問２　個別システム化計画におけるシステムリスク対応方針の立案について

　顧客の生活や企業の事業活動の基盤として利用され、継続して安定したサービスの提供を求められるシステムの個別システム化計画では、システムリスク対応方針の立案が重要である。システムリスク対応方針の立案とは、企業の情報システム戦略やセキュリティポリシーなどに基づき、故障によるシステム停止、人為的ミスやサイバー攻撃による情報漏えいなどのインシデントに備える施策の検討である。

　ITストラテジストは、個別システム化計画におけるシステムリスク対応方針の立案に当たっては、事業や顧客、提供するサービスの特性を十分に考慮し、社外の事例も参考にした上で、インシデントが社会や自社の経営に与えるインパクトを想定する。

　次に、想定したインパクトに応じて、予防策と発生時対策から成るシステムリスク対応方針を関連部門とともに立案する。予防策とは、インシデントの発生を最小限に抑える施策で、許容される停止時間に応じた冗長性確保、情報漏えいを防止する認証・認可の厳格化などがある。また発生時対策とは、インシデント発生後のインパクトを最小限に抑える施策で、迅速な情報共有のための顧客と社内への緊急連絡システムの構築、迅速な復旧を実現するための定期的なリカバリ訓練の実施などがある。

　これらの検討を基にITストラテジストは、施策の準備、実行及び維持や、組織の体制強化などに要する費用を明らかにするとともに、システムリスク対応方針の効果を検討し、事業部門と経営層に提案して認証を得ることが重要である。

　あなたの経験と考えに基づいて、設問ア〜設問ウに従って論述せよ。

 

設問ア　あなたが携わった個別システム化計画におけるシステムリスク対応方針の立案において、対象としたサービスと個別システムの概要を、事業特性とともに800字以内で述べよ。

設問イ　設問アで述べた個別システムにおいて、あなたはどのようなシステムリスク対応方針を立案したか。想定したインシデントとインパクトを明らかにし、立案に当たり工夫した点とともに、800字以上1,600字以内で具体的に述べよ。

設問ウ　設問イで述べたシステムリスク対応方針について、あなたは事業部門と経営層にどのような提案を行い、承認を得たか。事業部門と経営層から指摘を受けて改善したこととともに、600字以上1,200字以内で具体的に述べよ。