A.5.8 プロジェクトマネジメントにおける情報セキュリティ
| 項目 | 内容 |
|---|---|
| 改訂日 | 2024.04.01 |
| 適用範囲 | 全社・全従業員 |
| 管理策番号 | A.5.8 |
| 分類 | 組織的管理策 |
情報セキュリティは、プロジェクトマネジメントに統合しなければならない。
プロジェクトの実施中に情報セキュリティリスクが効果的に対処されることを確実にするため。
実施の手引き
Section titled “実施の手引き”情報セキュリティは、プロジェクトの種類に関係なく、すべてのプロジェクトに統合する必要がある。これには以下が含まれる。
- 情報システムプロジェクト
- ビジネスプロセスプロジェクト
- 施設プロジェクト
- 組織変更プロジェクト
プロジェクトにおけるセキュリティ活動
Section titled “プロジェクトにおけるセキュリティ活動”| フェーズ | セキュリティ活動 |
|---|---|
| 企画 | セキュリティ要件の特定、リスクアセスメント |
| 設計 | セキュリティアーキテクチャの設計、管理策の選定 |
| 開発 | セキュアコーディング、コードレビュー |
| テスト | セキュリティテスト、脆弱性診断 |
| 導入 | セキュリティ設定の確認、承認 |
| 運用 | 監視、インシデント対応 |
| 終了 | データの安全な廃棄、アクセス権の削除 |
プロジェクトマネジメントへの統合ポイント
Section titled “プロジェクトマネジメントへの統合ポイント”- プロジェクト計画にセキュリティ活動を含める
- セキュリティレビューをマイルストーンに設定
- セキュリティ担当者をプロジェクトチームに含める
- セキュリティリスクをプロジェクトリスクとして管理
当社における実施状況
Section titled “当社における実施状況”当社では、新規プロジェクトや業務プロセスの企画段階から情報セキュリティ要件を検討し、情報セキュリティ部門責任者(CTO)がレビューを行っている。
-
- 組織的対策
-
- システム開発及び保守