セクション: 情報システムの監査プロセス

説明
インシデントエスカレーション手順の導入は、インシデントが適切な担当者から適時に対応されることを保証する最善の方法です。なぜなら、この手順は、さまざまな種類のインシデントに対処するための役割と責任、連絡チャネル、エスカレーション基準を定義するからです34。インシデントエスカレーション手順は、対応活動の優先順位付けと調整に役立ち、最も適格で権限のある担当者によってインシデントが解決されることを保証します。インシデント管理ログの記入、緊急メッセージのブロードキャスト、専任のインシデント対応チームの設置を求めるだけでは、インシデントが適切な担当者から適時に対応されることを保証するには不十分です。なぜなら、これらの手順では、インシデントの重大性、影響、または複雑さに基づいてエスカレーションする方法が指定されていないからです。参考文献：3：CISAレビューマニュアル（デジタル版）、第6章、セクション6.3.2 4：CISAオンラインレビューコース、モジュール6、レッスン3

アプリケーションやITシステムによって支えられている組織のビジネスプロセスを評価する際、情報システム監査人が確認すべき最も有用なものは、エンタープライズアーキテクチャ（EA）です。EAとは、ビジネスを全体的な視点で設計し、そのすべての構成要素とその相互作用を考慮する実践です。EAは、全体的な目標、それらの目標を支える戦略、そしてそれらの戦略を実行するために必要な戦術を定義します。また、EAは、ITプロジェクトのさまざまな構成要素が互いに、そしてビジネスプロセスとどのように相互作用するかについても概説します。EAを確認することにより、情報システム監査人は、組織がITの取り組みを全体的なミッション、ビジネス戦略、そして優先事項とどのように整合させているかを包括的に理解することができます。さらに、情報システム監査人は、複雑なビジネスオペレーションの有効性、効率性、俊敏性、そして継続性を評価することもできます。
他のオプションはオプション B ほど役に立ちません。構成管理データベース (CMDB) は、IT システムを構成するコンポーネントに関する情報を保存および管理するデータベースです。CMDB は、ハードウェア、ソフトウェア、データ資産などの個々の構成アイテム (CI) と、それらの属性、依存関係、および経時的な変更を追跡します。CMDB は、情報システム監査人が IT 資産のパフォーマンス、可用性、および構成を監視するのに役立ちますが、それらがビジネス プロセスをどのようにサポートしているかについての包括的なビューは提供しません。IT ポートフォリオ管理は、IT 投資、プロジェクト、および活動をポートフォリオとして管理するプラクティスです。IT ポートフォリオ管理は、IT イニシアチブの価値、リスク、およびコストを最適化し、それらをビジネス目標と整合させることを目的としています。IT ポートフォリオ管理は、情報システム監査人が IT 投資収益率と IT プロジェクトとビジネス戦略の整合を評価するのに役立ちますが、それらがビジネス プロセスをどのようにサポートしているかについての詳細なビューは提供しません。IT サービス管理 (ITSM) は、エンド ユーザーと顧客のニーズを満たすために IT サービスを計画、実装、管理、および最適化するプラクティスです。 ITSMは、標準化されたプロセスとベストプラクティスを用いてITをサービスとして提供することに重点を置いています。ITSMは、情報システム監査人がITサービスの提供とサポートの品質、効率性、有効性を確認するのに役立ちますが、ビジネスプロセスをどのようにサポートしているかを包括的に把握できるわけではありません。参考資料：エンタープライズ・アーキテクチャ（EA）とは？ - RingCentral、構成管理データベース（CMDB）とは？ - Red Hat、ITポートフォリオ管理戦略 | Smartsheet、ITサービス管理（ITSM）とは？ | IBM