ガイドライン

【経営情報システム】ガイドラインはこの4つを押さえれば大丈夫

経営情報システムでは、毎年1~2問ガイドラインに関する問題が出題されます。
出題頻度は高いものの、ガイドラインはメジャーなものだけでも数十種類存在しており(マイナーなものを含めると数百種類あります)、全てを学習するのは非常に効率が悪いです。
今回は、過去の出題実績等を基に、重要と思われる4種類をまとめました。
経営情報システムのガイドラインはこの記事の内容を押さえておけば十分対応できます。

そもそもガイドラインとは?

・各論に入る前に、そもそもガイドラインとは何か?ということを確認しておきましょう。

ガイドラインは自主的に守るべきルール

・ルールの代表は法令(法律、政令、省令、条例)です。これは絶対に守らなければいけないルールです。拘束力が非常に強く、これに従わない場合には何らかのペナルティを受けます。

・一方で、ガイドラインは、自主的に取り組むことが推奨されるルールです。

・法令程の拘束力はなく、ルールに従わなかったとしてもペナルティを受けることはありません。

守ると信頼を得られる

・ガイドラインに従った運用をしていることが認証されると、JIS●●●●(●は数字)やISO/IFC●●●●といった規格(お墨付き)を得られます。(これを適合性認証制度といいます。)

因みにJISの正式名所はJapanese Industrial Standards:日本工業規格で日本特有の規格(国内規格)です。ISOIECの正式名称はそれぞれInternational Organization for Standardization:国際標準化機構、International Electrotechnical Commission:国際電気標準会議で、世界基準の規格(国際規格)です。
JIS、ISO、IECは主に工業製品の規格として制定、運用されてきましたが、現在ではITやサービス事業までその範囲が広がっています。

適合性評価を受けるメリットは?

・日常生活の中で意識することは殆どないかもしれませんが、企業(特に中小企業)が新規取引や外国企業との取引を始める場合、国際的な規格を取得しているということは、一定水準以上の品質や運用体制が満たされているということを証明できるため、受注しやすくなる可能性があります。

・ガイドラインは自主的に取り組むルール
・守らなくてもペナルティはないが、しっかり守ればビジネスで有利になる

ガイドラインの学習方法

・次にガイドラインの学習方法を解説していきます。

①ガイドラインの大枠を押さえる

・一次試験が択一式の試験であることを考慮すると、詳細を理解していなくても、「何の」ガイドラインなのか大枠を掴めていれば対応可能です。

・セキュリティに関するものなのか、保守に関するものなのか等、大枠で理解していきましょう。

②国内規格、国際規格との関連を押さえる

どのガイドラインがどの規格とリンクしているかを押さえることが重要です。

規格は数字の羅列なので非常に覚えづらいです。だからこそ、数を絞った学習が効果的です。

③略称でなく、正式名称で覚える

ガイドラインは正式名称で覚えるようにしましょう。

・例えば、略称だとISMS、ITILというように何のことか分かりませんが、正式名称で覚えればISMS(Information Security Management System)はSecurity=セキュリティのガイドライン、ITIL(Information Technology Infrastructure Library)はLibrary=事例集というように、おおよその見当が付けられます。

押さえるべきガイドライン

・前置きが長くなりましたがそれぞれのガイドラインを見ていきましょう。

①ISMS(Information Security Management System)

一言で言うと(大枠)

・ISMSは一言で言うと情報セキュリティ(Information Security)を管理する仕組み(Management System)のことです。

※少し細かい話なので、ここは読み飛ばしていただいても問題ありません。
情報システムでは①機密性(漏洩しないように)、②完全性(改ざん、削除されないように)、③可用性(必要な特に使えるように)の3つの要素が重要であると定義されます。
3つの要素はそれぞれが独立しているわけではなく、バランスが重要です。
このバランスを維持する体制(Management System)を整備することの重要性が説かれています。

ISMSの規格

・ISMSの国内規格はJISQ 27001:2014です。

・ISMSの国際規格はISO/IEC 27001:2014です。

ISMSは端数(末尾の1)が付いていると覚えましょう。

②ITIL(Information Technology Infrastructure Library)

一言で言うと(大枠)

・ITILは一言で言うと成功体験本(Library)です。(ガイドラインではありません。)

・ITサービスマネジメント(ITの運用保守)の成功事例やノウハウを集めて書籍化したものです。

・3つのP(①Process(過程)、②People(人)、③Products(成果物))がバランスよく活用されることの重要性が説かれています。

ITILの規格

・ITILの国際規格としてBS 15000(英国規格)、ISO 20000があります。

ITILはあくまでもベストプラクティス集であり、ガイドラインではないので、正確にはITILの規格はありませんが、診断士試験上はそこまでの区別は必要ありません。

・ISO 20000はITSMS(IT Service Management System)とも呼ばれます。

・ITILの国内規格はJISQ 20000-1、2です。

ITILは20,000と覚えましょう。

③共通フレーム2013

一言で言うと(大枠)

・共通フレーム2013は一言で言うとシステム開発に関するガイドラインです。

システム開発では言語の違いや(同じ言葉を違う意味で使っているということがあります。)や慣習の違いによって、発注者(ユーザー)と受注者(ベンダー)の間でしばしばトラブルが発生していました。
システム開発のライフサイクル(構想→開発→運用→保守→廃棄)における①共通言語と②業務の分担を定義したのが共通フレームです。

共通フレームの規格

・共通フレームの規格はありません。

④SLA(Service Level Agreement )

・SLAはガイドラインではありません。

・SLAを一言で言うと業務仕様書です。

通信やクラウドサービス等のITサービスを提供する事業者が、どの程度のサービスレベル(範囲、達成目標、前提条件等)を提供するかを明文化し、発注者との間で合意した書面です。

・SLAを正しく締結するためのガイドラインとして、①情報システムに係る政府調達へのSLA導入ガイドライン②SaaS向けSLA導入ガイドライン等があります。

まとめると以下の通りです。

いかがでしょうか?この内容であれば理解できそうではありませんか?

名称規格ざっくり言うと
①ISMSJISQ 27001:2014
ISO/IEC 27001:2014
情報セキュリティを管理する仕組み
②ITILISO 20000(ITSMS)
JISQ 200000-1、2
成功体験本
③共通フレーム2013無しシステム開発のガイドライン
④SLA無し業務仕様書

以上です!

試験勉強頑張ってくださいね!