2009/10/12
★実践プロマネ[データ管理(2)]★
2009/10/12 No.128 ┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓ ★ 実践プロマネのメールマガジン ★ (プロマネ経験からの実践的なアドバイス) 「実践プロマネのメールマガジン」で発行した情報は http://home.g00.itscom.net/project/index.html にタイトルをつけて掲載しています。こちらもご覧下さい。 ┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛ データのインテグリティを確保するために、完全で効率的なデータバックア ップが重要になります。 単なるコピーと異なり、バックアップはアーカイブ属性を利用します。 アーカイブ属性とは「ファイルごとに持っているバックアップ実施・未実施 の情報」です。 アーカイブ属性は、バックアップの仕組みを理解するために必要な知識です。 バックアップには「フルバックアップ」、「差分バックアップ」、「増分バ ックアップ」の3種類があります。 バックアップを実施する際に、「どのファイルを対象にするか」、「アーカ イブ属性をどのように扱うか」を考慮します。 大量のデータをバックアップする場合、定期的に「フルバックアップ」を行 い、あとは「差分バックアップ」を実行するという方法が一般的です。 「増分バックアップ」は時間とディスク領域の両面で効率的です。しかし、 バックアップの形式上、リストア作業が面倒になります。 ネットワーク上の複数のサーバの「通常バックアップ」は、サーバごとに曜 日をずらすなどにより、ネットワークの負荷を軽減と作業時間の平準化を図 ることができます。 それでは、データ管理のマネジメントガイドラインと成熟度モデルについて 確認していきます。 【マネジメントガイドライン】 データ管理の達成目標とその評価指標を以下に示します。 (↑↓測定)は達成目標とその評価指標の関係を表します。 (↓設定)はIT、プロセス、アクティビティの関係を表します。 ★IT 達成目標 ・情報利用の最適化 ・重要かつ機密の情報が、当該情報へのアクセスを許可されていないユー ザに開示されないようにすること ・ITの法令へのコンプライアンスの確保 (↑↓測定) 評価指標 ・ビジネスプロセスにとって重要なデータを復元できない状況の発生回数 ・データの可用性に対するユーザ満足度の割合 ・保管管理の問題に起因する法規制違反のインシデント件数 (↓設定) ★プロセス 達成目標 ・保管データのインテグリティ、正確性、有効性、および可用性の維持 ・メディア廃棄時のデータのセキュリティ確保 ・保管メディアの効果的な管理 (↑↓測定) 評価指標 ・成功したデータ復元の割合 ・メディア廃棄後に機密データが読み取られたインシデントの件数 ・記憶装置の容量不足に起因するダウンタイムの発生件数またはデータの インテグリティに関するインシデントの件数 (↓設定) ★アクティビティ 達成目標 ・データのバックアップと復元のテスト ・オンサイトと遠隔地におけるデータ保管の管理 ・データと機器の安全な廃棄 (↑↓測定) 評価指標 ・バックアップメディアのテスト実施頻度 ・データ復元に要する平均時間 【成熟度モデル】 「情報の利用を最適化し、要求に応じた情報の可用性を保証する。」という ITに対するビジネス要件です。 このビジネス要件を満たす上で、「データ管理」プロセスにおける管理の成 熟度は、以下のとおりです。 成熟度0 -不在- データが企業の資源や資産であるとは認識されていません。 データのオーナシップが割り当てられていないか、データ管理の説明責任者 が存在しません。 データの品質とセキュリティレベルが非常に低いか、またはまったく確保さ れていません。 成熟度1 -初期/その場対応- 組織は、効果的なデータ管理の必要性を認識しています。 データ管理に関する具体的なセキュリティ要件は、その場に応じたアプロー チがとられており、正式に周知された手続が整備されていません。 データ管理に関する具体的な研修が実施されていません。 データ管理に関する責任の所在が明確ではありません。 バックアップ/復元手続と廃棄方法については整備されています。 成熟度2 -再現性はあるが直感的- 効果的なデータ管理の必要性が組織全体で認識されています。 ハイレベルなデータのオーナシップが割り当てられるようになってきていま す。 主要な要員によってデータ管理におけるセキュリティ要件が文書化されてい ます。 IT部門内で、データ管理の主要なアクティビティ(たとえばバックアップ、 復元、廃棄)に対してある程度のモニタリングが実施されています。 データ管理の実行責任が、主要なITスタッフメンバーに非公式に割り当て られています。 成熟度3 -定められたプロセスがある- IT部門内と組織全体でのデータ管理の必要性が理解され、受け入れられて います。 データ管理の実行責任が規定されています。 インテグリティとセキュリティのコントロールに責任を持つグループにデー タのオーナシップが割り当てられています。 IT部門内でデータ管理手続が正式に定められており、機器のバックアップ /復元および廃棄のための何らかのツールが利用されています。 データ管理に対するある程度のモニタリングが整備されています。 基本的な成果達成指標が定義されています。 データ管理スタッフメンバーの研修が整備されつつあります。 成熟度4 -管理され、測定可能である- データ管理の必要性が組織内で理解され、必要な対応を取ることが受け入れ られています。 データのオーナシップと管理の責任が組織内で明確に定義され、割り当てら れており、周知されています。 手続が正式に決められて広く認識されており、知識が共有されています。 現存するツールが利用されるようになってきています。 達成目標と成果達成指標は、顧客との合意が得られており、適切に定義され たプロセスを通してモニタリングされています。 データ管理スタッフのための正式な研修が実施されています。 成熟度5 -最適化- データ管理と必要な対応すべてに関する理解の必要性について、組織内で理 解され、受け入れられています。 将来的なニーズと要件について事前に調査されています。 データのオーナシップと管理の責任が明確に規定され、組織全体で周知され、 タイムリーに更新されています。 手続きが正式に決められ、広く認識されており、知識の共有が標準の実践基 準として実施されています。 高度なツールが使用され、データ管理が最大限に自動化されています。 達成目標と成果達成指標は、顧客との合意が得られており、ビジネス目標と 関連付けられており、適切に定義されたプロセスを通して一貫してモニタリ ングされています。 常に改善の検討が行われています。 データ管理スタッフへの研修が仕組みとして定着しています。 次号では、「物理的環境の管理」の詳細に触れます。 【以下は前号までを参照のこと】 [COBITの歴史] [COBITの4つのドメインと34のコントロール目標] [ITCのプロセスガイドライン] 参考資料 COBIT 4.1 日本語版 (Japanese) 情報システムコントロール協会 (ISACA) 参考資料 ITCプロセスガイドライン Ver.1.1 ITコーディネータ協会 ------------------------------------------------------------------ 「実践プロマネのメールマガジン」で発行した情報は http://home.g00.itscom.net/project/index.html にタイトルをつけて掲載しています。こちらもご覧下さい。 ぜひ、プロマネの皆様の<悩み>や<抱えている問題>を http://home.g00.itscom.net/project/index.html の 「ご意見ご質問のメールはこちらからお願いします。」 から投稿して下さい。匿名でも構いません。 ------------------------------------------------------------------ [ご意見、ご感想] 今週号の感想はこちらから(10月19日まで) http://home.g00.itscom.net/project/index.html バックナンバもこちらから http://home.g00.itscom.net/project/index.html ================================================================== [実践プロマネのメールマガジン]
