📘 システム管理基準

経済産業省 | 令和5年4月26日

前文(システム管理基準の活用にあたって)

システム管理基準(以下、「基準」という。)は、平成16年のシステム監査基準の改訂において、システム監査基準の「実施基準」の主要部分を抜き出し、当時の情報技術の進展を踏まえて修正・追加を行うことによって、システム監査基準の姉妹編として策定された。

改訂の趣旨

今回の改訂においては、以下の点を考慮して、今後の組織体におけるITシステムの利活用の進展状況に対応しやすい内容とすることを企図し、ITガバナンス編とITマネジメント編から構成した。

  1. 様々な組織において、データの利活用を含むITシステムの利活用によって、組織体の価値を向上させるサービス、製品及びプロセスを生み出し、改善する取組が加速している。
  2. 自社で保有する情報システムだけでなく、広く外部のサービスを利用して事業を推進する組織体が多くを占めるようになっている。
  3. ボーダレスなIT環境を踏まえて、ITガバナンス及びITマネジメントに関わる国際規格の考え方や体系を取り入れる必要性が生じている。

「基準」の適用方法

「基準」は、大規模な企業のみでなく、中小規模の企業や、各府省庁、地方公共団体、病院、学校法人等、各種組織体がシステム監査を行う場合の判断尺度としても利用ないし参考にできるように、汎用性のある内容となっている。

重要なポイント

組織体の事業目的、事業分野における特性、組織体の業種・業態特性、ITシステムの利活用の特性などを踏まえて、「基準」で示した項目・内容の取捨選択・修正、関連する他の基準やガイドライン等からの必要項目の追加、用語の修正等を行い、システム監査及びITガバナンスやITマネジメントの趣旨で示した内容が実現できるように組織体に適した形にして、適用することが望ましい。

「基準」が想定する組織体の体制

「基準」が想定する組織体の体制において、「取締役会等」とは、取締役会、理事会等の組織体のガバナンスを担う機関を意味し、「経営者」とは、最高経営責任者(CEO)、最高情報責任者(CIO)などの組織の業務執行責任を担う執行役員等を意味する。

  • 取締役会等: 組織体のITシステムの利活用に関して責任を負う領域がITガバナンス
  • 経営者: ITシステムの利活用について責任を負う領域がITマネジメント

Ⅰ.1 ITガバナンスの実践

ステークホルダーのニーズに基づき、組織体の価値及び組織体への信頼度を向上させるために、組織体におけるITシステムの利活用のあるべき姿を示すIT戦略を策定し、組織体のITに関するパフォーマンスを含めたITガバナンスの状況を確認して必要な是正措置を指示することによって、組織体の目標を達成する。

Ⅰ.1.1 経営戦略とビジネスモデルの確認

達成目標

  1. 組織体を取り巻く自然環境、社会的・経済的な状況に応じて、組織体の目的を達成するための経営戦略とビジネスモデルと達成すべきビジネス成果が明確にされ、組織体全体に周知されている。
  2. 経営戦略とビジネスモデルを実現するためのITの役割と重要性が認識されている。
  3. 経営戦略とビジネスモデルを実現するためのIT戦略ビジョンが策定されている。
  4. ITソリューションや新技術等が経営戦略とビジネスモデルに及ぼす影響が定期的に評価され、経営戦略とビジネスモデルについて、必要な見直しを行っている。

ガバナンス活動の例

  1. IT戦略ビジョンの策定: 経営戦略とビジネスモデルにおけるITの役割を明確にし、組織体のIT戦略ビジョンを策定する。
  2. ビジネス成果の設定: IT戦略ビジョンでは、経営戦略とビジネスモデルにより達成すべきビジネス成果を設定する。
  3. ステークホルダーのニーズの反映: IT戦略ビジョンには、ステークホルダーのニーズを反映する。
  4. 新技術等の定期的評価: 新しいITソリューションや新技術がIT戦略ビジョンに及ぼす影響を定期的に評価する。
  5. 市場変化の定期的評価: 市場の変化が経営戦略とビジネスモデルに及ぼす影響を定期的に評価する。
  6. IT戦略ビジョン等の見直し: 事業環境等の評価を実施し、その結果に基づいて、ビジネスモデルとIT戦略ビジョンの見直しを行う。

Ⅰ.1.2 IT戦略の策定

組織体におけるITシステムの利活用のあるべき姿を示すIT戦略を策定し、それに基づいてITマネジメントの責任者に指示する。

達成目標

  1. 取締役会等の意図と期待を明確にしたIT戦略(ITガバナンス方針とIT基本計画)が策定されている。
  2. ITガバナンス方針には、ビジネス成果を実現するためのIT戦略の達成目標が設定されている。
  3. IT戦略の実現に必要となる組織体のデジタル活用能力を確保するための戦略と計画が策定されている。
  4. IT戦略において、ITソリューションの劣化や陳腐化に対処するための戦略と、将来に向けたITに関する適切な方向性が示されている。

Ⅰ.1.3 効果的なITパフォーマンスの確認と是正

組織体のITパフォーマンスが、取締役会等の意図や期待、倫理的行動、コンプライアンス上の義務を満足していることを確認するために、ITパフォーマンスの状況を適時確認して、必要な是正措置を指示する。

Ⅰ.1.4 実行責任及び説明責任の明確化

組織体全体及びステークホルダーに対する実行責任及び説明責任は取締役会等が有しており、これらの責任を果たすために、取締役会等は主体的に責任をもって行動する。

Ⅰ.2 ITガバナンス実践に必要な要件

ITガバナンスの実践により、優れた成果を挙げるためには、ITガバナンス活動を支えるための、ステークホルダーへの対応、取締役会等のリーダーシップ、データ利活用と意思決定、リスクの評価と対応、社会的責任と持続性等の要件を整える必要がある。

Ⅰ.2.1 ステークホルダーへの対応

達成目標

  1. ステークホルダーに対して、計画的で適切な対応が実践されている。
  2. 組織体のビジネスモデル及びIT戦略は、ステークホルダー中心のアプローチによって、ステークホルダーのニーズと整合がとられている。
  3. 組織体のIT戦略に対するステークホルダーの満足度を高めている。

Ⅰ.2.2 取締役会等のリーダーシップ

組織体の変革や倫理規範の遵守のために、取締役会等が率先して倫理的な行動を実践するとともに、効果的な指導を通じてリーダーシップを発揮する。

Ⅰ.2.3 データ利活用と意思決定

データが、意思決定のための価値のある経営資源であることを組織体に認識させるために、データ利活用に関する方針等を策定し、周知する。

Ⅰ.2.4 リスクの評価と対応

達成目標

  1. ITシステムの利活用に関連する重要なリスクが認識され、速やかに対応されている。
  2. ITシステムの利活用に関して、組織体が受容できるリスクのレベルが明確にされ、管理されている。
  3. 組織体内外の障害等に対応し、ITサービス等のレジリエンスが確保できるよう対策されている。
  4. ITシステムの利活用に関する事業継続の方針が策定されている。

Ⅰ.2.5 社会的責任と持続性

組織体が存続し、長期に成果を挙げ続けるために、ITシステムの利活用に関する組織体の意思決定の透明性を確保し、より広範な社会的期待に応え、現在及び将来のステークホルダーのニーズを満足させるように組織体のデジタル活用能力を維持・向上させる。

Ⅱ.1 推進・管理体制

経営戦略及びIT戦略で定められた目標を達成するために、組織体全体を対象とした推進・管理体制を整備・運用する。

Ⅱ.1.1 体制と機能

達成目標

  1. 経営者の承認を得て、組織体の規模及び特性に応じたIT部門の体制が構築されている。
  2. IT戦略に関わる意思決定を支援するための情報が経営者に提供されている。
  3. ITシステムの利活用に関する技術の動向に対応するための体制が整備・運用されている。
  4. ITシステムの利活用に関するパフォーマンスとコストに関する実行状況をモニタリングし、必要な是正措置が講じられている。
  5. データ利活用の推進と管理のための体制が整備・運用されている。
  6. ITシステムの利活用に関するリスク管理(サイバーセキュリティリスク管理を含む)のための体制が整備・運用されている。

Ⅱ.1.2 システムライフサイクルモデル管理

IT戦略に従って、目標に適合した手順と方法で情報システムを構築、運用するためのシステムライフサイクルモデルを作成、適用するとともに、そのモデルを評価し改善する。

Ⅱ.1.3 ITアーキテクチャ管理

組織体の情報システム全体の整合性を保って、情報システムを構築・運用するために必要なITアーキテクチャを定め、IT基盤を利用可能にする。

Ⅱ.1.4 資源配分管理

経営資源を有効に活用するために、プロジェクトに優先順位を付けて資源配分を行う。

Ⅱ.1.5 品質管理体制

利用者が満足する製品やサービスを提供するために、最適な品質管理体制を整備・運用する。

Ⅱ.1.6 知識資産管理

個別に得た知識、技能を基に、組織体として知識資産を蓄積し有効利用するために、知識資産を再利用可能な状態で管理する。

Ⅱ.2 プロジェクト管理

経営戦略及びIT戦略で定められた目標を達成するために必要なプロジェクト管理の仕組みを整備し、個別プロジェクトに適用することによりプロジェクトを実行する。

Ⅱ.2.1 プロジェクト計画の策定と承認

管理活動の例

  1. プロジェクトの目的、対象業務、効果: IT戦略に従ってプロジェクトの目的、対象業務、期待される効果を明確にする。
  2. プロジェクトの体制: プロジェクトマネージャ(PM)等、プロジェクトに必要な体制を整備する。
  3. プロジェクト計画: プロジェクトのスケジュール、リソース(要員スキル・作業工数、予算)等を定めたプロジェクト計画を整備する。
  4. プロジェクトの実行の準備: プロジェクト計画の承認後に、適時にプロジェクトを開始できるよう準備する。

Ⅱ.2.2 プロジェクトの実行と管理

Ⅱ.2.3 プロジェクト意思決定管理

Ⅱ.2.4 プロジェクトリスク管理

Ⅱ.2.5 調達管理

Ⅱ.2.6 外部委託管理

Ⅱ.2.7 構成管理・変更管理

Ⅱ.2.8 情報管理

Ⅱ.2.9 ドキュメント管理

Ⅱ.2.10 プロジェクトの生産性等の測定

Ⅱ.2.11 情報システムの品質保証

Ⅱ.3 企画プロセス

経営戦略及びIT戦略で定められた目標を達成するために必要な情報システムの開発体制を整備し、ビジネスモデル及び業務要件を明確にして、設計作業を行う。

Ⅱ.3.1 ビジネス分析

Ⅱ.3.2 業務要件定義

Ⅱ.3.3 システム要件定義

Ⅱ.3.4 基本設計

Ⅱ.3.5 詳細設計

Ⅱ.3.6 実現可能性及び効果の分析

Ⅱ.4 開発プロセス

利用者及び関係者の要望に沿った情報システムを実現するために、情報システムの構成要素の開発作業を行い、稼動後評価及び報告を行う。

Ⅱ.4.1 実装

Ⅱ.4.2 統合

Ⅱ.4.3 検証

Ⅱ.4.4 ユーザ受入テスト

Ⅱ.4.5 本番環境への移行

Ⅱ.4.6 稼動後評価と報告

Ⅱ.5 運用プロセス

組織体の方針及び要求事項に沿ったサービスを提供するために、情報システムの運用体制を整備して運用を実施し、その監視、検証及び報告を行う。

Ⅱ.5.1 運用体制の整備

Ⅱ.5.2 運用計画

Ⅱ.5.3 運用の実施

Ⅱ.5.4 運用における構成管理・変更管理

Ⅱ.5.5 インシデント管理・問題管理

Ⅱ.5.6 サービスレベル管理

Ⅱ.5.7 運用の監視と記録

Ⅱ.5.8 運用の評価と報告

Ⅱ.6 保守プロセス

利用者の業務活動を支援する情報システムの能力・機能を維持するために、保守体制を整備し、保守依頼に応じた保守計画を策定して、それに基づいて保守作業を実施し、その検証、本番環境への適用、記録及び報告を行う。

Ⅱ.6.1 保守体制の整備

Ⅱ.6.2 保守計画

Ⅱ.6.3 保守作業の実施

Ⅱ.6.4 保守作業の検証

Ⅱ.6.5 本番環境への適用

Ⅱ.6.6 実施結果の記録と報告

Ⅱ.7 廃棄プロセス

組織体の方針及び廃棄に関する要求事項に従って情報システムの利用を適切に終了するために、不要になった情報システムの構成要素を適切に廃棄する。

Ⅱ.7.1 廃棄計画

Ⅱ.7.2 廃棄の実施

Ⅱ.7.3 廃棄結果の検証

Ⅱ.8 外部サービス管理

IT戦略に基づいて外部サービス(クラウドサービスを含む)を利用するために、外部サービスの利用計画を策定し、外部サービス提供者を選定、契約、管理及び評価する。

Ⅱ.8.1 外部サービス利用計画の策定

Ⅱ.8.2 外部サービスの選定と契約

Ⅱ.8.3 外部サービスの運用管理

Ⅱ.8.4 外部サービスの評価

Ⅱ.8.5 サービスレベル管理

Ⅱ.9 事業継続管理

組織体のITシステムの利活用に関する事業継続の方針に基づいて、情報システムの業務継続を実現するために、情報システムの業務継続計画を策定し、訓練、検証、報告及び改善を行う。

Ⅱ.9.1 リスクアセスメント

Ⅱ.9.2 業務継続計画の策定

Ⅱ.9.3 業務継続計画の管理

Ⅱ.9.4 訓練、演習及びテストの実施

Ⅱ.9.5 業務継続計画の評価及び見直し

Ⅱ.10 人的資源管理

組織体の人的資源に関する方針に基づいて、ITに関する人的資源を管理し、ITに関する組織の能力を維持向上させる。

Ⅱ.10.1 人的資源管理計画

Ⅱ.10.2 責任と権限の管理

Ⅱ.10.3 業務遂行の管理

Ⅱ.10.4 教育・訓練の管理

Ⅱ.10.5 健康管理

Ⅱ.10.6 要員のワーク・エンゲージメント向上

📖 システム管理基準の用語集

Ⅰ. ITガバナンス

ITエコシステム

他の組織と利用する共通のデジタル基盤やITサービス等であり、ITベンダ、外部サービス提供者、外部委託先、顧客、取引先、行政機関等のステークホルダーが関与する。

IT戦略ビジョン

経営戦略とビジネスモデルを支えるITシステムの利活用のあるべき姿を示したものであり、組織体が目指すITシステムの利活用の形態とITシステムの利活用により達成するビジネス成果を含む。

ITソリューション

組織体が利活用するITシステムを構成する個別の製品やサービスであり、外部から調達するものを含む。

ITパフォーマンス

ITシステムの利活用により達成した測定可能な結果又は成果を指す。

デジタル活用能力

ITシステムの利活用により組織体の価値を向上させるサービスや製品、プロセスを生み出し、改善する能力を指す。

ビジネスモデル

組織体が事業を行うことで、ステークホルダーに価値を提供し、それを持続的な組織体の価値向上につなげていく仕組みを指す。

レジリエンス(回復力)

ITシステムやサービスがシステム障害や災害、サイバー攻撃等の問題に直面したとき、迅速に被害からの回復を図り正常な状態に復旧・復元する能力を指す。

Ⅱ. ITマネジメント

ITアーキテクチャ

組織体の情報システム全体の設計原則や構成要素の基本的構造を指す。

インシデント

情報システムが正常稼働しない状況となり、事業や業務活動の中断・阻害、損失、緊急事態又は危機が発生し得る状況を指す。

SLA (Service Level Agreement)

委託元(サービス利用者)と委託先(サービス提供者)の間で結ばれたサービスレベルに関する文書による合意を指す。

概念実証(PoC)

ビジネス上の問題を解決する新しいコンセプト、アイデアの有効性や実現可能性を示すための検証を指す。

技術実証(PoT)

システム要件を満たすために使用する製品や技術の有効性や実現可能性を検証することを指す。

システムライフサイクルモデル

情報システムの企画から廃棄に至るまでの一連の過程をいくつかの段階に分類し、それぞれの段階で発生する工程を一般化して整理したものを指す。

最大許容停止時間(MTPD)

事業活動を再開しないことによる影響が、組織にとって許容できなくなるまでの時間枠を指す。

目標復旧時間(RTO)

最大許容停止時間の範囲内で、中断・阻害された事業活動を規定された最低限の許容できる規模で再開するまでの優先すべき時間枠を指す。