😇

情報セキュリティマネジメント試験ノート~(八)マネジメント

2022/02/04に公開

プロジェクトマネジメント

  • プロジェクトマネージメント:プロジェクトを管理するために行う効果的な取組み・仕組み。プロジェクトマネジメントの推奨される事例をまとめたPMBOKガイドなどを活用する
  • プロジェクトマネジメントの知識エリア
    • プロジェクト統合マネジメント:プロジェクトの立ち上げ・計画・実行・終結などのライフサイクルの中で、変更要求に対してコスト・期間の調整を行う
    • プロジェクトステークホルダマネジメント:プロジェクトのステークホルダを把握し、連絡方法を決定する
    • プロジェクトスコープマネジメント:プロジェクトに必要な作業を過不足なく抽出する
    • プロジェクト資源マネジメント:プロジェクトチームを編成し、要員を育成する
    • プロジェクトタイムマネジメント:プロジェクトのスケジュールを作成し、進捗状況や変更要求に応じてスケジュールの調整を行う
    • プロジェクトコストマネジメント:プロジェクトの当初の予算と進捗状況から、費用が予算内に収まるように管理を行う
    • プロジェクトリスクマネジメント:プロジェクトリスクを識別し、対策案を検討する
    • プロジェクト品質マネジメント:プロジェクトの成果物の品質目標と負うべき責任を定める
    • プロジェクト調達マネジメント:プロジェクトに必要な商品・サービスを外部から購入するために必要な契約と管理を行う
    • プロジェクトコミュニケーションマネジメント:プロジェクトのステークホルダ間で適切な情報共有を行うことで、プロジェクトを円滑に進める
  • アローダイアグラム:プリジェクトを完了させるために必要な時間を把握するために使う図のこと
    • クリティカルパス:プロジェクトの開始から終了までにかかる最短時間の経路であり、全経路のうち最も時間がかかる経路のこと
    • 最短所要時間:プロジェクトの開始から終了までにかかる最短時間。クリティカルパスでかかる総所要時間

サービスマネジメント

  • サービスマネジメント:顧客の要求を満たすサービスを提供するために、サービスの提供者の活動を管理すること
    • ITIL:システムを安定的かつ効率的に運用するための手元集
    • SLA:サービスの提供者と利用者との間で結ばれる合意文書
    • OLA:サービスの提供同士で結ばれる合意文書
  • サービスマネジメントプロセス:ITILを実践するための活動
    • 例:インシデント管理、問題管理、構成管理、変更管理、可用性管理、キャパシティ管理、サービスレベル管理
    • 可用性管理の指標
      • RTO:インシデント発生後に、どのぐらいの時間で、システムの復旧させるかの目標時間。値が小さいほど、時間が短く、優れている
      • RPO:インシデント発生時に、どのくらい前まで遡ったデータを使って、システム復旧させるかの目標時間。値が小さいほど、時間が短く、優れている
  • ファシリティマネジメント:企業・役所の施設・設備を維持保全するための取り組み・仕組み
    • 盗難防止のためのセキュリティワイヤ
    • 停電による被害を防ぐ無停電電源装置(UPS)
  • サービスデスク・ヘルプデスク:サービスの利用者からの問い合わせに対し、太一の窓口機能を提供し、担当部署への引き継ぎ、対応結果の記録・記録の管理などを行う部署
    • ローカルサービスデスク:拠点ごとに、サービスデスクを設置する形態
    • 中央サービスデスク:複数拠点を統括し、1拠点にサービスデスクを設置する形態
    • バーチャルサービスデスク:実際に複数拠点に存在するが、ITを活用することで、あたかも1拠点にサービスデスクを設置しているかのように、利用者からは見える形態
    • フォロー・ザ・サン:24時間体制を構築するために、地理的に分散し、時差がある複数拠点を組み合わせる形態

システム監査

  • システム監査:情報システムを対象にした第三者の評価
  • 情報セキュリティ監査:組織の情報セキュリティマネジメント体制を対象にした第三者の評価
    • 情報セキュリティ管理基準:情報セキュリティ監査を受ける組織の実践規範で、情報セキュリティ監査において組織が行うべき推奨事例をまとめたもの
    • 情報セキュリティ監査基準:監査人の行為規範で、監査を実際に行う監査人が行うべき内容をまとめたもの
  • 内部統制:企業が財務会計でミスや不正を行わないように、組織内部のルールや仕事のやり方を整備・実施・証明すること
  • IT統制:内部統制のうち、ITに関連した内容を統制すること
    • 予防統制:ミスや不正を防ぐための統制
    • 発見統制:ミスや不正を発見するための統制
    • IT業務処理統制:システムを使った業務を統制すること
    • IT全般統制:IT業務処理統制を実施できるように、適切にシステムを開発・運用すること
  • ITガバナンス:企業が経営目標を達成するために、ITを過不足なく活用すること

Discussion