Overview:
For companies holding many systems, this book has know-how that indexes the risks of each system.
*Contents are written in Japanese
<本書の概要>
数多くのシステムを保有・利用する企業にとって、システム毎のリスクを指標化するノウハウを本書に纏めています。
(中小企業での管理でも参考になると思いますが、)特に、100システム以上ある環境の中で、本書を使用し、業務・作業を実施出来ることを目的としています。
対象は、企業の中のシステム部門が構築・運用するシステムの他、EUC、クラウド(SaaS)が対象です。
<SEノウハウシリーズの特徴>
・システム構築、各種管理における実際のノウハウであること
・業務、作業単位で記載していること
(実際の業務を行う中で、本書を参考に対応出来ると思います)
・リスクに応じた管理、コスト意識を持った管理が実施できるよう、対象について特筆していること
<章立て>
1 システム重要度評価
1.1. 準備
1.1.1. 用語
1.1.2. 本書の前提(システム台帳)
1.1.3. 本書の前提(体制・役割)
1.1.4. 効果・活用事例
1.2. 対象
1.2.1. 対象外について
1.3. 実施タイミング
1.4. 機密性の評価
1.4.1. リスク
1.4.2. 評価要素
1.4.3. 評価方法
1.4.4. 評価結果
1.5. 完全性の評価
1.5.1. リスク
1.5.2. 評価要素
1.5.3. 評価方法
1.5.4. 評価結果
1.6. 可用性の評価
1.6.1. リスク
1.6.2. 評価要素
1.6.3. 評価方法
1.6.4. 評価結果
1.7. 【補足】共通基盤の評価等
<本書の冒頭>
企業では、大規模なシステムから表計算ソフト等の簡易ツールまで多種多様なシステムを保有・利用している。
システム種別で見ると、システム、EUC、クラウドであり、また、システム所管で見ると、システム部、ユーザー部、委託事業者があり、さらには、環境別で見ると、本番環境、開発環境がある。
これらのシステムを管理するためには、システム毎の概要、リスク特性の把握が基本となるが、例えば、100システムの概要とリスク特性を把握は何とか出来たとしても、1000システムもあると、個々のシステムの概要・リスク特性を把握するのが難しくなってくる。
つまり、企業は人が把握できない数のシステムを保有した際に「多くのシステムのリスクを可視化するにはどのような管理を行うべきか」という課題に直面するのである。
その解決策となるのが、本書の「システム重要度評価」である。システム重要度評価とは、個々のシステム(※1)の持つ潜在的な脅威、影響等のリスクを評価し、重要度ランクとして指標化する作業である。その指標化は、システム毎に「機密性」、「完全性」、「可用性」の3項目で評価し、項目毎に4ランクに分類する。
<評価項目別 評価ランク>
・機密性:最重要/重要/一般/その他
・完全性:最重要/重要/一般/その他
・可用性:最重要/重要/一般/その他
<評価結果 イメージ>
・人事システム :重要 一般 一般 (※2)
・販売管理システム:一般 重要 重要
・顧客マスター :重要 一般 重要
・〇〇ツール :一般 一般 その他
指標化することにより、多くのシステムを抱える企業にとって、システムのリスクを可視化し、リスクに応じた対策を施し、効率的な管理を行うことが出来る。
⇒具体的な効果、活用方法については1.1.4効果・活用事例を参照
※1 システム
本書のシステムには、ITが開発するシステムの他、EUC、クラウド(SaaS)等を含む。
⇒詳細は、1.2対象を参照
※2 連続表記について
例えば、「重要 一般 一般」と連続表記した場合、機密性が「重要」、完全性が「一般」、可用性が「一般」の意味である。(C.I.Aの順序)
For companies holding many systems, this book has know-how that indexes the risks of each system.
*Contents are written in Japanese
<本書の概要>
数多くのシステムを保有・利用する企業にとって、システム毎のリスクを指標化するノウハウを本書に纏めています。
(中小企業での管理でも参考になると思いますが、)特に、100システム以上ある環境の中で、本書を使用し、業務・作業を実施出来ることを目的としています。
対象は、企業の中のシステム部門が構築・運用するシステムの他、EUC、クラウド(SaaS)が対象です。
<SEノウハウシリーズの特徴>
・システム構築、各種管理における実際のノウハウであること
・業務、作業単位で記載していること
(実際の業務を行う中で、本書を参考に対応出来ると思います)
・リスクに応じた管理、コスト意識を持った管理が実施できるよう、対象について特筆していること
<章立て>
1 システム重要度評価
1.1. 準備
1.1.1. 用語
1.1.2. 本書の前提(システム台帳)
1.1.3. 本書の前提(体制・役割)
1.1.4. 効果・活用事例
1.2. 対象
1.2.1. 対象外について
1.3. 実施タイミング
1.4. 機密性の評価
1.4.1. リスク
1.4.2. 評価要素
1.4.3. 評価方法
1.4.4. 評価結果
1.5. 完全性の評価
1.5.1. リスク
1.5.2. 評価要素
1.5.3. 評価方法
1.5.4. 評価結果
1.6. 可用性の評価
1.6.1. リスク
1.6.2. 評価要素
1.6.3. 評価方法
1.6.4. 評価結果
1.7. 【補足】共通基盤の評価等
<本書の冒頭>
企業では、大規模なシステムから表計算ソフト等の簡易ツールまで多種多様なシステムを保有・利用している。
システム種別で見ると、システム、EUC、クラウドであり、また、システム所管で見ると、システム部、ユーザー部、委託事業者があり、さらには、環境別で見ると、本番環境、開発環境がある。
これらのシステムを管理するためには、システム毎の概要、リスク特性の把握が基本となるが、例えば、100システムの概要とリスク特性を把握は何とか出来たとしても、1000システムもあると、個々のシステムの概要・リスク特性を把握するのが難しくなってくる。
つまり、企業は人が把握できない数のシステムを保有した際に「多くのシステムのリスクを可視化するにはどのような管理を行うべきか」という課題に直面するのである。
その解決策となるのが、本書の「システム重要度評価」である。システム重要度評価とは、個々のシステム(※1)の持つ潜在的な脅威、影響等のリスクを評価し、重要度ランクとして指標化する作業である。その指標化は、システム毎に「機密性」、「完全性」、「可用性」の3項目で評価し、項目毎に4ランクに分類する。
<評価項目別 評価ランク>
・機密性:最重要/重要/一般/その他
・完全性:最重要/重要/一般/その他
・可用性:最重要/重要/一般/その他
<評価結果 イメージ>
・人事システム :重要 一般 一般 (※2)
・販売管理システム:一般 重要 重要
・顧客マスター :重要 一般 重要
・〇〇ツール :一般 一般 その他
指標化することにより、多くのシステムを抱える企業にとって、システムのリスクを可視化し、リスクに応じた対策を施し、効率的な管理を行うことが出来る。
⇒具体的な効果、活用方法については1.1.4効果・活用事例を参照
※1 システム
本書のシステムには、ITが開発するシステムの他、EUC、クラウド(SaaS)等を含む。
⇒詳細は、1.2対象を参照
※2 連続表記について
例えば、「重要 一般 一般」と連続表記した場合、機密性が「重要」、完全性が「一般」、可用性が「一般」の意味である。(C.I.Aの順序)
