2009/10/05
★実践プロマネ[データ管理(1)]★
2009/10/05 No.127 ┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓ ★ 実践プロマネのメールマガジン ★ (プロマネ経験からの実践的なアドバイス) 「実践プロマネのメールマガジン」で発行した情報は http://home.g00.itscom.net/project/index.html にタイトルをつけて掲載しています。こちらもご覧下さい。 ┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛ 特定の企業は、不正会計や個人情報漏えいなど社会的に大きな影響を及ぼす 事件を起こしています。 こうした状況を受け、企業に対し、不正を防止して企業価値を高めるために 企業全体で取り組む仕組みである「内部統制」が求められています。 体系的・網羅的に企業活動を評価して、外部に説明できることを求める法制 化の動きが活発化しています。 不正会計などは、データの改ざんという方法で意図的に行われます。 データの質の問題であり、処理されるデータがすべて完全で正確であること が保証できなければなりません。 データ処理にかかわる要員のモラル教育、正当な業務ルールの確立、ITシ ステムによる防止機構の構築、第三者によるモニタリングが企業に備わって いなければなりません。 一方、意図的な行為に拠らないデータの不整合も発生します。 これはデータ管理プロセスのインテグリティ(完全性)、コンフィデンシャ リティ(機密性)、アベイラビリティ(可用性)にかかわる問題です。 情報処理において、不当なデータを利用してはしてはなりませんし、機密情 報が漏れてもいけません。 処理する仕組み(コンピュータシステム)そのものが脆弱であっても要件に 応じた正しい結果(データ)は得られません。 今後、データ管理には、情報ライフサイクルという考え方も重要になってき ます。 それでは、データ管理のプロセスの説明とコントロール目標について確認し ていきます。 【プロセスの説明】 効果的なデータ管理を実施するには、データ要件を特定する必要があります。 データ管理プロセスには、メディアライブラリ、データのバックアップと復 元、およびメディアの適切な廃棄に関する管理手続の確立も含まれます。 効果的なデータ管理は、ビジネスデータの質、適時性、および可用性の保証 に有用です。 データ管理のコントロール目標は、 情報の利用を最適化し、要求に応じた情報の可用性を保証することを、ビジ ネス要件とします。 重点をおくべきコントロールは、データのインテグリティ、正確性、可用性、 および保護を維持することです。 実現するための手段は、次の3項目です。 1)データのバックアップと復元のテスト 2)オンサイトと遠隔地におけるデータ保管の管理 3)データと機器の安全な廃棄 その成果の測定指標は、次の3項目です。 1)データの可用性に対するユーザ満足度の割合 2)成功したデータ復元の割合 3)メディア廃棄後に機密データが取得されたインシデントの件数 【コントロール目標】 DS11.1 データ管理におけるビジネス要件 処理すべきデータがすべて完全で正確で、しかも遅延なく受信、および処理 され、出力がすべてビジネス要件に従って提供されていることを検証します。 再開と再処理の要件をサポートします。 DS11.2 データの保管と保持の調整 ビジネス目標をはじめ、組織のセキュリティポリシー、および法的要件に適 合するために、効果的で効率的なデータ保管、ログ保持、アーカイブを行う ための手続を定義し導入します。 DS11.3 メディアライブラリ管理システム 保存/アーカイブされたメディアの一覧を維持し、メディアの使用可能性と インテグリティを確保するための手続を定義し導入します。 DS11.4 廃棄 データやハードウェアを処分または譲渡する際の、機密データやソフトウェ アを保護するというビジネス要件に適合する手続を定義し導入します。 DS11.5 バックアップと復元 ビジネス要件と継続計画に沿った、システム、アプリケーション、データ、 および文書のバックアップと復元の手続を策定し導入します。 DS11.6 データ管理におけるセキュリティ上の要件 ビジネス目標、組織のセキュリティポリシー、および法的要件に適合させる ために、データの受信、処理、保管、および出力に適用するセキュリティ要 件を特定して適用するためのポリシーと手続を定義し導入します。 次号では、「データ管理(2)」の詳細に触れます。 【以下は前号までを参照のこと】 [COBITの歴史] [COBITの4つのドメインと34のコントロール目標] [ITCのプロセスガイドライン] 参考資料 COBIT 4.1 日本語版 (Japanese) 情報システムコントロール協会 (ISACA) 参考資料 ITCプロセスガイドライン Ver.1.1 ITコーディネータ協会 ------------------------------------------------------------------ 「実践プロマネのメールマガジン」で発行した情報は http://home.g00.itscom.net/project/index.html にタイトルをつけて掲載しています。こちらもご覧下さい。 ぜひ、プロマネの皆様の<悩み>や<抱えている問題>を http://home.g00.itscom.net/project/index.html の 「ご意見ご質問のメールはこちらからお願いします。」 から投稿して下さい。匿名でも構いません。 ------------------------------------------------------------------ [ご意見、ご感想] 今週号の感想はこちらから(10月12日まで) http://home.g00.itscom.net/project/index.html バックナンバもこちらから http://home.g00.itscom.net/project/index.html ================================================================== [実践プロマネのメールマガジン]
