株式会社シスアナコム

情報システムに関することなら、どんなことでも適切に助言いたします!

この投稿は1年以上前に公開されました。
現在では状況や内容が変わっている可能性があります。
ご注意下さい。m(_ _)m

情報化リスク分析と情報システム資産の把握から始めよう

      2014/07/17

概要

  • 全ての改善項目について、リスク分析を行った。
  • ある基準以上のリスクは全て対処する予定だが、多すぎて困っている。
  • 数多いリスクへの対処方法として、まずは情報資産の把握して台帳を作成することにした。
  • 様々な副次的な効果もあり、最初の本格的な取り組みとしては、良い選択だったと思う。

まずは現状把握から

転職してから、早くも3週間が経過しました。

前回のひとことで、あまりに悲惨な状況をお伝えしましたが、今回のひとことは、私が行った最初のリスク分析と対策について書きたいと思います。

リスク分析については、発生頻度と影響範囲について、大、中、小の3段階に分類しました。

基本的で簡単な分析です。

  • 発生頻度大=週に1回以上
  • 頻度中=月に1回以上
  • 頻度小=年に1回以上
  • 影響範囲大=お客様まで影響
  • 影響範囲中=全社的に影響
  • 影響範囲小=社内の1部門以下の影響

という感じで評価。

大が3ポイント、中が2ポイント、小が1ポイントとしてリスク=発生頻度×影響範囲を計算。

さらに緊急を要する項目に対しては、1ポイント追加しました。

計10ポイントで5ポイント以上の項目は可能な限り早く対策を行うことにしました。

ポイントの付け方は完全に私の経験と主観で実施しました。

システムアナリストであり唯一の社内SEなのですから、全て私の責任と権限でリスク評価を行いました。

5ポイント以上の高リスクの項目には、データの保護、IDとパスワードの管理、サーバのセキュリティ、各種データベースの構築、情報資産の把握、ネットワークの見直し、標準化、情報化計画、ルールやチェック体制の整備などが上位の案件となっています。

正直、多すぎて困っています。

詳細については、関係者の方々に迷惑をかける恐れがありますので、ここでは書けません。

前回のサーバ内のデータバックアップのように、時間をかけず、すぐ対策を行うことができるものから手を付けてみました。

でも、簡単に対処できる項目は少なかったです。

必殺技とか銀の玉なんて、情報システムには存在しません。

そこで、本格的に何の項目から取り組むか考えましたが、「情報資産の把握」から行うことにしました。

リース台帳とパソコン台帳

情報資産の把握って何のこと?という人もいると思いますが、単純です。

どのパソコンが、どこに何台存在するかということを調査して台帳を作るだけ。

現在、私が勤務している会社には約200台のパソコンがある「らしい」のです。

なぜ「らしい」のかと言うと、パソコンは全てリースで購入しており、購入後の設定は全て業者任せで、かつ、人事異動とともにパソコンも一緒に移動しているのです。

その結果、現時点でどこにどんなパソコンが何台あるのか全く把握できていないとのこと。

かなり悲惨な状況です。

リースで購入しているということは、リース会社から毎月請求書が来ているはず。

どこでどんなパソコンを使っているか、使っていないかという状況を把握できなければ、リース契約を継続する必要があるのかないのか判断できません。

また、実際に利用している場所に対して、経理上の費用を配賦する処理とかやってないんだろうな。

やるべきなんだけどね。

まず、全てのリース契約書をひっくり返して、パソコンの機種とあるべき台数を把握。

その後、実地調査を行いました。

もう少しで全容が解明できそうです。

パソコン台帳という考え方すら存在しなかったので、リース契約台帳とパソコン台帳を連携させてデータベースを作ってみました。

パソコンには全て管理用の番号を割り当てて番号シールを貼り付けました。

副次的な効果

情報資産の把握をすることが主な目的だったのですが、副次的な効果もありました。

まず、遠隔地の拠点の情報を把握できました。

どの駅のどのあたりにあるのか、行くのにかかる時間、交通費、出入り口、サーバの位置、おおまかな配線構成、机やパソコンの配置などを把握できました。

また、多くの社員のみなさんへ顔見せすることができました。

まだ入社して時間が少ないのですが、中途入社で私より早く全拠点を回って顔見せできた人は、他にはいないはず。

また、各拠点のマネージャの方に、情報システムに関する問題点などを確認することもできました。

ただ、改善項目はさらに増えてしまいました。

最初の本格的な改善として、情報資産の把握を選択したことについては、副次的な効果も考えると良い選択だったと思います。

情報資産の把握ができてない会社が他にもたくさんあるとは思いたくありませんが、もし把握できてないなら早急に調査しましょう。

この会社は、情報システムの本当に基本的な部分から立て直さないとダメ。

ま、そのために入社したんですけどね。

でも、私が情報システムに関する未整備な部分を整備してあげることで、この会社をさらに成長させることができると思うと楽しみです。

 - ひとこと, ひとこと(情報化)

↓ブログランキングに参加しています!


ネット・PC(全般) ブログランキングへ
にほんブログ村 IT技術ブログ ITコンサルティングへ
にほんブログ村

Message

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です