ITガバナンスとは経営陣がステークホルダのニーズに基づき、組織の価値を高めるために実践する行動であり、情報システムのあるべき姿を示す情報システム戦略の策定及び実現に必要となる組織能力である。
- Ⅰ.ITガバナンス
1.情報システム戦略の方針及び目標設定
(詳細)
(1) 経営陣は、情報システム戦略の方針及び目標の決定の手続を明確化していること。
(2) 経営陣は、経営戦略の方針に基づいて情報システム戦略の方針・目標設定及び情報システム化基本計画を策定し、適時に見直しを行っていること。
(3) 経営陣は、情報システムの企画、開発とともに生ずる組織及び業務の変革の方針を明確にし、方針に則って変革が行われていることを確認していること。
2.情報システム戦略遂行のための組織体制
(詳細)
(1) 経営陣は、CIO(Chief Information Officer)を任命すること。CIOは最高情報責任者 / 情報統括役員としての職務を担うこと。
(2) 経営陣は、情報戦略を統括する役割を明確に規定し、適切な権限及び責任の付与のもとに情報システム戦略委員会等を設置し、適切に機能させていること。
(3) 情報システム戦略委員会等は、組織における情報システムに関する活動全般について、モニタリングを実施し、必要に応じて是正措置を講じること。
(4) 情報システム戦略委員会等は、情報技術の動向に対応するため、技術採用指針を明確にしていること。
(5) 情報システム戦略委員会等は、活動内容を経営陣に報告していること。
(6) 情報システム戦略委員会等は、経営戦略の計画・実行・評価に関わる意思決定を支援するための情報を経営陣に提供していること。
3.情報システム部門の役割と体制
(詳細)
(1) 経営陣は、CIOの配下に情報システム部門をおき、情報システム部門の役割を明確にし、適切な権限及び責任を与えていること。
(2) 情報システム部門長は、経営陣の承認を得て、組織の規模及び特性に応じて、情報システム部門における職務の分離、専門化、権限付与、外部委託等を考慮した体制を構築して
いること。
4.情報システム戦略の策定の評価・指示・モニタ
(詳細)
(1) 経営陣は、情報システム戦略の策定を情報システム戦略委員会等に、指示していること。
(2) 経営陣は、情報システム戦略について利害関係者の合意を得ることを指示していること。
(3) 経営陣は、情報システムで目指すべき情報システムの将来像を、中長期の情報システム化基本計画として明確にしていること。
(4) 経営陣は、経営計画で示した事業の方針及び目標に基づいて、情報システム戦略を評価していること。
(5) 経営陣は、情報システム戦略においてコンプライアンスを考慮することを指示していること。
(6) 経営陣は、情報システムの企画、開発及び運用、保守のための標準化の方針、並びに品質確保の方針を含めたルールを明確にすること。
(7) 経営陣は、個別の開発計画の優先順位及び順位付けのルールを明確にしていること。
(8) 経営陣は、情報システム戦略を関係者への周知徹底を指示することと、その結果をモニタすること。
(9) 経営陣は、情報システム戦略の実行状況について、定期的及び経営環境等の変化に対応して適時モニタリングを行い、必要なアクションをとること。
5.情報システム投資の評価・指示・モニタ
(詳細)
(1) 経営陣は、情報システム投資計画を経営戦略との整合性を評価して策定すること。
(2) 情報システム投資計画の決定に際して、経営陣は、影響、効果、期間、実現性等の観点から複数の選択肢を評価すること。
(3) 経営陣は、情報化投資に関する予算を適切にモニタしていること。
(4) 経営陣は、情報システム投資の方針及び確保すべき経営資源を明確にすることと、その投資状況及び経営資源の状況をモニタリングしていること。
(5) 経営陣は、情報システム投資に関する投資効果の算出及びリスク算定の方法を明確にしていること。
(6) 経営陣は、情報システムの全体的な実績及び個別プロジェクトの実績を財務的な観点からモニタリングして、問題点に対して対策を講じること。
(7) 経営陣は、投資した費用が適正な使用であったかについてモニタリング及び評価をすること。
6.情報システムの資源管理の評価・指示・モニタ
(詳細)
(1) 経営陣は、情報システムに関する資源管理の対象を明確にしていること。
(2) 経営陣は、情報資産に対する管理方針及び体制を明確にしていること。
(3) 経営陣は、情報システム戦略において外部資源の活用を考慮していること。
(4) 経営陣は、情報資産の効率的で有効な活用を指示し、その結果をモニタすること。
(5) 経営陣は、情報資産の共有化による生産性向上を考慮し、その結果をモニタすること。
(6) 経営陣は、人的資源に関する現在及び発展するニーズを考慮し、人間行動を尊重することを指示し、その結果をモニタすること。
(7) 経営陣は、情報技術に関する人的資源の現状及び必要とされる人材を明確にすること。
(8) 経営陣は、人的資源の調達及び育成の方針を明確にしていること。
7.コンプライアンスの評価・指示・モニタ
(詳細)
(1) 経営陣は、情報システムに関する法令及び規制の遵守のための管理体制を確立するとともに、管理者を定めていること。
(2) 経営陣は、情報システムに関して遵守すべき法令及び規範を識別し、関係者への教育及び周知徹底を指示し、その結果をモニタしていること。
(3) 経営陣は、情報倫理規程を定め、関係者への教育及び周知徹底を指示し、その結果をモニタしていること。
(4) 経営陣は、個人情報の取扱い、知的財産権の保護、外部へのデータ提供等に関する方針を定めて指示し、その結果をモニタしていること。
8.情報セキュリティの評価・指示・モニタ
(詳細)
(1) 経営陣は、情報セキュリティの現在及び予想される環境変化を考慮し評価すること。
(2) 経営陣は、情報セキュリティの目的及び戦略を明確にして指示すること。
(3) 経営陣は、情報セキュリティ対策の有効性をモニタしていること。
9.リスクマネジメントの評価・指示・モニタ
(詳細)
(1) 経営陣は、情報システムリスクについて、情報システム戦略と情報システムに関わるリスクを管理する体制と役割を明確にしていること。
(2) 経営陣は、情報資産に対するリスクの抽出とその対策についてモニタリングし、評価すること。
(3) 経営陣は、情報資産に対するリスクマネジメントの方針を明確に指示すること。
(4) 経営陣は、策定したリスクマネジメントの方針を、関係各部門への周知徹底を指示することと、その結果をモニタすること。
10.事業継続管理の評価・指示・モニタ
(詳細)
(1) 経営陣は、情報戦略及び情報システムに関連した事業継続の方針を策定していること。
(2) 事業継続計画は、利害関係者を含んだ組織的体制で立案し、経営陣が評価して承認していること。
(3) 経営陣は、事業継続計画を、関係各部門への周知徹底を指示することと、その結果をモニタすること。
- Ⅱ.企画フェーズ
1.プロジェクト計画の管理
(詳細)
(1) 経営陣は、プロジェクト運営委員会を設置すること。
(2) プロジェクト運営委員会は、プロジェクトマネージャ(PM)を任命すること。
(3) PMは、プロジェクト計画を策定し、プロジェクト運営委員会の承認を得ること。
(4) PMは、要件定義に必要な体制を確保すること。
2.要件定義の管理
(詳細)
(1) プロジェクト運営委員会は、要件定義の作業内容を定めるよう PMに指示すること。
(2) PMは、利害関係者の要求を収集・分析・調整すること。
(3) プロジェクト運営委員会は、優先順位付けの適切性を検証すること。
(4) PMは、開発方針を策定すること。
(5) PMは、プロジェクトのリスクを分析し、対策を検討すること。
(6) PMは、要件定義書を作成し、プロジェクト運営委員会の承認を得ること。
3.調達の管理
(詳細)
(1) プロジェクト運営委員会は、システムにかかる調達方法を明確にするよう PMに指示すること。
(2) PMは、プロジェクト計画に基づき、調達の要求事項を作成すること。
- Ⅲ.開発フェーズ
1.開発ルールの管理
(詳細)
(1) 情報システム部門長は、事前にシステム開発部署とシステム運用部署の責任を分離すること。
(2) PMは、プロジェクト標準を策定し、文書化し、プロジェクト運営委員会の承認を得ること。
2.基本設計の管理
(詳細)
(1) PMは、基本設計を作成し、文書化すること。
(2) プロジェクト運営委員会は、基本設計を承認すること。
3.詳細設計の管理
(詳細)
(1) PMは、詳細設計を作成し、文書化すること。
(2) PMは、テストの要件を検討すること。
(3) プロジェクト運営委員会は、詳細設計を承認すること。
4.実装の管理
(詳細)
(1) PMは、プロジェクト計画、プロジェクト標準に従い、プログラミング及び実装を実施すること。
(2) PMは、単体テスト計画を作成し、単体テストを実施すること。
5.システムテスト(総合テスト)の管理
(詳細)
(1) PMは、システムテスト計画を作成し、文書化すること。
(2) プロジェクト運営委員会は、システムテスト計画を承認すること。
(3) PMは、情報システム部門に、システムテスト環境を準備させること。
(4) PMは、システムテストの状況を収集し、結果を評価し、文書化すること。
(5) プロジェクト運営委員会は、システムテストの結果を承認すること。
6.ユーザ受入テストの管理
(詳細)
(1) PMは、ユーザ受入テスト計画を作成すること。
(2) プロジェクト運営委員会は、ユーザ受入テスト計画を承認すること。
(3) システム部門は、ユーザ受入テスト環境を準備すること。
(4) PMは、ユーザ受入テストを実施し、経過を報告し、結果を文書化すること。
(5) プロジェクト運営委員会は、ユーザ受入テストの結果を承認すること。
7.移行の管理
(詳細)
(1) PMは、移行計画を作成し、文書化すること。
(2) プロジェクト運営委員会は、移行計画を承認すること。
(3) プロジェクト運営委員会は、移行結果を承認すること。
8.プロジェクト管理
(詳細)
(1) PMは、プロジェクトの進捗をモニタリングする手法を定義すること。
(2) PMは、プロジェクトの進捗管理を継続的に実施すること。
(3) PMは、プロジェクトのリスクを管理すること。
(4) プロジェクト運営委員会は、プロジェクト終了時にレビューを実施すること。
9.品質管理
(詳細)
(1) CIOは、開発・運用で求められる品質目標を定めること。
(2) CIOは、品質管理に責任と権限を明確にすること。
(3) CIOは、品質維持・向上に関する活動を周知すること。
- IV.アジャイル開発
1.アジャイル開発の概要
(詳細)
(1) 利用部門と情報システム部門・ビジネス部門が一体となったチームによって開発を実施すること。
(2) アジャイル開発では、反復開発を実施すること。
2.アジャイル開発に関係する人材の役割
(詳細)
(1) プロダクトオーナーは、開発目的を達成するために必要な権限を持つこと。
(2) 開発チームは、複合的な技能と、それを発揮する主体性を持つこと。
3.アジャイル開発のプロセス(反復開発)
(詳細)
(1) プロダクトオーナーと開発チームは、反復開発によって、ユーザが利用可能な状態の情報システムを継続的にリリースすること。
(2) プロダクトオーナーと開発チームは、反復開発を開始する前にリリース計画を策定すること。
(3) プロダクトオーナー及び開発チームは、緊密なコミュニケーションの構築ためのミーティングを実施すること。
(4) プロダクトオーナー及び開発チームは、イテレーション毎に情報システム、及びその開発プロセスを評価すること。
(5) プロダクトオーナー及び開発チームは、利害関係者へのデモンストレーションを実施すること。
- Ⅴ.運用・利用フェーズ
1.運用管理ルール
(詳細)
(1) 運用管理者は、運用管理ルールを、開発フェーズで作成した運用設計に基づいて作成すること。
(2) 情報システム部門長は、運用管理ルールを承認すること。
(3) 運用管理者は、運用手順を承認すること。
(4) 運用管理者は、作業手順を標準化し、明文化すること。
2.運用管理
(詳細)
(1) 運用管理者は、年間運用計画を策定すること。
(2) 運用管理者は、年間運用計画に基づいて、月次、週次、日次等の運用計画を策定すること。
(3) 運用管理者は、運用管理ルールの遵守状況を確認すること。
(4) 運用管理者は、ジョブスケジュールを、業務処理の優先度を考慮して設定すること。
(5) 運用管理者は、例外処理のオペレーションを、運用管理ルールに基づいて行うこと。
(6) 運用管理者は、運用管理ルールに基づいてオペレータの交代を行うこと。
(7) 運用管理者は、指示書とオペレーション実施記録の差異分析を実施すること。
(8) 運用管理者は、オペレーション実施記録を、運用管理ルールに基づいて一定期間保管すること。
(9) 運用管理者は、利用部門の情報システム利用を支援すること。
(10) 運用管理者は、情報システムの稼動実績を把握し、性能管理、リソース管理、及び資源の有効活用を図ること。
3.情報セキュリティ管理
3.1 情報セキュリティ管理ルール
(詳細)
(1) 運用管理者は、組織の情報セキュリティ方針に基づいて運用の情報セキュリティ管理ルールを作成し、遵守状況を確認すること。
(2) 運用管理者は、サイバー攻撃への対処策を作成し、有効性を保つこと。
(3) 上記以外の情報セキュリティ管理策については、情報セキュリティ管理基準参照表を利用して、情報セキュリティ管理基準の該当箇所を参照すること。
3.2 アクセス管理
(詳細)
(1) 運用管理者は、情報セキュリティ方針に基づいて、運用システムへのアクセス管理ルールを作成し、情報システム部門長の承認を得て、適切に運用すること。
(2) 運用管理者は、データへのアクセスコントロール及びモニタリングを、実施すること。
(3) 上記以外のアクセス管理策については、情報セキュリティ管理基準参照表を利用して、情報セキュリティ管理基準の該当箇所を参照すること。
4.データ管理
(詳細)
(1) 運用管理者は、データ管理ルールを定め、遵守状況を確認すること。
(2) 運用管理者は、データの知的財産権を、管理すること。
(3) 運用管理者は、データのインテグリティ(完全性)を、維持すること。
(4) 運用管理者は、データの利用状況を記録し、定期的に分析すること。
(5) 運用管理者は、データのバックアップの範囲、方法及びタイミングを、業務内容、処理形態及びリカバリの方法を考慮して決定すること。
(6) 運用管理者は、データのバックアップの処理単位をデータ構造に基づいて定めること。
(7) 運用管理者は、データの授受、保管、確認及び返却を、データ管理ルールに基づいて行わせること。
(8) 運用管理者は、データの交換の形態に応じた、不正防止及び機密保護の対策を講じること。
(9) 運用管理者は、データの保管、複写及び廃棄に、誤びゅう防止、不正防止及び機密保護の対策を講じること。
(10) 利用部門の管理者は、データの入力管理ルールを作成し、遵守状況を管理すること。
(11) 利用部門の管理者は、出力管理ルールを作成し、遵守状況を管理すること。
(12) データ管理にかかわる情報セキュリティ管理策については、情報セキュリティ管理基準参照表を利用して、情報セキュリティ管理基準の該当箇所を参照すること。
5.ログ管理
(詳細)
(1) 運用管理者は、ログを取得し、定期的に分析すること。
(2) 運用管理者は、情報セキュリティ方針に基づいて、適切なツールを利用するなどして、全てのログを一元管理し、即時に分析して、可及的速やかにセキュリティインシデントの
予兆や痕跡を取得し、対策を講じること。
(3) ログ管理にかかわる情報セキュリティ管理策については、情報セキュリティ管理基準参照表を利用して、情報セキュリティ管理基準の該当箇所を参照すること。
6.構成管理
6.1 機器の構成管理
(詳細)
(1) 運用管理者は、構成管理ルールを作成し、遵守状況を確認すること。
(2) 運用管理者は、管理するソフトウェア、ハードウェア及びネットワークを明確にして管理すること。
(3) 運用管理者は、ソフトウェア、ハードウェア及びネットワークの構成、調達先、サポート条件等を明確にした管理台帳を作成して構成を管理すること。
(4) 運用管理者は、ソフトウェア、ハードウェア及びネットワークの導入及び変更について、影響を受ける範囲を検討して決定すること。
(5) 運用管理者は、ソフトウェア、ハードウェア及びネットワークの導入及び変更について、計画を作成して実施すること。
(6) 機器の構成管理にかかわる情報セキュリティ管理策については、情報セキュリティ管理基準参照表を利用して、情報セキュリティ管理基準の該当箇所を参照すること。
6.2 ハードウェア管理
(詳細)
(1) 運用管理者は、ハードウェア管理ルールを作成し、遵守状況を確認すること。
(2) 運用管理者は、ハードウェアの保管、移設及び廃棄の際の、不正防止及び機密保護の対策を講じること。
(3) 運用管理者は、ハードウェアを、想定されるリスクに対応できる環境に設置すること。
(4) 運用管理者は、ハードウェアの、定期的保守を行うこと。
(5) 運用管理者は、ハードウェアの障害対策を講じること。
(6) 運用管理者は、ハードウェアの利用状況を記録し、定期的に分析して改善を図ること。
(7) ハードウェア管理にかかわる情報セキュリティ管理策については、情報セキュリティ管理基準参照表を利用して、情報セキュリティ管理基準の該当箇所を参照すること。
6.3 ネットワーク管理
(詳細)
(1) ネットワークの管理者は、ネットワーク管理ルールを定め、遵守状況を確認すること。
(2) ネットワークの管理者は、ネットワークを利用した外部サービスを、ネットワーク管理ルールに基づいて管理すること。
(3) ネットワークの管理者は、ネットワークへのアクセスコントロール及びモニタリングを実施すること。
(4) ネットワークの管理者は、ネットワーク監視ログを定期的に分析すること。
(5) ネットワークの管理者は、ネットワークの障害対策を講じること。
(6) ネットワークの管理者は、ネットワークの利用状況を記録し、定期的に分析すること。
7.ファシリティ管理
(詳細)
(1) ファシリティの管理者は、建物及び関連設備を、想定されるリスクに対応できる環境に設置すること。
(2) ファシリティの管理者は、建物及び室への入退の管理について、不正防止及び機密保護の対策を講じること。
(3) ファシリティの管理者は、関連設備について、適切な運用を行うこと。
(4) ファシリティの管理者は、関連設備について、定期的に保守を行うこと。
(5) ファシリティの管理者は、関連設備について、障害対策を講じること。
(6) ファシリティの管理者は、建物及び室への入館及び入室を記録し、定期的に分析すること。
(7)ファシリティ管理にかかわる情報セキュリティ管理策については、情報セキュリティ管理基準参照表を利用して、情報セキュリティ管理基準の該当箇所を参照すること。
8.サービスレベル管理
(詳細)
(1) 運用管理者は、提供するサービスについて、サービスの要求事項に基づいて実行可能なサービスメニューを作成し、実施すること。
(2) 利用部門の管理者は、定期的にサービスをレビューし、変更を管理すること。
(3) 運用管理者は、サービスを継続的に改善すること。
9.インシデント管理
9.1 インシデント対応の管理
(詳細)
(1) 運用管理者は、すべてのインシデントを、優先度をつけて、またインシデント管理手順を用いて、効率的かつ効果的に体系的な管理をすること。
(2) 運用管理者は、インシデントのエスカレーションの手続を定めること。
(3) 運用管理者は、インシデントの終了の手続を定めること。
(4) 運用管理者は、重大なインシデントを専用に取り扱うための手順を文書化すること。
(5) 運用管理者は、インシデント管理プロセスの体系的な記録を作成し、報告すること。
(6) 運用管理者は、インシデント管理プロセスで必要となる要員と、その権限及び責任を適切に割り当てること。
(7) 利用部門の管理者は、インシデント発生後可能な限り早く、インシデント対応の優先度を運用管理者と合意すること。
(8) 利用部門の管理者は、インシデントの終了を判断すること。
(9) インシデント管理にかかわる情報セキュリティ管理策については、情報セキュリティ管理基準参照表を利用して、情報セキュリティ管理基準の該当箇所を参照すること。
9.2 問題管理
(詳細)
運用管理者は、問題を識別し、問題管理手順を整備して問題を適切に管理し、再発防止の措置を講じること。
9.3 変更管理
(詳細)
(1) 運用管理者は、変更計画を作成して変更を適切に管理すること。
(2) 利用部門の管理者は、変更管理を情報システム運用部門と合意し、変更を適切に管理すること。
9.4 リリース管理
(詳細)
運用管理者は、リリース計画を策定し、リリース管理手順を作成してリリースを適切に管理すること。
10.サービスデスク管理
(詳細)
(1) 運用管理者は、情報システム運用部門と利用部門とをつなぐ単一窓口(SPOC:Single Point of Contact)のサービスデスクを設置すること。
(2) サービスデスクは、利用部門からの問合せ及び対応を記録し、レビューし、文書化すること。
(3) 利用部門は、情報システム運用部門への連絡にサービスデスクを活用すること。
- Ⅵ.保守フェーズ
1.保守ルール
(詳細)
(1) 情報システム部門長は、保守フェーズにおける保守対象を明確にすること。
(2) 情報システム部門長は、保守を実施する体制とその役割を明確にすること。
(3) 保守管理者は、自社開発ソフトの保守に必要な開発の成果物を、開発フェーズから引き継ぐこと。
(4)保守管理者は、保守フェーズ全体の基本的枠組みをまとめた「保守手順書」を作成し、最新状態に維持すること。
(5) 保守管理者は、「保守手順書」の基本手順を詳細化した「保守作業マニュアル」を作成し、最新状態に維持すること。
2.保守計画
(詳細)
(1) 保守管理者は、保守依頼部門管理者から提出された保守依頼の内容について確認、調査及び分析を行うこと。
(2) 保守管理者は、保守依頼に対してソフトウェアの修正を実施するかどうかを決定すること。
(3) 保守管理者は、修正を実施することを決定した場合、保守フェーズに従うのか、開発フェーズに従うのかを決定すること。
(4) 保守管理者は、修正を実施することを決定した場合、「修正計画」を作成すること。
(5) 保守管理者は、「修正計画」を承認するとともに、保守依頼部門管理者の了解を得ること。
(6) 保守依頼部門管理者は、修正されたソフトウェアの「受入計画」を作成すること。
3.情報セキュリティ管理
(詳細)
(1) 保守管理者は、外部調達ソフトに関するぜい弱性情報及び修正コード情報の収集に努めること。
(2) 保守管理者は、収集したぜい弱性情報及び修正コード情報について、自社システム環境への適用の必要性を調査・分析し、適用の是非を決定すること。
(3) 保守管理者は、OSなどの自動適用可能なソフトウェアの修正コードについて、適用方針を決め確実な適用を行うこと。
(4) 保守管理者は、コンピュータウイルス対策ソフトウェア(以下「ウイルス対策ソフト」という。)及びパターン定義ファイル(以下「パターンファイル」という。)の更新の適用を実施すること。
(5) 上記以外の情報セキュリティ管理策については、情報セキュリティ管理基準参照表を利用して、情報セキュリティ管理基準の該当箇所を参照すること。
4.変更管理
(詳細)
保守管理者は、仕様変更に伴うソフトウェアの修正に対応すること。
5.保守の実施
(詳細)
(1) 保守管理者は、「修正計画」を再確認し、必要であれば詳細化すること。
(2) 保守管理者は、「修正計画」に従って修正作業を実施し、実施状況を管理すること。
(3) 保守管理者は、「修正計画」に従って、修正したソフトウェアのテストを実施すること。
(4) 保守管理者は、ソフトウェアの修正に伴って関連するドキュメントの修正が必要かどうかを調査し、必要なドキュメントの修正を行うこと。
(5) 保守管理者は、修正実施結果、テスト結果、最終的な修正内容、及びドキュメント修正内容を承認すること。
(6) 保守依頼部門管理者は、「受入計画」に従って、修正されたソフトウェアの受入テストを実施すること。
(7) 保守依頼部門管理者は、受入を決定したソフトウェアの修正について、運用管理者に本番システム環境へのリリースを依頼すること。
6.ソフトウェア構成管理
(詳細)
(1) 保守管理者は、ソフトウェア構成管理として管理する項目を決定すること。
(2) 保守管理者は、ソフトウェア構成管理実施体制を確立すること。
(3) 保守管理者は、ソフトウェア構成管理の実施手順を定めること。
(4) 保守管理者は、本番システムで使用しているソフトウェアについて、修正コードの本番システム環境へのリリース履歴を管理すること。
(5) 保守管理者は、ソフトウェアのバージョンアップを行った場合における、ソフトウェアの旧バージョンの扱いを明確にすること。
(6) ソフトウェア構成管理にかかわる情報セキュリティ管理策については、情報セキュリティ管理基準参照表を利用して、情報セキュリティ管理基準の該当箇所を参照すること。
7.ライフサイクル管理
(詳細)
(1) 保守管理者は、外部調達ソフトについて、ソフトウェアメーカのバージョンアップ計画、サポート計画に関する情報を収集すること。
(2) 保守管理者は、(1)で収集した情報に基づいて、自社における外部調達ソフトの保守計画を作成すること。
(3) 保守管理者は、外部調達ソフトの保守計画に従って保守を実施し、実施結果を記録すること。
(4) 保守管理者は、バージョンアップや他のソフトウェアへの移行を行った後の旧ソフトウェアの廃棄計画を立て、廃棄を行い、記録を残すこと。
- Ⅶ.外部サービス管理
1.外部サービス利用計画
(詳細)
(1) 外部委託元部門長は、情報システム戦略計画にもとづき、外部サービス利用計画を策定し、情報システム戦略委員会が承認すること。
(2) 外部委託元部門長は、外部サービス利用計画で、目的、対象範囲、予算、体制等を明確にすること。
2.委託先選定
(詳細)
(1) 外部委託元部門長は、委託先の選定基準を明確にすること。
(2) 外部委託元管理者は、委託候補先に対して必要な要求仕様を提示し、その内容を合意すること。
(3) 外部委託元管理者は、可能な限り、複数の候補先が提示した提案内容の比較検討を行ったうえで、委託先を選定すること。
3.契約と管理
3.1 契約
(詳細)
(1) 外部委託元管理者は、「外部サービス利用計画」に基づき、契約を締結すること。
(2) 外部委託等契約書には、必要な事項を盛り込むこと。
(3) 契約締結後の委託業務内容に追加及び変更が生じた場合、外部委託元管理者は契約内容の再検討を行うこと。
(4) システム監査に関する方針を明確にすること。
3.2 委託先管理
(詳細)
(1) 外部委託元管理者は、委託業務の実施内容が、契約内容と一致することを確認すること。
(2) 外部委託元管理者は、契約に基づき、必要な要求仕様、データ、資料等を提供すること。
(3) 外部委託元管理者は、契約に基づき、委託先より業務報告書に基づく報告を定期的に受けていること。
(4) 外部委託元管理者は、業務報告書の内容を分析・評価し、必要な対策を講ずること。
(5) 外部委託元管理者は、情報システム戦略委員会で定めた「委託先に対する立入監査又はモニタリングの実施対象の選定基準」に該当する場合、立入監査又はモニタリングを実施すること。
(6) 委託業務において事故等が発生した場合は、外部委託元管理者は、委託先に対して速やかに報告を求めること。
(7) サービスや成果物の検収は、契約に基づいて外部委託元管理者が実施し、検収結果は外部委託元部門長が承認すること。
(8) 外部委託元管理者は、業務終了後、委託業務で提供したデータ、資料等の回収及び廃棄の確認を行うこと。
(9) 外部委託元管理者は、外部委託終了後、委託業務の結果について、評価すること。
(10) 外部委託元管理者は、労働者派遣法等関連法規を遵守して、委託先の管理を行うこと。
4.サービスレベル管理(SLM)
(詳細)
(1) 外部委託元管理者は、サービスの品質を維持するために、外部委託契約にSLA(Service Level Agreement:サービスレベル合意)の締結を検討すること。
(2) SLA締結の場合は、外部委託元管理者は必要な事項を盛り込むとともに、外部委託元部門長の承認を得ていること。
(3) 外部委託元管理者は、外部委託業務がSLAを満たしているかを定期的に確認し、その結果を外部委託元部門長に報告すること。
(4) 外部委託元管理者は、サービスレベル未達成の場合に備え、リソース増強や代替手段の適用など具体的な対応方法を検討していること。
(5) 外部委託元管理者は、委託業務内容に変更が生じた場合は、必要に応じてSLAの内容の見直しを行うこと。
- Ⅷ.事業継続管理
(ITガバナンス及び情報システム戦略委員会の方針に基づく。)
1.リスクアセスメント
(詳細)
(1) 情報システム部門長は、自然災害等のリスク及び情報システムに与える影響範囲を明確にすること。
(2) 情報システム部門長は、情報システムの停止等により組織体が被る損失を分析すること。
(3) 情報システム部門長は、業務の復旧許容時間及び復旧優先順位を定めること。
2.業務継続計画の管理
(詳細)
(1) 情報システム部門長は、リスクアセスメントの結果に基づき、経営陣が定めた事業継続計画と整合を取った情報システムの業務継続計画を策定すること。
(2) 情報システム部門長は、情報システムに係る災害及び重大事故発生時に対応した業務継続計画を作成し、承認を得ること。
(3) 情報システム部門長は、情報システムに係る業務継続計画の実現可能性を確保すること。
(4) 情報システム部門長は、業務継続計画の中で、従業員の教育訓練及びリスクコミュニケーションの方針を明確にすること。
(5) 情報システム部門長は、業務継続計画を関係各部に周知徹底すること。
(6) 情報システム部門長は、業務継続計画を必要に応じて見直すこと。
3.システム復旧計画の管理
(詳細)
(1) 情報システム部門長は、情報システム、データ及び関連設備のバックアップ方法及び手順を業務の復旧目標に対応して定めること。
(2) 情報システム部門長は、情報システムにかかわるバックアップ方法及び手順を検証すること。
(3) 情報システム部門長は、復旧までの代替処理手続及び体制を定め、検証すること。
(4) 情報システム部門長は、復旧手続及び体制を定め、検証すること。
4.訓練の管理
(詳細)
(1) 情報システム部門長は、情報システムにかかわる適切な業務継続手順・計画が、事業継続目的に合致していることを確かにするために、手順に基づき訓練を実施すること。
また、訓練は、策定後の維持管理のために、定期的に訓練の目的に応じて適切な訓練を実施、継続していること。
(2) 情報システム部門長は、訓練の実施手順に則り実施し、マネジメントレビューを行い、マネジメントサイクル(PDCA)を回すこと。
5.計画の見直しの管理
(詳細)
(1) 情報システム部門長は、情報システムにかかわる業務の中断・阻害を引き起こす事故が発生し、業務継続計画の発動に至った場合、事故発生後に業務継続計画の評価及び見直しを行うこと。
(2) 情報システム部門長は、業務継続計画が、引き続き、適切かつ有効であることを確実にするために、あらかじめ定められた間隔で、業務継続計画の評価及び見直しを行うこと。
- Ⅸ.人的資源管理
1.責任と権限の管理
(詳細)
(1) 情報システム部門長は、業務の特性及び業務遂行上の必要性に応じて、要員の責任及び権限を定めること。
(2) 情報システム部門長は、要員の責任及び権限は、業務環境及び情報環境の変化に対応した見直しを行うこと。
(3) 情報システム部門長は、要員の責任及び権限を関係者に周知徹底すること。
2.業務遂行の管理
(詳細)
(1) 要員は、責任を果たし、権限を遵守すること。
(2) 管理者は、作業分担及び作業量を、要員の知識、能力等から検討すること。
(3) 管理者は、要員の計画的及び不測な交替に備え、交替要員の育成をすること。
(4) 管理者は、要員の交替にあたっては、業務の適切な遂行、誤謬防止、不正防止及び機密保護を考慮すること。
(5) 管理者は、不測の事態に備えた代替要員を日常的に確保すること。
3.教育・訓練の管理
(詳細)
(1) 管理者は、教育及び訓練に関する計画及びカリキュラムを、システム化計画及び人的資源管理の方針に基づいて作成及び見直しを行うこと。
(2) 管理者は、教育及び訓練に関する計画及びカリキュラムについて、技術力の向上、業務知識の習得、情報システムの情報セキュリティ確保等から検討すること。
(3) 情報システム部門長は、教育及び訓練を、計画及びカリキュラムに基づいて定期的かつ効果的に行うこと。
(4) 情報システム部門長は、要員に対するキャリアパスを確立し、業務環境及び情報環境の変化に対応した見直しを行うこと。
4.健康管理
(詳細)
(1) 管理者は、身体的及び精神的に健康を保ち、企画、開発、運用及び保守業務を健全に遂行するため、健康管理を考慮した作業管理を整えること。
(2) 管理者は、システム関連する業務の従事者の健康を維持する対策を講ずるため、健康診断及びカウンセリングを行うこと。
(3) 情報システム部門長は、職業病、成人病等、要員の物理的、肉体的管理のみならず、メンタルヘルスケアとして、精神的ないしは心の側面における健康管理を行うこと。
(4) 情報システム部門長は、重大な疾病や災害につながらないようにするために、予防管理体制として、健康診断やカウンセリングも結果に基づいて、作業量の軽減、職種の変更、配置転換等、適切な予防管理体制がとられなければならない。
- Ⅹ.ドキュメント管理
1.ドキュメントの作成
(詳細)
(1) 利用部門長及び情報システム部門長は、情報システム戦略委員会で定めた方針に従い、ドキュメントの作成ルールを定めること。
(2) 利用部門及び情報システム部門の管理者は、ドキュメントの作成計画を策定すること。
(3) 利用部門及び情報システム部門の管理者は、ドキュメントの種類、目的、作成方法等を明確にすること。
(4) 利用部門及び情報システム部門の管理者は、ドキュメントの作成計画に基づいて作成すること。
(5) 利用部門長及び情報システム部門長が、作成したドキュメントを承認すること。
(6) 利用部門長及び情報システム部門長は、定期的にドキュメント作成ルールの見直しをすること。
2.ドキュメントの管理
(詳細)
(1) 利用部門長及び情報システム部門長は、情報システム戦略委員会で定めた方針に従い、ドキュメント管理ルールを定め、遵守すること。
(2) 利用部門及び情報システム部門の管理者は、利用する情報システムや情報サービスの変更に伴い、ドキュメントの内容を更新し、更新履歴を記録すること。
(3) 利用部門長及び情報システム部門長が、ドキュメントの更新内容を承認すること。
(4) 利用部門及び情報システム部門の管理者は、ドキュメントの保管、複写及び廃棄の際の不正防止及び機密保護の対策を講じること。
(5) 利用部門長及び情報システム部門長は、定期的にドキュメント管理ルールの見直しをすること。