5.8プロジェクトマネジメントにおける情報セキュリティ

具体的には

以下のような活動の実施が想定されます。

1. 1.各プロジェクトにおいて取り扱う、もしくは関連する情報及び関連資産を特定する。
2. 2.各プロジェクトにおける情報セキュリティ上の要求事項を特定する。
   （例えば、新たな事業を手掛けるのであれば法規制や顧客の要求等が想定されます）
3. 3.情報セキュリティリスクを特定し、評価する。
   （例えば、新たな機器やサービスを導入するのであれば、その導入によって想定されるリスクを特定し、評価します）
4. 4.リスクの評価結果に応じてリスク対応を検討し、実行する。
5. 5.リスク対応の進捗をチェックし、リスクがどのように変化したか測定し、評価する。

以上のよう活動であり、実態上は事業計画書、導入計画、移転計画等の各種計画書や稟議書等の一部に記載されるかもしれません。なお、それらの中にリスクの分析を盛り込んでもよいのですが、リスク分析からリスク対応については、直接的に本文6項のリスク分析に反映しても問題はありません（リスク分析については「リスク分析表の通り」といった体裁が考えられます）。また、記録はその計画を検討したり進捗を確認する際の会議体の議事録などでも問題はありません。

大切なのは、各種プロジェクトを計画する際、コスト、時間、人的資源といった要素だけでなく、情報セキュリティについての検討を忘れないことです。過去の支援を振り返っても、コストや人的資源のリスクは自然と特定して分析されているにもかかわらず、情報セキュリティについてはなおざりになっているケースが散見されます。

不採用の可能性があるか？

管理策の内容的に不採用とする理由が見当たらないため、全ての組織において採用されるべき管理策と考えられます。