システム監査制度
- 今年4月に、経産省のシステム監査基準とシステム管理基準が13年半ぶりに改訂されました。 http://www.meti.go.jp/policy/netsecurity/sys-kansa/h30kaitei.html
- 「システム監査基準」は、システム監査を実施する監査人の行為規範及び監査手続を規定しており、38頁、12項目からなります。
- 「システム管理基準」は、システム監査人の判断の尺度を規定しており、116頁、57項目からなります。
- 今回の改訂の目的は、今日的な情報技術環境、中小企業における自己診断、ITガバナンスの実現に寄与するためです。
- 問題点として今日的な情報技術、監査/管理の技術、行動規範/基準が混ざっている、情報セキュリティ基準を補完的に活用、情報システムが無定義、ITバナンスが無定義などが挙げられていました。
- 中小企業(診断士)にとっては、システム監査はハードルが高いが、システム管理基準を活用することに意義があると思います。
システム管理基準の新旧対応
まず、システム管理基準の新旧対応を示し、改訂を概観します。
(旧基準 → 新基準)
Ⅰ.情報戦略 → Ⅰ.ITガバナンスになりました。
Ⅱ.企画業務 → Ⅱ.企画フェーズになりました。
Ⅲ.開発業務 Ⅵ.共通業務 2.進捗管理および3.品質管理 → Ⅲ.開発フェーズになりました。
Ⅳ.アジャイル開発 新たに追加されました。
Ⅳ.運用業務 Ⅵ.共通業務 6.変更管理 → Ⅴ.運用・利用フェーズになりました。
Ⅴ.保守業務 → Ⅵ.保守フェーズになりました。
Ⅵ.共通業務 5.委託・受託 → Ⅶ.外部サービス管理になりました。
Ⅵ.共通業務 7.災害対策 → Ⅷ.事業継続管理になりました。
Ⅵ.共通業務 4.人的資源管理 → Ⅸ.人的資源管理になりました。
Ⅵ.共通業務 1.ドキュメント管理 → Ⅹ.ドキュメント管理になりました。
主要な変更点
①「全体最適化」から「ITガバナンス」へ
「全体最適化」は経営陣の意思決定モデルとして不適切であり、「ITガバナンス」を中核に据え、EDMモデルを用いて整理されました。
ITガバナンスの国際標準であるISO/IEC 38500シリーズ及び国内規格JIS Q 38500より、ITマネジメントに対して経営陣が実施する「評価(Evaluate)」、「指示(Direct)」、「モニタ(Monitor)」をEDMモデルと呼びます。
②構成の変更
旧基準の課題は、基準のみでは判りにくかった。新基準での変更は、「主旨」でガイドラインの意図を、「着眼点」で詳細を記載しています。
旧基準 Ⅰ.情報戦略 1.全体最適化 1.1 全体最適化の方針・目標
(1)ITガバナンスの方針を明確にすること。
新基準 Ⅰ.ITガバナンス 1.情報システム戦略の方針及び目標設定
<主旨> 経営陣は、情報システム戦略の方針及び目標の決定の手続を明確化(中略)
<着眼点> ①経営陣は、情報システム戦略の方針及び目標に影響を与える内的環境(後略)
③多様な開発手法への対応
ウォーターフォール以外の開発手法、パッケージソフトウェア、クラウドサービスが、「Ⅲ.開発フェーズ」に追加されました。
アジャイル開発については、「Ⅳ.アジャイル開発」が新たに追加されました。
各論
Ⅲ.開発フェーズ
①項目名称の一般化が行われました。
システム設計は基本設計に、プログラム設計は詳細設計に、プログラミングは実装になりました。
②プロジェクト管理の明確化
共通業務/進捗管理は開発フェーズ/プロジェクト管理になりました。
Ⅴ.運用・利用フェーズ
①利用部門を包含した管理
情報システムの管理は情報システム部門だけでなく、利用部門も一体になって行う必要があることから、「利用フェーズ」の表現を追加し、利用部門の管理事項が記載されました。
②情報セキュリティ確保に関する項目
情報セキュリティ確保に係る項目を洗い出し、別途定められている「情報セキュリティ管理基準」と照合し、最小限の項目に留め、棲み分けました。
③他フェーズとの組み換え
運用のアウトソースは「Ⅶ.外部サービス管理」に、ソフトウェア保守は「Ⅵ.保守フェーズ」になりました。
Ⅵ.保守フェーズ
①保守対象の明確化
保守フェーズの対象はソフトウェアに特定し、ハードウェア保守は「Ⅴ.運用・利用フェーズ」に記載されました。
ソフトウェアの内訳は、
種別:業務ソフトウェア、OS、ミドルウェア、データベース、Webサイト等
形態:自社開発ソフトウェア、パッケージソフトウェアなどの外部調達ソフトウェア、クラウドサービス等となります。
②変更管理の処理フェーズの明確化
仕様変更に伴うソフトウェア保守である変更管理は、業務・他ソフトウェアへの影響が大きいことから、新規開発と同等の手順を踏むこととなりました。
Ⅶ.外部サービス管理
①「外部サービス」とは
外部組織のリソースを活用し、企業内業務の遂行を外部組織に委託することで、クラウド(Cloud)、ASP(Application Service Provider)等の外部サービスの利用契約を含みます。
②サービスレベル管理(SLM)
外部委託元管理者は、サービスの品質を維持するために、SLA(Service Level Agreement:サービスレベル合意)を締結し、委託先がSLAの条件を遵守しているかどうかを定期的に確認し、その結果を部門長に報告します。
Ⅷ.事業継続管理
①ベースとなる考え方は旧基準「Ⅵ.共通業務 7.障害対策」とISO/JIS Q 22301事業継続マネジメントシステムです。
②マネジメントサイクルを確立します。
即ち、1.リスクアセスメント→2.業務継続計画の管理→3.システム復旧計画の管理→4.訓練の管理→5.計画の見直しの管理です。
Ⅸ.人的資源管理、Ⅹ.ドキュメント管理
Ⅸ.人的資源管理は、最近の社会環境・情勢を踏まえ、メンタルヘルスを具体化し、情報セキュリティ管理基準、個人情報保護法へ適合します。
Ⅹ.ドキュメント管理は、ドキュメント作成ルールを明文化し、利用部門長および情報システム部門長は、定期的にドキュメントルールを見直します。 【注意】クラウドやアジャイル開発も、ドキュメント管理の対象となります。
今後の課題
①Web API、DevOps、AI、IoTといった新しい技術領域や開発・運用手法に対応した追補版の発行
②小規模事業者向けに簡易チェックリストや自己診断の提供
③今後の標準化・規格化を取り込んだ改訂
以上が課題として挙げられており、これらを加えて、今後は中小企業がシステム管理基準を活用することは意義があると思います。 小宮