管理目標における成熟度モデル |
レベル0 管理が存在しない段階:
ソフトウェアに起因するセキュリティ事故を発生させないための対策を、全く実施したことがない。 |
レベル1 初期/場当たり的な段階:
ソフトウェアに起因するセキュリティ事故を発生させないための対策(コンピュータウィルス対策、バグフィックス適用等)は、管理者個人の思いつきである等場当たり的に実施されており、管理者が代わると引継ぎできない等、継続的に実施されていない。 |
レベル2 反復可能な段階:
ソフトウェアに起因するセキュリティ事故を発生させないための対策を継続的に講じている。実施している対策は、手続が確立しており、管理者が代わった場合も引き継がれ、継続して実施される。しかし、組織全体を対象としたセキュリティの方針に基づくものではなく、各事業所/部署で実施している対策が異なり、ある事業所/部署では組織として望まれるレベルのセキュリティ対策が実施できない。 |
レベル3 定義されている段階:
組織のセキュリティ方針に則って、セキュリティ上必要となるソフトウェア資産管理を実現する対策や規定・手続が、組織全体で正式に定められている。例えば、コンピュータウィルス対策、セキュリティを考慮した設定、バグフィックス適用管理、責任者未承認のソフトウェアのインストール禁止等、通常されるべき管理策が検討され、自組織に合った形で適用されている。また、ソフトウェアを必要な時に使用できる体制・手続を整備し可用性を確保している。 |
レベル4 管理されている段階:
組織のセキュリティ方針に則って定められた、ソフトウェア資産管理の対策・規定・手続が実現されていることを、ソフトウェア資産管理責任者がモニタリングしている。定められた対策・規定・手続が、適切に実施されていない場合、直ちに是正される。 |
レベル5 最適化されている段階:
ソフトウェアを取り巻くセキュリティの状況の変化や、組織のセキュリティ方針の変更に対応して、ソフトウェア資産管理を最適化するために、定期的あるいは随時に、対策・規定・手続を見直している。組織のセキュリティ方針に則った最適なソフトウェア資産管理を実施しているため、ソフトウェアに起因するセキュリティ事故の発生及び被害は、十分に低く抑えられている。 |
