2009/04/06
★実践プロマネ[変更管理(1)]★
2009/04/06 No.103 ┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓ ★ 実践プロマネのメールマガジン ★ (プロマネ経験からの実践的なアドバイス) 「実践プロマネのメールマガジン」で発行した情報は http://home.g00.itscom.net/project/index.html にタイトルをつけて掲載しています。こちらもご覧下さい。 ┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛ 業務アプリケーションの動作が不安定になったり、システムが突然異常終了 し、思いもかけず業務が継続できなくなることがあります。 稼動から数ヶ月も経っており、システム異常の理由が釈然としません。 先週日曜日の深夜にはシステムに影響のないインフラのパッチを当てた事実 はありますが、これが影響しているとは考えられません。 このパッチは本当に影響はなかったのでしょうか。 ハードウェア、インフラは標準化されています。反面、アプリケーションの 開発者から見るとこれらはプラックボックス化しています。 ちょっとした設定変更やパッチの適用がアプリケーションの動作環境に大き な影響を与えることがあります。これに気がつくまでに時間が掛かります。 システムの施した修正や変更はしっかり管理されていなければ、問題が発生 した際、原因究明に至るまで多くの時間と労力を費やすことになります。 システムの問題は、環境が少しづつ劣化(メモリの作業領域がリークにより 縮小するなど)したり、システムに何らかの変更をしたときに発生します。 このことは、変更管理が非常に重要であることを示唆しています。 それでは、変更管理のプロセスの説明とコントロール目標について 確認していきます。 【プロセスの説明】 インフラストラクチャおよびアプリケーションに関連する緊急保守やパッチ 適用を含む本番環境におけるすべての変更は、コントロールされた方法で、 正式に管理されなけらばなりません。 変更(手続、プロセス、システムパラメーター、およびサービスパラメータ ーを含む)は、変更の実施前に記録、評価、および承認され、変更の実施後 には計画された成果に照らしてレビューされます。 これにより、本番環境の安定性やインテグリティに悪影響を及ぼすリスクを 低減できます。 変更管理のコントロール目標は、ビジネス戦略と整合性のとれたビジネス 要件への対応と、ソリューションおよびサービスの提供における不備と手戻 りの削減を、ビジネス要件とします。 重点をおくべきコントロールは、ITインフラストラクチャ、アプリケーシ ョン、および技術的ソリューションに対するすべての変更に関する影響評価、 認可、および実施をコントロールし、不完全な要求仕様に起因するエラーを 最小限に抑え、未承認の変更の実施を防止することです。 実現するための手段は、次の3項目です。 1)緊急変更を含む変更手続の策定および周知 2)変更の評価、優先順位付け、および承認 3)変更の状況追跡および報告 その成果の測定指標は、次の3項目です。 1)不正確な仕様や不完全な影響評価に起因するプロセスの中断または データエラーの数 2)不適切な変更仕様に起因する、アプリケーションやインフラストラク チャ関連の手戻りの量 3)正式な変更コントロールプロセスに従った変更の割合 【コントロール目標】 AI6.1 変更の標準と手続 アプリケーション、手続、プロセス、システムパラメーターとサービスパラ メーター、および基盤プラットフォームに対するすべての変更要求(保守や パッチ適用を含む)を、標準化された方法で処理できるよう、正式な変更管 理手続を確立します。 AI6.2 影響評価、優先順位付け、および認可 すべての変更要求を評価して、本番運用中のシステムや、その機能に与える 影響を体系的に特定できるようにする。変更は分類した上で優先順位を付け、 許可を与えます。 AI6.3 緊急変更 規定された変更プロセスに従わない緊急変更の定義、提起、テスト、文書化、 評価、および承認のプロセスを確立します。 AI6.4 変更の状況追跡および報告 否認された変更を文書化し、承認された変更、および現在進行中の変更の状 況を周知し、さらに変更を実施するための追跡および報告システムを構築し ます。 承認された変更が予定どおり実施されるようにする。 AI6.5 変更の終了および文書化 変更を実施した場合は都度、関連するシステムマニュアルやユーザマニュア ル、手続などを適切に更新します。 次号では、「変更管理(2)」の詳細に触れます。 【以下は前号までを参照のこと】 [COBITの歴史] [COBITの4つのドメインと34のコントロール目標] [ITCのプロセスガイドライン] 参考資料 COBIT 4.1 日本語版 (Japanese) 情報システムコントロール協会 (ISACA) 参考資料 ITCプロセスガイドライン Ver.1.1 ITコーディネータ協会 ------------------------------------------------------------------ 「実践プロマネのメールマガジン」で発行した情報は http://home.g00.itscom.net/project/index.html にタイトルをつけて掲載しています。こちらもご覧下さい。 ぜひ、プロマネの皆様の<悩み>や<抱えている問題>を http://home.g00.itscom.net/project/index.html の 「ご意見ご質問のメールはこちらからお願いします。」 から投稿して下さい。匿名でも構いません。 ------------------------------------------------------------------ [ご意見、ご感想] 今週号の感想はこちらから(4月13日まで) http://home.g00.itscom.net/project/index.html バックナンバもこちらから http://home.g00.itscom.net/project/index.html ================================================================== [実践プロマネのメールマガジン]
