タスク一覧



「情報セキュリティアナリシス」のタスク例

タスクプロフィール 「情報セキュリティアナリシス」で定義されているタスク例です。これらを参考にしながらタスクや役割を定義してください。
また、各タスクの詳細を参照する場合は、「評価項目を表示」ボタンをクリックしてください。
このタスクプロフィールに関する研修・書籍・資格の情報が こちらから検索できます。

タスク大分類 タスク中分類 タスク小分類
システム企画立案 情報セキュリティ要件定義 情報セキュリティ要件の定義評価項目を表示
情報セキュリティ規定の作成評価項目を表示

▼評価項目

セキュリティポリシーに基づき、企業活動のセキュリティ規定を作成する

セキュリティポリシーに基づき、情報システムのセキュリティ規定を作成する

経営層、情報セキュリティ関係担当役員、企画関係者にセキュリティ規定を説明し、承認を得る

情報セキュリティ計画の立案評価項目を表示

▼評価項目

情報セキュリティをベースにしたセキュリティ計画を策定する

セキュリティ計画の立案、およびセキュリティ計画を実行するにあたって発生する問題のソリューションを提案する

経営層、情報セキュリティ関係担当役員、企画関係者にセキュリティ計画を説明し、承認を得る

情報セキュリティ基準の策定評価項目を表示

▼評価項目

事業戦略、事業継続計画に基づき、各物理サイトの物理的保護レベルを定義する

セキュリティホール情報やセキュリティ勧告およびパッチの最新情報の分析に基づき、パッチ適用基準を策定する

従業員のソーシャルメディア使用に関するルールを策定する

アウトソース先のセキュリティ基準を策定する

電子データの信頼性を確保するために、第三者機関が発行する電子証明書と自組織が発行する電子証明書をそれぞれ利用する手続きを策定する

情報ネットワークのセキュリティ対策のためのガイダンス文書の発行管理を行う

システム要件定義・方式設計 セキュリティ要件定義 現状把握評価項目を表示
セキュリティ要件の評価評価項目を表示

▼評価項目

セキュリティ要件のセキュリティポリシーへの準拠性を評価する

当該システムにおける機能要件およびセキュリティ以外の非機能要件との一貫性を評価する

当該システムにおけるセキュリティ要件の実現可能性を評価する

当該システムにセキュリティ要件を実装した際の運用・保守の実現可能性を評価する

基盤システム構築 基盤システム設計(情報セキュリティ) セキュリティの設計評価項目を表示
基盤システム構築・テスト(情報セキュリティ) セキュリティの実装評価項目を表示

▼評価項目

情報システムやネットワークの構成要素を識別し、それぞれの構成要素に対してセキュリティ製品を選択し導入する

セキュリティ設計を実装する適当なセキュリティ製品が存在しない場合、必要に応じて独自にソフトウェア開発を行う

セキュリティ設計仕様書に則ったセキュリティ対策を実装する

情報保証の観点から、不適切に実装されたアプリケーション、システム、ネットワークの修正のための取り組みを実施させ、その実施状況を確認する

テスト計画と実施評価項目を表示

▼評価項目

テストの要求事項と適用範囲を明らかにし、テスト仕様書を作成する

テストを実施し、機密性、完全性、可用性等の要件に適合を確認する

適切な手法やツールを用いて脆弱性の検査を行う

情報保証において、セキュリティ、回復力、信頼性の要件に関するシステムの適合性を測定、評価する

テスト結果を評価し、支障があった場合にはプロジェクト関係者と連携をとって対応を検討し、改善する

ISO/IEC 15408の定める手順に基づき、ソフトウェアおよびシステムのセキュリティ評価を行う

組込みソフトウェア開発 安全性テスト 安全性テストの準備評価項目を表示
安全性テストの実施と評価評価項目を表示

▼評価項目

安全性テスト仕様書のテスト項目に準じたテスト状態を設定し、動作を確認する

安全性テスト仕様書に記載された合否判定基準に準じてテストの合否を判断し、不具合の原因箇所を特定する

解決された不具合の対応結果を、その影響範囲を見極めた上で検証する

テスト結果を取りまとめて、未解決の問題の有無や対応を明記したテスト報告書を作成する

セキュリティテスト セキュリティテスト計画策定 セキュリティテスト計画の作成評価項目を表示
セキュリティテストの準備評価項目を表示

▼評価項目

テスト結果として報告すべき内容(不適格と判定されたテスト項目について、発生条件、リスクの大きさ、実施すべき対策の明示等)をテスト実施要領として定める

テスト計画書およびテスト実施要領に基づき、テスト実施体制を決定する(社内体制の構築または外部機関の選定)

テストの実施に必要な環境や条件を明らかにする

セキュリティテスト実施 セキュリティテストの実施評価項目を表示

▼評価項目

テスト計画書に基づき、テストの実施に必要な環境を準備する

テスト計画書およびテスト実施要領に基づくセキュリティテストを実施(または委託)する

テスト結果の報告を受け、テスト計画およびテスト実施要領に準じた内容であることを確認する

セキュリティテスト結果の対策実施評価項目を表示

▼評価項目

テスト結果を評価し、不適格と判定されたテスト項目への対策の必要可否を判断する

対策の内容(設計変更、システム運用方法の変更等)を定める

当該システムに施した対策に対する再テストを行い、判定結果に基づいた対策を定める

セキュリティテストの結果と対策の内容を関連文書(設計書、テスト仕様書、運用手順書等)に反映する

移行・導入(システムリリース) 受入れテスト 受入れテストの支援評価項目を表示
IT運用コントロール 情報セキュリティ管理 情報セキュリティの評価と検証評価項目を表示
システム運用管理 変更管理 変更の評価評価項目を表示
リリース管理 妥当性確認とテスト評価項目を表示

▼評価項目

コンポーネントの最終的な品質確認のためのテストを行う

リリースにより提供されるサービスが、予定されているコスト、キャパシティ、制約の範囲内で期待されている成果と価値を提供することを確認する

リリースにより提供されるサービスが、あらかじめ合意されたサービスレベル、顧客の事業要件およびステークホルダの要件を満たすことを検証し、客観的な証拠を提示する

セキュリティ障害管理 事故の分析評価項目を表示

▼評価項目

事故の被害の範囲を識別する

セキュリティホール情報やセキュリティ勧告、パッチ情報の最新情報を得て事故の分析を行う

事故の原因を特定する

必要に応じてデジタルフォレンジックを行う

再発防止策の実施評価項目を表示

▼評価項目

同じような事故に対する再発防止策を決定して実施する

事故の再発防止のために、必要に応じてシステムの再構築を行う

再発防止策に基づき、セキュリティの見直しを提言する

セキュリティの評価評価項目を表示

▼評価項目

侵入検査を行い、セキュリティポリシーの遵守状況を評価する

侵入検査を継続的に実施する

侵入検査で不備のある場合に対策を行う

セキュリティの評価情報に基づき、セキュリティの見直を提言する

情報セキュリティマネジメント 情報セキュリティ戦略と方針の策定 基本戦略の策定評価項目を表示
情報資産の評価評価項目を表示

▼評価項目

情報資産(システム、データ、人材、ドキュメント)を識別する

機密性、完全性、可用性の3つの側面から経営における重要度、致命度を評価し、整理する

整理、評価した情報資産について、経営層、情報セキュリティ関係担当役員、企画関係者に説明し、承認を得る

脅威とリスクの識別評価項目を表示

▼評価項目

現状の脅威に関する情報を網羅的に収集する

現状の脅威に関する情報を情報の改ざん、情報の漏洩、資源の浪費、資源の不正利用、人による過ち等の分類項目で整理する

情報資産に対する現状のリスク(システム廃棄を含む)を識別する

リスクの発生しうる場所および発生時期を整理する

リスクの原因を、物理的な要因、技術的な要因、人的な要因に分類し、整理する

リスクの評価評価項目を表示

▼評価項目

現状、リスクに対して対策がどの程度実施されているか調査し、その結果を整理する

整理されたリスクの発生確率を明らかにし、損害額を算定する

各リスクに対して、リスク軽減の対策とコストを算定する

リスクアセスメントで発見された残留リスクが許容可能か否かを評価する

各々のリスク対策にランク付けを行う

セキュリティポリシーの策定評価項目を表示

▼評価項目

セキュリティ対策への取り組みを経営方針に反映させる

セキュリティ対策の目的、適用範囲、達成レベル、対策基準の方針、情報セキュリティの責任者、経営者・従業員の遵守事項、組織または実施体制、運用、罰則、公開、見直しについて記述する

経営層、情報セキュリティ関係担当役員、企画関係者にセキュリティ方針と体制を説明し、承認を得る

情報セキュリティに関する法律やISO、JIS等の標準規格を踏まえて、ポリシー案およびその調整に関するレビューと承認を行う

組織のセキュリティ目標を実現するための情報セキュリティ戦略の代替案を分析する

情報セキュリティの見直し 情報の収集と評価評価項目を表示

▼評価項目

セキュリティに関する法令の改正や社会通念の変化、コンプライアンス上の新たな課題等の情報を収集する

セキュリティホールやセキュリティ勧告およびパッチの最新情報を収集する

最新のセキュリティ技術情報を収集し、対象システムに適用できるかどうか評価する

運用上の問題点整理と分析評価項目を表示

▼評価項目

アンケートやヒアリングを行い、セキュリティポリシー実施上の問題点を収集、整理する

違反者の多いセキュリティ基準を収集、整理する

非遵守事項が情報セキュリティにどのような影響を及ぼすかを導き出す

整理された問題点について、セキュリティポリシー変更に対する分析を行い、ポリシーを見直す

事故の再発防止策の実施によってセキュリティポリシーの受ける影響を分析し、ポリシーを見直す

適切な緩和策を確実に実施するための監査指摘事項と勧告の追跡を行う

セキュリティ対策に関する改善策が確実に実施されていることを確認する

技術上の問題点整理と分析評価項目を表示

▼評価項目

新技術の開発により影響を受けるセキュリティポリシーの箇所を識別し、整理する

セキュリティ評価の結果から、影響を受けるセキュリティポリシーの箇所を識別し、整理する

整理された問題点について、セキュリティポリシー変更に対する分析を行い、ポリシーを見直す

情報技術の変化に応じてセキュリティ要件を変更する、もしくは変更が不要なことを確認する

新たなリスクの整理と分析評価項目を表示

▼評価項目

新たなリスクを収集、整理する

新たなリスクにより影響を受けるセキュリティポリシーの箇所を識別し、整理する

情報保証の観点から、リスクのレベルがアプリケーション、システム、ネットワークにおいて許容範囲内であることを確認するためのレビューを行う

整理された問題点について、セキュリティポリシー変更に対する分析を行い、ポリシーを見直す

コンプライアンス 実施と評価 遵守状況の評価と改善評価項目を表示
総務・人事・経理 ガバナンス(総務)>情報セキュリティ事故対応 再発防止対策評価項目を表示
障害分析・改善評価項目を表示

▼評価項目

報告されたインシデント報告を集約し、障害内容、原因等を分析し、全社的な改善計画を立案する

改善計画を定められたルートに従い上申する

承認された改善計画を全社に周知する

改善計画の実施状況を確認し、必要に応じて改善策のフォローを行う

セキュリティ領域 システム企画立案>情報セキュリティ要件定義 情報セキュリティ要件の定義評価項目を表示
情報セキュリティ規定の作成評価項目を表示

▼評価項目

セキュリティポリシーに基づき、企業活動のセキュリティ規定を作成する

セキュリティポリシーに基づき、情報システムのセキュリティ規定を作成する

経営層、情報セキュリティ関係担当役員、企画関係者にセキュリティ規定を説明し、承認を得る

情報セキュリティ計画の立案評価項目を表示

▼評価項目

情報セキュリティをベースにしたセキュリティ計画を策定する

セキュリティ計画の立案、およびセキュリティ計画を実行するにあたって発生する問題のソリューションを提案する

経営層、情報セキュリティ関係担当役員、企画関係者にセキュリティ計画を説明し、承認を得る

情報セキュリティ基準の策定評価項目を表示

▼評価項目

事業戦略、事業継続計画に基づき、各物理サイトの物理的保護レベルを定義する

セキュリティホール情報やセキュリティ勧告およびパッチの最新情報の分析に基づき、パッチ適用基準を策定する

従業員のソーシャルメディア使用に関するルールを策定する

アウトソース先のセキュリティ基準を策定する

電子データの信頼性を確保するために、第三者機関が発行する電子証明書と自組織が発行する電子証明書をそれぞれ利用する手続きを策定する

情報ネットワークのセキュリティ対策のためのガイダンス文書の発行管理を行う

システム要件定義・方式設計>セキュリティ要件定義 現状把握評価項目を表示

▼評価項目

組織のセキュリティポリシーを把握し、情報セキュリティに関する組織規程やルール、法令、ガイドラインの内容を確認する

当該システムの制約、前提条件、特性を明らかにする

セキュリティポリシーやシステムの制約、前提条件、特性に基づき、セキュリティリスク(システムの脆弱性、脅威等)の分析を行う

セキュリティ要件の評価評価項目を表示

▼評価項目

セキュリティ要件のセキュリティポリシーへの準拠性を評価する

当該システムにおける機能要件およびセキュリティ以外の非機能要件との一貫性を評価する

当該システムにおけるセキュリティ要件の実現可能性を評価する

当該システムにセキュリティ要件を実装した際の運用・保守の実現可能性を評価する

システム要件定義・方式設計>システム方式設計 セキュリティの観点からの設計評価項目を表示

▼評価項目

評価項目は未定義

基盤システム構築>基盤システム設計(情報セキュリティ) セキュリティの設計評価項目を表示

▼評価項目

セキュリティポリシーに則して、情報資産別にアクセス方法を設計する

ネットワーク上のデータの改ざんや攻撃、コンピュータウイルス等の脅威を抑止するための安全策を設計する

ネットワーク以外の攻撃等について、脅威を抑止するための安全策を設計する

セキュリティ監視の範囲および監視結果の情報の保管方法を決定する

実施するセキュリティ対策について、セキュリティアーキテクチャとの整合を図る

特に高度なセキュリティが求められる箇所について、形式手法等を用いて脆弱性が生じにくいソフトウェアの設計・開発を行う

新たな技術や技術改良についてのセキュリティプログラムの実装を識別する

情報保証の観点から、アプリケーション、システム、ネットワークについてのセキュリティ評価を実施し、その結果を文書化する

情報保証において、レビュー結果をもとにセキュリティ、回復力および信頼性に関する対策を提言する

情報セキュリティ要件をもとに、ソフトウェアおよびシステムが備えるべきセキュリティ機能に関するセキュリティ設計仕様書を文書化する

基盤システム構築>基盤システム構築・テスト(情報セキュリティ) セキュリティの実装評価項目を表示

▼評価項目

情報システムやネットワークの構成要素を識別し、それぞれの構成要素に対してセキュリティ製品を選択し導入する

セキュリティ設計を実装する適当なセキュリティ製品が存在しない場合、必要に応じて独自にソフトウェア開発を行う

セキュリティ設計仕様書に則ったセキュリティ対策を実装する

情報保証の観点から、不適切に実装されたアプリケーション、システム、ネットワークの修正のための取り組みを実施させ、その実施状況を確認する

テスト計画と実施評価項目を表示

▼評価項目

テストの要求事項と適用範囲を明らかにし、テスト仕様書を作成する

テストを実施し、機密性、完全性、可用性等の要件に適合を確認する

適切な手法やツールを用いて脆弱性の検査を行う

情報保証において、セキュリティ、回復力、信頼性の要件に関するシステムの適合性を測定、評価する

テスト結果を評価し、支障があった場合にはプロジェクト関係者と連携をとって対応を検討し、改善する

ISO/IEC 15408の定める手順に基づき、ソフトウェアおよびシステムのセキュリティ評価を行う

組込みソフトウェア開発>安全性テスト 安全性テストの準備評価項目を表示

▼評価項目

安全性要件仕様書に基づき、確認すべき安全機能の事項をリストアップしてテスト項目を作成する

安全性要件仕様書に基づき、システムの利用・運用方式に応じたテスト項目を作成する

システム異常時に利用者やシステム管理者が実施する事項をテスト項目として作成する

テスト結果の判定基準、評価基準を安全要件定義、安全度水準に準じて設定する

安全性テストの実施と評価評価項目を表示

▼評価項目

安全性テスト仕様書のテスト項目に準じたテスト状態を設定し、動作を確認する

安全性テスト仕様書に記載された合否判定基準に準じてテストの合否を判断し、不具合の原因箇所を特定する

解決された不具合の対応結果を、その影響範囲を見極めた上で検証する

テスト結果を取りまとめて、未解決の問題の有無や対応を明記したテスト報告書を作成する

セキュリティテスト>セキュリティテスト計画策定 セキュリティテスト計画の作成評価項目を表示

▼評価項目

当該システムのセキュリティ要件を踏まえてセキュリティテスト方針を定める

セキュリティテスト方針に基づくテストの対象範囲と実施環境を明らかにする

セキュリティ要件に基づくセキュリティテスト項目と合否判定基準を定める

テストの実施スケジュール、体制、実施環境を含むテスト計画書を作成する

セキュリティテストの準備評価項目を表示

▼評価項目

テスト結果として報告すべき内容(不適格と判定されたテスト項目について、発生条件、リスクの大きさ、実施すべき対策の明示等)をテスト実施要領として定める

テスト計画書およびテスト実施要領に基づき、テスト実施体制を決定する(社内体制の構築または外部機関の選定)

テストの実施に必要な環境や条件を明らかにする

セキュリティテスト>セキュリティテスト実施 セキュリティテストの実施評価項目を表示

▼評価項目

テスト計画書に基づき、テストの実施に必要な環境を準備する

テスト計画書およびテスト実施要領に基づくセキュリティテストを実施(または委託)する

テスト結果の報告を受け、テスト計画およびテスト実施要領に準じた内容であることを確認する

セキュリティテスト結果の対策実施評価項目を表示

▼評価項目

テスト結果を評価し、不適格と判定されたテスト項目への対策の必要可否を判断する

対策の内容(設計変更、システム運用方法の変更等)を定める

当該システムに施した対策に対する再テストを行い、判定結果に基づいた対策を定める

セキュリティテストの結果と対策の内容を関連文書(設計書、テスト仕様書、運用手順書等)に反映する

移行・導入(システムリリース)>受入れテスト 受入れテストの支援評価項目を表示

▼評価項目

必要な資源、スケジュール、評価基準、テスト手順等を盛り込んだ受入れテスト計画書のたたき台を作成する

ユーザから提供されたテストデータをもとに、受入テスト環境を準備する

ユーザがテストを行う際、システムの操作方法や既存システムとの違い等を説明しながらテストを支援する

テストの進行状況についての情報をユーザと共有し、ユーザの課題解決を支援する

サービスデスク>IT利活用 セキュリティ適合確認の実施評価項目を表示

▼評価項目

評価項目は未定義

サービスデスク>システム利用者対応 セキュリティ適合確認の実施評価項目を表示

▼評価項目

評価項目は未定義

サービスデスク>顧客統括管理 セキュリティ適合確認の実施評価項目を表示

▼評価項目

評価項目は未定義

IT運用コントロール>情報セキュリティ管理 情報セキュリティの評価と検証評価項目を表示

▼評価項目

セキュリティを調査し、耐監査性、機密性、可用性、完全性等の観点から問題点を抽出する

セキュリティの安全性と有効性を検証する

情報保証において、アプリケーション、システム、ネットワークのリスクのレベルが許容範囲内であるかどうかを、観測結果をもとに継続的に検査する

情報保証の観点から、情報システムに関する保証と認定を維持するために必要な対策を講じて、それらの保証と認定を維持する

上位者または本部組織に対して、技術文書、インシデントレポート、検査結果、その他の観測情報を提供する

インシデント対応とコンピュータネットワーク防御に関して、外部組織と情報交換を行う

システム運用管理>変更管理 変更の評価評価項目を表示

▼評価項目

顧客の要件、コストの削減、性能の向上等、変更によって期待される効果が実現されていることを検証し、客観的な証拠を提示する

変更による意図しない影響を明確にし、フィードバックを行う

リスク・プロファイル、逸脱レポート、推奨事項、検定記述書からなる評価レポートを作成する

システム運用管理>リリース管理 妥当性確認とテスト評価項目を表示

▼評価項目

コンポーネントの最終的な品質確認のためのテストを行う

リリースにより提供されるサービスが、予定されているコスト、キャパシティ、制約の範囲内で期待されている成果と価値を提供することを確認する

リリースにより提供されるサービスが、あらかじめ合意されたサービスレベル、顧客の事業要件およびステークホルダの要件を満たすことを検証し、客観的な証拠を提示する

システム運用管理>セキュリティ障害管理 事故の分析評価項目を表示

▼評価項目

事故の被害の範囲を識別する

セキュリティホール情報やセキュリティ勧告、パッチ情報の最新情報を得て事故の分析を行う

事故の原因を特定する

必要に応じてデジタルフォレンジックを行う

再発防止策の実施評価項目を表示

▼評価項目

同じような事故に対する再発防止策を決定して実施する

事故の再発防止のために、必要に応じてシステムの再構築を行う

再発防止策に基づき、セキュリティの見直しを提言する

セキュリティの評価評価項目を表示

▼評価項目

侵入検査を行い、セキュリティポリシーの遵守状況を評価する

侵入検査を継続的に実施する

侵入検査で不備のある場合に対策を行う

セキュリティの評価情報に基づき、セキュリティの見直を提言する

システム評価・改善>セキュリティの評価 セキュリティ計画に照らした評価評価項目を表示

▼評価項目

評価項目は未定義

評価結果を踏まえた改善の実施評価項目を表示

▼評価項目

評価項目は未定義

情報セキュリティマネジメント>情報セキュリティ戦略と方針の策定 基本戦略の策定評価項目を表示

▼評価項目

組織体の情報セキュリティ目標を定める

情報セキュリティ戦略を実施するにあたり、その実行体制を確立する

経営戦略に準じた組織全体の改善サイクルとなるようにエンタープライズアーキテクチャ(BA、DA、AA、TA)開発組織を統轄する

セキュリティ業務全体を見て、その業務の一部を委託をすべきなのかを判断、決定する

システムのセキュリティやリスクに関する技術動向調査を行い、その情報をIT戦略立案に活用する

CSIRTの方針を策定し、経営層、情報セキュリティ関係担当役員、企画関係者に説明し、承認を得る

CSIRTの体制を構築し、リソースを確保する

情報資産の評価評価項目を表示

▼評価項目

情報資産(システム、データ、人材、ドキュメント)を識別する

機密性、完全性、可用性の3つの側面から経営における重要度、致命度を評価し、整理する

整理、評価した情報資産について、経営層、情報セキュリティ関係担当役員、企画関係者に説明し、承認を得る

脅威とリスクの識別評価項目を表示

▼評価項目

現状の脅威に関する情報を網羅的に収集する

現状の脅威に関する情報を情報の改ざん、情報の漏洩、資源の浪費、資源の不正利用、人による過ち等の分類項目で整理する

情報資産に対する現状のリスク(システム廃棄を含む)を識別する

リスクの発生しうる場所および発生時期を整理する

リスクの原因を、物理的な要因、技術的な要因、人的な要因に分類し、整理する

リスクの評価評価項目を表示

▼評価項目

現状、リスクに対して対策がどの程度実施されているか調査し、その結果を整理する

整理されたリスクの発生確率を明らかにし、損害額を算定する

各リスクに対して、リスク軽減の対策とコストを算定する

リスクアセスメントで発見された残留リスクが許容可能か否かを評価する

各々のリスク対策にランク付けを行う

セキュリティポリシーの策定評価項目を表示

▼評価項目

セキュリティ対策への取り組みを経営方針に反映させる

セキュリティ対策の目的、適用範囲、達成レベル、対策基準の方針、情報セキュリティの責任者、経営者・従業員の遵守事項、組織または実施体制、運用、罰則、公開、見直しについて記述する

経営層、情報セキュリティ関係担当役員、企画関係者にセキュリティ方針と体制を説明し、承認を得る

情報セキュリティに関する法律やISO、JIS等の標準規格を踏まえて、ポリシー案およびその調整に関するレビューと承認を行う

組織のセキュリティ目標を実現するための情報セキュリティ戦略の代替案を分析する

情報セキュリティマネジメント>情報セキュリティの見直し 情報の収集と評価評価項目を表示

▼評価項目

セキュリティに関する法令の改正や社会通念の変化、コンプライアンス上の新たな課題等の情報を収集する

セキュリティホールやセキュリティ勧告およびパッチの最新情報を収集する

最新のセキュリティ技術情報を収集し、対象システムに適用できるかどうか評価する

運用上の問題点整理と分析評価項目を表示

▼評価項目

アンケートやヒアリングを行い、セキュリティポリシー実施上の問題点を収集、整理する

違反者の多いセキュリティ基準を収集、整理する

非遵守事項が情報セキュリティにどのような影響を及ぼすかを導き出す

整理された問題点について、セキュリティポリシー変更に対する分析を行い、ポリシーを見直す

事故の再発防止策の実施によってセキュリティポリシーの受ける影響を分析し、ポリシーを見直す

適切な緩和策を確実に実施するための監査指摘事項と勧告の追跡を行う

セキュリティ対策に関する改善策が確実に実施されていることを確認する

技術上の問題点整理と分析評価項目を表示

▼評価項目

新技術の開発により影響を受けるセキュリティポリシーの箇所を識別し、整理する

セキュリティ評価の結果から、影響を受けるセキュリティポリシーの箇所を識別し、整理する

整理された問題点について、セキュリティポリシー変更に対する分析を行い、ポリシーを見直す

情報技術の変化に応じてセキュリティ要件を変更する、もしくは変更が不要なことを確認する

新たなリスクの整理と分析評価項目を表示

▼評価項目

新たなリスクを収集、整理する

新たなリスクにより影響を受けるセキュリティポリシーの箇所を識別し、整理する

情報保証の観点から、リスクのレベルがアプリケーション、システム、ネットワークにおいて許容範囲内であることを確認するためのレビューを行う

整理された問題点について、セキュリティポリシー変更に対する分析を行い、ポリシーを見直す

コンプライアンス>実施と評価 遵守状況の評価と改善評価項目を表示

▼評価項目

法令や規範、および情報倫理規定の遵守状況を業務監査等により定期的に点検、評価する

遵守状況の点検、評価によって明らかになった指摘事項や改善事項に対して改善計画を策定する

改善計画のマネジメントレビューを実施し、組織体の長の承認を得る

改善計画に基づき、改善のための必要な方策を活動計画として取りまとめ、実施する

マーケティング・セールス>ソリューションの組立て セキュリティ適合確認の実施評価項目を表示

▼評価項目

評価項目は未定義

再利用>再利用資産管理 セキュリティ適合確認の実施評価項目を表示

▼評価項目

評価項目は未定義

再利用>再利用施策管理 セキュリティ適合確認の実施評価項目を表示

▼評価項目

評価項目は未定義

標準の策定・維持・管理>標準の策定 セキュリティの観点からの検討評価項目を表示

▼評価項目

評価項目は未定義

データの再利用>状況の評価 セキュリティとプライバシー保護の観点からの分析評価項目を表示

▼評価項目

評価項目は未定義

新たな価値創造による新規製品・サービス開発>プロトタイピングを通した新規製品の検討 セキュリティの観点からの評価評価項目を表示

▼評価項目

評価項目は未定義

総務・人事・経理>ガバナンス(総務)>情報セキュリティ事故対応 再発防止対策評価項目を表示

▼評価項目

計画された再発防止策の実施進捗状況を確認する

必要に応じ、真因分析と有効な再発防止策の実施をフォローする

障害分析・改善評価項目を表示

▼評価項目

報告されたインシデント報告を集約し、障害内容、原因等を分析し、全社的な改善計画を立案する

改善計画を定められたルートに従い上申する

承認された改善計画を全社に周知する

改善計画の実施状況を確認し、必要に応じて改善策のフォローを行う