2009/06/22
★実践プロマネ[継続的なサービスの保証(1)]★
2009/06/22 No.113 ┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓ ★ 実践プロマネのメールマガジン ★ (プロマネ経験からの実践的なアドバイス) 「実践プロマネのメールマガジン」で発行した情報は http://home.g00.itscom.net/project/index.html にタイトルをつけて掲載しています。こちらもご覧下さい。 ┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛ ITシステムのビジネスでの利活用が高まり、ITシステムの停止によるビ ジネスへの影響度が飛躍的に拡大しています。 ITシステムの停止は企業としての信頼を喪失する重大な問題です。 このような理由から、サービスプロバイターは提供するサービスを中断ある いは中止は絶対に許されません。 サービス委託先が不安定な状態では、利用者側は安心してサービスをアウト ソーシングできません。絶対的な継続を保証しなければなりません。 ITシステムを継続的に運用し、そのITシステム利用者サービスを継続提 供する上で大切なことは、中長期にわたり計画を立てておくことです。 運用者の人員配置、ローテーション、ITシステムの信頼性、外的環境から の影響等に配慮し、綿密かつ柔軟な計画立案が必要です。 要員の稼働状況は目視で容易に確認できますが、ITシステムの稼動状況は 外観からは判断できません。 システム監視、ネットワーク監視等の環境を整備し、トラブルを未然に防ぐ 対策が必要です。 また、障害が発生した際には、問題発生箇所を簡単に特定し、早期に復旧さ せる備えが必要です。 ITシステム維持計画が厳密に行われていても実践できなければ宝の持ち腐 れになります。 計画通りの活動を起こすには、消防訓練のような定期的な現場トレーニング が欠かせません。 事業継続性は如何なる企業にも共通な要件です。これを支援するサービスが 真に求められています。 それでは、継続的なサービスの保証のプロセスの説明とコントロール目標 について確認していきます。 【プロセスの説明】 継続的なITサービスを提供するには、IT継続計画の作成、保守、および テスト、遠隔地のバックアップ保管施設の確保および定期的な継続計画に関 するトレーニングの実施が必要です。 効果的なサービス継続プロセスにより、主要なITサービスの中断の可能性 と、このような中断が主要なビジネスの機能とプロセスに及ぼす影響を最小 限に抑えることができます。 継続的なサービスの保証のコントロール目標は、 ITサービスの中断発生時のビジネスに対する影響を最小限に抑えることを、 ビジネス要件とします。 重点をおくべきコントロールは、障害からの回復力のあるシステム化を行い、 IT継続計画を作成、保守、およびテストすることです。 実現するための手段は、次の3項目です。 1)IT緊急時対応計画の作成と維持(改善) 2)IT緊急時対応計画に関する訓練とテスト 3)遠隔地における保管施設への緊急時対応計画のコピーとデータの保管 その成果の測定指標は、次の2項目です。 1)予定外の機能停止に起因する、1ユーザ、月あたりの損失時間数 2)IT継続計画でカバーされていない、ITに依存している重要なビジネ スプロセスの数 【コントロール目標】 DS4.1 IT継続フレームワーク 一貫したプロセスで全社的な事業継続管理を支援するIT継続フレームワー クを作成します。 このフレームワークの目的は、求められるインフラストラクチャの復旧能力 の決定を支援し、災害復旧計画とIT緊急時対応計画の作成を促進すること です。 このフレームワークでは、内外のサービスプロバイダ、その管理者と取引顧 客の役割、担当作業、および実行責任を含む、継続管理に必要な組織構造、 そして災害復旧計画とIT緊急時対応計画を文書化、テスト、および実施す る際のルールと体制を規定する計画プロセスに対応する必要があります。 また計画には、重要な資源の特定、主な依存関係の記述、その資源の可用性 のモニタリングと報告、代替処理手続、およびバックアップと復旧に関する 原則などの項目も規定する必要があります。 DS4.2 IT継続計画 大規模な中断が主要なビジネスの機能とプロセスに及ぼす影響の軽減を目的 とするフレームワークに基づいたIT継続計画を策定します。 この計画では、ビジネスに対する潜在的な影響に伴うリスクについての理解 に基づいて、すべての重要なITサービスの障害からの回復、代替処理手続、 および復旧能力に関する要件について規定します。 また、計画では利用ガイドライン、役割と実行責任、手続、周知プロセス、 およびテスト方法も規定しなければなりません。 DS4.3 重要なIT資源 IT継続計画において、最重要と定められた要素に重点を置くことで、障害 からの回復力を組み込み、災害復旧時の作業の優先順位を設定します。 重要度が低い要素の回復を優先させることのないよう、優先的ビジネス要件 に応じた対応と復旧を確実にします。 また、費用を受容可能なレベルに抑え、法的要件および契約上の要件を遵守 します。 1〜4時間、4〜24時間、24時間超、重要業務の運用期間など、さまざ まなレベルにおける回復力、対応、および復旧要件を考慮します。 DS4.4 IT継続計画の保守 IT継続計画の内容が常に最新に保たれ、継続的に実際のビジネス要件が反 映されることを確実にするためにIT管理部門に対し、変更管理手続の策定 と実施を促します。 手続と実行責任における変更内容を明確かつタイムリーに周知します。 DS4.5 IT継続計画のテスト ITシステムが効果的に回復可能であること、欠点が解消されること、およ びIT継続計画の妥当性が維持されることを確実にするために、IT継続計 画の定期的なテストを実施します。 このためには、綿密な準備、手続の文書化、テスト結果の報告、および結果 に基づく対応計画の策定と実施が必要です。 テストの範囲として、単一アプリケーションの復旧テストから、複数のテス トシナリオを組み合わせたテスト、エンドツーエンドでのテスト、そしてベ ンダーを含む総合的なテストなどを想定する。 DS4.6 IT継続計画に関する研修 すべての関係者が、インシデントまたは災害発生時の各自の役割および実行 責任と実施手続に関する定期訓練セッションを確実に受講します。 緊急時対応テストの結果に基づいて、訓練の内容を検証し補強します。 DS4.7 IT継続計画の配付 計画が安全かつ適切な方法で確実に配付され、必要な時に必要な場所で許可 を受けた当事者が利用できるように、定義し管理された配付方法が存在する ことを確認します。 どのような災害発生状況においても、IT継続計画が入手でき参照可能な状 態になっているよう配慮する必要があります。 DS4.8 ITサービスの復旧と再開 ITサービスの復旧と再開中に実施すべき措置を計画する。この計画には、 バックアップサイトの起動、代替処理の開始、顧客と利害関係者への周知、 再開手続などが規定されます。 ITの復旧にかかる時間とビジネスの復旧と再開のニーズを支援するために 必要な技術投資について、ビジネス部門が確実に理解しているようにします。 DS4.9 遠隔地におけるバックアップ保管施設 すべての重要なバックアップメディア、文書、およびIT復旧計画と業務継 続計画に必要なその他のIT資源を、遠隔地の施設に保管します。 保管するバックアップの内容については、ビジネスプロセスオーナとIT担 当者が協働して決定する必要がある。 遠隔地の保管施設の管理者は、データ分類方法のポリシーと企業のメディア 保管活動に対応しなければならない。 IT管理部門は、遠隔地保管施設について、保管内容、施設の物理的安全性、 およびセキュリティを確実に定期的に(少なくとも1年に1回)評価する必 要がある。 アーカイブデータの復元のためのハードウェアとソフトウェアの互換性を確 保し、アーカイブデータを定期的にテストし更新する。 DS4.10 再開後のレビュー 災害発生後にIT機能を正常に再開するために、IT管理部門によりIT復 旧計画の妥当性を評価する手続が策定されているかを確認し、必要に応じて 計画を更新します。 次号では、「継続的なサービスの保証(2)」の詳細に触れます。 【以下は前号までを参照のこと】 [COBITの歴史] [COBITの4つのドメインと34のコントロール目標] [ITCのプロセスガイドライン] 参考資料 COBIT 4.1 日本語版 (Japanese) 情報システムコントロール協会 (ISACA) 参考資料 ITCプロセスガイドライン Ver.1.1 ITコーディネータ協会 ------------------------------------------------------------------ 「実践プロマネのメールマガジン」で発行した情報は http://home.g00.itscom.net/project/index.html にタイトルをつけて掲載しています。こちらもご覧下さい。 ぜひ、プロマネの皆様の<悩み>や<抱えている問題>を http://home.g00.itscom.net/project/index.html の 「ご意見ご質問のメールはこちらからお願いします。」 から投稿して下さい。匿名でも構いません。 ------------------------------------------------------------------ [ご意見、ご感想] 今週号の感想はこちらから(6月29日まで) http://home.g00.itscom.net/project/index.html バックナンバもこちらから http://home.g00.itscom.net/project/index.html ================================================================== [実践プロマネのメールマガジン]
