1. 運用管理

    (1) 運用管理ルールを定め、遵守しているか。
    (2) 操作手順を標準化し、事故及び障害の対策を明確にしているか。
    (3) ジョブスケジュールは、業務処理の優先度を考慮して設定しているか。
    (4) オペレーションは、ジョブスケジュール及び指示書に基づいて行っているか。
    (5) 例外処理のオペレーションは、運用管理ルールに基づいて行っているか。
    (6) オペレータの交替は、運用管理ルールに基づいて行っているか。
    (7) ジョブスケジュールとオペレーション実施記録の差異分析を行っているか。
    (8) 情報システムの稼動実績を把握し、性能管理及び資源の有効利用を図っているか。
    (9) オペレーション実施記録は、運用管理ルールに基づいて一定期間保管しているか。
    (10) 事故及び障害の内容を記録し、情報システムの運用の責任者に報告しているか。
    (11) 事故及び障害の原因を究明し、再発防止の措置を講じているか。
    (12) 識別コード及びパスワードの管理は、不正防止及び機密保護の対策を講じているか。

  2. 入力管理

    (1) 入力管理ルールを定め、遵守しているか。
    (2) 入力データの作成手順、取扱い等は、誤びゅう防止、不正防止及び機密保護の対策を講じているか。
    (3) データの入力は、入力管理ルールに基づいて行っているか。
    (4) データの入力の誤びゅう防止、不正防止及び機密保護の対策は有効に機能しているか。
    (5) 入力データの保管及び廃棄は、入力管理ルールに基づいて行っているか。

  3. データ管理

    (1) データ管理ルールを定め、遵守しているか。
    (2) データへのアクセスコントロール及びモニタリングは、有効に機能しているか。
    (3) データの利用状況を記録し、定期的に分析しているか。
    (4) データのバックアップの範囲及びタイミングは、業務内容、処理形態及びリカバリの方法を考慮して決定しているか。
    (5) データの授受は、データ管理ルールに基づいて行っているか。
    (6) データの交換は、不正防止及び機密保護の対策を講じているか。
    (7) データの保管及び廃棄は、不正防止及び機密保護の対策を講じているか。
    (8) データの複写は、不正防止及び機密保護の対策を講じているか。
    (9) データに対するコンピュータウイルス対策を講じているか。
    (10) データの知的財産権を管理しているか。

  4. 出力管理

    (1) 出力管理ルールを定め、遵守しているか。
    (2) 出力情報の作成手順、取扱い等は、不正防止及び機密保護の対策を講じているか。
    (3) 出力情報の引渡しは、出力管理ルールに基づいて行っているか。
    (4) 出力情報の保管及び廃棄は、出力管理ルールに基づいて行っているか。
    (5) 出力情報のエラー状況を記録し、定期的に分析しているか。
    (6) 出力情報の利用状況を記録し、定期的に分析しているか。

  5. 構成管理

    (1) 管理すべきソフトウェア、ハードウェア及びネットワークの対象範囲を明確にしているか。
    (2) ソフトウェア、ハードウェア及びネットワークの構成、購入先、サポート条件等を明確にしているか。
    (3) ソフトウェア、ハードウェア及びネットワークの導入並びに変更は、影響を受ける範囲を検討して決定しているか。
    (4) ソフトウェア、ハードウェア及びネットワークの導入並びに変更は、計画的に実施しているか。
    (5) ネットワークの論理的構成は、セキュリティの観点から適切に設計されているか。

  6. 建物・関連設備管理

    (1) 建物及び関連設備は、想定されるリスクを回避できる環境に設置しているか。
    (2) 建物及び室への入退の管理は、不正防止及び機密保護の対策を講じているか。
    (3) 関連設備は、定期的に保守を行っているか。
    (4) 関連設備は、障害対策を講じているか。

  7. ソフトウェア管理

    (1) ソフトウェア管理ルールを定め、遵守しているか。
    (2) ソフトウェアへのアクセスコントロール及びモニタリングは、有効に機能しているか。
    (3) ソフトウェアの利用状況を記録し、定期的に分析しているか。
    (4) ソフトウェアのバックアップの範囲及び方法は、業務内容及び処理形態を考慮して決定しているか。
    (5) ソフトウェアの授受は、ソフトウェア管理ルールに基づいて行っているか。
    (6) ソフトウェアの保管及び廃棄は、不正防止及び機密保護の対策を講じているか。
    (7) ソフトウェアの複写は、不正防止及び機密保護の対策を講じているか。
    (8) ソフトウェアに対するコンピュータウイルス対策を講じているか。
    (9) ソフトウェアの知的財産権を管理しているか。

  8. ハードウェア管理

    (1) ハードウェア管理ルールを定め、遵守しているか。
    (2) ハードウェアは、想定されるリスクを回避できる環境に設置しているか。
    (3) ハードウェアは、定期的に保守を行っているか。
    (4) ハードウェアは、障害対策を講じているか。
    (5) ハードウェアの利用状況を記録し、定期的に分析しているか。

  9. ドキュメント管理
    1 作 成
    (1) ドキュメント作成ルールを定め、遵守しているか。
    (2) ドキュメントの作成計画を策定しているか。
    (3) ドキュメントの種類、目的、作成方法等を明確にしているか。
    (4) ドキュメントは、作成計画に基づいて作成しているか。
    (5) ドキュメントは、情報システム部門及びユーザ部門の責任者が承認しているか。
    2 管 理
    (1) ドキュメント管理ルールを定め、遵守しているか。
    (2) 情報システムの変更に伴い、ドキュメントの内容を更新し、更新履歴を記録しているか。
    (3) ドキュメントの更新内容は、情報システム部門及びユーザ部門の責任者が承認しているか。
    (4) ドキュメントの保管及び廃棄は、不正防止及び機密保護の対策を講じているか。
    (5) ドキュメントの複写は、不正防止及び機密保護の対策を講じているか。

  10. 要員管理
    1 責任・権限
    (1) 要員の責任及び権限は、企画、開発、運用及び保守の業務の特性に応じて定めているか。
    (2) 要員の責任及び権限は、情報環境の変化に対応した見直しを行っているか。
    (3) 要員の責任及び権限を周知徹底しているか。
    2 業務遂行
    (1) 要員は、権限を遵守しているか。
    (2) 作業分担及び作業量は、要員の知識、能力等から検討しているか。
    (3) 要員の交替は、不正防止及び機密保護を考慮して行っているか。
    (4) 不測の事態に備えた代替要員の確保を検討しているか。
    3 教育・訓練
    (1) 教育及び訓練のカリキュラムは、情報戦略に基づいて作成及び見直しを行っているか。
    (2) 教育及び訓練のカリキュラムは、技術力の向上、業務知識の習得、情報システムのセキュリティ確保等から検討しているか。
    (3) 教育及び訓練は、カリキュラムに基づいて定期的かつ効果的に行っているか。
    (4) 要員に対するキャリアパスを確立し、情報環境の変化に対応した見直しを行っているか。
    4 健康管理
    (1) 健康管理を考慮した作業環境を整えているか。
    (2) 健康診断及びカウンセリングを行っているか。

  11. 外部委託

    1 委託計画
    (1) 委託計画を策定し、委託の責任者が承認しているか。
    (2) 委託の目的及び対象範囲を明確にしているか。
    (3) 委託は、具体的な効果、問題点等を評価して決定しているか。
    2 委託先選定
    (1) 委託先の選定基準を明確にしているか。
    (2) 委託先が提案した受託条件の比較検討を行っているか。
    3 委託契約
    (1) 委託契約は、委託契約ルールに基づいて締結しているか。
    (2) 不正防止、機密保護等の対策を明確にしているか。
    (3) 知的財産権を明確にしているか。
    (4) 特約条項及び免責条項を明確にしているか。
    4 委託業務
    (1) 委託業務の実施内容は、契約内容と一致しているか。
    (2) 委託業務の進捗状況を把握し、遅延対策を講じているか。
    (3) 委託先における不正防止、機密保護等の対策の実施状況を把握し、必要な措置を講じているか。
    (4) 成果物の検収は、委託契約に基づいて行っているか。
    (5) 委託した業務の結果を分析及び評価しているか。
    付録
      [1]LAN(インターネット接続)で可能な外部委託サービス内容
      [2] 契約書の注意項目とサンプル

  12. 災害対策

    1 リスク分析
    (1) 地震等のリスク及び情報システムに与える影響範囲を明確にしているか。
    (2) 情報システムの停止等により組織体が被る損失を分析しているか。
    (3) 業務の回復許容時間及び回復優先順位を定めているか。
    2 災害時対応計画
    (1) リスク分析の結果に基づき、災害時対応計画を策定し、組織体の長が承認しているか。
    (2) 災害時対応計画の実現可能性を確認しているか。
    (3) 災害時対応計画に基づいた訓練を定期的に行っているか。
    (4) 災害時対応計画は、見直しを行っているか。
    3 バックアップ
    (1) 情報システム、データ及び関連設備のバックアップ方法並びに手順は、業務の回復目標に対応して定めているか。
    (2) 運用の責任者は、バックアップ方法及び手順を検証しているか。
    4 代替処理・復旧
    (1) 運用及びユーザの責任者は、復旧までの代替処理手続き及び体制を定め、検証しているか。
    (2) 運用及びユーザの責任者は、復旧手続き及び体制を定め、検証しているか。
    5 災害対策への対応実施
    (1)ネットワーク関係設備の災害対策は設備の重要性に応じて対策が適切に講じられているか。

  13. セキュリティ
    (1) セキュリティー全般
    (1) ネットワークセキュリティーを含むセキュリティー管理者を明確にし、組織的な対応を図ること。 (2) ウイルス対策
    (1) コンピュータウイルス(以下ウイルス)対策責任部署を明確にし、組織的な対応を図ること。 (3) 不正アクセス防止
    (1) 不正アクセス防止のための責任部署を明確にし、重要度に応じてファイアーウオールソフト等を導入し、適切なタイミングで更新を行うこと (4) 暗号化
    (1) システムの必要に応じ、ネットーワーク上の情報に対して、盗聴又は漏洩防止対策を実施すること。

  14. 用語解説

ガイドラインの目次に戻る。