ITパスポート試験対策 サービスマネジメントとシステム監査
ITパスポートの【マネジメント系】の【サービスマネジメントとシステム監査】についてまとめていきます。
サービスマネジメントの本質である『情報システムを安定的、かつ効率的に運用し、利用者に提供するサービスの品質を維持・向上させること』の大切さを理解した上で、それを達成させる手段について学習します。
ITサービスマネジメントの意義や目的、考え方について理解し、コンピュータやネットワークなどのシステム環境整備に関する考え方を身につけてましょう!
システム監査の意義や目的、考え方を理解した上で、システム監査の流れについて、具体的な方法を身につけ、内部統制やITガバナンスの重要性を十分に理解する必要があります。
ITパスポート試験でも頻繁に出題されている分野となっていますので、語句の意味なども、しっかりと把握するようにしましょう。
第1章 サービスマネジメントとITIL
サービスマネジメント
利用者に対するサービスを改善、維持する活動で、サービスマネジメントは定期的な活動
活動の内容としてはサービスの品質を維持、改善すること
システム納品後、サービスマネジメントを行い、サービスレベルを維持、改善する必要がある。
ITサービスマネジメント
ITサービスを維持、改善していくことで、全サービスのうち『インターネットや携帯電話などのITを用いたサービス』でアナログなサービス(接客など)は含まれない。
サービスレベル
ユーザに対するサービスの品質で、サービス提供者はサービスマネジメントを行い、出来るだけ高いサービスレベルをユーザに提供する必要がある。
システム開発は作って終わりではなく、次のステップとして、そのシステムを元に、いかに品質の良いサービス、つまりサービスレベルの高いサービスをユーザに提供できるかが重要となる。
ITIL
ITサービスマネジメントのベストプラクティス(最良の事例)が書かれた本
実際に使われ、そして効果のあったITサービスマネジメントの事例がまとめられている。
プロジェクトマネジメントとサービスマネジメントの違い
第2章 SLMと可用性管理
SLM(サービスレベル管理)
サービスの提供者と利用者が合意した『サービスレベル(サービスの品質や範囲)』を維持、改善するための活動
主にPDCAの手法を使ってサービスの維持、改善を行う。
Plan(計画)→Do(実行)→Check(評価)→Act(改善)
SLA(サービスレベル合意書)
サービス提供者とサービス利用者との間で取り決めた『サービスレベル(サービスの品質や範囲)』を明文化した書類
求めるサービスレベルを保証してもらえるメリットがあり、万が一サービスレベルがSLAの内容を満たしていない場合、契約を解除することが可能となる。
サービスの範囲と品質が明確になることが、サービス提供者側のメリットとなる。
可用性管理
ユーザが求めるサービスレベルのうちの『可用性を確保する』ための活動
可用性とはサービスを使いたいときに使えることで、具体的にはサービスの提供時間や稼働率などを指す。
第3章 サービスサポート
サービスサポートについて
インシデント管理
サービスを迅速に復旧させる活動
正常に業務を遂行できない状況で具体的には『PCが起動しない』、『電子メールが送信出来ない』といった状況などを迅速に復旧させるための作業
インシデント管理では問題の根本解決はおこなわず、サービスの継続を優先し、問題を回避する手段があれば、それを実行する。
問題管理
インシデントの根本原因を究明し、再発を防止する活動
問題管理では障害の根本原因の究明が主たる作業になる。
構成管理
IT資産を正確に把握して、不正使用を防止する活動
ハードウェア、ソフトウェア、ドキュメントなどがIT資産となる。
ソフトウェア製品の不正使用(ライセンス違反など)を防止することもできる。
変更管理
システムの変更を承認し、実施計画を立てる活動
システムの変更に失敗すると、サービスの中断や復旧作業など、サービスにとってデメリットしかないため、出来るだけ失敗が発生しないように、変更管理プロセスで綿密に計画を立てる。
リリース管理
変更管理で承認された変更を本番環境に実装する作業
リリース管理では最初にサービスの利用者や、運用管理者に計画の内容や実施要領を通知し、その後、システムの変更が失敗した際の影響範囲を最小限におさえる施策を準備した上で、システム変更を本番環境に実装する。
リリース後の障害発生も想定して、元の運用環境に戻すための対策を必ず用意しておく必要がある。
サービスデスク(ヘルプデスク)
トラブルなどの問い合わせを受け付ける単一の窓口。
目的としてはサービスレベルを低下させないことを前提に、インシデント管理に基づいた迅速な回答や復旧を優先して行う。
利用者のトラブル対応や問い合わせの記録と管理、適切な部署への引き継ぎ、対応結果の記録を行う。
エスカレーション
ヘルプデスクでは対応しきれない技術的に高度な問い合わせを、上位の管理者や技術部門などに引き継ぐこと。
一次受付、二次受付、三次受付と、バトンを引き継いでいく。
FAQ
サービスデスクでは問い合わせの件数を減らすために、ウェブサイトの中にFAQを掲載する。
FAQとはよくある質問とその答えをまとめたもの。
チャットボット
会話形式で自動的に問い合わせに応じる仕組み
利用者(人間)とメッセージのやり取りをするために、AI(人工知能)を使用する。
第4章 ファシリティマネジメント
BCM(事業継続管理)
大規模な災害などによって、企業活動を支える重要な情報システムに障害が発生したような場合でも企業活動を継続するための経営手法。
『事前に計画し、準備しておく』ことがこの手法のポイントとなる。
BCP(事業継続計画)
災害や事故などの不測の事態を想定して、事業をいかに継続するかをまとめた計画
ファシリティマネジメント
建物や設備の保有や管理、維持などを最適化する手法
UPS(無停電電源装置)
停電時、すぐに電力を供給できるとゆうメリットがあるが、一時的にしか電力を供給できないデメリットがある。
自家発電装置
長時間の停電に備え、システムに電力を供給するための装置
第5章 システム監査
システム監査について
会社の情報システムのリスクに対するコントロールが適切に整備、運用されているのかを、独立した第三者が評価すること
システム監査にて正しい監査を行うために、システムを正しく評価するための統一的な基準が定められている。
それを『システム管理基準』とし、企業が従うべきルールとなる。
また、監査人が守るべきルールも定められており、それを『システム監査基準』といい、監査人が従うルールとなっている。
システム監査の目的
リスクのコントロールが正しく行われているのかを評価することで、ITパスポート試験では『情報システムにまつわるリスクに対するコントロールの整備、運用状況を評価し、改善につなげることによって、ITガバナンスの実現に寄与する。』と定義されている。
システム監査の3つのポイント
①信頼性:情報システムの品質、ならびに障害の発生、影響範囲、および回復の度合い
②安全生:情報システムの自然災害、不正アクセス、および破壊行為からの保護の度合い
③効率性:情報システムの資源の活用、および費用対効果の度合い
システム監査の流れ
①依頼
監査は依頼人(経営者)が監査人に依頼するところがスタート地点となる。
②調査
依頼を受けた監査人は通常、公認会計士やコンサルタント会社、社内の監査部門が行う。
内部監査:社内の監査部門など、社内の監査人による監査
外部監査:公認会計士やコンサルタント会社など、社外の監査人による監査
被監査部門はそのシステムを使っている部門となる。
監査人は『ヒアリング』、『現地調査』、『レビュー』などの調査を実施する。
③報告
調査が終わると、監査人は依頼人に監査報告書を提出します。
④改善命令
依頼人は監査報告書を元に、被監査部門に対して改善命令を出します。
⑤改善
被監査部門は改善命令に基づいて、改善活動を実施する。
監査人は改善指導をするだけで、主体的に改善活動を行うことはない。
監査人の独立性
監査人は、被監査部門と利害関係のない者で、独立した第三者であることが必要である。
システム監査基準には『システム監査人は、システム監査を客観的に実施するために、監査対象から独立していなければならない。監査の目的によっては、被監査主体と身分上、密接な利害関係を有することがあってはならない』とされている。
第6章 内部統制
内部統制とは
コーポレートガバナンス(企業統治)
株主を中心としたステークスホルダが、経営者の経営を関しすること
社外から会社を健全化する。
内部統制
社内のすべての人が業務を健全化することで、コーポレートガバナンスを実現するための手段である。
社内から会社を健全化する。
ITガバナンス
ITを適切に活用して、会社をあるべき姿に導くための仕組み
IT統制
ITガバナンスを実現する手段
職務分掌
担当者の役割や仕事の権限を明確にすること
担当者間で相互けん制が働くため、業務の不正や誤りが生じるリスクを軽減することが可能となる。
モニタリング
内部統制におけるモニタリングとは、内部統制が有効に機能していることを継続的に評価するプロセス
この記事が気に入ったらサポートをしてみませんか?