タスク一覧



「情報セキュリティマネジメント」のタスク例

タスクプロフィール 「情報セキュリティマネジメント」で定義されているタスク例です。これらを参考にしながらタスクや役割を定義してください。
また、各タスクの詳細を参照する場合は、「評価項目を表示」ボタンをクリックしてください。
このタスクプロフィールに関する研修・書籍・資格の情報が こちらから検索できます。

タスク大分類 タスク中分類 タスク小分類
システム企画立案 情報セキュリティ要件定義 情報セキュリティ要件の定義評価項目を表示
情報セキュリティ規定の作成評価項目を表示

▼評価項目

セキュリティポリシーに基づき、企業活動のセキュリティ規定を作成する

セキュリティポリシーに基づき、情報システムのセキュリティ規定を作成する

経営層、情報セキュリティ関係担当役員、企画関係者にセキュリティ規定を説明し、承認を得る

情報セキュリティ計画の立案評価項目を表示

▼評価項目

情報セキュリティをベースにしたセキュリティ計画を策定する

セキュリティ計画の立案、およびセキュリティ計画を実行するにあたって発生する問題のソリューションを提案する

経営層、情報セキュリティ関係担当役員、企画関係者にセキュリティ計画を説明し、承認を得る

情報セキュリティ基準の策定評価項目を表示

▼評価項目

事業戦略、事業継続計画に基づき、各物理サイトの物理的保護レベルを定義する

セキュリティホール情報やセキュリティ勧告およびパッチの最新情報の分析に基づき、パッチ適用基準を策定する

従業員のソーシャルメディア使用に関するルールを策定する

アウトソース先のセキュリティ基準を策定する

電子データの信頼性を確保するために、第三者機関が発行する電子証明書と自組織が発行する電子証明書をそれぞれ利用する手続きを策定する

情報ネットワークのセキュリティ対策のためのガイダンス文書の発行管理を行う

システム要件定義・方式設計 システム化要件定義 システム化の対象と目的の決定評価項目を表示
要求事項の調査と分析評価項目を表示

▼評価項目

現行システムをシステム利用状況、ユーザビリティ、HW構成、SW構成、データ構成、運用管理等の視点で分析する

システム化要件を明らかにするために、対象範囲と連携する他機能・システムの把握すべき項目を設定し調査する

システム化要件を明らかにするために、対象範囲の把握すべき項目を設定し調査する

システム化で利用する予定の技術や製品について調査し、機能、制約、リスクを把握する

機能要件の定義評価項目を表示

▼評価項目

機能に関する要求をシステムとして実現するための機能要件として具体化する

現行システムの課題やユーザニーズを踏まえてユーザビリティ要件を具体化する

機能要件に対する実装方式を提示する

機能要件を実現するための費用を算出する

機能要件に関する制約事項を抽出する

非機能要件の定義評価項目を表示

▼評価項目

可用性、性能・拡張性、運用・保守性、移行性、セキュリティ、システム環境・エコロジーに関する要求をシステムとして実現するための非機能要件として具体化する

非機能要件に対する実装方式を提示する

非機能要件を実現するための費用を算出する

非機能要件に関する制約事項を抽出する

IT運用コントロール IT運用管理 ユーザ管理評価項目を表示
情報セキュリティ管理 情報セキュリティの運用評価項目を表示

▼評価項目

パッチ適用基準に基づくパッチのマネジメントを行う

従業員が発信する電子メールの内容確認、閲覧するサイトの管理、機器の持ち出し・持ち込み等の管理を行う

セキュリティ基準に基づき、アウトソース選定時および継続時におけるセキュリティ実施状況の有効性を検証する

第三者機関が発行する電子証明書を申請して入手し、その有効期限を管理し、期限切れになる前に更新手続きを行う

手続きやガイドラインがセキュリティポリシーに確実に適合しているかどうか、ポリシーに基づく標準と実装戦略を監視する

実行中のサービスからの要求を予測し、必要に応じてセキュリティ上の前提条件に関する評価を行う

組織内の関係者との連携のもとで、重要な業務機能を識別し、優先度を設定する

自組織で発行する電子証明書について、その発行業務を企画し、発行手続きを定める

自組織で発行する電子証明書について、その発行を管理し、それぞれの電子証明書の有効期限を管理し、期限切れになる前に更新手続きが必要なことを通知する

情報セキュリティの評価と検証評価項目を表示

▼評価項目

セキュリティを調査し、耐監査性、機密性、可用性、完全性等の観点から問題点を抽出する

セキュリティの安全性と有効性を検証する

情報保証において、アプリケーション、システム、ネットワークのリスクのレベルが許容範囲内であるかどうかを、観測結果をもとに継続的に検査する

情報保証の観点から、情報システムに関する保証と認定を維持するために必要な対策を講じて、それらの保証と認定を維持する

上位者または本部組織に対して、技術文書、インシデントレポート、検査結果、その他の観測情報を提供する

インシデント対応とコンピュータネットワーク防御に関して、外部組織と情報交換を行う

システム運用管理 セキュリティ障害管理 事故の検知評価項目を表示
事故の初動処理評価項目を表示

▼評価項目

事故発生時の情報システム責任者や関係部門への連絡を定められた手続通りに行う

事故の影響の大きさと範囲を想定して処置の優先順位を付け、被害拡大を回避する処置を行う

事故に対する初動処理を記録し、報告する

事故の分析評価項目を表示

▼評価項目

事故の被害の範囲を識別する

セキュリティホール情報やセキュリティ勧告、パッチ情報の最新情報を得て事故の分析を行う

事故の原因を特定する

必要に応じてデジタルフォレンジックを行う

事故からの復旧評価項目を表示

▼評価項目

必要に応じてシステムの再編成を行う

事故に対する対処と復旧の経過を記録する

情報システム管理者およびユーザに事故からの復旧を通知する

再発防止策の実施評価項目を表示

▼評価項目

同じような事故に対する再発防止策を決定して実施する

事故の再発防止のために、必要に応じてシステムの再構築を行う

再発防止策に基づき、セキュリティの見直しを提言する

資産管理・評価 資産管理規定の策定 資産管理方針と体制の策定評価項目を表示
資産管理規定の作成と更新評価項目を表示

▼評価項目

資産管理方針と関連法規に基づき、資産の受入れと識別、変更管理、利用管理、廃棄等のルールを規定する

現在の資産管理状況および関連法規を踏まえて資産管理規定の改定案を作成する

作成(改定)された資産管理規定(案)を、関係者交えてレビューし、確定する

資産管理プロセスの実施 資産管理規定に基づくプロセスの実施評価項目を表示

▼評価項目

資産管理規定に基づき、受入資産を識別し、目録を作成する

資産管理規定に基づき、対象資産を保管し、利用状況を記録する

資産管理規定に基づき、対象資産の配置、管理者、構成の変更等を追跡し記録する

対象資産の評価価値と利用状況を把握し、必要に応じて資産の再分類(廃棄を含む)を行う

資産管理規定と管理者の決定に基づき、対象資産の廃棄処理を完結する

廃棄計画の策定と実施評価項目を表示

▼評価項目

情報システムまたはソフトウェアの廃棄におけるリスクを評価し、リスクに対応した廃棄計画を策定する

情報システムまたはソフトウェアのシステムライフサイクルを把握し、償却期間を考慮した廃棄計画を策定する

情報システムの機密度や重要度を考慮した廃棄方法を決定する

廃棄計画に基づくスケジュール、作業内容、影響等を関係者に通知する

廃棄計画に基づき、情報システムまたはソフトウェアの廃棄処理を完結する

事業継続マネジメント 事業継続計画の策定 事業継続計画策定の準備評価項目を表示
情報セキュリティマネジメント 情報セキュリティ戦略と方針の策定 情報資産の評価評価項目を表示
脅威とリスクの識別評価項目を表示

▼評価項目

現状の脅威に関する情報を網羅的に収集する

現状の脅威に関する情報を情報の改ざん、情報の漏洩、資源の浪費、資源の不正利用、人による過ち等の分類項目で整理する

情報資産に対する現状のリスク(システム廃棄を含む)を識別する

リスクの発生しうる場所および発生時期を整理する

リスクの原因を、物理的な要因、技術的な要因、人的な要因に分類し、整理する

リスクの評価評価項目を表示

▼評価項目

現状、リスクに対して対策がどの程度実施されているか調査し、その結果を整理する

整理されたリスクの発生確率を明らかにし、損害額を算定する

各リスクに対して、リスク軽減の対策とコストを算定する

リスクアセスメントで発見された残留リスクが許容可能か否かを評価する

各々のリスク対策にランク付けを行う

情報セキュリティの運用 情報セキュリティの周知と教育評価項目を表示

▼評価項目

情報セキュリティ戦略、セキュリティポリシーおよび遵守すべきガイドラインを協働者、アウトソース等を含む関係者に周知徹底する

役割別、階層別の情報セキュリティ教育を企画し、実施する

セキュリティインシデントがもたらす社会的影響を従業員に理解させる

情報セキュリティの見直し 情報の収集と評価評価項目を表示

▼評価項目

セキュリティに関する法令の改正や社会通念の変化、コンプライアンス上の新たな課題等の情報を収集する

セキュリティホールやセキュリティ勧告およびパッチの最新情報を収集する

最新のセキュリティ技術情報を収集し、対象システムに適用できるかどうか評価する

運用上の問題点整理と分析評価項目を表示

▼評価項目

アンケートやヒアリングを行い、セキュリティポリシー実施上の問題点を収集、整理する

違反者の多いセキュリティ基準を収集、整理する

非遵守事項が情報セキュリティにどのような影響を及ぼすかを導き出す

整理された問題点について、セキュリティポリシー変更に対する分析を行い、ポリシーを見直す

事故の再発防止策の実施によってセキュリティポリシーの受ける影響を分析し、ポリシーを見直す

適切な緩和策を確実に実施するための監査指摘事項と勧告の追跡を行う

セキュリティ対策に関する改善策が確実に実施されていることを確認する

技術上の問題点整理と分析評価項目を表示

▼評価項目

新技術の開発により影響を受けるセキュリティポリシーの箇所を識別し、整理する

セキュリティ評価の結果から、影響を受けるセキュリティポリシーの箇所を識別し、整理する

整理された問題点について、セキュリティポリシー変更に対する分析を行い、ポリシーを見直す

情報技術の変化に応じてセキュリティ要件を変更する、もしくは変更が不要なことを確認する

新たなリスクの整理と分析評価項目を表示

▼評価項目

新たなリスクを収集、整理する

新たなリスクにより影響を受けるセキュリティポリシーの箇所を識別し、整理する

情報保証の観点から、リスクのレベルがアプリケーション、システム、ネットワークにおいて許容範囲内であることを確認するためのレビューを行う

整理された問題点について、セキュリティポリシー変更に対する分析を行い、ポリシーを見直す

セキュリティポリシーの更新評価項目を表示

▼評価項目

セキュリティポリシーの見直し対象について、再度リスク分析を行い、ポリシーを更新する

セキュリティポリシーの更新を経営層、情報セキュリティ関係担当役員、企画関係者に説明し、承認を得る

継続的にセキュリティポリシーの見直しを行う

情報技術の変化に応じて、セキュリティ要件を変更、もしくは変更が不要なことを確認する

契約管理 契約締結管理 委託/受託業務の内容と責任分担の明確化評価項目を表示
コンプライアンス 管理方針と体制 外部への情報提供評価項目を表示
実施と評価 教育と周知徹底評価項目を表示

▼評価項目

特定した関係法令や規範、および情報倫理規定について、組織体内外の関係者に周知徹底を行う教育体制を定める

関係法令や規範、および情報倫理規定についての教育実施責任者を定める

教育対象者と教育内容を定めた年間教育計画を策定する

教育実施責任者により、対象となる各種法令、規定を関係者に教育する

関連法令や規範、および情報倫理規定の周知徹底を図るために、繰り返し教育(リカレント教育)を実施する

遵守状況の評価と改善評価項目を表示

▼評価項目

法令や規範、および情報倫理規定の遵守状況を業務監査等により定期的に点検、評価する

遵守状況の点検、評価によって明らかになった指摘事項や改善事項に対して改善計画を策定する

改善計画のマネジメントレビューを実施し、組織体の長の承認を得る

改善計画に基づき、改善のための必要な方策を活動計画として取りまとめ、実施する

調達・委託 委託業務管理 セキュリティの調査評価項目を表示
委託業務の開始・推進評価項目を表示

▼評価項目

委託業務開始前に契約内容を確認する

委託先が契約履行に必要な情報について、資料管理責任者と担当を明らかにし、委託契約料、仕様書に基づいて要求仕様、データ、資料を提供する

委託業務の実施内容を委託先責任者に説明し、把握させる

決められた方法に基づき、委託業務の実施内容を確認するとともに、契約内容の相違点の有無を確認する

委託業務の実施内容と契約内容に相違がある場合、齟齬の発生理由と課題を明らかにし、措置を講じることにより是正を図る

進捗状況の把握と遅延、その他のリスク対策評価項目を表示

▼評価項目

決められたタイミングと手段ならびに報告内容から想定される課題等を委託先に確認しながら、進捗状況を把握する

遅延や品質、コスト等にかかわる問題点の原因を究明し、措置を講じることで是正を図る

誤謬防止、不正防止、機密保護等の対策の実現方法を明らかに、これらの実現状況を把握する

誤謬防止、不正防止、機密保護等の対策の実現状況に応じて、担当者の誓約書を取り交わす等の必要な改善措置を講じる

成果物の検収評価項目を表示

▼評価項目

成果物の検収条件を検収基準として策定し、検収不可の場合の対策方法を含めて、作業委託時に委託先に提示する

予め定めた検収基準に基づき、成果物検収を実施する

検収不可の場合、委託先に対して、定められた手順に則り是正を勧告する

検収結果を報告書に取りまとめ、委託責任者の承認を得る

業務終了後のデータ、資料等の回収と廃棄確認評価項目を表示

▼評価項目

委託先に提示した資料の変換、回収、廃棄等の方法を定義し、委託先を指導する

決められたタイミングと手続きで委託先に提示した資料の回収、廃棄を指示し、実行結果を確認する

委託先からの資料回収、資料廃棄を報告書に取りまとめ、委託責任者の承認を得る

業務結果の分析と評価評価項目を表示

▼評価項目

業務委託終了後、委託業務実績について、品質、納期、費用等の観点で分析を行い、評価報告として取りまとめる

委託業務評価報告書を委託責任者に承認を得る

複数案件の委託業務評価報告を取りまとめ、委託先企業の品質、納期遵守、費用等に関する総合評価を行い、以降の委託先選定時の参考資料を作成する

委託先との今後の付き合い方やベンダ選定基準等への反映を狙い、関係者に評価結果を報告する

営業業務 契約締結管理 委託/受託業務の内容と責任分担の明確化評価項目を表示
IoTシステム・サービスのライフサイクル システム運用管理>セーフティ障害管理 事故の検知評価項目を表示
事故の初動処理評価項目を表示

▼評価項目

事故発生時の情報システム責任者や関係部門への連絡を定められた手続通りに行う

事故の影響の大きさと範囲を想定して処置の優先順位を付け、被害拡大を回避する処置を行う

事故に対する初動処理を記録し、報告する

事故の分析評価項目を表示

▼評価項目

事故の被害の範囲を識別する

事故情報やセーフティ勧告、セーフティへの影響情報の最新情報を得て事故の分析を行う

事故の原因を特定する

必要に応じてデジタルフォレンジックを行う

事故からの復旧評価項目を表示

▼評価項目

必要に応じてシステムの再編成を行う

事故に対する対処と復旧の経過を記録する

情報システム管理者およびユーザに事故からの復旧を通知する

再発防止策の実施評価項目を表示

▼評価項目

同じような事故に対する再発防止策を決定して実施する

事故の再発防止のために、必要に応じてシステムの再構築を行う

再発防止策に基づき、セーフティの見直しを提言する

セーフティの評価評価項目を表示

▼評価項目

欠陥注入(Fault Insertion)検査を行い、セーフティポリシーの遵守状況を評価する

セーフティメカニズムの自己診断検査を継続的に実施する

セーフティメカニズムの自己診断検査で不備のある場合に対策を行う

セーフティの評価情報に基づき、セーフティの見直を提言する

セキュリティ領域 システム企画立案>情報セキュリティ要件定義 情報セキュリティ要件の定義評価項目を表示
情報セキュリティ規定の作成評価項目を表示

▼評価項目

セキュリティポリシーに基づき、企業活動のセキュリティ規定を作成する

セキュリティポリシーに基づき、情報システムのセキュリティ規定を作成する

経営層、情報セキュリティ関係担当役員、企画関係者にセキュリティ規定を説明し、承認を得る

情報セキュリティ計画の立案評価項目を表示

▼評価項目

情報セキュリティをベースにしたセキュリティ計画を策定する

セキュリティ計画の立案、およびセキュリティ計画を実行するにあたって発生する問題のソリューションを提案する

経営層、情報セキュリティ関係担当役員、企画関係者にセキュリティ計画を説明し、承認を得る

情報セキュリティ基準の策定評価項目を表示

▼評価項目

事業戦略、事業継続計画に基づき、各物理サイトの物理的保護レベルを定義する

セキュリティホール情報やセキュリティ勧告およびパッチの最新情報の分析に基づき、パッチ適用基準を策定する

従業員のソーシャルメディア使用に関するルールを策定する

アウトソース先のセキュリティ基準を策定する

電子データの信頼性を確保するために、第三者機関が発行する電子証明書と自組織が発行する電子証明書をそれぞれ利用する手続きを策定する

情報ネットワークのセキュリティ対策のためのガイダンス文書の発行管理を行う

システム要件定義・方式設計>システム化要件定義 要求事項の調査と分析評価項目を表示

▼評価項目

現行システムをシステム利用状況、ユーザビリティ、HW構成、SW構成、データ構成、運用管理等の視点で分析する

システム化要件を明らかにするために、対象範囲と連携する他機能・システムの把握すべき項目を設定し調査する

システム化要件を明らかにするために、対象範囲の把握すべき項目を設定し調査する

システム化で利用する予定の技術や製品について調査し、機能、制約、リスクを把握する

非機能要件の定義評価項目を表示

▼評価項目

可用性、性能・拡張性、運用・保守性、移行性、セキュリティ、システム環境・エコロジーに関する要求をシステムとして実現するための非機能要件として具体化する

非機能要件に対する実装方式を提示する

非機能要件を実現するための費用を算出する

非機能要件に関する制約事項を抽出する

IT運用コントロール>情報セキュリティ管理 情報セキュリティの運用評価項目を表示

▼評価項目

パッチ適用基準に基づくパッチのマネジメントを行う

従業員が発信する電子メールの内容確認、閲覧するサイトの管理、機器の持ち出し・持ち込み等の管理を行う

セキュリティ基準に基づき、アウトソース選定時および継続時におけるセキュリティ実施状況の有効性を検証する

第三者機関が発行する電子証明書を申請して入手し、その有効期限を管理し、期限切れになる前に更新手続きを行う

手続きやガイドラインがセキュリティポリシーに確実に適合しているかどうか、ポリシーに基づく標準と実装戦略を監視する

実行中のサービスからの要求を予測し、必要に応じてセキュリティ上の前提条件に関する評価を行う

組織内の関係者との連携のもとで、重要な業務機能を識別し、優先度を設定する

自組織で発行する電子証明書について、その発行業務を企画し、発行手続きを定める

自組織で発行する電子証明書について、その発行を管理し、それぞれの電子証明書の有効期限を管理し、期限切れになる前に更新手続きが必要なことを通知する

情報セキュリティの評価と検証評価項目を表示

▼評価項目

セキュリティを調査し、耐監査性、機密性、可用性、完全性等の観点から問題点を抽出する

セキュリティの安全性と有効性を検証する

情報保証において、アプリケーション、システム、ネットワークのリスクのレベルが許容範囲内であるかどうかを、観測結果をもとに継続的に検査する

情報保証の観点から、情報システムに関する保証と認定を維持するために必要な対策を講じて、それらの保証と認定を維持する

上位者または本部組織に対して、技術文書、インシデントレポート、検査結果、その他の観測情報を提供する

インシデント対応とコンピュータネットワーク防御に関して、外部組織と情報交換を行う

システム運用管理>セキュリティ障害管理 事故の検知評価項目を表示

▼評価項目

ログファイルを定期的にチェックし、セキュリティ事故を検知する

システムの整合性を定期的にチェックし、セキュリティ事故を検知する

自動ツールを駆使し、不正侵入を検知する

事故の初動処理評価項目を表示

▼評価項目

事故発生時の情報システム責任者や関係部門への連絡を定められた手続通りに行う

事故の影響の大きさと範囲を想定して処置の優先順位を付け、被害拡大を回避する処置を行う

事故に対する初動処理を記録し、報告する

事故の分析評価項目を表示

▼評価項目

事故の被害の範囲を識別する

セキュリティホール情報やセキュリティ勧告、パッチ情報の最新情報を得て事故の分析を行う

事故の原因を特定する

必要に応じてデジタルフォレンジックを行う

事故からの復旧評価項目を表示

▼評価項目

必要に応じてシステムの再編成を行う

事故に対する対処と復旧の経過を記録する

情報システム管理者およびユーザに事故からの復旧を通知する

再発防止策の実施評価項目を表示

▼評価項目

同じような事故に対する再発防止策を決定して実施する

事故の再発防止のために、必要に応じてシステムの再構築を行う

再発防止策に基づき、セキュリティの見直しを提言する

事業継続マネジメント>事業継続計画の策定 事業継続計画策定の準備評価項目を表示

▼評価項目

情報システムに関連した事業継続の対象範囲を把握する

情報システムに関連した事業継続の方針を立案し、組織体の責任者の承認を得る

情報システムに関連した事業継続におけるリスクを明らかにする

事業継続計画の作成のための情報システムおよび、それを支える内部・外部のリソースに関するガイダンスを提供する

情報セキュリティマネジメント>情報セキュリティ戦略と方針の策定 情報資産の評価評価項目を表示

▼評価項目

情報資産(システム、データ、人材、ドキュメント)を識別する

機密性、完全性、可用性の3つの側面から経営における重要度、致命度を評価し、整理する

整理、評価した情報資産について、経営層、情報セキュリティ関係担当役員、企画関係者に説明し、承認を得る

脅威とリスクの識別評価項目を表示

▼評価項目

現状の脅威に関する情報を網羅的に収集する

現状の脅威に関する情報を情報の改ざん、情報の漏洩、資源の浪費、資源の不正利用、人による過ち等の分類項目で整理する

情報資産に対する現状のリスク(システム廃棄を含む)を識別する

リスクの発生しうる場所および発生時期を整理する

リスクの原因を、物理的な要因、技術的な要因、人的な要因に分類し、整理する

リスクの評価評価項目を表示

▼評価項目

現状、リスクに対して対策がどの程度実施されているか調査し、その結果を整理する

整理されたリスクの発生確率を明らかにし、損害額を算定する

各リスクに対して、リスク軽減の対策とコストを算定する

リスクアセスメントで発見された残留リスクが許容可能か否かを評価する

各々のリスク対策にランク付けを行う

情報セキュリティマネジメント>情報セキュリティの運用 情報セキュリティの周知と教育評価項目を表示

▼評価項目

情報セキュリティ戦略、セキュリティポリシーおよび遵守すべきガイドラインを協働者、アウトソース等を含む関係者に周知徹底する

役割別、階層別の情報セキュリティ教育を企画し、実施する

セキュリティインシデントがもたらす社会的影響を従業員に理解させる

情報セキュリティマネジメント>情報セキュリティの見直し 情報の収集と評価評価項目を表示

▼評価項目

セキュリティに関する法令の改正や社会通念の変化、コンプライアンス上の新たな課題等の情報を収集する

セキュリティホールやセキュリティ勧告およびパッチの最新情報を収集する

最新のセキュリティ技術情報を収集し、対象システムに適用できるかどうか評価する

運用上の問題点整理と分析評価項目を表示

▼評価項目

アンケートやヒアリングを行い、セキュリティポリシー実施上の問題点を収集、整理する

違反者の多いセキュリティ基準を収集、整理する

非遵守事項が情報セキュリティにどのような影響を及ぼすかを導き出す

整理された問題点について、セキュリティポリシー変更に対する分析を行い、ポリシーを見直す

事故の再発防止策の実施によってセキュリティポリシーの受ける影響を分析し、ポリシーを見直す

適切な緩和策を確実に実施するための監査指摘事項と勧告の追跡を行う

セキュリティ対策に関する改善策が確実に実施されていることを確認する

技術上の問題点整理と分析評価項目を表示

▼評価項目

新技術の開発により影響を受けるセキュリティポリシーの箇所を識別し、整理する

セキュリティ評価の結果から、影響を受けるセキュリティポリシーの箇所を識別し、整理する

整理された問題点について、セキュリティポリシー変更に対する分析を行い、ポリシーを見直す

情報技術の変化に応じてセキュリティ要件を変更する、もしくは変更が不要なことを確認する

新たなリスクの整理と分析評価項目を表示

▼評価項目

新たなリスクを収集、整理する

新たなリスクにより影響を受けるセキュリティポリシーの箇所を識別し、整理する

情報保証の観点から、リスクのレベルがアプリケーション、システム、ネットワークにおいて許容範囲内であることを確認するためのレビューを行う

整理された問題点について、セキュリティポリシー変更に対する分析を行い、ポリシーを見直す

セキュリティポリシーの更新評価項目を表示

▼評価項目

セキュリティポリシーの見直し対象について、再度リスク分析を行い、ポリシーを更新する

セキュリティポリシーの更新を経営層、情報セキュリティ関係担当役員、企画関係者に説明し、承認を得る

継続的にセキュリティポリシーの見直しを行う

情報技術の変化に応じて、セキュリティ要件を変更、もしくは変更が不要なことを確認する

契約管理>契約締結管理 委託/受託業務の内容と責任分担の明確化評価項目を表示

▼評価項目

該当案件の委託/受託業務内容および責任分担を契約書、仕様書に明記する

委託/受託業務の完了条件や検収条件を契約書に明記し、相手方と合意する

追加作業についての取り扱いを契約書に明記する

コンプライアンス>管理方針と体制 外部への情報提供評価項目を表示

▼評価項目

各種権利保護と情報取扱いの観点から外部への情報提供に関する方針を明らかにする

外部への情報提供を制約するデータを定義する

外部への情報提供にかかわる活動を業務手順書として取りまとめ、情報の取扱い規則を定める

外部への情報提供時に情報事故が発生した際の対応方針、プロシージャを決定する

コンプライアンス>実施と評価 教育と周知徹底評価項目を表示

▼評価項目

特定した関係法令や規範、および情報倫理規定について、組織体内外の関係者に周知徹底を行う教育体制を定める

関係法令や規範、および情報倫理規定についての教育実施責任者を定める

教育対象者と教育内容を定めた年間教育計画を策定する

教育実施責任者により、対象となる各種法令、規定を関係者に教育する

関連法令や規範、および情報倫理規定の周知徹底を図るために、繰り返し教育(リカレント教育)を実施する

遵守状況の評価と改善評価項目を表示

▼評価項目

法令や規範、および情報倫理規定の遵守状況を業務監査等により定期的に点検、評価する

遵守状況の点検、評価によって明らかになった指摘事項や改善事項に対して改善計画を策定する

改善計画のマネジメントレビューを実施し、組織体の長の承認を得る

改善計画に基づき、改善のための必要な方策を活動計画として取りまとめ、実施する

調達・委託>委託業務管理 セキュリティの調査評価項目を表示

▼評価項目

組織体のセキュリティポリシー、セキュリティ規定を確認し、情報取扱いルール等、委託先に求めるセキュリティ要件を整理する

委託先にセキュリティ要件を提示し、要件に対する充足度についての報告をもらう

組織体のセキュリティ要件を満たさない事項の報告を受けた際、その是正に関し、対応方法、時期、対応費用の取扱いを含め、委託先と調整を行う

セキュリティ是正の実施完了を確認し、委託先に求めるセキュリティ要件が充足されているか評価する

委託開始時と更新時においてセキュリティが担保されていることを調査する

委託業務の開始・推進評価項目を表示

▼評価項目

委託業務開始前に契約内容を確認する

委託先が契約履行に必要な情報について、資料管理責任者と担当を明らかにし、委託契約料、仕様書に基づいて要求仕様、データ、資料を提供する

委託業務の実施内容を委託先責任者に説明し、把握させる

決められた方法に基づき、委託業務の実施内容を確認するとともに、契約内容の相違点の有無を確認する

委託業務の実施内容と契約内容に相違がある場合、齟齬の発生理由と課題を明らかにし、措置を講じることにより是正を図る

進捗状況の把握と遅延、その他のリスク対策評価項目を表示

▼評価項目

決められたタイミングと手段ならびに報告内容から想定される課題等を委託先に確認しながら、進捗状況を把握する

遅延や品質、コスト等にかかわる問題点の原因を究明し、措置を講じることで是正を図る

誤謬防止、不正防止、機密保護等の対策の実現方法を明らかに、これらの実現状況を把握する

誤謬防止、不正防止、機密保護等の対策の実現状況に応じて、担当者の誓約書を取り交わす等の必要な改善措置を講じる

成果物の検収評価項目を表示

▼評価項目

成果物の検収条件を検収基準として策定し、検収不可の場合の対策方法を含めて、作業委託時に委託先に提示する

予め定めた検収基準に基づき、成果物検収を実施する

検収不可の場合、委託先に対して、定められた手順に則り是正を勧告する

検収結果を報告書に取りまとめ、委託責任者の承認を得る

業務終了後のデータ、資料等の回収と廃棄確認評価項目を表示

▼評価項目

委託先に提示した資料の変換、回収、廃棄等の方法を定義し、委託先を指導する

決められたタイミングと手続きで委託先に提示した資料の回収、廃棄を指示し、実行結果を確認する

委託先からの資料回収、資料廃棄を報告書に取りまとめ、委託責任者の承認を得る

業務結果の分析と評価評価項目を表示

▼評価項目

業務委託終了後、委託業務実績について、品質、納期、費用等の観点で分析を行い、評価報告として取りまとめる

委託業務評価報告書を委託責任者に承認を得る

複数案件の委託業務評価報告を取りまとめ、委託先企業の品質、納期遵守、費用等に関する総合評価を行い、以降の委託先選定時の参考資料を作成する

委託先との今後の付き合い方やベンダ選定基準等への反映を狙い、関係者に評価結果を報告する