経済産業省「システム管理基準(令和5年)」前文より
https://www.meti.go.jp/policy/netsecurity/sys-kansa/sys-kanri-2023.pdf
前文 (システム管理基準の活用にあたって)
Ⅰ ITガバナンス編
Ⅰ.1 ITガバナンスの実践
Ⅰ.2 ITガバナンス実践に必要な要件
Ⅱ ITマネジメント編
(IT部門の組織全体に係るプロセス)
Ⅱ.1 推進・管理体制
(システムの企画・開発プロジェクトの管理に係るプロセス)
Ⅱ.2 プロジェクト管理(●)
(システムライフサイクルプロセスの遂行に係るプロセス)
Ⅱ.3 企画プロセス(●)
Ⅱ.4 開発プロセス(●)
Ⅱ.5 運用プロセス
Ⅱ.6 保守プロセス
Ⅱ.7 廃棄プロセス
(IT部門以外の部門のマネジメントとの関連が深いプロセス)
Ⅱ.8 外部サービス管理(★)
Ⅱ.9 事業継続管理(★)
Ⅱ.10 人的資源管理
システム管理基準の用語集
旧版 新版
Ⅰ ITガバナンス Ⅰ ITガバナンス
Ⅰ,1 ITガバナンスの実践
Ⅰ,2 ITガバナンスス実践に必要な要件
Ⅱ ITマネジメント
①組織全体に係るプロセス
Ⅱ.1 推進・管理体制
②プロジェクト管理に係るプロセス
Ⅱ.2 プロジェクト管理
③システムライフサイクルプロセス遂⾏に係るプロセス
Ⅱ 企画フェーズ → Ⅱ.3 企画プロセス
Ⅲ 開発フェーズ → Ⅱ.4 開発プロセス
Ⅳ アジャイル開発
Ⅴ 運用・利用フェーズ → Ⅱ.5 運⽤プロセス
Ⅵ 保守フェーズ → Ⅱ.6 保守プロセス
Ⅱ.7 廃棄プロセス
④IT部⾨以外の部⾨のマネジメントとの関連が深いプロセス
Ⅶ 外部サービス管理 → Ⅱ.8 外部サービス管理
Ⅷ 事業継続管理 → Ⅱ.9 事業継続管理
Ⅸ 人的資源管理 → Ⅱ.10 人的資源管理
Ⅹ ドキュメント管理
以下、各プロセスにおいて、
(●)は旧基準にも存在するプロセス
(★)はJIS X 0170に存在しないプロセス
であることを示す。
経済産業省「システム管理基準(令和5年)」前文より
上図は、各機能が分離している環境を想定しているが、小規模組織では、コーポレートガバナンスとマネジメント(業務執行)の機能、CEOとCIOの機能が分離していないこともある。
ステークホルダーのニーズに基づき、組織体の価値及び組織体への信頼度を向上させるために、組織体における IT システムの利活用のあるべき姿を示すIT 戦略を策定し、組織体の IT に関するパフォーマンスを含めた IT ガバナンスの状況を確認して必要な是正措置を指示することによって、組織体の目標を達成する。
組織体の目的(パーパス)を実現するためのビジネスモデルと、それを実現するための経営戦略を支援するための IT 戦略ビジョンを策定する。
なお、ビジネスモデルとは、組織体が、顧客や社会に価値を提供し、持続的に価値を向上させていくビジネスの仕組みのことをいう。
組織体における IT システムの利活用のあるべき姿を示す IT 戦略を策定し、それに基づいて IT マネジメントの責任者に指示する。
組織体の IT パフォーマンスが、取締役会等の意図や期待、倫理的行動、コンプライアンス上の義務を満足していることを確認するために、IT パフォーマン スの状況を適時確認して、必要な是正措置を指示する。
組織体全体及びステークホルダーに対する実行責任及び説明責任は取締役会等が有しており、これらの責任を果たすために、取締役会等は主体的に責任をもって行動する。
ITガバナンスの実践により、優れた成果を挙げるためには、ITガバナンス活動を支えるための、ステークホルダーへの対応、取締役会等のリーダーシップ、データ利活用と意思決定、リスクの評価と対応、社会的責任と持続性等の要件を整える必要がある。
ステークホルダーのニーズを考慮したITガバナンスを実践するために、ステークホルダーと良好な関係を構築する。
組織体の変革や倫理規範の遵守のために、取締役会等が率先して倫理的な行動を実践するとともに、効果的な指導を通じてリーダーシップを発揮する。
データが、意思決定のための価値のある経営資源であることを組織体に認識させるために、データ利活用に関する方針等を策定し、周知する。
組織体の目的及びIT戦略の目標を達成するために、達成に及ぼす影響についてリスクを評価し、対応を行う。
組織体が存続し、長期に成果を挙げ続けるために、ITシステムの利活用に関する組織体の意思決定の透明性を確保し、より広範な社会的期待に応え、現在及び将来のステークホルダーのニーズを満足させるように組織体のデジタル活用能力を維持・向上させる。
経営戦略及びIT戦略で定められた目標を達成するために、組織体全体を対象とした推進・管理体制を整備・運用する。
経営戦略及びIT戦略で定められた目標を達成するために、ITシステムの利活用に関するコントロールを実行し、その結果としてのパフォーマンス、コスト、リスク管理、コンプライアンス管理、社会的責任と持続性等の状況を経営者に報告するための体制を整備・運用する。
IT戦略に従って、目標に適合した手順と方法で情報システムを構築、運用するためのシステムライフサイクルモデルを作成、適用するとともに、そのモデ ルを評価し改善する。
組織体の情報システム全体の整合性を保って、情報システムを構築・運用するために必要なITアーキテクチャを定め、IT基盤を利用可能にする。
経営資源を有効に活用するために、プロジェクトに優先順位を付けて資源配分を行う。
利用者が満足する製品やサービスを提供するために、最適な品質管理体制を整備・運用する。
個別に得た知識、技能を基に、組織体として知識資産を蓄積し有効利用するために、知識資産を再利用可能な状態で管理する。
経営戦略及びIT戦略で定められた目標を達成するために必要なプロジェクト管理の仕組みを整備し、個別プロジェクトに適用することによりプロジェクトを実行する。
プロジェクト目標を確実に達成するために、効果的・効率的で実行可能なプロジェクト計画を策定し、権限者の承認を得るとともに、プロジェクトの関係者と情報共有する。
プロジェクト計画に基づいて、プロジェクトの品質、納期、予算を守りながら、プロジェクトを実行する。また、プロジェクト進捗状況をモニタリングし、プロジェクトを確実に遂行する。
組織体にとって最も有益なプロジェクトを選択するために、プロジェクトの開始、中止、変更、続行の意思決定を管理する。
プロジェクトの円滑な遂行のために、プロジェクトリスクを継続的に評価して必要な対応を行う。
プロジェクトの要求内容を満足する製品・サービスを取得するための調達手続を明確にし、それに基づいて調達を実施する。
なお、外部委託を行う場合は「Ⅱ.2.6 外部委託管理」を、クラウドサービスを含む外部サービスを利用する場合は「Ⅱ .8 外部サービス管理」の項を参照のこと。
プロジェクトの要求内容を満たす外部委託業務の提供を受けるために、外部委託管理手続を明確にし、それに基づいて外部委託を実施する。
プロジェクトの手戻りや中断を最小限に抑えるために、情報システムの構成要素(ハードウェア、ソフトウェア、ネットワーク、外部サービス、施設・区域、公開ドメイン等)の変更について、構成要素間の整合性を確保するとともに、変更履歴を管理する
プロジェクトの関係者が必要とするタイミングで必要な情報を利用できるように、管理対象の情報を維持管理する。
プロジェクト全般でドキュメントを円滑に利用可能にするために、管理対象とするドキュメントを明確にして、整備・維持管理する。
ITガバナンス及び情報システムの開発・運用・保守の将来に役立てるため、生産性、ユーザ満足度、リスク管理等に関する客観的なデータ及び情報を収集・ 分析し、関係者に報告する。
情報システムに求められる品質を確保するために、定められた品質管理手順に従って品質を管理し、プロジェクトにおける情報システムの品質を保証する。
経営戦略及びIT戦略で定められた目標を達成するために必要な情報システムの開発体制を整備し、ビジネスモデル及び業務要件を明確にして、設計作業を行う。。
利用部門等及びIT部門が連携して、利用者の立場からビジネス分析を実施して、あるべきビジネスモデルを設定する。ビジネス分析の結果明らかになった問題を解決し、分析結果を有益に生かすことができるような、システムソリューション(業務要件を満たすためのシステム導入による解決策)を選定する。
あるべきビジネスモデル及び業務プロセスを踏まえて選定したシステムソリューションを実現し、利用者及び関係者の要求を満足するシステムを提供できるように、業務要件を明確にする。
業務要件を満たすために必要となる技術的な検討事項を明確にする。
システム要件を満たすために必要なシステムアーキテクチャを決定し、具体化する。
基本設計に基づいた実装を可能にするために、情報システムの構成要素を具体化する。
システムライフサイクル全体を判断するための根拠情報とするために、概念実証(PoC)、技術実証(PoT)の他、各種の分析を実施する。
利用者及び関係者の要望に沿った情報システムを実現するために、情報システムの構成要素の開発作業を行い、稼動後評価及び報告を行う。
設計に沿った情報システムを実現するために、全ての情報システムの構成要素を導入し、必要な設定を実施する。
システム要件及びシステムアーキテクチャを満たす情報システムを実現するために、情報システムの全ての構成要素を段階的に組み立て、利用可能にする。
情報システム及び情報システムの全ての構成要素が、システム要件を適切に反映していることを確認するために、中間成果物も含めてレビューする。
業務要件を情報システムに適切に反映していることを確認するために、利用者の立場からテストする。
利用者が情報システムを利用できるようにするために、情報システムを本番環境で稼動させる。
情報システムがIT戦略における目標を達成していることを確認するために客観的な情報を提供する。
組織体の方針及び要求事項に沿ったサービスを提供するために、情報システムの運用体制を整備して運用を実施し、その監視、検証及び報告を行う。
運用に必要なリソースを提供できるようにするために、情報システムの運用管理の方針及び体制を整備する。
運用管理の方針及び運用設計に基づいて運用するための運用計画を策定する。
情報システムを安定稼動させるために、運用計画に従って、品質を確保した運用を実施する。
情報システムを正常かつ効率的に稼動させ、構成要素間の整合性と全ての変更を適切に管理するために、プロジェクトで定めた構成管理・変更管理手続を実施する。
利用部門と合意した目標内でインシデントを解決し、根本原因を特定して恒久的な対策を講じるために、インシデント管理及び問題管理の手順を定めて体系的に管理する。
サービスの品質を維持向上するために、適切な管理指標を設定してサービスの提供を管理する。
情報システムで発生した問題を把握し、対応が適時・適切に行われていることを確認するために、運用状況を監視して記録し、分析する。
組織体の方針及び要求事項に従って運用が実施されていることを検証するために、運用の実績を評価し、報告する。
利用者の業務活動を支援する情報システムの能力・機能を維持するために、保守体制を整備し、保守依頼に応じた保守計画を策定して、それに基づいて保守作業を実施し、その検証、本番環境への適用、記録及び報告を行う。
情報システムの性能・機能を維持するために、保守に関する方針、手順を定め、保守体制を整備する。
保守依頼を満足する保守作業を実施するために、保守依頼の内容と整合した保守計画を策定する。
保守依頼を満足する保守を確実に実施するために、保守計画に従って保守作業を実施し、実施状況を管理する。
保守作業の実施結果が保守依頼の要件を満足しているかを確認するために 保守計画に従って実施結果を検証する。
情報システムの性能・機能を維持するために、保守作業の実施によって、本番環境の情報システムの構成要素に対する変更を実施する。
情報システムの性能・機能を維持するために、保守作業の実施結果を記録し報告する。
組織体の方針及び廃棄に関する要求事項に従って情報システムの利用を適切に終了するために、不要になった情報システムの構成要素を適切に廃棄する。
組織体の方針及び廃棄に関する要求事項に従って、不要となった情報システムの利用を適切に終了するために、廃棄計画を策定する。
不要となった情報システムの利用を適切に終了するために、廃棄計画に従って情報システムの構成要素を適切に廃棄する。
廃棄計画に従って、不要となった情報システムの構成要素が適切に廃棄されていることを検証する。
IT戦略に基づいて外部サービス(クラウドサービスを含む)を利用するために、外部サービスの利用計画を策定し、外部サービス提供者を選定、契約、管 理及び評価する。
IT戦略に基づいて外部サービスを利用するために、外部サービスの利用対象及び内容を明確にした外部サービス利用計画を策定する。
外部サービス選定基準を策定して、外部サービス利用計画に従った外部サービス提供者を選定し、契約を締結する。
外部サービスの提供が契約どおりに履行されていることを管理するために 外部サービスの提供状況を適切に管理し、不整合や不具合が発生した場合は、外部サービス提供者に対して適時・適切な対応を要求する。
IT戦略に基づいて外部サービスが利用されていることを評価するために、定期的及び契約終了時に外部サービスを評価し、報告する。
提供される外部サービスの品質を確保するために、サービスレベル合意(SLA)を締結し、外部サービスの品質を評価し、問題が発生した場合には適切な対処を行うように外部サービス提供者に要請する。
組織体のITシステムの利活用に関する事業継続の方針に基づいて、情報システムの業務継続を実現するために、情報システムの業務継続計画を策定し、訓練、検証、報告及び改善を行う。
情報システムに影響を与える重大事故、サイバー攻撃、災害、テロ等に対する対応策を具体化するため、影響範囲、業務の重要性及び緊急性を明確にし、復旧優先度を設定する。その際には、必要に応じて、地政学的要因やサプライチェーンに関連する要因についても考慮する。
重大事故、災害等の発生時に、適切な措置を迅速、円滑かつ確実に実行するために、情報システムの業務継続計画を策定する。
業務継続計画で定めた復旧目標を実現するために、情報システムのバックアップ及び代替処理を含む復旧手続及び体制の実現可能性を確保する。
事業継続計画に基づいた情報システムの業務継続計画を最新の状態にして実効性を高めるために、定期的に訓練を実施し、実現可能性を検証する。
情報システムの業務継続計画を適切かつ有効なものとするために、定期的(業務継続計画の発動時を含む)に業務継続計画の評価、見直し及び改善を行う。
組織体の人的資源に関する方針に基づいて、ITに関する人的資源を管理し、ITに関する組織の能力を維持向上させる。
ITシステムの利活用を適切に行うために、人的資源管理計画を策定、運用する。
ITに関する業務を適正かつ効率的に行うために、要員の責任及び権限を定める。
ITに関する業務が、各種計画に基づいて遂行され、作業品質を確保するために、要員の作業分担及び作業量を管理する。
必要なITに関する人材を確保するために、ITに関する人的資源管理計画及び教育カリキュラムに基づいて、要員の教育・訓練を管理する。
ITに関する業務の特性を踏まえて、一般的な要員の身体面及び精神面での健康を維持できる作業環境を整備する。
ITに関する業務を適切に実施するために、これらの業務に対する要員のワーク・エンゲージメント(業務に対する前向きで活動的な心理状態)を向上させ るための取組を行う。
https://drive.google.com/file/d/123NUdPcFkBLMoAECe-xc9oM6MY5Ma_TN/view
「基準」は、システム監査の効率的・効果的遂行を可能にするための判断尺度として策定されたものである。「ガイドライン」は、「基準」を利用するにあたって、より具体的な ITガバナンス及びITマネジメントに関する着眼点等を例示することにより、システム監査を実践する際の参考とすることを目的としている。
「ガイドライン」の項目・内容については、網羅的に項目を適用するような利用法は有効ではなく、取捨選択・修正を行った上で適用することが望ましい。
日本システム監査人協会「システム管理基準ガイドライン」(令和5年)より
「ガイドライン」は、「基準」の各<活動の例>について、「リスク」「着眼点」「モデル組織体での実行者と関係者」を示している。
「リスク」には、「活動の例」に示したような活動が行われない場合に、達成目標を阻害するどのような影響が生じるかを記載している。システム監査において、不備の指摘を行う際には、その不備のためにどのようなリスクが生じているかを述べることが必要であり、その際の参考になる。また、「着眼点」では、「活動の例」に示した活動の内容をより具体的に例示している。
情報セキュリティに関連する主要な項目については、「着眼点」の中で、情報セキュリ ティ管理基準を参照するように記載している。参照推奨項目については、「情報セキュリティ管理基準参照表」で幅広く記載されている。