システム監査基準／システム管理基準＜法規・基準＜Ｗｅｂ教材＜木暮

これらの基準は、平成３０年（２０１８年）に大幅な改訂が行われました。
新基準：システム監査基準、システム管理基準
しかし、本ページは、以前の情報技術者試験４択問題の解答・解説での参照先として多数リンクされているので、このまま掲載しておきます。

システム監査とは

システム監査の目的

システム監査の目的は、「情報システムの信頼性、安全性及び効率性の向上を図り、情報化社会の健全化に資する」ことにあります。
　経済産業省「システム監査基準」では、システム監査の目的を次のように示しています（　（　）内は筆者による補足）。

組織体の情報システムにまつわる
（行政、民間を問わない。対象は情報システ全般
リスクに対するコントロールが、
（機密性・一貫性・可用性・効率性・有効性などの管理）
リスクアセスメントに基づいて
（リスクアセスメント：リスク評価→「システム管理基準」）
適切に整備・運用されているかを、
（整備・運用は被監査部門の任務）
独立かつ専門的な立場のシステム監査人が
（監査人は社外者あるいは情報システムの提供・利用部門外の監査部門などの専門家）
検証又は評価することによって、
（ルールが整備されているか、実践されているか）
保証を与えあるいは助言を行い、
（保証と助言の２つがある。報告先は監査依頼者（通常は経営者）。是正をするのは被監査部門）
もってＩＴガバナンスの実現に寄与することにある。

情報システム関連のリスクコントロールを適切に整備・運用することの目的は次のとおりです（「システム監査基準」前文）
・情報システムが、組織体の経営方針及び戦略目標の実現に貢献するため
・情報システムが、組織体の目的を実現するように安全、有効かつ効率的に機能するため
・情報システムが、内部又は外部に報告する情報の信頼性を保つように機能するため
・情報システムが、関連法令、契約又は内部規程等に準拠するようにするため

（注）情報システム部門の任務

システム監査において、情報システム部門は代表的な被監査部門です。監査により不備を追及される、面倒な作業をさせられるという防衛的な態度ではなく、現状システムをよりよくするための取組みへの強力な支援だと認識して、積極的に監査に協力することが重要です。
　システム監査の実施では、情報システム部門は、監査対象の情報システムに関する処理の流れ、運用ルールなどを監査人に説明し、資料を提供する必要があります。
　監査内容によっては、監査に必要なコンピュータ処理をスポット的に行える環境を提供することもあります。
　監査報告による指摘事項に対して、情報システムの具体的な改善対策を立案・実施するのは情報システム部門の任務です。

システム監査基準とシステム管理基準

経済産業省は、システム監査の基準として、次の基準を策定しています。

システム監査基準: http://www.meti.go.jp/policy/netsecurity/downloadfiles/system_kansa.pdf
監査人が監査をするための基準です。監査人は被監査部門から独立していること、情報システムと監査に関する能力を持っていることなど、監査人に関する規程や、監査の方法、報告の方法などの基準が定められています。
システム管理基準: http://www.meti.go.jp/policy/netsecurity/downloadfiles/system_kanri.pdf
経営戦略に沿って効果的な情報システム戦略を立案し、その戦略に基づき情報システムの企画・開発・運用・保守というライフサイクルの中で、効果的な情報システム投資、リスクコントロールを適切に整備・運用するための実践規範になっています。
システム管理基準は、システム監査の判断尺度として用いる基準ですが、システム監査を受けるためでなく、情報システムの信頼性、安全性及び効率性の向上を図るためのチェックリストとしても活用できます。
システム管理基準追補版（財務報告に係るＩＴ統制ガイダンス）: http://www.meti.go.jp/policy/netsecurity/downloadfiles/guidance.pdf
金融商品取引法の施行に際して金融庁が策定した「財務報告に係る内部統制の評価及び監査に関する実施基準」（実施基準）のなかの「ＩＴへの対応」に関して，システム管理基準を追補したものです。「ＩＴへの対応」への取組み方法を具体的な例をあげて説明したものです。
これに関しては、別章「システム管理基準追補版（ＩＴ統制ガイダンス）」で取り扱います。

他の監査との関係

システム監査は、会計監査とは異なり、法的強制のない任意監査です。しかし、システム監査を行うことにより、
　・組織内での情報システムに関するガバナンスが向上する。
　・ステークホルダーへの説明責任として有効である。
などの効果があります。
　また、金融商品取引法による財務報告に関する内部統制（ＩＴ統制）の規定により、上記の「システム管理基準追補版」への準拠が重要になってきました。

情報システムに関する監査では、セキュリティ監査基準とＩＳＭＳ（情報セキュリティマネジメントシステム）があります。これらは、情報セキュリティに特化した分野を対象にしています。それに対して、システム監査は情報システム全般を対象にしており、セキュリティも含まれますが具体的な詳細は対象にしていません。

システム監査基準

システム監査基準は、システム監査業務の品質を確保し、有効かつ効率的に監査を実施することを目的とした監査人の行為規範です。次の３つからなっています。

一般基準
監査人としての適格性及び監査業務上の遵守事項を規定
実施基準
監査計画の立案及び監査手続の適用方法を中心に監査実施上に枠組みを規定
報告基準
監査報告に係わる留意事項と監査報告書の記載方式を規定

一般基準（システム監査人）

システム監査人は、システム監査の専門知識・経験により、対象システムを総合的に評価し、助言・勧告・改善活動のフォローアップをすることが任務です。報告書は、対象システムがシステム管理基準に照らして「この個所にこのような不備があるので、このレベルにまで改善すべきだ。改善程度を次回の監査でチェックする」という内容になります。

システム監査人の立場

外観上の独立性
システム監査人は、システム監査を客観的に実施するために、監査対象から独立していなければならない。監査の目的によっては、被監査主体と身分上、密接な利害関係を有することがあってはならない。
専門能力
システム監査人は、適切な教育と実務経験を通じて、専門職としての知識及び技能を保持しなければならない。

システム監査人の行動規範

精神上の独立性
システム監査人は、システム監査の実施に当たり、偏向を排し、常に公正かつ客観的に監査判断を行わなければならない。
職業倫理と誠実性
システム監査人は、職業倫理に従い、誠実に業務を実施しなければならない。

システム監査人の業務上の義務

注意義務
システム監査人は、専門職としての相当な注意をもって業務を実施しなければならない。
守秘義務
システム監査人は、監査の業務上知り得た秘密を正当な理由なく他に開示し、又は、自らの利益のために利用してはならない。
品質管理
システム監査人は、監査結果の適正性を確保するために、適切な品質管理を行わなければならない。

システム監査の手順

システム監査は次の順序で行われます。監査人の任務だともいえます。

監査計画の立案
監査対象システム、監査の目的の決定。監査計画書の作成
予備調査
被監査部門へのヒアリング、資料の収集・確認
本調査
実地調査し、得た事実情報を監査証拠として保存。システム管理基準により評価
システム監査報告書の作成
監査結果、指摘事項、改善事項をシステム監査報告書にまとめる
監査報告
システム監査報告書を監査依頼者に提出、報告
フォローアップ
改善事項の改善状況をモニタリング、改善活動の支援

実施基準

監査計画の立案: 監査手続の内容、時期及び範囲等について、適切な監査計画を立案すること
監査計画は、事情に応じて適時に修正できるように弾力的に運用すること
監査の手順: 監査計画に基づき、予備調査→本調査→評価・結論の手順
監査の実施: システム監査人は適切かつ慎重に監査手続の実施、保証又は助言についての監査結果を裏付けるための監査証拠を入手し評価する。
実施した監査手続の結果とその関連資料を、監査調書として作成し保存するする。
監査業務の体制: 適切な監査体制を整え、監査計画の立案から監査報告書の提出及び改善指導までの監査業務の全体を管理する。
他の専門職の利用: 必要に応じて他の専門職による支援を考慮する。その場合も、利用の範囲、方法、及び結果の判断等は、システム監査人の責任である。

監査関連文書・資料

システム監査人が監査を遂行する間で作成する文書類には、次のようなものがあります。

監査手続書（監査計画書）
監査を開始するのにあたり、監査対象の範囲、監査期間、監査方法などを記述した文書。通常は、これを依頼者である経営者に示し、承認を得て実施に入ります。
監査チェックリスト
監査を効果的に行うために、監査項目や監査手段をリストにした文書。監査管理基準を基に、予備調査などによる監査対象の状況に応じて項目を設定、それを監査するための資料入手や現地調査などを検討して適切な監査手段とします。監査の進捗により適宜改訂されます。これは監査人のメモであり、報告する必要はありません。
監査証跡（監査証拠）
監査により得た資料です。監査報告書の証拠になるものです。
監査調書
システム監査人が行った監査業務の実施記録であり，監査意見表明の根拠となるべき監査証拠，その他関連資料などをまとめたもので、監査人の分析・判断が加えられます。これを整理したものが監査報告書になります。
監査報告書
監査結果を監査依頼者（経営者など）に報告する文書です。その内容や扱いに関しては「報告基準」で定められています。

報告基準

監査報告書の提出と開示: 監査目的に応じた適切な形式の監査報告書を作成し、遅滞なく監査依頼者に提出すること
監査報告の根拠: 監査報告書は、監査証拠に裏付けられた合理的な根拠に基づくものでなければならない。
監査報告書の記載事項: 監査報告書には、実施した監査の対象、実施した監査の概要、保証意見又は助言意見、制約又は除外事項、指摘事項、改善勧告、その他特記すべき事項について、証拠との関係を示し、システム監査人が監査の目的に応じて必要と判断した事項を明瞭に記載しなければならない。
監査報告についての責任: システム監査人は、監査報告書の記載事項について、その責任を負う。
監査報告に基づく改善指導（フォローアップ）: システム監査人は、監査の結果に基づいて所要の措置が講じられるよう、適切な指導性を発揮すること。

システム管理基準

システム管理基準は、情報システムの管理を適切に行うための実践規範を体系的に列挙したものです。膨大になるので体系だけを表示しました。個々の内容は（詳細）をクリックすると表示されます。
　例えば「全体最適化の方針・目標」では、
　　（1）ＩＴガバナンスの方針を明確にすること。
　　（2）情報化投資及び情報化構想の決定における原則を定めること。
　　　　　　：
などが掲げられています。
　このように「実現すべきこと」が示されているだけで、「実現のために、どうするか」の方法・手段を示したものではありません。

Ⅰ　情報戦略
１．全体最適化
　　1.1 全体最適化の方針・目標（詳細）

（1）ＩＴガバナンスの方針を明確にすること。
（2）情報化投資及び情報化構想の決定における原則を定めること。
（3）情報システム全体の最適化目標を経営戦略に基づいて設定すること。
（4）組織体全体の情報システムのあるべき姿を明確にすること。
（5）システム化によって生ずる組織及び業務の変更の方針を明確にすること。
（6）情報セキュリティ基本方針を明確にすること。
　　1.2 全体最適化計画の承認（詳細）

（1）全体最適化計画の立案体制は、組織体の長の承認を得ること。
（2）全体最適化計画は、組織体の長の承認を得ること。
（3）全体最適化計画は、利害関係者の合意を得ること。
　　1.3 全体最適化計画の策定（詳細）

（1）全体最適化計画は、方針及び目標に基づいていること。
（2）全体最適化計画は、コンプライアンスを考慮すること。
（3）全体最適化計画は、情報化投資の方針及び確保すべき経営資源を明確にすること。
（4）全体最適化計画は、投資効果及びリスク算定の方法を明確にすること。
（5）全体最適化計画は、システム構築及び運用のための標準化及び品質方針を含めたルールを明確にすること。
（6）全体最適化計画は、個別の開発計画の優先順位及び順位付けのルールを明確にすること。
（7）全体最適化計画は、外部資源の活用を考慮すること。
　　1.4 全体最適化計画の運用（詳細）

（1）全体最適化計画は、関係者に周知徹底すること。
（2）全体最適化計画は、定期的及び経営環境等の変化に対応して見直すこと。
２．組織体制
　　2.1 情報システム化委員会（詳細）

（1）全体最適化計画に基づき、委員会の使命を明確にし、適切な権限及び責任を与えること。
（2）委員会は、組織体における情報システムに関する活動全般について、モニタリングを実施し、必要に応じて是正措置を講じること。
（3）委員会は、情報技術の動向に対応するため、技術採用指針を明確にすること。
（4）委員会は、活動内容を組織体の長に報告すること。
（5）委員会は、意思決定を支援するための情報を組織体の長に提供すること。
　　2.2 情報システム部門（詳細）

（1）情報システム部門の使命を明確にし、適切な権限及び責任を与えること。
（2）情報システム部門は、組織体規模及び特性に応じて、職務の分離、専門化、権限付与、外部委託等を考慮した体制にすること。
　　2.3 人的資源管理の方針（詳細）

（1）情報技術に関する人的資源の現状及び必要とされる人材を明確にすること。
（2）人的資源の調達及び育成の方針を明確にすること。
３．情報化投資（詳細）

（1）情報化投資計画は、経営戦略との整合性を考慮して策定すること。
（2）情報化投資計画の決定に際して、影響、効果、期間、実現性等の観点から複数の選択肢を検討すること。
（3）情報化投資に関する予算を適切に執行すること。
（4）情報化投資に関する投資効果の算出方法を明確にすること。
（5）情報システムの全体的な業績及び個別のプロジェクトの業績を財務的な観点から評価し、問題点に対して対策を講じること。
（6）投資した費用が適正に使用されたことを確認すること。
４．情報資産管理の方針（詳細）

（1）情報資産の管理方針及び体制を明確にすること。
（2）情報資産のリスク分析を行い、その対応策を考慮すること。
（3）情報資産の効率的で有効な活用を考慮すること。
（4）情報資産の共有化による生産性向上を考慮すること。
５．事業継続計画（詳細）

（1）情報システムに関連した事業継続の方針を策定すること。
（2）事業継続計画は、利害関係者を含んだ組織的体制で立案し、組織体の長が承認すること。
（3）事業継続計画は、従業員の教育訓練の方針を明確にすること。
（4）事業継続計画は、関係各部に周知徹底すること。
（5）事業継続計画は、必要に応じて見直すこと。
６．コンプライアンス（詳細）

（1）法令及び規範の管理体制を確立するとともに、管理責任者を定めること。
（2）遵守すべき法令及び規範を識別し、関係者に教育及び周知徹底すること。
（3）情報倫理規程を定め、関係者に教育及び周知徹底すること。
（4）個人情報の取扱い、知的財産権の保護、外部へのデータ提供等に関する方針を定めること。
（5）法令、規範及び情報倫理規程の遵守状況を評価し、改善のために必要な方策を講じること。
Ⅱ　企画業務
１．開発計画（詳細）

（1）開発計画は、組織体の長が承認すること。
（2）開発計画は、全体最適化計画との整合性を考慮して策定すること。
（3）開発計画は、目的、対象業務、費用、スケジュール、開発体制、投資効果等を明確にすること。
（4）開発計画は、関係者の教育及び訓練計画を明確にすること。
（5）開発計画は、ユーザ部門及び情報システム部門の役割分担を明確にすること。
（6）開発計画は、開発、運用及び保守の費用の算出基礎を明確にすること。
（７）開発計画はシステムライフを設定する条件を明確にすること。
（8）開発計画の策定に当たっては、システム特性及び開発の規模を考慮して形態及び開発方法を決定すること。
（9）開発計画の策定に当たっては、情報システムの目的を達成する実現可能な代替案を作成し、検討すること。
２．分析（詳細）

（1）開発計画に基づいた要求定義は、ユーザ、開発、運用及び保守の責任者が承認すること。
（2）ユーザニーズの調査は、対象、範囲及び方法を明確にすること。
（3）実務に精通しているユーザ、開発、運用及び保守の担当者が参画して現状分析を行うこと。
（4）ユーザニーズは文書化し、ユーザ部門が確認すること。
（5）情報システムの導入に伴って発生する可能性のあるリスク分析を実施すること。
（6）情報システムの導入によって影響を受ける業務、管理体制、諸規程等は、見直し等の検討を行うこと。
（7）情報システムの導入効果の定量的及び定性的評価を行うこと。
（8）パッケージソフトウェアの使用に当たっては、ユーザニーズとの適合性を検討すること。
３．調達（詳細）

（1）調達の要求事項は、開発計画及びユーザニーズに基づき作成し、ユーザ、開発、運用及び保守の責任者が承認すること。
（2）ソフトウェア、ハードウェア及びネットワークは、調達の要求事項を基に選択すること。
（3）開発を遂行するために必要な要員、予算、設備、期間等を確保すること。
（4）要員に必要なスキルを明確にすること。
（5）ソフトウェア、ハードウェア及びネットワークの調達は、ルールに従って実施すること｡
（6）調達した資源は、ルールに従って管理すること。
Ⅲ　開発業務
１．開発手順（詳細）

（1）開発手順は、開発の責任者が承認すること。
（2）開発手順は、開発方法に基づいて作成すること。
（3）開発手順は、開発の規模、システム特性等を考慮して決定すること。
（4）開発時のリスクを評価し、必要な対応策を講じること。
２．システム設計（詳細）

（1）システム設計書は、ユーザ、開発、運用及び保守の責任者が承認すること。
（2）運用及び保守の基本方針を定めて設計すること。
（3）入出力画面、入出力帳票等はユーザの利便性を考慮して設計すること。
（4）データベースは、業務の内容及びシステム特性に応じて設計すること。
（5）データのインテグリティを確保すること。
（6）ネットワークは、業務の内容及びシステム特性に応じて設計すること。
（7）情報システムの性能は、要求定義を満たすこと。
（8）情報システムの運用性及び保守性を考慮して設計すること。
（9）他の情報システムとの整合性を考慮して設計すること。
（10）情報システムの障害対策を考慮して設計すること。
（11）誤謬防止、不正防止、機密保護等を考慮して設計すること。
（12）テスト計画は、目的、範囲、方法、スケジュール等を明確にすること。
（13）情報システムの利用に係る教育の方針、スケジュール等を明確にすること。
（14）モニタリング機能を考慮して設計すること。
（15）システム設計書をレビューすること。

３．プログラム設計（詳細）

（1）プログラム設計書は、開発の責任者が承認すること。
（2）システム設計書に基づいて、プログラムを設計すること。
（3）テスト要求事項を定義し、文書化すること。
（4）プログラム設計書及びテスト要求事項をレビューすること。
（5）プログラム設計時に発見したシステム設計の矛盾は、システム設計の再検討を行って解決すること。
４．プログラミング（詳細）

（1）プログラム設計書に基づいてプログラミングすること。
（2）プログラムコードはコーディング標準に適合していること。
（3）プログラムコード及びプログラムテスト結果を評価し、記録及び保管すること。
（4）重要プログラムは、プログラム作成者以外の者がテストすること。
５．システムテスト・ユーザ受け入れテスト（詳細）

（1）システムテスト計画は、開発及びテストの責任者が承認すること。
（2）ユーザ受入れテスト計画は、ユーザ及び開発の責任者が承認すること。
（3）システムテストに当たっては、システム要求事項を網羅してテストケースを設定して行うこと。
（4）テストデータの作成及びシステムテストは、テスト計画に基づいて行うこと。
（5）システムテストは、本番環境と隔離された環境で行うこと。
（6）システムテストは、開発当事者以外の者が参画すること。
（7) システムテストは、適切なテスト手法及び標準を使用すること。
（8）ユーザ受入れテストは、本番同様の環境を設定すること。
（9）ユーザ受入れテストは、ユーザマニュアルに従い、本番運用を想定したテストケースを設定して実施すること。
（10）ユーザ受入れテストは、ユーザ及び運用の担当者もテストに参画して確認すること。
（11）システムテスト及びユーザ受入れテストの結果は、ユーザ、開発、運用及び保守の責任者が承認すること。
（12）システムテスト及びユーザ受入れテストの経過及び結果を記録及び保管すること。
（13）パッケージソフトウェアを調達する場合、開発元が品質テストを実施したことを確認すること。
６．移行（詳細）

（1）移行計画を策定し、ユーザ、開発、運用及び保守の責任者が承認すること。
（2）移行作業は文書に記録し、責任者が承認すること。
（3）移行完了の検証方法を移行計画で明確にすること。
（4）移行計画に基づいて、移行に必要な要員、予算、設備等を確保すること。
（5）移行は手順書を作成し、実施すること。
（6）移行時のリスク対策を検討すること。
（7）運用及び保守に必要なドキュメント、各種ツール等は開発の責任者から引き継いでいること。
（8）移行は関係者に周知徹底すること。
Ⅳ　運用業務
１．運用管理ルール（詳細）

（1）運用管理ルール及び運用手順は、運用の責任者が承認すること。
（2）運用管理ルールは、運用設計に基づいて作成すること。
（3）運用手順は、運用設計及び運用管理ルールに基づいて、規模、期間、システム特性等を考慮して作成すること。
（4）運用設計及び運用管理ルールに基づいて、担当責任者を定めること。

２．運用管理（詳細）

（1）年間運用計画を策定し、責任者が承認すること。
（2）年間運用計画に基づいて、月次、日次等の運用計画を策定すること。
（3）運用管理ルールを遵守すること。
（4）ジョブスケジュールは、業務処理の優先度を考慮して設定すること。
（5）オペレーションは、ジョブスケジュール及び指示書に基づいて行うこと。
（6）例外処理のオペレーションは、運用管理ルールに基づいて行うこと。
（7）オペレータの交替は、運用管理ルールに基づいて行うこと。
（8）ジョブスケジュール及びオペレーション実施記録を採り、ジョブスケジュールとの差異分析を行うこと。
（9）オペレーション実施記録は、運用管理ルールに基づいて一定期間保管すること。
（10）事故及び障害の影響度に応じた報告体制及び対応手順を明確にすること。
（11）事故及び障害の内容を記録し、情報システムの運用の責任者に報告すること。
（12）事故及び障害の原因を究明し、再発防止の措置を講じること。
（13）情報システムのユーザに対する支援体制を確立すること。
（14）情報セキュリティに関する教育及び訓練をユーザに対して実施すること。
（15）情報システムの稼動に関するモニタリング体制を確立すること。
（16）情報システムの稼動実績を把握し、性能管理及び資源の有効利用を図ること。
３．入力管理（詳細）

（1）入力管理ルールを定め、遵守すること。
（2）データの入力は、入力管理ルールに基づいて漏れなく、重複なく、正確に行うこと。
（3）入力データの作成手順、取扱い等は誤謬防止、不正防止、機密保護等の対策を講じること。
（4）データの入力の誤謬防止、不正防止、機密保護等の対策は有効に機能すること。
（5）入力データの保管及び廃棄は、入力管理ルールに基づいて行うこと。
４．データ管理（詳細）

（1）データ管理ルールを定め、遵守すること。
（2）データへのアクセスコントロール及びモニタリングは、有効に機能すること。
（3）データのインテグリティを維持すること。
（4）データの利用状況を記録し、定期的に分析すること。
（5）データのバックアップの範囲、方法及びタイミングは、業務内容、処理形態及びリカバリの方法を考慮して決定すること。
（6）データの授受は、データ管理ルールに基づいて行うこと。
（7）データの交換は、不正防止及び機密保護の対策を講じること。
（8）データの保管、複写及び廃棄は、誤謬防止、不正防止及び機密保護の対策を講じること。
（9）データに対するコンピュータウイルス対策を講じること。
（10）データの知的財産権を管理すること。
５．出力管理（詳細）

（1）出力管理ルールを定め、遵守すること。
（2）出力情報は、漏れなく、重複なく、正確であることを確認すること。
（3）出力情報の作成手順、取扱い等は、誤謬防止、不正防止及び機密保護の対策を講じること。
（4）出力情報の引渡しは、出力管理ルールに基づいて行うこと。
（5）出力情報の保管及び廃棄は、出力管理ルールに基づいて行うこと。
（6）出力情報のエラー状況を記録し、定期的に分析すること。
（7）出力情報の利用状況を記録し、定期的に分析すること。

６．ソフトウェア管理（詳細）

（1）ソフトウェア管理ルールを定め、遵守すること。
（2）ソフトウェアへのアクセスコントロール及びモニタリングは、有効に機能すること。
（3）ソフトウェアの利用状況を記録し、定期的に分析すること。
（4）ソフトウェアのバックアップの範囲、方法及びタイミングは、業務内容及び処理形態を考慮して決定すること。
（5）ソフトウェアの授受は、ソフトウェア管理ルールに基づいて行うこと。
（6）ソフトウェアの保管、複写及び廃棄は、不正防止及び機密保護の対策を講じること。
（7）ソフトウェアに対するコンピュータウイルス対策を講じること。
（8）ソフトウェアの知的財産権を管理すること。
（9）フリーソフトウェアの利用に関し、組織体としての方針を明確にすること。
７．ハードウェア管理（詳細）

（1）ハードウェア管理ルールを定め、遵守すること。
（2）ハードウェアは、想定されるリスクに対応できる環境に設置すること。
（3）ハードウェアは、定期的に保守を行うこと。
（4）ハードウェアは、障害対策を講じること。
（5）ハードウェアの利用状況を記録し、定期的に分析すること。
（6）ハードウェアの保管、移設及び廃棄は、不正防止及び機密保護の対策を講じること。
８．ネットワーク管理（詳細）

（1）ネットワーク管理ルールを定め、遵守すること。
（2）ネットワークへのアクセスコントロール及びモニタリングは、有効に機能すること。
（3）ネットワーク監視ログを定期的に分析すること。
（4）ネットワークは、障害対策を講じること。
（5）ネットワークの利用状況を記録し、定期的に分析すること。
（6）ネットワークを利用したサービスについて、組織体としての方針を明確にすること。
９．構成管理（詳細）

（1）管理すべきソフトウェア、ハードウェア及びネットワークの対象範囲を明確にし、管理すること。
（2）ソフトウェア、ハードウェア及びネットワークの構成、調達先、サポート条件等を明確にすること。
（3）ソフトウェア、ハードウェア及びネットワークの導入並びに変更は、影響を受ける範囲を検討して決定すること。
（4）ソフトウェア、ハードウェア及びネットワークの導入並びに変更は、計画的に実施すること。
１０．建物・関連設備管理（詳細）

（1）建物及び関連設備は、想定されるリスクに対応できる環境に設置すること。
（2）建物及び室への入退の管理は、不正防止及び機密保護の対策を講じること。
（3）関連設備は、適切な運用を行うこと。
（4）関連設備は、定期的に保守を行うこと。
（5）関連設備は、障害対策を講じること。
（6）建物及び室への入退の管理を記録し、定期的に分析すること。
Ⅴ　保守業務
１．保守手順（詳細）

（1）保守ルール及び保守手順は、保守の責任者が承認すること。
（2）保守手順は、保守の規模、期間、システム特性等を考慮して決定すること。
（3）保守時のリスクを評価し、必要な対応策を講じること。
２．保守計画（詳細）

（1）保守計画はユーザ及び保守の責任者が承認すること。
（2）変更依頼等に対し、保守の内容及び影響範囲の調査並びに分析を行うこと。
（3）保守のテスト計画は、目的、範囲、方法、スケジュール等を明確にすること。
３．保守の実施（詳細）

（1）システム設計書、プログラム設計書等は、保守計画に基づいて変更し、ユーザ及び保守の責任者が承認すること。
（2）プログラムの変更は、保守手順に基づき、保守の責任者の承認を得て実施すること。
（3）変更したプログラム設計書に基づいてプログラミングしていることを検証すること。
４．保守の確認（詳細）

（1）変更したプログラムのテストの実施は、保守のテスト計画に基づいて行うこと。
（2）変更したプログラムは、影響範囲を考慮してテストを行うこと。
（3）変更したプログラムのテストは、ユーザが参画し、ユーザマニュアルに基づいて実施すること。
（4）変更したプログラムのテストの結果は、ユーザ、運用及び保守の責任者が承認すること。
（5）変更したプログラムのテストの結果を記録及び保管すること。
５．移行（詳細）

（1）移行手順は、移行の条件を考慮して作成すること。
（2）変更前のプログラム及びデータのバックアップを行うこと。
（3）運用及び保守の責任者は、他の情報システムへ影響を与えないことを確認すること。
６．情報システムの廃棄（詳細）

（1）旧情報システムは、リスクを考慮して廃棄計画を策定し、ユーザ、運用及び保守の責任者の承認を得て廃棄すること。
（2）旧情報システムの廃棄方法及び廃棄時期は、不正防止及び機密保護の対策を考慮して決定すること。
Ⅵ　共通業務
１．ドキュメント管理
　　1.1 作成（詳細）

（1）ドキュメントは、ユーザﾞ部門及び情報システム部門の責任者が承認すること。
（2）ドキュメント作成ルールを定め、遵守すること。
（3）ドキュメントの作成計画を策定すること。
（4）ドキュメントの種類、目的、作成方法等を明確にすること。
（5）ドキュメントは、作成計画に基づいて作成すること。
　　1.2 管理（詳細）

（1）ドキュメントの更新内容は、ユーザ部門及び情報システム部門の責任者が承認すること。
（2）ドキュメント管理ルールを定め、遵守すること。
（3）情報システムの変更に伴い、ドキュメントの内容を更新し、更新履歴を記録すること。
（4）ドキュメントの保管、複写及び廃棄は、不正防止及び機密保護の対策を講じること。

２．進捗管理
　　2.1 実施（詳細）

（1）進捗計画に基づいて方法、体制等を定め、ユーザ、企画、開発、運用及び保守の責任者が承認すること。
（2）ユーザ、企画、開発、運用及び保守の責任者は、進捗状況を把握すること。
（3）進捗の遅延等の対策を講じること。
　　2.2 評価（詳細）

（1）業務の工程終了時に、計画に対する実績を分析及び評価し、責任者が承認すること。
（2）評価結果は、次工程の計画に反映すること。
（3）評価結果は、進捗管理の方法、体制等の改善に反映すること。
３．品質管理
　　3.1 計画（詳細）

（1）品質目標に基づいて品質管理の計画を定め、ユーザ、企画、開発、運用及び保守の責任者が承認すること。
（2）品質管理計画は、方法、体制等を明確にすること。
　　3.2 実施（詳細）

（1）業務の工程終了時に、計画に対する実績を分析及び評価し、責任者が承認すること。
（2）評価結果は、品質管理の基準、方法、体制等の改善に反映すること。
４．人的資源管理
　　4.1 責任・権限（詳細）

（1）要員の責任及び権限は、業務の特性及び業務遂行上の必要性に応じて定めること。
（2）要員の責任及び権限は、業務環境及び情報環境の変化に対応した見直しを行うこと。
（3）要員の責任及び権限を周知徹底すること。
　　4.2 業務遂行（詳細）

（1）要員は、権限を遵守すること。
（2）作業分担及び作業量は、要員の知識、能力等から検討すること。
（3）要員の交替は、誤謬防止、不正防止及び機密保護を考慮して行うこと。
（4）不測の事態に備えた代替要員の確保を検討すること。
　　4.3 教育・訓練（詳細）

（1）教育及び訓練に関する計画及びカリキュラムは、人的資源管理の方針に基づいて作成及び見直しを行うこと。
（2）教育及び訓練に関する計画及びカリキュラムは、技術力の向上、業務知識の習得、情報システムの情報セキュリティ確保等から検討すること。
（3）教育及び訓練は、計画及びカリキュラムに基づいて定期的かつ効果的に行うこと。
（4）要員に対するキャリアパスを確立し、業務環境及び情報環境の変化に対応した見直しを行うこと。
　　4.4 健康管理（詳細）

（1）健康管理を考慮した作業環境を整えること。
（2）健康診断及びメンタルヘルスケアを行うこと。
５．委託・受託
　　5.1 計画（詳細）

（1）委託又は受託の計画は全体最適化計画に基づいて策定し、責任者が承認すること。
（2）委託又は受託の目的、対象範囲、予算、体制等を明確にすること。
（3）委託又は受託は、具体的な効果、問題点等を評価して決定すること。

　　5.2 委託先選定（詳細）

（1）委託先の選定基準を明確にすること。
（2）委託候補先に必要な要求仕様を提示すること。
（3）委託候補先が提示した提案書の比較検討を行うこと。
　　5.3 契約（詳細）

（1）契約は、委託契約ルール又は受託契約ルールに基づいて締結すること。
（2）コンプライアンスに関する条項を明確にすること。
（3）再委託の可否について明確にすること。
（4）知的財産権の帰属を明確にすること。
（5）特約条項及び免責条項を明確にすること。
（6）業務内容及び責任分担を明確にすること。
（7）契約締結後の業務内容に追加及び変更が生じた場合、契約内容の再検討を行うこと。
（8）システム監査に関する方針を明確にすること。
　　5.4 委託業務（詳細）

（1）委託業務の実施内容は、契約内容と一致すること。
（2）契約に基づき、必要な要求仕様、データ、資料等を提供すること。
（3）委託業務の進捗状況を把握し、遅延対策を講じること。
（4）委託先における誤謬防止、不正防止、機密保護等の対策の実施状況を把握し、必要な措置を講じること。
（5）成果物の検収は、委託契約に基づいて行うこと。
（6）業務終了後、委託業務で提供したデータ、資料等の回収及び廃棄の確認を行うこと。
（7）委託した業務の結果を分析及び評価すること。
　　5.5 受託業務（詳細）

（1）受託業務の実施内容は、契約内容を遵守すること。
（2）受託内容の進捗状況を把握し、リスク対策を講じること。
（3）成果物の品質管理を行うこと。
（4）契約に基づき、受託業務終了後、提供されたデータ、資料、機材等を返却又は廃棄すること。
６．変更管理
　　6.1 管理（詳細）

（1）変更管理ルールを定め、ユーザ、開発及び保守の責任者が承認すること。
（2）仕様変更、問題点、ペンディング事項等の変更管理案件が生じた場合、他システムの影響を考慮して決定すること。
（3）変更管理案件は、提案から完了までの状況を管理し、未完了案件は定期的に分析すること。
　　6.2 実施（詳細）

（1）変更管理案件は、変更管理ルールに従って実施すること。
（2）変更管理案件を実施した場合に、関連する情報システムの環境も同時に変更すること。
（3）変更の結果は、ユーザ、開発、運用及び保守の責任者が承認すること。
７．災害対策
　　7.1 リスク分析（詳細）

（1）地震等のリスク及び情報システムに与える影響範囲を明確にすること。
（2）情報システムの停止等により組織体が被る損失を分析すること。
（3）業務の回復許容時間及び回復優先順位を定めること。
　　7.2 災害時対応計画（詳細）

（1）リスク分析の結果に基づき、事業継続計画と整合をとった災害時対応計画を策定すること。
（2）災害時対応計画は、組織体の長が承認すること。
（3）災害時対応計画の実現可能性を確認すること。
（4）災害時対応計画は、従業員の教育訓練の方針を明確にすること。
（5）災害時対応計画は、関係各部に周知徹底すること。
（6）災害時対応計画は、必要に応じて見直すこと。

　　7.3 バックアップ（詳細）

（1）情報システム、データ及び関連設備のバックアップ方法並びに手順は、業務の回復目標に対応して定めること。
（2）運用の責任者は、バックアップ方法及び手順を検証すること。
　　7.4 代替処理・復旧（詳細）

（1）ユーザ及び運用の責任者は、復旧までの代替処理手続き及び体制を定め、検証すること。
（2）ユーザ及び運用の責任者は、復旧手続き及び体制を定め、検証すること。

本シリーズの目次へ