| 項番 | 大項目 | 中項目 | メトリクス(指標) | メトリクス説明 | クラウド調達時の扱い | 選択レベル | 選択時の条件 | [+][-]条件 | レベル | 備考 |
| C.1.2.2 | 運用・保守性 | 通常運用 | 外部データの利活用可否 | 外部データによりシステムのデータが復旧可能かどうかが確認できるための項目。(例:情報システムの利用者に存在する情報システムが発信するデータが指す例:住民基本台帳情報については、住基ネットの情報がある等。) | ○ | 2 | 0 | 全データを復旧するためのバックアップ方式を検討しなければならないことを想定。 | - | * | 0 | 1 | 2 | 3 | 4 | 5 | 【注意事項】外部データによりシステムのデータが復旧可能なため、本システムに障害が発生した際には、その復旧作業にかかる時間・コストを低減し、選択レベルから5レベルを下げることが考えられる。外部に同じデータを持つ情報システムが存在するため、本システムに障害が発生した際には、その復旧作業にかかる時間・コストを低減し、選択レベルから5レベルを下げることが考えられる。 |
| C.2.3.5 | 運用・保守性 | 保守運用 | OS等のパッチ適用可否 | OS等のソフトウェア情報の展開という共通面のポリシーに関する項目OS等は、サーバー及び端末のOS、ミドルウェア、その他のソフトウェア等を指す。脆弱性に対するセキュリティパッチなどの緊急性の高いものは速やかに適用する。 | ○ | 4 | 0 | 緊急性の高いパッチを除くと、定期保守時にパッチを適用するのが一般的と想定。「内部と接続することが全くない等の理由で緊急対応の必要性が少ない場合(リスクの確認がとれている場合)」や「固定環境することがある等の理由で緊急対応が必要性が高い場合(リスクの確認がとれている場合)」。 | 仕様の対象としない | ベンダーによる提案 | 外部データにより全データの復旧可 | 外部データにより一部のデータのみ復旧可能 | システム内の復旧を利用できない | 定期保守時にパッチ適用を行う | 緊急性の高いパッチは速やかに適用し、それ以外は通常対応のタイミングで適用を行う | 緊急性の高いパッチは速やかに適用し、それ以外は定期保守のタイミングで適用を行う | 外部のパッチがリリースされるとすぐに適用を行う | 【注意事項】リリースされるパッチの種類(個別パッチ/集合パッチ)によって選択レベルが変わる場合がある。セキュリティパッチについては、セキュリティの項目でも検討すること(4.3.4)。最新パッチを速やかに適用済みのOSについては、パッチを適用する際には事前検証を実施せず、パッチを速やかに適用することが望ましい。 |
| E.1.1.1 | セキュリティ | 前提条件・制約条件 | 遵守すべき法規・ルール等(必須の有無) | ユーザーが遵守すべき情報セキュリティに関する法規・ルール、法令、ガイドライン等が存在するか否かを確認する項目。なお、遵守すべき規程等が存在する場合は規定されている内容と矛盾が生じないよう対策を検討する。(例)・情報セキュリティに関する法令・地方公共団体が定める情報セキュリティガイドラインに関するガイドライン・その他のガイドライン・その他のルール | ○ | 1 | | 定期保守時に実施を想定。 | セキュリティポリシー等を遵守する必要があること | 仕様の対象としない | ベンダーによる提案 | 無し | 有り | | | | | 【外部と接】インターネット接続した環境又は閉鎖環境の条件【LSW/L3SWによる通信経路の限定を行い、かつ、ファイアウォールによる通信プロトコルの限定等を行うことで必要な通信に制限をしている環境】を指す。【注意事項】規程・ルール、法令・ガイドライン等を確認し、その目的・レベルを決定する必要がある。 |