業務アプリケーションシステムの開発・構築・運用管理の標準化 （Ⅹ.セキュリティ対策)

業務アプリケーションシステムの開発・構築・運用管理の標準化（Ⅹ.セキュリティ対策)
Standardization of the software development management infrastructure construction management、and operation management of business application systems.（Ⅹ. Information security)

鈴木一明
Suzuki Kazuaki

1. はじめに

　業務システムはインターネット利用に伴い多種多様な脅威にさらされ、情報資産は、安全に確実に管理することが求められている。情報セキュリティ対策を実施するにあたり、2005年にISO/TECで、情報セキュリティマネジメントに関する規格、ISO/IEC 27001及び2007年にISO/IEC 27002を制定した。
　ISO/IEC 27001は情報セキュリティマネジメントシ ステム(ISMS)のための要求事項であり、ISO/IEC 27002は情報セキュリティマネジメントの実践のための規範である。それぞれ、日本語訳はJISQ27001 及びJIS Q 27002としてJIS化されている。
　我が国においても、2006年度から2008年度までの3ヶ年の中長期の戦略である第1次情報セキュリティ基本計画(2006年2月2日情報セキュリティ政策会議決定)が制定された。2009年度以降は第2次情報セキュリティ基本計画が制定された。第2次基本計画の計画期間についても、第1次基本計画同様、 3ヶ年間(2009年度から2011年度まで)を対象とした。(第2次情報セキュリティ基本計画より)
　「独立行政法人等は組織として情報セキュリティ対策に取り組む体制を構築する。各独立行政法人等は、その業務特性及び対策の実施状況に応じて、政府機関統一基準を含む政府機関における一連の対策を踏まえ、自らの情報セキュリティ対策に係るPDCAサイクルを構築する。また、独立行政法人等及び独立行政法人等を所管する政府機関は、緊急時を含め実効性のある連絡体制を整備する。」(第2次基本計画より)となっている。
　情報セキュリティ監査についても、情報セキュリティ監査制度における「情報セキュリティ監査基準」、及び「情報セキュリティ管理基準」の基準が制定されている。
　このような中、著者が所属していた法人においても、平成19年度に政府機関統一基準(第二版)に則った情報セキュリティポリシーの見直し作業を実施し、情報セキュリティポリシーおよび管理基準等の諸規定を策定、施工した。更に、情報システムの情報セキュリティ管理マニュアル/手順書、情報システムセキュリティ自己点検手順書、リスク評価手順書等を策定し、情報セキュリティ対策を実施している。情報セキュリティ監査についても、「監査企画書」を策定し、定期的なシステムの脆弱性診断及び準拠性に関する情報セキュリティ監査を実施している。これらにより、第2次基本計画における情報セキュリティ対策に係るPDCAサイクルの実現を図った