sg sg-management system_audit system_strategy
まず結論
システム管理基準は、情報システムを適切に管理するために、組織が留意すべき基本事項を体系化した基準です。
SG試験では、単に名前を覚えるよりも、「管理する側の実践規範」なのか、「監査する側の基準」なのかを切り分けることが大切です。
選択肢では、次のように問われることがあります。
- 情報システムの管理で共通して留意すべき事項を体系化したものはどれか
- システム監査を行うときの判断の尺度として使えるものはどれか
- システム監査基準や情報セキュリティ管理基準とどう違うか
ここで迷ったら、システム管理基準は「情報システムをどう管理するか」の基準と考えると判断しやすくなります。
直感的な説明
会社の情報システムは、作って終わりではありません。
企画、開発、運用、保守、外部サービスの利用、事業継続など、長い期間にわたって管理する必要があります。
たとえば、次のような状態では問題が起きやすくなります。
- システム変更の承認ルールがない
- 障害時の対応手順が決まっていない
- 外部サービスの管理責任があいまい
- システムの利用状況やリスクを経営層が把握していない
システム管理基準は、こうした情報システム管理について、組織が確認すべき基本的な観点を整理したものです。
日常の例でいえば、建物を安全に使うための管理チェックリストに近いです。
建物そのものを作る設計図ではなく、
- 管理体制はあるか
- 点検しているか
- 記録を残しているか
- 問題があれば改善しているか
を確認するための考え方です。
定義・仕組み
システム管理基準は、経済産業省が公表している、情報システム管理に関する基準です。
公式情報は、経済産業省のシステム監査制度についてから確認できます。
システム管理基準では、情報システムを組織として適切に利活用するために、ITガバナンスやITマネジメントの観点から、管理すべき事項が整理されています。
大きく見ると、次のような範囲を扱います。
| 観点 | 内容のイメージ |
|---|---|
| ITガバナンス | 経営としてITをどう方向付けるか |
| 企画 | システム化の目的や計画をどう決めるか |
| 開発 | システム開発をどう管理するか |
| 運用・利用 | 日々の利用や運用をどう管理するか |
| 保守 | 変更や修正をどう管理するか |
| 外部サービス管理 | クラウドや委託先をどう管理するか |
| 事業継続管理 | 障害や災害時にどう継続するか |
ここで大事なのは、システム管理基準が個別の製品や細かい設定手順を決めるものではないという点です。
たとえば、特定のファイアウォール設定やパスワード文字数を細かく指定するものではありません。
むしろ、組織として情報システムを管理するために、
- 体制を整える
- ルールを決める
- 実施状況を確認する
- リスクに応じて改善する
という管理の考え方を整理したものです。
SG試験では、「システム管理基準=情報システム管理の実践規範」という見方を持っておくと、選択肢を切りやすくなります。
どんな場面で使う?
システム管理基準は、情報システムを組織として管理するときの考え方として使われます。
たとえば、次のような場面です。
- 情報システム部門の管理ルールを整備する
- システム開発や運用の管理状況を確認する
- 外部サービスや委託先の管理方法を見直す
- システム監査で、管理状況を評価する観点として使う
- ITガバナンスやITマネジメントの改善点を整理する
特にSG試験では、監査人だけが使うものと考えると少し狭くなります。
システム管理基準は、組織が情報システムを管理するための基準であり、結果として、システム監査を行う場合の判断尺度としても使われます。
つまり、
- 管理する側:情報システム管理のよりどころにする
- 監査する側:管理状況を確認する判断尺度にする
という両面で理解しておくと安全です。
選択肢では、「監査人の行動規範」だけを説明している場合はシステム監査基準寄りです。
一方で、情報システムの管理において、組織が共通して留意すべき基本事項を説明していれば、システム管理基準を選びやすくなります。
よくある誤解・混同
システム監査基準との違い
システム監査基準は、主にシステム監査を行う監査人側の基準です。
一方、システム管理基準は、情報システムを管理する組織側の実践規範です。
| 用語 | 見るポイント |
|---|---|
| システム管理基準 | 情報システムをどう管理するか |
| システム監査基準 | システム監査をどう行うか |
SG試験では、ここを入れ替えてくることがあります。
「監査業務の品質」「監査人の行為規範」とあれば、システム監査基準を疑います。
「情報システム管理で共通して留意すべき基本事項」とあれば、システム管理基準を考えます。
情報セキュリティ管理基準との違い
情報セキュリティ管理基準は、情報セキュリティ対策や管理策に焦点を当てた基準です。
一方、システム管理基準は、情報システムの企画、開発、運用、保守、外部サービス管理など、より広いシステム管理を扱います。
| 用語 | 主な対象 |
|---|---|
| システム管理基準 | 情報システム全体の管理 |
| 情報セキュリティ管理基準 | 情報セキュリティ管理策 |
もちろん、システム管理の中にもセキュリティは含まれます。
ただし、選択肢で機密性・完全性・可用性を確保するためのセキュリティ管理策が中心なら、情報セキュリティ管理基準寄りです。
情報システム安全対策基準との違い
情報システム安全対策基準は、情報システムの安全対策に関する考え方です。
一方、システム管理基準は、単なる安全対策だけでなく、ITガバナンスや開発・運用・保守など、情報システム管理全体を扱います。
SG試験では、「安全対策」だけに限定しているか、「情報システム管理全体」を扱っているかで切り分けます。
よくあるひっかけ
選択肢では、次のような表現に注意します。
- 「監査人の行動規範」だけを説明している
- 「情報セキュリティ対策項目」だけを説明している
- 「個人情報保護のためのマネジメントシステム」だけを説明している
- 「不正アクセス被害の予防・発見・再発防止」だけを説明している
これらは、システム管理基準そのものではない可能性があります。
システム管理基準を選ぶときは、情報システムの管理全体に関する基本事項かどうかを確認しましょう。
まとめ(試験直前用)
- システム管理基準は、情報システムを適切に管理するための基準
- 「監査人の行為規範」なら、システム監査基準を疑う
- 「セキュリティ管理策」が中心なら、情報セキュリティ管理基準を疑う
- 「企画・開発・運用・保守などシステム管理全体」なら、システム管理基準を考える
- SG試験では、管理する側の基準か、監査する側の基準かで切り分ける
🔗 関連記事
- アローダイアグラムとは?作業順序と所要日数を表す図【SG試験】
- 監査調書とは?監査結果の裏付けになる記録を整理【SG試験】
- 稼働率とは?可用性の考え方とSLAでの判断基準【SG試験】
- 変更管理とは?リリース時のリスクを減らす管理策【SG試験】
- CI/CDとは?自動化された開発・テストの流れ【SG試験】