セキュリティ入門Web講座

システム開発及び保守

14回前から「情報セキュリティ規程には何を書くか?」の各項目のお話をしています。
今回(第8回)の「システム開発及び保守」は、自組織で情報システムの開発等を行う場合の規程です。

情報セキュリティ関連規程

広告枠・・・広告やリンク先の保証はしません

目次

情報セキュリティ関連規程」には、次の項目があります。

  1. 組織的対策
  2. 人的対策
  3. 情報資産管理
  4. アクセス制御及び認証
  5. 物理的対策
  6. IT機器利用
  7. IT基盤運用管理
  8. システム開発及び保守
  9. 委託管理
  10. 情報セキュリティインシデント対応及び事業継続管理

システム開発及び保守

システム開発及び保守の内容

自組織で情報システムの開発等を行う場合の規程です。
自組織がシステム開発会社に依頼する場合も含みます。
次のような項目があります。


広告枠・・・広告やリンク先の保証はしません

新規システム開発・改修

自組織のシステムを新規に開発や改修する場合です。
既存のシステムについては、最後の「情報システムの変更」で規定します。
開発・改修を行う場合の工程を定義します。
また、工程を移行(進捗)する時に確認する責任者も決めます。
この責任者は組織的対策で決めた役職名になります。

広告枠・・・広告やリンク先の保証はしません

脆弱性への対処

脆弱性に対する対処法を決めます。
脆弱性は時間とともに変わっていきますので、実務上は、責任者対処の方針を決めます。
この責任者も役職名となります。

広告枠・・・広告やリンク先の保証はしません

情報システムの開発環境

基本的な考え方として、開発環境と運用環境は別に用意します。
開発効率などを考えると、開発中はセキュリティ対策が行われていないことや運用を妨げることがあるもあるためです。
このため、開発環境と運用環境がであることを規定します。
また、開発環境から運用環境に移行する場合の責任者移行する条件の方針を決めます。
この責任者も役職名となります。

広告枠・・・広告やリンク先の保証はしません

情報システムの保守

「情報システムの保守の外部に委託する」と規定できればよいのですが、次に示す例のように外部に移管できない場合もあります。
  • 自組織で開発した
  • 外部へ委託する予算がない
  • 委託する外部が無い(開発元が倒産した、取引がなくなった・・・)
  • 委託していた外部がもう保守できないと手を引いた・・・
現状はできても将来的に起こりえるかもしれません。
委託できない場合に備えて、自社で保守する場合の責任者保守の方針を決めます。
この責任者も役職名となります。

広告枠・・・広告やリンク先の保証はしません

情報システムの変更

情報システムを変更する場合の工程を定義します。
また、工程を移行(進捗)する時に確認する責任者も決めます。
この責任者も役職名となります。

次回は「委託管理」です。

タグ:,


参考記事(一部広告含む)


このページの記事についてちょっと質問!