信頼性・安全性,企画・開発及び保守・運用での留意事項など
経済産業省は、情報システムの障害発生が社会的影響を及ぼし、日々深刻化している状況を受け、信頼性を高めるための指針として、2006年に「情報システムの信頼性向上に関するガイドライン」を策定し、2009年に第2版(http://www.meti.go.jp/press/20090324004/20090324004-4.pdf)に改訂しました。
本ガイドラインは、「情報システムが本来保持すべき信頼性・安全性を確実に具備させることを目的とし、情報システムの企画・開発から保守・運用にわたり関係者が遵守すべき又は遵守することが望ましい事項を定め」たものです。
本ガイドラインでは,信頼性と安全性を次のように定義しています。
信頼性:機能やサービスが期待通りに動作し、正しい結果を出す性質
安全性:人命、経済活動及び国民生活を脅かすことを未然に防ぐ性質
また,情報システム障害として,次の原因を挙げています。
要件の誤り
ソフトウェアの誤り
調達ソフトウェアの不具合
ハードウェア故障・性能低下等
製品間インターフェイスの誤り
性能・容量等の不足
移行時の誤り
運用方法・手順等の誤り
情報システム障害発生時の対応の誤り・遅れ
国民生活や社会経済活動の基盤である重要インフラ,企業等の業務システム,情報家電や医療機器などに実装される組込みシステム等,ほとんどすべての情報システムを対象にしています。一般の情報システムだけでなく,組込みシステムまでも対象にしているのが特徴です。
そして,求められる信頼性・安全性の水準に応じ、情報システムを以下のように段階的に分類しています。
本ガイドラインでは、情報システムの信頼性・安全性水準の向上のための具体的な対策を示しています。(→目次)
Ⅱ. 信頼性・安全性向上に向けての全般的配慮事項
Ⅲ. 企画・要件定義・開発及び保守・運用全体における事項
Ⅳ.技術に関する事項
Ⅴ.人・組織に関する事項
Ⅵ.商慣行・契約・法的要素に関する事項
Ⅲ~Ⅵの個別事項に関しては,これらの実施事項について、A~Cの情報システムに求められる信頼性・安全性の水準に応じ、必須事項◎と推奨事項○を定め,それらの実施主体が情報システムの利用者であるか提供者であるか,両者の合意であるかを示しています(拡大図)。
このように,本ガイドラインの対象は情報システム全般にわたっているので,他の多くの基準やガイドラインとの関連が多くなっています。本ガイドラインは全体的な体系を示すものであり,個別分野に関しては,それぞれの基準やガイドラインを相互参照するのが適切です。本ガイドラインでは,次の対応表を掲げています。