« 新「内部監査の専門職的実施の国際基準」 仮訳も公表 | Main | IT業務処理統制は誰が識別すべきか。。。 »

2008.10.07

経済産業省 パブコメ「情報システムの信頼性向上に関するガイドライン第2版(案)」

 こんにちは、丸山満彦です。かなり前になりますが、経済産業省が「情報システムの信頼性向上に関するガイドライン第2版(案)」に対するコメントを募集していますね。。。

 
【電子政府】
・2008.09.30 情報システムの信頼性向上に関するガイドライン第2版(案)に対する意見公募

・・情報システムの信頼性向上に関するガイドライン第2版(案)
・・情報システムの信頼性向上に関するガイドライン第2版(案)概要
・・情報システムの信頼性向上に関するガイドライン第2版(案)変更点一覧

前文
=====
・・・経済産業省では平成18年6月15日にシステムライフサイクル全般にわたりユーザ企業とベンダ企業が遵守するべき事項を定めた「情報システムの信頼性向上に関するガイドライン」(以下、信頼性ガイドラインという。)を策定、平成19年4月13日に信頼性ガイドラインへの遵守度合いを測るための評価指標である「情報システムの信頼性向上に関する評価指標(試行版)」(以下、信頼性評価指標(試行版)という。)を策定し、情報システムの信頼性向上に向けた取組を進めてまいりました。
 経済産業省では、より一層の信頼性向上の取組に向けて、信頼性評価指標(試行版)をさらに詳細化した評価指標を元に、平成19年11月に信頼性向上に関する取組状況のアンケート及びヒアリング調査を実施しました。その結果、「記述事項全般に対して更に具体的で踏み込んだ内容の追加」、「他の指針や標準類との関係整理」、あるいは「運用フェーズ全般での不足事項の追記」など、幾つかの改善ポイントが判明いたしました。
本ガイドラインは、これら調査結果も鑑みて、ユーザ企業及びベンダ企業双方の有識者により信頼性ガイドラインの見直しを実施し、改訂版としてとりまとめたものです。
 本ガイドラインが、情報システムに係る人々に積極的に活用され、情報システムの信頼性向上に寄与することを切に願っています。
・・・
=====

目次
=====
I.総論
 1.目的
 2.定義
 3.対象
 4.情報システムの分類
  (A)重要インフラ等システム
  (B)企業基幹システム
  (C)その他のシステム
 5.本ガイドラインの構成
 6.本ガイドラインで示される対策の実施

Ⅱ.信頼性・安全性向上に向けての全般的配慮事項
 1.関係者の責務
  (1)情報システム利用者の責務
  (2)情報システム供給者の責務
  (3)共同作業であることの認識
 2.経営層の責務
  (1)情報システム障害が経営リスクの問題であることの認識
  (2)経営資源の投入
  (3)CIO(情報統括役員)の登用と活用
  (4)説明責任の認識
  (5)保守・運用の重要性の認識
  (6)事業継続計画の策定と訓練の実施
 3.未然防止と事後対策の両側面からの対策の実施
 4.信頼性・安全性向上に向けた多面的取組の必要性
 5.情報システム障害に対する動作の基本

Ⅲ.企画・開発及び保守・運用全体における事項
 1.企画段階における留意事項
  (1)信頼性・安全性水準の利用者・供給者間での合意
  (2)発注仕様への機能要件及び非機能要件の取込と文書化
 2.開発段階における留意事項
  (1)システムライフサイクルプロセスの確立と文書化
  (2)役割分担・責任権限の利用者・供給者間での合意
  (3)設計等上流工程における品質確保の重要性の認識
  (4)機能要件の実現に向けた利用者・供給者間での合意
  (5)非機能要件の実現に向けた利用者・供給者間での合意
  (6)利用者によるシステム要件に関する見解の統一
  (7)定量的見積りの実施
  (8)情報システムの複雑化の回避
  (9)情報システムの障害対応能力の向上
  (10)誤操作等防止への配慮
  (11)テスト及びレビューの徹底
  (12)検収基準の明確化
 3.保守・運用段階における留意事項
  (1)保守・運用機能を果たす体制・業務フロー等の整備及び利用者・供給者間での合意
  (2)保守の取扱方針の利用者・供給者間での合意
  (3)ニーズや環境の変化へのシステム仕様の適切な適応
  (4)保守に伴う変更作業・リリース手順等の整備と訓練
  (5)情報システムの構成情報の完全性確保
  (6)恒常的な運用状況の監視と管理
  (7)定量的見積りの実施
 4.障害対応に関する留意事項
  (1)障害発生事象の検知と対応の整備
  (2)問題の診断と根本原因の究明
  (3)再発防止に向けた障害に係る各種情報の保持と活用
  (4)重大な障害に対するリスクの把握と緊急対応の利用者・供給者間での合意
  (5)関連・類似システムの障害情報の活用と情報公開
 5.システムライフサイクルプロセス全体における横断的な留意事項
  (1)経験則のみによらないプロジェクトマネジメントの導入
  (2)定量データを活用した管理
  (3)健全なプロジェクト運営に向けた活動の実施
  (4)第三者によるレビュー及び監査の実施
  (5)仕様変更の取扱に関する利用者・供給者間での合意
  (6)情報セキュリティ対策の実施

Ⅳ.技術に関する事項
 1.開発手法・ツールの活用及びテスト環境の整備
  (1)利用者・供給者間での情報共有
  (2)各種開発手法・ツール等の活用
  (3)テスト環境の整備
 2.信頼性・安全性向上に向けた技術の活用及び留意事項
  (1)アーキテクチャの確立
  (2)インターネット経由のアクセスへの対処
  (3)信頼性・安全性に関する評価技術の活用
  (4)信頼性・安全性の向上に向けた先端技術の活用

Ⅴ.人・組織に関する事項
 1.人材育成・教育の実施
  (1)人材の育成・教育
 2.組織の整備
  (1)知識・スキルに応じた人材登用・配置
  (2)独立した品質保証部門の設置
  (3)契約の妥当性・遵守状況のチェック体制の構築
  (4)開発部門と運用部門の相互チェック体制の構築

Ⅵ.商慣行・契約・法的要素に関する事項
 1.契約における重要事項の明確化
  (1)システムライフサイクルプロセス全体における重要事項の規定の明確化
  (2)仕様変更の取扱に関する規定の明確化
  (3)障害発生時の対応手順等の規定の明確化
  (4)障害発生時の責任関係に関する規定の明確化
  (5)事業継続計画における分担及び責任の明確化
 2.情報システム構築の分業時の役割分担及び責任関係の明確化
  (1)複数のシステム供給者間での責任明確化
  (2)一部分を供給するシステム供給者の責任明確化
  (3)下請発注時のシステム供給者間の責任明確化

Ⅶ.実効性に関する担保措置
 1.モデル契約の見直し・活用
 2.政府調達における活用
 3.信頼性評価指標及び診断(ベンチマーキング)方法の整備

Ⅷ.その他の関連事項
 1.開発プロセスの共有化
 2.障害事例データベースの公開
 3.事例・定量データの蓄積・公開
 4.組込みシステムの信頼性確保
 5.ガイドラインの定期的見直し
 6.安全基準等策定時における活用

参考:本ガイドラインに関係する法令、国際規格及び日本工業規格等
 1.法令
 2.国際規格及び日本工業規格
 3.基準・指針・資格類
=====


過去の流れも・・・
=====

【参考】このブログ・・・
・2008.03.23 総務省 確定 「情報通信ネットワーク安全・信頼性基準の一部を改正する告示案等」
・2008.03.08 経済産業省 パブコメ 「情報システムの信頼性向上のための取引慣行・契約に関する研究会」~情報システム・モデル取引・契約書~(パッケージ、SaaS/ASP活用、保守・運用)<追補版>(報告書案)
・2008.02.12 総務省 パブコメ 「情報通信ネットワーク安全・信頼性基準の一部を改正する告示案等」
・2007.08.10 経済産業省 情報システムの信頼性向上のための緊急点検結果と今後の対応について
・2007.04.19 総務省 パブコメ 「ネットワークのIP化に対応した安全・信頼性対策(案)」
・2007.04.17 経済産業省 「情報システムの信頼性向上に関する評価指標(試行版)」を公表
・2007.04.17 経済産業省 「情報システムの信頼性向上のための取引慣行・契約に関する研究会」最終報告書”~情報システム・モデル取引・契約書~”の公表
・2007.01.20 経済産業省 パブコメ 「情報システムの信頼性向上のための取引慣行・契約に関する研究会」中間のまとめ

・2006.06.17 経済産業省 情報システムの信頼性向上に関するガイドラインを公表

・2006.04.05 経済産業省 パブコメ 「情報システムの信頼性向上に関するガイドライン」


|

« 新「内部監査の専門職的実施の国際基準」 仮訳も公表 | Main | IT業務処理統制は誰が識別すべきか。。。 »

Comments

Post a comment



(Not displayed with comment.)




TrackBack

TrackBack URL for this entry:
http://app.cocolog-nifty.com/t/trackback/64462/42710912

Listed below are links to weblogs that reference 経済産業省 パブコメ「情報システムの信頼性向上に関するガイドライン第2版(案)」:

« 新「内部監査の専門職的実施の国際基準」 仮訳も公表 | Main | IT業務処理統制は誰が識別すべきか。。。 »