はじめに
本稿は、経済産業省が公表する「システム管理基準(令和5年版)」に示された汎用的な原則を、企業が直面する現実の課題解決に繋がる、具体的かつ実行可能なアクションプランへと転換することを目的とします。多くの企業にとって、ITガバナンスは単なるコンプライアンス要件やコストセンターとして認識されがちです。しかし、本質的なITガバナンスは、リスクを管理し事業を守る「守りのガバナンス」と、デジタル技術を駆使して新たな価値を創造し、競争力を強化する「攻めのガバナンス」の両側面を統合し、企業価値を最大化するための戦略的経営基盤です。
本稿では、ITガバナンスの概念を分解し、具体的な導入手順、カスタマイズ可能な成果物テンプレート、そして金融、医療、製造、小売、公共といった主要業種特有の要件に対応するための詳細なガイダンスを提供します。これにより、CIO、CISO、IT管理者、コンプライアンス担当者、そして経営層が、自社の状況に合わせてITガバナンス体制を構築・成熟させるための「スターターキット」として活用できる、網羅的かつ実践的なテンプレートを提示します。
Part 1: コーポレートITガバナンスのフレームワーク:原則から実践へ
このセクションでは、ITガバナンスの「なぜ」と「何を」を確立し、抽象的な原則を具体的な企業構造へと落とし込みます。ITガバナンスを単なる統制機能ではなく、戦略的なイネーブラーとして位置づけるための土台を構築します。
1.1. METIシステム管理基準のビジネス適用に向けた方針
経済産業省のシステム管理基準は、ITガバナンスを「組織体のガバナンスの構成要素」と定義し、ステークホルダーのニーズに基づき、組織体の価値と信頼を向上させるための活動であるとしています。この定義を実用的なものにするためには、その中核となる原則を具体的なビジネス活動と測定可能な指標に結びつける必要があります。
同基準が掲げる3つの主要な達成目標は、以下の通りです。
- 効果的なITパフォーマンスの実現: IT投資を具体的な事業成果に転換すること。例えば、データ利活用による意思決定の迅速化や、デジタルサービス創出による新たな収益源の確保がこれにあたります。
- 責任あるIT資源管理の実施: IT資産を安全かつ効率的に管理すること。これには、セキュリティ対策の徹底、事業継続性を担保するレジリエンスの確保、そしてIT投資に関する意思決定プロセスの透明化が含まれます。
- 組織体における倫理的行動の確保: 法令遵守やデータの機密性保持など、倫理的な規範に則ったIT利活用を徹底することです。
これらの目標を達成するための活動サイクルとして、同基準は「評価(Evaluate)」「指示(Direct)」「モニタ(Monitor)」というE-D-Mモデルを提示しています。これは、取締役会や経営層がITマネジメントを監督するための実践的なサイクルを提供します。
しかし、これらの原則を遵守するだけでは、今日のビジネス環境で勝ち抜くことは困難です。システム管理基準やFISC安全対策基準、医療情報システムの安全管理に関するガイドラインなどが主眼を置くのは、リスクを最小化し、規制を遵守する「守りのガバナンス」です。一方で、デジタルガバナンス・コードやその実践事例が示すのは、デジタル技術とデータを駆使してビジネスモデルを変革し、競争優位性を築く「攻めのガバナンス」です。真に効果的なITガバナンスは、この両者のバランスの上に成り立ちます。守り一辺倒ではイノベーションが阻害され、攻め一辺倒では無謀なリスクを招きます。したがって、本稿で提示するフレームワークは、単にITを統制するのではなく、ビジネスが自信を持って「攻め」のDX施策を推進できる、安全かつ強靭な環境を構築することを究極の目的とします。
以下の表は、METI基準の抽象的な原則を、具体的な企業活動とKPI(重要業績評価指標)に落とし込むためのマッピング例です。
表1: METI基準の原則と企業活動・KPIの対応例
| METI基準の原則 | 企業目標 | 主要なアクション | KPIサンプル |
| 効果的なITパフォーマンスの実現 | 新規デジタルサービスによる市場シェア拡大 | ・新規Eコマースプラットフォームの予算化と立ち上げ ・顧客データ分析プログラムの導入 | ・総売上高に占めるEコマース売上比率 ・顧客維持率の改善率 ・新製品投入に関する意思決定時間の短縮 |
| 責任あるIT資源管理の実施 | サイバー攻撃による事業停止リスクの低減 | ・全社的な事業継続計画(BCP)の策定と訓練 ・重要な外部委託先のセキュリティ評価プロセスの導入 | ・重要システムの目標復旧時間(RTO)達成率 ・クリティカルな脆弱性の修正に要する平均時間 ・監査で指摘された重要事項の件数 |
| 組織体における倫理的行動の確保 | データプライバシー規制違反による罰金と信用の失墜を回避 | ・個人情報保護法および関連法規に関する全社研修の実施 ・データ分類と取り扱いに関する規程の策定と展開 | ・プライバシー関連インシデントの発生件数 ・従業員のセキュリティ研修受講率および理解度テストのスコア |
1.2. ガバナンス体制の確立:役割、責任、権限
明確なITガバナンス体制の構築は、フレームワークを実効性のあるものにするための鍵です。METI基準は、取締役会等が必要な権限を委譲したCIO(最高情報責任者)を任命することを求めています。これを起点とし、実務を推進するための組織構造を定義します。
ITステアリングコミッティの設置: IT戦略と事業戦略の整合性を確保し、主要なIT投資を承認し、リスク管理を監督する機関として「ITステアリングコミッティ」の設置が不可欠です。この委員会は、CIO、主要事業部門の責任者、財務、法務・コンプライアンス、人事などの主要機能の責任者で構成されるべきです。
3つのディフェンスラインモデルの適用: 金融業界で広く採用されている「3つのディフェンスライン」モデルは、業種を問わず有効なベストプラクティスです。これにより、組織全体でリスクを管理・監督する体制を明確化できます。
- 第1線 (1st Line): 事業部門およびIT部門。日々の業務の中でリスクを所有し、管理する責任を負います。
- 第2線 (2nd Line): リスク管理部門、コンプライアンス部門。全社的なリスク管理方針を策定し、第1線の活動を監督・牽制します。
- 第3線 (3rd Line): 内部監査部門。独立した立場で、第1線および第2線の活動の有効性を評価し、取締役会や監査役会に直接報告します。
責任の所在を明確にするため、以下のRACIマトリクス(役割分担表)を作成することが推奨されます。これにより、誰が何に対して責任を持つかが一目瞭然となり、ガバナンスの抜け漏れを防ぎます。
表2: ITガバナンス RACIマトリクス(サンプル)
| 主要プロセス | 取締役会 | CEO | CIO | ITステアリングコミッティ | 事業部門長 | IT部門 | 内部監査 |
| IT戦略策定 | A | I | R | C | C | R | I |
| IT予算承認 | A | A | C | A | I | R | I |
| ITリスク評価 | I | I | A | C | C | R | I |
| 重要プロジェクトの承認 | I | A | C | A | C | R | I |
| インシデント対応管理 | I | I | A | I | I | R | I |
| 規程・方針のレビューと承認 | A | I | R | A | C | R | C |
| 外部委託先選定 | I | I | A | C | C | R | I |
凡例: R = 実行責任者 (Responsible), A = 説明責任者 (Accountable), C = 協議先 (Consulted), I = 報告先 (Informed)
Part 2: 導入ロードマップ:段階的アプローチ
このセクションでは、ITガバナンスのフレームワークを組織内に構築し、定着させるための「ハウツー」を、具体的なプロジェクト計画として提示します。パワーポイント等の資料に展開可能な形式にまとめています。
2.1. フェーズ1:評価と整合(Assess & Align) - "As-Is" と "To-Be" の分析
このフェーズの目的は、ITガバナンスの現状を正確に把握し、目指すべき将来像を定義することです。このアプローチは、金融機関向けのコンサルティング手法を応用したもので、あらゆる組織で有効です。
- ステップ1: 現状評価(As-Is分析): METIシステム管理基準や、自社の業種に関連するガイドライン(例:FISC, 医療情報ガイドライン)をベンチマークとして、現状のITガバナンス態勢を包括的にレビューします。具体的には、経営層、IT部門、事業部門へのインタビュー、既存の規程・手順書・監査レポートの精査、チェックリストを用いた自己評価などを実施します。
- ステップ2: あるべき姿の定義とギャップ分析(To-Be & GAP分析): 現状評価の結果、事業戦略、そして規制要件を踏まえ、自社にとって理想的なITガバナンスモデル("To-Be像")を定義します。そして、現状(As-Is)と理想(To-Be)の間の具体的なギャップを洗い出します。
- ステップ3: 優先順位付けとロードマップ作成: 特定されたギャップを、ビジネスインパクトとリスクの大きさに基づいて優先順位付けします。その上で、具体的な取り組み、タイムライン、必要なリソース、依存関係を明記した複数年にわたるロードマップを策定します。これが、後続フェーズのマスタープランとなります。
2.2. フェーズ2:設計と開発(Design & Develop) - ポリシーとプロセス体系の構築
このフェーズの目的は、ガバナンスフレームワークの根幹をなす主要な規程文書群とプロセスを構築することです。
規程やポリシーの策定は、IT部門が単独で行うべきではありません。法務、人事、コンプライアンス、そして主要な事業部門を巻き込んだワークショップ形式で進めることで、実務に即した、実効性の高いルールを策定できます。ここで重要なのは、平易な言葉で記述することです。例えば、複雑なアクセス管理手順の背景を説明しつつも、利用者向けのルールは「貸与されたPCは、定められたルール(社内規程)を守って利用する義務がある」といったように、簡潔で理解しやすい表現を心がけるべきです。監査をパスするためだけの、誰にも読まれない文書を作成しても意味がありません。
2.3. フェーズ3:導入と定着(Implement & Embed) - 展開とチェンジマネジメント
このフェーズの目的は、構築した新しいフレームワークを全社に展開し、組織文化の一部として根付かせることです。
- コミュニケーション計画: 新しいフレームワークを導入するにあたり、「何を」するかだけでなく、「なぜ」それが必要なのか(事業目標への貢献やリスク低減など)を丁寧に説明するコミュニケーションプランが不可欠です。
- トレーニング: 役割に応じたトレーニングを実施します。経営層には監督責任、管理職には規程の執行方法、そして全従業員には基本的なセキュリティ意識向上のための研修が必要です。
- 業務プロセスへの統合: ガバナンスを既存の業務プロセスに組み込みます。例えば、外部委託先のリスク評価チェックリストを調達プロセスの必須項目にしたり、IT投資申請テンプレートを全ての予算要求で利用することを義務付けたりします。
2.4. フェーズ4:モニタリングと改善(Monitor & Improve) - 継続的な遵守と価値創造の確保
このフェーズの目的は、フレームワークの有効性を測定し、継続的に改善していくためのフィードバックループを確立することです。
- モニタリング: E-D-Mモデルの「モニタ(Monitor)」に該当する活動です。フェーズ1で定義したKPIの収集、ITリスク管理台帳のレビュー、セキュリティインシデントデータの分析などを通じて、ガバナンスのパフォーマンスを定常的に監視します。
- 内部・外部監査: 定期的な内部監査を実施し、規程の遵守状況を確認します。また、PCI DSSやISO 27001などの外部監査を積極的に活用し、独立した第三者による客観的な評価を得ることも有効です。特に金融機関においては、内部監査部門によるIT部門への牽制機能が極めて重要視されます。
- 定期的レビュー: ITステアリングコミッティは、少なくとも年次でITガバナンスフレームワーク全体の有効性をレビューし、技術、ビジネス、脅威の変化に対応してポリシーや手順を更新していく責任を負います。
Part 3: 成果物例:主要テンプレートと規程類
このセクションは本稿の実践的な中核であり、カスタマイズ可能なテンプレートを提供します。これらのテンプレートの構造と詳細は、特に医療情報システムの安全管理に関するガイドラインで示されている「運用管理規程文例」を参考にしています。この文例は、機密性の高い情報を扱うために磨き上げられた、極めて網羅的かつ体系的な構造を持っており、管理体制からアクセス管理、BCP、外部委託に至るまで、あらゆる業種に応用可能な「ゴールドスタンダード」と言えます。この実証済みの文書体系を基盤とすることで、堅牢で一貫性のある規程群を効率的に構築できます。
3.1. 戦略関連文書
- テンプレート1: IT戦略計画書
- 目的: ITに関する取り組みを全社的な事業戦略と整合させる。
- 構成要素:
- エグゼクティブサマリー
- 事業目標との連携
- 現状分析 (As-Is) と将来像 (To-Be)
- 主要施策とロードマップ
- 投資計画とROI分析
- パフォーマンス指標 (KPIs)
- ガバナンスと監督体制
- テンプレート2: IT投資管理規程・手順書
- 目的: IT投資案件が一貫した基準で評価され、確実に事業価値をもたらすことを保証する。
- 構成要素:
- 基本方針
- 適用範囲
- 役割と責任 (RACI)
- 申請・承認プロセス(事業貢献度の明確化)
- 評価基準(戦略整合性、ROI、リスク)
- 承認権限の閾値設定
- 導入後レビュー
3.2. リスク・コンプライアンス関連文書
- テンプレート3: ITリスクマネジメント・フレームワーク
- 目的: ITリスクを識別、評価、対応するための全社的なアプローチを定義する。
- 構成要素:
- リスク識別手法
- リスク分析・評価マトリクス(発生可能性 vs. 影響度)
- リスクアペタイト(受容可能なリスク水準)の表明
- リスク対応方針(受容、低減、移転、回避)
- 役割と責任
- 報告とモニタリング体制
- テンプレート4: ITリスク管理台帳
- 目的: 識別された個別のITリスクを追跡・管理するための実践的ツール。
- 管理項目 (列): リスクID, 識別日, リスク内容, リスクオーナー, ビジネスへの影響, 発生可能性, リスクレベル, 対応策, 担当者, 対応期日, ステータス 。
- テンプレート5: 外部委託先(ベンダー)管理規程
- 目的: アウトソーシングやクラウドサービス利用に伴うリスクを管理する。
- 構成要素:
- 基本方針
- 適用範囲 (SaaS, IaaS, PaaSを含む全ての外部サービス)
- 委託先の分類(重要、主要、その他)
- デューデリジェンス・プロセス(下記チェックリストを使用)
- 契約に含めるべき必須条項
- 継続的なモニタリング
- 契約終了時の手続きとデータ返還プロセス
今日のビジネス環境では、自社のセキュリティ境界はもはや自社に閉じていません。例えば、外部委託先の管理を厳格に求められ、クラウド事業者を精査し、サプライチェーン全体のリスクに直面しています。公共部門では、ISMAPという制度を通じてクラウド事業者の信頼性を評価する仕組みが定着しています。この事実は、外部委託先管理がもはや付随的な活動ではなく、現代のITガバナンスにおける中核的な柱であることを示しています。以下のチェックリストは、この重要なプロセスを標準化するためのものです。
表3: 外部委託先リスク評価チェックリスト
| カテゴリ | チェック項目 | |
| 企業信頼性 | ・財務状況の健全性 ・事業継続計画(BCP)の策定状況と実効性 | |
| 情報セキュリティ | ・ISO 27001, SOC 2などの第三者認証の取得状況 ・セキュリティインシデント発生時の報告・対応体制とSLA | |
| データ管理 | ・データの保管場所(国・地域)と適用される法規制 | ・データの暗号化、アクセス制御、バックアップの方針 |
| コンプライアンス | ・自社の業界特有の規制(FISC, MHLW, PCI DSS等)への準拠能力 ・個人情報保護法等の関連法規への対応状況 | |
| 契約条件 | ・自社および規制当局による監査権の受諾 ・責任分界点の明確化 ・契約終了時のデータ消去・返還に関する条項 |
3.3. 運用関連規程・基準書
MHLWの「運用管理規程文例」の堅牢な構造に基づき、以下の主要な規程を整備します。
- テンプレート6: 情報セキュリティ基本方針(マスター文書): 全ての個別規程の上位に位置づけられる、組織の情報セキュリティに関する理念と方向性を示す文書。
- テンプレート7: アクセス管理規程: ユーザー登録、認証(多要素認証を含む)、権限付与・見直し、特権ID管理、アクセス権の削除といったライフサイクル全体をカバーする。
- テンプレート8: 情報資産管理・分類規程: データの機密性に応じた分類(例:公開、社外秘、機密、極秘)を定義し、各レベルの取り扱いルール、データオーナーシップ、保存期間、廃棄手順を定める。
- テンプレート9: IT事業継続計画(BCP)・災害復旧計画(DR): 発動基準、復旧体制、通信計画、重要システムの復旧手順、そして定期的なテストと維持管理の計画を定義する。
Part 4: 業種別カスタマイズ
このセクションでは、業種別の差異について、具体的なガイダンスに統合して解説します。
表4: 業種別ITガバナンスの主要ドライバー比較
| 業種 | 主要な規制/フレームワーク | 特に重視される懸念事項 | 中核となる成果物/焦点 |
| 金融機関 | 金融庁監督指針, FISC安全対策基準 | システムの信頼性・安全性、外部委託先管理、サイバーレジリエンス | 3つのディフェンスラインの厳格な運用、詳細な外部委託先管理規程、システム監査チェックリスト |
| 医療機関 | 厚労省 医療情報システム安全管理ガイドライン | 患者情報の機密性・完全性、医療過誤の防止、ランサムウェア対策 | ガイドラインに準拠した運用管理規程一式、機微情報の厳格なアクセス管理、サイバー攻撃を想定したBCP |
| 製造業 | 経産省 工場セキュリティガイドライン | 生産継続性(OTセキュリティ)、サプライチェーンリスク、製造ノウハウの保護 | OT/ICSを含むリスク管理台帳、生産ラインのRTO/RPOを定めたBCP、サプライチェーンを跨ぐデータガバナンス方針 |
| 小売業 | PCI DSS | クレジットカード情報の保護、決済システムの可用性 | PCI DSSの12要件を網羅した情報セキュリティ規程、カード会員データ環境(CDE)の定義と隔離策 |
| 公共・地方公共団体 | 総務省 情報セキュリティポリシーガイドライン, ISMAP | 住民情報の保護、クラウドサービスの安全性評価、ネットワーク分離 | α/β/α'モデルに基づくネットワーク構成定義、ISMAP準拠のクラウド調達規程、多要素認証の導入 |
4.1. 金融機関向け
- 焦点: 金融庁(FSA)の期待とFISC安全対策基準への準拠 。
- 主要なカスタマイズ:
- ガバナンス体制: 「3つのディフェンスライン」モデルを正式に文書化し、厳格に運用します。特に第3線である内部監査部門の独立性と専門性が強く求められます。
- リスク管理: リスク管理フレームワークは、リスクの極小化(守り)だけでなく、DX推進によるパフォーマンス向上(攻め)の両方を企図したものであることを明記する必要があります。
- 外部委託先管理: 外部委託先管理規程は極めて厳格でなければなりません。契約書には、金融庁による報告徴求・立入検査への協力義務や、明確な責任分界点など、監督指針が求める条項を盛り込む必要があります。
- 内部監査: FISCの管理策や金融庁の「対話のための論点」に基づいた詳細な「システム監査チェックリスト」を開発し、第3線が第1線・第2線を効果的に牽制できる体制を整えます。
4.2. 医療機関向け
- 焦点: 厚生労働省(MHLW)の「医療情報システムの安全管理に関するガイドライン」への準拠 。
- 主要なカスタマイズ:
- 規程体系: ガイドラインが提供する「運用管理規程文例」の構成を、自社の規程体系のマスターテンプレートとしてそのまま採用します。これにより、ガイドラインへの準拠性を直接的に確保できます。
- 情報資産管理: 情報資産分類規程において、診療情報などの機微な情報を最高レベルに設定し、暗号化、厳格なアクセスログ取得、目的外利用の禁止といった最も厳しい管理策を適用します。
- セキュリティアーキテクチャ: IT戦略において、従来の境界型防御から「ゼロトラスト」アーキテクチャへの移行を明確に位置づけます。これはガイドラインでも推奨されており、ネットワークの論理分割や強力なIDベースのアクセス制御などが優先プロジェクトとなります。
- BCP/DR: BCPには、業界の大きな脅威であるランサムウェア攻撃に特化した対応手順を詳細に記述した別添を設けます。これには、感染システムの隔離手順、関係当局への報告計画、そして影響が波及しない形でのバックアップからの復元手順が含まれます。
4.3. 製造業向け
- 焦点: ITガバナンスをOT(Operational Technology)環境へ拡張し、スマートファクトリーを保護すること。経済産業省の工場セキュリティガイドラインが基準となります 。
- 主要なカスタマイズ:
- 適用範囲: ITガバナンスフレームワーク全体の適用範囲に、工場システム(OT/ICS)、IoTデバイス、そしてサプライチェーン全体を明示的に含めます。
- リスク評価: リスクマネジメントプロセスに、OT/ICSおよびスマートファクトリー特有のリスクを評価するモジュールを追加します。これには、スマート化によって生じる新たな脅威(例:サイバー攻撃による生産停止、製造データの窃取)を特定するプロセスが含まれます。
- BCP/DR: BCPの最優先目標は「生産の継続」です。目標復旧時間(RTO)は、ITシステムだけでなく、重要な生産ライン単位で定義する必要があります。
- データガバナンス: 情報資産管理規程は、国境を越えたデータ移転やサプライチェーンパートナーとのデータ共有に関するルールを定めます。これには、各国の法規制への対応も含まれます。
- 新技術ポリシー: 設計・生産プロセスにおける生成AIなどの新技術の安全かつ倫理的な利用に関する個別ポリシーを策定します。
4.4. 小売業向け
- 焦点: クレジットカード業界のデータセキュリティ基準であるPCI DSS(Payment Card Industry Data Security Standard)への準拠達成と維持 。
- 主要なカスタマイズ:
- 基本フレームワーク: PCI DSSが定める12の要件を、情報セキュリティ基本方針および配下の個別規程・基準書に直接マッピングします。
- 規程への追記: 「カード会員データ保護規程」を別途作成し、カード会員データ環境(CDE)の範囲定義、CDEを保護するためのネットワークセグメンテーション、PCI DSSが要求する特有の管理策を詳細に記述します。
- 運用手順: ログの管理とレビュー(要件10)、ファイアウォールルールの定期的レビュー(要件1)、脆弱性スキャン(要件11)など、PCI DSSが求める運用手順を具体的に文書化します。
- 年間コンプライアンス活動: ガバナンス活動の年間計画に、年次のPCI DSS自己問診票(SAQ)または準拠報告書(ROC)の作成・提出を重要な定例活動として組み込みます。
4.5. 公共・地方公共団体向け
- 焦点: 総務省の情報セキュリティポリシーに関するガイドラインへの準拠と、政府情報システムのためのセキュリティ評価制度(ISMAP)の活用 。
- 主要なカスタマイズ:
- ネットワークアーキテクチャ: IT戦略およびセキュリティアーキテクチャは、「三層の対策」モデルに基づいて策定し、自団体が採用するモデル(α、β、β'、または新しいα'モデル)を明確に定義します。
- クラウド調達: 外部委託先管理規程において、クラウドサービスの調達は原則としてISMAPのプロセスに従うことを義務付けます。機密性の高い情報を取り扱うシステムは、ISMAPクラウドサービスリストに登録されたサービスから選定する必要があります。
- 認証: アクセス管理規程において、多要素認証(MFA)を標準的な認証方式として導入・徹底します。特にLGWAN接続系やマイナンバー利用事務系システムでは必須となります。
- 情報分類: 情報資産分類規程は、政府の機密性分類基準と整合性を取る必要があります。これにより、どの情報をISMAP登録クラウドサービスで扱うことが許容されるかを判断する基準とします。
Part 5: 結論:実効性のあるITガバナンス・エコシステムの維持
本稿で詳述してきたように、ITガバナンスの構築は一度きりのプロジェクトではなく、継続的かつ進化し続ける活動です。経済産業省のシステム管理基準を起点としながらも、その実践は各企業の事業戦略や業種特有の規制環境と深く結びついています。
重要なのは、ITガバナンスを「守り」と「攻め」の両輪として捉える視点です。リスクを適切に管理し、コンプライアンスを遵守する堅牢な「守り」の基盤があってこそ、企業は自信を持ってデジタルトランスフォーメーションを推進し、新たな価値を創造する「攻め」の戦略を展開できます。効果的なITガバナンスは、ビジネスの足枷ではなく、イノベーションを加速させるための安全な滑走路を提供するのです。
このフレームワークが、各企業におけるITガバナンス体制の構築・強化の一助となることを期待します。しかし、最も重要な成功要因は、経営層の強力なリーダーシップとコミットメントです。ガバナンスプログラムがその目的を達成するために必要なリソースと権限を確保し、全社的な文化として定着させることこそが、持続的な企業価値向上への道筋となるでしょう。
付録:主要テンプレート一覧
本セクションには、Part 3で解説した主要なテンプレートの骨子をリストアップします。これらは、各企業が自社の状況に合わせてカスタマイズし、利用するための出発点となります。
- テンプレート1: IT戦略計画書
- テンプレート2: IT投資管理規程・手順書
- テンプレート3: ITリスクマネジメント・フレームワーク
- テンプレート4: ITリスク管理台帳
- テンプレート5: 外部委託先(ベンダー)管理規程
- テンプレート6: 情報セキュリティ基本方針(マスター文書)
- テンプレート7: アクセス管理規程
- テンプレート8: 情報資産管理・分類規程
- テンプレート9: IT事業継続計画(BCP)・災害復旧計画(DR)