タスク一覧



「情報リスクストラテジ」のタスク例

タスクプロフィール 「情報リスクストラテジ」で定義されているタスク例です。これらを参考にしながらタスクや役割を定義してください。
また、各タスクの詳細を参照する場合は、「評価項目を表示」ボタンをクリックしてください。
このタスクプロフィールに関する研修・書籍・資格の情報が こちらから検索できます。

タスク大分類 タスク中分類 タスク小分類
IT戦略策定・実行推進 基本方針の策定 現状分析・環境分析評価項目を表示
IT基本方針の策定評価項目を表示

▼評価項目

中長期経営計画から導出される重点IT化領域について検討し、実現のためのIT基本方針を明らかにする

ITガバナンス要件、技術ロードマップ、IT戦略上の課題を踏まえて、組織全体の主要なIT方針を決定、更新する

ITポートフォリオ、IT方針が組織全体のガバナンスに準じていることを検証し、ガバナンスの承認を得る

IT基本方針が組織全体で理解されるよう、マネジメント層を活用して周知する

IT化計画の策定 IT中期計画の作成評価項目を表示

▼評価項目

事業に関連する業務の流れ、主要データ、主要情報システムならびにIT技術動向を把握する

事業のIT化の課題解決の方向性を明らかにして、目指すべき事業とシステムの将来像を描く

システムの将来像に至るロードマップ(アプリケーションロードマップ)を作成し、実現のために必要なシステム基盤と関連事業への要求を整理する

システムの将来像実現の制約事項やリスクを踏まえたリソース(ヒト、モノ、カネ)を評価し、中期的投資原案を作成する

IT基盤戦略の策定評価項目を表示

▼評価項目

システム基盤のアーキテクチャ、技術フレームワーク、開発方式・技法に関する技術動向、他社動向を把握し、主要な技術ロードマップを整理する

最新のシステム基盤(共通基盤、個別システム基盤)とIT技術動向の調査・分析結果を踏まえて、目指すべきシステム基盤の将来像を描く

システム基盤の将来像に至るロードマップ(IT基盤戦略)を策定し、アプリケーションロードマップとの整合性を調整する

ロードマップ実現のための実行計画を、優先度や投資対効果を踏まえて洗い出す

IT基盤戦略の実現に向けた活動が進捗し、成果を出しているかを評価するための成果指標と目標値を設定する

事業部門のIT化計画の作成評価項目を表示

▼評価項目

事業戦略からITに繋がる要素を導き出し、重要性、緊急性を踏まえて重点施策を設定する

関係者から提示された個別の計画案を、事業戦略達成のバランス、リソース要件を踏まえて調整し、集約する

事業部門のIT化計画の成果と到達目標について、指標を設定し、目標レベルを設定する

IT基盤計画の作成評価項目を表示

▼評価項目

事業部門のIT化計画を踏まえて、IT基盤の開発・改善対象を識別し、優先順位をつけて計画案をまとめる

計画実施に必要な投資、体制、リスク(前提となる環境変化、費用算定単価等)に基づいて、必要なリソースを文書化する

計画案がIT基本方針に準じ、IT基盤戦略を推進するように調整する

計画案において、IT基盤戦略の目標到達や投資対効果を評価できる指標を設定し、目標レベルを設定する

全体計画の策定評価項目を表示

▼評価項目

事業部門のIT化計画とIT基盤計画を集約し、評価指標(戦略との整合性、個別優先度、全体最適等)に基づく評価基準をまとめる

全組織の統括レベルの戦略課題や事業横断案件を不整合なく全体計画に組み込む

全体計画を、中期、年度の両投資原案として精査し、IT化計画の確定案としてまとめる

必要な投資、体制、リスク(前提となる環境変化、費用算定単価等)に基づいて計画を取りまとめ、IT戦略(投資配分)を文書化する

決定機関の承認後、関係部門にIT戦略と共に確定した計画を周知する

IT戦略実行マネジメント プログラム戦略マネジメント評価項目を表示

▼評価項目

プログラムの目的を達成するための問題解決の基本的な枠組みを定める

プログラムの重要な戦略要素を識別し、時間、基盤、コスト、資源、市場の評価軸を使ってプログラムのシナリオを選択する

プログラムの置かれた内部・外部環境を分析し、現実的な戦略を定める

プログラムリスクへの対応評価項目を表示

▼評価項目

プログラムを実行する複数のプロジェクト間で、優先順位や各種リソース(人、時間、予算等)配分等を調整する

計画からの逸脱および結果や問題に対して、是生処置または予防処置を立案して実行する

個別プロジェクトで期待価値が生み出されていない場合に、適切な手立てを取って、プロジェクトの建て直し、再編、停止等の措置を講じる

プログラムのミッションと実行状況に応じて、中途終結を含むプログラムの構造の変更の意思決定をする

システム企画立案 情報セキュリティ要件定義 情報セキュリティ要件の定義評価項目を表示
情報セキュリティ規定の作成評価項目を表示

▼評価項目

セキュリティポリシーに基づき、企業活動のセキュリティ規定を作成する

セキュリティポリシーに基づき、情報システムのセキュリティ規定を作成する

経営層、情報セキュリティ関係担当役員、企画関係者にセキュリティ規定を説明し、承認を得る

情報セキュリティ計画の立案評価項目を表示

▼評価項目

情報セキュリティをベースにしたセキュリティ計画を策定する

セキュリティ計画の立案、およびセキュリティ計画を実行するにあたって発生する問題のソリューションを提案する

経営層、情報セキュリティ関係担当役員、企画関係者にセキュリティ計画を説明し、承認を得る

情報セキュリティ基準の策定評価項目を表示

▼評価項目

事業戦略、事業継続計画に基づき、各物理サイトの物理的保護レベルを定義する

セキュリティホール情報やセキュリティ勧告およびパッチの最新情報の分析に基づき、パッチ適用基準を策定する

従業員のソーシャルメディア使用に関するルールを策定する

アウトソース先のセキュリティ基準を策定する

電子データの信頼性を確保するために、第三者機関が発行する電子証明書と自組織が発行する電子証明書をそれぞれ利用する手続きを策定する

情報ネットワークのセキュリティ対策のためのガイダンス文書の発行管理を行う

事業継続マネジメント 事業継続計画の策定 事業継続計画策定の準備評価項目を表示
対象事故・災害のリスク分析評価項目を表示

▼評価項目

すべての自然災害およびテロ等による破壊について、最大規模の被害を想定し、地理的、組織的、物理的視点から検証する

情報システムの停止や機能縮退によって被る損失を、影響を受ける業務をすべて網羅して分析する

情報システムの停止や機能縮退による組織体の損害および社会的損害を明らかにする

他組織の情報システムの停止や機能縮退による自組織の損害を明らかにする

災害、テロ等の発生時に求められる業務継続性、事業ニーズを明らかにし、関連部門および取引先等の同意を得る

事業継続計画の策定評価項目を表示

▼評価項目

物的影響や取引先の影響する業務の重要性、緊急性、影響範囲、他の業務との整合性、取引先への影響ならびに実現可能性を考慮して回復許容時間と回復優先順位を設定し、関連部門および取引先等の同意を得る

目的、範囲、実行体制、見直しのルール等、PDCAサイクルを含む事業継続計画を策定する

事業継続の方針と事業継続計画の整合性を検証する

事業継続計画を組織体の責任者に説明し、承認を得る

従業員に対する事業継続計画の教育訓練の方針を明らかにする

事業継続計画の運用 事業継続のためのリソースの確保評価項目を表示

▼評価項目

人的影響による業務停止、業務の縮退も考慮して人的資源の確保と配置を検討する

事業継続のための物的資源(機器、備品類、バックアップデータ、帳票類、非常用電源稼動用燃料、生活物資等を含む)および提供を受けるサービスの確保および入手ルートを整備する

災害、テロ等の発生時のコミュニケーション手段を整備する

事業継続のための財政措置を含む必要なリソースを確保する

事業継続のためのリソース確保時に発生した問題点を抽出し、事業継続計画に反映させる

事業継続計画の見直し 事業継続計画の見直し評価項目を表示

▼評価項目

事業継続計画見直しをルールに基づき実施する

事業継続計画見直しによる変更の理由を明らかにする

変更した事業継続計画を組織体の責任者に説明し、承認を得る

災害復旧計画の策定 災害復旧計画の策定評価項目を表示

▼評価項目

情報資産の評価結果とリスク分析結果を踏まえた災害時の対応計画を策定する

災害復旧計画において、バックアップ、代替処理、復旧対策、見直しのルール等を明らかにする

事業継続計画と災害復旧計画との整合性を検証する

災害復旧計画を組織体の責任者に説明し、承認を得る

災害復旧計画に基づく従業員に対する教育訓練の方針を明らかにする

災害復旧計画の実現可能性の検証評価項目を表示

▼評価項目

災害復旧計画の実現可能性を検証する計画を策定する

被害被災の程度に応じた検証を計画する

検証結果を記録し、災害復旧計画に反映させる

緊急時対応体制の確立評価項目を表示

▼評価項目

代替要員を必要とする作業を明らかにする

作業の優先順位を判断する

代替要員を確保するまでの臨時措置を検討する

交通経路、宿泊施設を検討する

従業員の避難場所を明らかにする

緊急連絡体制を策定し、従業員に周知する

災害復旧計画の見直し 災害復旧計画の見直し評価項目を表示

▼評価項目

災害復旧計画見直しのルールを明らかにする

災害復旧計画見直しによる変更の理由を明らかにする

変更した災害復旧計画を組織体の責任者に説明し、承認を得る

変更した災害復旧計画の検証を実施する

情報セキュリティマネジメント 情報セキュリティ戦略と方針の策定 基本戦略の策定評価項目を表示
情報資産の評価評価項目を表示

▼評価項目

情報資産(システム、データ、人材、ドキュメント)を識別する

機密性、完全性、可用性の3つの側面から経営における重要度、致命度を評価し、整理する

整理、評価した情報資産について、経営層、情報セキュリティ関係担当役員、企画関係者に説明し、承認を得る

脅威とリスクの識別評価項目を表示

▼評価項目

現状の脅威に関する情報を網羅的に収集する

現状の脅威に関する情報を情報の改ざん、情報の漏洩、資源の浪費、資源の不正利用、人による過ち等の分類項目で整理する

情報資産に対する現状のリスク(システム廃棄を含む)を識別する

リスクの発生しうる場所および発生時期を整理する

リスクの原因を、物理的な要因、技術的な要因、人的な要因に分類し、整理する

リスクの評価評価項目を表示

▼評価項目

現状、リスクに対して対策がどの程度実施されているか調査し、その結果を整理する

整理されたリスクの発生確率を明らかにし、損害額を算定する

各リスクに対して、リスク軽減の対策とコストを算定する

リスクアセスメントで発見された残留リスクが許容可能か否かを評価する

各々のリスク対策にランク付けを行う

セキュリティポリシーの策定評価項目を表示

▼評価項目

セキュリティ対策への取り組みを経営方針に反映させる

セキュリティ対策の目的、適用範囲、達成レベル、対策基準の方針、情報セキュリティの責任者、経営者・従業員の遵守事項、組織または実施体制、運用、罰則、公開、見直しについて記述する

経営層、情報セキュリティ関係担当役員、企画関係者にセキュリティ方針と体制を説明し、承認を得る

情報セキュリティに関する法律やISO、JIS等の標準規格を踏まえて、ポリシー案およびその調整に関するレビューと承認を行う

組織のセキュリティ目標を実現するための情報セキュリティ戦略の代替案を分析する

情報セキュリティの運用 情報セキュリティガバナンス評価項目を表示

▼評価項目

セキュアな運用と情報保全の維持に必要なリソースを確保する

リスクアセスメント、監査、検査を通じて識別された脆弱性に対して、適切な対策を講じる

セキュリティリスクの分析結果を、組織設計、職務分掌、業務プロセス定義等に反映させる

現場部門に情報セキュリティ戦略に対応したプロセスを実施させる

必要なセキュリティレベルを確保するために満足すべきセキュリティ対策に関する要件を、システムおよびサービスの調達要件に反映させる

セキュリティリスク、緩和策およびその他の技術リスクを扱うリスクガバナンスのプロセスに関与する

情報セキュリティ対策について、組織の目標の達成に向けて組織管理者と連携する

情報セキュリティ予算、要員、契約を主導・監督する

認定ないし保証されたセキュリティ対策の実施状況に関する最新の文書を入手し、利用する

組織内のさまざまな関係者と情報セキュリティ対策の在り方について意見交換する

予め緊急時の対応の権限を委任され、必要な対処を行う

組織で実施する検査、テスト、レビューを、ネットワーク環境に適した形で確実に実施させる

情報セキュリティのインシデント発生時にCSIRTを指揮し、情報を収集し、経営陣に報告する

情報セキュリティの周知と教育評価項目を表示

▼評価項目

情報セキュリティ戦略、セキュリティポリシーおよび遵守すべきガイドラインを協働者、アウトソース等を含む関係者に周知徹底する

役割別、階層別の情報セキュリティ教育を企画し、実施する

セキュリティインシデントがもたらす社会的影響を従業員に理解させる

情報セキュリティの見直し 情報の収集と評価評価項目を表示

▼評価項目

セキュリティに関する法令の改正や社会通念の変化、コンプライアンス上の新たな課題等の情報を収集する

セキュリティホールやセキュリティ勧告およびパッチの最新情報を収集する

最新のセキュリティ技術情報を収集し、対象システムに適用できるかどうか評価する

運用上の問題点整理と分析評価項目を表示

▼評価項目

アンケートやヒアリングを行い、セキュリティポリシー実施上の問題点を収集、整理する

違反者の多いセキュリティ基準を収集、整理する

非遵守事項が情報セキュリティにどのような影響を及ぼすかを導き出す

整理された問題点について、セキュリティポリシー変更に対する分析を行い、ポリシーを見直す

事故の再発防止策の実施によってセキュリティポリシーの受ける影響を分析し、ポリシーを見直す

適切な緩和策を確実に実施するための監査指摘事項と勧告の追跡を行う

セキュリティ対策に関する改善策が確実に実施されていることを確認する

技術上の問題点整理と分析評価項目を表示

▼評価項目

新技術の開発により影響を受けるセキュリティポリシーの箇所を識別し、整理する

セキュリティ評価の結果から、影響を受けるセキュリティポリシーの箇所を識別し、整理する

整理された問題点について、セキュリティポリシー変更に対する分析を行い、ポリシーを見直す

情報技術の変化に応じてセキュリティ要件を変更する、もしくは変更が不要なことを確認する

新たなリスクの整理と分析評価項目を表示

▼評価項目

新たなリスクを収集、整理する

新たなリスクにより影響を受けるセキュリティポリシーの箇所を識別し、整理する

情報保証の観点から、リスクのレベルがアプリケーション、システム、ネットワークにおいて許容範囲内であることを確認するためのレビューを行う

整理された問題点について、セキュリティポリシー変更に対する分析を行い、ポリシーを見直す

セキュリティポリシーの更新評価項目を表示

▼評価項目

セキュリティポリシーの見直し対象について、再度リスク分析を行い、ポリシーを更新する

セキュリティポリシーの更新を経営層、情報セキュリティ関係担当役員、企画関係者に説明し、承認を得る

継続的にセキュリティポリシーの見直しを行う

情報技術の変化に応じて、セキュリティ要件を変更、もしくは変更が不要なことを確認する

コンプライアンス 管理方針と体制 法令および規範の管理体制確立評価項目を表示
遵守すべき法令および規範の識別評価項目を表示

▼評価項目

法令、規範への対応方針を明らかにし、コンプライアンスポリシーとして定める

ITを用いて業務改革やシステム企画、運用を実施する上で、関係する法令を洗い出す

洗い出した法令のうち、対応が必要となる関係法令や規範を識別し特定する

特定した関係法令および規範について、定期的に見直しを行う

情報倫理規定の策定評価項目を表示

▼評価項目

業務遂行上必要となる関係法令や規範に基づき、組織体が遵守すべきルールを情報倫理規定や行動指針として定める

情報倫理規定を組織体へ周知徹底するための手段や体制等の仕組みを確立する

関係法令や規範の定期的な見直しと連動して、情報倫理規定を見直す

個人情報の保護評価項目を表示

▼評価項目

個人情報保護の観点から個人情報取扱い方針を明らかにする

個人情報として取り扱う情報種別を定義する

個人情報を保全するための活動を業務手順書として取りまとめ、情報の取扱い規則を定める

個人情報漏洩等の事故が発生した際の対応方針、プロシージャを決定する

知的財産権の保護評価項目を表示

▼評価項目

知的財産保護の観点から知的財産取扱い方針を明らかにする

知的財産として取り扱う財産種別を定義する

知的財産を保全するための活動を業務手順書として取りまとめ、情報の取扱い規則を定める

知的財産侵犯等の事故が発生した際の対応方針、プロシージャを決定する

外部への情報提供評価項目を表示

▼評価項目

各種権利保護と情報取扱いの観点から外部への情報提供に関する方針を明らかにする

外部への情報提供を制約するデータを定義する

外部への情報提供にかかわる活動を業務手順書として取りまとめ、情報の取扱い規則を定める

外部への情報提供時に情報事故が発生した際の対応方針、プロシージャを決定する

実施と評価 教育と周知徹底評価項目を表示

▼評価項目

特定した関係法令や規範、および情報倫理規定について、組織体内外の関係者に周知徹底を行う教育体制を定める

関係法令や規範、および情報倫理規定についての教育実施責任者を定める

教育対象者と教育内容を定めた年間教育計画を策定する

教育実施責任者により、対象となる各種法令、規定を関係者に教育する

関連法令や規範、および情報倫理規定の周知徹底を図るために、繰り返し教育(リカレント教育)を実施する

遵守状況の評価と改善評価項目を表示

▼評価項目

法令や規範、および情報倫理規定の遵守状況を業務監査等により定期的に点検、評価する

遵守状況の点検、評価によって明らかになった指摘事項や改善事項に対して改善計画を策定する

改善計画のマネジメントレビューを実施し、組織体の長の承認を得る

改善計画に基づき、改善のための必要な方策を活動計画として取りまとめ、実施する

外部要件に対するコンプライアンスの保証評価項目を表示

▼評価項目

ITのポリシー、標準、手続きおよび方法論を適合させるために、遵守すべき国内外の法律、規制等の外部要件を特定する

ITのポリシー、標準と手続きを最適化し、法律や規制の要件に効率的に対応する

ITのポリシー、標準、手続きおよび方法論について、法律や規制の要件に対するコンプライアンス状況を確認する

コンプライアンスが不十分な場合に取るべき是正措置がタイムリーに講じられていることを確認する

法律、規制および契約要件に関するIT部門の報告と、その他の事業部門からの類似報告を統合する

マーケティング・セールス ソリューションの組立て リスク計画の策定評価項目を表示
ソリューションの提案 ソリューションの提案評価項目を表示

▼評価項目

顧客の財務状態(決算指標等)や経営戦略の概要を分析し、自社のソリューションを購入できる時期や価格帯を検証する

顧客の課題や戦略に基づくIT要件の主要なポイントを把握し、自社のソリューションの適合性を分析する

顧客の購買基準をヒアリングし、基準に適合するように可能な限り調整した上で提案する

顧客のセキュリティ基準、監査基準をヒアリングし、基準に適合するように可能な限り調整した上で提案する

新ビジネス・新技術の調査・分析と技術支援 最新技術の研究・検証 調査対象の設定と情報収集評価項目を表示
最新技術の評価・検証評価項目を表示

▼評価項目

収集した技術情報を分析し、そのトレンドや影響の大きさ、速さ等を要素とした技術マップを作成する

最新技術について、単独の性能、効果、特性と実活用を踏まえた組合せの性能、効果、特性を検証する

最新技術の特性や接続性を踏まえて典型的な既存技術との組合せの性能、効果、特性を検証する

最新技術の特性、性能、コスト効果を分析し、現在や近い将来の用途を洗い出す

セキュリティ領域 IT戦略策定・実行推進>基本方針の策定 現状分析・環境分析評価項目を表示
IT基本方針の策定評価項目を表示

▼評価項目

中長期経営計画から導出される重点IT化領域について検討し、実現のためのIT基本方針を明らかにする

ITガバナンス要件、技術ロードマップ、IT戦略上の課題を踏まえて、組織全体の主要なIT方針を決定、更新する

ITポートフォリオ、IT方針が組織全体のガバナンスに準じていることを検証し、ガバナンスの承認を得る

IT基本方針が組織全体で理解されるよう、マネジメント層を活用して周知する

IT戦略策定・実行推進>IT化計画の策定 IT中期計画の作成評価項目を表示

▼評価項目

事業に関連する業務の流れ、主要データ、主要情報システムならびにIT技術動向を把握する

事業のIT化の課題解決の方向性を明らかにして、目指すべき事業とシステムの将来像を描く

システムの将来像に至るロードマップ(アプリケーションロードマップ)を作成し、実現のために必要なシステム基盤と関連事業への要求を整理する

システムの将来像実現の制約事項やリスクを踏まえたリソース(ヒト、モノ、カネ)を評価し、中期的投資原案を作成する

IT基盤戦略の策定評価項目を表示

▼評価項目

システム基盤のアーキテクチャ、技術フレームワーク、開発方式・技法に関する技術動向、他社動向を把握し、主要な技術ロードマップを整理する

最新のシステム基盤(共通基盤、個別システム基盤)とIT技術動向の調査・分析結果を踏まえて、目指すべきシステム基盤の将来像を描く

システム基盤の将来像に至るロードマップ(IT基盤戦略)を策定し、アプリケーションロードマップとの整合性を調整する

ロードマップ実現のための実行計画を、優先度や投資対効果を踏まえて洗い出す

IT基盤戦略の実現に向けた活動が進捗し、成果を出しているかを評価するための成果指標と目標値を設定する

事業部門のIT化計画の作成評価項目を表示

▼評価項目

事業戦略からITに繋がる要素を導き出し、重要性、緊急性を踏まえて重点施策を設定する

関係者から提示された個別の計画案を、事業戦略達成のバランス、リソース要件を踏まえて調整し、集約する

事業部門のIT化計画の成果と到達目標について、指標を設定し、目標レベルを設定する

IT基盤計画の作成評価項目を表示

▼評価項目

事業部門のIT化計画を踏まえて、IT基盤の開発・改善対象を識別し、優先順位をつけて計画案をまとめる

計画実施に必要な投資、体制、リスク(前提となる環境変化、費用算定単価等)に基づいて、必要なリソースを文書化する

計画案がIT基本方針に準じ、IT基盤戦略を推進するように調整する

計画案において、IT基盤戦略の目標到達や投資対効果を評価できる指標を設定し、目標レベルを設定する

全体計画の策定評価項目を表示

▼評価項目

事業部門のIT化計画とIT基盤計画を集約し、評価指標(戦略との整合性、個別優先度、全体最適等)に基づく評価基準をまとめる

全組織の統括レベルの戦略課題や事業横断案件を不整合なく全体計画に組み込む

全体計画を、中期、年度の両投資原案として精査し、IT化計画の確定案としてまとめる

必要な投資、体制、リスク(前提となる環境変化、費用算定単価等)に基づいて計画を取りまとめ、IT戦略(投資配分)を文書化する

決定機関の承認後、関係部門にIT戦略と共に確定した計画を周知する

IT戦略策定・実行推進>IT戦略実行マネジメント プログラム戦略マネジメント評価項目を表示

▼評価項目

プログラムの目的を達成するための問題解決の基本的な枠組みを定める

プログラムの重要な戦略要素を識別し、時間、基盤、コスト、資源、市場の評価軸を使ってプログラムのシナリオを選択する

プログラムの置かれた内部・外部環境を分析し、現実的な戦略を定める

プログラムリスクへの対応評価項目を表示

▼評価項目

プログラムを実行する複数のプロジェクト間で、優先順位や各種リソース(人、時間、予算等)配分等を調整する

計画からの逸脱および結果や問題に対して、是生処置または予防処置を立案して実行する

個別プロジェクトで期待価値が生み出されていない場合に、適切な手立てを取って、プロジェクトの建て直し、再編、停止等の措置を講じる

プログラムのミッションと実行状況に応じて、中途終結を含むプログラムの構造の変更の意思決定をする

システム企画立案>情報セキュリティ要件定義 情報セキュリティ要件の定義評価項目を表示

▼評価項目

セキュリティポリシーやコンプライアンス、情報保証上の必要性を情報セキュリティ要件に反映させる

実装すべき情報セキュリティの要件(障害発生時の復旧時間の許容時間、データ復旧範囲等、障害対応に関する要件を含む)、実施レベル、考慮点等を明らかにする

各々の情報セキュリティ要件に対する実装方式を提示する

情報セキュリティ要件を実現するための費用を算出する

システムに存在する脆弱性について、その対策と緩和のための取り組みの方針を決定する(アプリケーションの可用性維持からパッチを適用しない場合の対策等を含む)

情報セキュリティ要件に関する制約事項を抽出する

情報セキュリティ規定の作成評価項目を表示

▼評価項目

セキュリティポリシーに基づき、企業活動のセキュリティ規定を作成する

セキュリティポリシーに基づき、情報システムのセキュリティ規定を作成する

経営層、情報セキュリティ関係担当役員、企画関係者にセキュリティ規定を説明し、承認を得る

情報セキュリティ計画の立案評価項目を表示

▼評価項目

情報セキュリティをベースにしたセキュリティ計画を策定する

セキュリティ計画の立案、およびセキュリティ計画を実行するにあたって発生する問題のソリューションを提案する

経営層、情報セキュリティ関係担当役員、企画関係者にセキュリティ計画を説明し、承認を得る

情報セキュリティ基準の策定評価項目を表示

▼評価項目

事業戦略、事業継続計画に基づき、各物理サイトの物理的保護レベルを定義する

セキュリティホール情報やセキュリティ勧告およびパッチの最新情報の分析に基づき、パッチ適用基準を策定する

従業員のソーシャルメディア使用に関するルールを策定する

アウトソース先のセキュリティ基準を策定する

電子データの信頼性を確保するために、第三者機関が発行する電子証明書と自組織が発行する電子証明書をそれぞれ利用する手続きを策定する

情報ネットワークのセキュリティ対策のためのガイダンス文書の発行管理を行う

システム要件定義・方式設計>システム方式設計 セキュリティの観点からの設計評価項目を表示

▼評価項目

評価項目は未定義

運用設計>セキュリティ運用設計 通常時におけるセキュリティ運用の設計評価項目を表示

▼評価項目

評価項目は未定義

インシデント発生時におけるセキュリティ運用の設計評価項目を表示

▼評価項目

評価項目は未定義

サービスデスク>IT利活用 セキュリティ適合確認の実施評価項目を表示

▼評価項目

評価項目は未定義

サービスデスク>システム利用者対応 セキュリティ適合確認の実施評価項目を表示

▼評価項目

評価項目は未定義

サービスデスク>顧客統括管理 セキュリティ適合確認の実施評価項目を表示

▼評価項目

評価項目は未定義

システム評価・改善>セキュリティの評価 セキュリティ計画に照らした評価評価項目を表示

▼評価項目

評価項目は未定義

評価結果を踏まえた改善の実施評価項目を表示

▼評価項目

評価項目は未定義

事業継続マネジメント>事業継続計画の策定 事業継続計画策定の準備評価項目を表示

▼評価項目

情報システムに関連した事業継続の対象範囲を把握する

情報システムに関連した事業継続の方針を立案し、組織体の責任者の承認を得る

情報システムに関連した事業継続におけるリスクを明らかにする

事業継続計画の作成のための情報システムおよび、それを支える内部・外部のリソースに関するガイダンスを提供する

対象事故・災害のリスク分析評価項目を表示

▼評価項目

すべての自然災害およびテロ等による破壊について、最大規模の被害を想定し、地理的、組織的、物理的視点から検証する

情報システムの停止や機能縮退によって被る損失を、影響を受ける業務をすべて網羅して分析する

情報システムの停止や機能縮退による組織体の損害および社会的損害を明らかにする

他組織の情報システムの停止や機能縮退による自組織の損害を明らかにする

災害、テロ等の発生時に求められる業務継続性、事業ニーズを明らかにし、関連部門および取引先等の同意を得る

事業継続計画の策定評価項目を表示

▼評価項目

物的影響や取引先の影響する業務の重要性、緊急性、影響範囲、他の業務との整合性、取引先への影響ならびに実現可能性を考慮して回復許容時間と回復優先順位を設定し、関連部門および取引先等の同意を得る

目的、範囲、実行体制、見直しのルール等、PDCAサイクルを含む事業継続計画を策定する

事業継続の方針と事業継続計画の整合性を検証する

事業継続計画を組織体の責任者に説明し、承認を得る

従業員に対する事業継続計画の教育訓練の方針を明らかにする

事業継続マネジメント>事業継続計画の運用 事業継続のためのリソースの確保評価項目を表示

▼評価項目

人的影響による業務停止、業務の縮退も考慮して人的資源の確保と配置を検討する

事業継続のための物的資源(機器、備品類、バックアップデータ、帳票類、非常用電源稼動用燃料、生活物資等を含む)および提供を受けるサービスの確保および入手ルートを整備する

災害、テロ等の発生時のコミュニケーション手段を整備する

事業継続のための財政措置を含む必要なリソースを確保する

事業継続のためのリソース確保時に発生した問題点を抽出し、事業継続計画に反映させる

事業継続マネジメント>事業継続計画の見直し 事業継続計画の見直し評価項目を表示

▼評価項目

事業継続計画見直しをルールに基づき実施する

事業継続計画見直しによる変更の理由を明らかにする

変更した事業継続計画を組織体の責任者に説明し、承認を得る

事業継続マネジメント>災害復旧計画の策定 災害復旧計画の策定評価項目を表示

▼評価項目

情報資産の評価結果とリスク分析結果を踏まえた災害時の対応計画を策定する

災害復旧計画において、バックアップ、代替処理、復旧対策、見直しのルール等を明らかにする

事業継続計画と災害復旧計画との整合性を検証する

災害復旧計画を組織体の責任者に説明し、承認を得る

災害復旧計画に基づく従業員に対する教育訓練の方針を明らかにする

災害復旧計画の実現可能性の検証評価項目を表示

▼評価項目

災害復旧計画の実現可能性を検証する計画を策定する

被害被災の程度に応じた検証を計画する

検証結果を記録し、災害復旧計画に反映させる

緊急時対応体制の確立評価項目を表示

▼評価項目

代替要員を必要とする作業を明らかにする

作業の優先順位を判断する

代替要員を確保するまでの臨時措置を検討する

交通経路、宿泊施設を検討する

従業員の避難場所を明らかにする

緊急連絡体制を策定し、従業員に周知する

事業継続マネジメント>災害復旧計画の見直し 災害復旧計画の見直し評価項目を表示

▼評価項目

災害復旧計画見直しのルールを明らかにする

災害復旧計画見直しによる変更の理由を明らかにする

変更した災害復旧計画を組織体の責任者に説明し、承認を得る

変更した災害復旧計画の検証を実施する

情報セキュリティマネジメント>情報セキュリティ戦略と方針の策定 基本戦略の策定評価項目を表示

▼評価項目

組織体の情報セキュリティ目標を定める

情報セキュリティ戦略を実施するにあたり、その実行体制を確立する

経営戦略に準じた組織全体の改善サイクルとなるようにエンタープライズアーキテクチャ(BA、DA、AA、TA)開発組織を統轄する

セキュリティ業務全体を見て、その業務の一部を委託をすべきなのかを判断、決定する

システムのセキュリティやリスクに関する技術動向調査を行い、その情報をIT戦略立案に活用する

CSIRTの方針を策定し、経営層、情報セキュリティ関係担当役員、企画関係者に説明し、承認を得る

CSIRTの体制を構築し、リソースを確保する

情報資産の評価評価項目を表示

▼評価項目

情報資産(システム、データ、人材、ドキュメント)を識別する

機密性、完全性、可用性の3つの側面から経営における重要度、致命度を評価し、整理する

整理、評価した情報資産について、経営層、情報セキュリティ関係担当役員、企画関係者に説明し、承認を得る

脅威とリスクの識別評価項目を表示

▼評価項目

現状の脅威に関する情報を網羅的に収集する

現状の脅威に関する情報を情報の改ざん、情報の漏洩、資源の浪費、資源の不正利用、人による過ち等の分類項目で整理する

情報資産に対する現状のリスク(システム廃棄を含む)を識別する

リスクの発生しうる場所および発生時期を整理する

リスクの原因を、物理的な要因、技術的な要因、人的な要因に分類し、整理する

リスクの評価評価項目を表示

▼評価項目

現状、リスクに対して対策がどの程度実施されているか調査し、その結果を整理する

整理されたリスクの発生確率を明らかにし、損害額を算定する

各リスクに対して、リスク軽減の対策とコストを算定する

リスクアセスメントで発見された残留リスクが許容可能か否かを評価する

各々のリスク対策にランク付けを行う

セキュリティポリシーの策定評価項目を表示

▼評価項目

セキュリティ対策への取り組みを経営方針に反映させる

セキュリティ対策の目的、適用範囲、達成レベル、対策基準の方針、情報セキュリティの責任者、経営者・従業員の遵守事項、組織または実施体制、運用、罰則、公開、見直しについて記述する

経営層、情報セキュリティ関係担当役員、企画関係者にセキュリティ方針と体制を説明し、承認を得る

情報セキュリティに関する法律やISO、JIS等の標準規格を踏まえて、ポリシー案およびその調整に関するレビューと承認を行う

組織のセキュリティ目標を実現するための情報セキュリティ戦略の代替案を分析する

情報セキュリティマネジメント>情報セキュリティの運用 情報セキュリティガバナンス評価項目を表示

▼評価項目

セキュアな運用と情報保全の維持に必要なリソースを確保する

リスクアセスメント、監査、検査を通じて識別された脆弱性に対して、適切な対策を講じる

セキュリティリスクの分析結果を、組織設計、職務分掌、業務プロセス定義等に反映させる

現場部門に情報セキュリティ戦略に対応したプロセスを実施させる

必要なセキュリティレベルを確保するために満足すべきセキュリティ対策に関する要件を、システムおよびサービスの調達要件に反映させる

セキュリティリスク、緩和策およびその他の技術リスクを扱うリスクガバナンスのプロセスに関与する

情報セキュリティ対策について、組織の目標の達成に向けて組織管理者と連携する

情報セキュリティ予算、要員、契約を主導・監督する

認定ないし保証されたセキュリティ対策の実施状況に関する最新の文書を入手し、利用する

組織内のさまざまな関係者と情報セキュリティ対策の在り方について意見交換する

予め緊急時の対応の権限を委任され、必要な対処を行う

組織で実施する検査、テスト、レビューを、ネットワーク環境に適した形で確実に実施させる

情報セキュリティのインシデント発生時にCSIRTを指揮し、情報を収集し、経営陣に報告する

情報セキュリティの周知と教育評価項目を表示

▼評価項目

情報セキュリティ戦略、セキュリティポリシーおよび遵守すべきガイドラインを協働者、アウトソース等を含む関係者に周知徹底する

役割別、階層別の情報セキュリティ教育を企画し、実施する

セキュリティインシデントがもたらす社会的影響を従業員に理解させる

情報セキュリティマネジメント>情報セキュリティの見直し 情報の収集と評価評価項目を表示

▼評価項目

セキュリティに関する法令の改正や社会通念の変化、コンプライアンス上の新たな課題等の情報を収集する

セキュリティホールやセキュリティ勧告およびパッチの最新情報を収集する

最新のセキュリティ技術情報を収集し、対象システムに適用できるかどうか評価する

運用上の問題点整理と分析評価項目を表示

▼評価項目

アンケートやヒアリングを行い、セキュリティポリシー実施上の問題点を収集、整理する

違反者の多いセキュリティ基準を収集、整理する

非遵守事項が情報セキュリティにどのような影響を及ぼすかを導き出す

整理された問題点について、セキュリティポリシー変更に対する分析を行い、ポリシーを見直す

事故の再発防止策の実施によってセキュリティポリシーの受ける影響を分析し、ポリシーを見直す

適切な緩和策を確実に実施するための監査指摘事項と勧告の追跡を行う

セキュリティ対策に関する改善策が確実に実施されていることを確認する

技術上の問題点整理と分析評価項目を表示

▼評価項目

新技術の開発により影響を受けるセキュリティポリシーの箇所を識別し、整理する

セキュリティ評価の結果から、影響を受けるセキュリティポリシーの箇所を識別し、整理する

整理された問題点について、セキュリティポリシー変更に対する分析を行い、ポリシーを見直す

情報技術の変化に応じてセキュリティ要件を変更する、もしくは変更が不要なことを確認する

新たなリスクの整理と分析評価項目を表示

▼評価項目

新たなリスクを収集、整理する

新たなリスクにより影響を受けるセキュリティポリシーの箇所を識別し、整理する

情報保証の観点から、リスクのレベルがアプリケーション、システム、ネットワークにおいて許容範囲内であることを確認するためのレビューを行う

整理された問題点について、セキュリティポリシー変更に対する分析を行い、ポリシーを見直す

セキュリティポリシーの更新評価項目を表示

▼評価項目

セキュリティポリシーの見直し対象について、再度リスク分析を行い、ポリシーを更新する

セキュリティポリシーの更新を経営層、情報セキュリティ関係担当役員、企画関係者に説明し、承認を得る

継続的にセキュリティポリシーの見直しを行う

情報技術の変化に応じて、セキュリティ要件を変更、もしくは変更が不要なことを確認する

契約管理>契約締結管理 セキュリティに関する契約内容の交渉・確認評価項目を表示

▼評価項目

評価項目は未定義

コンプライアンス>管理方針と体制 法令および規範の管理体制確立評価項目を表示

▼評価項目

法令および規範の主管部門を明らかにし、業務分掌に定義する

主管部門における管理責任者を定め、責任の所在を明らかにする

法令および規範の遵守状況を確認する

遵守すべき法令および規範の識別評価項目を表示

▼評価項目

法令、規範への対応方針を明らかにし、コンプライアンスポリシーとして定める

ITを用いて業務改革やシステム企画、運用を実施する上で、関係する法令を洗い出す

洗い出した法令のうち、対応が必要となる関係法令や規範を識別し特定する

特定した関係法令および規範について、定期的に見直しを行う

情報倫理規定の策定評価項目を表示

▼評価項目

業務遂行上必要となる関係法令や規範に基づき、組織体が遵守すべきルールを情報倫理規定や行動指針として定める

情報倫理規定を組織体へ周知徹底するための手段や体制等の仕組みを確立する

関係法令や規範の定期的な見直しと連動して、情報倫理規定を見直す

個人情報の保護評価項目を表示

▼評価項目

個人情報保護の観点から個人情報取扱い方針を明らかにする

個人情報として取り扱う情報種別を定義する

個人情報を保全するための活動を業務手順書として取りまとめ、情報の取扱い規則を定める

個人情報漏洩等の事故が発生した際の対応方針、プロシージャを決定する

知的財産権の保護評価項目を表示

▼評価項目

知的財産保護の観点から知的財産取扱い方針を明らかにする

知的財産として取り扱う財産種別を定義する

知的財産を保全するための活動を業務手順書として取りまとめ、情報の取扱い規則を定める

知的財産侵犯等の事故が発生した際の対応方針、プロシージャを決定する

外部への情報提供評価項目を表示

▼評価項目

各種権利保護と情報取扱いの観点から外部への情報提供に関する方針を明らかにする

外部への情報提供を制約するデータを定義する

外部への情報提供にかかわる活動を業務手順書として取りまとめ、情報の取扱い規則を定める

外部への情報提供時に情報事故が発生した際の対応方針、プロシージャを決定する

コンプライアンス>実施と評価 教育と周知徹底評価項目を表示

▼評価項目

特定した関係法令や規範、および情報倫理規定について、組織体内外の関係者に周知徹底を行う教育体制を定める

関係法令や規範、および情報倫理規定についての教育実施責任者を定める

教育対象者と教育内容を定めた年間教育計画を策定する

教育実施責任者により、対象となる各種法令、規定を関係者に教育する

関連法令や規範、および情報倫理規定の周知徹底を図るために、繰り返し教育(リカレント教育)を実施する

遵守状況の評価と改善評価項目を表示

▼評価項目

法令や規範、および情報倫理規定の遵守状況を業務監査等により定期的に点検、評価する

遵守状況の点検、評価によって明らかになった指摘事項や改善事項に対して改善計画を策定する

改善計画のマネジメントレビューを実施し、組織体の長の承認を得る

改善計画に基づき、改善のための必要な方策を活動計画として取りまとめ、実施する

外部要件に対するコンプライアンスの保証評価項目を表示

▼評価項目

ITのポリシー、標準、手続きおよび方法論を適合させるために、遵守すべき国内外の法律、規制等の外部要件を特定する

ITのポリシー、標準と手続きを最適化し、法律や規制の要件に効率的に対応する

ITのポリシー、標準、手続きおよび方法論について、法律や規制の要件に対するコンプライアンス状況を確認する

コンプライアンスが不十分な場合に取るべき是正措置がタイムリーに講じられていることを確認する

法律、規制および契約要件に関するIT部門の報告と、その他の事業部門からの類似報告を統合する

セキュリティ監査>セキュリティ監査計画の策定 基本計画書の作成評価項目を表示

▼評価項目

評価項目は未定義

個別計画書の作成評価項目を表示

▼評価項目

評価項目は未定義

セキュリティ監査>セキュリティ監査対応 監査実施対応評価項目を表示

▼評価項目

評価項目は未定義

マーケティング・セールス>ソリューションの組立て リスク計画の策定評価項目を表示

▼評価項目

想定されるすべてのリスクを洗い出し、発生に伴う影響を評価する

リスク予防策の実施効果を検証する

整理されたリスクの発生確率を想定する

リスク対策が現状どの程度実施されているかどうか調査し、整理する

セキュリティ適合確認の実施評価項目を表示

▼評価項目

評価項目は未定義

マーケティング・セールス>ソリューションの提案 ソリューションの提案評価項目を表示

▼評価項目

顧客の財務状態(決算指標等)や経営戦略の概要を分析し、自社のソリューションを購入できる時期や価格帯を検証する

顧客の課題や戦略に基づくIT要件の主要なポイントを把握し、自社のソリューションの適合性を分析する

顧客の購買基準をヒアリングし、基準に適合するように可能な限り調整した上で提案する

顧客のセキュリティ基準、監査基準をヒアリングし、基準に適合するように可能な限り調整した上で提案する

新ビジネス・新技術の調査・分析と技術支援>最新技術の研究・検証 調査対象の設定と情報収集評価項目を表示

▼評価項目

情報技術動向の調査方針を明らかにする

ビジネスへの影響を踏まえて、重点的に評価・検討すべき技術領域、手法・製品を特定する

重点的に評価・検討すべき最新技術の獲得方法を選択し、必要な情報を必要な時期までに収集する

最新技術の評価・検証評価項目を表示

▼評価項目

収集した技術情報を分析し、そのトレンドや影響の大きさ、速さ等を要素とした技術マップを作成する

最新技術について、単独の性能、効果、特性と実活用を踏まえた組合せの性能、効果、特性を検証する

最新技術の特性や接続性を踏まえて典型的な既存技術との組合せの性能、効果、特性を検証する

最新技術の特性、性能、コスト効果を分析し、現在や近い将来の用途を洗い出す

データの再利用>状況の評価 セキュリティとプライバシー保護の観点からの分析評価項目を表示

▼評価項目

評価項目は未定義

新たな価値創造による新規製品・サービス開発>プロトタイピングを通した新規製品の検討 セキュリティの観点からの評価評価項目を表示

▼評価項目

評価項目は未定義