皆さま、GEIT(Governance of Enterprise Information Technology)のエバンジェリスト事、ITコーディネータの元村憲一です。
「おっ! 何か役立つまたは、面白そうな事が書いてありそうだ」と思われたら、是非読者登録してください。
─────────────────────────────
本題に入る前にPRです。
まぐまぐから、『飛躍的に組織のITガバナンスを向上させる知恵袋』と言う題名の無料メールマガジンを、本日発行しました。
このブログに書いている、GEITについてのまとめみたいなものですが、もしよろしかったら、読者登録をお願いいたします。
まぐまぐの発行者番号は、mag2 0001626008 です。(本日創刊!)
─────────────────────────────
ブログの第149回目は、このブログの本題になっている GEITについての続きです。
第145回目で、付録E COBIT5と他の関連する標準やフレームワークとのマッピングの説明に入りました。
今回も、COBIT5とISO/IEC 38500の比較の続きを取り上げていきます。
付録E COBIT5と他の関連する標準やフレームワークとのマッピング
COBIT5とISO/IEC 38500
ISO/IEC 38500(情報技術のコーポレートガバナンス)には、以下の6つの主要な原則があります。
ISO/IEC 38500の6つの主要な原則
・原則1─責任
・原則2─戦略
・原則3─取得調達
・原則4─パフォーマンス
・原則5─整合性
・原則6─人間の行動
ISO/IEC 38500の主要な原則の実践的な意味合いに対して、COBIT5のガイダンスが、その優れた実践手法で、それをどう実現しているかが、次の様に書かれています。
・原則6─人間の行動の実務的な意味:
ITガバナンス自体を含む、ITが可能とする変更の導入には、通常以下の事が求められます。
・事業体内で文化および行動を大きく変える
・顧客とビジネスパートナーに対する文化および行動も大きく変える
変革は、スタッフの中に不安や誤解を招く事があるので、スタッフの積極的な協力を維持するには、変更の導入を注意深く管理する必要があります。
取締役には、以下の事が求められます。
・達成目標を明確に周知する
・提案された変更を積極的にサポートしている印象を与える
特にテクノロジーが急速に変化することを考えると、以下の2点は変更の主要事項となります。
・人材のトレーニング
・スキル強化
以下の様な事業体内の全てのレベルの人々が、ITの影響を受けます。
・ステークホルダー
・マネージャー
・ユーザー
・ビジネスにIT関連のサービスおよびソリューションを提供している専門家
更にITは、事業体を超えて顧客やビジネスパートナーに影響を与えて、国内および国境を超えた企業間の自動化された取引やセルフサービスの実現を促進します。
ITが実現するビジネスプロセスは、以下の相反する2つの側面を持ちます。
・新しい効果と機会をもたらす
・リスクの種類も増える
プライバシーや不正などの問題に対する個人の懸念の高まりには、これらの種類のリスクやその他の種類のリスクを管理して、人々が使用するITシステムを信頼できるようにする必要があります。
情報システムは、手動の手続きを自動化する事で、現状機能している実践手法に大きな影響を及ぼす事があります。
COBIT5は、どのように優れた実践手法を実現するか:
以下のCOBIT5イネーブラー(プロセスを含む)は、人間の行動に関連する要件についてのガイダンスを提供しています。
1. COBIT5の各イネーブラーは、以下が含まれて、そのイネーブラーを扱う方法を示すモデルが例示されています。
・人材
・スキル
・遂行能力
・文化
・倫理
・行動
2. COBIT5のプロセスAPO07「人的資源の管理」は、以下の事を説明しています。
・個人のパフォーマンスと企業の達成目標の整合をとる方法
・ITの専門家のスキルを維持する方法
・役割と責任を定義する方法
3. COBIT5の以下のプロセスは、アプリケーションの設計が人的作業と使用の要件を満たすのを支援します。
・BAI02「要件定義の管理」
4. COBIT5の以下の2プロセスは、ユーザーがシステムを効果的に使用できる手助けをします。
・BAI05「組織の変更実現性の管理」
・BAI08「知識管理」
更にISACAは、ITガバナンスに関連する主要な役割を果たす専門家に向けた、以下の4つの認証を提供しています。
・公認ITガバナンス専門家 (CGEIT)
・公認情報システム監査人 (CISA)
・公認情報セキュリティマネージャー (CISM)
・Certified in Risk and Information Systems Control (CRISC)
そして、この認証のための知識体系は、COBIT5の内容によって大部分が網羅されています。
これらの認定の合格者は、人間の行動を果たすために必要とされる、能力と経験の両方を備えています。
ISO/IEC 38500の6つの主要な原則に対する記述は、以上ですが、更にISO/IEC 38500の以下の事項への記述があります。
・ISO/IEC 38500の評価、方向付けおよびモニタリング
COBIT5は、どのように優れた実践手法を実現するか:
COBIT5プロセスモデルの、ガバナンスドメイン(評価、方向付けおよびモニタリング)には、以下の5つの事業体のITガバナンスのためのプロセスがあります。
・EDM01:ガバナンスフレームワークの設定と維持の保証
・EDM02:効果提供の保証
・EDM03:リスク最適化の保証
・EDM04:資源最適化の保証
・EDM05:ステークホルダーからみた透明性の保証
各プロセスには、EDMの実践手法が定義されていて、ガバナンス関連のアクティビティが定義されている主要な部分となっています。
少し長くなりましたので、付録Eの説明の途中で終了します。
この続きはまた次回以降に、COBIT5と他の関連する標準やフレームワークとのマッピングを取り上げていきます。
最後まで、お付き合いくださいまして、ありがとうございます。
次回以降も、本題のGEITの凄いフレームワークCOBITを中心に、ISACAが発行している資格などについても順次お伝えして行きます。
ただし、ISACAの資料は、著作権の管理が非常に厳しいため、全引用とかはほぼ不可能となっています。
表現を変えたり、かみ砕いた言葉などで説明して行く予定です。
皆さまからの、ご意見・ご感想をお待ちしております。
これからのブログの成長に、どうぞご期待ください。
この記事を、気に入ってくださった方は、クリックをしていただけると励みになります。
【資格】
・ITコーディネータ
・公認情報システム監査人
Certified Information Systems Auditor (CISA)
・公認情報セキュリティマネージャ
Certified Information Security Manager (CISM)
・公認ITガバナンス専門家
Certified in the Governance of Enterprise IT (CGEIT)
・Certified in Risk and Information Systems Control (CRISC)
■Facebook
https://www.facebook.com/kenichi.motomura.1/
■公式ブログ
https://blog.kazatsukuri.jp/
■Ameblo
https://ameblo.jp/motomuranet/
■Twitter
https://twitter.com/motomuranet/