人気ブログランキング | 話題のタグを見る
システム管理基準①
システム管理基準
平成16年10月8日策定
前文
今日、組織体の情報システムは、経営戦略を実現するための組織体の重要なインフラストラクチャとなっ
ている。さらに、それぞれの情報システムがネットワーク化されることにより、社会の重要なインフラストラク
チャとなってきている。一方、情報システムはますます多様化、複雑化し、それに伴い様々なリスクが顕在
化してきている。また、情報システムに係わる利害関係者も組織体内にとどまらず、社会へと広がっている。
従って、このような情報システムにまつわるリスクを適切にコントロールすることが組織体における重要な
経営課題となっている。システム監査は、組織体の情報システムにまつわるリスクに対するコントロールが
適切に整備・運用されていることを担保するための有効な手段となる。また、システム監査の実施は、組
織体の IT ガバナンスの実現に寄与することができ、利害関係者に対する説明責任を果たすことにつなが
る。
組織体が情報システムにまつわるリスクに対するコントロールを適切に整備・運用する目的は、以下の
通りである。
・情報システムが、組織体の経営方針及び戦略目標の実現に貢献するため
・情報システムが、組織体の目的を実現するように安全、有効かつ効率的に機能するため
・情報システムが、内部又は外部に報告する情報の信頼性を保つように機能するため
・情報システムが、関連法令、契約又は内部規程等に準拠するようにするため
システム管理基準は、組織体が主体的に経営戦略に沿って効果的な情報システム戦略を立案し、その
戦略に基づき情報システムの企画・開発・運用・保守というライフサイクルの中で、効果的な情報システム
投資のための、またリスクを低減するためのコントロールを適切に整備・運用するための実践規範である。

システム管理基準は、本管理基準と姉妹編をなすシステム監査基準に従って監査を行う場合、原則とし
て、監査人が監査上の判断の尺度として用いるべき基準となる。ただし、組織体が属する業界又は事業
活動の特性等を考慮して、必要ある場合には、本管理基準の主旨及び体系に則って、該当する関係機
関などにおいて、独自の管理基準を策定し活用することが望ましい。また、時々の関連技術動向、関連
法令、及び社会規範などを考慮し、それらを反映した詳細なサブコントロール項目を策定することが望ま
しい。
なお、情報セキュリティの確保の観点から監査を実施する場合には、情報セキュリティ監査制度に基づ
く情報セキュリティ監査を行うことが要請される。一方で、システム管理基準においても情報セキュリティの
確保に関連する項目が挙げられているが、それぞれの項目について、情報セキュリティ管理基準を活用
して監査を実施することが望ましい。
1 システム管理基準(287項目)

Ⅰ.情報戦略(47)
1.全体最適化(18)
1.1 全体最適化の方針・目標(6)
(1)ITガバナンスの方針を明確にすること。
(2)情報化投資及び情報化構想の決定における原則を定めること。
(3)情報システム全体の最適化目標を経営戦略に基づいて設定すること。
(4)組織体全体の情報システムのあるべき姿を明確にすること。
(5)システム化によって生ずる組織及び業務の変更の方針を明確にすること。
(6)情報セキュリティ基本方針を明確にすること。
1.2 全体最適化計画の承認(3)
(1)全体最適化計画の立案体制は、組織体の長の承認を得ること。
(2)全体最適化計画は、組織体の長の承認を得ること。
(3)全体最適化計画は、利害関係者の合意を得ること。
1.3 全体最適化計画の策定(7)
(1)全体最適化計画は、方針及び目標に基づいていること。
(2)全体最適化計画は、コンプライアンスを考慮すること。
(3)全体最適化計画は、情報化投資の方針及び確保すべき経営資源を明確にすること。
(4)全体最適化計画は、投資効果及びリスク算定の方法を明確にすること。
(5)全体最適化計画は、システム構築及び運用のための標準化及び品質方針を含めたルールを明
確にすること。
(6)全体最適化計画は、個別の開発計画の優先順位及び順位付けのルールを明確にすること。
(7)全体最適化計画は、外部資源の活用を考慮すること。
1.4 全体最適化計画の運用(2)
(1)全体最適化計画は、関係者に周知徹底すること。
(2)全体最適化計画は、定期的及び経営環境等の変化に対応して見直すこと。
2.組織体制(9)
2.1 情報システム化委員会(5)
(1)全体最適化計画に基づき、委員会の使命を明確にし、適切な権限及び責任を与えること。
(2)委員会は、組織体における情報システムに関する活動全般について、モニタリングを実施し、必要
に応じて是正措置を講じること。
(3)委員会は、情報技術の動向に対応するため、技術採用指針を明確にすること。
(4)委員会は、活動内容を組織体の長に報告すること。
(5)委員会は、意思決定を支援するための情報を組織体の長に提供すること。
2.2 情報システム部門(2)
(1)情報システム部門の使命を明確にし、適切な権限及び責任を与えること。
2 3
(2)情報システム部門は、組織体規模及び特性に応じて、職務の分離、専門化、権限付与、外部委託
等を考慮した体制にすること。
2.3 人的資源管理の方針(2)
(1)情報技術に関する人的資源の現状及び必要とされる人材を明確にすること。
(2)人的資源の調達及び育成の方針を明確にすること。
3.情報化投資(6)
(1)情報化投資計画は、経営戦略との整合性を考慮して策定すること。
(2)情報化投資計画の決定に際して、影響、効果、期間、実現性等の観点から複数の選択肢を検討
すること。
(3)情報化投資に関する予算を適切に執行すること。
(4)情報化投資に関する投資効果の算出方法を明確にすること。
(5)情報システムの全体的な業績及び個別のプロジェクトの業績を財務的な観点から評価し、問題点
に対して対策を講じること。
(6)投資した費用が適正に使用されたことを確認すること。
4.情報資産管理の方針(4)
(1)情報資産の管理方針及び体制を明確にすること。
(2)情報資産のリスク分析を行い、その対応策を考慮すること。
(3)情報資産の効率的で有効な活用を考慮すること。
(4)情報資産の共有化による生産性向上を考慮すること。
5.事業継続計画(5)
(1)情報システムに関連した事業継続の方針を策定すること。
(2)事業継続計画は、利害関係者を含んだ組織的体制で立案し、組織体の長が承認すること。
(3)事業継続計画は、従業員の教育訓練の方針を明確にすること。
(4)事業継続計画は、関係各部に周知徹底すること。
(5)事業継続計画は、必要に応じて見直すこと。
6.コンプライアンス(5)
(1)法令及び規範の管理体制を確立するとともに、管理責任者を定めること。
(2)遵守すべき法令及び規範を識別し、関係者に教育及び周知徹底すること。
(3)情報倫理規程を定め、関係者に教育及び周知徹底すること。
(4)個人情報の取扱い、知的財産権の保護、外部へのデータ提供等に関する方針を定めること。
(5)法令、規範及び情報倫理規程の遵守状況を評価し、改善のために必要な方策を講じること。
Ⅱ.企画業務(23)
1.開発計画(9)
(1)開発計画は、組織体の長が承認すること。
(2)開発計画は、全体最適化計画との整合性を考慮して策定すること。 4
(3)開発計画は、目的、対象業務、費用、スケジュール、開発体制、投資効果等を明確にすること。
(4)開発計画は、関係者の教育及び訓練計画を明確にすること。
(5)開発計画は、ユーザ部門及び情報システム部門の役割分担を明確にすること。
(6)開発計画は、開発、運用及び保守の費用の算出基礎を明確にすること。
(7)開発計画はシステムライフを設定する条件を明確にすること。
(8)開発計画の策定に当たっては、システム特性及び開発の規模を考慮して形態及び開発方法を決
定すること。
(9)開発計画の策定に当たっては、情報システムの目的を達成する実現可能な代替案を作成し、検
討すること。
2.分析(8)
(1)開発計画に基づいた要求定義は、ユーザ、開発、運用及び保守の責任者が承認すること。
(2)ユーザニーズの調査は、対象、範囲及び方法を明確にすること。
(3)実務に精通しているユーザ、開発、運用及び保守の担当者が参画して現状分析を行うこと。
(4)ユーザニーズは文書化し、ユーザ部門が確認すること。
(5)情報システムの導入に伴って発生する可能性のあるリスク分析を実施すること。
(6)情報システムの導入によって影響を受ける業務、管理体制、諸規程等は、見直し等の検討を行う
こと。
(7)情報システムの導入効果の定量的及び定性的評価を行うこと。
(8)パッケージソフトウェアの使用に当たっては、ユーザニーズとの適合性を検討すること。
3.調達(6)
(1)調達の要求事項は、開発計画及びユーザニーズに基づき作成し、ユーザ、開発、運用及び保守
の責任者が承認すること。
(2)ソフトウェア、ハードウェア及びネットワークは、調達の要求事項を基に選択すること。
(3)開発を遂行するために必要な要員、予算、設備、期間等を確保すること。
(4)要員に必要なスキルを明確にすること。
(5)ソフトウェア、ハードウェア及びネットワークの調達は、ルールに従って実施すること。
(6)調達した資源は、ルールに従って管理すること。
Ⅲ.開発業務 (49)
1.開発手順(4)
(1)開発手順は、開発の責任者が承認すること。
(2)開発手順は、開発方法に基づいて作成すること。
(3)開発手順は、開発の規模、システム特性等を考慮して決定すること。
(4)開発時のリスクを評価し、必要な対応策を講じること。
2.システム設計(15)
(1)システム設計書は、ユーザ、開発、運用及び保守の責任者が承認すること。
(2)運用及び保守の基本方針を定めて設計すること。
(3)入出力画面、入出力帳票等はユーザの利便性を考慮して設計すること。 5
(4)データベースは、業務の内容及びシステム特性に応じて設計すること。
(5)データのインテグリティを確保すること。
(6)ネットワークは、業務の内容及びシステム特性に応じて設計すること。
(7)情報システムの性能は、要求定義を満たすこと。
(8)情報システムの運用性及び保守性を考慮して設計すること。
(9)他の情報システムとの整合性を考慮して設計すること。
(10)情報システムの障害対策を考慮して設計すること。
(11)誤謬防止、不正防止、機密保護等を考慮して設計すること。
(12)テスト計画は、目的、範囲、方法、スケジュール等を明確にすること。
(13)情報システムの利用に係る教育の方針、スケジュール等を明確にすること。
(14)モニタリング機能を考慮して設計すること。
(15)システム設計書をレビューすること。
3.プログラム設計(5)
(1)プログラム設計書は、開発の責任者が承認すること。
(2)システム設計書に基づいて、プログラムを設計すること。
(3)テスト要求事項を定義し、文書化すること。
(4)プログラム設計書及びテスト要求事項をレビューすること。
(5)プログラム設計時に発見したシステム設計の矛盾は、システム設計の再検討を行って解決するこ
と。
4.プログラミング(4)
(1)プログラム設計書に基づいてプログラミングすること。
(2)プログラムコードはコーディング標準に適合していること。
(3)プログラムコード及びプログラムテスト結果を評価し、記録及び保管すること。
(4)重要プログラムは、プログラム作成者以外の者がテストすること。
5.システムテスト・ユーザ受入れテスト(13)
(1)システムテスト計画は、開発及びテストの責任者が承認すること。
(2)ユーザ受入れテスト計画は、ユーザ及び開発の責任者が承認すること。
(3)システムテストに当たっては、システム要求事項を網羅してテストケースを設定して行うこと。
(4)テストデータの作成及びシステムテストは、テスト計画に基づいて行うこと。
(5)システムテストは、本番環境と隔離された環境で行うこと。
(6)システムテストは、開発当事者以外の者が参画すること。
(7) システムテストは、適切なテスト手法及び標準を使用すること。
(8)ユーザ受入れテストは、本番同様の環境を設定すること。
(9)ユーザ受入れテストは、ユーザマニュアルに従い、本番運用を想定したテストケースを設定して実
施すること。
(10)ユーザ受入れテストは、ユーザ及び運用の担当者もテストに参画して確認すること。
(11)システムテスト及びユーザ受入れテストの結果は、ユーザ、開発、運用及び保守の責任者が承認
すること。
(12)システムテスト及びユーザ受入れテストの経過及び結果を記録及び保管すること。 6
(13)パッケージソフトウェアを調達する場合、開発元が品質テストを実施したことを確認すること。
6.移行(8)
(1)移行計画を策定し、ユーザ、開発、運用及び保守の責任者が承認すること。
(2)移行作業は文書に記録し、責任者が承認すること。
(3)移行完了の検証方法を移行計画で明確にすること。
(4)移行計画に基づいて、移行に必要な要員、予算、設備等を確保すること。
(5)移行は手順書を作成し、実施すること。
(6)移行時のリスク対策を検討すること。
(7)運用及び保守に必要なドキュメント、各種ツール等は開発の責任者から引き継いでいること。
(8)移行は関係者に周知徹底すること。
by besttseb99 | 2011-08-15 16:32 | OS-software-system
<< システム管理基準② Nickelback - Sa... >>