operation management

A.運用管理

（概説）ネットワーク環境下では、ユーザがオペレータでもあるので、集中管理でのオペレーションよりも広い意味で運用管理を考えることになる。
ユーザ側は一般ユーザとパワーユーザに分け、管理側ではＬＡＮ管理者と利用部門の管理者とに分けて運用管理ルールを使い分ける等幅広い対応が求められる。　　　　

監査目標
   (1)  運用管理ルールを定め、遵守しているか。
着眼点
      1)運用管理ルールがあり、明文化されているかを、運用管理責任者及び運用担当者に確認する。*1
      2)運用管理ルールは、管理者により承認されているかを、運用管理マニュアル等により確認する。*1
　    3)運用管理ルールが運用担当者に周知徹底されているかを、運用担当者へのヒアリングにより確認する。*1
　    4)運用管理ルールの改訂については、然るべき手続きを踏んでなされているかを確認する。*1
 　   5)運用管理ルールの改定が、関係者に徹底されているかを、改訂内容の連絡手段を調査することにより
        確認する。*1
　    6)運用管理ルールが、現在の運用環境にマッチしているかを、運用環境との対比を行うことにより確認
	する。*1
　    7)運用管理マニュアルの改訂手順が明確になっているかを、運用管理者及び運用担当者へのヒアリング
	により確認する。*1
留意事項
 	  ・バックアップファイルの更新及び保守に関する方針を策定する。
	  ・ネットワーク機器部品の定期クリーニングのスケジュールや手順を文書化する。また定期クリー
	ニングの実施内容を記録する。
	  ・ネットワーク管理において十分な規定がドキュメント化されており、データの保護やセキュリテ
	ィが守られる様になっていなければならない。			


監査目標  
    (2)  操作手順を標準化し、事故及び障害の対策を明確にしているか。
着眼点
      1)操作手順マニュアル（オペレーション・マニュアル）があるか運用担当者に確認する。*1
　    2)操作手順マニュアルは標準化されているかを確認する。*1
　    3)操作手順マニュアルの内容がオペレータに周知徹底されているかを確認する。*1
　    4)事故及び障害が発生した場合の対応が操作手順マニュアル等に明記されているか、また、運用担当者
	に徹底されているかを確認する。*1
　    5)事故及び障害が発生した場合、その原因究明がなされているか、また、再発防止の対応がなされてい
	るかを確認する。*1
留意事項
	  ・主たるハードウェアないしソフトウェアの事故、あるいは一時的もしくは長期間に亘る施設の破
	壊に対して、重要なアプケーション・プログラムを処理するために文書化された計画を策定し、定
	期的に見直す。								
	  ・災害時の復旧計画のために、アプリケーションは機密度、重要度に従って、優先順位付けし、一
	覧表としてまとめておく。
	  ・ バックアップは対象業務の優先度に従い、それぞれの基準に従い行う。
	  ・分散処理ネットワーク自体に対して、文書化され、マメジメントが承認した災害時復旧計画を策
	定・保持する。また、災害時における連絡体制と役割分担を明確にしておく。		
	　・ ガイドラインのヘルプデスクは、個人が業務上の窓口の要素はありますが、システムダウン・コ
	ンピュータウィルス等、会社全体のトラブルに対する指示・窓口の要素が不足していると思います。
           ネットワーク時代となった今日では、一つのトラブルで会社全体がダウンするようになり、業務が
	混乱します。それに対するユーザーサポートを強化すべきだと思います。
										


監査目標
    (3)  ジョブスケジュールは、業務処理の優先度を考慮して設定しているか。
着眼点
      1)ジョブスケジュールは、所定の処理依頼に基づき作成されているか確認する。*1                                      
　    2)優先度は、業務の重要性、緊急性、機密度等を考慮して設定されているかを確認する。*1                                        
　    3)重要度のランク付け、緊急度の設定は適切になされているかを確認する。*1                                                    
　    4)ジョブスケジュールは、管理者により承認されているかを確認する。*1
留意事項
	  ・処理能力が制約されている場合、システム管理者は、比較的重要でないユーザーより重要なユー
	ザーが利用できるように優先計画を立て、業務が円滑に行えるようにしなければならない。      
	 　・監査基準では、スループットの向上を言っていると考えられるが、ネットワーク管理の上記項目
	はネットワーク全体のスループットの向上の為ではなくリスク回避の意味合いが濃い。


監査目標
    (4)  オペレーションは、ジョブスケジュール及び指示書に基づいて行っているか。
着眼点
      1)ジョブスケジュールは、管理者により承認されているかを確認する。*1
      2)オペレータは、オペレーション実施記録をつけているか、また、実施記録は一定期間保管されている
	かを確認する。*1
　    3)ジョブスケジュール通りオペレーションがなされなかった場合、その報告が管理者になされているか
	を確認する。*1
　    4)作業指示書は、オペレーションを実施するのに必要十分な情報が網羅されているか、確認する。*1
      5)臨時のコンピュータ処理は、全て所定の承認書に基づいて行われているかを確認する。*1
留意事項
	  ・オペレーションは手順通りに行ない、処理の漏れや順番間違いによトラブル等を防がなければな
	らない。      						                  
	

監査目標
    (5)  例外処理のオペレーションは、運用管理ルールに基づいて行っているか。
着眼点
      1)例外処理については、運用の管理者が承認しているかを確認する。*1
　    2)例外処理発生の原因を分析しているか、また例外処理を通常処理に取り込めるよう検討しているかを
	確認する。*1
留意事項	
	　　・上記と同じ項目と見られ無くもないが、通常オペレーションと例外処理は明確に区別すべきで
	あると思う	


監査目標
    (6)  オペレータの交替は、運用管理ルールに基づいて行っているか。
着眼点
      1)オペレーションの引継が運用管理ルールに基づいて、確実になされているかを確認する。*1
      2)引継内容を運用管理者が把握しているかを確認する。*1                                                         
　    3)引継内容には、引き継ぐオペレータにとって必要十分な情報が盛り込まれているかを確認する。*1
留意事項
	  ・ネットワーク管理担当者の勤務状況、休暇の取得状況を定期的にレビュー（本来業務に専念でき
	ているか、オーバーワークでないか）し、負荷配分を適切に行う。
	  ・管理担当者人数については、作業実績とクライアントの増加数により、適正な増減を図る。       
          ・ＬＡＮ管理を実行するために必要な人的リソースの数は、以下の様な多くの要因に依存する。
　　　　　	・ユーザの教育レベルや教育を受けたユーザの数
　　　　　	・管理するクライアント機の数
　　　　　	・管理するサーバ機の数
　　　　　	・管理する相互接続機器の数
　　　　　	・ＬＡＮセグメントの地理的配置や距離
　　　　　	・クライアント機とサーバ機の密度
　　　　　	・使用している通信媒体
　　　　　	・継続的に監視を行うための機器の有効性
　　　　　	・トラブルシュートを行うためのツールの有効性
　　　　　	・ＬＡＮ管理グループのスキル・レベル
　　　　　	・ネットワーク管理組織のサポート・スキル
          	・稼動している業務システム、ツールの数
          	・稼動しているシステムの重要性
          	・利用内容、頻度
          	・社外との接続状況　　　　　　　　　　　　　　　などが挙げられる。

	  ・システム管理者は、運用メンバーの能力及び人数が適切かどうか定期的にチェックしなければな
	らない。
          また、必要に応じて、メンバーの教育・増員を行い、業務を円滑に行えるようにしなければならない。     							      


監査目標
    (7)  ジョブスケジュールとオペレーション実施記録の差異分析を行っているか。
着眼点
      1)ジョブスケジュールとオペレーション実施記録の差異分析を定期的に行っているかを確認する。*1
      2)差異分析の結果を運用管理者に報告しているかを確認する。*1                                                               
　    3)差異発生の原因となった内容について今後の対応がなされているかを確認する。*1
留意事項
	ＬＡＮ環境での要不要の検討も含めて再考が必要


監査目標
    (8)  情報システムの稼動実績を把握し、性能管理及び資源の有効利用を図っているか。
着眼点
      1)コンピュータ等機器類の稼動実績データを把握しているかを確認する。                                              
        （注）機器類の稼動実績については、ログデータから取るほうが確実かつ効率的である。*1                                  
　    2)コンピュータ等機器類の稼動実績データは、運用管理者に定期的に報告されているかを確認する。*1                       
　    3)稼動実績データはその後の機器構成管理等に活用されているかを確認する。*1
留意事項
	  ・機器の保守や交換のため、システムのダウンタイムのログ、機器エラーなど稼働状況の記録を取
	り、稼働率を監視しておく。
	  ・稼働率向上のため、システム管理者または保守契約に基づくベンダーによるスケジュール化され
	た機器類の予防保守を行う。 						     
　　    ※ ネットワーク・システムの信頼性を維持するためにも、稼働率の監視や予防保守が必要である。
	  ・システム管理者は、システムの有効活用・システム資源のチェック・トラブル発見のため、レス
	ポンス・タイム、ディスク・ストレージのスペース、ネットワークの利用度について、監視しなけ
	ればならない。
          また、利用状況を把握することによって、権限の無いデータへのアクセスやハッカー進入の発見
	等のセキュリティ対策やシステム資源の拡張計画が検討できるようにしなければならない。
 	  ・システム管理者は、ハードウェアの効率性と容量を定期的にチェックしなければならない
	　

監査目標
    (9)  オペレーション実施記録は、運用管理ルールに基づいて一定期間保管しているか。
着眼点
      1)オペレーション実施記録の保存期間が規定されているかを確認する。*1
　    2)オペレーション実施記録の保存期間は、運用の実態からして妥当かどうか確認する。*1
　    3)オペレーション実施記録は、規定通り保管されているかを確認する。*1
　  　4)オペレーション実施記録には、作業結果、作業担当者、作業日・作業時間等必要な項目が記載されて
　　　　いるか確認する。*1
留意事項		
	・ＬＡＮ環境における引き継ぎ簿（交替時点の）要否は検討すべき課題である。
　　　　 但し、目的によっては（単なる引き継ぎ簿とか）オペレーション担当者の体制等（一人で担当している
	 場合等）では不要と考えられる	


監査目標
    (10)  事故及び障害の内容を記録し、情報システムの運用の責任者に報告しているか。
着眼点
      1)事故及び障害が発生した場合の手続きが明確になっているかを確認する。*1
      2)事故及び障害が発生した場合、規定された手続きに従って事故・障害報告が管理者宛になされている
	かを確認する。*1                                                                                                                          
　  　3)事故・障害報告書の内容は、過不足のない内容になっているかを確認する。*1                                                
　    4)事故・障害が発生した場合、あらかじめ定めてある手順に従い、関係部門に連絡がなされているかを
	確認する。*1
留意事項
	情報セキュリティ管理者により管理状況がレビューされ、必要な改善策を策定、管理者に報告する。
									         

監査目標
    (11)  事故及び障害の原因を究明し、再発防止の措置を講じているか。
着眼点
      1)事故・障害の原因分析がなされているかを確認する。*1
      2)事故・障害の原因分析を基に再発防止策がなされているかを確認する。*1                                           
　    3)再発防止策が関係者に周知徹底されているかを確認する。*1                                                              
　    4)回復のための所要時間を把握しているかを確認する。*1
留意事項
	・情報セキュリティ管理者により管理状況がレビューされ、必要な改善策を策定、管理者に報告する。
	・障害記録、障害対策のデータベース化・情報共有化を行い、すばやい復旧とコストの軽減を図る。
	・システム管理者は、ネットワークで起きた問題とその解決方法を記録し、再発を防止するように
	しなければならない。  							      
        ・監査基準では、だれが実施するかの責任所在が不明確である。
	・処理中に発生した事故は、全て記録・分析され、適時に解決し、管理者に報告されなければなら
	ない。
          要員の作業分担・連絡・引き継ぎを明確にし、事故の発生を未然に防止する体制を作らなければ
	ならない。但し、ネットワーク規模や運用体制にもよる。

監査目標
    (12)  識別コード及びパスワードの管理は、不正防止及び機密保護の対策を講じているか。
着眼点
      1)オペレーション業務は機密に応じた区分がなされているかを確認する。*1
      2)機密度に応じたアクセス権限を付与しているかを確認する。*1                                                             
　    3)識別コード、パスワードの管理責任者を定めているかを確認する。*1                                      
　    4)パスワードは随時変更が行われており、又同一パスワードの使用期限が設定されているかを確認する。*1
留意事項
	  ・ファイル・サーバ等の重要機器は、不正侵入に対し合理的に保護する。不正侵入の方法やリスク
	を分析し、対策を立てる。
　	  ・ファイル・サーバ等の重要機器の鍵は，不正使用がないように適切に管理する。
	　・ファイル・サーバ等の重要機器の収容場所は施錠され、あるいは機器自体が移動できないように
	保護する。
	　・コンピュータ施設への入退室は、鍵・バッヂ・自動セキュリティ装置等により、許可された要員
	に限定する。
	  ・許可されていない人間がコンピュータ施設へ入退室する場合は、許可された要員が立ち会ったり、
	立ち入り地域を限定したり、入退室記録を取る。				
　　　　　・責任の所在が不明確。だれが行うかは明確にすべきである。		


監査目標　
    (13)  情報システムのセキュリティに関する教育及び訓練をユーザに対して実施しているか。
着眼点
      1)組織体におけるセキュリティの考え方（方針）が明確になっているかを確認する。*1                                   
　    2)セキュリティに関する教育を実施する体制が出来ているかを確認する。*1
      3)セキュリティ教育が定期的に行われているかを確認する。*1
　    4)セキュリティ教育の内容を適宜見直しているかを確認する。*1
　    5)セキュリティ教育の内容が、現在の環境の中で妥当な内容となっているかを確認する。*1

留意事項
	システム管理者、セキュリティ管理者及びネットワークユーザのための教育プログラムを設ける。
　　　①運用者教育
        （対象）ネットワーク運用担当者、ＬＡＮヘルプデスク担当者、キーマン
　　　　（内容・実施時期）
          ・職務講習：任命時に各管理担当者／担当者の役割の説明
　　　　　・技術講習：任命時に基本講習（管理ツールの操作、障害対応）
　　　　　　      　　定期的にレベルアップ講習
　　　　　　　　　　　（新ツール、バージョンアップ情報等）
　　　　　・障害対応：月１回ペースでの情報交換会
          
　　　　　技術基本講習は外注化を行ってもよい。

　　　②ＥＵＣ担当者教育
        （対象）ＥＵＣヘルプデスク担当者
　　　　（内容・実施時期）
          ・職務講習：任命時に各担当者の役割の説明
　　　　　・技術講習：任命時にインストラクター基本講習
　　　　　　　　　　　（操作指導、障害対応）
　　　　　　      　　定期的にレベルアップ講習
　　　　　　　　　　　（新ツール、バージョンアップ情報等）
          
　　　　　技術基本講習は外注化を行ってもよい。
　　　③ネットワーク構築担当者、ＥＵＣ推進担当者教育
　　　　上記については定常的なカリキュラムは設けない。
　　　　ＬＡＮの展開計画に従って、上位マネジメントと相談の上、各自必要な外部講習等を受講する。
	コンピュータ・ウイルス、著作権、セキュリティについての教育、啓蒙活動を実施する。
　　    ニューズレター等で新聞記事や社内外の実例を継続的に報知するのも有効である。
ガイドラインの目次に戻る。