標の達成に向けて組織管理者と連携する

情報セキュリティ予算、要員、契約を主導・監督する

認定ないし保証されたセキュリティ対策の実施状況に関する最新の文書を入手し、利用する

組織内のさまざまな関係者と情報セキュリティ対策の在り方について意見交換する

予め緊急時の対応の権限を委任され、必要な対処を行う

組織で実施する検査、テスト、レビューを、ネットワーク環境に適した形で確実に実施させる

情報セキュリティのインシデント発生時にCSIRTを指揮し、情報を収集し、経営陣に報告する

情報セキュリティの周知と教育評価項目を表示

▼評価項目

情報セキュリティ戦略、セキュリティポリシーおよび遵守すべきガイドラインを協働者、アウトソース等を含む関係者に周知徹底する

役割別、階層別の情報セキュリティ教育を企画し、実施する

セキュリティインシデントがもたらす社会的影響を従業員に理解させる

情報セキュリティの見直し 情報の収集と評価評価項目を表示

▼評価項目

セキュリティに関する法令の改正や社会通念の変化、コンプライアンス上の新たな課題等の情報を収集する

セキュリティホールやセキュリティ勧告およびパッチの最新情報を収集する

最新のセキュリティ技術情報を収集し、対象システムに適用できるかどうか評価する

運用上の問題点整理と分析評価項目を表示

▼評価項目

アンケートやヒアリングを行い、セキュリティポリシー実施上の問題点を収集、整理する

違反者の多いセキュリティ基準を収集、整理する

非遵守事項が情報セキュリティにどのような影響を及ぼすかを導き出す

整理された問題点について、セキュリティポリシー変更に対する分析を行い、ポリシーを見直す

事故の再発防止策の実施によってセキュリティポリシーの受ける影響を分析し、ポリシーを見直す

適切な緩和策を確実に実施するための監査指摘事項と勧告の追跡を行う

セキュリティ対策に関する改善策が確実に実施されていることを確認する

技術上の問題点整理と分析評価項目を表示

▼評価項目

新技術の開発により影響を受けるセキュリティポリシーの箇所を識別し、整理する

セキュリティ評価の結果から、影響を受けるセキュリティポリシーの箇所を識別し、整理する

整理された問題点について、セキュリティポリシー変更に対する分析を行い、ポリシーを見直す

情報技術の変化に応じてセキュリティ要件を変更する、もしくは変更が不要なことを確認する

新たなリスクの整理と分析評価項目を表示

▼評価項目

新たなリスクを収集、整理する

新たなリスクにより影響を受けるセキュリティポリシーの箇所を識別し、整理する

情報保証の観点から、リスクのレベルがアプリケーション、システム、ネットワークにおいて許容範囲内であることを確認するためのレビューを行う

整理された問題点について、セキュリティポリシー変更に対する分析を行い、ポリシーを見直す

セキュリティポリシーの更新評価項目を表示

▼評価項目

セキュリティポリシーの見直し対象について、再度リスク分析を行い、ポリシーを更新する

セキュリティポリシーの更新を経営層、情報セキュリティ関係担当役員、企画関係者に説明し、承認を得る

継続的にセキュリティポリシーの見直しを行う

情報技術の変化に応じて、セキュリティ要件を変更、もしくは変更が不要なことを確認する

IoTシステム・サービスのライフサイクル IT運用コントロール>情報セキュリティ管理 情報セキュリティ管理評価項目を表示
システム運用管理>セキュリティ障害管理 事故の検知評価項目を表示

▼評価項目

ログファイルを定期的にチェックし、セキュリティ事故を検知する

システムの整合性を定期的にチェックし、セキュリティ事故を検知する

自動ツールを駆使し、不正侵入を検知する

事故の初動処理評価項目を表示

▼評価項目

事故発生時の情報システム責任者や関係部門への連絡を定められた手続通りに行う

事故の影響の大きさと範囲を想定して処置の優先順位を付け、被害拡大を回避する処置を行う

事故に対する初動処理を記録し、報告する

事故の分析評価項目を表示

▼評価項目

事故の被害の範囲を識別する

セキュリティホール情報やセキュリティ勧告、パッチ情報の最新情報を得て事故の分析を行う

事故の原因を特定する

必要に応じてデジタルフォレンジックを行う

事故からの復旧評価項目を表示

▼評価項目

必要に応じてシステムの再編成を行う

事故に対する対処と復旧の経過を記録する

情報システム管理者およびユーザに事故からの復旧を通知する

再発防止策の実施評価項目を表示

▼評価項目

同じような事故に対する再発防止策を決定して実施する

事故の再発防止のために、必要に応じてシステムの再構築を行う

再発防止策に基づき、セキュリティの見直しを提言する

セキュリティの評価評価項目を表示

▼評価項目

侵入検査を行い、セキュリティポリシーの遵守状況を評価する

侵入検査を継続的に実施する

侵入検査で不備のある場合に対策を行う

セキュリティの評価情報に基づき、セキュリティの見直を提言する

システム運用管理>セーフティ障害管理 事故の検知評価項目を表示

▼評価項目

ログファイルを定期的にチェックし、セーフティ事故を検知する

システムの整合性を定期的にチェックし、セーフティ事故を検知する

自動ツールを駆使し、自己診断によるセーフティメカニズムの失陥を検知する

事故の初動処理評価項目を表示

▼評価項目

事故発生時の情報システム責任者や関係部門への連絡を定められた手続通りに行う

事故の影響の大きさと範囲を想定して処置の優先順位を付け、被害拡大を回避する処置を行う

事故に対する初動処理を記録し、報告する

事故の分析評価項目を表示

▼評価項目

事故の被害の範囲を識別する

事故情報やセーフティ勧告、セーフティへの影響情報の最新情報を得て事故の分析を行う

事故の原因を特定する

必要に応じてデジタルフォレンジックを行う

事故からの復旧評価項目を表示

▼評価項目

必要に応じてシステムの再編成を行う

事故に対する対処と復旧の経過を記録する

情報システム管理者およびユーザに事故からの復旧を通知する

再発防止策の実施評価項目を表示

▼評価項目

同じような事故に対する再発防止策を決定して実施する

事故の再発防止のために、必要に応じてシステムの再構築を行う

再発防止策に基づき、セーフティの見直しを提言する

セーフティの評価評価項目を表示

▼評価項目

欠陥注入(Fault Insertion)検査を行い、セーフティポリシーの遵守状況を評価する

セーフティメカニズムの自己診断検査を継続的に実施する

セーフティメカニズムの自己診断検査で不備のある場合に対策を行う

セーフティの評価情報に基づき、セーフティの見直を提言する

セキュリティ領域 システム企画立案>情報セキュリティ要件定義 情報セキュリティ要件の定義評価項目を表示
情報セキュリティ規定の作成評価項目を表示

▼評価項目

セキュリティポリシーに基づき、企業活動のセキュリティ規定を作成する

セキュリティポリシーに基づき、情報システムのセキュリティ規定を作成する

経営層、情報セキュリティ関係担当役員、企画関係者にセキュリティ規定を説明し、承認を得る

情報セキュリティ計画の立案評価項目を表示

▼評価項目

情報セキュリティをベースにしたセキュリティ計画を策定する

セキュリティ計画の立案、およびセキュリティ計画を実行するにあたって発生する問題のソリューションを提案する

経営層、情報セキュリティ関係担当役員、企画関係者にセキュリティ計画を説明し、承認を得る

情報セキュリティ基準の策定評価項目を表示

▼評価項目

事業戦略、事業継続計画に基づき、各物理サイトの物理的保護レベルを定義する

セキュリティホール情報やセキュリティ勧告およびパッチの最新情報の分析に基づき、パッチ適用基準を策定する

従業員のソーシャルメディア使用に関するルールを策定する

アウトソース先のセキュリティ基準を策定する

電子データの信頼性を確保するために、第三者機関が発行する電子証明書と自組織が発行する電子証明書をそれぞれ利用する手続きを策定する

情報ネットワークのセキュリティ対策のためのガイダンス文書の発行管理を行う

IT運用コントロール>情報セキュリティ管理 情報セキュリティの運用評価項目を表示

▼評価項目

パッチ適用基準に基づくパッチのマネジメントを行う

従業員が発信する電子メールの内容確認、閲覧するサイトの管理、機器の持ち出し・持ち込み等の管理を行う

セキュリティ基準に基づき、アウトソース選定時および継続時におけるセキュリティ実施状況の有効性を検証する

第三者機関が発行する電子証明書を申請して入手し、その有効期限を管理し、期限切れになる前に更新手続きを行う

手続きやガイドラインがセキュリティポリシーに確実に適合しているかどうか、ポリシーに基づく標準と実装戦略を監視する

実行中のサービスからの要求を予測し、必要に応じてセキュリティ上の前提条件に関する評価を行う

組織内の関係者との連携のもとで、重要な業務機能を識別し、優先度を設定する

自組織で発行する電子証明書について、その発行業務を企画し、発行手続きを定める

自組織で発行する電子証明書について、その発行を管理し、それぞれの電子証明書の有効期限を管理し、期限切れになる前に更新手続きが必要なことを通知する

情報セキュリティの評価と検証評価項目を表示

▼評価項目

セキュリティを調査し、耐監査性、機密性、可用性、完全性等の観点から問題点を抽出する

セキュリティの安全性と有効性を検証する

情報保証において、アプリケーション、システム、ネットワークのリスクのレベルが許容範囲内であるかどうかを、観測結果をもとに継続的に検査する

情報保証の観点から、情報システムに関する保証と認定を維持するために必要な対策を講じて、それらの保証と認定を維持する

上位者または本部組織に対して、技術文書、インシデントレポート、検査結果、その他の観測情報を提供する

インシデント対応とコンピュータネットワーク防御に関して、外部組織と情報交換を行う

システム運用管理>セキュリティ障害管理 事故の検知評価項目を表示

▼評価項目

ログファイルを定期的にチェックし、セキュリティ事故を検知する

システムの整合性を定期的にチェックし、セキュリティ事故を検知する

自動ツールを駆使し、不正侵入を検知する

事故の初動処理評価項目を表示

▼評価項目

事故発生時の情報システム責任者や関係部門への連絡を定められた手続通りに行う

事故の影響の大きさと範囲を想定して処置の優先順位を付け、被害拡大を回避する処置を行う

事故に対する初動処理を記録し、報告する

事故の分析評価項目を表示

▼評価項目

事故の被害の範囲を識別する

セキュリティホール情報やセキュリティ勧告、パッチ情報の最新情報を得て事故の分析を行う

事故の原因を特定する

必要に応じてデジタルフォレンジックを行う

事故からの復旧評価項目を表示

▼評価項目

必要に応じてシステムの再編成を行う

事故に対する対処と復旧の経過を記録する

情報システム管理者およびユーザに事故からの復旧を通知する

再発防止策の実施評価項目を表示

▼評価項目

同じような事故に対する再発防止策を決定して実施する

事故の再発防止のために、必要に応じてシステムの再構築を行う

再発防止策に基づき、セキュリティの見直しを提言する

セキュリティの評価評価項目を表示

▼評価項目

侵入検査を行い、セキュリティポリシーの遵守状況を評価する

侵入検査を継続的に実施する

侵入検査で不備のある場合に対策を行う

セキュリティの評価情報に基づき、セキュリティの見直を提言する

情報セキュリティマネジメント>情報セキュリティ戦略と方針の策定 基本戦略の策定評価項目を表示

▼評価項目

組織体の情報セキュリティ目標を定める

情報セキュリティ戦略を実施するにあたり、その実行体制を確立する

経営戦略に準じた組織全体の改善サイクルとなるようにエンタープライズアーキテクチャ(BA、DA、AA、TA)開発組織を統轄する

セキュリティ業務全体を見て、その業務の一部を委託をすべきなのかを判断、決定する

システムのセキュリティやリスクに関する技術動向調査を行い、その情報をIT戦略立案に活用する

CSIRTの方針を策定し、経営層、情報セキュリティ関係担当役員、企画関係者に説明し、承認を得る

CSIRTの体制を構築し、リソースを確保する

情報資産の評価評価項目を表示

▼評価項目

情報資産(システム、データ、人材、ドキュメント)を識別する

機密性、完全性、可用性の3つの側面から経営における重要度、致命度を評価し、整理する

整理、評価した情報資産について、経営層、情報セキュリティ関係担当役員、企画関係者に説明し、承認を得る

脅威とリスクの識別評価項目を表示

▼評価項目

現状の脅威に関する情報を網羅的に収集する

現状の脅威に関する情報を情報の改ざん、情報の漏洩、資源の浪費、資源の不正利用、人による過ち等の分類項目で整理する

情報資産に対する現状のリスク(システム廃棄を含む)を識別する

リスクの発生しうる場所および発生時期を整理する

リスクの原因を、物理的な要因、技術的な要因、人的な要因に分類し、整理する

リスクの評価評価項目を表示

▼評価項目

現状、リスクに対して対策がどの程度実施されているか調査し、その結果を整理する

整理されたリスクの発生確率を明らかにし、損害額を算定する

各リスクに対して、リスク軽減の対策とコストを算定する

リスクアセスメントで発見された残留リスクが許容可能か否かを評価する

各々のリスク対策にランク付けを行う

セキュリティポリシーの策定評価項目を表示

▼評価項目

セキュリティ対策への取り組みを経営方針に反映させる

セキュリティ対策の目的、適用範囲、達成レベル、対策基準の方針、情報セキュリティの責任者、経営者・従業員の遵守事項、組織または実施体制、運用、罰則、公開、見直しについて記述する

経営層、情報セキュリティ関係担当役員、企画関係者にセキュリティ方針と体制を説明し、承認を得る

情報セキュリティに関する法律やISO、JIS等の標準規格を踏まえて、ポリシー案およびその調整に関するレビューと承認を行う

組織のセキュリティ目標を実現するための情報セキュリティ戦略の代替案を分析する

情報セキュリティマネジメント>情報セキュリティの運用 情報セキュリティガバナンス評価項目を表示

▼評価項目

セキュアな運用と情報保全の維持に必要なリソースを確保する

リスクアセスメント、監査、検査を通じて識別された脆弱性に対して、適切な対策を講じる

セキュリティリスクの分析結果を、組織設計、職務分掌、業務プロセス定義等に反映させる

現場部門に情報セキュリティ戦略に対応したプロセスを実施させる

必要なセキュリティレベルを確保するために満足すべきセキュリティ対策に関する要件を、システムおよびサービスの調達要件に反映させる

セキュリティリスク、緩和策およびその他の技術リスクを扱うリスクガバナンスのプロセスに関与する

情報セキュリティ対策について、組織の目標の達成に向けて組織管理者と連携する

情報セキュリティ予算、要員、契約を主導・監督する

認定ないし保証されたセキュリティ対策の実施状況に関する最新の文書を入手し、利用する

組織内のさまざまな関係者と情報セキュリティ対策の在り方について意見交換する

予め緊急時の対応の権限を委任され、必要な対処を行う

組織で実施する検査、テスト、レビューを、ネットワーク環境に適した形で確実に実施させる

情報セキュリティのインシデント発生時にCSIRTを指揮し、情報を収集し、経営陣に報告する

情報セキュリティの周知と教育評価項目を表示

▼評価項目

情報セキュリティ戦略、セキュリティポリシーおよび遵守すべきガイドラインを協働者、アウトソース等を含む関係者に周知徹底する

役割別、階層別の情報セキュリティ教育を企画し、実施する

セキュリティインシデントがもたらす社会的影響を従業員に理解させる

情報セキュリティマネジメント>情報セキュリティの見直し 情報の収集と評価評価項目を表示

▼評価項目

セキュリティに関する法令の改正や社会通念の変化、コンプライアンス上の新たな課題等の情報を収集する

セキュリティホールやセキュリティ勧告およびパッチの最新情報を収集する

最新のセキュリティ技術情報を収集し、対象システムに適用できるかどうか評価する

運用上の問題点整理と分析評価項目を表示

▼評価項目

アンケートやヒアリングを行い、セキュリティポリシー実施上の問題点を収集、整理する

違反者の多いセキュリティ基準を収集、整理する

非遵守事項が情報セキュリティにどのような影響を及ぼすかを導き出す

整理された問題点について、セキュリティポリシー変更に対する分析を行い、ポリシーを見直す

事故の再発防止策の実施によってセキュリティポリシーの受ける影響を分析し、ポリシーを見直す

適切な緩和策を確実に実施するための監査指摘事項と勧告の追跡を行う

セキュリティ対策に関する改善策が確実に実施されていることを確認する

技術上の問題点整理と分析評価項目を表示

▼評価項目

新技術の開発により影響を受けるセキュリティポリシーの箇所を識別し、整理する

セキュリティ評価の結果から、影響を受けるセキュリティポリシーの箇所を識別し、整理する

整理された問題点について、セキュリティポリシー変更に対する分析を行い、ポリシーを見直す

情報技術の変化に応じてセキュリティ要件を変更する、もしくは変更が不要なことを確認する

新たなリスクの整理と分析評価項目を表示

▼評価項目

新たなリスクを収集、整理する

新たなリスクにより影響を受けるセキュリティポリシーの箇所を識別し、整理する

情報保証の観点から、リスクのレベルがアプリケーション、システム、ネットワークにおいて許容範囲内であることを確認するためのレビューを行う

整理された問題点について、セキュリティポリシー変更に対する分析を行い、ポリシーを見直す

セキュリティポリシーの更新評価項目を表示

▼評価項目

セキュリティポリシーの見直し対象について、再度リスク分析を行い、ポリシーを更新する

セキュリティポリシーの更新を経営層、情報セキュリティ関係担当役員、企画関係者に説明し、承認を得る

継続的にセキュリティポリシーの見直しを行う

情報技術の変化に応じて、セキュリティ要件を変更、もしくは変更が不要なことを確認する