個別管理基準（監査項目）策定ガイドライン.docVIP

個別管理基準（監査項目）策定ガイドライン Ver1.0 本ガイドラインは、「情報セキュリティ管理基準」に従って、組織体ごとに具体的な管理基準（以下、「個別管理基準」という。）を策定する際の手順について示したものである。「情報セキュリティ管理基準」を各組織体の実状に見合ったものとする際のガイドラインであるから、情報セキュリティ監査において監査人が監査項目（「監査要点」ともいう。）を選択する際のガイドラインとしても有用なものである。 　組織体が個別管理基準を策定する場合であっても、また情報セキュリティ監査人が監査項目を選定する場合であっても、基本的に同様の手順を踏むと考えられる。 　なお、本ガイドラインを用い、サンプルとして「電子政府における一般的な庁内ネットワークシステム」を対象として、個別管理基準（監査項目）の策定を行ったものが、「電子政府情報セキュリティ管理基準モデル（庁内ネットワークシステム）」である。 Ⅰ．個別管理基準（監査項目）の策定手順 ０．　個別管理基準（監査項目）策定の流れ 0.1　策定にあたっては、①情報セキュリティ管理基準の参照?項目の抽出、②当該組織体に必要と思われる項目の追加、③組織内規定との整合性をはかる、④関連法令の参照、⑤他の規定の参照、⑥必須項目と推奨項目の選別、⑦技術的検証項目の追加といった手順を踏むこ