情報システム運用規程(大会社・全業種)
情報システム運用規程(大会社・全業種)のテキスト
情報システム運用規程
第1章 総 則
(目 的)
第1条 本規程は、○○株式会社(以下「当社」という。)における情報システム運用の基本を定めるもので、システムの信頼性・安全性・効率性を維持・向上するために関係者が遵守すべき基準とすることを目的とする。ただし、本規程に従ってシステム運用業務を行うことができない場合、または本規程に定めのない重要な事項が発生した場合には情報処理部門の指示に従うものとする。
(範 囲)
第2条 本規程の対象範囲はシステム運用にかかわる業務とする。
(改 訂)
第3条 本規程の改訂は、情報処理部門にて協議を実施し、専務の決裁が必要と判断した場合は、その決裁を受ける。
第2章 計画業務
(定 義)
第4条 システムの運用における計画業務とは、システム運用の各業務を安定的に遂行するために各種計画を策定するものであり、次の2つの業務からなる。
(1)システム運用長期計画
(2)システム運用計画
(システム運用長期計画)
第5条 システムの運用に関する長期計画を情報処理部門で策定し、システム運用長期計画書として文書にとりまとめること。
(システム運用計画)
第6条 システム運用計画とは、システム運用業務処理を安定的に実施するための計画であり、システム運用長期計画の諸内容を遵守すること。
2 システム運用計画は事業本部長が指名・承認したシステム企画担当者が策定すること。
3 システム企画担当者は、システム運用長期計画を遵守したシステム運用を推進するために、次のような運用計画を策定し文書にとりまとめること。
(1)年間運用計画(年間運用スケジュール)
(2)半期運用計画(半期運用スケジュール)
(3)月次運用計画(月次運用スケジュール)
(4)週次運用計画(週次運用スケジュール)
(5)日次運用計画(日次運用スケジュール)
(6)要員計画(オペレータスケジュール)
(7)システムメンテナンス計画(システムメンテナンススケジュール)
(8)予算計画(外注人件費、備品・消耗品 など)
(9)教育訓練計画
(10)運用品質向上計画
(承 認)
第7条 情報処理部門長は、提出されたシステム運用計画を検討し、妥当と認めたものを承認すること。
第3章 運用業務
(定 義)
第8条 システム運用業務とは、システムを安定的に運用するにあたり必要となるオペレーションならびに運用上で管理しなければならない各種業務を指す。
(実施者)
第9条 システム運用の実施者は、各種運用管理業務、およびオペレーション業務に関するすべての要員を指す。また、運用の実施者は、その役割によって実施責任者と運用管理担当者とオペレータに区分けされる。
(選 任)
第10条 情報処理部門長は、運用計画に従い適切な運用の実施者を選任すること。運用業務を外部企業へ委託する場合は別途定める「外部委託管理規程」に沿って選定し委託すること。
(運用実施責任者)
第11条 運用実施責任者は、運用業務の円滑な推進を図るために、下記の管理業務を行う。
(1)運用計画の立案
(2)運用管理指標の設定
(3)運用状況の確認
(4)要員管理
(5)費用管理
(6)運用評価
(運用管理担当者)
第12条 運用管理担当者は、運用業務の円滑な推進を図るために、下記の運用管理業務を行う。
(1)オペレーション管理
(2)入出力データ管理
(3)ファイル管理
(4)帳票管理
(5)機器・設備管理
(6)アクセス管理
(7)外部接続管理
(8)キャパシティ管理
(9)障害管理
(10)安全対策
(オペレータ)
第13条 オペレータは運用計画、オペレーション指示書、オペレーションマニュアルに基づきオペレーション業務を行う。
第4章 運用管理業務
(マニュアル管理)
第14条 システムを正確かつ安全に運用するため、通常時の各種運用手順を標準化したマニュアルを整備すること。また、障害による影響を極小化し早期復旧させるため、障害時の操作手順を明確化したマニュアルを整備すること。
(1)マニュアルの標準化
マニュアルは、システム運用の効率性を高め、信頼性を保持するために不可欠なものであることを認識し、記載内容の正確性を十分確認するとともに、標準化された操作手順および適切な障害対策が記載されていること。
(2)マニュアル変更・修正
マニュアルは、オペレーション・ミス等のトラブルを誘発したり、効率の低下を防ぐために現行のシステムにつねに適合したものとすること。したがって、システム変更やシステム運用部門の環境変化に応じて順次改訂すること。
(3)マニュアルの保管管理方法
システム運用に必要なマニュアルは、改ざん・不正使用等を防止するため、その保管管理は、定められた手順に従い適正に行うこと。
(オペレーション管理)
第15条 システムの不正使用を防止するとともに、システム運用の円滑化を図るため、オペレーションについての依頼、承認、実行、記録、結果確認等の管理を行うこと。また、例外処理、障害対応など通常オペレーション以外の取扱いを明確にすること。
(1)オペレータ資格確認
不正操作によるデータ漏えい・障害等の発生を防止するため、システムのオペレーションにあたっては、運用実施責任者が正規の資格を持ったオペレータであることの確認を行うこと。
(2)オペレーション依頼・承認
コンピュータシステムの不正使用を防止するため、オペレーションの依頼・承認は、オペレーション依頼書等の文書を用いて行うなど、定められた手順に従って行うこと。
(3)オペレーション確認
オペレーションの正確性・正当性を確保するため、オペレーション実行状況を確認するとともに、依頼したオペレーションの記録を残すこと。
(4)例外処理
コンピュータの不正使用防止および、運用業務の円滑化を図るため、例外処理の取扱管理を明確にすること。
(5)例外処理時の取扱手順をマニュアルに組み込むこと。
(6)例外処理依頼は、すべて文書により責任者の承認を得た後行うこと。
(7)例外処理は、必要なもののみに限定されていること。
(8)システム運用部門責任者は、例外処理の状況を確認すること。
(障害対応)
第16条 障害発生時に速やかに通常の運用業務へ復帰できるよう、障害発生時の取扱管理を明確にすること。
(1)発生した障害に対する報告書を作成すること。
(2)障害原因分析・対応には、担当者をコールすること。
(3)障害報告書は、システム運用部門責任者に提出され承認を得ること。
(4)障害にかかわる記録物、入出力データ類は、一定期間適切に保管しておくこと。
(入力データ管理)
第17条 入力データの作成手順・取扱い等は、誤データ・不正防止・機密保護の面からその取扱いルールを明確にし、それに基づく適切な措置を行うこと。
(1)入力データの作成手順・取扱いルー ル
入力データの作成手順・取扱いルールを確立すること。
(2)入力についての承認
データの改ざんや入力ミスを防止するため、入力については責任者の承認・確認を得るなど適切な措置を講ずること。
(出力データ管理)
第18条 出力情報の正確性を期するとともに、不正防止、機密保護を図るため、取扱いについて厳重な管理を行うこと。
(1)出力情報管理ルール
出力情報の保管、廃棄、複写、受渡し等についてルールを確立すること。
(2)出力情報の保管、廃棄
① 出力情報について、機密度のランク付けを行うこと。
② 機密情報の利用者の限定を行うこと。
③ 機密度に応じた、適切な廃棄方法を定めること。
④ 機密情報の保管・廃棄状況を運用部門責任者が状況を確認すること。
(3)出力情報の複写
出力情報漏えいの防止のため、複写を厳重に管理すること。
(4)出力情報の受渡し
出力情報の受渡し時に発生する送達先相違や送達遅れおよび紛失・盗難等のトラブルを防止するため、受渡しは確実かつ的確に行い、受渡しの記録を取ること。
(ファイル管理)
第19条 ファイルの不正使用・改ざん・紛失等を防止するため、ファイルの授受・廃棄・保管は定められた方法によって行うこと。また、ファイルの破損、障害等の発生に備えてバックアップを確保すること。
(1)担当者および責任者の明確化
ファイル管理責任者および保管管理業務を行うライブラリアンを定め、その責任を明確にすること。
(2)ファイル受渡し
磁気媒体(テープ・CD、フロッピーディスク等)により、外部とデータ授受を行う場合、データ漏えいを防止するため、受渡し方法を定めておくこと。さらに、外部業者に受渡しを委託する場合は、契約内容について十分チェックすること。
(3)ファイル廃棄
ファイルの廃棄においては、誤消去、データ漏えい等を防止するため、ファイル管理簿による保存期間、ファイルの機密度に応じた廃棄方法等を明確に行うこと。
(4)ファイル複写
無断複写等によるデータ漏えいを防止するため、コピーが必要な場合の依頼・承認・複写手続およびコピーファイルの授受、廃棄手続を明確にしておくこと。
(5)ファイル保存期間
ファイルの誤消去を防止するため、ファイルの重要度に応じ、保存期間を明確にしておくこと。
(6)ファイル在庫管理
ファイルの不正使用、紛失等を防止するため、ファイル管理簿等により定期的に棚卸しを行い、在庫管理を徹底すること。
(7)バックアップ取得
重要ファイルに破損・障害等が発生した場合、早期に回復するためにファイルのバックアップを取得し保管管理方法を明確にすること。バックアップを取得するにあたっては、適切な世代管理レベル(二世代前・三世代前まで等)を設定すること。回復に要する時間およびその間の影響を考慮して、取得間隔を定めておくこと。
(8)ファイル保管場所
ファイルの不正使用、紛失等を防止するとともに、障害時・災害時の復旧のため、データ保管室等定められた場所にファイルを保管すること。また、火災や地震等の災害に備えて、重要なファイルは分散保管や遠隔地保管すること。
(9)ファイル修正管理
障害等により、ファイルに不整合が生じ、修正が必要になった場合には、修正作業の依頼、承認および処理手続を明確にするとともに、結果の確認・検証を行うこと。また、その際にはファイルの機密度、重要度を考慮した厳重な管理を行い、その作業結果を保存すること。
(帳票管理)
第20条 帳票の不正使用、内容漏えい等を防止するため、重要な帳票は、管理方法、廃棄手続を明確にすること。
(1)未使用重要帳票の管理
不正使用を防止するため、未使用重要帳票の在庫管理および廃棄方法を定めること。ここでいう重要帳票とは、社印等公印の押下された領収証、証券等金銭を受領できる帳票および契約にかかわる帳票等のことをいう。
(2)重要な印字済帳票の取扱い
不正使用、内容漏えい等を防止するため、重要な印刷済帳票の受渡しおよび廃棄方法を定めること。
(機器・設備管理)
第21条 システム運用を円滑に実施するため、汎用機、サーバー、端末、ネットワーク機器などのハードウェア類、ならびに電源、空調、防災・防犯、監視等の設備類の管理方法、保守管理方法を明確にすること。
(1)管理方法
システム稼働の中枢となるハードウェア類ならびに設備類は、システムの円滑な運用を確保するため、各機器、設備の管理責任者を明確にするとともに、定められた方法によって管理すること。また、障害時、災害時の対応方法を明確にすることにより、システムへの影響を最小限にとどめること。
① 管理方法の具体例
② 各機器・設備類の管理責任者を明確に定めること
③ 各機器・設備類の一覧表を作成すること
④ 各機器・設備類の操作手順書を備えること
⑤ 各機器・設備類の障害発生時の迅速な復旧のために保守体制を明確にすること
(2)保守方法
各種機器・設備類の保守点検にあたっては、システム運用スケジュールとの調整を図り、点検対象・点検周期・点検内容を明確にして行うこと。また、保守の頻度・内容が分析・評価され管理に活用されていること。
<保守管理方法の具体例>
① 各機器・設備類を長時間停止した場合の再稼働にあたっては、保守点検を実施すること
② 代替機等常時稼働しない設備は、正常稼働することを、定期的に確認しておくこと
③ メーカー側保守体制、責任者、担当者の氏名・電話番号・保守担当範囲等を把握すること
④ 保守作業の結果を報告書として受領し、分析・評価を行うこと
⑤ 保守作業にはシステム企画課の担当者が立会いを行うなど厳重な管理をすること
(アクセス管理)
第22条 システムを構成する機器および運用上必要なファイル等各種資源に対する不正使用、破壊、改ざんなどを防止するため、端末等からアクセスする際に、重要度に応じたアクセス権限を設定し、アクセスする際に必要なパスワード・識別コード等以下の項目について管理を行うこと。
(1)パスワード・識別コード等の管理
パスワード、識別コード等の登録・変更・削除手続および使用状況の管理方法を定めること。
(2)アクセス権限者の特定
システムの開発作業にかかるテスト用ファイル、アプリケーションプログラムについても、機密漏えい防止の観点から必要に応じアクセス権限者を特定すること。
(3)アクセス制御機能について
ファイルに対するアクセス制御機能については、機密漏えい防止措置をファイルの重要度に応じて講じること。
(4)アクセス資格確認・監視の方法
常時、システムへのアクセスを厳重に監視しておくこと。
(5)機密性の高い情報の取扱い
機密性の高い情報はコピー等により窃取されるおそれがあるため保存用を除き、処理後速やかに消去させること。
(6)システムの開発テスト環境の整備
システムの開発作業にかかわるテストは、種々のケースを想定して行うことができるよう環境を整備すること。なお、本番環境へ影響を与えないテスト環境とすること。
(外部接続管理)
第23条 外部との接続を安全かつ正確に行い、データ漏えい、不正アクセス等を防止するため、回線接続等による外部との接続は厳重な管理をすること。
(1)接続契約内容の明確化
回線接続等によるデータの授受にかかわる契約を締結するにあたっては、契約に盛り込まれた内容を十分把握し、誤接等のないようにすること。
① 利用回線
② 接続方法
③ 送受信データのフォーマット
④ データ内容
⑤ 相手先確認方法
⑥ 伝送不能時等障害時の対応方法
(2)接続先の確認・管理
データ漏えい、不正アクセス等を防止するため、外部との接続は契約に基づいた方法によって行い、接続先を確認すること。また、接続条件(パスワード等)の登録・変更管理は定められた方法によって行うこと。
(キャパシティ管理)
第24条 システムの安定稼働を確保するため、システム稼働上での性能データを収拾・監視し、そのデータを分析することにより、設計目標と合致しているか評価を行うこと。また、問題点があった場合や将来予測に対して対応が必要な場合には速やかに検討作業を行い、計画を策定すること。
(1)性能管理
性能評価の目的と評価項目を明確にし、性能監視業務を行うこと、性能監視業務から得られた性能データを定められたルールに従い一定期間保存すること。また、性能監視は定められた危険値を超えた場合は障害管理体制へ移行されること。
(2)キャパシティ管理
性能管理データをもとに現状システム評価を行うとともに、今後の需要予測に対する限界性能を予測し、設備増設、システム更改の提案をすること。
(障害管理)
第25条 障害が発生した場合の早期発見、早期復旧、局所化、ならびに障害の未然防止、再発防止を実現するために障害管理は厳重に行うこと。
(1)障害監視
システムの重要度や回復に必要な時間から監視対象を明確にし、その監視内容、監視方法をマニュアルとして設定すること。
(2)障害対応体制
障害が発生した場合の連絡体制や障害対応体制を整備し、周知徹底すること。障害のレベルに応じて障害対策委員会の設置を行うなどのルールを明確にすること。
(3)復旧作業
障害の原因を速やかに把握し、定められた復旧手順により復旧作業を実施すること。
(4)障害記録・報告
発生したすべての障害について障害報告書を作成し、システム運用部門責任者の承認を得ること。
(5)未然防止・再発防止
障害の再発防止のため、障害記録をもとに障害の傾向や根本原因を分析し、問題点・課題を明確化し、対応策を検討すること。
第5章 安全対策
(防犯組織)
第26条 不法侵入・危険物持ち込み・不法持ち出し等システムの安全を脅かす行為を防止するため、また、万が一犯罪が発生した場合は、被害の影響を最小限にとどめるよう対応するため、防犯組織を整備すること。
(防災組織)
第27条 災害の発生を、予防するとともに、万が一災害が発生した場合の被害を軽減するため、迅速に対応できる防災組織を整備すること。
(災害対策)
第28条 火災、地震、洪水、落雷などの天災に備えて重要な機器・設備類の二重化やバックアップなどの対策をとること。情報処理部門長は不慮の災害に対して迅速かつ十分な対応がとれるよう「危機管理計画」を作成し、社内に周知すること。
(要員管理)
第29条 システムの運用を円滑に行うため、システムの開発・変更および運用に携わる要員の人事管理および健康管理を適切に行うこと。
(1)人事管理
職務権限を明確に定め要員が権限外のことを行っていないか、システム運用部門責任者は、常時監視すること。
(2)要員の配置および交替
業務の効率的かつ適切な運用を図るため、要員配置やローテーションについて慎重な配慮を行い、セキュリテイおよび効率面についても適切に実施すること。
(3)要員の健康管理
運用業務における作業環境は、一般業務と異なるため環境条件を踏まえた要員の健康管理を実施すること。
(4)要員の勤務状況把握
要員の作業ミス防止、内部不正排除のため、勤務の実態を把握し、作業環境の改善に努めること。
(5)教 育
要員の知識および技能の向上を図り、運用を円滑に行うため、職種、職責、経験年数等を考慮した社内教育・社外教育を行うこと。
(6)訓 練
① 通常時訓練
通常時の運用を円滑に行うため、新人配属時・新機種導入時・ソフトウェア変更時等に、オペレーションの訓練を行うこと。また、訓練結果については、分析・評価のうえ、次回訓練に反映させること。
② 障害・災害訓練
障害時・災害時に速やかな復旧を可能にするため、オペレーション訓練を行い、訓練結果を分析・評価のうえ、次回訓練に反映させること。
③ 防災・防犯訓練
防災組織・防犯組織が十分機能するよう、非常時を想定した防災・防犯訓練を行うこと。
付 則
本規程は、平成○年○月○日より施行する。
