基本情報技術概論II (第4回) 埼玉大学 理工学研究科 堀山 貴史 2009/11/9 基本情報技術概論 II (第4回) マネジメント・ストラテジ マネジメント / 監査 情報処理技術者試験 http://www.jitec.jp/ 基本情報 午前の問題 全部で 80 問 マネジメント系 1 0 問 ストラテジ系 20 問 埼玉大学 理工学研究科 堀山 貴史 システム開発技術の分野等も関連している _____ 2008/01/23
マネジメント (経営管理) 企業の経営資源 … 人、もの、金 + 情報 マネジメント … 経営資源の活かし方 マネジメント (経営管理) 企業の経営資源 … 人、もの、金 + 情報 マネジメント … 経営資源の活かし方 マネジメント (ピーター・ドラッカーによる定義) 組織に特有の使命、目的を果たすこと 仕事を通じて働く人たちを生かすこと 社会の問題について貢献すること これらを達成するための考え方、手法、実践 マネジメントの基本プロセス : PDCA サイクル ピーター・ドラッカー : 1909 ~ 2005。 マネジメントの父、とも 呼ばれる経営学者・社会学者。経営に関する様々な概念を提案 ________________ Plan (計画) Do (実行) Check (検証) Action (改善)
企業組織 監査役設置会社 株主 監査役会 (監査役) 取締役会 (取締役) 執行役員 管理者層 担当者層 業務監査 会計監査 出資額での有限責任を負う 所有と経営の分離 : 経営は、経営能力の ある人に委任 業務監査 監査役会 (監査役) 取締役会 (取締役) 会社の戦略を決定 会計監査 執行役員 各部門の業務を執行 (取締役であることが多い) 内部監査 各レベルで、レベルに 応じた PDCA サイクルを 実践 管理者層 担当者層
企業組織 CEO (Chief Executive Officer) COO (Chief Operating Officer) 委員会等設置会社 (アメリカ型の組織形態) 取締役会 (取締役) 会社の戦略を決定 _____ 監査・監督 意思決定と執行を分離 執行役 各部門の業務を執行 CEO (Chief Executive Officer) 最高経営責任者 多くは、会長や社長 COO (Chief Operating Officer) 最高執行責任者 C I O (Chief Information Officer) (戦略) 情報統括役員 経営戦略の一部として I T 戦略を立案、実行 _____ 内部監査 管理者層 _____ 担当者層 _____ 日本では、会長は創業者や前社長の名誉職であることが多い。CIO は、単に 情報部門長を意味する場合もある。
より良い経営のために … コーポレート ガバナンス … 企業価値最大化・企業理念実現 のため、企業経営を律する仕組み コーポレート ガバナンス … 企業価値最大化・企業理念実現 のため、企業経営を律する仕組み 内部統制 … 経営戦略や事業目的を、組織として機能させ、 達成するための仕組み リスク マネジメント (リスク管理) … 経営理念や事業目的に 照らして経営に重大な影響を及ぼすリスクを認識・対応する コンプライアンス (法令遵守/じゅんしゅ) 法令や実務基準、社内規則、企業論理に従って活動する アカウンタビリティ (説明責任) 法令等を守っている事を、対外的に説明する責任がある I T ガバナンス 企業が競争優位性構築を目的に、IT戦略の策定・実行を コントロールし、あるべき方向へ導く組織能力
I T 関連の マネジメント / 監査 マネジメント プロジェクト マネジメント (含 リスク マネジメント) サービス マネジメント システム監査 参考 I T経営ポータル (経済産業省) http://www.meti.go.jp/policy/it_policy/it_keiei/ C I O の機能と実践に関するベストプラクティス http://www.meti.go.jp/press/20051221001/2-cio-set.pdf @ I T 情報マネジメント 用語辞典 http://www.atmarkit.co.jp/im/terminology/
プロジェクト マネジメント プロジェクト … 目標達成のために行う有期の活動 プロジェクト マネージャ プロジェクト … 目標達成のために行う有期の活動 プロジェクト マネージャ 情報システム開発プロジェクトの責任者として、 プロジェクトの計画を作成し、 要員などプロジェクト遂行に必要な資源の調達、 プロジェクトの体制の確立および 予算・納期・品質などの管理を行い、 プロジェクトを円滑に運営する者 PDCA サイクルで、プロジェクト マネジメントを実施 Plan (計画) Do (実行) Check (検証) Action (改善)
プロジェクト マネジメント (9エリア) 統合マネジメント スコープ マネジメント タイム マネジメント コスト マネジメント プロジェクト マネジメント (9エリア) WBS の 説明を 省略 統合マネジメント 各エリアを統合的に管理、調整する スコープ マネジメント 必要な作業を過不足なく含める タイム マネジメント 所定の時期 (納期) に完了させる コスト マネジメント 予算内で完了させる 品質マネジメント (品質管理、品質保証) 顧客ニーズを満たすために、品質方針、目標、責任を定め、必要なプロセスを実施する → ベンチマーク、ウォークスルー、レビュー、テスト ________________ → ファンクションポイント法、 COCOMO など ________________
プロジェクト マネジメント (9エリア) 人的資源マネジメント コミュニケーション マネジメント リスク マネジメント 調達マネジメント プロジェクト マネジメント (9エリア) ________________ 人的資源マネジメント プロジェクトチームのメンバがそれぞれの役割と責任を まっとうすることで、チームとして機能させる コミュニケーション マネジメント プロジェクト情報の生成から配布、廃棄までを適切に 行うことで、人と情報を結びつける リスク マネジメント プロジェクトのマイナス要因の発生確率と影響を 低減させる (→ 詳細は、次のページ以降) 調達マネジメント 必要な資源やサービスを外部から購入/取得するために 必要な契約やその管理 ________________
リスク マネジメント リスク 脅威が情報資産の脆弱性を利用して、 情報資産への損失や損害を与える可能性 脅威 損失/損害 自然災害、システム障害、人的資源、不正行為など 損失/損害 直接損失 … 障害、盗破壊、盗難など 間接損失 … 業務の中断、信用損失 対策費用 … 復旧費用、リスク対策費用 ぜいじゃく
リスク マネジメント 純粋リスク … 損失だけを生む可能性のあるリスク 投機的リスク … 損失と利益を生む可能性のあるリスク 純粋リスク … 損失だけを生む可能性のあるリスク 投機的リスク … 損失と利益を生む可能性のあるリスク リスク マネジメント 費用対効果を考え、優先順位をつけて対処する リスク分析 可能性のあるリスクを洗い出し、影響度を分析 分析対象の把握 → 脆弱性の発見と識別 → 損失額の予想 → 損失の分類と影響度の分析 → リスク対策の検討・評価と優先順位の決定
リスク マネジメント (対策) リスク ファイナンス リスク移転 リスク保有 リスク コントロール ________________ リスク マネジメント (対策) ________________ リスク ファイナンス リスクが現実化した場合の対策 損失の補填や対応費用を確保しておく リスク移転 保険加入により、保険会社に補填させる リスク保有 自己負担により、損失補填する リスク コントロール リスクの現実化を防ぐための事前策 技術的/物理的対策などにより、リスク発生を防止し、損失を軽減する ________________ ________________ ________________
コンティンジェンシー プラン 緊急時対応計画 リスクが現実化した場合を想定し、損失/損害を 最小限にするために定めた対応策/行動手順 ________________ 緊急時対応計画 リスクが現実化した場合を想定し、損失/損害を 最小限にするために定めた対応策/行動手順 損害の規模とリスクの発生確率を加味して策定 リスク発生時の各メンバーの行動指針や行動計画 顧客やマスコミへの対応方針 業務や機能の継続/復旧作業の優先順位 代替設備/業者の用意 安全在庫の確保 情報漏洩: 2次被害の防止、原因追究、顧客対応の観点で策定 指針 リスク 発生 後の 対策 例) 参考 : @ I T 情報マネジメント / コンティンジェンシー プラン http://www.atmarkit.co.jp/aig/04biz/contingencyplan.html
サービス マネジメント
サービス マネジメント I T I L (Information Technology Infrastructure Library) I T サービス マネジメント (ビジネスと I T 技術の掛橋) サービス提供者が、利用者へのサービスの品質を 維持・向上させるため、情報システムの 維持管理・効率的な運用・改善を行う仕組み I T I L (Information Technology Infrastructure Library) I T サービス マネジメントのガイドライン SLA (サービスレベル契約 / Service Level Agreement) サービスの品質に関する利用者と提供者の契約 品質、範囲、提供者と利用者の責任を明確化する PDCA サイクルで、サービス マネジメントを実施 _______ 車の 両輪 _______
I T I L (Information Technology Infrastructure Library) 参考 : 関連する国際規格 ISO 20000 I T I L (Information Technology Infrastructure Library) I T サービス マネジメントの ベスト プラクティス集 (ノウハウを体系化したガイドライン) I T I L v2 は、主に以下の2つの観点 サービス サポート 日々の運用手法 5プロセス + 1機能 サービス デリバリ 中長期的な観点からの、計画と改善手法 5プロセス 参考 : I T I L の最新は v3 だが、多くの場合に v2 が利用されている
I T I L サービス サポート (日々の運用手法) サービス サポート (日々の運用手法) プ ロ セ ス インシデント管理 インシデントの検知から解決までの一連のプロセスで あり、迅速にサービスを復旧させ、業務への影響を最 小限に抑える。 問題管理 問題の根本原因を突き止め、インシデントの再発防止 のための解決策を提示する。 構成管理 I T サービスを構成するハードウェア、ソフトウェア、 ドキュメントなどの C I (Configuration Item/構成品目) に関する情報を定義し、正確な構成情報を維持する。 変更管理 C I の変更要求 (Request for Change/RFC) について、 その影響を評価し、承認/却下を決める。変更を安全 確実かつ効率的に実施することが目的。 リリース管理 承認された変更を本番環境に正しく反映させる作業を コントロールする。 機 能 サービスデスク (ヘルプデスク) サービスの利用者と提供者の間での一元的な窓口。 適切な部署への引継/対応の記録/記録の管理など。
I T I L 中長期的な観点からの、 計画と改善手法 サービス デリバリ サービスレベル 管理 (SLM) プ ロ セ ス サービスレベル 管理 (SLM) サービスの利用者と提供者の間でのサービスレベル 契約 (SLA / → p.15) をもとに、サービスレベルを管理。 キャパシティ管理 システムがサービスレベルを満たすのに必要な容量 や能力などのキャパシティを管理し、最適なコストで、 現在や将来のシステムの安定稼働を実現させる。 → CPU 使用率、メモリ使用率、ネットワーク使用率 等 可用性管理 サービス利用者が利用したい時に確実に利用できる よう、I T サービスを構成する各機能を維持管理する。 → 可用性、保守性、MTTR IT サービス 継続性管理 障害時には合意した時間内にシステムを復旧させ、 影響を許容範囲内に抑え、サービス継続性を確実に 満たせるようにする。 IT サービス 財務管理 サービスの提供に必要なコストの予測、実際のコスト や収益性を管理。 → TCO
システム監査
システム監査 目的 組織体の情報システムにまつわるリスクに対する コントロールがリスクアセスメントに基づいて適切に 整備・運用されているかを、独立かつ専門的な立場の システム監査人が検証又は評価することによって、 保証を与えあるいは助言を行い、 もって I T ガバナンスの実現に寄与すること 経済産業省 新「システム監査基準」、「システム管理基準」の公表について http://www.meti.go.jp/policy/it_policy/press/0005668/ より
システム監査 (概要) 「システムがうまく整備・運用されているか」を監査 監査は客観的に 監査は任意監査 (法定監査では無い) システム監査 (概要) 「システムがうまく整備・運用されているか」を監査 整備・運用ではなく、あくまでも整備・運用のチェック 整備・運用がシステム管理基準に準拠しているか 監査は、システム監査基準に基づいて実施 監査は客観的に 監査人は、監査対象から独立でなければならない 内部監査 (組織内の監査部門) or 外部監査 (組織外の監査法人など) どちらも ok 監査人は、守秘義務を負う 監査は任意監査 (法定監査では無い) 監査役の業務監査の一環で行われることもある ________________ → p. 3
システム監査 (概要の補足) 情報システムにまつわるリスクのコントロール その整備・運用の目的 システム監査 (概要の補足) 情報システムにまつわるリスクのコントロール その整備・運用の目的 情報システムが、会社の経営方針および 戦略目標の実現に貢献するため 情報システムが、会社の目的を実現するように 安全、有効、かつ効率的に機能するため 情報システムが、内部または外部に報告する 情報の信頼性を保つように機能するため 情報システムが、関連法令、契約または 内部規定等に準拠するようにするため
システム監査の手順 監査計画 (目標、時期、監査内容、監査範囲など) 監査実施 予備調査 (本調査を効率的に行うための実態把握) 本調査 監査計画 (目標、時期、監査内容、監査範囲など) 監査実施 予備調査 (本調査を効率的に行うための実態把握) 本調査 評価・結論 監査報告 経営者への結果説明、改善点の勧告 改善状況の確認と改善指導 (フォローアップ) 参考 監査報告書には、実施した監査の対象、実施した監査の概要、保証意見又は 助言意見、制約又は除外事項、指摘事項、改善勧告、その他特記すべき事項 について、証拠との関係を示し、システム監査人が監査の目的に応じて必要と 判断した事項を明瞭に記載しなければならない。 (システム監査基準より)
監査証拠 と 監査証跡 監査証拠 監査証跡 監査報告書の監査意見を立証する根拠となる事実 しょうこ しょうせき 監査証拠 と 監査証跡 監査証拠 監査報告書の監査意見を立証する根拠となる事実 監査証跡 時系列でつながった一連の監査証拠 (事象の発生から最終結果に至る過程および その逆方向の追跡ができる情報) コントロールが機能していることの証明手段となる 安全性のコントロールに関して - アクセスログ、オペレーションログ など 信頼性のコントロールに関して - テスト結果報告書 など 効率性のコントロールに関して - 費用対効果分析表 など
セキュリティ コントロール 情報システムのセキュリティ コントロールを、 予防、検知、復旧の3つに分けた場合、 復旧に該当するものはどれか。 ア) オペレータとプログラマの職務分離 イ) コンティンジェンシープラン ウ) パスワードの利用 エ) メッセージ認証
リスク マネジメント リスクが顕在化しても、その影響が小さいと 想定されるので、損害の負担を受容する リスク対応はどれか ア) リスク移転 ア) リスク移転 イ) リスク回避 ウ) リスク低減 エ) リスク保有
プロジェクト マネジメント (9エリア) 統合マネジメント スコープ マネジメント タイム マネジメント コスト マネジメント プロジェクト マネジメント (9エリア) 統合マネジメント スコープ マネジメント タイム マネジメント コスト マネジメント 品質マネジメント 人的資源マネジメント コミュニケーション マネジメント リスク マネジメント 調達マネジメント
システム監査 (概要) IT ガバナンス 企業が競争優位性構築を目的に、IT戦略の策定・ 実行をコントロールし、あるべき方向へ導く組織能力 システム監査 (概要) IT ガバナンス 企業が競争優位性構築を目的に、IT戦略の策定・ 実行をコントロールし、あるべき方向へ導く組織能力 (参考) コーポレート・ガバナンス 誰が意思決定を下すのか 誰が執行するのか 誰が監査するのか 誰が説明責任を果たすのか … 経済産業省 IT経営ポータル ITガバナンス http://www.meti.go.jp/policy/it_policy/it_keiei/action/keyword/governance/
この文面は、TOKYO TECH OCW の利用 条件を参考にしました この教材のご利用について この教材は、以下に示す利用条件の下で、著作権者にわざわざ許諾を求めることなく、無償で自由にご利用いただけます。講義、自主学習はもちろん、翻訳、改変、再配布等を含めて自由にご利用ください。 非商業利用に限定 この教材は、翻訳や改変等を加えたものも含めて、著作権者の許諾を受けずに商業目的で利用することは、許可されていません。 著作権の帰属 この教材および教材中の図の著作権は、次ページ以降に示す著作者に帰属します。この教材、または翻訳や改変等を加えたものを公開される場合には、「本教材 (or 本資料) は http://www.al.ics. saitama-u.ac.jp/horiyama/OCW/ の教材です (or 教材を改変したものです」 との旨の著作権表示を明確に実施してください。なお、この教材に改変等を加えたものの著作権は、次ページ以降に示す著作者および改変等を加えた方に帰属します。 同一条件での頒布・再頒布 この教材、または翻訳や改変等を加えたものを頒布・再頒布する場合には、頒布・再頒布の形態を問わず、このページの利用条件に準拠して無償で自由に利用できるようにしてください。
この教材のご利用について 配布場所 http://www.al.ics.saitama-u.ac.jp/horiyama/OCW/ この powerpoint ファイルの著作者 堀山 貴史 2007-2009 horiyama@al.ics.saitama-u.ac.jp 改変等を加えられた場合は、お名前等を追加してください 図の著作者 p. 3, 4 スマイルマーク : Microsoft Office Online / クリップアート その他 : 堀山 貴史