2009/02/23
★実践プロマネ[技術インフラストラクチャの調達と保守(1)]★
2009/02/23 No.097 ┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓ ★ 実践プロマネのメールマガジン ★ (プロマネ経験からの実践的なアドバイス) 「実践プロマネのメールマガジン」で発行した情報は http://home.g00.itscom.net/project/index.html にタイトルをつけて掲載しています。こちらもご覧下さい。 ┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛ 企業のITシステムのハードウェアおよびインフラストラクチャの選定 は慎重であらねばなりません。 以前から利用しているソフトウェア資産を活用することもあります。 レガシーシステムは重要な情報資産であり、EAI(Enterprise Application Integration/ESB(Enterprise Service Bus)などを 利用して新規システムと連携・統合させ、有効活用することも考えなけれ ばなりません。 情報資産を将来性、拡張性、保守性の高いハードウェア技術、インフラ ストラクチャ上に展開することが求められます。 新たにアプリケーションを導入する上でも、既存システムのハードウェア、 インフラストラクチャとの整合性を図っていくことになります。 特に自社でメンテナンスを行う場合には、そのインフラストラクチャに かかわる技術者を確保しておかなければなりません。 それには、人材も含めたインフラストラクチャ保守の戦略および計画を策 定し、組織によってモニタリングし、コントロールされる必要があります。 それでは、技術インフラストラクチャの調達と保守の プロセスの説明とコントロール目標について確認していきます。 【プロセスの説明】 組織は、技術インフラストラクチャの調達、導入、およびアップグレード に関するプロセスを策定する必要があります。 これを実現するには、合意された技術戦略に基づいてインフラストラクチ ャを調達、保守、および保護するためのアプローチを計画し、開発環境と テスト環境を用意します。 この結果、ビジネスアプリケーションに対する継続的な技術的サポートが 確保されます。 技術インフラストラクチャの調達と保守のコントロール目標は、 統合および標準化されたITインフラストラクチャの調達と保守を、 ビジネス要件とします。 重点をおくべきコントロールは、定義されたITアーキテクチャおよび 技術標準に合致する、ビジネスアプリケーションのための適切なプラット フォームを提供することです。 実現するための手段は、次の3項目です。 1)技術インフラストラクチャ計画と整合性のある技術調達計画の策定 2)インフラストラクチャの保守の計画 3)内部統制、セキュリティ、および可監査性の測定指標の導入 その成果の測定指標は、次の3項目です。 1)定義されたITアーキテクチャおよび技術標準に合致しないプラット フォームの割合 2)陳腐化した(または、すぐに陳腐化する)インフラストラクチャにより サポートされている重要なビジネスプロセスの数 3)サポート対象外(または近い将来サポート対象外になる)インフラスト ラクチャコンポーネントの数 【コントロール目標】 AI3.1 技術インフラストラクチャの調達計画 確立された機能面および技術面でのビジネス要件を満たし、組織の技術的 方向性と一致する技術インフラストラクチャの調達、導入、および保守の 計画を策定します。 AI3.2 インフラストラクチャ資源の保護と可用性 ハードウェアおよびインフラストラクチャソフトウェアの構成、統合、 および保守の際に、内部統制、セキュリティ、および可監査性の測定指標 を導入することで、資源を保護し、可用性およびインテグリティを確保 します。 機密性の高いインフラストラクチャコンポーネントの使用上の責任を明確 に定義し、インフラストラクチャコンポーネントの開発および統合にあた る担当者に周知します。 これらのコンポーネントの使用状況はすべてモニタリングおよび評価され なければなりません。 AI3.3 インフラストラクチャの保守 インフラストラクチャ保守の戦略および計画を策定し、変更が組織の変更 管理手続に従って確実にコントロールされるようにします。 保守には、ビジネス上の必要性、パッチ管理およびアップグレード戦略、 リスク、脆弱性の評価、およびセキュリティ要件に関する定期的な レビューを組み込みます。 AI3.4 実現可能性テスト環境 インフラストラクチャコンポーネントの効果的かつ効率的な実現可能性 テストおよび統合テストをサポートする開発環境とテスト環境を構築 します。 次号では、「技術インフラストラクチャの調達と保守(2)」 の詳細に触れます。 【以下は前号までを参照のこと】 [COBITの歴史] [COBITの4つのドメインと34のコントロール目標] [ITCのプロセスガイドライン] 参考資料 COBIT 4.1 日本語版 (Japanese) 情報システムコントロール協会 (ISACA) 参考資料 ITCプロセスガイドライン Ver.1.1 ITコーディネータ協会 ------------------------------------------------------------------ 「実践プロマネのメールマガジン」で発行した情報は http://home.g00.itscom.net/project/index.html にタイトルをつけて掲載しています。こちらもご覧下さい。 ぜひ、プロマネの皆様の<悩み>や<抱えている問題>を http://home.g00.itscom.net/project/index.html の 「ご意見ご質問のメールはこちらからお願いします。」 から投稿して下さい。匿名でも構いません。 ------------------------------------------------------------------ [ご意見、ご感想] 今週号の感想はこちらから(3月2日まで) http://home.g00.itscom.net/project/index.html バックナンバもこちらから http://home.g00.itscom.net/project/index.html ================================================================== [実践プロマネのメールマガジン]
