コストとは削減するものではなく、最適化するものだ今日から学ぶCOBIT(2/3 ページ)

» 2008年04月09日 08時00分 公開
[谷誠之,ITmedia]
  • DS1 サービスレベルの定義と管理

IT管理部門とビジネス部門の顧客間で、求められるサービスについて効果的なコミュニケーションを行うためには、ITサービスおよびサービスレベルの定義と合意内容を文書化する必要がある。本プロセスには、サービスレベルの達成状況についてモニタリングし、利害関係者にタイムリーな報告をすることも含まれる。このプロセスにより、ITサービスと関連するビジネス要件との間の整合を図ることができる。


(要約) ITサービスをきちんと提供するためには、サービス提供者とサービスの享受者が、そのサービスの内容について理解し、互いに合意しておく必要がある。合意した内容はサービスレベルアグリーメント(SLA)にまとめておくとともに、サービスがSLAで定められた内容を順守しているかどうか定期的にレビューしなければならない。

  • DS2 サードパーティのサービスの管理

サードパーティが提供するサービスがビジネス要件を確実に満たすようにするには、効果的なサードパーティの管理プロセスが必要である。このプロセスでは、サードパーティとの合意のもと、役割、実行責任、および要求事項を明確に定義し、このような合意事項の有効性とコンプライアンスをレビューおよびモニタリングする。サードパーティが提供するサービスを効果的に管理することで、不適格なサービスプロバイダに起因するビジネスリスクを最小限に抑えることができる。


(要約) サードパーティに過剰に期待してはならない。それぞれのサードパーティの役割や重要性、依存度などを考え、各サードパーティに何をどの程度期待するかということを明確に文書化しておくことが求められる。さらには、そのサードパーティを使うことのリスクも明らかにしておく必要があるだろう。

  • DS3 性能とキャパシティの管理

IT資源の性能とキャパシティを管理するには、IT資源の性能とキャパシティを定期的にレビューするプロセスが必要である。このプロセスには、作業負荷、ストレージ、および緊急時の要件に基づいて今後のニーズを予測することが含まれる。このプロセスにより、ビジネス要件を支援する情報資源の継続的可用性が保証される。


(要約) ITにどの程度のキャパシティを期待するかは、言い換えればビジネスがITに何を期待するか、ということである。その内容はSLAに明記されているはずである。ITの現在の性能と求められるキャパシティとのギャップを常に評価するだけでなく、将来のニーズに対する予測や、可用性、障害対策なども一緒に考えていかなければならない。

  • DS4 継続的なサービスの保証

継続的なITサービスを提供するには、IT継続計画の作成、保守、およびテスト、遠隔地のバックアップ保管施設の確保および定期的な継続計画に関するトレーニングの実施が必要である。効果的なサービス継続プロセスにより、主要なITサービスの中断の可能性と、このような中断が主要なビジネスの機能とプロセスに及ぼす影響を最小限に抑えることができる。


(要約) ここで言う「継続的なITサービスの提供」とは、主に災害時の復旧計画、緊急時の対応計画のことを指す。有事にどのIT資源をどのように回復させるかということをあらかじめ計画しておかなければならない。それは優先順位、目標回復時間、担当者や責任者の明確化などが含まれる。要員のトレーニングや復旧テストなども忘れてはならない。

  • DS5 システムセキュリティの保証

情報のインテグリティを維持し、IT資産を保護するためには、セキュリティ管理のプロセスが必要である。このプロセスには、ITセキュリティに関する役割と責務、ポリシー、標準、および手続を定め、それらを運用、改善することが含まれる。また、セキュリティ管理には、セキュリティのモニタリングと定期的なテストの実施、および識別されたセキュリティの弱点やインシデントに対する是正措置の導入も含まれる。セキュリティ管理を効果的に実行することで、すべてのIT資産を保護し、セキュリティの脆弱性やインシデントがビジネスに与える影響を最小限に抑えることができる。


(要約) セキュリティ確保が重要だということは、もはや疑う余地がない。守る対象は何か、考えられるリスクは何か、何をもってセキュリティインシデントが発生したとみなすか、ということを明らかにする必要がある。もちろん、定期的なレビューやテストも忘れてはならない。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ