システム管理基準・~P40 苦悶の写経編

bear-crow

2.1 進捗・管理体制


 経営戦略及びIT戦略で定められた目標を達成する為に、組織全体を対象とした推進・管理体制を整備・運用する。

2.1.1 体制と機能


 経営戦略及びIT戦略で定められた目標を達成するために、ITシステムの利活用に関するコントロールを実行し、その結果としてのパフォーマンス、コスト、リスク管理、コンプライアンス管理、社会的責任と持続性の状況を経営者に報告する為の体制を整備・運用をする。
(達成目標)
1. 経営者の承認を得て、組織体の規模及び特性に応じたIT部門の体制が構築されている。
2. IT戦略に関わる意思決定を支援する為の情報が経営者に提供されている。
3. ITシステムの利活用に関する技術の動向に対応する為の体制が整備・運用されている。
4. ITシステムの利活用に関するパフォーマンスとコストに関する実行状況をモニタリングし、必要な是正措置が講じられている。
5. データ利活用の推進と管理のための体制が整備されている。
6. データの利活用に関するリスク管理(サイバーセキュリティリスク管理を含む)ための体制が整備・運用されている。
7. ITシステムの利活用に関する法令及び規制の遵守の為の体制が整備・運用されている。
8. ITシステムの利活用に関する社会的責任を果たし、持続性を維持する為の体制が整備・運用されている。
9. ITシステムに関する製品又はサービスの提供者となる場合には、利用者と合意した要件に基づく提供ができる体制が整備・運用されている。
10. ITシステムの利活用に関わるパフォーマンス、コスト、リスク管理、コンプライアンス管理、社会的責任の状況が経営者に報告されている。
(管理活動の例)
1. (IT部門の体制整備)経営者の承認を得て、組織体の規模及び特性に応じて、IT部門における職務の分離、専門家、権限付与、外部委託を考慮した体制にする。
2. (委員会の設置)経営者のIT戦略の計画・実行・評価に関わる意思決定に必要な情報を提供するために、組織体内の部門にまたがる委員会を設置し運営する。
3. (関係者の満足度調査)組織体のITシステムの利活用に関する組織体内外の関係者に対する満足度調査を実施する。
4. (技術採用指針)ITシステムの利活用に関する技術の変化に対応するため、技術情報を収集・分析し、技術採用指針を明確にする。
5. (ITシステムの利活用の目標設定と実績評価)組織体におけるITシステムの利活用に関わるパフォーマンスとコストに関する目標設定と実績評価の方法を定め、その実行状況をモニタリングすることによって、必要な是正措置を講じる。
6. (データ利活用の推進と管理)データ利活用の推進、リスクへの対応、倫理的なデータ利活用の方法を定め、定期的な見直しと改善を行う。
7. (ITシステムの利活用のリスク管理)ITシステムの利活用に関するリスク管理(サイバーセキュリティ管理を含む)の方法を定め、リスクの識別・評価とリスクへの対応を行い、定期的な見直しと改善を行う。
8. (ITシステムの利活用のコンプライアンス管理)ITシステムの利活用に関する法令及び規制の遵守の為の方針と手続を定め、遵守状況をモニタリングし、必要な是正措置を講じる。
9. (ITシステムの利活用の行動基準)行動基準においてITシステムの利活用に関する遵守事項を定め、関係者への教育及び周知を行い、遵守状況を確認する。
10. (ITシステムに関する製品又はサービスの提供体制)ITシステムに関する製品又はサービスの提供者となる場合には、利用者と合意した要件を満たす為の製品又はサービスの提供、品質管理、リスクの管理体制を整備し、定期的な見直しと改善を行う。
11. (ITシステムの利活用状況の経営者への報告)ITシステムに利活用関わるパフォーマンス、コスト、リスク管理、コンプライアンス管理、社会的責任と持続性の状況について、報告の内容と頻度を定め、経営者へ状況を報告する。

2.1.2 システムライフサイクルモデル管理


 IT戦略に従って、目標に適合した手順と方法で情報システムを構築・運用するためのシステムサイクルライフモデルを作成、適用するとともに、そのモデルを評価し改善する。
(達成目標)
1. システムライフサイクルモデルに従って管理する為の方針と体制が確立され運用されている。
2. システムライフサイクルモデルの適切性の評価方法が確立され、これに基づいて評価が行われている。
3. 評価の結果明らかになったシステムライフサイクルの課題は、優先順位を付けて改善されている。
(管理活動の例)
1. (システムライフサイクルに従った管理の方針と体制)システムライフサイクルモデルに従った管理の方針、手続及び管理体制を定めて、関係者に周知する。
2. (プロセスモデルの選択適用)企画・開発プロセスの進め方に関するウォーターフォールモデル、スパイラルモデル、アジャイル開発モデルの選択適用の方針、手続及び管理体制を定めて関係者に周知する。
3. (システムライフサイクルモデルに従った管理の定期的評価)システムライフサイクルモデル及びプロセスモデルに従った管理の状況を定期的に評価する。
4. (システムライフサイクルモデルに従った管理の改善措置)システムライフサイクルモデルに従った管理の評価結果から明らかになった課題を、優先順位を付けて改善する。

2.1.3 ITアーキテクチャ管理


 組織体の情報システム全体の整合性を保って、情報システムを構築・運用するために必要なITアーキテクチャを定め、IT基盤を利用可能にする。
(達成目標)
1. 組織体の情報システム全体の整合性を確保できるITアーキテクチャが定められている。
2. 構築・運用する情報システムの目的に基づいてIT基盤に対する要求事項が定義されている。
3. 要求事項を満たす為のIT基盤の構築要素が明らかにされている。
4. IT基盤の書く要素が必要な時期に利用可能な状態になっている。
(管理活動の例)
1. (ITアーキテクチャの管理)組織全体のITアーキテクチャを明確にし、周知する。
2. (IT基盤の構成要素)対象とする情報システムの目的に適したIT基盤の構成要素を、種類や用途の要件を基に漏れなく明らかにする。
3. (IT基盤の導入計画)IT基盤の導入計画を策定し、これに従ってIT基盤を利用可能にする。
4. (IT基盤の定期的評価)IT基盤が情報システムの目的通り利用されているかについて、定期的に評価する。
5. (IT基盤の変化に応じた更新)運用開始後の情報システムの目的や環境の変化に応じて、必要な更新を行う。

2.1.4 資源配分管理


 経営資源を有効に活用するために、プロジェクトに優先順位を付けて資源配分を行う。
(達成目標)
1. プロジェクトの評価方法が定められ、これに従ってプロジェクトが定期的に評価されている。
2. 評価配分に基づいてプロジェクトに優先順位が付けられ、それに応じて資源配分が管理されている。
(管理活動の例)
1. (プロジェクトの評価方法の確立)IT戦略に従ってプロジェクトの時期、投資額、必要性を評価するための方法を確立する。
2. (プロジェクト全体の定期評価)プロジェクトの開始前を含めて、組織体におけるプロジェクト全体を定期的に評価して、優先順位を見直す。
3. (優先順位に応じた経営資源の配分)プロジェクトの優先順位に応じて経営資源を配分する。
4. (貢献度や利用度による判断)組織体の価値創出への貢献度や利用度による評価が低い情報システムに関する廃止プロジェクトの検討を行う。

2.1.5 品質管理体制


 利用者が満足する製品やサービスを提供する為に、最適な品質管理体制を整備・運用する。
(達成目標)
1. 情報システムの品質目標を定め、これを達成するための体制が確立されている。
2. 情報システムの品質評価の基準、測定方法及び実施基準が定められている。
3. 情報システムの品質評価結果が分析されている。
(管理活動の例)
1. (品質目標の設定)情報システムの品質目標を設定する。
2. (品質管理の役割と責任)品質管理の体制における役割と責任の所在を明確にし、評価対象部門から独立した専門性のある人員を配置する。
3. (実施手順の制定)品質評価の基準、測定方法及び実施手順を定める。
4. (品質評価の定期的実施と改善)品質評価を定期的に実施し、必要な改善を行う。

2.1.6 知識資産管理


 個別に得た知識、技能を基に、組織体として知識資産を蓄積し有効活用するために、知識資産を再利用可能な状態で管理する。
(達成目標)
1. 知識、技能を知識財産として蓄積し、利用可能な状態になっている。
2. 蓄積した知識や技能の利用状況を分析して利用を促進する為に再編成されている。
3. 対象とする知識、技能、及び知識資産の管理方法を定期的に見直されている。
(管理活動の例)
1. (知識管理対象の整理)管理対象とする知識、技能を漏れなく特定し、知識資産として利用しやすい形に整理する。
2. (知識管理対象の保護)管理対象とする知識、技能を保護する。
3. (知識財産の活用体制)知識資産を組織体制として利用する体制を整備する。
4. (知識資産の定期的棚卸)知識財産の棚卸を定期的に行い、管理方法について必要な見直しを行う。

2.2 プロジェクト管理


 経営戦略及びIT戦略で定められた目標を達成するために必要なプロジェクト管理の仕組みを整備し、個別プロジェクトに適用することによりプロジェクトを実行する。
2.2.1 プロジェクト計画の策定と承認
 プロジェクト目標を確実に達成する為に、効果的で効率的で実行可能なプロジェクト計画を策定し、権限者の承認を得るとともに、プロジェクトの関係者と情報共有する。
(達成目標)
1. IT戦略に従ってプロジェクトの目標が設定され、計画が策定されている。
2. プロジェクトの関係者、責任及び権限が定められている。
3. プロジェクトの実施に必要な内部資源及び外部資源が確保されている。
4. プロジェクト計画の承認後、適時に実施を開始する為の準備が行われている。
(管理活動の例)
1. (プロジェクトの目的、対象業務、効果)IT戦略に従ってプロジェクトの目的、対象業務、期待される効果を明確にする。
2. (プロジェクトの体制)プロジェクトマネージャなど、プロジェクトに必要な態勢を整備する。
3. (プロジェクト計画)プロジェクトのスケジュール、リソース(要員スキル・作業工数・予算)を定めたプロジェクト計画を整備する。
4. (プロジェクトの実行の準備)プロジェクト計画の承認後に、適時にプロジェクトを開始できるように準備する。

2.2.2 プロジェクトの実行と管理


 プロジェクト計画に基づいて、プロジェクトの品質、納期、予算を守りながら、プロジェクトを実行する。また、プロジェクト進捗状況をモニタリングし、プロジェクトを確実に実行する。 
(達成目標)
1. プロジェクトの進捗や品質のモニタリング手法及び評価方法が明確にされている。
2. プロジェクトの責任者にプロジェクトの進捗や品質のモニタリング及び評価状況が報告されるとともに、必要に応じて関係者と情報共有されている。
3. プロジェクトの進捗状況の評価に基づいて必要な対応がおこなわれている。
4. プロジェクト目標の達成状況が評価されている。
(管理活動の例)
1. (プロジェクト管理標準)プロジェクトをモニタリング・管理するための体系化されたプロジェクト管理標準を定める。
2. (プロジェクトのモニタリングと評価)プロジェクト標準に基づき、定期的及び重要なマイルストーンにおける実績をモニタリング・評価する。
3. (プロジェクトの是正処置、再計画)定期的又は重要なマイルストーンにおける実績の評価結果に基づき、必要な是正処置に関する方向性やプロジェクト計画の見直しを実施する。
4. (プロジェクトの終結の確認)プロジェクト計画における全てのプロセスの完了を確認することによって、プロジェクトの終結を確認する。

2.2.3 プロジェクト意思決定管理


 組織体にとって最も有益なプロジェクトを選択する為に、プロジェクトの開始、中止、変更、続行の意思決定をする。
(達成目標)
1. 意思決定のために必要な評価方法や評価基準が明確にされている。
2. 評価基準、評価方法に従って代替案を比較・評価し、意思決定が行われている。
3. 意思決定の根拠及び前提が明確にされている。
(管理活動の例)
1. (意思決定の方針と手続)意思決定のために必要な評価項目、選定基準を定めて、意思決定に関する組織体の方針及び手続を確立する。
2. (情報の比較と分析)意思決定に関する組織体の方針及び手続に従って、代替案を含めて比較、分析する。
3. (意思決定結果の記録とその活用)意思決定の根拠、前提及び結果を記録して、今後の意思決定に活用する。

2.2.4 プロジェクトリスク管理


 プロジェクトの円滑な遂行のために、プロジェクトリスクを継続的に評価して必要な対応を行う。
(達成目標)
1. プロジェクトリスクが特定され、リスク評価結果に基づいて優先順位付けされた対応策が実施されている。
2. プロジェクトリスクの変化及び対応策の実施状況が継続的にモニタリングされている。
(管理活動の例)
1. (リスクの特定)プロジェクトリスクを特定する。
2. (リスクの評価)プロジェクトリスクを評価し、優先順位付けして対応する。
3. (リスクのモニタリング)プロジェクトリスクをモニタリングし、リスクの変化に応じて必要な対応を行う。

2.2.5 調達管理


 プロジェクトの要求内容を満足する製品・サービスを取得するために調達手続きを明確にし、それに基づいて調達を実施する。
(達成目標)
1. IT戦略に基づいて、製品・サービスが調達されている。
2. 調達の実施に関する判断基準が明確にされている。
3. プロジェクトの要求内容(品質・コスト・納期)を満足する製品・サービスが選定されている。
4. 調達先との間で調達内容に関する契約が締結されている。
5. 契約に基づいて製品・サービスが納入されている。
6. 契約に基づいて支払い等の調達先に対する義務が果たされている。
(管理活動の例)
1. (IT戦略との整合)製品・サービスの調達計画がIT戦略と整合しているか?
2. (調達管理手続)調達する製品・サービスに関する選定基準・選定方法を含む調達手続きを定める・
3. (調達先選定)調達手続きに基づいて、プロジェクトの要求内容(品質・コスト・納期)を満たした製品・サービスが選定され、履行能力を満たした調達先が選定されていることを契約前に確認する。
4. (契約の締結)調達手続きに基づいて、調達先と契約が締結されていることを確認する。
5. (実施状況のモニタリング)契約内容の実施状況をモニタリングし、必要な対応を実施する。
6. (検収手続)契約に基づいた製品・サービスが納品されていることを検収する。

2.2.6 外部委託管理


 プロジェクトの要求内容を満たす外部委託業務の提供を受けるために、外部委託管理手続を明確にし、それに基づいて外部委託を実施する。
(達成目標)
1. IT戦略に基づいて外部委託業務が利用されている。
2. 外部委託業務の調達に関する判断基準が明確にされている。
3. プロジェクトの要求内容(品質・コスト・納期)を満足した外部委託サービスが選定され、履行能力を満たした調達先が選定されている。
4. 調達先との間で契約が締結されている。
5. 契約に基づいて外部委託業務が提供されている。
6. 契約に基づいて支払等の外部委託業務に対する義務が果たされている。
(管理活動の例)
1. (IT戦略計画との整合性)IT戦略に基づいて外部委託利用計画を策定する。
2. (外部委託管理手続)外部委託先の選定基準・方法を含む外部委託管理手続を定める。
3. (外部委託先の選定)外部委託管理手続に基づいてプロジェクトの要求内容(品質・コスト・納期)を満足する外部委託業務を複数の外部委託先候補から選定する。
4. (契約の締結)外部委託管理手続に基づいて外部委託管理先と契約を締結する。
5. (外部委託契約の維持)外部委託契約の実施状況を評価し、外部委託契約に基づいて外部委託が行われるように維持する。
6. (検収手続)外部委託契約に基づいて研修を実施し、成果物を受け入れる。

2.2.7 構成管理・変更管理


 プロジェクトの手戻りや中断を最小限に抑えるために、情報システムの構成要素(ハードウェア、ソフトウェア、ネットワーク、外部サービス、施設・区域、更改ドメイン)の変更について、構成要素間の整合性を確保するとともに、変更履歴を管理する。
(達成目標)
1. 情報システムの構成要素として管理する対象範囲を定めて、ルール化されている。
2. 変更前後の情報システムの構成要素を構成管理情報として明確にし、管理されている。
3. プロジェクトの管理者が構成管理情報を検索・閲覧できるように管理されている。
4. 構成管理情報の正確性が検証されている。
5. 情報システムの構成要素の変更は、承認に基づいてリリースされている。
(管理活動の例)
1. (構成管理の計画)情報システムの構成要素に関する情報の収集・保存・管理計画を策定する。
2. (構成管理台帳の作成)情報システムの構成要素について、管理台帳を作成し、閲覧できるようにする。
3. (変更管理)情報システムの構成要素の変更について、承認などの管理を行う。
4. (管理台帳の最新化)変更内容に基づいて、管理台帳を最新化する。
5. (検証と是正措置)管理台帳の内容と、本番環境(実環境)との整合性を検証し、必要な是正措置を行う。
6. (リリース)情報システムの構成要素の変更は、定められた手順に則り、本番環境などへリリースする。

2.2.8 情報管理


 プロジェクトの関係者が必要とするタイミングで必要な情報を利用できるように、管理対象の情報を維持管理する。
(達成目標)
1. 管理対象の情報や情報項目が明確にされている。
2. 情報の管理体制及び管理手続が明確にされている。
3. 情報の重要性や機密性に応じた情報セキュリティ対策が講じられている。
4. 情報は、指定されたプロジェクトの関係者だけが利用可能になっている。
(管理活動の例)
1. (管理対象明確化)管理対象とする情報や情報項目を明確にする。
2. (情報の管理体制)情報の管理体制を整備する。
3. (情報の管理手続)情報の管理手続を定める。
4. (情報の維持)情報の管理手続に従って、情報を維持、保管、廃棄する。
5. (情報セキュリティ対策)情報セキュリティ対策を講じて、その実施状況及び有効性を確認する。
6. (体制手続の見直し)情報の管理体制及び管理手続は、定期的又は環境変化に対応して見直しを行う。

2.2.9 ドキュメント管理


 プロジェクト全般でドキュメントを円滑に利用可能にするために、管理対象とするドキュメントを明確にして、整備、維持管理する。
(達成目標)
1. 管理対象ドキュメントが明確にされている。
2. 管理対象ドキュメントの形式及びドキュメントの体制および手続が定められている。
3. 管理対象ドキュメントの整備・維持管理に関する体制及び手続が定められている。
4. 管理対象ドキュメントについて、その重要性及び機密性に応じたセキュリティ対策が講じられている。
5. 管理対象ドキュメントは、指定されたプロジェクトの関係者だけが利用可能な状態になっている。
(管理活動の例)
1. (管理対象明確化)管理対象とするドキュメントを明確にする。
2. (ドキュメントの管理体制)ドキュメントの管理体制を整備する。
3. (ドキュメントの管理計画)ドキュメントの管理計画を策定する。
4. (ドキュメントの管理手続)ドキュメントの管理手続を定め、それに従って整備する。
5. (ドキュメントの改定)ドキュメントの管理手続に従って、ドキュメントを改定する。
6. (ドキュメントの保管)ドキュメントの管理手続に従って、ドキュメントを保管する。
7. (ドキュメントの廃棄・消去)不必要になったドキュメント(改定などに伴い無効となったドキュメント、妥当性が確認できないドキュメントを含む)は適切に廃棄・消去する。
8. (情報セキュリティ対策)ドキュメントに関する情報セキュリティ対策の実施状況及び有効性を確認している。
9. (計画及び手続の見直し)ドキュメントの管理体制、管理計画、管理手続は定期的又は環境変化に応じて見直しを行う。

2.2.10 プロジェクトの生産性の測定


 ITガバナンス及び情報システムの開発・運用・保守の将来に役立てるため、生産性、ユーザー満足度、リスク管理に関する客観的なデータ及び情報を収集し、関係者に報告する。
(達成目標)
1. IT戦略、関係者の要請を踏まえて、組織体の情報ニーズ(測定の目的、目標、必要性)と、それに基づく測定の対象が明らかにされている。
2. 必要なデータが収集、分析、蓄積されている。
3. 分析結果が分かりやすく説明されており、意思決定に役立てられている。
(管理活動の例)
1. (測定活動の方針及び手続)組織体の情報ニーズに基づいて、測定活動の方針及び手続を策定し、関係者へ周知する。
2. (測定結果の伝達)測定活動を適切な作業工程へ組み込んで実施し、その結果を文書で関係者へ伝える。
3. (測定活動の評価および改善)測定活動の方針及び手続を評価し、必要な測定活動の改善を図る。

2.2.11 情報システムの品質保証


 情報システムに求められる品質を確保するために、定められた品質管理手順に従って品質を管理し、プロジェクトにおける情報システムを保証する。
(達成目標)
1. 品質保証のための評価の基準及び手順が定められている。
2. 評価の基準及び手順に従って情報システムの品質を評価することによって、品質が保証されている。
3. プロジェクトの関係者へ評価結果が伝えられている。
4. 品質が満足できない場合には、必要な是正措置が実施されている。
(管理活動の例)
1. (品質保証計画)品質管理方針・手順に基づいて、プロジェクトに合わせて調整した品質保証計画を策定する。
2. (要件への適合性の評価)業務要件及びシステム要件への適合性を評価し、必要な対応を行う。
3. (システム開発業務の評価)システム開発の手順に基づいて、システム開発業務を適切に進められているかどうかについて評価する。
4. (品質保証の記録と報告)品質保証の結果をプロジェクトの関係者へ報告するとともに、必要な対応を行い、品質保証の記録を補完する。


 

この記事が気に入ったらサポートをしてみませんか?