組込みシステムの セキュリティへの取組み ガイド 2010 · 2010年9月 組込みシステムの セキュリティへの取組み ガイド(2010年度改訂版)
ANA IT部門 品質向上への取り組みANA IT部門 品質向上への取り組み...
Transcript of ANA IT部門 品質向上への取り組みANA IT部門 品質向上への取り組み...
ANA IT部門 品質向上への取り組み
チェックポイントレビュー、内部監査、外部監査
の取り組みについて
2012年7月27日
全日空システム企画株式会社
品質監理室
目次
1.会社概要
2.品質監理室
3.ANA IT部門 標準化の取り組み
4.外部審査
5.内部監査
6.外部監査
7.今後にむけて
Copyright© ANA Information Systems Plannning Co.,Ltd. All Rights Reserved.
2012/07/27 2
1.会社概要
会社概要
会社名:全日空システム企画株式会社(ASP)
設立:1986年8月
資本金:5250万円
従業員数:773名(2012年4月1日現在)
本社:大田区羽田空港
羽田事業所:大田区東糀谷
売上高:203億円(2011年3月期)
株主:全日本空輸株式会社
事業内容:
コンサルティング
システムインテグレーションサービス
受託ソフトウェア開発
ASP(アプリケーションサービスプロバイダ)
情報システム保守運用サービス
ソフトウェアプロダクト仕入販売
Copyright© ANA Information Systems Plannning Co.,Ltd. All Rights Reserved.
2012/07/27 3
1.会社概要
組織図
Copyright© ANA Information Systems Plannning Co.,Ltd. All Rights Reserved.
2012/07/27 4
2.品質監理室 品質監理室
ANA グループIT 部門(業務プロセス改革室、ACC、ASP)の品質方針に基づく品質マネジメントシステムの運営およびセキュリティマネジメントシステムの運営を主管し、全社横断的なマネジメントを行うことで、最高経営層を補佐し、各部に対し機能的指示や支援及び助言を行う。また、標準化活動の推進計画策定・実施、標準化推進関連部署との整合性確保・調整を行う。
■品質監理業務 1. 品質方針・目標の策定、管理、評価 2. 品質マネジメントシステムの策定、運用、監査、改善 3. システム標準ガイドライン運用ルール策定、監査、改善 4. 生産性指標及び、品質管理指標の策定、分析、評価、改善 5. 生産性向上・品質向上に関する諸施策立案、推進、分析、評価(品質マネジメントレビュー) 6. 品質マネジメントシステムに関する教育計画立案及び推進 7. 品質監査計画立案及び推進 8. 品質審査(CP レビュー/QA レビュー)の運営 9. 顧客満足に関する調査、分析、施策立案、推進 10. ANA セキュリティポリシーに基づくセキュリティ方針の策定 11. セキュリティ基準の策定、監査、改善 12. セキュリティマネジメントシステムの策定、運用、監査、改善 13. セキュリティインシデントの総括管理 14. セキュリティ維持向上に関する諸施策立案、推進 15. 全社情報共有化に関する諸施策立案、推進 16. 情報セキュリティ委員会の運営 17. IT 全般統制監査対応(窓口、監査準備、実施支援、是正支援) 18. 全社品質関連情報の共有化に関する諸施策立案、推進 19. IT ガバナンスプロセスの標準化推進(構築・展開・維持) ■標準化統括業務 1. 標準化活動の統括・管理(計画策定、推進、管理、評価) 2. 開発業務プロセスの標準化推進(構築・展開・遡及・維持、適用支援) 3. 開発業務プロセスに関わる教育の実施 4. 標準化啓発に関する諸施策立案、推進 5. 標準化活動の分析、評価、改善
Copyright© ANA Information Systems Plannning Co.,Ltd. All Rights Reserved.
2012/07/27 5
3.ANA IT部門 標準化の取り組み
標準化への歩み
経緯
2007年の大規模システム障害がきっかけ
「根本的な問題の分析」と「抜本的な課題解決の検討」を開始
ANA/ASP 一体となっての改革
バックアップシステム/通信技術面の強化/組織面の強化
品質・標準化推進組織の設置
品質強化を目的に、業務アプリケーションの開発標準化、インフラ共通・統合化、統合運用基盤の整備を行う
標準IT資産の整備と推進
IT推進プロセスの整備と推進→ITガバナンス→品質・標準化監理→内部審査/外部審査(チェックポイントレビュー)/内部監査/外部監査
ITアーキテクチャ(ドキュメント)の整備
ITアーキテクチャ(システム)の整備
Copyright© ANA Information Systems Plannning Co.,Ltd. All Rights Reserved.
2012/07/27 6
3.ANA IT部門 標準化の取り組み
審査と監査
標準化の取り組みの中で「審査」と「監査」の定義を整理した。
Copyright© ANA Information Systems Plannning Co.,Ltd. All Rights Reserved.
2012/07/27 7
•プロジェクト内レビュー 内部審査
• CP(チェックポイント)レビュー
• QA(見積)レビュー 外部審査
• ISO9001(品質マニュアル)からの継承
•開発業務内部監査
•運用業務内部監査 内部監査
• ISO9001(品質マニュアル)からの継承
•品質・標準化監理プロセスに対しての外部監査機関による外部監査 外部監査
4.外部審査
CP(チェックポイント)レビューとは CPレビューは、システム開発における品質審査を目的とし、成果物・プロセス(チェックリスト)を審査する。
Copyright© ANA Information Systems Plannning Co.,Ltd. All Rights Reserved.
2012/07/27 8
セミナー当日ご紹介します。 ※CPレビュー実施工程、実施タイミング、対象ドキュメン
ト、確認ポイントなどを説明します。
4.外部審査
CPレビュー実施体制
Copyright© ANA Information Systems Plannning Co.,Ltd. All Rights Reserved.
2012/07/27 9
セミナー当日ご紹介します。 ※体制図について説明します。
4.外部審査
CPレビュー実施方法
Copyright© ANA Information Systems Plannning Co.,Ltd. All Rights Reserved.
2012/07/27 10
日程調整
-2W
対応
事前指摘 議事録 結果報告書
事務局
プロジェクト
CPレビュー
-3d -1d 0d +2W
年度計画 経営会議
レビュー案件 候補抽出
レビュー対象 ドキュメント提出 ※完成版でなくともよい
対応状況 の確認
直してしまう人もいます
4.外部審査
CPレビュー実施状況
Copyright© ANA Information Systems Plannning Co.,Ltd. All Rights Reserved.
2012/07/27 11
CPレビュー件数 備考
2008Q4 8 ※CPレビュー開始
2009Q1 7
2009Q2 6
2009Q3 5
2009Q4 9
2010Q1 12
2010Q2 9
2010Q3 22
2010Q4 8
2011Q1 23
2011Q2 20
2011Q3 16
2011Q4 19
2012Q1 27 2012年6月30日現在
※レビュー対象案件選定基準 ①スケジュール、予算、体制に懸念が想定される案件 ②業務影響範囲が大きい大規模案件(目安として開発規模が1億円以上)
③大幅なインフラ構成変更を伴う案件、ベースとなる技術が変更となるシステム再構築案件 ④セキュリティ上の考慮が必要となる案件 ⑤開発工程に当社ASPが直接関わらない案件(ANA直案件) ⑥審査事務局が必要と判断した案件 ⑦プロジェクトからレビュー依頼のあった案件 ⑧ASP社内案件(ASP内部でCPレビュー実施) 上記対象から、選定する。
5.内部監査
監査対象
Copyright© ANA Information Systems Plannning Co.,Ltd. All Rights Reserved.
2012/07/27 12
QMS
開発業務
外部監査 内部監査
上流工程 運用業務
QMS
開発業務 上流工程 運用業務
ASP品質マニュアル 品質・標準化監理プロセス推進規程
外部監査
内部監査
新QMSでは、上流・運用も対象範囲に含めた。 ※2010年度から、外部監査と内部監査は監査対象を分けた ・外部監査はQMS(品質・標準化監理プロセス)を監査する。
・内部監査は、開発/運用業務の遵守事項を監査する。
~2009年までの、外部監査/内部監査の範囲 ・外部監査も内部監査と同様の範囲を監査した。 注)当時のQMS(品質マニュアル)に上流工程と運用業務が
含まれていなかったため、両監査の対象から除外されていた。
5.内部監査
ISO 9001
経緯
1999年ISO9001取得に合わせ、内部監査開始。
内部監査員の教育、訓練、監査員任命。
ASP品質マニュアルに従った内部監査の実施。
年2回実施。
内部監査実施内容
品質記録(成果物、レビュー記録)の有無の確認
承認印と日付の妥当性確認
不適合判断
是正指示
Copyright© ANA Information Systems Plannning Co.,Ltd. All Rights Reserved.
2012/07/27 13
5.内部監査
ISO 9001 内部監査の課題
品質記録の確認のみであり、 そのプロセス(開発プロセス等)の実施内容の妥当性や 成果物の内容まで監査できていなかった。
監査直前に、(監査のために)資料作成をおこなっていた。 (つじつま合わせを行っていた。)
監査人の人的リソースの問題から、 監査対象案件を制限していた。
開発終了案件を対象としていたため、 不適合があったとしても、その対策は事後対策 にしかならなかった。
Copyright© ANA Information Systems Plannning Co.,Ltd. All Rights Reserved.
2012/07/27 14
5.内部監査
内部監査の基本的な考え方
ISO9001の良いところの応用
「決められることを確実に実施する」確認は、ISO9001の監査そのものである。
「決まりごとを守る」というあたりまえの事の確認を「遵守性監査」と位置づけ、チェックシートでの確認とし、監査対象を拡大する。
品質をSTEPUPさせるための工夫
プロセスの実施内容の妥当性を検証する(なぜそれで良かったのか)
プロジェクト内レビューに有識者は参加していたのか・・・・
レビューに時間をかけたのか・・・・・・
指摘事項は出ていたのか・・・・・・・
成果物の内容を確認する
スタンダード適合確認
開発中であっても品質向上を狙う
プロセスの有効性を確認するための「有効性監査」と位置づけ、CPレビュアーが対面で実施する。
Copyright© ANA Information Systems Plannning Co.,Ltd. All Rights Reserved.
2012/07/27 15
5.内部監査
遵守状況を確認する監査(従来のISO9001監査を踏襲)
~品質・標準化監理プロセス推進規程の遵守状況を確認する~
各部の“品質管理委員”が自部門の監査を行う → 品質管理委員による内部監査
対象プロジェクトは内部監査事務局が選定する(システム開発・エンハンス業務を持つ全チームを対象とする)
品質監理室が作成する“内部監査チェックリスト(遵守状況確認版)”を使用して、対面式で実施する
回答者(監査対象プロジェクトのPM)がチェックリストに記入し、文書/記録などを準備する
確認者(品質管理委員)と回答者が対面形式で、チェックリストと文書/記録を確認する
監査時に内部監査事務局が立ち会う(全件ではなくスケジュールに合わせて選択して立ち会う)
品質管理委員は監査結果に基づき、改善の要否を検討する
内部監査事務局は、監査結果に従って改善指示を行う また、内部監査事務局が必要と判断した場合も品質管理委員と協議の上で改善指示を行う
Copyright© ANA Information Systems Plannning Co.,Ltd. All Rights Reserved.
2012/07/27 16
5.内部監査
有効性を確認する監査(形式だけではない監査の施策)
~プロセスの遵守だけでなく、意図した結果を出したかを監査する~
内部監査員教育(新設)を受講した資格者が他部門の監査を行う → 内部監査員による内部監査
2011年度は品質監理室のCPレビューアーが内部監査員を務める
対象プロジェクトは内部監査事務局が、遵守状況を確認する監査の結果を考慮して選定する
品質監理室が作成する“内部監査チェックリスト(有効性確認版)”を使用して、対面式で実施する
内部監査員は監査結果に基づき、改善の要否を検討する
内部監査事務局は、監査結果に従って改善指示を行う また、内部監査事務局が必要と判断した場合も内部監査員と協議の上で改善指示を行う
Copyright© ANA Information Systems Plannning Co.,Ltd. All Rights Reserved.
2012/07/27 17
5.内部監査
Copyright© ANA Information Systems Plannning Co.,Ltd. All Rights Reserved.
2012/07/27 18
管理責任者
担当役員/品質監理室長
内部監査事務局
品質監理室
遵守状況監査
品質管理委員
有効性監査
内部監査員
ASP各部門 (システム開発・エンハンス業務を持つ全チーム) 遵守状況を確認する監査結果から
内部監査事務局が選択したチーム
5.内部監査
改善活動
価値機軸の変更
ISO9001の認証を継続するための監査 → 改善のための監査
不適合を出さない(出したくない)監査 → 課題を発見するための監査(改善による品質向上)
Copyright© ANA Information Systems Plannning Co.,Ltd. All Rights Reserved.
2012/07/27 19
品監室
各部
遵守状況確認 チェックリスト
有効性監査 報告書
開発業務内部監査結果に基づく改善計画
・品質監理室からの報告 ・各部内での共有
・各部で作成する ・品質監理室と共有
各部の改善活動
定期的なモニタリング、有効策の部門間共有など
・各部の改善活動を品質監理室でモニタリングし、 有効な改善策を、品質管理委員会などを通じて 共有する
5.内部監査
2011年度内部監査データ および 効果
遵守性監査対象案件 37案件(37プロジェクト) ※全部署全チーム
遵守率 平均77% 100%の案件は12案件
有効性監査対象案件 10案件(10プロジェクト)
大障害は減少傾向にある。
Copyright© ANA Information Systems Plannning Co.,Ltd. All Rights Reserved.
2012/07/27 20
0 1 2 3 4 5 6
レビューチェックシートの改善
部門内チーム内共有(改善、ノウハウなど)
プロジェクト責任者のレビュー参加
協力会社管理(コミュニケーション、管理上の工夫など)
プロジェクト管理計画(記述内容、周知、共有、)
0 1 2 3 4 5 6 7
顧客との要件確認、承認の証憑、等々、、
指標(テスト、レビュー)
PMの役割について
協力会社管理(コミュニケーション、管理計画など)
プロジェクト管理計画(記述内容、共有)
よかった点(有効性が確認できた、プロジェクト数) 改善したほうがいい点(改善点摘出・アドバイスを行った、プロジェクト数)
6.外部監査
外部監査
過去(ISO9001)
開発案件について、品質マニュアルどおりに実施されているかを監査。
内部監査と同じ内容
監査人が「内部」か「外部」の違いだけ・・・・
現在(2011年度~)
品質マネージメントシステムに関わる妥当性、有効性の確認
品質・標準化プロセス推進規程に記述されている、品質活動が機能しているかを、外部監査機関が監査
品質監理室、運用統括部の業務が効果的かどうかの監査
内部監査とは監査内容が異なる
Copyright© ANA Information Systems Plannning Co.,Ltd. All Rights Reserved.
2012/07/27 21
6.外部監査
外部監査対象プロセス
Copyright© ANA Information Systems Plannning Co.,Ltd. All Rights Reserved.
2012/07/27 22
セミナー当日ご紹介します。 ※外部監査対象について説明します。
6.外部監査
監査概要
品質マネージメントシステムに関わる妥当性、有効性の確認 品質標準化監理プロセス推進規程に定められた遵守項目の有効性確認(ISOの文書審査に相当)システム開発・エンハンス業務における遵守規程の監査を行う
内部監査(遵守状況監査/有効性監査)自体に関わる妥当性、有効性の確認 内部監査そのものが有効であるかどうかを監査する。
外部監査結果からのフィードバック(例)
外部監査結果を元に、次年度の活動計画として取り込む。
Copyright© ANA Information Systems Plannning Co.,Ltd. All Rights Reserved.
2012/07/27 23
項目 外部監査員の発見事項要旨 外部監査員の想定するリスク ASPの対応方針
②-1 『開発業務内部監査実施結果報告書』では、「監査結果」を「1.良かったところ」と「2.改善したほうがよいところ」に分け、概要被監査部門の活動についてできている点も明記する仕組みとなっている。 しかし、”改善したほうがよいところ”の記載では、「WBSの作成レベルが細かすぎる」という現状に対して「WBSの見直しを検討する」といった指摘となっており、被監査部門が実施すべき改善策が明確に示されていません。
改善策の記載が抽象的である場合、被監査部門が対応すべき改善が実行されない、または不足する恐れがある。
優先度:中 各部が作成する内部監査改善計画については、品質監理室の監査員がフォローを行い改善策を確認した。また各部が行う改善計画の実施においては、品質監理室がモニタリングを行い活動状況を確認する。 また、次年度の内部監査を行う際には、監査結果をより具体的に指摘するよう内部監査実施要領書(または内部監査計画書)を2012年度上期に改訂する。
6.今後にむけて
外部審査、内部監査、外部監査の改善について、計画品質は向上しているようだが・・・・・・・
やはり、開発途中で、「品質の低下」「コスト増」「スケジュール遅延」がなくなったわけではない・・・・・。
どうやら、計画を推進する場面に問題がありそうだ・・・・。
開発プロセス監査(仮)
プロジェクト推進に関して審査を行い、改善策を打つ。
予兆を発見し、問題を回避する。
計画中です・・・
Copyright© ANA Information Systems Plannning Co.,Ltd. All Rights Reserved.
2012/07/27 24
ご清聴ありがとうございました。
Copyright© ANA Information Systems Plannning Co.,Ltd. All Rights Reserved.
2012/07/27 25