基本情報技術概論II (第4回) 埼玉大学 理工学研究科 堀山 貴史

Slides:



Advertisements
Similar presentations
個人情報保護講座 目 次 第1章 はじめに 第2章 個人情報と保有個人情報 第3章 個人情報保護条例に規定されている県の義務 第4章 個人情報の漏えい 第5章 個人情報取扱事務の登録 第6章 保有の制限 第7章 個人情報の取得制限 第8章 利用及び提供の制限 第9章 安全性及び正確性の確保 第 10.
Advertisements

CMU2005 海外エンジニアリングワークショップ参加報告書 1 「真の要求を見極めろ!」: teamB 要求定義をどう捉えるか ● 要求定義とは何か? 製品には、顧客の望むことを正しく反映させる必要がある。 そのために必要なものが要求仕様である。 すなわち、要求仕様とは、顧客と製品を結ぶものであり、これを作ることが要求定義である。
1業務の実施方針等に関する事項 【 1.1 調査内容の妥当性、独創性】  事業の基本方針、目的及び調査内容 記述内容 ・仕様書を踏まえて、本事業の基本方針、目的について具体的に記述する。 ・仕様書を踏まえて、本事業の内容について具体的に記述する。 ・当局が提示した内容以外に、当該事業を効果的・効率的に実施するための新たな提案がある場合、その内容を具体的に記述する。
© 2012 ISACA. All rights reserved. ISACA の事前の許可 無く、本著作物の全部又は一部について、あらゆる 形式や手段(電磁的、機械的、写真複写、記録、そ の他の方法)による使用、複製、再生、改変、配布 、表示、検索システムへの組込、送信を行うことを 禁じます。本著作物の使用は、個人的に使用する場.
当社の 「品質マネジメントシステム」(QMS)の 今後の運用について
基本情報技術概論(第2回) 埼玉大学 理工学研究科 堀山 貴史
第4章 ABC/ABMと原価情報 原価計算・原価低減の新技法 1.ABCとは何か 2.ABCの有効性 3.ABMとは何か 4.ABMの有効性.
基本情報技術概論 I 演習(第5回) 埼玉大学 理工学研究科 堀山 貴史
《Ⅴ 解説》 35.監査調書様式体系の全体像 【監査の基本的な方針】 【詳細な監査計画】 【リスク評価手続】 【リスク対応手続の立案】
基本情報技術概論(第12回) 埼玉大学 理工学研究科 堀山 貴史
①プロジェクトとは ②プロジェクト・マネジメント
『会社の仕組み』(2013年度秋学期) 第一回 講義概要 会社法について
PacSec Nov 6, ISMSおよびその重要性 Richard Keirstead CISSP, BS7799 主任監査員
サービスレベルに基づく クラウドシステムのマネジメント方法
多々納 裕一 京都大学防災研究所社会システム研究分野
現代の金融入門 第5章 3節 企業統治の変質と再生
基本情報技術概論(第4回) 埼玉大学 理工学研究科 堀山 貴史
大谷経営労務管理事務所のISO9001認証取得について
事業計画 発表者名 | 会社名.
グループ研究1班 第一章 経営戦略とは何か 雨森 彩 大嶋 健夫 小沢 博之.
(別紙1)プロフェッショナルサービスの概要
第14回 商事関係法 2005/11/21.
社会人基礎Ⅱ 第2回 業界・企業分析の基礎 法令の視点から.
マーケティング計画.
第11回 商法Ⅱ 2007/01/15.
第三章 会社のグループを形成する.
顧客 「ISO9001」と「ISO22000」の違い ISO22000 ISO9001 リスクをなくす 顧客満足 食の安全性 品質の差別化
構成管理 構成管理とは、ソフトウェア開発に於ける成果物をある時点で凍結し、 以降の変更を管理する事をいう
基本情報技術概論(第3回) 埼玉大学 理工学研究科 堀山 貴史
COBIT 5 エグゼクティブ・サマリー.
情報セキュリティ - IT時代の危機管理入門 -
【1 事業の目的、内容及び実施方法】 1.1 事業目的
第22回 商事関係法 2006/01/ /11/8.
第8回 商法Ⅱ        2006/11/ /11/8.
情報工学総合演習 D-I 近似アルゴリズム 埼玉大学 理工学研究科 山田 敏規、 橋口 博樹、 堀山 貴史
社会人基礎Ⅱ 第2回 業界・企業分析の基礎 法令の視点から.
株式公開成功事例002 1.経緯 ベンチャー立上から十数年経過し業績順調、もう一段上のステージを求めてIPOチャレンジ 2.結果
IT演習B マネジメント系4 サービスメンジメント、システム監査
ISO 9001:2015 The process approach
「沖縄におけるスポーツサイエンスの拠点化に向けた
ITIL V3 ファンデーション 紹介 2012/6/27  担当 藤生.
第11回 継続的監査.
PMO  山本洋徳.
長期滞在型テレワークの誘致及び導入検討調査
「沖縄におけるスポーツサイエンスの拠点化に向けた
基本情報技術概論(第6回) 埼玉大学 理工学研究科 堀山 貴史
上級アドミニストレータ連絡会 関西研修会 平成18年11月25日 公認会計士・公認システム監査人 藤野正純
【1 調査の目的、内容及び実施方法】 1.1 調査目的
会社名 ビジネス プラン プレゼンテーション.
その他 手法の組合せ.
ビジネス プロジェクトの計画 発表者名 | 会社名.
基本情報技術概論I (第4回) 埼玉大学 理工学研究科 堀山 貴史
第11回 内部統制.
~求められる新しい経営観~ 経済学部 渡辺史門
基本情報技術概論(第2回) 埼玉大学 理工学研究科 堀山 貴史
1業務の実施方針等に関する事項 【1.1調査内容の妥当性、独創性】
1業務の実施方針等に関する事項 【1.1事業実施の基本方針、業務内容等】
基本情報技術概論(第10回) 埼玉大学 理工学研究科 堀山 貴史
トピック6 臨床におけるリスクの理解と マネジメント 1 1.
基本情報技術概論(第13回) 埼玉大学 理工学研究科 堀山 貴史
基本情報技術概論(第5回) 埼玉大学 理工学研究科 堀山 貴史
第10回 商法Ⅱ 2006/12/11.
基本情報技術概論(第6回) 埼玉大学 理工学研究科 堀山 貴史
基本情報技術概論(第5回) 埼玉大学 理工学研究科 堀山 貴史
資格取得スキルⅠb (ITパスポート試験対策講座)
(別紙1) 提案書雛型 令和元年度 沖縄型テレワーク実装推進調査 ー提案書ー                        (日付)                        (企業名)                        (連絡先等)
IT演習B マネジメント系4 サービスメンジメント、システム監査
内部統制とは何か.
長野大学における科研費等の運営・管理について
第5日目 ITパスポート試験対策 授業関連資料
Presentation transcript:

基本情報技術概論II (第4回) 埼玉大学 理工学研究科 堀山 貴史 2009/11/9 基本情報技術概論 II (第4回) マネジメント・ストラテジ マネジメント / 監査 情報処理技術者試験 http://www.jitec.jp/ 基本情報 午前の問題 全部で 80 問 マネジメント系 1 0 問 ストラテジ系 20 問 埼玉大学 理工学研究科 堀山 貴史 システム開発技術の分野等も関連している _____ 2008/01/23

マネジメント (経営管理) 企業の経営資源 … 人、もの、金 + 情報 マネジメント … 経営資源の活かし方 マネジメント (経営管理) 企業の経営資源 … 人、もの、金 + 情報 マネジメント … 経営資源の活かし方 マネジメント (ピーター・ドラッカーによる定義) 組織に特有の使命、目的を果たすこと 仕事を通じて働く人たちを生かすこと 社会の問題について貢献すること これらを達成するための考え方、手法、実践 マネジメントの基本プロセス : PDCA サイクル ピーター・ドラッカー : 1909 ~ 2005。 マネジメントの父、とも 呼ばれる経営学者・社会学者。経営に関する様々な概念を提案 ________________ Plan (計画) Do (実行) Check (検証) Action (改善)

企業組織 監査役設置会社 株主 監査役会 (監査役) 取締役会 (取締役) 執行役員 管理者層 担当者層 業務監査 会計監査 出資額での有限責任を負う 所有と経営の分離 : 経営は、経営能力の ある人に委任 業務監査 監査役会 (監査役) 取締役会 (取締役) 会社の戦略を決定 会計監査 執行役員 各部門の業務を執行 (取締役であることが多い) 内部監査 各レベルで、レベルに 応じた PDCA サイクルを 実践 管理者層 担当者層

企業組織 CEO (Chief Executive Officer) COO (Chief Operating Officer) 委員会等設置会社 (アメリカ型の組織形態) 取締役会 (取締役) 会社の戦略を決定 _____ 監査・監督 意思決定と執行を分離 執行役 各部門の業務を執行 CEO (Chief Executive Officer) 最高経営責任者 多くは、会長や社長 COO (Chief Operating Officer) 最高執行責任者 C I O (Chief Information Officer) (戦略) 情報統括役員 経営戦略の一部として I T 戦略を立案、実行 _____ 内部監査 管理者層 _____ 担当者層 _____ 日本では、会長は創業者や前社長の名誉職であることが多い。CIO は、単に 情報部門長を意味する場合もある。

より良い経営のために … コーポレート ガバナンス … 企業価値最大化・企業理念実現 のため、企業経営を律する仕組み コーポレート ガバナンス … 企業価値最大化・企業理念実現 のため、企業経営を律する仕組み 内部統制 … 経営戦略や事業目的を、組織として機能させ、 達成するための仕組み リスク マネジメント (リスク管理) … 経営理念や事業目的に 照らして経営に重大な影響を及ぼすリスクを認識・対応する コンプライアンス (法令遵守/じゅんしゅ) 法令や実務基準、社内規則、企業論理に従って活動する アカウンタビリティ (説明責任) 法令等を守っている事を、対外的に説明する責任がある I T ガバナンス 企業が競争優位性構築を目的に、IT戦略の策定・実行を コントロールし、あるべき方向へ導く組織能力

I T 関連の マネジメント / 監査 マネジメント プロジェクト マネジメント (含 リスク マネジメント) サービス マネジメント システム監査 参考 I T経営ポータル (経済産業省) http://www.meti.go.jp/policy/it_policy/it_keiei/ C I O の機能と実践に関するベストプラクティス http://www.meti.go.jp/press/20051221001/2-cio-set.pdf @ I T 情報マネジメント 用語辞典 http://www.atmarkit.co.jp/im/terminology/

プロジェクト マネジメント プロジェクト … 目標達成のために行う有期の活動 プロジェクト マネージャ プロジェクト … 目標達成のために行う有期の活動 プロジェクト マネージャ 情報システム開発プロジェクトの責任者として、 プロジェクトの計画を作成し、 要員などプロジェクト遂行に必要な資源の調達、 プロジェクトの体制の確立および 予算・納期・品質などの管理を行い、 プロジェクトを円滑に運営する者 PDCA サイクルで、プロジェクト マネジメントを実施 Plan (計画) Do (実行) Check (検証) Action (改善)

プロジェクト マネジメント (9エリア) 統合マネジメント スコープ マネジメント タイム マネジメント コスト マネジメント プロジェクト マネジメント (9エリア) WBS の 説明を 省略 統合マネジメント 各エリアを統合的に管理、調整する スコープ マネジメント 必要な作業を過不足なく含める タイム マネジメント 所定の時期 (納期) に完了させる コスト マネジメント 予算内で完了させる 品質マネジメント (品質管理、品質保証) 顧客ニーズを満たすために、品質方針、目標、責任を定め、必要なプロセスを実施する → ベンチマーク、ウォークスルー、レビュー、テスト ________________ → ファンクションポイント法、 COCOMO など ________________

プロジェクト マネジメント (9エリア) 人的資源マネジメント コミュニケーション マネジメント リスク マネジメント 調達マネジメント プロジェクト マネジメント (9エリア) ________________ 人的資源マネジメント プロジェクトチームのメンバがそれぞれの役割と責任を まっとうすることで、チームとして機能させる コミュニケーション マネジメント プロジェクト情報の生成から配布、廃棄までを適切に 行うことで、人と情報を結びつける リスク マネジメント プロジェクトのマイナス要因の発生確率と影響を 低減させる (→ 詳細は、次のページ以降) 調達マネジメント 必要な資源やサービスを外部から購入/取得するために 必要な契約やその管理 ________________

リスク マネジメント リスク 脅威が情報資産の脆弱性を利用して、 情報資産への損失や損害を与える可能性 脅威 損失/損害 自然災害、システム障害、人的資源、不正行為など 損失/損害 直接損失 … 障害、盗破壊、盗難など 間接損失 … 業務の中断、信用損失 対策費用 … 復旧費用、リスク対策費用 ぜいじゃく

リスク マネジメント 純粋リスク … 損失だけを生む可能性のあるリスク 投機的リスク … 損失と利益を生む可能性のあるリスク 純粋リスク … 損失だけを生む可能性のあるリスク 投機的リスク … 損失と利益を生む可能性のあるリスク リスク マネジメント 費用対効果を考え、優先順位をつけて対処する リスク分析 可能性のあるリスクを洗い出し、影響度を分析 分析対象の把握 → 脆弱性の発見と識別 → 損失額の予想 → 損失の分類と影響度の分析 → リスク対策の検討・評価と優先順位の決定

リスク マネジメント (対策) リスク ファイナンス リスク移転 リスク保有 リスク コントロール ________________ リスク マネジメント (対策) ________________ リスク ファイナンス リスクが現実化した場合の対策 損失の補填や対応費用を確保しておく リスク移転 保険加入により、保険会社に補填させる リスク保有 自己負担により、損失補填する リスク コントロール リスクの現実化を防ぐための事前策 技術的/物理的対策などにより、リスク発生を防止し、損失を軽減する ________________ ________________ ________________

コンティンジェンシー プラン 緊急時対応計画 リスクが現実化した場合を想定し、損失/損害を 最小限にするために定めた対応策/行動手順 ________________ 緊急時対応計画 リスクが現実化した場合を想定し、損失/損害を 最小限にするために定めた対応策/行動手順 損害の規模とリスクの発生確率を加味して策定 リスク発生時の各メンバーの行動指針や行動計画 顧客やマスコミへの対応方針 業務や機能の継続/復旧作業の優先順位 代替設備/業者の用意 安全在庫の確保 情報漏洩: 2次被害の防止、原因追究、顧客対応の観点で策定 指針 リスク 発生 後の 対策 例) 参考 : @ I T 情報マネジメント / コンティンジェンシー プラン http://www.atmarkit.co.jp/aig/04biz/contingencyplan.html

サービス マネジメント

サービス マネジメント I T I L (Information Technology Infrastructure Library) I T サービス マネジメント (ビジネスと I T 技術の掛橋) サービス提供者が、利用者へのサービスの品質を 維持・向上させるため、情報システムの 維持管理・効率的な運用・改善を行う仕組み I T I L (Information Technology Infrastructure Library) I T サービス マネジメントのガイドライン SLA (サービスレベル契約 / Service Level Agreement) サービスの品質に関する利用者と提供者の契約 品質、範囲、提供者と利用者の責任を明確化する PDCA サイクルで、サービス マネジメントを実施 _______ 車の 両輪 _______

I T I L (Information Technology Infrastructure Library) 参考 : 関連する国際規格 ISO 20000 I T I L (Information Technology Infrastructure Library) I T サービス マネジメントの ベスト プラクティス集 (ノウハウを体系化したガイドライン) I T I L v2 は、主に以下の2つの観点 サービス サポート 日々の運用手法 5プロセス + 1機能 サービス デリバリ 中長期的な観点からの、計画と改善手法 5プロセス 参考 : I T I L の最新は v3 だが、多くの場合に v2 が利用されている

I T I L サービス サポート (日々の運用手法) サービス サポート (日々の運用手法) プ ロ セ ス インシデント管理 インシデントの検知から解決までの一連のプロセスで あり、迅速にサービスを復旧させ、業務への影響を最 小限に抑える。 問題管理 問題の根本原因を突き止め、インシデントの再発防止 のための解決策を提示する。 構成管理 I T サービスを構成するハードウェア、ソフトウェア、 ドキュメントなどの C I (Configuration Item/構成品目) に関する情報を定義し、正確な構成情報を維持する。 変更管理 C I の変更要求 (Request for Change/RFC) について、 その影響を評価し、承認/却下を決める。変更を安全 確実かつ効率的に実施することが目的。 リリース管理 承認された変更を本番環境に正しく反映させる作業を コントロールする。 機 能 サービスデスク (ヘルプデスク) サービスの利用者と提供者の間での一元的な窓口。 適切な部署への引継/対応の記録/記録の管理など。

I T I L 中長期的な観点からの、 計画と改善手法 サービス デリバリ サービスレベル 管理 (SLM) プ ロ セ ス サービスレベル 管理 (SLM) サービスの利用者と提供者の間でのサービスレベル 契約 (SLA / → p.15) をもとに、サービスレベルを管理。 キャパシティ管理 システムがサービスレベルを満たすのに必要な容量 や能力などのキャパシティを管理し、最適なコストで、 現在や将来のシステムの安定稼働を実現させる。 → CPU 使用率、メモリ使用率、ネットワーク使用率 等 可用性管理 サービス利用者が利用したい時に確実に利用できる よう、I T サービスを構成する各機能を維持管理する。 → 可用性、保守性、MTTR IT サービス 継続性管理 障害時には合意した時間内にシステムを復旧させ、 影響を許容範囲内に抑え、サービス継続性を確実に 満たせるようにする。 IT サービス 財務管理 サービスの提供に必要なコストの予測、実際のコスト や収益性を管理。 → TCO

システム監査

システム監査 目的 組織体の情報システムにまつわるリスクに対する コントロールがリスクアセスメントに基づいて適切に 整備・運用されているかを、独立かつ専門的な立場の システム監査人が検証又は評価することによって、 保証を与えあるいは助言を行い、 もって I T ガバナンスの実現に寄与すること 経済産業省 新「システム監査基準」、「システム管理基準」の公表について http://www.meti.go.jp/policy/it_policy/press/0005668/ より

システム監査 (概要) 「システムがうまく整備・運用されているか」を監査 監査は客観的に 監査は任意監査 (法定監査では無い) システム監査 (概要) 「システムがうまく整備・運用されているか」を監査 整備・運用ではなく、あくまでも整備・運用のチェック 整備・運用がシステム管理基準に準拠しているか 監査は、システム監査基準に基づいて実施 監査は客観的に 監査人は、監査対象から独立でなければならない 内部監査 (組織内の監査部門) or 外部監査 (組織外の監査法人など) どちらも ok 監査人は、守秘義務を負う 監査は任意監査 (法定監査では無い) 監査役の業務監査の一環で行われることもある ________________ → p. 3

システム監査 (概要の補足) 情報システムにまつわるリスクのコントロール その整備・運用の目的 システム監査 (概要の補足) 情報システムにまつわるリスクのコントロール その整備・運用の目的 情報システムが、会社の経営方針および 戦略目標の実現に貢献するため 情報システムが、会社の目的を実現するように 安全、有効、かつ効率的に機能するため 情報システムが、内部または外部に報告する 情報の信頼性を保つように機能するため 情報システムが、関連法令、契約または 内部規定等に準拠するようにするため

システム監査の手順 監査計画 (目標、時期、監査内容、監査範囲など) 監査実施 予備調査 (本調査を効率的に行うための実態把握) 本調査 監査計画 (目標、時期、監査内容、監査範囲など) 監査実施 予備調査 (本調査を効率的に行うための実態把握) 本調査 評価・結論 監査報告 経営者への結果説明、改善点の勧告 改善状況の確認と改善指導 (フォローアップ) 参考 監査報告書には、実施した監査の対象、実施した監査の概要、保証意見又は 助言意見、制約又は除外事項、指摘事項、改善勧告、その他特記すべき事項 について、証拠との関係を示し、システム監査人が監査の目的に応じて必要と 判断した事項を明瞭に記載しなければならない。 (システム監査基準より)

監査証拠 と 監査証跡 監査証拠 監査証跡 監査報告書の監査意見を立証する根拠となる事実 しょうこ しょうせき 監査証拠 と 監査証跡 監査証拠 監査報告書の監査意見を立証する根拠となる事実 監査証跡 時系列でつながった一連の監査証拠 (事象の発生から最終結果に至る過程および その逆方向の追跡ができる情報) コントロールが機能していることの証明手段となる 安全性のコントロールに関して - アクセスログ、オペレーションログ など 信頼性のコントロールに関して - テスト結果報告書 など 効率性のコントロールに関して - 費用対効果分析表 など

セキュリティ コントロール 情報システムのセキュリティ コントロールを、 予防、検知、復旧の3つに分けた場合、 復旧に該当するものはどれか。 ア) オペレータとプログラマの職務分離 イ) コンティンジェンシープラン ウ) パスワードの利用 エ) メッセージ認証

リスク マネジメント リスクが顕在化しても、その影響が小さいと 想定されるので、損害の負担を受容する リスク対応はどれか ア) リスク移転 ア) リスク移転 イ) リスク回避 ウ) リスク低減 エ) リスク保有

プロジェクト マネジメント (9エリア) 統合マネジメント スコープ マネジメント タイム マネジメント コスト マネジメント プロジェクト マネジメント (9エリア) 統合マネジメント スコープ マネジメント タイム マネジメント コスト マネジメント 品質マネジメント 人的資源マネジメント コミュニケーション マネジメント リスク マネジメント 調達マネジメント

システム監査 (概要) IT ガバナンス 企業が競争優位性構築を目的に、IT戦略の策定・ 実行をコントロールし、あるべき方向へ導く組織能力 システム監査 (概要) IT ガバナンス 企業が競争優位性構築を目的に、IT戦略の策定・ 実行をコントロールし、あるべき方向へ導く組織能力 (参考) コーポレート・ガバナンス 誰が意思決定を下すのか 誰が執行するのか 誰が監査するのか 誰が説明責任を果たすのか … 経済産業省 IT経営ポータル ITガバナンス http://www.meti.go.jp/policy/it_policy/it_keiei/action/keyword/governance/

この文面は、TOKYO TECH OCW の利用 条件を参考にしました この教材のご利用について この教材は、以下に示す利用条件の下で、著作権者にわざわざ許諾を求めることなく、無償で自由にご利用いただけます。講義、自主学習はもちろん、翻訳、改変、再配布等を含めて自由にご利用ください。 非商業利用に限定 この教材は、翻訳や改変等を加えたものも含めて、著作権者の許諾を受けずに商業目的で利用することは、許可されていません。 著作権の帰属 この教材および教材中の図の著作権は、次ページ以降に示す著作者に帰属します。この教材、または翻訳や改変等を加えたものを公開される場合には、「本教材 (or 本資料) は http://www.al.ics. saitama-u.ac.jp/horiyama/OCW/ の教材です (or 教材を改変したものです」 との旨の著作権表示を明確に実施してください。なお、この教材に改変等を加えたものの著作権は、次ページ以降に示す著作者および改変等を加えた方に帰属します。 同一条件での頒布・再頒布 この教材、または翻訳や改変等を加えたものを頒布・再頒布する場合には、頒布・再頒布の形態を問わず、このページの利用条件に準拠して無償で自由に利用できるようにしてください。

この教材のご利用について 配布場所 http://www.al.ics.saitama-u.ac.jp/horiyama/OCW/ この powerpoint ファイルの著作者 堀山 貴史 2007-2009 horiyama@al.ics.saitama-u.ac.jp 改変等を加えられた場合は、お名前等を追加してください 図の著作者 p. 3, 4 スマイルマーク : Microsoft Office Online / クリップアート その他 : 堀山 貴史