ITIL(Information Technology Infrastructure Library)
ITサービスマネジメントのフレームワーク。JIS Q 20000で規格化されている。
サービス戦略、サービス設計、サービス移行、サービス運用、継続的サービス改善の5つからなるサービスライフサイクルからサービスマネジメントにアプローチしている。サービス設計のサービスレベル管理プロセスでは、サービスの内容と範囲、品質や達成できなかった場合のルールを含めたSLA(Service Level Agreement)を締結する。
統合的制御プロセス
構成管理
CMS(Configuration Management System)を用いて全ての構成品目を一元管理する。CMSに用いられるデータベースを構成管理データベースという。
変更管理
RFC(Request for Change)を受け取って変更管理を行う。変更をアセスメントする変更諮問委員会(CAB)が開かれることがある。
リソース・展開管理
変更した内容を本番環境に正しく反映すること。DML(Definitive Media Library)にまとめておく。
サービスの運用
障害時運用設計
ディザスタリカバリのために、RTO(Recovery Time Objective)とRPO(Recovery Point Objective)を決めておく。バックアップには3種類ある。フルバックアップは全てのデータをバックアップする。増分バックアップは前回の増分バックアップまたはフルバックアップからの差分、差分バックアップは前回のフルバックアップからの差分を取る。
システム監査
- 基準に照らし合わせて監査する保証型監査と、問題点を指摘して改善提案を行う助言型監査がある。
- 監査対象と独立した人物が監査に当たらなければならない。
- 監査計画に基づき、予備調査、本調査及び評価・結論の手順で行う。
- 調査においては監査証拠を手に入れ、手続きの結果を監査調書としてまとめる。
- 監査について監査報告書を作成し、指摘事項と改善勧告を記載する。
- コンピュータを使用した監査技法をCAATと呼び、テスト用の架空IDを設置することでシステムの動作を検証するITF法などがある。
- 監査証跡とは、監査対象システムの入力から出力を追跡する仕組みと記録のこと。
内部統制
COSOフレームワークが世界基準となっている。