皆さま、GEIT(Governance of Enterprise Information Technology)のエバンジェリスト事、ITコーディネータの元村憲一です。
「おっ! 何か役立つまたは、面白そうな事が書いてありそうだ」と思われたら、是非読者登録してください。
─────────────────────────────
本題に入る前にPRです。
まぐまぐから、『飛躍的に組織のITガバナンスを向上させる知恵袋』と言う題名の無料メールマガジンを、発行しました。
このブログに書いている、GEITについてのまとめみたいなものですが、もしよろしかったら、読者登録をお願いいたします。
まぐまぐの発行者番号は、mag2 0001626008 です。(7/1既刊!)
─────────────────────────────
ブログの第163回目は、このブログの本題になっている GEITについての続きです。
第153回目で、付録G COBIT5イネーブラーの詳細説明に入りました。
今回もその続きで、COBIT5の7カテゴリーのイネーブラーについて、詳細説明をして行きます。
付録G COBIT5イネーブラーの詳細説明
既にお伝えしている様にCOBIT5の5原則の内、原則4の包括的アプローチの実現で、イネーブラーの概要を説明しました。
COBIT5の5原則
1.ステークホルダーのニーズを充足
2.事業体全体の包含
3.一つに統合されたフレームワークの適用
4.包括的アプローチの実現
5.ガバナンスとマネジメントの分離
原則4:包括的アプローチの実現
COBIT5は、事業体のITのための全般的なガバナンスとマネジメントシステムの導入を支援するために、以下の7つのカテゴリーのイネーブラーを定義しています。
1.原則、ポリシーおよびフレームワーク
2.プロセス
3.組織構造
4.文化、倫理および行動
5.情報
6.サービス、インフラストラクチャおよびアプリケーション
7.人材、スキルおよび遂行能力
COBIT5のイネーブラー:プロセス
プロセスは、以下の様に定義されています。
・複数のソース(他のプロセスも含む)からインプットを受け、そのインプットを操作し、アウトプット(製品、サービスなど)を生成し、事業体のポリシーや手続きに影響される実践手法の集合体
プロセスのイネーブラーの詳細と、一般的なイネーブラーの説明との比較を、4つの特質とその他のイネーブラーとの関係として、モデルを使いながら説明します。
イネーブラーの4つの共通の特質
・ステークホルダー
・達成目標
・ライフサイクル
・優れた実践手法
・ライフサイクル
各プロセスにはライフサイクルがあります。
一般のライフサイクルと異なるプロセス特有のライフサイクルは、以下の通りです。
・定義
・作成
・運用
・モニター
・調整 / 更新
・終了
ISO/IEC 15504に基づいた、COBITプロセスアセスメントモデルで定義されている、一般的なプロセス実践手法は、以下を支援します。
・プロセスの定義
・実行
・モニター
・最適化
・優れた実践手法
COBIT5:Enabling Processes では、プロセスの内部の優れた実践手法を以下の形で、段階的に詳細度を増して、プロセス参照モデルを含んで記述しています。
・実践手法
・アクティビティ
・詳細なアクティビティ
◇実践手法:
COBIT5各プロセスにおいて、ガバナンスおよびマネジメントの実践手法は、事業体のITガバナンスおよびITマネジメントを効果的で実践的にするために、高レベルな要件一式を提供しています。
これには、以下のものが含まれています。
・効果の実現、リスクレベルの最適化、およびリソース使用の最適化を実施するアクションの説明
・関連性があり、一般的に認められている標準および優れた実践手法との整合がある
・一般的であり、それゆえに各事業体に適合させる必要がある
・プロセス全般におけるビジネスとITの役割を担う人々をカバーする
事業体のガバナンス主体とマネジメントは、以下の方法によって、ガバナンスとマネジメントの実践手法に関連する選択を行う必要があります。
・適用可能なものを選択し、導入するものを決定する
・必要なところに実践手法を追加または適合させる
・ビジネスプロセスへの統合のためのIT関連以外の実践手法を定義し、追加する
・実践手法(頻度、範囲、自動化等)の導入方法を選択する
・適用可能な実践手法を導入しない場合のリスクを受容する
◇アクティビティ
COBITにおいては、アクティビティとは、プロセスを実行するための主要なアクションです。
アクティビティは、以下の通り定義できます。
・事業体のITガバナンスとITマネジメントの成功に向けて、マネジメントの実践手法を達成するためのガイダンス
COBIT5のアクティビティは、以下のために、各ガバナンスまたはマネジメントに対して、何を、なぜ、どのように実施するかを示します。
・ITパフォーマンスを改善する
・ITソリューションとサービス提供リスクに対応する
この内容は、以下にとって役立ちます。
・事業体のITの計画、構築、実行、モニターを行う必要があるマネジメント層、サービス提供者、エンドユーザー、IT専門家
・進行中、または提案されている導入や、必要な改善に関して意見を求められる可能性があるアシュアランスの専門家
一般的なアクティビティと特定のアクティビティの一式
それらは、主要な以下の実践手法を達成するのに、必要かつ十分なステップで構成される単一のアプローチを提供します。
・ガバナンス実践手法(GP:Governance Practice)
・マネジメント実践手法(MP:Management Pracitce)
これらのアクティビティは、以下を実施するのための高レベルのガイダンスを、GPとMPより下位のレベルで提供します。
・実際のパフォーマンスを評価
・改善の余地を検討
アクティビティは、以下の内容に該当します。
・GPとMPを達成するために、必要十分なアクション指向の導入ステップを説明する
・プロセスのインプットとアウトプットを考慮する
・一般的に認められている標準および優れた実践手法に基づいている
・明確な役割および実行責任の確立をサポートする
・定型的ではなく、事業体ごとの適切な具体的手続きに適合して、作成されている必要がある
◇詳細なアクティビティ
導入にあたっては、まだ十分にアクティビティが詳細化されていない可能性があります。
更に詳しいガイダンスが必要な場合は、以下から得ることができます。
・ITIL、ISO/IEC 27000シリーズやPRINCE2Iなどの、特定の関連する標準や優れた実践手法
・COBIT5プロダクトファミリーで追加で刊行される、より詳細かつ具体的なアクティビティの記述
インプットとアウトプット
COBIT5において、インプットとアウトプットは、プロセスのオペレーションをサポートするのに必要と考えられる、プロセスの作業成果物です。
それらは、以下を可能にします。
・主要な決定
・プロセスアクティビティの記録や監査証跡の提供
・インシデント発生時のフォローアップ
インプットとアウトプットは、ガバナンスやマネジメントの実践レベルで定義されます。
インプットとアウトプットは、そのプロセス内でのみ使われる作業成果物の場合もあるが、たいていの場合、他のプロセスへの不可欠なインプットとなります。
外部の優れた実践手法は、さまざまな形式、詳細化のレベルで存在し、多くの場合、他の標準およびフレームワークを参照しています。
COBITが、これらの標準に準拠している事がわかっている場合は、関連箇所やマッピング情報が利用可能になります。
そのためユーザーは、これらの外部の優れた実践手法をいつでも参照する事ができます。
プロセス能力レベル
COBIT5には、ISO/IEC 15504をベースにした、プロセス能力アセスメントの枠組みが含まれています。
このレベルは、ブログの103、107、112回目で説明していますが、詳細なガイダンスは、別のISACAのCOBIT5発行物になっています。
簡潔に言えば、プロセス能力レベルは、達成目標の達成と優れた実践手法の適用の両方を測定するものです。
少し長くなりましたので、付録GのCOBIT5イネーブラーの詳細説明の途中で終了します。
この続きはまた次回以降に、COBIT5の7つのイネーブラーを1つずつ詳細に説明して行きます。
最後まで、お付き合いくださいまして、ありがとうございます。
次回以降も、本題のGEITの凄いフレームワークCOBITを中心に、ISACAが発行している資格などについても順次お伝えして行きます。
ただし、ISACAの資料は、著作権の管理が非常に厳しいため、全引用とかはほぼ不可能となっています。
表現を変えたり、かみ砕いた言葉などで説明して行く予定です。
皆さまからの、ご意見・ご感想をお待ちしております。
これからのブログの成長に、どうぞご期待ください。
この記事を、気に入ってくださった方は、クリックをしていただけると励みになります。
【資格】
・ITコーディネータ
・公認情報システム監査人
Certified Information Systems Auditor (CISA)
・公認情報セキュリティマネージャー
Certified Information Security Manager (CISM)
・公認ITガバナンス専門家
Certified in the Governance of Enterprise IT (CGEIT)
・Certified in Risk and Information Systems Control (CRISC)
■Facebook
https://www.facebook.com/kenichi.motomura.1/
■公式ブログ
https://blog.kazatsukuri.jp/
■Ameblo
https://ameblo.jp/motomuranet/
■Twitter
https://twitter.com/motomuranet/