トップ   新規 一覧 検索 最終更新   ヘルプ   最終更新のRSS

セキュリティ仕様の検討プロセス のバックアップ(No.2)


FrontPage

提案

ユーザーのやるべきこと

システムの重要な情報資産の明確化とリスクの検討

  • 対象となる法規制の明確化
    • 自社が受ける法的な規制やガイドラインを明確化し、本件システムが規制対象となる場合の法令等と遵守事項、罰則などを文書化します。
      特に個人情報保護法は3年ごとの見直しがあり、これに連携し、業界向けのガイドラインの改定もあることから注意が必要です。
    • GDPRを始めとする他国の規制について、関連があれば文書化します。
  • 構築するシステムで取り扱う重要な情報資産の明確化
    • 個人情報が含まれる場合、要配慮個人情報や機微(センシティブ)情報(金融ガイドライン)などが含まれるかを文書化します。また、関連する個人情報を取り扱うすべての部署、担当者(パートやアルバイト、外注業者も含む)の入出力に関する権限(入力、閲覧、加工、出力)も文書化します。
    • 営業情報が含まれる場合、インサイダー取引の対象となるかを明確化します。個人情報と同様に関連する関係者の入出力に関する権限を文書化します。
    • 知財情報が含まれる場合、漏洩や公開に伴う競争上のリスク、社会的被害や金銭的被害を検討し、文書化します。
  • 経営陣との合意
    • 重要な情報資産が漏洩したり公開された場合の、ステークホルダーの社会的被害と損害賠償額、逸失利益、再発防止や信用回復に係る活動について可能な限り金銭的に算出します。また、企業存続へのインパクトも検討します。
    • 重要な情報資産へのアクセス停止(不法な暗号化や改ざん、滅失)に伴うインパクトを金銭的に算出します。これには、システムの再構築やデータの再入力も考慮します。
    • 以上を整理し、システム構築費におけるセキュリティ対策費用のバランスを経営陣とともに検討し合意します。

システムのネットワーク構成の明確化

運用上の制限

ベンダーのやるべきこと

契約締結

開発

受入テスト

稼働