| (概説) 分散環境における要員管理は、それに応じた責任・権限、業務、教育・訓練を行う必要がある。
分散環境になることとなって、対象となる要員が増え、範囲が広がり、必要となるレベルもまちまちになっている。これらを十分に検討し、適切な管理が必要になってきている。 |
1 責任・権限
監査目標
(1) 要員の責任及び権限は、企画、開発、運用及び保守業務の特性に応じて定めているか。*1
着眼点
a)企画、開発、運用および保守要員の管理責任者が、明確に定められていることを確認する。*1
b)要員管理についてのルール、規則が明文化されていることを確認する。
c)要員の職務分担が、明確化されていることを確認する。
d)要員の責任および権限が、明文化されていることを確認する。
e)要員の責任および権限は、能力および経験に基づいて決められていることを確認する。*1
f)要員の責任および権限に相互矛盾がないことを確認する。*1
g)要員の責任および権限を、組織体として承認していることを確認する。
留意事項
・情報システム部門、ネットワーク管理部門の役割や職務、作業分担を明確にし、文書化する。*2
・ネットワーク管理部門担当者の役割や職務、作業分担を明確にし、文書化する。*2
・管理担当者人数については、作業実績とクライアントの増加数により、適正な増減を図る。*2
LAN管理を実行するために必要な人的リソースの数は、多くの要因に依存する。
この要因は、
@ユーザの教育レベルや教育を受けたユーザの数
A管理するクライアント機の数
B管理するサーバ機の数
C管理する相互接続機器の数
DLANセグメントの地理的配置や距離
Eクライアント機とサーバ機の密度
F使用している通信媒体
G継続的に監視を行うための機器の有効性
Hトラブルシュートを行うためのツールの有効性
ILAN管理グループのスキル・レベル
Jネットワーク管理組織のサポート・スキル
K稼動している業務システム、ツールの数
L稼動しているシステムの重要性
M利用内容、頻度
N社外との接続状況
などが挙げられる。*2
・企画、開発、運用、管理等において、職責分離、内部牽制が行われ、定期的に検査を行い、 職務違反、不正防止等をチェックを行う。
定期的にローテーションを行い、不正等を行いにくくする。
監査目標
(2) 要員の責任及び権限は、情報環境の変化に対応した見直しを行っているか。*1
着眼点
a)要員の責任および権限の見直しが、ルール化されていることを確認する。*1
b)要員の責任および権限の見直し範囲、見直し時期、見直し基準が 明文化されていることを確認する。*1
c)要員の責任および権限の見直し体制、見直し責任者が明確化されていることを確認する。*1
d)要員の責任および権限の見直しが、ルールに基づいて行われていることを確認する。*1
e)要員の責任および権限の見直し結果が、明文化されていることを確認する。
f)要員の責任および権限の見直し結果を、組織体として承認していることを確認する。*1
留意事項
・ネットワーク管理組織については、管理者からの報告により、適正な増強・改正を図る。*2
・技術動向や導入計画等より、必要な技術、管理方法、組織体制等を検討し、 対応できるようにしているか。
監査目標
(3) 要員の責任及び権限を周知徹底しているか。*1
着眼点
a)要員の責任および権限の周知について、ルール化されていることを確認する。*1
b)要員の責任および権限の周知方法、周知対象、周知時期が 明文化されていることを確認する。*1
c)要員の責任および権限が、周知ルールに基づいて周知徹底されていることを確認する。
d)要員の責任および権限の見直しが行われた時、関連する要員に連絡・周知されていることを 確認する。*1
留意事項
・ローテーション、組織変更、役割変更等において、 要員の責任及び権限を関係メンバーに 周知徹底しいるか。
定期的に全員に、要員の責任及び権限を周知徹底しているか。
2 業務遂行
監査目標
(1) 要員は、権限を遵守しているか。*1
着眼点
a)要員の業務遂行状況の管理責任者が、明確化されていることを確認する。
b)要員の業務遂行状況の報告ルールが、明文化されていることを確認する。
c)要員が業務遂行状況を報告するための書式が、設けられていることを確認する。
d)職務遂行状況報告ルールが、要員に周知徹底されていることを確認する。
e)要員管理責任者による要員の職務遂行状況のレビュールールが、 明文化されていることを確認する。
f)要員が、ルールに基づいて職務遂行状況の報告を行っていることを確認する。*1
g)要員管理責任者が、ルールに基づいて、要員からの報告書を基に要員の職務遂行状況を レビューしていることを確認する。*1
h)要員間の相互牽制が、機能していることを確認する。*1
留意事項
・ 管理者、メンバーにインタビューして、内容を理解して行動しているか、 マニュアルを遵守して業務を行っているか、 現在の行動やマニュアルの内容に問題がないかを調査しなければならない。
監査目標
(2) 作業分担及び作業量は、要員の知識、能力等から検討しているか。*1
着眼点
a)要員への作業割当て(作業分担、作業量)について、ルール化されていることを確認する。
b)要員への作業割当て方法は、要員の知識および能力を考慮して決められていることを確認する。*1
c)要員管理責任者が、作業割当てルールに基づいて要員への作業割当てを行っていることを確認する。
d)特定の要員に作業が集中していないことを確認する。
e)要員管理責任者が、要員の作業遂行能力の評価を行っていることを確認する。*1
f)要員の作業遂行能力の評価結果が、明文化されていることを確認する。
g)要員管理責任者が、各要員の作業遂行能力の評価結果を各要員に フィードバックしていることを確認する。
h)要員への作業割当て(作業分担、作業量)の見直しについて、 ルール化されていることを確認する。
i)要員の作業遂行能力の評価結果に基づいて、作業分担および作業量の見直しを 行っていることを確認する。*1
留意事項
・要員の選択基準が明確になっているか、技術や作業量に応じて、定期的に見直されているか。
監査目標
(3) 要員の交代は、不正防止及び機密保護を検討して行って要るか。*1
着眼点
a)要員交替時の引継ぎルールが、明確化されていることを確認する。*1
b)要員交替時引継ぎルールに基づいて、業務引継ぎを行っていることを確認する。
c)要員交替時の機密保護およびプライバシー保護対策が、明文化されていることを確認する。*1
d)要員交替時のアクセスコントロールが、明文化されていることを確認する。*1
e)要員交替時の機密保護対策、プライバシー保護対策、アクセスコントロールが 妥当であることを確認する。
留意事項
・要員の交代時に、すぐにIDカードの返却、権限・パスワードの変更を行い、 不正なアクセスができないようにしているか。
監査目標
(4) 不測の事態に備えた代替要員の確保を検討しているか。*1
着眼点
a)代替要員の確保が必要な事態を、明確化していることを確認する。
b)代替要員の確保が必要な作業を、明確化していることを確認する。*1
c)代替要員が確保できるまでの臨時措置を、明確化していることを確認する。*1
留意事項
・地震、火事等の災害に備えて、代替要員の準備、責任・権限の明確化、訓練等を行っているか。
3 教育・訓練
監査目標
(1) 教育及び訓練カリキュラムは、情報戦略に基づいて作成及び見直しを行っているか。*1
着眼点
a)要員に対する教育および訓練の方針が、明確に定められていることを確認する。*1
b)要員に対する教育および訓練カリキュラムが、方針に基づいて設定されていることを確認する。
c)情報戦略の策定に必要な知識および能力の習得が、教育・訓練カリキュラムに 反映されていることを確認する。*1
d)要員に対する教育・訓練カリキュラムが、要員に対するキャリアパスを反映していることを 確認する。*1
e)要員に対する教育・訓練方針および教育・訓練カリキュラムが、 組織体として承認されていることを確認する。*1
f)要員に対する教育・訓練カリキュラムの見直しが、ルール化されていることを確認する。
g)見直しルールに基づいて、要員に対する教育・訓練カリキュラムの見直しが 行われていることを確認する。*1
留意事項
・短期・長期のシステム化計画や管理体制、運用体制、情報技術の発達をにらんで、 要員の教育を計画的に実施する。*2
監査目標
(2) 教育及び訓練カリキュラムは、技術力の向上業務知識の取得、 情報システムのセキュリティ確保等から検討しているか。*1
着眼点
a)要員に対する教育・訓練カリキュラムの検討体制が、確立されていることを確認する。
b)要員に対する教育・訓練カリキュラムに盛込むべき内容が、明確化されていることを確認する。
c)情報セキュリティに関する教育・訓練カリキュラムが、作成されていることを確認する。*1
d)カリキュラムに基づいて、情報セキュリティに関する教育・訓練が 実施されていることを確認する。*1
e)情報倫理に関する教育・訓練カリキュラムが、作成されていることを確認する。*1
f)カリキュラムに基づいて、情報倫理に関する教育・訓練が 実施されていることを確認する。
g)業務知識を習得するための教育・訓練カリキュラムが、作成されていることを確認する。
h)カリキュラムに基づいて、業務知識を習得するための教育・訓練が実施されていることを確認する。
i)最新情報技術を習得するための教育・訓練カリキュラムが、 作成されていることを確認する。
j)カリキュラムに基づいて、最新情報技術を習得するための教育・訓練が 実施されていることを確認する。
留意事項
・システム管理者、セキュリティ管理者及びネットワークユーザのための教育プログラムを設ける。*2
@運用者教育
(対象)ネットワーク運用担当者、LANヘルプデスク担当者、キーマン
(内容・実施時期)
ア)職務講習:任命時に各管理担当者/担当者の役割の説明
イ)技術講習:任命時に基本講習(管理ツールの操作、障害対応)
定期的にレベルアップ講習(新ツール、バージョンアップ情報等)
ウ)障害対応:月1回ペースでの情報交換会
技術基本講習は外注化を行ってもよい。
AEUC担当者教育
(対象)EUCヘルプデスク担当者
(内容・実施時期)
ア)職務講習:任命時に各担当者の役割の説明
イ)技術講習:任命時にインストラクター基本講習(操作指導、障害対応)
定期的にレベルアップ講習(新ツール、バージョンアップ情報等)
技術基本講習は外注化を行ってもよい。
Bネットワーク構築担当者、EUC推進担当者教育
上記については定常的なカリキュラムは設けない。
LANの展開計画に従って、上位マネジメントと相談の上、 各自必要な外部講習等を受講する。*2
・コンピュータ・ウィスルや不正アクセス等、最新の動向、対処方法をメンバーに伝え、 徹底しているか。
監査目標
(3) 教育及び訓練は、カリキュラムに基づいて定期的かつ効果的に行っているか。*1
着眼点
a)要員に対する教育・訓練の計画が、立てられていることを確認する。
b)要員に対する教育・訓練が、計画に基づいて実施されていることを確認する。*1
c)要員に対する教育・訓練が、教育・訓練カリキュラムに基づいて実施されていることを確認する。
d)教育・訓練責任者が、要員に対する教育・訓練の実施効果を評価していることを確認する。*1
e)教育・訓練責任者が、要員に対する教育・訓練カリキュラムの有効性を 評価していることを確認する。*1
f)要員に対する教育・訓練に必要な教材・環境が、整備されていることを確認する。*1
g)要員に対する教育・訓練を行うインストラクタは、十分な経験および知識を 備えていることを確認する。*1
留意事項
・ カリキュラムの内容、アサインされたメンバーの妥当性をチェックし、 現在の業務やキャリア・パスに支障なく行われているか。
監査目標
(4) 要員に対するキャリアパスを確立し、情報環境の変化に対応した見直しを行っているか。*1
着眼点
a)要員に対するキャリアパスが確立されていることを確認する。*1
b)要員に対するキャリアパスは、情報戦略に基づいて設定されていることを確認する。
c)要員に対するキャリアパスが、すべての要員に周知徹底されていることを確認する。*1
d)情報環境の変化に対応して、要員に対するキャリアパスの見直しを行っていることを確認する。*1
e)キャリアパスの見直し結果が、明文化されていることを確認する。
4 健康管理
監査目標
(1) 健康管理を考慮した作業環境を整えているか。*1
着眼点
a)作業環境が、要員の健康や安全を守ることを考慮して設定されていることを確認する。*1
b)オフィススペースは、要員の作業のし易さを考慮して設定されていることを確認する。*1
c)要員が休憩するための設備が、設けられていることを確認する。*1
d)作業用の什器および備品が、作業を行う上で適切に配置されていることを確認する。*1
留意事項
・ ネットワーク管理担当者の勤務状況、休暇の取得状況を定期的にレビュー (本来業務に専念できているか、オーバーワークでないか)し、 負荷配分を適切に行う。*2
監査目標
(2) 健康診断及びカウンセリングを行っているか。*1
着眼点
a)定期的に健康診断を行うことが、規定されていることを確認する。*1
b)定期的に健康診断を行っていることを確認する。*1
c)健康診断の項目は、各業務の特性を考慮して設定していることを確認する。
d)要員管理責任者が、定期的に各要員に対するカウンセリングを実施していることを確認する。
e)要員管理責任者が、健康診断およびカウンセリングの結果に基づいて、 要員管理上で必要な対策を講じていることを確認する。*1
f)要員に対する健康面、安全面および精神面での予防管理体制を、確立していることを確認する。*1