27-21. 第21章. 人的、組織的、技術的、物理的対策の実施手順に基づいた実施
21-1. ECサイトの構築とセキュリティ機能の実装と運用
章の目的
第21章では、「デジタル・ガバメント推進標準ガイドライン」に準拠した手順で情報システムを導入する流れと、セキュリティ対策の実装と運用ポイントを説明します。ECサイトを例にとり、企画から要件定義、調達、設計・開発、運用保守までの流れと、セキュリティ機能の実装方法を理解することを目的とします。
主な達成目標
・ 実施例から工程を理解することで、中小企業が主体的に関与するポイントを理解すること
・ 情報システムを導入する工程で、作成すべきドキュメントを理解すること
・ 情報システムを導入する工程の中で、セキュリティ機能を実装、運用するポイントを理解すること
要旨
21章の全体概要
21章では、「デジタル・ガバメント推進標準ガイドライン」に準拠した手順で情報システムを導入する流れと、セキュリティ対策の実装と運用ポイントについて、ECサイトを例にとって説明しています。
21-1. ECサイトの構築とセキュリティ機能の実装と運用
ECサイトを例にとり、「デジタル・ガバメント推進標準ガイドライン」に準拠した手順で、企画から要件定義、調達、設計・開発、運用保守までの流れと、セキュリティ機能の実装方法を解説しています。
非機能要件のうちセキュリティに関する要件は、リスクアセスメントを実施して作成した適用宣言書をもとに決定します。
SaaSやパッケージソフトウェアを導入する際に非常に重要なプロセスであるFit&Gap分析については、具体例を含めて解説しています。
訴求ポイント
章を通した気づき・学び
「デジタル・ガバメント推進標準ガイドライン」は、中小企業でも活用できる重要なことが数多く記載されています。情報システムを導入する際は、本ガイドラインを参考にすることで、セキュリティ対策を考慮した、効果的な情報システムの導入が可能です。
要件定義におけるセキュリティ要件は、組織で作成した適用宣言書をもとに決定することが重要です。情報資産におけるリスクを考慮して適切なセキュリティ要件を決めることで、情報システムのセキュリティ対策を強化することができます。
認識していただきたい実施概要
• 情報システムを導入する際は、「デジタル・ガバメント推進標準ガイドライン」を参考に、セキュリティ機能を実装すること。
• 要件定義では、適用宣言書をもとに情報資産におけるリスクを考慮し、適切なセキュリティ要件を決めること。
