本日からサービスマネジメントとシステム監査に入ります。マネジメント系のジャンルですね。わくわくしませんか?
はい、わくわくしませんよね。
それでは、いってみましょーか!
基本情報技術者~サービスマネジメントとシステム監査~
サービスマネジメントとシステム移行
企業が消費者に売るものは「商品」と「サービス」です。ここからは、特に「サービス」についての解説を行います。基本情報技術者試験では「一斉移行方式」という単語が出題されます。
サービスマネジメントとは
サービスマネジメントとは、利用者に対するサービスを維持・改善する活動です。「プロジェクトマネジメント」は1回限りの活動ですが、こちらは定常的な活動となります。システムを納品後も、サービスマネジメントを行い、サービスレベルを維持・改善する必要があります。
- サービスマネジメントシステムとITサービスマネジメント
サービスマネジメントシステムとは、サービスマネジメントを効率的に管理することです。
ITサービスマネジメントとは、ITサービスを維持・改善していくことです。
- サービスレベル
サービスレベルとは、ユーザーに対するサービスの品質のことです。
システム開発は作って終わりということではなく、次のサービスレベルを高品質に保つということが重要になります。
ITIL
ITIL(Information Technology Infrastructure Library)とは、ITサービスマネジメントのベストプラクティスが書かれた本です。
ITILの考え方をまとめたものに「ISO/IEC 20000」という規格があります。この規格を日本語に訳したものが「JIS Q 20000」です。
サービスマネジメントにおけるPDCA
| プロセス | 説明 |
|---|---|
| 計画(Plan) | サービスマネジメントシステムを確立し、文書化し、合意する。 |
| 実行(Do) | サービスの設計、移行、提供および改善のためにサービスマネジメントシステムを導入し、運用する。 |
| 点検(Check) | 方針、目的、計画およびサービスの要求事項について、サービスマネジメントシステムおよびサービスを監視、測定およびレビューし、それらの結果を報告する。 |
| 処置(Act) | サービスマネジメントシステムおよびサービスのパフォーマンスを継続的に改善するための処置を実施する。 |
システム移行方式
長くサービスを運用していると、維持・改善のために途中でシステムを入れ替えるケースがでます。その場合にシステム移行を行います。なかでも「一斉移行方式」がよく出題されます。
| システムの移行方式 | 説明 |
|---|---|
| 一斉移行方式 | 現在のシステムを止めて、新しいシステムに一気に切り替える方式。コストが安くなるメリットがある。反面、一気に切り替えを行うので、問題が起きたときの被害はでかい。 |
| 段階的移行方式 | 現在のシステムを業務や地域などで小分けにして、その単位ごとに徐々に切り替える方式。 |
| 並行移行方式 | 現在のシステムと新しいシステムを同時に動かし、結果を見ながら切り替える方式。 |
| 一斉移行 | 段階的移行 | 並行移行 | |
|---|---|---|---|
| コスト | 安い | 中間 | 高い |
| リスク | 高い | 中間 | 低い |
サービスレベル管理
サービスレベル管理(Service Level Management:SLM)とは、サービスの提供者と利用者が合意した「サービスレベル(サービスの品質)」を維持・改善するための活動のことです。
SLA
SLA(Service Level Agreement:サービスレベル合意書)とは、サービス提供者とサービス利用者の間で取り決められるサービスレベルを明文化した書類です。
サービス利用者側がSLAを作るメリットは、求めるサービスレベルを保証してもらえることです。
サービス提供者側がSLAを作るメリットは、サービスの範囲と品質が明確になることです。
例)
乙が監視するネットワークにおいて、回旋異常を検知した場合には、検知した異常の内容を60分以内に甲に報告するものとする。
ITパスポート試験 平成24年度
可用性管理
可用性管理とは、ユーザーが求めるサービスレベルのうちの「可用性を確保するための活動」のことです。可用性とは、「サービスを使いたいときに、使えること」です。つまり、「使いたいときに使える」ということです。
サービスデスク
問い合わせ窓口のことを「サービスデスク」と呼びます。基本情報技術者試験では「既知の誤り」「ローカルサービスデスク」などがよく出題されます。
インシデント管理
インシデント管理とは、サービスを迅速に復旧させる活動のことです。「PCが起動しない」「電子メールが送信できない」といった状況を、インシデントと呼びます。インシデント管理では、こういった状況を迅速に復旧させるための作業を行います。
- 既知の誤り
既知の誤りとは、根本原因がすでに特定されているか、もしくは回避策がすでにあるが、まだ解決されていない問題のことです。
すでに回避策がある問題であるならば、サービスの利用者から障害報告があった場合に、すぐに対応できます。そこで、インシデント管理では、障害報告があった場合に、その問題が「既知の誤り」に該当するかどうかを確認します。
問題管理
問題管理とは、インシデントの根本原因を究明し、再発を防止する活動です。インシデント管理では、障害の迅速な復旧が求められましたが、問題管理では、障害の根本原因の究明が主たる作業となります。
- インシデント≠問題
基本情報技術者試験において、「インシデント」と「問題」は明確に区別がされています。
「インシデント」とは、「通常の業務を遂行できない状態」です。
一方、「問題」とは、「インシデントを引き起こしている根本原因」です。
サービスデスク
サービスデスクとは、トラブルなどの問い合わせを受け付ける単一の窓口です。サービスデスクの目的は、サービスレベルを低下させないことです。そのため、サービスデスクでは、問題管理に基づいた「根本原因の究明」よりも、インシデント管理に基づいた「迅速な回答や復旧」を優先して行います。
- サービスデスクの4つの種類
4つのサービスデスクの種類のうち、基本情報技術者試験では「ローカルサービスデスク」が頻出です。
| 種類 | 説明 |
|---|---|
| ローカルサービスデスク | ユーザーが住んでいる地域ごとにサービスデスクを設置する形態。 |
| 中央サービスデスク | 一箇所に集中してサービスデスクを設置する形態。 |
| バーチャルサービスデスク | 複数拠点を仮想的に、1つのサービスデスクに見せる形態。 |
| フォロー・ザ・サン | 地理的に分散した2つ以上のサービスデスクを組み合わせて、24時間体制でサービスを提供うする形態。 |
ファシリティマネジメント
厳密にいうと、システムは「ハードウェア」「ソフトウェア」に加え、「その他の設備」から成り立っています。その他の設備の具体例としては、「ネットワーク設備」「電源設備」「空調設備」などが挙げられます。
ファシリティマネジメント
ファシリティマネジメントとは、建物や設備の保有や運用、維持などを最適化する手法です。ファシリティとは「設備」という意味をもちます。
- さまざまな「マネジメント」
ここで学ぶ「ファシリティマネジメント」の他に、今までに「プロジェクトマネジメント」や「サービスマネジメント」について学びました。それぞれを以下にまとめます。
| 種類 | 定義 | 管理対象 |
|---|---|---|
| プロジェクトマネジメント | ある期限内に、独自のモノやサービスを作るための活動。 | プロジェクト |
| サービスマネジメント | サービスを維持・改善する活動。 | サービス |
| ファシリティマネジメント | 施設の保有、運用、維持を最適化するあ活動。 | ファシリティ |
サージ防護
サージ防護とは、落雷などで瞬間的に発生する高い電圧からシステムを守ることです。落雷によって起きる過電圧のことを「雷サージ」といいます。
サージ防護の例としては、サージ保護デバイスの導入などが挙げられます。
UPS
UPS(Uninterruptible Power Supply:無停電電源装置)とは、停電時にコンピュータに一時的に電力を供給する装置のことです。UPSは「停電時に、すぐに電力を供給できる」というメリットがありますが、「一時的にしか電力を供給できない」というデメリットがあります。
小休止!お試しトライ!過去問①
問1 可用性管理
問題
次の条件でITサービスを提供している。SLAを満たすことができる、1か月のサービス時間帯中の停止時間は最大何時間か。ここで、1か月の営業日数は30日とし、サービス時間帯中は、保守などのサービス計画停止は行わないものとする。
平成30年度
(SLAの条件)
・サービス時間帯は、営業日の午前8時から午後10時までとする。
・可用性を99,5%以上とする。
ア.0.3 イ.2.1 ウ.3.0 エ.3.6
解答
条件1より、サービス時間は14時間。それが30日続くので、
14 ✕ 30 = 420時間
可用性が99.5%以上なので、動いていない停止時間は0.5%。
420時間 ✕ 0.5% = 420 ✕ 0.005 = 2.1
従って、解はイ.となります。
システム監査
監査とは
監査とは、企業活動が正しく行われているかを調査することです。監査対象はさまざまで、それぞれ、業務監査、会計監査、システム監査、情報セキュリティ監査などがあります。
システム監査とは
システム監査とは、企業が情報システムにまつわるリスクに適切に対処しているかどうかを、独立した立場のシステム監査人が評価することです。
- システム監査のための2つの基準
システム監査の内容が誰でも均一となるように、システムを正しく評価するための統一的な基準が定められています。それを「システム管理基準」と呼びます。これは企業が従うルールです。
また、監査人が守るべきルールもあり、「システム監査基準」と呼びます。
| 基準 | 説明 |
|---|---|
| システム管理基準 | 情報システムに関するリスクをコントロールするために、企業が従うべき実践規範。 |
| システム監査基準 | よりよいシステム監査を行うために、監査人が従うべき行為規範(監査ルール)。 |
- システム監査の3つのポイント
システム監査を行う際に、気をつけるべき3つのポイントがあります。
| ポイント | 説明 |
|---|---|
| 信頼性 | 情報システムの品質、ならびに障害の発生、影響範囲、および回復の度合い。 |
| 安全性 | 情報システムの自然災害、不正アクセス、おyび破壊行為からの保護の度合い。 |
| 効率性 | 情報システムの資源の活用、および費用対効果の度合い。 |
情報セキュリティ監査とは
「情報セキュリティ監査」は、システム監査のうち、情報セキュリティに特化した監査のことです。システム監査の監査対象は「システム」であり、情報セキュリティ監査の監査対象は「情報資産」です。情報資産とは、紙やコンピュータに保存された価値のある情報のことです。
- 情報セキュリティ監査の3つポイント
情報セキュリティ監査で気をつけるべき3つのポイントがあり、それは、情報セキュリティマネジメントの三大特性です。
| 特性 | 説明 |
|---|---|
| 機密性 | 認められた人だけが情報にアクセスできること。 |
| 完全性 | 情報が正確であり、改ざんや破壊が行われていないこと。 |
| 可用性 | 必要なときに情報にアクセスできること。 |
監査の流れ
監査に関する問題では、設問中に次の3人の人物が登場します。これらの用語が理解できていないと正答できないこともありますので、それぞれの役割を把握しておきましょう。
- ①依頼
監査は依頼人が監査人に依頼をするところからスタートします。依頼人は通常、経営者です。
- ②調査
依頼を受けた監査人は、被監査部門を調査します。監査人は通常、公認会計士やコンサルタント会社、社内の監査部門などです。
- ③報告
調査が終わると、監査人は依頼人に監査報告書を提出します。
- ④改善命令
依頼人は監査報告書を元に、被監査部門に対して改善命令を出します。
- ⑤改善
被監査部門は改善命令に従って、改善活動を行います。このとき、監査人は改善指導をするだけで、主体的に改善活動を行うことはしません。
監査人の独立性
監査人は独立した第三者であることが大切です。具体的にいうと、被監査部門と利害関係のない者です。
内部統制
システム監査だけでなく、経営者や従業員の自助努力により会社をよくする活動も必要です。こういった社内の活動のことを「内部統制」と呼びます。
| 関連用語 | 説明 |
|---|---|
| コーポレートガバナンス | ステークホルダが企業活動を監視すること。 |
| 内部統制 | 社員全員で業務を健全化すること。 |
| ITガバナンス | ITを使ったコーポレートガバナンス。 |
| IT統制 | ITを使った内部統制。 |
コーポレートガバナンス
コーポレートガバナンス(企業統治)とは、株主を中心としたステークホルダが、企業活動を監視することです。コーポレートガバナンスでは、組織の内部に自浄能力があるかなども監視します。
内部統制
組織内部の自浄能力を高めるのに必要なのが、内部統制です。内部統制とは、社内のすべての人が業務を健全化することです。
内部統制の一例に、職務分掌があります。職務分掌とは、担当者の役割や仕事の権限を明確にすることです。
小休止!お試しトライ!過去問②
問1 システム監査
問題
システム監査の実施体制に関する記述のうち、適切なものはどれか。
平成29年度
ア.監査依頼者が監査報告に基づく改善指示を行えるように、システム監査人は監査結果を監査
依頼者に報告する。
イ.業務監査の一部として情報システムの監査を行う場合には、利用部門のメンバーによる監査
チームを編成して行う。
ウ.システム監査人が他の専門家の支援を受ける場合には、支援の範囲・方法・及び監査結果の
判断は、他の専門家の責任において行う。
エ.情報システム部門における開発状況の監査を行う場合には、開発内容を熟知した情報システ
ム部門のメンバーによる監査チームを編成して行う。
解答
ア.から順番に見ていきます。
ア.依頼者は被監査部門に対して改善指示を行う。システム監査人は監査結果を依頼者に報告する。ということであっているので、「○」。
イ.利用部門のメンバーが監査を行うことは、監査人が第三者でなくてはならないということに反するので、「✕」。
ウ.他の専門家に丸投げしてはいけない。監査結果は監査人の判断で行う必要があるので、「✕」。
エ.情報システム部門の監査は、情報システム部門に関わる人間がおこなってはならないので、「✕」。
従って、解はア.となります。
最後に
サービスマネジメントとシステム監査について、皆様、いかがでしたでしょうか?
私的には、頭に残りづらいジャンルだったので、苦労しました。
ちなみに、テキストを読まないと完全な学習は行えませんので、ぜひ下で紹介している本をご購入いただけたらと思います。
こちらが参考にさせていただいているテキストです。
ポチップ
ではでは、参考までに
コメント