ITガバナンス・IT-BCPサービス

ITガバナンスの必要性

今日、企業が置かれている競争の波はグローバルまで広がり激化の一途です。例えば「2倍の成果をこれまでの倍以上のスピードで、半分のリソースで実現する」ことが求められているのが現代のビジネス環境であり、その実現にはイノベーションが欠かせません。 そのイノベーションの源泉がデータ活用であり、DXであり、それらを包含するITです。

しかし、現代のIT環境は、AIやIoT、RPAなどデジタル技術が駆使され、セキュリティやプライバシー保護の要素も複雑に絡み合っています。これらを適切に管理し、ビジネス目標の達成に貢献するITの在り方が現代のあるべき「ITガバナンス」です。

あるべき姿は自然治癒力のあるITガバナンス

ビジネス環境の変化やIT技術の進展にいち早く対応し、ITを活用することでビジネス成長にさらに貢献することが期待されていますが、新しい技術を取り入れるだけではそれを活かしきれず、新たなリスクを生み出す可能性もあります。

常に変化し続ける環境に対し、計画からモニタリング評価までの一連のプロセスをPDCAサイクルとして回し続けることで改善していく「自然治癒力」を備えたITガバナンスの構築が今、求められています。

【効果的なITガバナンスの全体像】

ITガバナンスが機能しない組織の特徴

ITガバナンスに関する課題は千差万別で、その原因も複雑に絡み合っていますが、以下のように大別することができます。

具体的にITガバナンスに取り組む際には、現状の課題を明確化し、その原因をつきとめ、優先順位を定めたうえで、解決策を考えていくのが効果的です。

問題山積み型

症状
  • ITの障害が減らない
  • エンドユーザからのクレームが減らない
原因例
  • 意味のない承認プロセスが多い
  • 導入済みの運用ルールはすべてが模倣ばかりで実業務にあっていない
  • 運用管理ツールを入れているがデフォルトのまま使用している

コスト高型

症状
  • IT運用のためのコストが増えるばかり
  • システム監査対応ばかりで本来の業務に少なからず影響が出ている
原因例
  • 意味のない承認プロセスが多い
  • ルールはあるが判断基準の提示が曖昧で、対応する人や状況によってケースバイケースの対応になってしまっている

目的喪失型

症状
  • ビジネス達成に、ITがどれほど貢献しているか不明
  • IT部門の今の課題が何であるか、ぼんやりとしてはっきりしない
原因例
  • IT部門の達成目標がない、または、あっても曖昧で部門目標との関係性が見えない
  • 誰がいつどうやって、IT部門の達成目標をたて、部門目標に落とし込み、パフォーマンスを評価し、見直しを行うか、役割や責任範囲が明確になっていない

ガバナンス不全型

症状
  • サービス開発などを現場手動で行っており、全社的なガバナンスが効いていない
  • インシデントが発生しないと、ルール遵守やリスク対応の重要性を認識できない
原因例
  • 障害等が発生しないと、ルールの重要性を認識できない
  • 日々のプロジェクトに振り回されて、人が足りない
  • 顧客(あるいは社内エンドユーザ)とのSLAが曖昧になっている

見て見ぬ振り型

症状
  • 重要なのは目の前にあるタスクのスピード対応であり、発生可能性の低いリスクには目をつぶっている
  • 責任範囲が曖昧で、他部署がやるべきだと考えているものがたくさんあり、有事対応についても誰かがやってくれると思っている
原因例
  • 部署毎の職務分掌、責任範囲が明確になっていない
  • 経営陣や他部署とのコミュニケーションの機会が少ない・その場がない
  • 現場には対応しなければいけない意識はあるが、経営陣にその意識が欠けている、またはその逆

 

ニュートン・コンサルティングのITガバナンスサービスは、上記のような症状を抱えている企業に対し、ITガバナンスの教科書とも言えるCOBITやITIL、VeriSM、IT-CMFなどのガイドラインはもとより、スペシャリストとしての知見、ノウハウをベースに課題を解決していきます。

具体的には、経営戦略立案の視点やERMによるリスク管理、効率的なIT運用管理を達成する現場に役立つノウハウ、トップレベルのサイバーセキュリティ知識、グローバル視点で考えるべきプライバシー保護など、それぞれの専門性を活かしつつ、各社各様の課題に対し、自然治癒力のあるITガバナンスの構築をお手伝いします。

見落としがちなITガバナンスでの有事対応「IT-BCP」

上記に紹介した症状のなかで主に「見て見ぬ振り型」に該当するのがIT-BCPであり、ITガバナンスを平時・有事に分けるならば、IT-BCPは有事対応に該当します。

IT-BCPにおいても、技術的な変化に対応できない等の課題はあるものの、根本的な原因は、経営陣と現場、業務部門とIT部門の認識の乖離などコミュニケーションにあるケースが多く見られます。

【IT-BCPにおける課題の根本原因「コミュニケーション」】

機能するIT-BCPを構築するには

有事に機能しないIT-BCPほど残念なものはありません。
IT-BCPを機能させるためには、やはり経営に役立つという視点から考える必要があります。そのためには、ビジネス要件を踏まえた全社的なBCPとの整合を図り、経営とビジネス部門が求めるIT-BCPを実現する必要があります。

【経営とビジネス部門が求めるIT-BCPを実現する考え方】

災害やインシデントの種類によってIT-BCPの対応は異なりますが、大まかな流れは以下のように整理できます。大規模災害であれば、全社としてのBCPの動きと連動して、自身の身の安全も確保しながら、対応することが求められます。

【IT-BCP対応の流れ】

このように、IT部門は経営側が設置する対策本部とも連携しつつ、システムの被害状況の把握からDRサイトへの切り替えの判断、ベンダーコントロール、DRサイトに切り替えた後のテスト等を実施してくことが求められます。これらを緊急事態のなかで行うのですから、普段からの備えが必須となります。

ニュートン・コンサルティングのIT-BCPサービスは、有事に機能するIT-BCPとするための様々なサービスを提供しています。

サービス一覧

ニュートン・コンサルティングでは、「ITガバナンス」、「IT-BCP」はもちろん、その構成要素の一部として「IT開発プロセスの見直し」「ITオペレーションの効率化」「プライバシー保護」「プロジェクトのリスク管理」などご要望に合わせて支援します。

【ITガバナンスサービスのマップ図】

      

 

ITガバナンス構築

対象企業 ・ITガバナンスを強化したいお客様
・ITガバナンスに取り組んでいるものの課題を抱えているお客様
サービス概要 IT部門の達成目標・戦略の立案、個別計画への落とし込み、現場への展開、実施状況のモニタリングと各種管理、結果に基づくレビューなど、ITサービスを提供・管理する組織として必要な一連の活動を行うための仕組みの構築・導入のお手伝いをいたします。

ITガバナンス診断

対象企業 ・経営とITの連携が弱い点を改善したいお客様
・ITのあり方について課題が明確になっていないお客様
サービス概要 IT部門の達成目標・戦略の立案、個別計画への落とし込み、現場への展開、実施状況のモニタリングと各種管理、結果に基づくレビューなど、ITサービスを提供・管理する組織として必要な一連の活動が適切に行われているかどうかについて、その成熟度をCOBITベースで診断いたします。

IT運用管理プロセス導入・改善

対象企業 ・ITILツール等を購入してみたものの、効果的・効率的に運用されていないと感じているお客様
・IT管理プロセスを見よう見まねで構築したが自社にあっていないと感じているお客様
サービス概要 特定のIT管理プロセス(例:インシデント管理、問題管理、リリース管理、変更管理など)についての設計や構築、導入、改善のお手伝いをいたします。

システムリスクアセスメント

対象企業 ・現状のリスクアセスメント(RA)手法が非効率なので見直したいお客様
・RA手法の確立と導入支援をゼロから行って欲しいお客様
・外部監査などでRA実施手順について指摘されたが具体的な解決策が思いつかないお客様
サービス概要 システムに関わるリスクの特定・分析・評価の実施や、組織に合ったこれらの手順確立のお手伝いをいたします。

ISO27001 情報セキュリティマネジメントシステム認証取得

対象企業 情報セキュリティマネジメントシステム(ISMS)の認証基準であるISO/IEC27001の認証取得を検討しているお客様
サービス概要 コンピュータの技術的なセキュリティ対策だけでなく、情報を扱う際の基本的な方針(セキュリティポリシー)や実現のための具体的な計画、実施、運用、見直しを含めた体制・仕組みの構築を支援します。

ISO27017 クラウドセキュリティマネジメントシステム認証取得

対象企業 ISO/IEC27001の拡張規格にあたるISO/IEC27017(クラウドセキュリティ)認証取得を検討しているお客様
サービス概要 ISMS認証(ISO/IEC27001)の取得を前提に、クラウドセキュリティまで拡張した形で、体制・仕組みの構築を支援します。

ISO20000 ITサービスマネジメントシステム認証取得

対象企業 IT運用管理の第三者認証を検討しているお客様(ITIL導入済みのお客様も含む)
サービス概要 ITシステム運用に関して、基本方針や実現のための具体的な計画、実施、運用、見直しを含めた体制・仕組みの構築を支援します。

JIS Q 15001 (プライバシーマーク・Pマーク)認証取得

対象企業 2020年度に改正される個人情報保護法への対応で、プライバシーマーク認証取得を考えているお客様
サービス概要 (財)日本情報処理開発協会(JIPDEC)の定める「個人情報保護に関する事業者認定制度」に合致するシステムを構築します。

EU 一般データ保護規則(GDPR)対応

対象企業 ヨーロッパ(EEA域内)に拠点のあるお客様
ヨーロッパ(EEA域内)に出張の予定があるお客様
ヨーロッパ(EEA域内)の顧客にサービスを提供しているお客様

※EEA: European Economic Area(欧州経済領域)
サービス概要 GDPRへの対応状況について、影響評価を実施してギャップを特定したうえで、必要な対策・改善施策の実施支援を行います。オプションとして、現地法人でのルールや研修の実施、IT関連の設定変更等の実施も可能です。

グローバルプライバシーデータ保護

対象企業 ・そもそもどのような国でどのような法規制があるか不明であり、何から手を付けてよいかわからないお客様
・グローバルに事業展開しているが、世界各国のプライバシーデータに関する法規制がバラバラで困っているお客様
・各国の法規制にそれぞれ対応するのは非効率なので、全世界で同じプライバシーポリシーの運用を進めたいお客様
サービス概要 世界中で整備・改正され始めているプライバシー保護に関する法規制に対して、グローバルな視点で準拠するご支援をするものです。

IT-BCP導入プランニング・アドバイザリー

対象企業 IT-BCPを構築・改善したいお客様
IT-BCP対策ソリューションを導入支援するITベンダーのお客様
サービス概要 IT-BCPの導入時における前提条件の整理から、具体的な施策の導入に至るまで、アドバイザリー形式でコンサルティング支援を行います。アドバイザリーは、業務部門、IT部門、ITベンダーとのお打合せ時のファシリテーションのほか、要件定義書のレビュー、その他予定工数内での助言等を実施します。

IT-BIA(ITビジネスインパクト分析)

対象企業 IT-BCPを構築・改善したいお客様
IT-BCP対策ソリューションを導入するITベンダーのお客様
サービス概要 ビジネス要件を整理し、現状のソリューションとのギャップを明確にします。

IT-BCP構築・改善

対象企業 IT-BCPを構築・改善したいお客様
サービス概要 ビジネス要件を整理し、現状のソリューションとのギャップを明確にした上で、最適なソリューションを決定し、導入計画まで作成します。

IT-BCP訓練・演習

対象企業 IT-BCPを構築しているお客様やこれから構築するお客様
サービス概要 ITに特化したBCP訓練・演習を通じて、有事にミッションクリティカルなITシステムを継続・復旧できるか、システム管理者やオペレーターが限定されるなかで具体的にどのように行うかなど、DR対策も含めIT-BCPが真に機能するかを検証、課題を抽出してIT-BCPの構築・改善につなげます。

システム監査

対象企業 ・自分達の監査では限界があるので、より専門的な見地から実施して欲しいお客様
・ギャップに対する具体的・実践的な解決策を知りたいお客様
・金融機関に係る指針やガイドラインと実態に大きな乖離がないかを知りたいお客様
サービス概要 お客様が懸念されるエリアに焦点をあてた助言型監査を実施いたします。

情報セキュリティ監査

対象企業 ・組織の情報セキュリティ対策が万全か確認したいお客様
・組織の情報セキュリティレベルを客観的に証明したいお客様
サービス概要 助言型監査の実施により組織の情報セキュリティレベル向上を図ります。
・現状把握
・問題点の把握
・改善案の提案
・運用サイクルの確立

お問い合わせ

小冊子プレゼント

リスクマネジメントにかかわる小冊子PDFを無料でダウンロードいただけます。

情熱コンサルタント宣言

私たちは「本当にお客様の役に立ちたい!」という熱い心を持ったコンサルタント集団です。真の意味でお客様の礎となる支援をいたします。

当社のWebサイトでは、サイト閲覧時の利便性やサイト運用および分析のため、Cookieを使用しています。こちらで同意をして閉じるか、Cookieを無効化せずに当サイトを継続してご利用いただくことにより、当社のプライバシーポリシーに同意いただいたものとみなされます。
同意して閉じる