情報システムに関することならどんなことでも、システムアナリストが適切にアドバイスをいたします。
ホーム > システムアナリストのひとこと > No.086
ホーム
業務内容
料金について
お問い合わせ
システムアナリストの
ひとこと
会社概要
リンク集
No.086 リスク分析と資産の把握から始めよう
概要
・全ての改善項目について、リスク分析を行った。
・ある基準以上のリスクは全て対処する予定だが、多すぎて困っている。
・数多いリスクへの対処方法として、まずは情報資産の把握して台帳を作成することにした。
・様々な副次的な効果もあり、最初の本格的な取り組みとしては、良い選択だったと思う。
(2006/09/24)
まずは現状把握から
 転職してから、早くも3週間が経過しました。前回のひとことで、あまりに悲惨な状況をお伝えしましたが、今回のひとことは、私が行った最初のリスク分析と対策について書きたいと思います。

 リスク分析については、発生頻度と影響範囲について、大、中、小の3段階に分類しました。基本的で簡単な分析です。発生頻度大=週に1回以上、頻度中=月に1回以上、頻度小=年に1回以上、影響範囲大=お客様まで影響、影響範囲中=全社的に影響、影響範囲小=社内の1部門以下の影響という感じで評価しました。

 そして、大が3ポイント、中が2ポイント、小が1ポイントとしてリスク=発生頻度×影響範囲を計算しました。さらに緊急を要する項目に対しては、1ポイント追加しました。計10ポイントで、5ポイント以上の項目は、可能な限り早く対策を行うことにしました。ポイントの付け方は完全に私の経験と主観で行いました。だって、私はシステムアナリストであり、唯一の社内SEなのですから。全て私の責任と権限でリスク評価を行いました。

 5ポイント以上の高リスクの項目には、データの保護、IDとパスワードの管理、サーバのセキュリティ、各種データベースの構築、情報資産の把握、ネットワークの見直し、標準化、情報化計画、ルールやチェック体制の整備などが上位の案件となっています。正直、多すぎて困っています。(詳細については、関係者の方々に迷惑をかける恐れがありますので、ここでは書けません。)

 前回のサーバ内のデータバックアップのように、時間をかけず、すぐ対策を行うことができるものから手を付けてみました。でも、簡単に対処できる項目は少なかったです。必殺技とか銀の玉なんて、情報システムには存在しませんからね。

 そこで、本格的に何の項目から取り組むか考えましたが、「情報資産の把握」から行うことにしました。
リース台帳とパソコン台帳
 情報資産の把握って何のこと?と思われる方もいると思います。単純です。どのパソコンが、どこに何台存在するかということを調査して台帳を作るだけです。

 現在、私が勤務している会社には約200台のパソコンがある「らしい」のです。なぜ「らしい」のかと言うと、パソコンは全てリースで購入しており、購入後の設定は全て業者任せ。かつ、人事異動とともにパソコンも一緒に移動しているのです。その結果、現時点でどこにどんなパソコンが何台あるのか全く把握できていないというのです。ふぅ、これも悲惨だ。

 リースで購入しているということは、リース会社から毎月請求書が来ているはずです。どこでどんなパソコンを使っているか、使っていないかという状況を把握できなければ、リース契約を継続する必要があるのかないのか判断できませんよね。また、実際に利用している場所に対して、経理上の費用を配賦する処理とかやってないんだろうな。やるべきなんだけどね。

 まず、全てのリース契約書をひっくり返して、パソコンの機種とあるべき台数を把握。その後、実地調査を行いました。もう少しで全容が解明できそうです。パソコン台帳という考え方すら存在しなかったので、リース契約台帳とパソコン台帳を連携させてデータベースを作ってみました。パソコンには全て管理用の番号を割り当てて、番号シールを貼り付けました。
副次的な効果
 情報資産の把握をすることが主な目的だったのですが、副次的な効果もありました。

 まず、遠隔地の拠点の情報を把握できました。どの駅のどのあたりにあるのか、行くのにかかる時間、交通費、出入り口、サーバの位置、おおまかな配線構成、机やパソコンの配置などを把握できました。

 また、多くの社員へ顔見せすることができました。まだ入社して時間が少ないのですが、中途入社で私より早く全拠点を回って顔見せできた人は、他にはいないと思います。また、各拠点のマネージャの方に、情報システムに関する問題点などを確認することもできました。ただし、改善項目はさらに増えてしまいましたが。

 最初の本格的な改善として、情報資産の把握を選択したことについては、副次的な効果も考えると、良い選択だったと思っています。情報資産の把握ができてない会社が他にもたくさんあるとは思いたくありませんが、もし把握できてないなら、早急に調査しましょう。

 この会社は、情報システムの本当に基本的な部分から立て直さないとダメですね。ま、そのために入社したんですけど。でも、私が情報システムに関する未整備な部分を整備してあげることで、この会社をさらに成長させることができると思うと、とても楽しみです。
ホーム > システムアナリストのひとこと > No.086
Copyright (c) sysana.com Co.,Ltd. All Rights Reserved.