JIS Q 38500、ISO/IEC 38500、ITガバナンス、EDM、EDMモデル、評価、指示、モニタ、6原則、 責任、戦略、取得、パフォーマンス、適合、人間行動
JIS Q 38500:2015 情報技術 - ITガバナンス
(
https://kikakurui.com/q/Q38500-2015-01.html)
総論
- ITガバナンスの定義
ITガバナンス(corporate governance of IT)とは、組織のITの現在及び将来の利用を指示し,管理するシステム。ITガバナンスは,組織を支援するためにITの利用を評価すること及び指示すること,並びに計画を遂行するためにこのIT利用をモニタすることに関係する。これには組織におけるITの利用に関する戦略及び方針を含む。
- 目的
この規格の目的は,次の事項によって,全ての組織でITの効果的,効率的及び受容可能な利用を促進することである。
- この規格に従えば,組織のITガバナンスで信頼を獲得できることを(消費者,株主及び従業員を含む。)ステークホルダーに保証する。
- 組織のITガバナンスの利用について経営者に対する情報提供及び指針を与える。 − ITガバナンスの客観的評価の基盤を提供する。
- 適用範囲
組織のディレクタ(経営者)のために、その組織内でのITの効果的、効率的で受容可能な使用に関するガイドとなる原則を提供すること」で、公的、私的、規模の大小に限らず、あらゆる組織が対象となる。
EDMモデルを基に、経営者が6つの原則(責任、戦略、取得、パフォーマンス、適合、人間行動)に沿って取り組むべきことを示している。
以下、EDMモデルと6原則を掲げます。これらは、(表現は異なりますが)システム管理基準でも採用しています。
EDMモデル
経営者は,三つの主な職務によってITを統制することが望ましい。
- 評価(Evaluate)
現在と将来のITの利用について評価する
- 指示(Direct)
ITの利用が組織のビジネス目標に合致するよう、計画とポリシーを策定し、実施する
- モニタ(Monitor)
ポリシーへの準拠と計画に対する達成度をモニタする
ITガバナンスの6原則
経営者が役割を果たすべき考え方としての原則です。以下の各原則に関して、上のEDMモデルを実践することが重要です。
- ① 責任(Responsibility)
組織内の個人及び部門は,ITの供給及び需要の両面の役割について,その責任を理解して受け入れる。処置に責任を負う人もまた,その処置を遂行する権限をもつ。 -
- ② 戦略(Strategy)
組織の事業戦略は,ITの現在及び将来の能力を考慮する。ITの戦略計画は,その現在及び進行中の事業戦略のニーズを満たす。
- ③ 取得(Acquisition)
ITの取得は,適切で継続的な分析を基礎として,明確で透明な意思決定による正当な理由に基づいて行う。短期的及び長期的の両面で利益,機会,コスト及びリスクを適切に均衡させる。
- ④ パフォーマンス(Performance)
ITは組織を支援し,現在及び将来の事業のニーズに合うサービス,サービスレベル及びサービス品質を提供する点で目的に適合する。
- ⑤ 適合(Conformance)
ITは,必須である全ての法律及び規制に適合する。方針及び指針は,明確に定義,実施及び強制される。
- ⑥ 人間行動(Human Behaviour)
情報システムのパフォーマンスの維持に関わる人間の行動を尊重する必要がある。
関連規格
次の規格は、対象は異なりますが、上記のEDMモデルと6原則の体系によっています。
- JIS Q 27014(ISO/IEC27014)情報セキュリティガバナンス
- ISO/IEC38505-1(JIS策定中) データガバナンス
EU一般データ保護規則」(GDPR:General Data Protection Regulation)により、個人データ保護やその取り扱いについて詳細に定められた法令がEU域内の各国に適用されたのを意識して、制定された国際規格。