情報処理技術者試験ナビ

当サイトは準備中です。

システム管理基準

 システム管理基準は、情報戦略を立案し、効果的な情報システム投資とリスクを低減するためのコントロールを適切に整備・運用するための事項をとりまとめたものです。
 詳細については、経済産業省のサイトを参照ください。

 

前文

 今日、組織体の情報システムは、経営戦略を実現するための組織体の重要なインフラストラクチャとなっている。さらに、それぞれの情報システムがネットワーク化されることにより、社会の重要なインフラストラクチャとなってきている。一方、情報システムはますます多様化、複雑化し、それに伴い様々なリスクが顕在化してきている。また、情報システムに係わる利害関係者も組織体内にとどまらず、社会へと広がっている。従って、このような情報システムにまつわるリスクを適切にコントロールすることが組織体における重要な経営課題となっている。システム監査は、組織体の情報システムにまつわるリスクに対するコントロールが適切に整備・運用されていることを担保するための有効な手段となる。また、システム監査の実施は、組織体のITガバナンスの実現に寄与することができ、利害関係者に対する説明責任を果たすことにつながる。

 組織体が情報システムにまつわるリスクに対するコントロールを適切に整備・運用する目的は、以下の通りである。

  • 情報システムが、組織体の経営方針及び戦略目標の実現に貢献するため
  • 情報システムが、組織体の目的を実現するように安全、有効かつ効率的に機能するため
  • 情報システムが、内部又は外部に報告する情報の信頼性を保つように機能するため
  • 情報システムが、関連法令、契約又は内部規程等に準拠するようにするため

 システム管理基準は、組織体が主体的に経営戦略に沿って効果的な情報システム戦略を立案し、その戦略に基づき情報システムの企画・開発・運用・保守というライフサイクルの中で、効果的な情報システム投資のための、またリスクを低減するためのコントロールを適切に整備・運用するための実践規範である。

 システム管理基準は、本管理基準と姉妹編をなすシステム監査基準に従って監査を行う場合、原則として、監査人が監査上の判断の尺度として用いるべき基準となる。ただし、組織体が属する業界又は事業活動の特性等を考慮して、必要ある場合には、本管理基準の主旨及び体系に則って、該当する関係機関などにおいて、独自の管理基準を策定し活用することが望ましい。また、時々の関連技術動向、関連法令、及び社会規範などを考慮し、それらを反映した詳細なサブコントロール項目を策定することが望ましい。
 なお、情報セキュリティの確保の観点から監査を実施する場合には、情報セキュリティ監査制度に基づく情報セキュリティ監査を行うことが要請される。一方で、システム管理基準においても情報セキュリティの確保に関連する項目が挙げられているが、それぞれの項目について、情報セキュリティ管理基準を活用して監査を実施することが望ましい。

Ⅰ.情報戦略

1.全体最適化

1.1全体最適化の方針・目標
  1. ITガバナンスの方針を明確にすること。
  2. 情報化投資及び情報化構想の決定における原則を定めること。
  3. 情報システム全体の最適化目標を経営戦略に基づいて設定すること。
  4. 組織体全体の情報システムのあるべき姿を明確にすること。
  5. システム化によって生ずる組織及び業務の変更の方針を明確にすること。
  6. 情報セキュリティ基本方針を明確にすること。
1.2全体最適化計画の承認
  1. 全体最適化計画の立案体制は、組織体の長の承認を得ること。
  2. 全体最適化計画は、組織体の長の承認を得ること。
  3. 全体最適化計画は、利害関係者の合意を得ること。
1.3全体最適化計画の策定
  1. 全体最適化計画は、方針及び目標に基づいていること。
  2. 全体最適化計画は、コンプライアンスを考慮すること。
  3. 全体最適化計画は、情報化投資の方針及び確保すべき経営資源を明確にすること。
  4. 全体最適化計画は、投資効果及びリスク算定の方法を明確にすること。
  5. 全体最適化計画は、システム構築及び運用のための標準化及び品質方針を含めたルールを明確にすること。
  6. 全体最適化計画は、個別の開発計画の優先順位及び順位付けのルールを明確にすること。
  7. 全体最適化計画は、外部資源の活用を考慮すること。
1.4全体最適化計画の運用
  1. 全体最適化計画は、関係者に周知徹底すること。
  2. 全体最適化計画は、定期的及び経営環境等の変化に対応して見直すこと。

2.組織体制

2.1情報システム化委員会
  1. 全体最適化計画に基づき、委員会の使命を明確にし、適切な権限及び責任を与えること。
  2. 委員会は、組織体における情報システムに関する活動全般について、モニタリングを実施し、必要に応じて是正措置を講じること。
  3. 委員会は、情報技術の動向に対応するため、技術採用指針を明確にすること。
  4. 委員会は、活動内容を組織体の長に報告すること。
  5. 委員会は、意思決定を支援するための情報を組織体の長に提供すること。
2.2情報システム部門
  1. 情報システム部門の使命を明確にし、適切な権限及び責任を与えること。
  2. 情報システム部門は、組織体規模及び特性に応じて、職務の分離、専門化、権限付与、外部委託等を考慮した体制にすること。
2.3人的資源管理の方針
  1. 情報技術に関する人的資源の現状及び必要とされる人材を明確にすること。
  2. 人的資源の調達及び育成の方針を明確にすること。

3.情報化投資

  1. 情報化投資計画は、経営戦略との整合性を考慮して策定すること。
  2. 情報化投資計画の決定に際して、影響、効果、期間、実現性等の観点から複数の選択肢を検討すること。
  3. 情報化投資に関する予算を適切に執行すること。
  4. 情報化投資に関する投資効果の算出方法を明確にすること。
  5. 情報システムの全体的な業績及び個別のプロジェクトの業績を財務的な観点から評価し、問題点に対して対策を講じること。
  6. 投資した費用が適正に使用されたことを確認すること。

4.情報資産管理の方針

  1. 情報資産の管理方針及び体制を明確にすること。
  2. 情報資産のリスク分析を行い、その対応策を考慮すること。
  3. 情報資産の効率的で有効な活用を考慮すること。
  4. 情報資産の共有化による生産性向上を考慮すること。

5.事業継続計画

  1. 情報システムに関連した事業継続の方針を策定すること。
  2. 事業継続計画は、利害関係者を含んだ組織的体制で立案し、組織体の長が承認すること。
  3. 事業継続計画は、従業員の教育訓練の方針を明確にすること。
  4. 事業継続計画は、関係各部に周知徹底すること。
  5. 事業継続計画は、必要に応じて見直すこと。

6.コンプライアンス

  1. 法令及び規範の管理体制を確立するとともに、管理責任者を定めること。
  2. 遵守すべき法令及び規範を識別し、関係者に教育及び周知徹底すること。
  3. 情報倫理規程を定め、関係者に教育及び周知徹底すること。
  4. 個人情報の取扱い、知的財産権の保護、外部へのデータ提供等に関する方針を定めること。
  5. 法令、規範及び情報倫理規程の遵守状況を評価し、改善のために必要な方策を講じること。

Ⅱ.企画業務

1.開発計画

  1. 開発計画は、組織体の長が承認すること。
  2. 開発計画は、全体最適化計画との整合性を考慮して策定すること。
  3. 開発計画は、目的、対象業務、費用、スケジュール、開発体制、投資効果等を明確にすること。
  4. 開発計画は、関係者の教育及び訓練計画を明確にすること。
  5. 開発計画は、ユーザ部門及び情報システム部門の役割分担を明確にすること。
  6. 開発計画は、開発、運用及び保守の費用の算出基礎を明確にすること。
  7. 開発計画はシステムライフを設定する条件を明確にすること。
  8. 開発計画の策定に当たっては、システム特性及び開発の規模を考慮して形態及び開発方法を決定すること。
  9. 開発計画の策定に当たっては、情報システムの目的を達成する実現可能な代替案を作成し、検討すること。

2.分析

  1. 開発計画に基づいた要求定義は、ユーザ、開発、運用及び保守の責任者が承認すること。
  2. ユーザニーズの調査は、対象、範囲及び方法を明確にすること。
  3. 実務に精通しているユーザ、開発、運用及び保守の担当者が参画して現状分析を行うこと。
  4. ユーザニーズは文書化し、ユーザ部門が確認すること。
  5. 情報システムの導入に伴って発生する可能性のあるリスク分析を実施すること。
  6. 情報システムの導入によって影響を受ける業務、管理体制、諸規程等は、見直し等の検討を行うこと。
  7. 情報システムの導入効果の定量的及び定性的評価を行うこと。
  8. パッケージソフトウェアの使用に当たっては、ユーザニーズとの適合性を検討すること。

3.調達

  1. 調達の要求事項は、開発計画及びユーザニーズに基づき作成し、ユーザ、開発、運用及び保守の責任者が承認すること。
  2. ソフトウェア、ハードウェア及びネットワークは、調達の要求事項を基に選択すること。
  3. 開発を遂行するために必要な要員、予算、設備、期間等を確保すること。
  4. 要員に必要なスキルを明確にすること。
  5. ソフトウェア、ハードウェア及びネットワークの調達は、ルールに従って実施すること。
  6. 調達した資源は、ルールに従って管理すること。

Ⅲ.開発業務

1.開発手順

  1. 開発手順は、開発の責任者が承認すること。
  2. 開発手順は、開発方法に基づいて作成すること。
  3. 開発手順は、開発の規模、システム特性等を考慮して決定すること。
  4. 開発時のリスクを評価し、必要な対応策を講じること。

2.システム設計

  1. システム設計書は、ユーザ、開発、運用及び保守の責任者が承認すること。
  2. 運用及び保守の基本方針を定めて設計すること。
  3. 入出力画面、入出力帳票等はユーザの利便性を考慮して設計すること。
  4. データベースは、業務の内容及びシステム特性に応じて設計すること。
  5. データのインテグリティを確保すること。
  6. ネットワークは、業務の内容及びシステム特性に応じて設計すること。
  7. 情報システムの性能は、要求定義を満たすこと。
  8. 情報システムの運用性及び保守性を考慮して設計すること。
  9. 他の情報システムとの整合性を考慮して設計すること。
  10. 情報システムの障害対策を考慮して設計すること。
  11. 誤謬防止、不正防止、機密保護等を考慮して設計すること。
  12. テスト計画は、目的、範囲、方法、スケジュール等を明確にすること。
  13. 情報システムの利用に係る教育の方針、スケジュール等を明確にすること。
  14. モニタリング機能を考慮して設計すること。
  15. システム設計書をレビューすること。

3.プログラム設計

  1. プログラム設計書は、開発の責任者が承認すること。
  2. システム設計書に基づいて、プログラムを設計すること。
  3. テスト要求事項を定義し、文書化すること。
  4. プログラム設計書及びテスト要求事項をレビューすること。
  5. プログラム設計時に発見したシステム設計の矛盾は、システム設計の再検討を行って解決すること。

4.プログラミング

  1. プログラム設計書に基づいてプログラミングすること。
  2. プログラムコードはコーディング標準に適合していること。
  3. プログラムコード及びプログラムテスト結果を評価し、記録及び保管すること。
  4. 重要プログラムは、プログラム作成者以外の者がテストすること。

5.システムテスト・ユーザ受入れテスト

  1. システムテスト計画は、開発及びテストの責任者が承認すること。
  2. ユーザ受入れテスト計画は、ユーザ及び開発の責任者が承認すること。
  3. システムテストに当たっては、システム要求事項を網羅してテストケースを設定して行うこと。
  4. テストデータの作成及びシステムテストは、テスト計画に基づいて行うこと。
  5. システムテストは、本番環境と隔離された環境で行うこと。
  6. システムテストは、開発当事者以外の者が参画すること。
  7. システムテストは、適切なテスト手法及び標準を使用すること。
  8. ユーザ受入れテストは、本番同様の環境を設定すること。
  9. ユーザ受入れテストは、ユーザマニュアルに従い、本番運用を想定したテストケースを設定して実施すること。
  10. ユーザ受入れテストは、ユーザ及び運用の担当者もテストに参画して確認すること。
  11. システムテスト及びユーザ受入れテストの結果は、ユーザ、開発、運用及び保守の責任者が承認すること。
  12. システムテスト及びユーザ受入れテストの経過及び結果を記録及び保管すること。
  13. パッケージソフトウェアを調達する場合、開発元が品質テストを実施したことを確認すること。

6.移行

  1. 移行計画を策定し、ユーザ、開発、運用及び保守の責任者が承認すること。
  2. 移行作業は文書に記録し、責任者が承認すること。
  3. 移行完了の検証方法を移行計画で明確にすること。
  4. 移行計画に基づいて、移行に必要な要員、予算、設備等を確保すること。
  5. 移行は手順書を作成し、実施すること。
  6. 移行時のリスク対策を検討すること。
  7. 運用及び保守に必要なドキュメント、各種ツール等は開発の責任者から引き継いでいること。
  8. 移行は関係者に周知徹底すること。

Ⅳ.運用業務

1.運用管理ルール

  1. 運用管理ルール及び運用手順は、運用の責任者が承認すること。
  2. 運用管理ルールは、運用設計に基づいて作成すること。
  3. 運用手順は、運用設計及び運用管理ルールに基づいて、規模、期間、システム特性等を考慮して作成すること。
  4. 運用設計及び運用管理ルールに基づいて、担当責任者を定めること。

2.運用管理

  1. 年間運用計画を策定し、責任者が承認すること。
  2. 年間運用計画に基づいて、月次、日次等の運用計画を策定すること。
  3. 運用管理ルールを遵守すること。
  4. ジョブスケジュールは、業務処理の優先度を考慮して設定すること。
  5. オペレーションは、ジョブスケジュール及び指示書に基づいて行うこと。
  6. 例外処理のオペレーションは、運用管理ルールに基づいて行うこと。
  7. オペレータの交替は、運用管理ルールに基づいて行うこと。
  8. ジョブスケジュール及びオペレーション実施記録を採り、ジョブスケジュールとの差異分析を行うこと。
  9. オペレーション実施記録は、運用管理ルールに基づいて一定期間保管すること。
  10. 事故及び障害の影響度に応じた報告体制及び対応手順を明確にすること。
  11. 事故及び障害の内容を記録し、情報システムの運用の責任者に報告すること。
  12. 事故及び障害の原因を究明し、再発防止の措置を講じること。
  13. 情報システムのユーザに対する支援体制を確立すること。
  14. 情報セキュリティに関する教育及び訓練をユーザに対して実施すること。
  15. 情報システムの稼動に関するモニタリング体制を確立すること。
  16. 情報システムの稼動実績を把握し、性能管理及び資源の有効利用を図ること。

3.入力管理

  1. 入力管理ルールを定め、遵守すること。
  2. データの入力は、入力管理ルールに基づいて漏れなく、重複なく、正確に行うこと。
  3. 入力データの作成手順、取扱い等は誤謬防止、不正防止、機密保護等の対策を講じること。
  4. データの入力の誤謬防止、不正防止、機密保護等の対策は有効に機能すること。
  5. 入力データの保管及び廃棄は、入力管理ルールに基づいて行うこと。

4.データ管理

  1. データ管理ルールを定め、遵守すること。
  2. データへのアクセスコントロール及びモニタリングは、有効に機能すること。
  3. データのインテグリティを維持すること。
  4. データの利用状況を記録し、定期的に分析すること。
  5. データのバックアップの範囲、方法及びタイミングは、業務内容、処理形態及びリカバリの方法を考慮して決定すること。
  6. データの授受は、データ管理ルールに基づいて行うこと。
  7. データの交換は、不正防止及び機密保護の対策を講じること。
  8. データの保管、複写及び廃棄は、誤謬防止、不正防止及び機密保護の対策を講じること。
  9. データに対するコンピュータウイルス対策を講じること。
  10. データの知的財産権を管理すること。

5.出力管理

  1. 出力管理ルールを定め、遵守すること。
  2. 出力情報は、漏れなく、重複なく、正確であることを確認すること。
  3. 出力情報の作成手順、取扱い等は、誤謬防止、不正防止及び機密保護の対策を講じること。
  4. 出力情報の引渡しは、出力管理ルールに基づいて行うこと。
  5. 出力情報の保管及び廃棄は、出力管理ルールに基づいて行うこと。
  6. 出力情報のエラー状況を記録し、定期的に分析すること。
  7. 出力情報の利用状況を記録し、定期的に分析すること。

6.ソフトウェア管理

  1. ソフトウェア管理ルールを定め、遵守すること。
  2. ソフトウェアへのアクセスコントロール及びモニタリングは、有効に機能すること。
  3. ソフトウェアの利用状況を記録し、定期的に分析すること。
  4. ソフトウェアのバックアップの範囲、方法及びタイミングは、業務内容及び処理形態を考慮して決定すること。
  5. ソフトウェアの授受は、ソフトウェア管理ルールに基づいて行うこと。
  6. ソフトウェアの保管、複写及び廃棄は、不正防止及び機密保護の対策を講じること。
  7. ソフトウェアに対するコンピュータウイルス対策を講じること。
  8. ソフトウェアの知的財産権を管理すること。
  9. フリーソフトウェアの利用に関し、組織体としての方針を明確にすること。

7.ハードウェア管理

  1. ハードウェア管理ルールを定め、遵守すること。
  2. ハードウェアは、想定されるリスクに対応できる環境に設置すること。
  3. ハードウェアは、定期的に保守を行うこと。
  4. ハードウェアは、障害対策を講じること。
  5. ハードウェアの利用状況を記録し、定期的に分析すること。
  6. ハードウェアの保管、移設及び廃棄は、不正防止及び機密保護の対策を講じること。

8.ネットワーク管理

  1. ネットワーク管理ルールを定め、遵守すること。
  2. ネットワークへのアクセスコントロール及びモニタリングは、有効に機能すること。
  3. ネットワーク監視ログを定期的に分析すること。
  4. ネットワークは、障害対策を講じること。
  5. ネットワークの利用状況を記録し、定期的に分析すること。
  6. ネットワークを利用したサービスについて、組織体としての方針を明確にすること。

9.構成管理

  1. 管理すべきソフトウェア、ハードウェア及びネットワークの対象範囲を明確にし、管理すること。
  2. ソフトウェア、ハードウェア及びネットワークの構成、調達先、サポート条件等を明確にすること。
  3. ソフトウェア、ハードウェア及びネットワークの導入並びに変更は、影響を受ける範囲を検討して決定すること。
  4. ソフトウェア、ハードウェア及びネットワークの導入並びに変更は、計画的に実施すること。

10.建物・関連設備管理

  1. 建物及び関連設備は、想定されるリスクに対応できる環境に設置すること。
  2. 建物及び室への入退の管理は、不正防止及び機密保護の対策を講じること。
  3. 関連設備は、適切な運用を行うこと。
  4. 関連設備は、定期的に保守を行うこと。
  5. 関連設備は、障害対策を講じること。
  6. 建物及び室への入退の管理を記録し、定期的に分析すること。

Ⅴ.保守業務

1.保守手順

  1. 保守ルール及び保守手順は、保守の責任者が承認すること。
  2. 保守手順は、保守の規模、期間、システム特性等を考慮して決定すること。
  3. 保守時のリスクを評価し、必要な対応策を講じること。

2.保守計画

  1. 保守計画はユーザ及び保守の責任者が承認すること。
  2. 変更依頼等に対し、保守の内容及び影響範囲の調査並びに分析を行うこと。
  3. 保守のテスト計画は、目的、範囲、方法、スケジュール等を明確にすること。

3.保守の実施

  1. システム設計書、プログラム設計書等は、保守計画に基づいて変更し、ユーザ及び保守の責任者が承認すること。
  2. プログラムの変更は、保守手順に基づき、保守の責任者の承認を得て実施すること。
  3. 変更したプログラム設計書に基づいてプログラミングしていることを検証すること。

4.保守の確認

  1. 変更したプログラムのテストの実施は、保守のテスト計画に基づいて行うこと。
  2. 変更したプログラムは、影響範囲を考慮してテストを行うこと。
  3. 変更したプログラムのテストは、ユーザが参画し、ユーザマニュアルに基づいて実施すること。
  4. 変更したプログラムのテストの結果は、ユーザ、運用及び保守の責任者が承認すること。
  5. 変更したプログラムのテストの結果を記録及び保管すること。

5.移行

  1. 移行手順は、移行の条件を考慮して作成すること。
  2. 変更前のプログラム及びデータのバックアップを行うこと。
  3. 運用及び保守の責任者は、他の情報システムへ影響を与えないことを確認すること。

6.情報システムの廃棄

  1. 旧情報システムは、リスクを考慮して廃棄計画を策定し、ユーザ、運用及び保守の責任者の承認を得て廃棄すること。
  2. 旧情報システムの廃棄方法及び廃棄時期は、不正防止及び機密保護の対策を考慮して決定すること。

Ⅵ.共通業務

1.ドキュメント管理

1.1作成
  1. ドキュメントは、ユーザ゙部門及び情報システム部門の責任者が承認すること。
  2. ドキュメント作成ルールを定め、遵守すること。
  3. ドキュメントの作成計画を策定すること。
  4. ドキュメントの種類、目的、作成方法等を明確にすること。
  5. ドキュメントは、作成計画に基づいて作成すること。
1.2管理
  1. ドキュメントの更新内容は、ユーザ部門及び情報システム部門の責任者が承認すること。
  2. ドキュメント管理ルールを定め、遵守すること。
  3. 情報システムの変更に伴い、ドキュメントの内容を更新し、更新履歴を記録すること。
  4. ドキュメントの保管、複写及び廃棄は、不正防止及び機密保護の対策を講じること。

2.進捗管理

2.1実施
  1. 進捗計画に基づいて方法、体制等を定め、ユーザ、企画、開発、運用及び保守の責任者が承認すること。
  2. ユーザ、企画、開発、運用及び保守の責任者は、進捗状況を把握すること。
  3. 進捗の遅延等の対策を講じること。
2.2評価
  1. 業務の工程終了時に、計画に対する実績を分析及び評価し、責任者が承認すること。
  2. 評価結果は、次工程の計画に反映すること。
  3. 評価結果は、進捗管理の方法、体制等の改善に反映すること。

3.品質管理

3.1計画
  1. 品質目標に基づいて品質管理の計画を定め、ユーザ、企画、開発、運用及び保守の責任者が承認すること。
  2. 品質管理計画は、方法、体制等を明確にすること。
3.2実施
  1. 業務の工程終了時に、計画に対する実績を分析及び評価し、責任者が承認すること。
  2. 評価結果は、品質管理の基準、方法、体制等の改善に反映すること。

4.人的資源管理

4.1責任・権限
  1. 要員の責任及び権限は、業務の特性及び業務遂行上の必要性に応じて定めること。
  2. 要員の責任及び権限は、業務環境及び情報環境の変化に対応した見直しを行うこと。
  3. 要員の責任及び権限を周知徹底すること。
4.2業務遂行
  1. 要員は、権限を遵守すること。
  2. 作業分担及び作業量は、要員の知識、能力等から検討すること。
  3. 要員の交替は、誤謬防止、不正防止及び機密保護を考慮して行うこと。
  4. 不測の事態に備えた代替要員の確保を検討すること。
4.3教育・訓練
  1. 教育及び訓練に関する計画及びカリキュラムは、人的資源管理の方針に基づいて作成及び見直しを行うこと。
  2. 教育及び訓練に関する計画及びカリキュラムは、技術力の向上、業務知識の習得、情報システムの情報セキュリティ確保等から検討すること。
  3. 教育及び訓練は、計画及びカリキュラムに基づいて定期的かつ効果的に行うこと。
  4. 要員に対するキャリアパスを確立し、業務環境及び情報環境の変化に対応した見直しを行うこと。
4.4健康管理
  1. 健康管理を考慮した作業環境を整えること。
  2. 健康診断及びメンタルヘルスケアを行うこと。

5.委託・受託

5.1計画
  1. 委託又は受託の計画は全体最適化計画に基づいて策定し、責任者が承認すること。
  2. 委託又は受託の目的、対象範囲、予算、体制等を明確にすること。
  3. 委託又は受託は、具体的な効果、問題点等を評価して決定すること。
5.2委託先選定
  1. 委託先の選定基準を明確にすること。
  2. 委託候補先に必要な要求仕様を提示すること。
  3. 委託候補先が提示した提案書の比較検討を行うこと。
5.3契約
  1. 契約は、委託契約ルール又は受託契約ルールに基づいて締結すること。
  2. コンプライアンスに関する条項を明確にすること。
  3. 再委託の可否について明確にすること。
  4. 知的財産権の帰属を明確にすること。
  5. 特約条項及び免責条項を明確にすること。
  6. 業務内容及び責任分担を明確にすること。
  7. 契約締結後の業務内容に追加及び変更が生じた場合、契約内容の再検討を行うこと。
  8. システム監査に関する方針を明確にすること。
5.4委託業務
  1. 委託業務の実施内容は、契約内容と一致すること。
  2. 契約に基づき、必要な要求仕様、データ、資料等を提供すること。
  3. 委託業務の進捗状況を把握し、遅延対策を講じること。
  4. 委託先における誤謬防止、不正防止、機密保護等の対策の実施状況を把握し、必要な措置を講じること。
  5. 成果物の検収は、委託契約に基づいて行うこと。
  6. 業務終了後、委託業務で提供したデータ、資料等の回収及び廃棄の確認を行うこと。
  7. 委託した業務の結果を分析及び評価すること。
5.5受託業務
  1. 受託業務の実施内容は、契約内容を遵守すること。
  2. 受託内容の進捗状況を把握し、リスク対策を講じること。
  3. 成果物の品質管理を行うこと。
  4. 契約に基づき、受託業務終了後、提供されたデータ、資料、機材等を返却又は廃棄すること。

6.変更管理

6.1管理
  1. 変更管理ルールを定め、ユーザ、開発及び保守の責任者が承認すること。
  2. 仕様変更、問題点、ペンディング事項等の変更管理案件が生じた場合、他システムの影響を考慮して決定すること。
  3. 変更管理案件は、提案から完了までの状況を管理し、未完了案件は定期的に分析すること。
6.2実施
  1. 変更管理案件は、変更管理ルールに従って実施すること。
  2. 変更管理案件を実施した場合に、関連する情報システムの環境も同時に変更すること。
  3. 変更の結果は、ユーザ、開発、運用及び保守の責任者が承認すること。

7.災害対策

7.1リスク分析
  1. 地震等のリスク及び情報システムに与える影響範囲を明確にすること。
  2. 情報システムの停止等により組織体が被る損失を分析すること。
  3. 業務の回復許容時間及び回復優先順位を定めること。
7.2災害時対応計画
  1. リスク分析の結果に基づき、事業継続計画と整合をとった災害時対応計画を策定すること。
  2. 災害時対応計画は、組織体の長が承認すること。
  3. 災害時対応計画の実現可能性を確認すること。
  4. 災害時対応計画は、従業員の教育訓練の方針を明確にすること。
  5. 災害時対応計画は、関係各部に周知徹底すること。
  6. 災害時対応計画は、必要に応じて見直すこと。
7.3バックアップ
  1. 情報システム、データ及び関連設備のバックアップ方法並びに手順は、業務の回復目標に対応して定めること。
  2. 運用の責任者は、バックアップ方法及び手順を検証すること。
7.4代替処理・復旧
  1. ユーザ及び運用の責任者は、復旧までの代替処理手続き及び体制を定め、検証すること。
  2. ユーザ及び運用の責任者は、復旧手続き及び体制を定め、検証すること。

附則

  1. 情報セキュリティに関連する項目については、情報セキュリティ管理基準を活用することが望ましい。
  2. その他、関連する基準を活用することが望ましい。

 

関連情報

システム監査基準

情報セキュリティ管理基準