情報システムは基盤システム層(インフラ)と応用システム層(アプリケーション)に分けられる。管理レイヤーとしては他にガバナンスのための標準類と監視プロセス、業務運用のための組織体制が乗っかる。
インフラ管理の特性 :
1. 管理対象にネットワークを含むため、直接管理しているか否かに関わらず、“統括”エリアが極めて広くなること。
2. ネットワークの安全運用にはサーバー、パソコンなど接続される全てに対して一定の管理が必要になること。
3. データセンター、基幹ネットワークなど全社全事業に於けるライフラインを対象としていること。
4. データ系、音声系を問わず包括的な管理が求められる。(但し企業によっては音声系は従来どおり総務管理のところもあるが将来的にはIP統合の方向が大方の理解となっている)
5. インフラサービスの改善に向けては、一般ユーザー、業務システム管理者、業務オーナー等調整先が非常に多い(基本的には全員)。
6. アウトソーシングを前提にした管理が必要とされている(社内あるいは関連会社への業務委託を含めて、他社依存性が高い)。また、インフラ整備の経過あるいは戦略によってはアウトソース先は1機能1社に限らない。
7. 予算規模が大きいため、それに相応しいコスト管理機能。管理の質によって適切であれば魅力的なコスト低減が図れる一方、不適切であれば相当の無駄が発生する。
8. インフラ管理の全プロセスで高いスキル・協調的行動力・モチベーションが求められる。不具合発生時あるいは予兆検知時には、迅速で的確な判断と適切なエスカレーション及び協調の取れた行動が必要。
9. 殆んどのケースでインフラ統括部門は少数(精鋭?)。少人数管理が前提のことが多い。
インフラ統括管理上の課題(統括部門の視点) :
*多くは業務アプリ領域も共通する課題であるが、インフラ統括部門は特に留意すべき課題項目を上げた。
[ ]内はISO27001規格要求項目#
1.
業務は基本的に部外(社内他部門、関連会社、外部他社)に委託することが前提となるため、また委託先が多岐にわたるため、役割責任を明確にする委託内容の文書化と適切な見直しは必須である。例;委託契約書、SLAの類。
[A.6.2.1-6.2.3/A.8.1.1]
2.
規模が大きいネットワークの場合はネットワークへの新たな機器類の接続あるいは切り離しは日常茶飯事となるため、全体を網羅するダイナミックな構成管理と認可・受け入れ時の適切なリスクアセス機能。
[A.6.1.4/A.7.1.1-7.1.3/A.10.3.2](構成管理の概念はISO27001では明確に出ていない)
[A9/A.10/A.11]
3.
ユーザー(クライアント、サーバー、ネット接続機器管理者)に対する明確なネットワーク接続あるいは情報システム利用に当たってのガイドラインの提示、必要な場合は教育・訓練の実施、サポートの提供を行うこと。
[A.8.2.1-8.2.3/A.15.2.1-15.2.2]
4.
殆んどの業務は委託を前提としており情報セキュリティは委託先に依存しているが、確実なものとするため、委託先に対する適切な監視機能、及び監査機能。
[A.6.15/A.6.2.3]
5.
事業戦略(業務改革、業務システム改革など)と整合したインフラ整備を実現するため、中長期計画の提示と必要な調整。
[5.1]
6.
データ系、音声系統合管理機能。
[5.1]
7.
障害発生時のエスカレーションと指示伝達を迅速・的確に実現するための、またガバナンスを適切に実現するための全体を網羅する一貫性のある体系的な連絡網の整備。
[A.12.6.1/A.13.1.1]
8.
コスト管理機能。役割体制に組み込む。
[5.1]
9.
適切な人材配置を実現するスキル及びキャリア(職能)管理機能。
[5.2.2]
10.
基幹ネット、DC等のライフラインを主管しているため、ライフラインに非常事態が発生した場合の対応策を具体的にするための事業継続管理機能。これには社外への悪影響を考慮した対応を含む。
[A.6.1.6/A.14.1.1-14.1.5]
11.
インフラに対する要求(情報セキュリティ要求事項)を明確にするための調整機能または調整機関の運営。特に一般ユーザーの要望/要求に対する調整は明確な代表者が存在しないため工夫が必要。
[A.6.1.2/A.6.1.7/A.6.2.2]