情報処理システム、情報処理方法、及び情報処理プログラム
【課題】複数の企業間で、各企業個別の情報は漏洩することなく、各企業個別の情報から得られる基準となる情報は共有する。
【解決手段】情報処理システムは、全利用者が利用可能な共通記憶領域と、各企業に割り当てられる、アクセスが各企業のユーザ端末に制限された個別記憶領域と、を提供する記憶手段と、各企業の個別記憶領域内に格納される、各部門のポイントを保持する部門ポイント記憶手段と、各企業について、第1の演算処理を行うことによって、各個別記憶領域内の部門ポイント記憶手段に保持される各部門のポイントから企業ポイントを算出し、各企業の個別記憶領域に格納する企業ポイント算出手段と、各個別記憶領域から各企業の企業ポイントを読み出し、第2の演算処理を行うことによって各企業の企業ポイントから情報処理システムにおける基準ポイントを算出し、基準ポイントを前記共通記憶領域に格納する基準ポイント算出手段と、を備える。
【解決手段】情報処理システムは、全利用者が利用可能な共通記憶領域と、各企業に割り当てられる、アクセスが各企業のユーザ端末に制限された個別記憶領域と、を提供する記憶手段と、各企業の個別記憶領域内に格納される、各部門のポイントを保持する部門ポイント記憶手段と、各企業について、第1の演算処理を行うことによって、各個別記憶領域内の部門ポイント記憶手段に保持される各部門のポイントから企業ポイントを算出し、各企業の個別記憶領域に格納する企業ポイント算出手段と、各個別記憶領域から各企業の企業ポイントを読み出し、第2の演算処理を行うことによって各企業の企業ポイントから情報処理システムにおける基準ポイントを算出し、基準ポイントを前記共通記憶領域に格納する基準ポイント算出手段と、を備える。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、複数の企業に関する情報を取り扱う情報処理システムに関する。
【背景技術】
【0002】
企業などの組織では、個人情報保護法や金融商品取引法などの遵守や認証規格の維持のために、複数のマネジメントシステムが構築及び運用されている。マネジメントシステムには、例えば、品質マネジメントシステムであるISO(International Organization for Standard:国際標準機構)9000、環境マネジメントシステムであるISO 14
001,情報セキュリティマネジメントシステムであるISO 27001,ITサービスマネジメントシステムであるISO 20000がある。これらのマネジメントシステムは、複数の企業によって利用されることが有る。この場合、マネジメントシステムでは、マネジメントシステムを利用する複数の企業の情報を扱うことができる。
【0003】
また、マネジメントシステムでは、各企業において、各部門のリスク管理について点数化し、全社の平均点と各部門の点数とを比較するなどして、リスク分析が行われていた。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開2005−148985号公報
【特許文献2】特開2003−345974号公報
【特許文献3】特開2008−084020号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
しかしながら、マネジメントシステムでは、複数の企業の情報を扱えるにもかかわらず、セキュリティの問題から、リスク分析の結果は企業内でのみ公開され、企業間でのリスク分析の結果の参照が行えなかった。
【0006】
本発明では、複数の企業間で、各企業個別の情報は漏洩することなく、各企業個別の情報から得られる基準となる情報を共有可能な情報処理システムを提供することを課題とする。
【課題を解決するための手段】
【0007】
本発明は、上記課題を解決するために、情報処理システムに以下の手段を備えることとした。すなわち、本発明の態様の一つである情報処理システムは、
全利用者が利用可能な共通記憶領域と、複数の企業のそれぞれに対して割り当てられる、アクセスが各企業のユーザ端末に制限された個別記憶領域と、を提供する記憶手段と、
前記各企業の個別記憶領域内に格納され、各部門のポイントを保持する部門ポイント記憶手段と、
前記各企業について、第1の演算処理を行うことによって、各個別記憶領域内の前記部門ポイント記憶手段に保持される各部門のポイントから企業ポイントを算出し、算出した企業ポイントを各企業の個別記憶領域に格納する企業ポイント算出手段と、
各個別記憶領域から各企業の企業ポイントを読み出し、第2の演算処理を行うことによって前記各企業の企業ポイントから前記情報処理システムにおける基準ポイントを算出し、前記基準ポイントを前記共通記憶領域に格納する基準ポイント算出手段と、を備える。
【0008】
更に、本発明は、態様の一つとして、方法、又はコンピュータによって実行されるプロ
グラムとしても把握することが可能である。また、本発明の態様の一つは、そのようなプログラムをコンピュータその他の装置、機械等が読み取り可能な記録媒体に記録したものでもよい。ここで、コンピュータ等が読み取り可能な記録媒体とは、データやプログラム等の情報を電気的、磁気的、光学的、機械的、または化学的作用によって蓄積し、コンピュータ等から読み取ることができる記録媒体をいう。
【発明の効果】
【0009】
本発明によれば、複数の企業間で、各企業個別の情報は漏洩することなく、各企業個別の情報から得られる基準となる情報を共有可能な情報処理システムを提供することができる。
【図面の簡単な説明】
【0010】
【図1】第1実施形態における統合マネジメントシステムの概要を説明するための図である。
【図2】統合マネジメントシステムの構成例を示す図である。
【図3】情報処理装置のハードウェア構成の例を示す図である。
【図4】統合マネジメントシステムの機能ブロックの例を示す図である。
【図5】共通マネジメント部の機能ブロックの例を示す図である。
【図6】ISMSマネジメント部の機能ブロックの例を示す図である。
【図7】PMSマネジメント部の機能ブロックの例を示す図である。
【図8】ユーザ情報テーブルの例を示す図である。
【図9】ワークフローテーブルの例を示す図である。
【図10】インシデントテーブルの例を示す図である。
【図11】お知らせテーブルの例を示す図である。
【図12】ToDOテーブルの例を示す図である。
【図13】企業情報テーブルの例を示す図である。
【図14】コードマスタの例を示す図である。
【図15】ログインテーブルの例を示す図である。
【図16A】ログイン時の処理のフローを示す図である。
【図16B】ログイン時の処理のフローを示す図である。
【図16C】セッション情報の例である。
【図17A】承認依頼のワークフローに係る処理のフローの例を示す図である。
【図17B】承認者選択画面の例である。
【図18】持ち出し管理処理のフローの例を示す図である。
【図19】持ち出し申請の入力画面の例を示す。
【図20】承認待ちの状態の持ち出し申請を含む持ち出し一覧画面の例である。
【図21】承認済みの状態の持ち出し申請を含む持ち出し一覧画面の例である。
【図22】持ち帰り報告画面の例である。
【図23A】紛失報告画面の例である。
【図23B】「紛失」の状態の持ち出し申請を含む持ち出し一覧画面の例である。
【図24】インシデント起票画面の例である。
【図25】インシデント管理処理のフローの例を示す図である。
【図26】インシデント確認処理のフローの例と、重点項目インシデント区分テーブルの例と、重点項目テーブルの例とを示す図である。
【図27】インシデントの確認画面の例である。
【図28】業務プロジェクトチームや本部等の小規模なグループ単位で行われる是正予防管理処理のフローの例を示す図である。
【図29】部門長のユーザ端末における、是正予防の起票内容の確認画面の例である。
【図30】セルフチェック処理のフローの例を示す図である。
【図31】統合マネジメントシステムのソフトウェアパッケージの例を示す図である。
【図32】第2実施形態における統合マネジメントシステムの機能構成の例を示す図である。
【図33】リスク分析の質問項目に対する回答の入力画面の例である。
【図34】図33に示される例における、選択肢のポイントを設定する選択肢テーブルの例を示す図である。
【図35】ベンチマーク集計手段の機能ブロックの例を示す図である。
【図36】ベンチマーク表示手段に含まれる機能ブロックの例である。
【図37A】各企業のスキーマに格納されるデータの例を示す図である。
【図37B】部門情報テーブルの例である。
【図37C】環境設定マスタの例である。
【図37D】資産テーブルの例である。
【図37E】管理策マスタの例である。
【図37F】リスク分析データテーブルの例である。
【図37G】単独集計テーブルの例である。
【図38A】パブリックスキーマに格納されるデータの例である。
【図38B】企業テーブルの例である。
【図38C】全体集計テーブルの例である。
【図38D】業種別集計テーブルの例である。
【図38E】規模別集計テーブルの例である。
【図38F】部門別集計テーブルの例である。
【図39】ベンチマーク集計手段によって実行される処理のフローの例を示す図である。
【図40】ベンチマーク表示手段によって実行される処理のフローの例を示す図である。
【発明を実施するための形態】
【0011】
以下、図面に基づいて、本発明の実施の形態を説明する。以下の実施形態の構成は例示であり、本発明は実施形態の構成に限定されない。
【0012】
<第1実施形態>
第1実施形態では、情報セキュリティマネジメントシステム(Information Security Management System:以下、ISMS)と個人情報保護マネジメントシステム(Personal information protection Management System:以下、PMS)とを統合した統合マネジメ
ントシステムについて説明する。ただし、ISMSとPMSと統合する統合マネジメントは一つの例にすぎず、本開示における統合マネジメントシステムは、あらゆるマネジメントシステムの統合に適用することができる。
【0013】
図1は、第1実施形態における統合マネジメントシステム1の概要を説明するための図である。統合マネジメントシステムには、ネットワーク上に構築されており、ネットワークを通じてアクセス可能である。統合マネジメントシステム1は、大別すると、ISMS固有の機能(ISMS機能),PMS固有の機能(PMS機能),ISMSとPMSとで共通の機能(共通マネジメント機能),管理機能を有する。
【0014】
統合マネジメントシステム1には、例えば、以下のような利点がある。ネットワークを通じて統合マネジメントシステム1へのアクセスが可能となる。そのため、例えば、遠隔地から担当者がデータ入力することができる。また、例えば、承認事案が発生した場合に、直接承認者に書類を持って行くことなく、ネットワーク経由で承認依頼、承認処理を行うことができる。例えば、認証規格の審査機関がネットワーク経由で審査することができ
、審査機関の担当者が現地に赴く手間が省ける。
【0015】
ISMSとPMSとで重複する機能は、共通化される。そのため、重複して行われていた作業や活動が一本化され、手間が省かれる。
【0016】
ISMSとPMSとで共通のインタフェースが統合マネジメントシステム1によって提供される。そのため、マネジメントシステムごとに異なるデータファイルに対して処理を行うことなく、統合マネジメントシステム1によって提供されるインタフェース(Webページ)にアクセスするだけでよく、工数を省くことができる。また、統合マネジメントシステム1によって提供されるインタフェース(Webページ)から入力されたデータは、統合マネジメントシステム1が保持するデータベース(記録DB)に記録されるため、証跡(証拠)を残すことができる。この証跡は、ネットワーク経由でいつでもどこからでもアクセスすることができる。
【0017】
以上のように、統合マネジメントシステム1によって、ISMSとPMSとに係る処理を効率化することができ、運用コストを低減することができる。
【0018】
図2は、統合マネジメントシステム1の構成例を示す図である。統合マネジメントシステム1は、DMZ(DeMilitarized Zone:非武装地帯)に設置されたWebサーバ2と、セキュアなネットワーク内に設置されたアプリケーションサーバ3とデータベースサーバ4とを含む。ユーザ端末は、インターネットを通じて統合マネジメントシステム1にアクセスする。この際、ユーザ端末は、Webサーバ2にアクセスし、Webサーバ2を介してアプリケーションサーバ3及びデータベースサーバ4による統合マネジメントシステム1のサービスを享受する。すなわち、Webサーバ2は、Webアクセスにより、ユーザ端末に統合マネジメントシステム1のインタフェースを提供する。
【0019】
なお、図2に示される例は、統合マネジメントシステム1を構成するハードウェア装置がインターネット上に設置されている場合が想定されている。ただし、これに限られず、統合マネジメントシステム1が、例えば、社内LAN等の私設のネットワーク内に構築されていてもよく、この場合には、Webサーバ2,アプリケーションサーバ3,データベースサーバ4,ユーザ端末は互いにLANで接続される。また、Webサーバ2,アプリケーションサーバ3,データベースサーバ4は、それぞれ1台ずつであってもよい。第1実施形態では、Webサーバ2、アプリケーションサーバ3,データベースサーバ4がそれぞれ複数台設置された、いわゆるクラウド上で統合マネジメントシステムが実現される例について説明する。また、統合マネジメントを利用する組織は、企業であることを想定して説明する。
【0020】
図3は、情報処理装置のハードウェア構成の例を示す図である。図3に示される情報処理装置500は、例えば、図2に示されるWebサーバ2,アプリケーションサーバ3,データベースサーバ4として採用される装置である。
【0021】
情報処理装置500は、制御部51,入力装置53,出力装置54,補助記憶装置55,媒体駆動装置56,ネットワークインタフェース57を備え、これらのハードウェア構成要素はバス59で接続されている。情報処理装置500は、例えば、サーバ専用のコンピュータ,汎用のコンピュータ等である。また、情報処理装置500は、ユーザ端末としても採用可能である。情報処理端末500がユーザ端末として採用される場合には、情報処理装置は、パーソナルコンピュータ(PC)、PDA(Personal Digital Assistant),携帯電話端末,スマートフォン等である。
【0022】
入力装置53は、外部からの入力を受け付ける装置である。入力装置53は、例えば、
キーボード,スキャナ等を含む。入力装置53に入力されたデータは、制御部51に出力される。
【0023】
ネットワークインタフェース57は、ネットワークとの情報の入出力を行うインタフェースである。ネットワークインタフェース57は、有線のネットワーク、および、無線のネットワークと接続する。ネットワークインタフェース57は、例えば、NIC(Network Interface Card),無線LAN(Local Area Network)カード等である。ネットワークインタフェース57は、接続されるネットワークからパケット等のデータブロックを受信する。ネットワークインタフェース57で受信されたデータブロックは、制御部51に出力される。
【0024】
制御部51は、プロセッサ51aと主記憶装置51bとを含む。主記憶装置51bは、
補助記憶装置55に格納されているプログラムをロードする記憶領域および作業領域をプロセッサ51aに提供したり、バッファとして用いられたりする。主記憶装置51bは、例えば、RAM(Random Access Memory)のような半導体メモリである。
【0025】
補助記憶装置55は、様々なプログラムや、各プログラムの実行に際してプロセッサ51aが使用するデータを格納する。補助記憶装置55は、例えば、EPROM(Erasable
Programmable ROM)やハードディスクドライブ(Hard Disc Drive)を含む。補助記憶装置55は、例えば、オペレーティングシステム(OS)や、その他様々なアプリケーションプログラムを保持する。
【0026】
プロセッサ51aは、例えば、CPU(Central Processing Unit)や、DSP(Digital Signal Processor)である。プロセッサ51aは、補助記憶装置55に保持されたO
Sや様々なアプリケーションプログラムを主記憶装置51bにロードして実行することによって、様々な処理を実行する。
【0027】
媒体駆動装置56は、可搬記録媒体60からデータを読み出し制御部51に出力する。可搬記録媒体60は、例えば、USB(Universal Serial Bus),フラッシュメモリ,CD(Compact Disc),又はDVD(Digital Versatile Disc)のような記録媒体である。
【0028】
出力装置54は、制御部51の処理の結果を出力する。出力装置54は、例えば、ディスプレイ,プリンタ等を含む。
【0029】
図4は、統合マネジメントシステム1の機能ブロックの例を示す図である。統合マネジメントシステム1は、入力受付手段11,ログイン手段12,処理振分手段13,出力手段14,共通モジュール15,ワークフロー処理手段16,共通マネジメント部17,ISMSマネジメント部18,PMSマネジメント部19を含む。これらの機能ブロックは、例えば、アプリケーションサーバ3の機能ブロックであってもよい。または、入力受付手段11,ログイン手段12,処理振分手段13,出力手段14はWebサーバ2の機能ブロック,その他の機能ブロックはアプリケーションサーバ3の機能ブロックであってもよい。
【0030】
統合マネジメントシステム1は、データベース20を含む。データベース20は、1台または複数のデータベースサーバ4が保持する記憶装置内に形成される。
【0031】
入力受付手段11は、ユーザ端末からのWebアクセスを終端する。ログイン手段12は、アクセスしてきたユーザ端末のユーザの認証を行う。ログインに係る処理については、後述する。処理振分手段13は、ログイン手段12によって認証されたユーザ端末に対して統合マネジメントシステム1のトップページを提供する。
【0032】
ISMSマネジメント部18は、ISMS固有のマネジメントを実行する機能ブロック群である。PMSマネジメント部19は、PMS固有のマネジメントを実行する機能ブロック群である。共通マネジメント部17は、ISMSとPMSとで共通するマネジメントを実行する機能ブロック群である。これらの機能ブロック群については、後述する。
【0033】
ワークフロー処理手段16は、共通マネジメント部17,ISMSマネジメント部18,PMSマネジメント部19によって発行される種々のワークフローを実行する。
【0034】
共通モジュール15は、ワークフロー処理手段16によるワークフローの実行によって、ユーザに通知するイベントが発生した場合に、トップページにおいて該イベントを通知するモジュールを備える。共通モジュール15は、お知らせ処理手段151と、ToDO処理手段152とを含む。お知らせ処理手段151は、ユーザに対するお知らせをトップページの「お知らせ欄」に配する処理を実行する。ユーザに対して通知されるお知らせは、例えば、イベント完了や、ユーザ端末が使用する統合マネジメントシステム1のソフトウェアの更新等がある。ToDO処理手段152は、各ユーザに対して、実行しなければならない処理をトップページの「ToDO欄」に配する処理を実行する。
【0035】
データベース20内には、パブリックスキーマ22と各企業のスキーマ21とが構築される。パブリックスキーマ22は、統合マネジメントシステム1を利用する全企業の全ユーザ端末が利用可能な(アクセス制限のない)記憶領域である。各企業のスキーマ21は、各企業に専用に割り当てられた、その企業のユーザ端末のみがアクセス可能な記憶領域である。
【0036】
各企業のスキーマ21には、他の企業からのアクセスを制限するため、ユーザ情報テーブル211,ワークフローテーブル212,インシデントテーブル,お知らせテーブル213,ToDOテーブル214が保持される。
【0037】
ユーザ情報テーブル211には、統合マネジメントシステム1のユーザに関する情報が保持される。ワークフローテーブル212には、共通マネジメント部17,ISMSマネジメント部18,PMSマネジメント部19において発行されたワークフローに関する情報が保持される。お知らせテーブル213には、お知らせ処理手段151によってトップページに配されるお知らせに関する情報が保持される。ToDOテーブル214には、ToDO処理手段152によってトップページの「ToDO欄」に配される処理に関する情報が保持される。これらのテーブルの詳細は後述する。
【0038】
パブリックスキーマ22には、統合マネジメントシステム1を利用する全企業がアクセスできる必要がある、企業情報テーブル221,コードマスタ222,ログインテーブル223が保持される。パブリックスキーマ22に格納される情報は、統合システム1を利用する各企業のユーザからアクセスされるため、セキュリティ強化のため、各企業やユーザを特定可能な情報(例えば、企業名,業種,規模,ユーザ名等の固有名詞)は、コードマスタ222等によりコード化されている。
【0039】
企業情報テーブル221には、統合マネジメントシステム1を利用する企業に関する情報が保持される。コードマスタ222には、企業の規模や業種の分類を示すコードが保持される。ログインテーブル223には、ログイン時に使用されるユーザと企業との対応付けが保持される。これらのテーブルの詳細は、後述する。
【0040】
図5は、共通マネジメント部17の機能ブロックの例を示す図である。共通マネジメント部17は、規定管理手段171,インシデント管理手段172,是正予防管理手段17
3,内部監査支援手段174,記録管理手段175,セルフチェック手段176,教育手段177を含む。
【0041】
規定管理手段171は、各マネジメントシステムの規定を定めるまでの承認フローと、公開された規定を参照する処理を実行する。インシデント管理手段172は、インシデントが発生した際の報告と、この報告を承認するためのフローを実行する。インシデントとは、例えば、社内からのPCの持ち出し、備品の紛失、データ流出等の統合マネジメントシステム1において管理される資産(情報資産含む)に関して発生する事象である。是正予防管理手段173は、マネジメントを是正するための、又は、インシデントを予防するための計画立案と承認のフローを実行する。内部監査支援手段174は、内部監査の各項目をチェックするためのフローを実行する。記録管理手段175は、統合マネジメントシステム1の各処理手段では管理されない証跡を統合マネジメントシステム1内に形成される記録データベース(図示せず)内に保存する処理と、この証跡を参照する処理とを実行する。記録データベース内に保存される証跡には、例えば、紙媒体での管理簿を電子データ化したもの等が含まれる。セルフチェック手段176は、ISMSやPMSなど統合マネジメントシステム1に含まれるマネジメントシステムの遵守事項をユーザに確認するセルフチェックのフローを実行する。教育手段177は、ISMSやPMSに関する知識の教育を促進するフローを実行する。
【0042】
図6は、ISMSマネジメント部18の機能ブロックの例を示す図である。ISMSマネジメント部18は、情報資産管理手段181,情報資産リスク分析手段182,持ち出し管理手段183,有効性測定手段184,インシデント・是正予防起票手段185を含む。
【0043】
情報資産管理手段181は、情報資産を管理する。情報資産とは、社内の備品などの物品や、人事情報や財務情報などの機密性の高い情報である。情報資産リスク分析手段182は、情報資産の漏えい、紛失等のリスク分析を実行する。持ち出し管理手段183は、情報資産の外部への持ち出しを管理する。有効性測定手段184は、ISMSの有効性を測定する。インシデント・是正予防起票手段185は、例えば、インシデント発生の報告やISMSの是正予防の起票を行う。
【0044】
図7は、PMSマネジメント部19の機能ブロックの例を示す図である。PMSマネジメント部19は、個人情報保護管理手段191,苦情管理手段192,個人情報開示・訂正・利用停止管理手段193,委託先管理手段194,個人情報リスク分析手段195,インシデント・是正予防起票手段196を含む。
【0045】
個人情報保護管理手段191は、顧客の個人情報を管理する。苦情管理手段192は、統合マネジメントシステム1を利用する企業に対する苦情を管理する。個人情報開示・訂正・利用停止管理手段193は、個人情報の開示、訂正、利用停止を管理する。委託先管理手段194は、例えば、個人情報を扱う業務の業務委託先に関する情報を管理する。個人情報リスク分析手段195は、個人情報の漏えい、紛失等のリスク分析を実行する。インシデント・是正予防起票手段196は、例えば、インシデント発生の報告やPMSの是正予防の提案を行うための起票を行う。
【0046】
図5,図6,図7に示される機能ブロック図は、一例であり、各マネジメント部では、選択的に必要な機能ブロックを保持することができる。
【0047】
図8は、ユーザ情報テーブル211の例を示す図である。ユーザ情報テーブル211は、各企業のスキーマ21に保持されている。ユーザ情報テーブル211は、企業ごとに作成される。ユーザ情報テーブル211は、エントリとして、メールアドレス,ユーザ名,
ログインパスワード,要員番号,部門コード,権限,氏名等の情報を保持する。ユーザ情報テーブル211は、ユーザの新規追加,削除,または、ユーザの部門移動等による登録内容の変化に伴って統合マネジメントシステム1を利用する各企業の管理者によって更新される。
【0048】
図9は、ワークフローテーブル212の例を示す図である。ワークフローテーブル212は、各企業のスキーマ21に保持されている。ワークフローテーブル212は、企業ごとに作成される。ワークフローテーブル212は、ワークフロー処理手段16によって管理(登録,更新,削除等)されている。ワークフローテーブル212のエントリは、ワークフロー処理手段16がワークフローの発行を受け付けると作成される。ワークフローテーブル212のエントリは、項目に、ワークフローID,ワークフロー処理区分,処理番号,依頼元要員番号,依頼先要員番号,依頼日,承認結果,承認日,コメント等を含む。
【0049】
ワークフローテーブル212のエントリの、「ワークフローID」,ワークフロー処理区分」,「処理番号」,「依頼元要員番号」,「依頼日」は、エントリ作成時にワークフロー処理手段16によって自動入力される。「ワークフローID」は、エントリ登録時点で使用されていない番号が付される。「ワークフロー処理区分」には、ワークフローが発行された処理が登録される。例えば、「ワークフロー処理区分」が「インシデント」である場合には、該ワークフローがインシデント管理処理(後述)において発行されたことが示される。「処理番号」は、インシデントテーブルにおいて用いられる番号である(後述)。「依頼元要員番号」には、例えば、起票者の要員番号が格納される。「依頼日」には、ワークフローが発行された日時が格納される。「承認結果」と「承認日」は、初期状態では空であり、ワークフローが終了するとそれぞれワークフロー処理手段16によって値が格納される。
【0050】
図10は、インシデントテーブルの例を示す図である。インシデントテーブルは、ワークフローテーブル212とともに、各企業のスキーマ21に保持されている。インシデントテーブルは、企業ごとに作成されている。インシデントテーブルは、共通マネジメント部17のインシデント管理手段172によって管理(登録,更新,削除等)されている。インシデントテーブルのエントリは、インシデント管理手段172がインシデントの起票を受け付けると生成される。インシデントテーブルのエントリは、項目に、処理番号,インシデント区分,インシデントデータ,内容,状況,承認状況等を含む。
【0051】
インシデントテーブルのエントリの、「処理番号」は、インシデント管理手段172によってエントリ作成時に自動入力される。「インシデント区分」,「インシデントデータ」,「内容」,「状況」は、インシデントの起票画面において、ユーザから入力された値が格納される。「インシデント区分」には、インシデントの種類が格納される。インシデントの種類には、例えば、「紛失・盗難」,「ウイルス感染」等がある。「承認状況」には、状況に応じて、例えば、「承認待ち」,「承認済み」が格納される。
【0052】
ワークフローテーブル212のエントリとインシデントテーブルのエントリとは、「処理番号」によって対応付けられている。ワークフローテーブル212とインシデントテーブルとのエントリは、例えば、月単位、年単位で所定期間保持される。
【0053】
図11は、お知らせテーブル213の例を示す図である。お知らせテーブル213は、企業ごとに作成される。お知らせテーブル213は、各企業のスキーマ21に保持されており、各ユーザのトップ画面の「お知らせ欄」に配される情報である。お知らせテーブル213は、エントリの項目に、発生元の要員番号,発生日,終了日,お知らせ内容等を含む。お知らせテーブル213のエントリは、例えば、所定のワークフローによって新規に作成され、エントリの「終了日」になった場合に削除される。
【0054】
図12は、ToDOテーブル214の例を示す図である。ToDOテーブル214は、各企業のスキーマ21に保持されており、各ユーザのトップ画面の「ToDO欄」に配される情報である。ToDOテーブル214は、企業ごとに作成される。ToDOテーブル214は、エントリの項目に、処理区分,依頼先要員番号,ワークフローID,発生日,期限,依頼内容等を含む。「処理区分」には、エントリを作成したワークフローの種類が格納される。例えば、「処理区分」には、「承認」や「インシデント対処」等が格納される。「ワークフローID」は、ワークフローテーブル212の「ワークフローID」と対応しており、ToDOテーブル214のエントリを生成したワークフローのIDが格納される。ToDOテーブル214のエントリは、所定のワークフローによって新規に作成される。
【0055】
図13は、企業情報テーブル221の例を示す図である。企業情報テーブル221は、パブリックスキーマ22に保持される。企業情報テーブル221は、統合マネジメントシステム1で1つ作成される。企業情報テーブル221は、エントリの項目に、企業コード,サーバ名,ポート番号,スキーマ名,業種,規模,利用できるサービス,契約ユーザ数,使用可能ディスク容量等を含む。「企業コード」は、統合マネジメントシステム1の管理者によって付された企業を識別するためのコードである。「サーバ名」と「ポート番号」とは、企業に割り当てられたデータベースサーバ名とポート番号である。スキーマとは、データベースサーバの記憶装置内に作成される所定容量の記憶領域である。「スキーマ名」には、企業に割り当てられたスキーマ21の名前が格納される。サーバ名とポート番号とスキーマ名とで、エントリの企業に割り当てられた記憶領域を特定することができる。「業種」と「規模」には、後述のコードマスタ222に保持されるコードのうち、エントリの企業の業種と規模とに合致するコードが格納される。
【0056】
図14は、コードマスタ222の例を示す図である。コードマスタ222は、パブリックスキーマ22に保持される。コードマスタ222は、統合マネジメントシステム1に1つ作成される。コードマスタ222には、規模、業種に対するコードなどが格納されている。例えば、図14に示される例では、大手の企業の規模のコードは、「1」となる。業種が農業の企業の業種のコードは、「A」となる。
【0057】
図15は、ログインテーブル223の例を示す図である。ログインテーブル223は、パブリックスキーマ22に保持される。ログインテーブル223は、統合マネジメントシステム1で1つ作成される。ログインテーブル223は、エントリの項目に、メールアドレスと企業コードとを含む。ログインテーブル223は、ログイン時に、ユーザが属する企業を判別するためのテーブルである。
【0058】
なお、図8〜図15に示されるテーブルは、それぞれ一例であって、これに限られない。各テーブルは、統合マネジメントシステム1の設計に応じて、エントリ項目等を適宜変更可能である。また、図8〜図15に示される例では、統合マネジメントシステム1におけるユーザの識別子としてメールアドレスを用いているが、これに限られず、一意にユーザを特定できる情報であればよい。
【0059】
<動作例>
以下、統合マネジメントシステム1において実行される処理のうち、いくつかの処理を例に挙げて説明する。
(ログイン処理)
図16A及び図16Bは、ログイン時の処理のフローを示す図である。図16A及び図16Bのフローは、ユーザ端末が統合マネジメントシステム1にアクセスすると開始される。以下、フローについての説明では、機能ブロックを主体として説明するが、実際には
、各機能ブロックを有する装置のプロセッサ51aが実行している。
【0060】
OP1では、入力受付手段11が、アクセスしてきたユーザ端末に対してログイン画面を提供する。ユーザ端末では、ディスプレイにログイン画面が表示される。
【0061】
OP2では、ユーザ端末にメールアドレスとパスワードとが入力されると、入力受付手段11がメールアドレスとパスワードとに入力を受け付ける。メールアドレスとパスワードとは、ログイン手段12に送信される。
【0062】
OP3では、ログイン手段12は、パブリックスキーマ22に保持されるログインテーブル223から、入力されたメールアドレスに対応する企業コードを読み出して取得する。
【0063】
OP4では、ログイン手段12は、パブリックスキーマ22に保持される企業情報テーブル221から、OP3で取得した企業コードに対応するサーバ名,ポート番号,スキーマ名を読み出して取得する。
【0064】
OP5では、ログイン手段12は、OP4で取得した、サーバ名,ポート番号,スキーマ名によって特定される企業のスキーマ21に保持されるユーザ情報テーブル211から、メールアドレスとパスワードを検索する。
【0065】
OP6では、ログイン手段12は、ユーザ情報テーブル211内に、入力されたメールアドレスとパスワードとに一致するエントリがあるか否かを判定する。ユーザ情報テーブル211内に、入力されたメールアドレスとパスワードとに一致するエントリがある場合には(OP6:Yes)、処理がOP8に進む。ユーザ情報テーブル211内に、入力されたメールアドレスとパスワードとに一致するエントリが存在しない場合には(OP6:No)、処理がOP7に進む。
【0066】
OP7では、入力されたメールアドレスとパスワードとに合致するエントリが存在しないため、ログインが失敗する。ログイン手段12は、ログイン失敗を示すエラーメッセージを出力手段14からユーザ端末に送信する。その後、図16Aに示されるフローが終了する。
【0067】
OP8では、ログインが成功したので、ログイン手段12は、ログインしたユーザに応じたトップ画面の作成を開始するため、処理振分手段13を起動する。
【0068】
OP9では、ログイン手段12は、OP4で取得したサーバ名,ポート番号,スキーマ名をログイン手段12を有する情報処理装置500のメモリ内のセッション情報のスキーマ情報(図4)に設定する。さらに、ログイン手段12は、OP4において取得した企業情報テーブル221のエントリの、利用できるサービス等をセッション情報に設定する。セッション情報は、ユーザがログアウトするまでの間、該ユーザのスキーマ情報を保持することによって、各企業のスキーマ21へのアクセス時間を短縮するためのものである。図16Cにセッション情報の例を示す。
【0069】
OP10では、処理振分手段13は、ToDO処理手段152を起動する。ToDO処理手段152は、ToDOテーブル214からユーザのToDOリストを作成し、トップ画面の「ToDO欄」に配置する。ToDOリストは、例えば、ToDOテーブル214から、「依頼先要員番号」がログインしたユーザの要員番号と一致するエントリを抽出して作成される。
【0070】
OP11では、処理振分手段13は、お知らせ処理手段151を起動する。お知らせ処理手段151は、お知らせテーブル213からユーザのお知らせリストを作成し、トップ画面の「お知らせ欄」に配置する。お知らせリストは、例えば、お知らせテーブル213から、「発生元要員番号」がログインしたユーザの要員番号と一致するエントリを抽出して作成される。
【0071】
OP12では、処理振分手段13は、セッション情報を参照して、当該企業が利用できるサービスの種類に応じてメニュー項目を配置する。
【0072】
OP13では、処理振分手段13は、作成したトップ画面を出力手段14からユーザ端末に送信する。ユーザ画面では、作成されたトップ画面が表示される。その後、図16Bに示されるフローが終了する。
【0073】
統合マネジメントシステム1では、ログイン時に使用されるユーザ情報テーブル211をパブリックスキーマ22ではなく、各企業のスキーマ21に配置する。ユーザ情報テーブル211はパスワードなど機密性の高い情報を含んでいるため、他の企業がアクセスできない、各企業のスキーマ21に配置される。すなわち、統合マネジメントシステム1では、機密性の高い情報はパブリックスキーマ22からは隔離して配置されるため、セキュリティが高い。
【0074】
(承認のワークフロー)
統合マネジメントシステム1では、ワークフローが複数用意されている。例えば、各種イベントの承認依頼,インシデントに対する対処依頼,等のワークフローがある。複数のワークフローのうち、代表して承認のワークフローについて説明する。
【0075】
図17Aは、承認依頼のワークフローに係る処理のフローの例を示す図である。図17Aに示されるフローチャートは、ワークフロー処理手段16が承認依頼のワークフローの発行を受け付けると開始される。ワークフローは、共通マネジメント部17,ISMSマネジメント部18,PMSマネジメント部19に含まれる各機能ブロックから発行される。以降、ワークフローを発行する各機能ブロックを単に「発行元」と称する。
【0076】
OP21では、ワークフロー処理手段16は、承認者である依頼先要員番号を取得する。依頼先要員番号は、例えば、ワークフローの発行時に発行元から指定される。発行元では、例えば、ユーザからの承認者の選択によって依頼先要員番号を取得する。ユーザには、例えば、発行元による処理の開始時に、承認者選択画面が提供される。図17Bは、承認者選択画面の例である。承認選択画面においてユーザが承認者を選択することによって、発行元は承認者の要員番号を取得する。
【0077】
OP22では、ワークフロー処理手段16は、ワークフロー処理区分を取得する。ワークフロー処理区分は、例えば、ワークフローの発行時に発行元から指定される。例えば、発行元が共通マネジメント部17のインシデント管理手段172である場合には、ワークフロー処理区分は、「インシデント」となる。ワークフロー処理区分が「インシデント」である場合には、ワークフロー処理手段16は、インシデントテーブルから処理番号を取得する。
【0078】
OP23では、ワークフロー処理手段16は、ワークフローテーブル212の新たなエントリ生成して追加することによって、ワークフローテーブル212に該承認のワークフローを登録する。
【0079】
OP24では、ワークフロー処理手段16は、ToDOテーブル214に書込むための
パラメータ(ToDOパラメータ)を取得する。ToDOパラメータは、ToDOテーブル214の項目として格納される情報である。ワークフロー処理手段16は、例えば、以下のようにして、ToDOパラメータを取得する。ToDOテーブル214の「処理区分」は、実行中のワークフローの種類から得られる。ToDOテーブル214の「依頼先要員番号」は、ワークフローテーブル212の該当エントリの「依頼先要員番号」から取得される。ToDOテーブル214の「ワークフローID」は、ワークフローテーブル212の該当エントリの「ワークフローID」から取得される。ToDOテーブル214の「発生日」には、エントリが登録された日付が登録される。ToDOテーブル214の「期限日」は、「発生日」から予め定められた期間後の日付、又は、発行元を通じてユーザから入力によって指定される日付が登録される。OP25では、ワークフロー処理手段16は、ToDOテーブル214のエントリを新たに生成して追加することによって、承認処理を依頼先のユーザのToDO処理として登録する。
【0080】
OP26では、ワークフロー処理手段16は、OP21で取得した承認者のユーザ端末に対して電子メールを送信する。承認者のメールアドレスは、ユーザ情報テーブル211から取得される。これによって、承認者に承認のToDO処理の発生が通知される。
【0081】
OP27では、承認者であるユーザがトップ画面のToDO欄に表示されたToDOリストの中から承認のToDO処理を選択し、例えば、画面中の承認ボタンをクリックすることによって、承認者による承認処理が実行される。承認者であるユーザによる承認処理の実行は、承認者のユーザ端末から、ワークフローIDと共に、ワークフロー処理手段16に通知される。
【0082】
OP28において、ワークフロー処理手段16は、承認者による承認が完了したので、ワークフローテーブル212のワークフローIDによって特定されるエントリを更新する。例えば、ワークフロー処理手段16は、ワークフローテーブル212の該当エントリの「承認結果」に「承認」を登録する。また、ワークフロー処理手段16は、ワークフローテーブル212の該当エントリの「承認日」に、承認者であるユーザによる承認処理の実行の通知を受け付けた日付を登録する。また、ワークフロー処理手段16は、ToDOテーブル214から、ワークフローIDによって特定される該当エントリを削除する。
【0083】
OP29において、ワークフロー処理手段16は、お知らせテーブル213に、承認の依頼元であるユーザに承認完了を通知するための新規エントリを追加する。お知らせテーブル213に追加されるエントリの「発生元要員番号」には、ワークフローテーブル212の処理対象のワークフローのエントリの「依頼元要員番号」に格納される要員番号が格納される。お知らせテーブル213に追加されるエントリの「発生日」には、お知らせテーブル213にエントリを追加した日付が格納される。お知らせテーブル213に追加されるエントリの「終了日」には、「発生日」から所定の期間後の日時が格納される。「お知らせ内容」には、例えば、ワークフローIDと該ワークフローの承認完了とが格納される。その後、図17Aに示されるフローが終了する。
【0084】
図17Aでは、承認依頼のワークフローに係る処理のフローについて示した。承認依頼以外の依頼のワークフローについても、承認に係る処理が置き換わるのみで、図17Aのフローとほぼ同様にして実行される。
【0085】
(持ち出し管理)
図18は、持ち出し管理処理のフローの例を示す図である。図18に示されるフローは、例えば、トップ画面のメニュー項目から「持ち出し管理」が選択されると開始される。
【0086】
OP31では、ISMSマネジメント部18の持ち出し管理手段183は、ユーザから
情報資産の持ち出し申請の入力を受け付ける。情報資産の持ち出し申請の入力は、持ち出し申請画面への所定の項目の入力によって行われる。図19は、持ち出し申請の入力画面の例を示す。持ち出し管理手段183は、例えば、承認者選択画面(図17B)で選択された承認者を依頼先として承認依頼のワークフローをワークフロー処理手段16に対して発行する。承認依頼のワークフローを発行すると、持ち出し管理手段183は、持ち出し申請の状態を「承認待ち」にする。図20は、承認待ちの状態の持ち出し申請を含む持ち出し一覧画面の例である。
【0087】
OP32では、ワークフロー処理手段16による承認依頼のワークフローの実行によって(図17A)、持ち出し申請を行ったユーザに、トップ画面のお知らせ欄により、持ち出し申請が承認されたことが通知される。また、持ち出し管理手段183は、ワークフロー処理手段16による承認依頼のワークフローが完了すると、持ち出し申請の状態を「承認待ち」から「承認済み」に更新する。持ち出し管理手段183は、例えば、ワークフローテーブル212の該当エントリの「承認結果」が「承認」に書き換えられることによって、承認依頼のワークフローの完了を検出する。図21は、承認済みの状態の持ち出し申請を含む持ち出し一覧画面の例である。
【0088】
以後、持ち出し申請を行ったユーザは、情報資産を持ち出すことができる。情報資産を持ち帰ったユーザは、例えば、図21に示される持ち出し一覧画面から、該当する持ち出し申請の「持帰報告」を選択して、持ち帰り報告画面に移動し、持ち帰り報告を行う。図22は、持ち帰り報告画面の例である。ユーザが持ち帰り報告画面中の「持帰報告」ボタンをクリックすると、ユーザ端末から、持ち出し管理手段183に持ち帰り報告が通知される。
【0089】
OP33では、持ち出し管理手段183は、承認された持ち出し申請に対する持ち帰り報告を受け付けたか否かを判定する。持ち帰り報告を受け付けた場合には(OP33:Yes)、処理がOP34に進む。持ち帰り報告を、例えば、承認から所定期間経過後も受け付けていない場合には(OP33:No)、処理がOP36に進む。所定期間は、例えば、図19の持ち出し申請の入力画面において入力される、持ち出し期限までの期間である。
【0090】
OP34では、持ち出し管理手段183は、持ち帰り報告を受け付けたので、ワークフロー処理手段16に対して、OP31と同じ承認者を依頼先として、持ち帰り報告に対する承認依頼のワークフローを発行する。
【0091】
OP35では、ワークフロー処理手段16による持ち帰り報告に対する承認依頼のワークフローの実行によって(図17A)、持ち帰り報告を行ったユーザに、トップ画面のお知らせ欄により、持ち帰り報告が承認されたことが通知される。また、持ち出し管理手段183は、ワークフロー処理手段16による持ち帰り報告に対する承認依頼のワークフローが完了すると、該当する持ち出し申請をクローズする。その後、図18に示されるフローが終了する。
【0092】
OP36では、持ち出し管理手段183は、ユーザから情報資産の紛失報告を受け付ける。ユーザは、情報資産を紛失した場合、例えば、図21に示される持ち出し一覧画面から、該当する持ち出し申請の「紛失報告」を選択して、紛失報告画面に移動し、紛失報告を行う。図23Aは、紛失報告画面の例である。ユーザが紛失報告画面中の「紛失報告」ボタンをクリックすると、持ち出し管理手段183に紛失報告が通知される。紛失報告の入力を受け付けると、持ち出し管理手段183は、OP31と同じ承認者を依頼先として紛失報告に対する承認依頼のワークフローをワークフロー処理手段16に対して発行する。
【0093】
OP37では、ワークフロー処理手段16による紛失報告に対する承認依頼のワークフローの実行によって(図17A)、紛失報告を行ったユーザに、トップ画面のお知らせ欄により、紛失報告が承認されたことが通知される。また、持ち出し管理手段183は、ワークフロー処理手段16による紛失報告に対する承認依頼のワークフローが完了すると、該当する持ち出し申請の状態を、例えば、「インシデント起票要」に変更する。
【0094】
OP38では、ユーザによって情報資産の紛失についてインシデントの起票が実行される。インシデントの起票に係る処理については、後述する。ユーザは、情報資産の紛失についてインシデントの起票をする場合、例えば、図23Aに示される紛失報告画面中の「インシデント起票」ボタンをクリックしてインシデント起票画面に移動し、インシデント起票を行う。持ち出し管理手段183は、インシデント起票の実行を検出すると、該当する持ち出し申請の状態を「紛失」にする。図23Bは、「紛失」の状態の持ち出し申請を含む持ち出し一覧画面の例である。その後、図18に示されるフローが終了する。
【0095】
(インシデント管理)
図24は、インシデント起票画面の例である。インシデント起票画面は、ISMSマネジメント部18のインシデント・是正予防起票手段185又はPMSマネジメント部19のインシデント是正予防起票手段196(以降、両者をまとめて起票手段と称する)によってユーザ端末に提供される。インシデント起票画面には、発生日時,インシデント種別,インシデントの概要,等の入力項目がある。「起票者」には、ユーザの要員番号又は氏名が起票手段によって自動入力される。また、インシデント起票画面に入力された内容は、起票手段によって、共通マネジメント部17のインシデント管理手段172に送信される。
【0096】
図25は、インシデント管理処理のフローの例を示す図である。図25に示されるフローは、共通マネジメント部17のインシデント管理手段172が、起票手段からインシデントの起票を受け付けると開始される。
【0097】
OP40では、インシデント管理手段172は、受け付けた起票の内容をもとに、インシデントテーブルのエントリを生成して追加する。
【0098】
OP41では、インシデント管理手段172は、起票者であるユーザが属する部門の部門長を依頼先として承認依頼のワークフローをワークフロー処理手段16に対して発行する。ユーザの属する部門の部門長の検出は、例えば、ユーザ情報テーブル211に基づいて行われる。その後、ワークフロー処理手段16によってインシデント起票に対する承認依頼のワークフローが実行される。
【0099】
OP42では、ワークフロー処理手段16によるインシデント起票に対する承認依頼のワークフローの実行によって、部門長によって承認がなされる。インシデント管理手段172は、例えば、ワークフローテーブル212の該当エントリの更新によって、部門長による承認を検出する。インシデント管理手段172は、インシデントテーブルの該当エントリの「承認状況」を「承認済み」に変更する。また、OP41において発行されたワークフローの依頼元であるユーザ(起票者)には、承認依頼のワークフローに実行によって、トップ画面のお知らせ欄で、インシデント起票に対する部門長による承認完了が通知される。
【0100】
OP43では、インシデント起票に対する部門長による承認完了のお知らせが起票者であるユーザによって確認されたことを検出すると、インシデント管理手段172は、起票者を依頼元、統合マネジメントシステム1を管理する事務局を依頼先として、ワークフロ
ー処理手段16に対して、振分け依頼のワークフローを発行する。振分け依頼のワークフローは、インシデントの根本的な原因が他部門であると考えられる場合、管理元である部門に対してインシデントに対する処置を依頼する処理である。根本的な原因が他部門である場合とは、例えば、ウイルス感染を検知したが、ウイルスの感染元が他部門のユーザ端末にあると考えられる場合である。その後、ワークフロー処理手段16によって、振り分け依頼のワークフローが実行される。なお、起票者によるお知らせの確認は、例えば、お知らせが表示される画面内の確認ボタンを起票者がクリックすることによって検出される。
【0101】
OP44では、ワークフロー処理手段16による振り分け依頼のワークフローの実行により、事務局によってインシデントの根本的な原因があると考えられる部門が抽出され、事務局から、該当部門の部門長に対して、インシデントに対する処置の依頼がなされる。このとき、インシデント管理手段172は、事務局のユーザ端末からの処置の依頼の入力を受け付け、抽出された該当部門の部門長を依頼先、事務局を依頼元として、対処依頼のワークフローをワークフロー処理手段16に対して発行する。対処依頼のワークフローは、発生したインシデントに対する処置を依頼するためのワークフローである。対処依頼を受け付けた該当部門の部門長はインシデントに対する処置として、部門内のユーザに対してインシデントに対する処置を依頼する。
【0102】
OP45では、ワークフロー処理手段16による該当部門の部門長への対処依頼のワークフローの実行により、該当部門の部門長から、該当部門のユーザに対してインシデントに対する処置の依頼がなされる。インシデント管理手段172は、該当部門の部門長のユーザ端末から処置の依頼の入力を受け付けると、該当部門の部門長を依頼元、該当部門のユーザを依頼先として、対処依頼のワークフローをワークフロー処理手段16に対して発行する。その後、ワークフロー処理手段16は、部門に所属するユーザに対して対処依頼のワークフローを実行する。
【0103】
OP46では、ワークフロー処理手段16による対処依頼のワークフローの実行によって、該当部門内のユーザに対してインシデントに対する処置の依頼がなされ、該当部門内の担当者が該当部門内におけるインシデントに対する処置を実行する。担当者が該当部門内におけるインシデントに対して処置を完了すると、担当者のユーザ端末から該当部門の部門長に対して対処完了報告が送信される。このとき、インシデント管理手段172は、これを検出し、担当者を依頼元、該当部門の部門長を依頼先として、対処完了報告に対する承認依頼のワークフローをワークフロー処理手段16に対して発行する。その後、ワークフロー処理手段16が承認依頼のワークフローを実行する。
【0104】
OP47では、ワークフロー処理手段16による対処完了報告に対する承認依頼のワークフローの実行によって、該当部門の部門長によって対処完了報告に対する承認が行われる。
【0105】
OP48では、インシデント管理手段172は、該当部門の各部門において、インシデントに対する処置が完了すると、自身を依頼元、事務局を依頼先として、クローズ依頼のワークフローをワークフロー処理手段16に対して発行する。クローズ依頼のワークフローは、例えば、OP40において登録されたインシデントのエントリを完了状態(クローズ)にすることを依頼するワークフローである。なお、インシデントに対する処置が各部門において完了したことは、例えば、処理対象のインシデントをワークフローテーブル212の「処理番号」に有するエントリの状態が完了である(例えば、「承認結果」の項目が「承認」である)ことによって、検出される。
【0106】
OP49では、ワークフロー処理手段16によるクローズ依頼のワークフローの実行に
より、インシデント管理手段172は、事務局がインシデントテーブルの該当エントリをクローズしたことを検知する。OP50では、インシデント管理手段172は、インシデント確認処理を実行する。インシデント確認処理については、後述する。インシデント処理が終了すると、図25に示されるフローが終了する。
【0107】
図26は、インシデント確認処理のフローの例と、重点項目インシデント区分テーブルの例と、重点項目テーブルの例とを示す図である。インシデント確認処理は、インシデント管理処理の一部として実行される処理であって、統合マネジメントシステム1に及ぼす影響が深刻なインシデントであるか否かを確認し、深刻な影響をもたらすインシデントである場合には、該インシデントを抽出する処理である。
【0108】
重点項目インシデント区分テーブルは、統合マネジメントシステム1に深刻な影響をもたらし、重点的に確認を行う対象となるインシデントの区分が保持されている。重点項目インシデント区分テーブルに設定されるインシデント区分には、例えば、不正接続,ウイルス感染,紛失・盗難,等がある。
【0109】
重点項目テーブルは、インシデントテーブルのエントリの「インシデント区分」が重点項目インシデント区分テーブルに保持される区分と合致するインシデントの、処理番号が保持されている。重点項目インシデント区分テーブル及び重点項目テーブルは、共通マネジメント部17のインシデント管理手段172を機能ブロックとして有する情報処理装置500の主記憶装置51b又は補助記憶装置55に保持される。
【0110】
OP51では、共通マネジメント部17のインシデント管理手段172は、図25のOP49においてクローズされたインシデントテーブルのエントリの「インシデント区分」が、重点項目インシデント区分テーブルに設定されているインシデント区分であるか否かを判定する。該エントリの「インシデント区分」が重点項目インシデント区分テーブルに設定されているインシデント区分と一致する場合には(OP52:Yes)、処理がOP53に進む。該エントリの「インシデント区分」が重点項目インシデント区分テーブルに設定されているインシデント区分と一致しない場合には(OP53:No)、図26に示されるフローが終了する。
【0111】
OP53では、インシデント管理手段172は、該当エントリの処理番号を重点項目テーブルに書き込む。その後、図26に示されるフローが終了する。
【0112】
統合マネジメントシステム1の管理者や企業の担当者等は、重点項目テーブルを参照し、確認したいインシデントの処理番号を取得する。統合マネジメントシステム1の管理者や企業の担当者等は、取得した処理番号を手掛かりとして、該インシデントの詳細情報を閲覧することができる。図27は、インシデントの確認画面の例である。したがって、インシデント確認処理によって、重点項目テーブルが作成され、統合マネジメントシステム1の管理者や企業の担当者等は、重点的に確認が必要なインシデントを迅速に特定することができる。図26に示されたインシデント確認処理は、インシデント管理処理の一部として実行されることに限られず、例えば、所定の周期のバッチ処理で、インシデントテーブル内のクローズされたエントリに対して実行されてもよい。
【0113】
(是正予防管理処理)
図28は、業務プロジェクトチームや本部等の小規模なグループ単位で行われる是正予防管理処理のフローの例を示す図である。図28に示されるフローは、例えば、統合マネジメントシステム1の推進チーム内のみに影響するインシデントに対する是正予防の計画が立案、確認される例のフローである。図28に示されるフローは、例えば、ユーザによって、トップ画面のメニュー項目から「是正予防」が選択されると開始される。
【0114】
OP61では、チームの責任者によって、インシデントに対する是正または予防の計画が作成され、該責任者のユーザ端末において、是正予防の起票が行われる。ISMSマネジメント部18のインシデント・是正予防起票手段185またはPMSマネジメント部19のインシデント・是正予防起票手段196(以降、まとめて、起票手段)は、是正予防の起票画面を通じてユーザ(チーム責任者)から入力された是正予防の計画を、共通マネジメント部17の是正予防管理手段173に送信する。共通マネジメント部17の是正予防管理手段173は起票を受け付けると、該ユーザ(責任者且つ起票者)の部門長を依頼先として、是正予防の起票の承認依頼のワークフローをワークフロー処理手段16に対して発行する。その後、ワークフロー処理手段16によって、承認依頼のワークフローが実行される。
【0115】
OP62では、ワークフロー処理手段16による承認依頼のワークフローの実行によって、依頼先である部門長によって是正予防の起票の承認がなされる。是正予防管理手段173は、承認依頼のワークフローの完了を、例えば、ワークフローテーブル212の更新によって検知する。図29は、部門長のユーザ端末における、是正予防の起票内容の確認画面の例である。
【0116】
OP63では、是正予防管理手段173は、IMS(統合マネジメントシステム)推進責任者に対して、是正予防の計画の確認を依頼する。是正予防管理手段173がIMS推進責任者による是正予防の計画の確認完了を検知すると、処理がOP64に進む。是正予防の計画の確認の依頼は、例えば、ToDO処理手段152を通じてToDO処理としてIMS推進責任者に通知されることで実行される。また、この場合には、是正予防の計画の確認完了は、該ToDO処理が、IMS推進責任者のユーザ端末からの完了通知によってToDOテーブル214から削除されることによって検知される。
【0117】
OP64では、是正予防管理手段173は、IMS管理責任者に対して是正予防の計画の受理を依頼する。是正予防管理手段173がIMS管理責任者による是正予防の計画の受理を検知すると、処理がOP65に進む。是正予防の計画の受理の依頼及び受理の検知は、例えば、OP63と同様にToDO処理手段152を通じて行われる。
【0118】
OP61からOP64の処理は、是正予防の計画の立案に係る処理である。次のOP65からの処理は、立案された是正予防の計画による処置を確認するための処理である。処置の確認とは、立案された是正予防の計画による処置が実際に行われたことを確認するための処理である。
【0119】
OP65では、処置確認者によって、是正予防の計画による処置が確認され、処置確認者のユーザ端末から、是正予防の計画による処置の確認完了が送信される。処置の確認完了は、例えば、是正予防管理のメニューの画面を通じて処置確認者から入力される。是正予防管理手段173は、処置確認者のユーザ端末から、是正予防の計画による処置の確認完了を受け付ける。是正予防管理手段173は、処置確認者の部門長を依頼先として、処置の確認完了の承認依頼のワークフローをワークフロー処理手段16に対して発行する。その後、ワークフロー処理手段16によって、承認依頼のワークフローが実行される。
【0120】
OP66では、ワークフロー処理手段16による承認依頼のワークフローの実行によって、依頼先である部門長によって処置の確認完了の承認がなされる。是正予防管理手段173は、承認依頼のワークフローの完了を、例えば、ワークフローテーブル212の更新によって検知する。
【0121】
OP67では、是正予防管理手段173は、IMS推進責任者に対して、処置の確認完
了について確認を依頼する。是正予防管理手段173がIMS推進責任者による確認完了を検知すると、処理がOP68に進む。この確認の依頼及び確認完了の検知は、例えば、OP63と同様にToDO処理手段152を通じて行われる。
【0122】
OP68では、是正予防管理手段173は、IMS管理責任者に対して処置の確認完了の受理を依頼する。是正予防管理手段173は、IMS管理責任者による処置の確認完了の受理を検知すると、図28に示されるフローが終了する。
【0123】
図28に示されるフローの実行によって受理された是正予防の計画の処置は、チーム内又は部門内の全ユーザ端末において実行される。
【0124】
図28に示されるフローでは、部門長,IMS推進責任者,IMS管理責任者等の設定は、例えば、予めユーザ情報テーブル211においてなされている。また、これらの一部または全部は、同一の人物であってもよい。
【0125】
図28では、業務プロジェクトチームや本部等の小規模なグループ単位で行われる是正予防管理処理のフローが示される。是正予防管理処理のフローが、全社レベルのような大規模なグループで行われる場合には、是正予防の計画の承認者、確認者、受理をする者が変わる。例えば、全社レベルの是正予防の計画について、図28のフローが実行される場合には、OP62とOP66とにおける承認者がIMS管理責任者となる。OP63とOP67とにおける確認者がトップマネジメントとなる。
【0126】
(セルフチェック処理)
図30は、セルフチェック処理のフローの例を示す図である。セルフチェックは、ユーザに対するセキュリティ等の啓もう活動の一つである。図30に示されるフローは、例えば、トップ画面のメニュー項目から、「セルフチェック」が選択されると開始される。
【0127】
OP70では、共通マネジメント部17のセルフチェック手段176は、ユーザによるサブメニューの選択を受け付ける。例えば、セルフチェックのサブメニューには、チェック項目登録,実施単位別項目リスト登録,スケジュール登録,セルフチェック実行,実施状況確認,フォローがある。チェック項目登録が選択された場合には、処理がOP71に進む。実施単位別項目リスト登録が選択された場合には、処理がOP72に進む。スケジュール登録が選択された場合には、処理がOP73に進む。セルフチェック実行が選択された場合には、処理がOP75に進む。実施状況確認が選択された場合には、処理がOP76に進む。フォローが選択された場合には、処理がOP78に進む。
【0128】
OP71では、セルフチェック手段176は、チェック項目登録処理を実行する。チェック項目登録処理は、セルフチェックの質問項目を登録する処理である。セルフチェック手段176は、ユーザから入力された質問項目をセルフチェックの質問項目に追加し登録する。セルフチェックの質問項目は、例えば、企業に割り当てられたスキーマ21に格納されている。セルフチェック手段176がユーザからセルフチェックの質問項目の登録の終了の入力を受け付けると、図30に示されるフローが終了する。
【0129】
OP72では、セルフチェック手段176は、実施単位別項目リスト登録処理を実行する。実施単位別項目リスト登録処理は、登録されている質問項目を、実施単位別にリストにして登録する処理である。質問項目の実施単位別のリストへの分類は、ユーザからの入力によって行われる。セルフチェック手段176がユーザから実施単位別項目リスト登録の終了の入力を受け付けると、図30に示されるフローが終了する。
【0130】
OP73では、セルフチェック手段176は、スケジュール登録処理を実行する。スケ
ジュール登録処理は、実施単位別に登録された質問項目をいつ、どの期間に実施するか、のスケジュールを登録する処理である。スケジュールは、ユーザから入力される。セルフチェック手段176がユーザからスケジュール登録の終了の入力を受け付けると、処理がOP74に進む。
【0131】
OP74では、セルフチェック手段176は、OP73において登録されたセルフチェックのスケジュールをToDO処理としてToDOテーブル214に登録する。その後、図30のフローが終了する。
【0132】
OP75では、セルフチェック手段176は、セルフチェック実行処理を実行する。セルフチェック実行処理は、セルフチェックの質問項目について回答していく処理である。セルフチェックの質問項目は、画面に表示され、ユーザは、各質問項目に対して回答を入力する。セルフチェック手段176は、セルフチェックを実行したユーザをメモリに記録する。セルフチェック手段176がユーザからセルフチェックの終了の入力を受け付けると、図30に示されるフローが終了する。
【0133】
OP76では、セルフチェック手段176は、実施状況確認処理を実行する。実施状況確認処理は、部門長が部門内のセルフチェック未実施のユーザを確認する処理である。そのため、サブメニューの実施状況確認は、権限が部門長以上のユーザのみが選択することができる。セルフチェック手段176は、セルフチェックを実施していない部門内のユーザを抽出し、表示する。次に処理がOP77に進む。
【0134】
OP77では、セルフチェック手段176は、OP76において抽出されたセルフチェックを実施していない部門内のユーザに対して、セルフチェックの実施をToDO処理としてToDOテーブル214に登録する。さらにセルフチェック手段176は、抽出されたユーザに対してセルフチェックの実施を促す内容のメールを送信する。その後、図30に示されるフローが終了する。
【0135】
OP78では、セルフチェック手段176は、フォロー処理を実行する。フォロー処理は、部門長が、セルフチェック未実施であるユーザの入力,及び、セルフチェック実施済みであるもののNGであったユーザに対してNGであった理由の入力を受け付ける処理である。そのため、サブメニューのフォロー処理は、権限が部門長以上のユーザのみが選択することができる。セルフチェック手段176がユーザからフォロー処理の終了の入力を受け付けると、図30に示されるフローが終了する。
【0136】
<第1実施形態の作用効果>
第1実施形態では、統合マネジメントシステム1は、ISMSとPMSとで共通する機能をそれぞれから切り離し、共通マネジメント部17に備える。これによって、ISMSとPMSとを統合することができる。また、統合マネジメントシステム1では、共通マネジメント部17,ISMSマネジメント部18,PMSマネジメント部19で共通して用いられるワークフローは、これらのマネジメント部とは別にワークフロー処理手段16を設け、これによって一元管理される。これによって、それぞれのマネジメントシステムで重複して行われていた処理を1つにまとめることができ、処理の手間が省ける。また、ハードウェア資源の無駄な使用も省くことができる。結果として、システム全体としての効率が上がる。
【0137】
共通マネジメント部17は、インシデント管理手段172や是正予防管理手段173などの、ISMSとPMSとの双方からインシデントや是正予防の計画等の情報が集まる機能ブロックを有する。これによって、ISMSとPMSとにおいて重要な情報を集中管理することができ、情報管理が容易となる。
【0138】
第1実施形態では、統合マネジメントシステム1は、ISMSマネジメント部18とPMSマネジメント部19とを備えることによって、ISMSとPMSとを統合していた。統合マネジメントシステム1は、ISMSとPMSとに限られず、その他のマネジメントシステム固有の機能ブロックを有するマネジメント部を追加することによって、その他のマネジメントシステムも統合することができる。その他のマネジメントシステムには、例えば、環境マネジメントシステム(Environment Management System:EMS),品質マネジメントシステム,労働安全衛生マネジメントシステム等がある。
【0139】
統合マネジメントシステム1は、第1実施形態において説明されたような、SaaSアプリケーションとしての形態の他に、ソフトウェアパッケージ(プログラムの集合体)としての形態で提供されてもよい。ソフトウェアパッケージの形態の場合には、統合マネジメントシステム1は、インターネットからダウンロードする方法、又は、DVDなどの可搬記録媒体に記録される方法によって販売される。図31は、統合マネジメントシステム1のソフトウェアパッケージ(統合マネジメントサービスパック)の例を示す図である。共通マネジメントサービスパックは、共通マネジメント部17に相当する。ISMSオプションはISMSマネジメント部18に相当する。PMSオプションはPMSマネジメント部19に相当する。統合マネジメントサービスパックでは、共通マネジメントサービスパックと、ISMSオプション、PMSオプションのうちの一方又は両方と、で販売される。また、企業ごとに必要な機能のみを選択することができる。
【0140】
<第2実施形態>
第2実施形態では、統合マネジメントシステムは、統合マネジメントシステムを利用するそれぞれの企業において実施されたリスク分析の結果を集計し、全社平均,業種別平均,企業規模別平均などのベンチマークを求める機能(ベンチマーク機能)を有する。このベンチマークによって、統合マネジメントシステムを利用する各企業は、自社におけるリスク管理の他社平均との比較を行うことができる。第2実施形態では、第1実施形態と共通する説明については省略される。
【0141】
(機能構成)
図32は、第2実施形態における統合マネジメントシステム1Bの機能構成の例を示す図である。統合マネジメントシステム1Bは、第1実施形態の統合マネジメントシステム1の機能ブロックに加え、ベンチマーク集計手段110,ベンチマーク表示手段120,パブリックスキーマ22と各企業のスキーマ21とに保持される各テーブルと、をさらに有する。
【0142】
統合マネジメントシステム1Bでは、ISMSマネジメント部18の情報資産リスク分析手段182、又は、PMSマネジメント部19の個人情報リスク分析手段195(以降、まとめて「リスク分析手段」)によって、統合マネジメントシステム1Bを利用するすべての企業のすべての部門に対してリスク分析が実行される。リスク分析は、例えば、質問項目に回答する形式で行われる。
【0143】
図33は、リスク分析の質問項目に対する回答の入力画面の例である。図33に示される例では、各質問項目に対して複数の選択肢が用意されている。ユーザは、この選択肢の中から一つ選択して、質問項目に回答する。リスク分析手段は、各質問項目に対する回答(選択肢)を、リスク分析データとして、各企業のスキーマ21に格納する。第2実施形態では、統合マネジメントシステム1Bを利用する全企業の全部門に対して、同じ質問項目でリスク分析が行われる。また、リスク分析の質問項目に回答するのは、例えば、ISMS担当者(又はPMS担当者)等の部門に代表者1名でよい。
【0144】
選択肢には、それぞれポイントが設定されており、各質問項目について、回答された選択肢のポイントが集計されることで、各質問項目(管理策)の、全社平均,業種別平均,企業規模別平均等が取得される。図34は、図33に示される例における、選択肢のポイントを設定する選択肢テーブルの例を示す図である。選択肢テーブルのエントリには、選択肢番号,選択肢内容,ポイントが含まれる。選択肢テーブルは、例えば、パブリックスキーマ22に格納されている。
【0145】
図35は、ベンチマーク集計手段110の機能ブロックの例を示す図である。ベンチマーク集計手段110は、リスク分析データの集計に係る処理(ベンチマーク集計処理)を実行する。ベンチマーク集計手段110は、実行判定手段111,企業単独集計手段112,全体平均算出手段113,業種別平均算出手段114,規模別平均算出手段115,部門別平均算出手段116を含む。
【0146】
実行判定手段111は、ベンチマーク集計処理を実行するか否かを判定する。第2実施形態の統合マネジメントシステム1Bでは、ベンチマーク機能を利用可能な企業数が所定の下限値よりも少ない場合には、ベンチマーク集計処理が実行されない。これは、ベンチマーク機能を利用可能な企業数が少ない場合には、サンプル数が少なくなり、ベンチマークの信頼度が低くなってしまったり、ベンチマークへの一つの企業当たりの影響力(依存度)が大きくなってしまったりするからである。所定の下限値は、例えば、100である。ベンチマーク集計手段110のメモリには、ベンチマーク有効フラグ117が保持されている。例えば、ベンチマーク有効フラグ117が「1」である場合には、ベンチマーク集計処理が実行可能である(有効である)ことが示される。例えば、ベンチマーク有効フラグ117が「0」である場合には、ベンチマーク集計処理が実行できない(無効である)ことが示される。
【0147】
企業単独集計手段112は、ベンチマーク機能を利用可能な各企業について、企業内でのポイントの集計処理を行う。例えば、企業内での集計処理の一つとして、企業単独集計手段112は、管理策毎に企業単独ポイントを算出する。企業単独ポイントは、企業内の各部門のポイントの平均である。また、企業内での集計処理の一つとして、企業単独集計手段112は、単独集計テーブル(後述)を登録する。全体平均算出手段113は、管理策毎の全体平均を算出する。全体平均は、ベンチマーク機能を利用可能な全企業の企業単独ポイントの平均である。業種別平均算出手段114は、管理策ごとに業種別平均を算出する。業種別平均は、ベンチマーク機能を利用可能な企業のうち、同一業種の企業の企業単独ポイントの平均であって、業種毎に算出される。
【0148】
規模別平均算出手段115は、管理策毎に企業規模別平均を算出する。第2実施形態では、従業員数によって企業の規模を格付けする。例えば、従業員数が1000以上の企業は、大手企業に分類される。従業員数が700人以上1000未満の企業は、準大手企業に分類される。従業員数が300人以上700人未満の企業は、中堅企業に分類される。従業員数が300人未満の企業は、中小企業に分類される。企業規模別平均は、ベンチマーク機能を利用可能な企業のうち、同程度の規模の企業の企業単独ポイントの平均であって、規模毎に算出される。
【0149】
部門別平均算出手段116は、管理策毎に部門別平均を算出する。部門別平均は、ベンチマーク機能を利用可能な各企業の同種の部門のポイントの平均である。また、部門別平均算出手段116は、各企業の部門ごとに、資産価値の評価が最も高い資産が何件保有されているかを評価する。資産価値の評価方法は企業ごとに設定可能である。資産価値の評価方法は、3−5段階で評価される。
【0150】
企業単独ポイントは、各企業のスキーマ21に格納される。全体平均,業種別平均,企
業規模別平均,部門別平均は、パブリックスキーマ22に格納される。詳細は、後述する。「決定手段」は、例えば、実行判定手段111である。「検索手段」は、例えば、企業単独集計手段112または全体平均算出手段113である。「企業ポイント算出手段」は、例えば、企業単独集計手段112である。「基準ポイント算出手段」は、例えば、全体平均算出手段113である。「業種別基準ポイント算出手段」は、例えば、業種別平均算出手段114である。「規模別基準ポイント算出手段」は、例えば、規模別平均算出手段115である。「部門分類ポイント算出手段」は、例えば、企業単独集計手段112である。「部門別基準ポイント算出手段」は、例えば、部門別平均算出手段116である。「個別記憶領域」は、例えば、各企業のスキーマ21である。「共通記憶領域」は、例えば、パブリックスキーマ22である。
【0151】
図36は、ベンチマーク表示手段120に含まれる機能ブロックの例である。ベンチマーク表示手段120は、ベンチマーク集計手段110によって算出されたベンチマークの表示に係る処理である。ベンチマーク表示手段120は、企業データ取得手段121,集計データ取得手段122,比較評価手段123,表示手段124を含む。
【0152】
企業データ取得手段121は、ベンチマークの表示指示の送信元であるユーザ端末のユーザが属する企業の企業単独ポイントを取得する。集計データ取得手段122は、全体平均,業種別平均,企業規模別平均,部門別平均を取得する。比較評価手段123は、ユーザが属する企業の企業単独ポイントと、全体平均,業種別平均,企業規模別平均,部門別平均とを比較して評価する。表示手段124は、ユーザが属する企業の企業単独ポイントと、全体平均,業種別平均,企業規模別平均,部門別平均との比較した評価をユーザ端末に表示させる。
【0153】
「企業ポイント取得手段」は、例えば、企業データ取得手段121である。「基準ポイント取得手段」は、例えば、集計データ取得手段122である。「提供手段」は、例えば、表示手段124である。
【0154】
(ベンチマーク集計処理に係るデータ構造)
図37Aは、各企業のスキーマ21に格納されるデータの例を示す図である。いずれの企業のスキーマ21にも、部門情報テーブル215,資産テーブル216,リスク分析データテーブル217,単独集計テーブル218,環境設定マスタ219a,管理策マスタ219bが保持される。
【0155】
図37Bは、部門情報テーブル215の例である。部門情報テーブル215は、各企業の部門の部門コードを定義するテーブルである。部門情報テーブル215には、部門コード,部門名,部門分類が対応付けて保持される。部門分類は、例えば、総務部門,営業部門,開発部門,経理部門,製造部門、全社があり、各部門は業務の性質によって部門分類のいずれかに分類される。「部門分類保持手段」は、例えば、部門情報テーブル215である。
【0156】
図37Cは、環境設定マスタ219aの例である。環境設定マスタ219aは、資産価値を何段階で評価するかを示す。図37Cに示される企業Aのスキーマ21内の環境設定マスタ219aの例では、「3」が格納されており、企業Aでは、3段階で資産価値を評価することが示される。例えば、資産価値が3段階で評価される場合には、評価「1」、「2」、「3」の順で評価が高くなる。
【0157】
図37Dは、資産テーブル216の例である。資産テーブル216は、企業が保有する資産の情報を保持するテーブルである。資産テーブル216のエントリは、項目に、資産番号,資産名,管理部門コード,資産分類,資産価値を含む。「管理部門コード」には資
産を管理する部門の部門コードが含まれる。この部門コードは、部門情報テーブル215において定義される部門コードである。「資産分類」には、資産の種類に応じて、情報,機器等の分類が格納される。「資産価値」には、環境設定マスタ219aに設定された数による段階評価の値が格納される。図37Dに示される資産テーブル216の例では、資産価値は、3段階で評価され、「資産価値」が「3」である資産の価値が最も高い。
【0158】
図37Eは、管理策マスタ219bの例である。管理策マスタ219bには、リスク分析の質問項目が設定される。管理策マスタ219bのエントリは、項目に、管理策番号,質問内容,関連資産分類を含む。関連資産分類には、質問内容が関連する資産分類が格納される。この「資産分類」は、図37Dに示される資産テーブル216において用いられる「資産分類」と同じ分類が用いられる。
【0159】
図37Fは、リスク分析データテーブル217の例である。リスク分析データテーブル217には、リスク分析による各管理策に対する各部門の回答(選択肢)、すなわち、リスク分析データが格納されている。リスク分析データテーブル217には、管理策番号,部門コード,回答選択肢番号が対応付けて格納されている。「管理部門コード」には、管理策に対して回答を行った部門の部門コードが含まれる。この部門コードは、部門情報テーブル215において定義される部門コードである。「回答選択肢番号」には、回答として選択された選択肢の選択肢番号が格納される。この選択肢番号は、例えば、図34において示される選択肢テーブルにおいて定義される選択肢番号である。リスク分析データテーブル217へのエントリの追加は、リスク分析手段によって行われる。「部門ポイント記憶手段」は、例えば、リスク分析データテーブル217である。
【0160】
図37Gは、単独集計テーブル218の例である。単独集計テーブル218は、企業における部門別(全社含む)の平均ポイントが格納される。単独集計テーブル218のエントリは、項目に、管理策番号,部門分類,平均ポイント,高価値資産件数を含む。「管理策番号」には、図37Eの管理策マスタ219bにおいて定義された管理策番号が格納される。「部門分類」は、図37Bで用いられるものと同じ分類が用いられる。「平均ポイント」には、同じ「部門分類」に含まれる部門のポイントの平均が格納される。単独集計テーブル218のエントリは、企業単独集計手段112によって、生成される。
【0161】
例えば、管理策番号「125」の部門分類「開発部門」の平均ポイントは、例えば、企業単独集計手段112によって、以下のようにして求められる。(1)まず、企業単独集計手段112は、部門情報テーブル215から、部門分類が「開発部門」となる部門である第一開発部の部門コード「200」と第二開発部の部門コード「201」とを取得する。(2)次に、企業単独集計手段112は、リスク分析データテーブル217から、管理策番号「125」に対する、部門コード「200」の回答選択肢番号「2」と、部門コード「201」の回答選択肢番号「3」とを取得する。(3)次に、企業単独集計手段112は、選択肢テーブルから、回答選択肢番号「2」のポイント「50」と、回答選択肢番号「3」のポイント「50」と、を取得して、得られたポイントの平均「50」を算出する。このポイントの平均「50」が、「平均ポイント」に格納される。
【0162】
単独集計テーブル218において、「部門分類」が「全社」であるエントリの「平均ポイント」は、該当する管理策の企業単独ポイントである。
【0163】
単独集計テーブル218の「高価値資産件数」は、「部門分類」が同じ部門が保有する評価が最も高い資産の合計件数である。「高価値資産件数」は、部門情報テーブル215と資産テーブル216とから求められる。「高価値資産件数」によって、例えば、企業内で高価値な資産が集中する部門を特定することができる。
【0164】
部門情報テーブル215,資産テーブル216,環境設定マスタ219a,管理策マスタ219bは、それぞれ予め入力されている。リスク分析データテーブル217は、ユーザによってリスク分析の質問項目の回答が入力されると、新たにエントリが追加される。単独集計テーブル218は、リスク分析データテーブル217が更新されると、次のベンチマーク集計処理の実行時に更新される。
【0165】
図38Aは、パブリックスキーマ22に格納されるデータの例である。パブリックスキーマ22には、企業テーブル251,全体集計テーブル252,業種別集計テーブル253,規模別集計テーブル254,部門別集計テーブル255が格納される。
【0166】
図38Bは、企業テーブル251の例である。企業テーブル251は、統合マネジメントシステム1Bを利用する企業に関する情報を保持するテーブルである。企業テーブル251のエントリは、項目に、企業コード,企業名,ベンチマーク使用有無,業種コード,規模コードを含む。「業種コード」と「規模コード」とには、例えば、図14のコードマスタ222に定義されたコードが用いられる。「企業記憶手段」、「業種分類保持手段」、「規模分類保持手段」は、例えば、企業テーブル251である。
【0167】
図38Cは、全体集計テーブル252の例である。全体集計テーブル252は、各管理策に対する、ベンチマーク機能を利用する全企業のポイントの平均値、すなわち、全体平均を保持するテーブルである。全体集計テーブル252のエントリは、全体平均算出手段113によって生成及び登録される。例えば、管理策番号「125」の「全体平均ポイント」は、ベンチマーク機能を利用する全ての企業の単独集計テーブル218内の管理策番号「125」、部門分類「全社」のエントリの「平均ポイント」の平均を求めることにより全体平均算出手段113によって算出される。
【0168】
図38Dは、業種別集計テーブル253の例である。業種別集計テーブル253は、各管理策について、ベンチマーク機能を利用する企業のうち、業種毎にポイントの平均、すなわち、業種別平均を保持するテーブルである。業種別集計テーブル253のエントリは、項目に、管理策番号,業種コード,業種別平均ポイントを保持する。業種別集計テーブル253のエントリは、業種別平均算出手段114によって生成及び登録される。
【0169】
例えば、管理策番号「125」,業種コード「A」のエントリの「業種別平均ポイント」は、以下のようにして求められる。(1)まず、業種別平均算出手段114は、企業テーブル251から、ベンチマーク使用有無「あり」,業種コード「A」の企業コードを抽出する。(2)例えば、業種別平均算出手段114は、企業情報テーブル221から抽出された企業コードのスキーマ21を特定する。(3)業種別平均算出手段114は、特定したスキーマ21内の単独集計テーブル218から、管理策番号「125」、部門分類「全社」の平均ポイントを取得する。(4)業種別平均算出手段114は、取得した平均ポイントの平均値を算出する。算出された平均値が、業種別集計テーブル253における、管理策番号「125」,業種コード「A」のエントリの「業種別平均ポイント」に格納される。
【0170】
図38Eは、規模別集計テーブル254の例である。規模別集計テーブル254は、各管理策について、ベンチマーク機能を利用する企業のうち、企業規模毎にポイントの平均、すなわち、企業規模別平均を保持するテーブルである。規模別集計テーブル254のエントリは、項目に、管理策番号,規模コード,規模別平均ポイントを保持する。規模別集計テーブル254のエントリは、規模別平均算出手段115によって生成及び登録される。
【0171】
例えば、管理策番号「125」,規模コード「1」のエントリの「規模別平均ポイント
」は、以下のようにして求められる。(1)まず、規模別平均算出手段115は、企業テーブル251から、ベンチマーク使用有無「あり」,規模コード「1」の企業コードを抽出する。(2)例えば、規模別平均算出手段115は、企業情報テーブル221から抽出された企業コードのスキーマ21を特定する。(3)規模別平均算出手段115は、特定したスキーマ21内の単独集計テーブル218から、管理策番号「125」、部門分類「全社」の平均ポイントを取得する。(4)規模別平均算出手段115は、取得した平均ポイントの平均値を算出する。算出された平均値が、規模別集計テーブル254における、管理策番号「125」,規模コード「1」のエントリの「規模別平均ポイント」に格納される。
【0172】
図38Fは、部門別集計テーブル255の例である。部門別集計テーブル255は、各管理策に対する、ベンチマーク機能を利用する企業の、部門ごとのポイントの平均、すなわち、部門別平均を保持するテーブルである。部門別集計テーブル255のエントリは、項目に、管理策番号,部門分類,部門別平均ポイント,高価値資産件数平均を含む。部門別集計テーブル255のエントリは、部門別平均算出手段116によって生成及び登録される。例えば、管理策番号「125」、部門分類「総務部門」のエントリの「部門別平均ポイント」は、ベンチマーク機能を利用する全ての企業の単独集計テーブル218内の管理策番号「125」、部門分類「総務部門」のエントリの「平均ポイント」の平均値を求めることにより取得される。また、例えば、管理策番号「125」、部門分類「総務部門」のエントリの「高価値資産件数平均」は、ベンチマーク機能を利用する全ての企業の単独集計テーブル218内の管理策番号「125」、部門分類「総務部門」のエントリの「高価値資産件数」の平均値を求めることにより取得される。「高価値資産件数平均」によって、部門別の高価値な資産件数の平均が示され、例えば、システム全体として、高価値な資産が集中する傾向にある部門が判明する。
【0173】
企業テーブル251は予めエントリが入力されている。全体集計テーブル252,業種別集計テーブル253,規模別集計テーブル254,部門別集計テーブル255は、例えば、ベンチマーク集計処理が実行される度に更新される。
【0174】
(動作例)
図39は、ベンチマーク集計手段110によって実行される処理のフローの例を示す図である。図39に示されるフローは、例えば、所定の時刻に定期的に実行される。
【0175】
OP81では、実行判定手段111は、企業テーブル251を参照し、ベンチマーク機能を利用可能な企業数を計数する。実行判定手段111は、例えば、企業テーブル251を参照し、「ベンチマーク使用有無」が「あり」となっているエントリ数を計数することで、ベンチマーク機能を利用可能な企業数を取得する。
【0176】
OP82では、実行判定手段111は、ベンチマーク機能を利用可能な企業数が下限値よりも多いか否かを判定する。ベンチマーク機能を利用可能な企業数が下限値よりも多い場合には(OP82:Yes)、処理がOP84に進む。ベンチマーク機能を利用可能な企業数が下限値以下である場合には(OP82:No)、処理がOP83に進む。
【0177】
OP83では、ベンチマーク機能を利用可能な企業数が下限値以下であるので、実行判定手段111は、ベンチマーク集計処理を実行しないことを判定し、ベンチマーク有効フラグ117を「無効」に設定する。その後、図39に示されるフローが終了する。
【0178】
OP84では、ベンチマーク機能を利用可能な企業数が下限値よりも多いので、実行判定手段111は、ベンチマーク処理を実行することを判定し、ベンチマーク有効フラグ117を「有効」に設定する。
【0179】
OP85では、企業単独集計手段112が、ベンチマークを利用可能な各企業について、サーバ名,ポート番号,スキーマ名をパブリックスキーマ22の企業情報テーブル221から取得し、各企業のスキーマ21にアクセスする。各企業のスキーマ21において、企業単独集計手段112は、単独集計テーブル218を生成及び更新する。これによって、ベンチマークを利用可能な各企業について、企業単独ポイントと、部門別の平均ポイントとが算出される。
【0180】
OP86では、全体平均算出手段113が、ベンチマークを利用可能な各企業について、サーバ名,ポート番号,スキーマ名を企業情報テーブル221から取得し、各企業のスキーマ21にアクセスして、各企業の単独集計テーブル218から各企業の企業単独ポイントを取得する。さらに、全体平均算出手段113は、ベンチマークを利用可能な全企業の企業単独ポイントの平均値、すなわち、全体平均ポイントを算出する。算出された全体平均ポイントは、全体集計テーブル252に格納される。
【0181】
OP87では、業種別平均算出手段114が、ベンチマークを利用可能な各企業について、サーバ名,ポート番号,スキーマ名を企業情報テーブル221から取得し、各企業のスキーマ21にアクセスして、各企業の単独集計テーブル218から各企業の企業単独ポイントを取得する。さらに、業種別平均算出手段114は、ベンチマークを利用可能な企業の、業種別の企業単独ポイントの平均値、すなわち、業種別平均ポイントを算出する。算出された業種別平均ポイントは、業種別集計テーブル253に格納される。
【0182】
OP88では、規模別平均算出手段115が、ベンチマークを利用可能な各企業について、サーバ名,ポート番号,スキーマ名を企業情報テーブル221から取得し、各企業のスキーマ21にアクセスして、各企業の単独集計テーブル218から各企業の企業単独ポイントを取得する。さらに、規模別平均算出手段115は、ベンチマークを利用可能な企業の、規模別の企業単独ポイントの平均値、すなわち、規模別平均ポイントを算出する。算出された規模別平均ポイントは、規模別集計テーブル254に格納される。
【0183】
OP89では、部門別平均算出手段116が、ベンチマークを利用可能な各企業について、サーバ名,ポート番号,スキーマ名を企業情報テーブル221から取得し、各企業のスキーマ21にアクセスして、各企業の単独集計テーブル218から各企業の部門ごとの平均ポイントを取得する。さらに、部門別平均算出手段116は、ベンチマークを利用可能な全企業の、部門ごとの平均ポイントの平均値、すなわち、部門別平均ポイントを算出する。算出された部門別平均ポイントは、部門別集計テーブル255に格納される。また、部門別平均算出手段116は、ベンチマークを利用可能な全企業の部門別に、高価値評価資産平均を算出し、部門別集計テーブル255に格納する。その後図39に示されるフローが終了する。
【0184】
図40は、ベンチマーク表示手段120によって実行される処理のフローの例を示す図である。図40に示されるフローは、例えば、ベンチマーク表示手段120が、ユーザ端末からベンチマークの表示指示を受け付けると開始される。なお、ベンチマーク機能を利用可能でない企業のユーザは、トップ画面のメニュー項目にベンチマーク機能は表示されないので、ベンチマーク機能にアクセスすること自体できない。したがって、ベンチマークの表示指示はベンチマーク機能を利用可能な企業のユーザ端末からしか発信されない。
【0185】
OP101では、企業データ取得手段121が、スキーマ情報に格納されるスキーマ21(表示指示の送信元のユーザが属する企業のスキーマ21)にアクセスし、単独集計テーブル218から、表示指示の送信元のユーザが属する企業の企業単独ポイントを取得する。
【0186】
OP102では、集計データ取得手段122が、パブリックスキーマ22の全体集計テーブル252から全体平均ポイント,業種別集計テーブル253から当該企業が属する業種の業種別平均ポイント,規模別集計テーブル254から当該企業が分類される規模の規模別平均ポイント,部門別集計テーブル255から部門別平均ポイントを取得する。
【0187】
OP103では、比較評価手段123が、OP102において取得された、企業の企業単独ポイントと、全体平均ポイント,業種別平均ポイント,規模別平均ポイント,部門別平均ポイントとを比較して評価表示を設定する。OP104では、表示手段124が評価表示をユーザ端末に送信する。その後図40に示されるフローが終了する。
【0188】
<第2実施形態の作用効果>
第2実施形態では、ベンチマーク機能によって、管理策に対するポイントの全体平均,業種別平均,規模別平均,部門別平均,と自社内の平均との比較評価が提供される。これによって、他社と比べた際の自社のリスク対策のレベルが分かる。また、全体平均の加えて、業種別平均,規模別平均,部門別平均との比較評価も提供されるので、様々な観点から自社のリスク対策について見直しすることができる。また、他社との比較評価は、新たなリスク対策項目を導入する際に、どのリスク対策項目を導入すべきか、検討の助けになる。
【0189】
また、管理策に対するポイントの全体平均,業種別平均,規模別平均,部門別平均は、パブリックスキーマ22に格納されており、公開されている。一方、各企業の企業単独ポイントや各部門の回答等の情報は各企業のスキーマ21に格納されている。これによって、自社の情報は公開せずに、他社とのリスク対策の比較を行うことができる。
【0190】
なお、第2実施形態においては、各企業の企業単独ポイントを、各部門の平均値として算出していたが、これに限られない。例えば、単独集計テーブル218の「高価値資産件数」を用いて各部門のポイントに重みづけを行って、重み付けされた後のポイントの平均値を企業単独ポイントとしてもよい。
【0191】
<変形例>
第1実施形態及び第2実施形態で説明された統合マネジメントシステムは、複数のサーバによって構成された。ただし、これに限られず、統合マネジメントシステムは、単体のサーバ上に構成されてもよい。この場合には、単体のサーバ上に全てのデータベースが存在するので、例えば、企業情報テーブル221のエントリの項目に「サーバ名」が含まれない。これと連動して、例えば、図39のOP85〜OP89などの各企業のスキーマ21にアクセスする際に、サーバ名は取得されない。また、この場合には、統合マネジメントシステムが管理する企業数も少なくなるため、ベンチマーク機能を利用可能な企業数に応じてベンチマーク集計処理の実行の可否を判定する処理は行われない。すなわち、第2実施形態におけるベンチマーク集計手段110に実行判定手段111は備えられない。その他の処理及び構成については、上述の説明と同様に行われる。
【符号の説明】
【0192】
1,1B 統合マネジメントシステム
2 Webサーバ
3 アプリケーションサーバ
4 データベースサーバ
11 入力受付手段
12 ログイン手段
13 処理振分手段
14 出力手段
15 共通モジュール
16 ワークフロー処理手段
17 共通マネジメント部
18 ISMSマネジメント部
19 PMSマネジメント部
20 データベース
21 各企業のスキーマ
22 パブリックスキーマ
110 ベンチマーク集計手段
111 実行判定手段
112 企業単独集計手段
113 全体平均算出手段
114 業種別平均算出手段
115 規模別平均算出手段
116 部門別平均算出手段
120 ベンチマーク表示手段
121 企業データ取得手段
122 集計データ取得手段
123 比較評価手段
124 表示手段
151 お知らせ処理手段
152 ToDO処理手段
171 規定管理手段
172 インシデント管理手段
173 是正予防管理手段
176 セルフチェック手段
182 情報資産リスク分析手段
183 持ち出し管理手段
185、196 インシデント・是正予防起票手段
195 個人情報リスク分析手段
211 ユーザ情報テーブル
212 ワークフローテーブル
213 お知らせテーブル
214 ToDOテーブル
215 部門情報テーブル
216 資産テーブル
217 リスク分析データテーブル
218 単独集計テーブル
219a 環境設定マスタ
219b 管理策マスタ
221 企業情報テーブル
222 コードマスタ
223 ログインテーブル
251 企業テーブル
252 全体集計テーブル
253 業種別集計テーブル
254 規模別集計テーブル
255 部門別集計テーブル
【技術分野】
【0001】
本発明は、複数の企業に関する情報を取り扱う情報処理システムに関する。
【背景技術】
【0002】
企業などの組織では、個人情報保護法や金融商品取引法などの遵守や認証規格の維持のために、複数のマネジメントシステムが構築及び運用されている。マネジメントシステムには、例えば、品質マネジメントシステムであるISO(International Organization for Standard:国際標準機構)9000、環境マネジメントシステムであるISO 14
001,情報セキュリティマネジメントシステムであるISO 27001,ITサービスマネジメントシステムであるISO 20000がある。これらのマネジメントシステムは、複数の企業によって利用されることが有る。この場合、マネジメントシステムでは、マネジメントシステムを利用する複数の企業の情報を扱うことができる。
【0003】
また、マネジメントシステムでは、各企業において、各部門のリスク管理について点数化し、全社の平均点と各部門の点数とを比較するなどして、リスク分析が行われていた。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開2005−148985号公報
【特許文献2】特開2003−345974号公報
【特許文献3】特開2008−084020号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
しかしながら、マネジメントシステムでは、複数の企業の情報を扱えるにもかかわらず、セキュリティの問題から、リスク分析の結果は企業内でのみ公開され、企業間でのリスク分析の結果の参照が行えなかった。
【0006】
本発明では、複数の企業間で、各企業個別の情報は漏洩することなく、各企業個別の情報から得られる基準となる情報を共有可能な情報処理システムを提供することを課題とする。
【課題を解決するための手段】
【0007】
本発明は、上記課題を解決するために、情報処理システムに以下の手段を備えることとした。すなわち、本発明の態様の一つである情報処理システムは、
全利用者が利用可能な共通記憶領域と、複数の企業のそれぞれに対して割り当てられる、アクセスが各企業のユーザ端末に制限された個別記憶領域と、を提供する記憶手段と、
前記各企業の個別記憶領域内に格納され、各部門のポイントを保持する部門ポイント記憶手段と、
前記各企業について、第1の演算処理を行うことによって、各個別記憶領域内の前記部門ポイント記憶手段に保持される各部門のポイントから企業ポイントを算出し、算出した企業ポイントを各企業の個別記憶領域に格納する企業ポイント算出手段と、
各個別記憶領域から各企業の企業ポイントを読み出し、第2の演算処理を行うことによって前記各企業の企業ポイントから前記情報処理システムにおける基準ポイントを算出し、前記基準ポイントを前記共通記憶領域に格納する基準ポイント算出手段と、を備える。
【0008】
更に、本発明は、態様の一つとして、方法、又はコンピュータによって実行されるプロ
グラムとしても把握することが可能である。また、本発明の態様の一つは、そのようなプログラムをコンピュータその他の装置、機械等が読み取り可能な記録媒体に記録したものでもよい。ここで、コンピュータ等が読み取り可能な記録媒体とは、データやプログラム等の情報を電気的、磁気的、光学的、機械的、または化学的作用によって蓄積し、コンピュータ等から読み取ることができる記録媒体をいう。
【発明の効果】
【0009】
本発明によれば、複数の企業間で、各企業個別の情報は漏洩することなく、各企業個別の情報から得られる基準となる情報を共有可能な情報処理システムを提供することができる。
【図面の簡単な説明】
【0010】
【図1】第1実施形態における統合マネジメントシステムの概要を説明するための図である。
【図2】統合マネジメントシステムの構成例を示す図である。
【図3】情報処理装置のハードウェア構成の例を示す図である。
【図4】統合マネジメントシステムの機能ブロックの例を示す図である。
【図5】共通マネジメント部の機能ブロックの例を示す図である。
【図6】ISMSマネジメント部の機能ブロックの例を示す図である。
【図7】PMSマネジメント部の機能ブロックの例を示す図である。
【図8】ユーザ情報テーブルの例を示す図である。
【図9】ワークフローテーブルの例を示す図である。
【図10】インシデントテーブルの例を示す図である。
【図11】お知らせテーブルの例を示す図である。
【図12】ToDOテーブルの例を示す図である。
【図13】企業情報テーブルの例を示す図である。
【図14】コードマスタの例を示す図である。
【図15】ログインテーブルの例を示す図である。
【図16A】ログイン時の処理のフローを示す図である。
【図16B】ログイン時の処理のフローを示す図である。
【図16C】セッション情報の例である。
【図17A】承認依頼のワークフローに係る処理のフローの例を示す図である。
【図17B】承認者選択画面の例である。
【図18】持ち出し管理処理のフローの例を示す図である。
【図19】持ち出し申請の入力画面の例を示す。
【図20】承認待ちの状態の持ち出し申請を含む持ち出し一覧画面の例である。
【図21】承認済みの状態の持ち出し申請を含む持ち出し一覧画面の例である。
【図22】持ち帰り報告画面の例である。
【図23A】紛失報告画面の例である。
【図23B】「紛失」の状態の持ち出し申請を含む持ち出し一覧画面の例である。
【図24】インシデント起票画面の例である。
【図25】インシデント管理処理のフローの例を示す図である。
【図26】インシデント確認処理のフローの例と、重点項目インシデント区分テーブルの例と、重点項目テーブルの例とを示す図である。
【図27】インシデントの確認画面の例である。
【図28】業務プロジェクトチームや本部等の小規模なグループ単位で行われる是正予防管理処理のフローの例を示す図である。
【図29】部門長のユーザ端末における、是正予防の起票内容の確認画面の例である。
【図30】セルフチェック処理のフローの例を示す図である。
【図31】統合マネジメントシステムのソフトウェアパッケージの例を示す図である。
【図32】第2実施形態における統合マネジメントシステムの機能構成の例を示す図である。
【図33】リスク分析の質問項目に対する回答の入力画面の例である。
【図34】図33に示される例における、選択肢のポイントを設定する選択肢テーブルの例を示す図である。
【図35】ベンチマーク集計手段の機能ブロックの例を示す図である。
【図36】ベンチマーク表示手段に含まれる機能ブロックの例である。
【図37A】各企業のスキーマに格納されるデータの例を示す図である。
【図37B】部門情報テーブルの例である。
【図37C】環境設定マスタの例である。
【図37D】資産テーブルの例である。
【図37E】管理策マスタの例である。
【図37F】リスク分析データテーブルの例である。
【図37G】単独集計テーブルの例である。
【図38A】パブリックスキーマに格納されるデータの例である。
【図38B】企業テーブルの例である。
【図38C】全体集計テーブルの例である。
【図38D】業種別集計テーブルの例である。
【図38E】規模別集計テーブルの例である。
【図38F】部門別集計テーブルの例である。
【図39】ベンチマーク集計手段によって実行される処理のフローの例を示す図である。
【図40】ベンチマーク表示手段によって実行される処理のフローの例を示す図である。
【発明を実施するための形態】
【0011】
以下、図面に基づいて、本発明の実施の形態を説明する。以下の実施形態の構成は例示であり、本発明は実施形態の構成に限定されない。
【0012】
<第1実施形態>
第1実施形態では、情報セキュリティマネジメントシステム(Information Security Management System:以下、ISMS)と個人情報保護マネジメントシステム(Personal information protection Management System:以下、PMS)とを統合した統合マネジメ
ントシステムについて説明する。ただし、ISMSとPMSと統合する統合マネジメントは一つの例にすぎず、本開示における統合マネジメントシステムは、あらゆるマネジメントシステムの統合に適用することができる。
【0013】
図1は、第1実施形態における統合マネジメントシステム1の概要を説明するための図である。統合マネジメントシステムには、ネットワーク上に構築されており、ネットワークを通じてアクセス可能である。統合マネジメントシステム1は、大別すると、ISMS固有の機能(ISMS機能),PMS固有の機能(PMS機能),ISMSとPMSとで共通の機能(共通マネジメント機能),管理機能を有する。
【0014】
統合マネジメントシステム1には、例えば、以下のような利点がある。ネットワークを通じて統合マネジメントシステム1へのアクセスが可能となる。そのため、例えば、遠隔地から担当者がデータ入力することができる。また、例えば、承認事案が発生した場合に、直接承認者に書類を持って行くことなく、ネットワーク経由で承認依頼、承認処理を行うことができる。例えば、認証規格の審査機関がネットワーク経由で審査することができ
、審査機関の担当者が現地に赴く手間が省ける。
【0015】
ISMSとPMSとで重複する機能は、共通化される。そのため、重複して行われていた作業や活動が一本化され、手間が省かれる。
【0016】
ISMSとPMSとで共通のインタフェースが統合マネジメントシステム1によって提供される。そのため、マネジメントシステムごとに異なるデータファイルに対して処理を行うことなく、統合マネジメントシステム1によって提供されるインタフェース(Webページ)にアクセスするだけでよく、工数を省くことができる。また、統合マネジメントシステム1によって提供されるインタフェース(Webページ)から入力されたデータは、統合マネジメントシステム1が保持するデータベース(記録DB)に記録されるため、証跡(証拠)を残すことができる。この証跡は、ネットワーク経由でいつでもどこからでもアクセスすることができる。
【0017】
以上のように、統合マネジメントシステム1によって、ISMSとPMSとに係る処理を効率化することができ、運用コストを低減することができる。
【0018】
図2は、統合マネジメントシステム1の構成例を示す図である。統合マネジメントシステム1は、DMZ(DeMilitarized Zone:非武装地帯)に設置されたWebサーバ2と、セキュアなネットワーク内に設置されたアプリケーションサーバ3とデータベースサーバ4とを含む。ユーザ端末は、インターネットを通じて統合マネジメントシステム1にアクセスする。この際、ユーザ端末は、Webサーバ2にアクセスし、Webサーバ2を介してアプリケーションサーバ3及びデータベースサーバ4による統合マネジメントシステム1のサービスを享受する。すなわち、Webサーバ2は、Webアクセスにより、ユーザ端末に統合マネジメントシステム1のインタフェースを提供する。
【0019】
なお、図2に示される例は、統合マネジメントシステム1を構成するハードウェア装置がインターネット上に設置されている場合が想定されている。ただし、これに限られず、統合マネジメントシステム1が、例えば、社内LAN等の私設のネットワーク内に構築されていてもよく、この場合には、Webサーバ2,アプリケーションサーバ3,データベースサーバ4,ユーザ端末は互いにLANで接続される。また、Webサーバ2,アプリケーションサーバ3,データベースサーバ4は、それぞれ1台ずつであってもよい。第1実施形態では、Webサーバ2、アプリケーションサーバ3,データベースサーバ4がそれぞれ複数台設置された、いわゆるクラウド上で統合マネジメントシステムが実現される例について説明する。また、統合マネジメントを利用する組織は、企業であることを想定して説明する。
【0020】
図3は、情報処理装置のハードウェア構成の例を示す図である。図3に示される情報処理装置500は、例えば、図2に示されるWebサーバ2,アプリケーションサーバ3,データベースサーバ4として採用される装置である。
【0021】
情報処理装置500は、制御部51,入力装置53,出力装置54,補助記憶装置55,媒体駆動装置56,ネットワークインタフェース57を備え、これらのハードウェア構成要素はバス59で接続されている。情報処理装置500は、例えば、サーバ専用のコンピュータ,汎用のコンピュータ等である。また、情報処理装置500は、ユーザ端末としても採用可能である。情報処理端末500がユーザ端末として採用される場合には、情報処理装置は、パーソナルコンピュータ(PC)、PDA(Personal Digital Assistant),携帯電話端末,スマートフォン等である。
【0022】
入力装置53は、外部からの入力を受け付ける装置である。入力装置53は、例えば、
キーボード,スキャナ等を含む。入力装置53に入力されたデータは、制御部51に出力される。
【0023】
ネットワークインタフェース57は、ネットワークとの情報の入出力を行うインタフェースである。ネットワークインタフェース57は、有線のネットワーク、および、無線のネットワークと接続する。ネットワークインタフェース57は、例えば、NIC(Network Interface Card),無線LAN(Local Area Network)カード等である。ネットワークインタフェース57は、接続されるネットワークからパケット等のデータブロックを受信する。ネットワークインタフェース57で受信されたデータブロックは、制御部51に出力される。
【0024】
制御部51は、プロセッサ51aと主記憶装置51bとを含む。主記憶装置51bは、
補助記憶装置55に格納されているプログラムをロードする記憶領域および作業領域をプロセッサ51aに提供したり、バッファとして用いられたりする。主記憶装置51bは、例えば、RAM(Random Access Memory)のような半導体メモリである。
【0025】
補助記憶装置55は、様々なプログラムや、各プログラムの実行に際してプロセッサ51aが使用するデータを格納する。補助記憶装置55は、例えば、EPROM(Erasable
Programmable ROM)やハードディスクドライブ(Hard Disc Drive)を含む。補助記憶装置55は、例えば、オペレーティングシステム(OS)や、その他様々なアプリケーションプログラムを保持する。
【0026】
プロセッサ51aは、例えば、CPU(Central Processing Unit)や、DSP(Digital Signal Processor)である。プロセッサ51aは、補助記憶装置55に保持されたO
Sや様々なアプリケーションプログラムを主記憶装置51bにロードして実行することによって、様々な処理を実行する。
【0027】
媒体駆動装置56は、可搬記録媒体60からデータを読み出し制御部51に出力する。可搬記録媒体60は、例えば、USB(Universal Serial Bus),フラッシュメモリ,CD(Compact Disc),又はDVD(Digital Versatile Disc)のような記録媒体である。
【0028】
出力装置54は、制御部51の処理の結果を出力する。出力装置54は、例えば、ディスプレイ,プリンタ等を含む。
【0029】
図4は、統合マネジメントシステム1の機能ブロックの例を示す図である。統合マネジメントシステム1は、入力受付手段11,ログイン手段12,処理振分手段13,出力手段14,共通モジュール15,ワークフロー処理手段16,共通マネジメント部17,ISMSマネジメント部18,PMSマネジメント部19を含む。これらの機能ブロックは、例えば、アプリケーションサーバ3の機能ブロックであってもよい。または、入力受付手段11,ログイン手段12,処理振分手段13,出力手段14はWebサーバ2の機能ブロック,その他の機能ブロックはアプリケーションサーバ3の機能ブロックであってもよい。
【0030】
統合マネジメントシステム1は、データベース20を含む。データベース20は、1台または複数のデータベースサーバ4が保持する記憶装置内に形成される。
【0031】
入力受付手段11は、ユーザ端末からのWebアクセスを終端する。ログイン手段12は、アクセスしてきたユーザ端末のユーザの認証を行う。ログインに係る処理については、後述する。処理振分手段13は、ログイン手段12によって認証されたユーザ端末に対して統合マネジメントシステム1のトップページを提供する。
【0032】
ISMSマネジメント部18は、ISMS固有のマネジメントを実行する機能ブロック群である。PMSマネジメント部19は、PMS固有のマネジメントを実行する機能ブロック群である。共通マネジメント部17は、ISMSとPMSとで共通するマネジメントを実行する機能ブロック群である。これらの機能ブロック群については、後述する。
【0033】
ワークフロー処理手段16は、共通マネジメント部17,ISMSマネジメント部18,PMSマネジメント部19によって発行される種々のワークフローを実行する。
【0034】
共通モジュール15は、ワークフロー処理手段16によるワークフローの実行によって、ユーザに通知するイベントが発生した場合に、トップページにおいて該イベントを通知するモジュールを備える。共通モジュール15は、お知らせ処理手段151と、ToDO処理手段152とを含む。お知らせ処理手段151は、ユーザに対するお知らせをトップページの「お知らせ欄」に配する処理を実行する。ユーザに対して通知されるお知らせは、例えば、イベント完了や、ユーザ端末が使用する統合マネジメントシステム1のソフトウェアの更新等がある。ToDO処理手段152は、各ユーザに対して、実行しなければならない処理をトップページの「ToDO欄」に配する処理を実行する。
【0035】
データベース20内には、パブリックスキーマ22と各企業のスキーマ21とが構築される。パブリックスキーマ22は、統合マネジメントシステム1を利用する全企業の全ユーザ端末が利用可能な(アクセス制限のない)記憶領域である。各企業のスキーマ21は、各企業に専用に割り当てられた、その企業のユーザ端末のみがアクセス可能な記憶領域である。
【0036】
各企業のスキーマ21には、他の企業からのアクセスを制限するため、ユーザ情報テーブル211,ワークフローテーブル212,インシデントテーブル,お知らせテーブル213,ToDOテーブル214が保持される。
【0037】
ユーザ情報テーブル211には、統合マネジメントシステム1のユーザに関する情報が保持される。ワークフローテーブル212には、共通マネジメント部17,ISMSマネジメント部18,PMSマネジメント部19において発行されたワークフローに関する情報が保持される。お知らせテーブル213には、お知らせ処理手段151によってトップページに配されるお知らせに関する情報が保持される。ToDOテーブル214には、ToDO処理手段152によってトップページの「ToDO欄」に配される処理に関する情報が保持される。これらのテーブルの詳細は後述する。
【0038】
パブリックスキーマ22には、統合マネジメントシステム1を利用する全企業がアクセスできる必要がある、企業情報テーブル221,コードマスタ222,ログインテーブル223が保持される。パブリックスキーマ22に格納される情報は、統合システム1を利用する各企業のユーザからアクセスされるため、セキュリティ強化のため、各企業やユーザを特定可能な情報(例えば、企業名,業種,規模,ユーザ名等の固有名詞)は、コードマスタ222等によりコード化されている。
【0039】
企業情報テーブル221には、統合マネジメントシステム1を利用する企業に関する情報が保持される。コードマスタ222には、企業の規模や業種の分類を示すコードが保持される。ログインテーブル223には、ログイン時に使用されるユーザと企業との対応付けが保持される。これらのテーブルの詳細は、後述する。
【0040】
図5は、共通マネジメント部17の機能ブロックの例を示す図である。共通マネジメント部17は、規定管理手段171,インシデント管理手段172,是正予防管理手段17
3,内部監査支援手段174,記録管理手段175,セルフチェック手段176,教育手段177を含む。
【0041】
規定管理手段171は、各マネジメントシステムの規定を定めるまでの承認フローと、公開された規定を参照する処理を実行する。インシデント管理手段172は、インシデントが発生した際の報告と、この報告を承認するためのフローを実行する。インシデントとは、例えば、社内からのPCの持ち出し、備品の紛失、データ流出等の統合マネジメントシステム1において管理される資産(情報資産含む)に関して発生する事象である。是正予防管理手段173は、マネジメントを是正するための、又は、インシデントを予防するための計画立案と承認のフローを実行する。内部監査支援手段174は、内部監査の各項目をチェックするためのフローを実行する。記録管理手段175は、統合マネジメントシステム1の各処理手段では管理されない証跡を統合マネジメントシステム1内に形成される記録データベース(図示せず)内に保存する処理と、この証跡を参照する処理とを実行する。記録データベース内に保存される証跡には、例えば、紙媒体での管理簿を電子データ化したもの等が含まれる。セルフチェック手段176は、ISMSやPMSなど統合マネジメントシステム1に含まれるマネジメントシステムの遵守事項をユーザに確認するセルフチェックのフローを実行する。教育手段177は、ISMSやPMSに関する知識の教育を促進するフローを実行する。
【0042】
図6は、ISMSマネジメント部18の機能ブロックの例を示す図である。ISMSマネジメント部18は、情報資産管理手段181,情報資産リスク分析手段182,持ち出し管理手段183,有効性測定手段184,インシデント・是正予防起票手段185を含む。
【0043】
情報資産管理手段181は、情報資産を管理する。情報資産とは、社内の備品などの物品や、人事情報や財務情報などの機密性の高い情報である。情報資産リスク分析手段182は、情報資産の漏えい、紛失等のリスク分析を実行する。持ち出し管理手段183は、情報資産の外部への持ち出しを管理する。有効性測定手段184は、ISMSの有効性を測定する。インシデント・是正予防起票手段185は、例えば、インシデント発生の報告やISMSの是正予防の起票を行う。
【0044】
図7は、PMSマネジメント部19の機能ブロックの例を示す図である。PMSマネジメント部19は、個人情報保護管理手段191,苦情管理手段192,個人情報開示・訂正・利用停止管理手段193,委託先管理手段194,個人情報リスク分析手段195,インシデント・是正予防起票手段196を含む。
【0045】
個人情報保護管理手段191は、顧客の個人情報を管理する。苦情管理手段192は、統合マネジメントシステム1を利用する企業に対する苦情を管理する。個人情報開示・訂正・利用停止管理手段193は、個人情報の開示、訂正、利用停止を管理する。委託先管理手段194は、例えば、個人情報を扱う業務の業務委託先に関する情報を管理する。個人情報リスク分析手段195は、個人情報の漏えい、紛失等のリスク分析を実行する。インシデント・是正予防起票手段196は、例えば、インシデント発生の報告やPMSの是正予防の提案を行うための起票を行う。
【0046】
図5,図6,図7に示される機能ブロック図は、一例であり、各マネジメント部では、選択的に必要な機能ブロックを保持することができる。
【0047】
図8は、ユーザ情報テーブル211の例を示す図である。ユーザ情報テーブル211は、各企業のスキーマ21に保持されている。ユーザ情報テーブル211は、企業ごとに作成される。ユーザ情報テーブル211は、エントリとして、メールアドレス,ユーザ名,
ログインパスワード,要員番号,部門コード,権限,氏名等の情報を保持する。ユーザ情報テーブル211は、ユーザの新規追加,削除,または、ユーザの部門移動等による登録内容の変化に伴って統合マネジメントシステム1を利用する各企業の管理者によって更新される。
【0048】
図9は、ワークフローテーブル212の例を示す図である。ワークフローテーブル212は、各企業のスキーマ21に保持されている。ワークフローテーブル212は、企業ごとに作成される。ワークフローテーブル212は、ワークフロー処理手段16によって管理(登録,更新,削除等)されている。ワークフローテーブル212のエントリは、ワークフロー処理手段16がワークフローの発行を受け付けると作成される。ワークフローテーブル212のエントリは、項目に、ワークフローID,ワークフロー処理区分,処理番号,依頼元要員番号,依頼先要員番号,依頼日,承認結果,承認日,コメント等を含む。
【0049】
ワークフローテーブル212のエントリの、「ワークフローID」,ワークフロー処理区分」,「処理番号」,「依頼元要員番号」,「依頼日」は、エントリ作成時にワークフロー処理手段16によって自動入力される。「ワークフローID」は、エントリ登録時点で使用されていない番号が付される。「ワークフロー処理区分」には、ワークフローが発行された処理が登録される。例えば、「ワークフロー処理区分」が「インシデント」である場合には、該ワークフローがインシデント管理処理(後述)において発行されたことが示される。「処理番号」は、インシデントテーブルにおいて用いられる番号である(後述)。「依頼元要員番号」には、例えば、起票者の要員番号が格納される。「依頼日」には、ワークフローが発行された日時が格納される。「承認結果」と「承認日」は、初期状態では空であり、ワークフローが終了するとそれぞれワークフロー処理手段16によって値が格納される。
【0050】
図10は、インシデントテーブルの例を示す図である。インシデントテーブルは、ワークフローテーブル212とともに、各企業のスキーマ21に保持されている。インシデントテーブルは、企業ごとに作成されている。インシデントテーブルは、共通マネジメント部17のインシデント管理手段172によって管理(登録,更新,削除等)されている。インシデントテーブルのエントリは、インシデント管理手段172がインシデントの起票を受け付けると生成される。インシデントテーブルのエントリは、項目に、処理番号,インシデント区分,インシデントデータ,内容,状況,承認状況等を含む。
【0051】
インシデントテーブルのエントリの、「処理番号」は、インシデント管理手段172によってエントリ作成時に自動入力される。「インシデント区分」,「インシデントデータ」,「内容」,「状況」は、インシデントの起票画面において、ユーザから入力された値が格納される。「インシデント区分」には、インシデントの種類が格納される。インシデントの種類には、例えば、「紛失・盗難」,「ウイルス感染」等がある。「承認状況」には、状況に応じて、例えば、「承認待ち」,「承認済み」が格納される。
【0052】
ワークフローテーブル212のエントリとインシデントテーブルのエントリとは、「処理番号」によって対応付けられている。ワークフローテーブル212とインシデントテーブルとのエントリは、例えば、月単位、年単位で所定期間保持される。
【0053】
図11は、お知らせテーブル213の例を示す図である。お知らせテーブル213は、企業ごとに作成される。お知らせテーブル213は、各企業のスキーマ21に保持されており、各ユーザのトップ画面の「お知らせ欄」に配される情報である。お知らせテーブル213は、エントリの項目に、発生元の要員番号,発生日,終了日,お知らせ内容等を含む。お知らせテーブル213のエントリは、例えば、所定のワークフローによって新規に作成され、エントリの「終了日」になった場合に削除される。
【0054】
図12は、ToDOテーブル214の例を示す図である。ToDOテーブル214は、各企業のスキーマ21に保持されており、各ユーザのトップ画面の「ToDO欄」に配される情報である。ToDOテーブル214は、企業ごとに作成される。ToDOテーブル214は、エントリの項目に、処理区分,依頼先要員番号,ワークフローID,発生日,期限,依頼内容等を含む。「処理区分」には、エントリを作成したワークフローの種類が格納される。例えば、「処理区分」には、「承認」や「インシデント対処」等が格納される。「ワークフローID」は、ワークフローテーブル212の「ワークフローID」と対応しており、ToDOテーブル214のエントリを生成したワークフローのIDが格納される。ToDOテーブル214のエントリは、所定のワークフローによって新規に作成される。
【0055】
図13は、企業情報テーブル221の例を示す図である。企業情報テーブル221は、パブリックスキーマ22に保持される。企業情報テーブル221は、統合マネジメントシステム1で1つ作成される。企業情報テーブル221は、エントリの項目に、企業コード,サーバ名,ポート番号,スキーマ名,業種,規模,利用できるサービス,契約ユーザ数,使用可能ディスク容量等を含む。「企業コード」は、統合マネジメントシステム1の管理者によって付された企業を識別するためのコードである。「サーバ名」と「ポート番号」とは、企業に割り当てられたデータベースサーバ名とポート番号である。スキーマとは、データベースサーバの記憶装置内に作成される所定容量の記憶領域である。「スキーマ名」には、企業に割り当てられたスキーマ21の名前が格納される。サーバ名とポート番号とスキーマ名とで、エントリの企業に割り当てられた記憶領域を特定することができる。「業種」と「規模」には、後述のコードマスタ222に保持されるコードのうち、エントリの企業の業種と規模とに合致するコードが格納される。
【0056】
図14は、コードマスタ222の例を示す図である。コードマスタ222は、パブリックスキーマ22に保持される。コードマスタ222は、統合マネジメントシステム1に1つ作成される。コードマスタ222には、規模、業種に対するコードなどが格納されている。例えば、図14に示される例では、大手の企業の規模のコードは、「1」となる。業種が農業の企業の業種のコードは、「A」となる。
【0057】
図15は、ログインテーブル223の例を示す図である。ログインテーブル223は、パブリックスキーマ22に保持される。ログインテーブル223は、統合マネジメントシステム1で1つ作成される。ログインテーブル223は、エントリの項目に、メールアドレスと企業コードとを含む。ログインテーブル223は、ログイン時に、ユーザが属する企業を判別するためのテーブルである。
【0058】
なお、図8〜図15に示されるテーブルは、それぞれ一例であって、これに限られない。各テーブルは、統合マネジメントシステム1の設計に応じて、エントリ項目等を適宜変更可能である。また、図8〜図15に示される例では、統合マネジメントシステム1におけるユーザの識別子としてメールアドレスを用いているが、これに限られず、一意にユーザを特定できる情報であればよい。
【0059】
<動作例>
以下、統合マネジメントシステム1において実行される処理のうち、いくつかの処理を例に挙げて説明する。
(ログイン処理)
図16A及び図16Bは、ログイン時の処理のフローを示す図である。図16A及び図16Bのフローは、ユーザ端末が統合マネジメントシステム1にアクセスすると開始される。以下、フローについての説明では、機能ブロックを主体として説明するが、実際には
、各機能ブロックを有する装置のプロセッサ51aが実行している。
【0060】
OP1では、入力受付手段11が、アクセスしてきたユーザ端末に対してログイン画面を提供する。ユーザ端末では、ディスプレイにログイン画面が表示される。
【0061】
OP2では、ユーザ端末にメールアドレスとパスワードとが入力されると、入力受付手段11がメールアドレスとパスワードとに入力を受け付ける。メールアドレスとパスワードとは、ログイン手段12に送信される。
【0062】
OP3では、ログイン手段12は、パブリックスキーマ22に保持されるログインテーブル223から、入力されたメールアドレスに対応する企業コードを読み出して取得する。
【0063】
OP4では、ログイン手段12は、パブリックスキーマ22に保持される企業情報テーブル221から、OP3で取得した企業コードに対応するサーバ名,ポート番号,スキーマ名を読み出して取得する。
【0064】
OP5では、ログイン手段12は、OP4で取得した、サーバ名,ポート番号,スキーマ名によって特定される企業のスキーマ21に保持されるユーザ情報テーブル211から、メールアドレスとパスワードを検索する。
【0065】
OP6では、ログイン手段12は、ユーザ情報テーブル211内に、入力されたメールアドレスとパスワードとに一致するエントリがあるか否かを判定する。ユーザ情報テーブル211内に、入力されたメールアドレスとパスワードとに一致するエントリがある場合には(OP6:Yes)、処理がOP8に進む。ユーザ情報テーブル211内に、入力されたメールアドレスとパスワードとに一致するエントリが存在しない場合には(OP6:No)、処理がOP7に進む。
【0066】
OP7では、入力されたメールアドレスとパスワードとに合致するエントリが存在しないため、ログインが失敗する。ログイン手段12は、ログイン失敗を示すエラーメッセージを出力手段14からユーザ端末に送信する。その後、図16Aに示されるフローが終了する。
【0067】
OP8では、ログインが成功したので、ログイン手段12は、ログインしたユーザに応じたトップ画面の作成を開始するため、処理振分手段13を起動する。
【0068】
OP9では、ログイン手段12は、OP4で取得したサーバ名,ポート番号,スキーマ名をログイン手段12を有する情報処理装置500のメモリ内のセッション情報のスキーマ情報(図4)に設定する。さらに、ログイン手段12は、OP4において取得した企業情報テーブル221のエントリの、利用できるサービス等をセッション情報に設定する。セッション情報は、ユーザがログアウトするまでの間、該ユーザのスキーマ情報を保持することによって、各企業のスキーマ21へのアクセス時間を短縮するためのものである。図16Cにセッション情報の例を示す。
【0069】
OP10では、処理振分手段13は、ToDO処理手段152を起動する。ToDO処理手段152は、ToDOテーブル214からユーザのToDOリストを作成し、トップ画面の「ToDO欄」に配置する。ToDOリストは、例えば、ToDOテーブル214から、「依頼先要員番号」がログインしたユーザの要員番号と一致するエントリを抽出して作成される。
【0070】
OP11では、処理振分手段13は、お知らせ処理手段151を起動する。お知らせ処理手段151は、お知らせテーブル213からユーザのお知らせリストを作成し、トップ画面の「お知らせ欄」に配置する。お知らせリストは、例えば、お知らせテーブル213から、「発生元要員番号」がログインしたユーザの要員番号と一致するエントリを抽出して作成される。
【0071】
OP12では、処理振分手段13は、セッション情報を参照して、当該企業が利用できるサービスの種類に応じてメニュー項目を配置する。
【0072】
OP13では、処理振分手段13は、作成したトップ画面を出力手段14からユーザ端末に送信する。ユーザ画面では、作成されたトップ画面が表示される。その後、図16Bに示されるフローが終了する。
【0073】
統合マネジメントシステム1では、ログイン時に使用されるユーザ情報テーブル211をパブリックスキーマ22ではなく、各企業のスキーマ21に配置する。ユーザ情報テーブル211はパスワードなど機密性の高い情報を含んでいるため、他の企業がアクセスできない、各企業のスキーマ21に配置される。すなわち、統合マネジメントシステム1では、機密性の高い情報はパブリックスキーマ22からは隔離して配置されるため、セキュリティが高い。
【0074】
(承認のワークフロー)
統合マネジメントシステム1では、ワークフローが複数用意されている。例えば、各種イベントの承認依頼,インシデントに対する対処依頼,等のワークフローがある。複数のワークフローのうち、代表して承認のワークフローについて説明する。
【0075】
図17Aは、承認依頼のワークフローに係る処理のフローの例を示す図である。図17Aに示されるフローチャートは、ワークフロー処理手段16が承認依頼のワークフローの発行を受け付けると開始される。ワークフローは、共通マネジメント部17,ISMSマネジメント部18,PMSマネジメント部19に含まれる各機能ブロックから発行される。以降、ワークフローを発行する各機能ブロックを単に「発行元」と称する。
【0076】
OP21では、ワークフロー処理手段16は、承認者である依頼先要員番号を取得する。依頼先要員番号は、例えば、ワークフローの発行時に発行元から指定される。発行元では、例えば、ユーザからの承認者の選択によって依頼先要員番号を取得する。ユーザには、例えば、発行元による処理の開始時に、承認者選択画面が提供される。図17Bは、承認者選択画面の例である。承認選択画面においてユーザが承認者を選択することによって、発行元は承認者の要員番号を取得する。
【0077】
OP22では、ワークフロー処理手段16は、ワークフロー処理区分を取得する。ワークフロー処理区分は、例えば、ワークフローの発行時に発行元から指定される。例えば、発行元が共通マネジメント部17のインシデント管理手段172である場合には、ワークフロー処理区分は、「インシデント」となる。ワークフロー処理区分が「インシデント」である場合には、ワークフロー処理手段16は、インシデントテーブルから処理番号を取得する。
【0078】
OP23では、ワークフロー処理手段16は、ワークフローテーブル212の新たなエントリ生成して追加することによって、ワークフローテーブル212に該承認のワークフローを登録する。
【0079】
OP24では、ワークフロー処理手段16は、ToDOテーブル214に書込むための
パラメータ(ToDOパラメータ)を取得する。ToDOパラメータは、ToDOテーブル214の項目として格納される情報である。ワークフロー処理手段16は、例えば、以下のようにして、ToDOパラメータを取得する。ToDOテーブル214の「処理区分」は、実行中のワークフローの種類から得られる。ToDOテーブル214の「依頼先要員番号」は、ワークフローテーブル212の該当エントリの「依頼先要員番号」から取得される。ToDOテーブル214の「ワークフローID」は、ワークフローテーブル212の該当エントリの「ワークフローID」から取得される。ToDOテーブル214の「発生日」には、エントリが登録された日付が登録される。ToDOテーブル214の「期限日」は、「発生日」から予め定められた期間後の日付、又は、発行元を通じてユーザから入力によって指定される日付が登録される。OP25では、ワークフロー処理手段16は、ToDOテーブル214のエントリを新たに生成して追加することによって、承認処理を依頼先のユーザのToDO処理として登録する。
【0080】
OP26では、ワークフロー処理手段16は、OP21で取得した承認者のユーザ端末に対して電子メールを送信する。承認者のメールアドレスは、ユーザ情報テーブル211から取得される。これによって、承認者に承認のToDO処理の発生が通知される。
【0081】
OP27では、承認者であるユーザがトップ画面のToDO欄に表示されたToDOリストの中から承認のToDO処理を選択し、例えば、画面中の承認ボタンをクリックすることによって、承認者による承認処理が実行される。承認者であるユーザによる承認処理の実行は、承認者のユーザ端末から、ワークフローIDと共に、ワークフロー処理手段16に通知される。
【0082】
OP28において、ワークフロー処理手段16は、承認者による承認が完了したので、ワークフローテーブル212のワークフローIDによって特定されるエントリを更新する。例えば、ワークフロー処理手段16は、ワークフローテーブル212の該当エントリの「承認結果」に「承認」を登録する。また、ワークフロー処理手段16は、ワークフローテーブル212の該当エントリの「承認日」に、承認者であるユーザによる承認処理の実行の通知を受け付けた日付を登録する。また、ワークフロー処理手段16は、ToDOテーブル214から、ワークフローIDによって特定される該当エントリを削除する。
【0083】
OP29において、ワークフロー処理手段16は、お知らせテーブル213に、承認の依頼元であるユーザに承認完了を通知するための新規エントリを追加する。お知らせテーブル213に追加されるエントリの「発生元要員番号」には、ワークフローテーブル212の処理対象のワークフローのエントリの「依頼元要員番号」に格納される要員番号が格納される。お知らせテーブル213に追加されるエントリの「発生日」には、お知らせテーブル213にエントリを追加した日付が格納される。お知らせテーブル213に追加されるエントリの「終了日」には、「発生日」から所定の期間後の日時が格納される。「お知らせ内容」には、例えば、ワークフローIDと該ワークフローの承認完了とが格納される。その後、図17Aに示されるフローが終了する。
【0084】
図17Aでは、承認依頼のワークフローに係る処理のフローについて示した。承認依頼以外の依頼のワークフローについても、承認に係る処理が置き換わるのみで、図17Aのフローとほぼ同様にして実行される。
【0085】
(持ち出し管理)
図18は、持ち出し管理処理のフローの例を示す図である。図18に示されるフローは、例えば、トップ画面のメニュー項目から「持ち出し管理」が選択されると開始される。
【0086】
OP31では、ISMSマネジメント部18の持ち出し管理手段183は、ユーザから
情報資産の持ち出し申請の入力を受け付ける。情報資産の持ち出し申請の入力は、持ち出し申請画面への所定の項目の入力によって行われる。図19は、持ち出し申請の入力画面の例を示す。持ち出し管理手段183は、例えば、承認者選択画面(図17B)で選択された承認者を依頼先として承認依頼のワークフローをワークフロー処理手段16に対して発行する。承認依頼のワークフローを発行すると、持ち出し管理手段183は、持ち出し申請の状態を「承認待ち」にする。図20は、承認待ちの状態の持ち出し申請を含む持ち出し一覧画面の例である。
【0087】
OP32では、ワークフロー処理手段16による承認依頼のワークフローの実行によって(図17A)、持ち出し申請を行ったユーザに、トップ画面のお知らせ欄により、持ち出し申請が承認されたことが通知される。また、持ち出し管理手段183は、ワークフロー処理手段16による承認依頼のワークフローが完了すると、持ち出し申請の状態を「承認待ち」から「承認済み」に更新する。持ち出し管理手段183は、例えば、ワークフローテーブル212の該当エントリの「承認結果」が「承認」に書き換えられることによって、承認依頼のワークフローの完了を検出する。図21は、承認済みの状態の持ち出し申請を含む持ち出し一覧画面の例である。
【0088】
以後、持ち出し申請を行ったユーザは、情報資産を持ち出すことができる。情報資産を持ち帰ったユーザは、例えば、図21に示される持ち出し一覧画面から、該当する持ち出し申請の「持帰報告」を選択して、持ち帰り報告画面に移動し、持ち帰り報告を行う。図22は、持ち帰り報告画面の例である。ユーザが持ち帰り報告画面中の「持帰報告」ボタンをクリックすると、ユーザ端末から、持ち出し管理手段183に持ち帰り報告が通知される。
【0089】
OP33では、持ち出し管理手段183は、承認された持ち出し申請に対する持ち帰り報告を受け付けたか否かを判定する。持ち帰り報告を受け付けた場合には(OP33:Yes)、処理がOP34に進む。持ち帰り報告を、例えば、承認から所定期間経過後も受け付けていない場合には(OP33:No)、処理がOP36に進む。所定期間は、例えば、図19の持ち出し申請の入力画面において入力される、持ち出し期限までの期間である。
【0090】
OP34では、持ち出し管理手段183は、持ち帰り報告を受け付けたので、ワークフロー処理手段16に対して、OP31と同じ承認者を依頼先として、持ち帰り報告に対する承認依頼のワークフローを発行する。
【0091】
OP35では、ワークフロー処理手段16による持ち帰り報告に対する承認依頼のワークフローの実行によって(図17A)、持ち帰り報告を行ったユーザに、トップ画面のお知らせ欄により、持ち帰り報告が承認されたことが通知される。また、持ち出し管理手段183は、ワークフロー処理手段16による持ち帰り報告に対する承認依頼のワークフローが完了すると、該当する持ち出し申請をクローズする。その後、図18に示されるフローが終了する。
【0092】
OP36では、持ち出し管理手段183は、ユーザから情報資産の紛失報告を受け付ける。ユーザは、情報資産を紛失した場合、例えば、図21に示される持ち出し一覧画面から、該当する持ち出し申請の「紛失報告」を選択して、紛失報告画面に移動し、紛失報告を行う。図23Aは、紛失報告画面の例である。ユーザが紛失報告画面中の「紛失報告」ボタンをクリックすると、持ち出し管理手段183に紛失報告が通知される。紛失報告の入力を受け付けると、持ち出し管理手段183は、OP31と同じ承認者を依頼先として紛失報告に対する承認依頼のワークフローをワークフロー処理手段16に対して発行する。
【0093】
OP37では、ワークフロー処理手段16による紛失報告に対する承認依頼のワークフローの実行によって(図17A)、紛失報告を行ったユーザに、トップ画面のお知らせ欄により、紛失報告が承認されたことが通知される。また、持ち出し管理手段183は、ワークフロー処理手段16による紛失報告に対する承認依頼のワークフローが完了すると、該当する持ち出し申請の状態を、例えば、「インシデント起票要」に変更する。
【0094】
OP38では、ユーザによって情報資産の紛失についてインシデントの起票が実行される。インシデントの起票に係る処理については、後述する。ユーザは、情報資産の紛失についてインシデントの起票をする場合、例えば、図23Aに示される紛失報告画面中の「インシデント起票」ボタンをクリックしてインシデント起票画面に移動し、インシデント起票を行う。持ち出し管理手段183は、インシデント起票の実行を検出すると、該当する持ち出し申請の状態を「紛失」にする。図23Bは、「紛失」の状態の持ち出し申請を含む持ち出し一覧画面の例である。その後、図18に示されるフローが終了する。
【0095】
(インシデント管理)
図24は、インシデント起票画面の例である。インシデント起票画面は、ISMSマネジメント部18のインシデント・是正予防起票手段185又はPMSマネジメント部19のインシデント是正予防起票手段196(以降、両者をまとめて起票手段と称する)によってユーザ端末に提供される。インシデント起票画面には、発生日時,インシデント種別,インシデントの概要,等の入力項目がある。「起票者」には、ユーザの要員番号又は氏名が起票手段によって自動入力される。また、インシデント起票画面に入力された内容は、起票手段によって、共通マネジメント部17のインシデント管理手段172に送信される。
【0096】
図25は、インシデント管理処理のフローの例を示す図である。図25に示されるフローは、共通マネジメント部17のインシデント管理手段172が、起票手段からインシデントの起票を受け付けると開始される。
【0097】
OP40では、インシデント管理手段172は、受け付けた起票の内容をもとに、インシデントテーブルのエントリを生成して追加する。
【0098】
OP41では、インシデント管理手段172は、起票者であるユーザが属する部門の部門長を依頼先として承認依頼のワークフローをワークフロー処理手段16に対して発行する。ユーザの属する部門の部門長の検出は、例えば、ユーザ情報テーブル211に基づいて行われる。その後、ワークフロー処理手段16によってインシデント起票に対する承認依頼のワークフローが実行される。
【0099】
OP42では、ワークフロー処理手段16によるインシデント起票に対する承認依頼のワークフローの実行によって、部門長によって承認がなされる。インシデント管理手段172は、例えば、ワークフローテーブル212の該当エントリの更新によって、部門長による承認を検出する。インシデント管理手段172は、インシデントテーブルの該当エントリの「承認状況」を「承認済み」に変更する。また、OP41において発行されたワークフローの依頼元であるユーザ(起票者)には、承認依頼のワークフローに実行によって、トップ画面のお知らせ欄で、インシデント起票に対する部門長による承認完了が通知される。
【0100】
OP43では、インシデント起票に対する部門長による承認完了のお知らせが起票者であるユーザによって確認されたことを検出すると、インシデント管理手段172は、起票者を依頼元、統合マネジメントシステム1を管理する事務局を依頼先として、ワークフロ
ー処理手段16に対して、振分け依頼のワークフローを発行する。振分け依頼のワークフローは、インシデントの根本的な原因が他部門であると考えられる場合、管理元である部門に対してインシデントに対する処置を依頼する処理である。根本的な原因が他部門である場合とは、例えば、ウイルス感染を検知したが、ウイルスの感染元が他部門のユーザ端末にあると考えられる場合である。その後、ワークフロー処理手段16によって、振り分け依頼のワークフローが実行される。なお、起票者によるお知らせの確認は、例えば、お知らせが表示される画面内の確認ボタンを起票者がクリックすることによって検出される。
【0101】
OP44では、ワークフロー処理手段16による振り分け依頼のワークフローの実行により、事務局によってインシデントの根本的な原因があると考えられる部門が抽出され、事務局から、該当部門の部門長に対して、インシデントに対する処置の依頼がなされる。このとき、インシデント管理手段172は、事務局のユーザ端末からの処置の依頼の入力を受け付け、抽出された該当部門の部門長を依頼先、事務局を依頼元として、対処依頼のワークフローをワークフロー処理手段16に対して発行する。対処依頼のワークフローは、発生したインシデントに対する処置を依頼するためのワークフローである。対処依頼を受け付けた該当部門の部門長はインシデントに対する処置として、部門内のユーザに対してインシデントに対する処置を依頼する。
【0102】
OP45では、ワークフロー処理手段16による該当部門の部門長への対処依頼のワークフローの実行により、該当部門の部門長から、該当部門のユーザに対してインシデントに対する処置の依頼がなされる。インシデント管理手段172は、該当部門の部門長のユーザ端末から処置の依頼の入力を受け付けると、該当部門の部門長を依頼元、該当部門のユーザを依頼先として、対処依頼のワークフローをワークフロー処理手段16に対して発行する。その後、ワークフロー処理手段16は、部門に所属するユーザに対して対処依頼のワークフローを実行する。
【0103】
OP46では、ワークフロー処理手段16による対処依頼のワークフローの実行によって、該当部門内のユーザに対してインシデントに対する処置の依頼がなされ、該当部門内の担当者が該当部門内におけるインシデントに対する処置を実行する。担当者が該当部門内におけるインシデントに対して処置を完了すると、担当者のユーザ端末から該当部門の部門長に対して対処完了報告が送信される。このとき、インシデント管理手段172は、これを検出し、担当者を依頼元、該当部門の部門長を依頼先として、対処完了報告に対する承認依頼のワークフローをワークフロー処理手段16に対して発行する。その後、ワークフロー処理手段16が承認依頼のワークフローを実行する。
【0104】
OP47では、ワークフロー処理手段16による対処完了報告に対する承認依頼のワークフローの実行によって、該当部門の部門長によって対処完了報告に対する承認が行われる。
【0105】
OP48では、インシデント管理手段172は、該当部門の各部門において、インシデントに対する処置が完了すると、自身を依頼元、事務局を依頼先として、クローズ依頼のワークフローをワークフロー処理手段16に対して発行する。クローズ依頼のワークフローは、例えば、OP40において登録されたインシデントのエントリを完了状態(クローズ)にすることを依頼するワークフローである。なお、インシデントに対する処置が各部門において完了したことは、例えば、処理対象のインシデントをワークフローテーブル212の「処理番号」に有するエントリの状態が完了である(例えば、「承認結果」の項目が「承認」である)ことによって、検出される。
【0106】
OP49では、ワークフロー処理手段16によるクローズ依頼のワークフローの実行に
より、インシデント管理手段172は、事務局がインシデントテーブルの該当エントリをクローズしたことを検知する。OP50では、インシデント管理手段172は、インシデント確認処理を実行する。インシデント確認処理については、後述する。インシデント処理が終了すると、図25に示されるフローが終了する。
【0107】
図26は、インシデント確認処理のフローの例と、重点項目インシデント区分テーブルの例と、重点項目テーブルの例とを示す図である。インシデント確認処理は、インシデント管理処理の一部として実行される処理であって、統合マネジメントシステム1に及ぼす影響が深刻なインシデントであるか否かを確認し、深刻な影響をもたらすインシデントである場合には、該インシデントを抽出する処理である。
【0108】
重点項目インシデント区分テーブルは、統合マネジメントシステム1に深刻な影響をもたらし、重点的に確認を行う対象となるインシデントの区分が保持されている。重点項目インシデント区分テーブルに設定されるインシデント区分には、例えば、不正接続,ウイルス感染,紛失・盗難,等がある。
【0109】
重点項目テーブルは、インシデントテーブルのエントリの「インシデント区分」が重点項目インシデント区分テーブルに保持される区分と合致するインシデントの、処理番号が保持されている。重点項目インシデント区分テーブル及び重点項目テーブルは、共通マネジメント部17のインシデント管理手段172を機能ブロックとして有する情報処理装置500の主記憶装置51b又は補助記憶装置55に保持される。
【0110】
OP51では、共通マネジメント部17のインシデント管理手段172は、図25のOP49においてクローズされたインシデントテーブルのエントリの「インシデント区分」が、重点項目インシデント区分テーブルに設定されているインシデント区分であるか否かを判定する。該エントリの「インシデント区分」が重点項目インシデント区分テーブルに設定されているインシデント区分と一致する場合には(OP52:Yes)、処理がOP53に進む。該エントリの「インシデント区分」が重点項目インシデント区分テーブルに設定されているインシデント区分と一致しない場合には(OP53:No)、図26に示されるフローが終了する。
【0111】
OP53では、インシデント管理手段172は、該当エントリの処理番号を重点項目テーブルに書き込む。その後、図26に示されるフローが終了する。
【0112】
統合マネジメントシステム1の管理者や企業の担当者等は、重点項目テーブルを参照し、確認したいインシデントの処理番号を取得する。統合マネジメントシステム1の管理者や企業の担当者等は、取得した処理番号を手掛かりとして、該インシデントの詳細情報を閲覧することができる。図27は、インシデントの確認画面の例である。したがって、インシデント確認処理によって、重点項目テーブルが作成され、統合マネジメントシステム1の管理者や企業の担当者等は、重点的に確認が必要なインシデントを迅速に特定することができる。図26に示されたインシデント確認処理は、インシデント管理処理の一部として実行されることに限られず、例えば、所定の周期のバッチ処理で、インシデントテーブル内のクローズされたエントリに対して実行されてもよい。
【0113】
(是正予防管理処理)
図28は、業務プロジェクトチームや本部等の小規模なグループ単位で行われる是正予防管理処理のフローの例を示す図である。図28に示されるフローは、例えば、統合マネジメントシステム1の推進チーム内のみに影響するインシデントに対する是正予防の計画が立案、確認される例のフローである。図28に示されるフローは、例えば、ユーザによって、トップ画面のメニュー項目から「是正予防」が選択されると開始される。
【0114】
OP61では、チームの責任者によって、インシデントに対する是正または予防の計画が作成され、該責任者のユーザ端末において、是正予防の起票が行われる。ISMSマネジメント部18のインシデント・是正予防起票手段185またはPMSマネジメント部19のインシデント・是正予防起票手段196(以降、まとめて、起票手段)は、是正予防の起票画面を通じてユーザ(チーム責任者)から入力された是正予防の計画を、共通マネジメント部17の是正予防管理手段173に送信する。共通マネジメント部17の是正予防管理手段173は起票を受け付けると、該ユーザ(責任者且つ起票者)の部門長を依頼先として、是正予防の起票の承認依頼のワークフローをワークフロー処理手段16に対して発行する。その後、ワークフロー処理手段16によって、承認依頼のワークフローが実行される。
【0115】
OP62では、ワークフロー処理手段16による承認依頼のワークフローの実行によって、依頼先である部門長によって是正予防の起票の承認がなされる。是正予防管理手段173は、承認依頼のワークフローの完了を、例えば、ワークフローテーブル212の更新によって検知する。図29は、部門長のユーザ端末における、是正予防の起票内容の確認画面の例である。
【0116】
OP63では、是正予防管理手段173は、IMS(統合マネジメントシステム)推進責任者に対して、是正予防の計画の確認を依頼する。是正予防管理手段173がIMS推進責任者による是正予防の計画の確認完了を検知すると、処理がOP64に進む。是正予防の計画の確認の依頼は、例えば、ToDO処理手段152を通じてToDO処理としてIMS推進責任者に通知されることで実行される。また、この場合には、是正予防の計画の確認完了は、該ToDO処理が、IMS推進責任者のユーザ端末からの完了通知によってToDOテーブル214から削除されることによって検知される。
【0117】
OP64では、是正予防管理手段173は、IMS管理責任者に対して是正予防の計画の受理を依頼する。是正予防管理手段173がIMS管理責任者による是正予防の計画の受理を検知すると、処理がOP65に進む。是正予防の計画の受理の依頼及び受理の検知は、例えば、OP63と同様にToDO処理手段152を通じて行われる。
【0118】
OP61からOP64の処理は、是正予防の計画の立案に係る処理である。次のOP65からの処理は、立案された是正予防の計画による処置を確認するための処理である。処置の確認とは、立案された是正予防の計画による処置が実際に行われたことを確認するための処理である。
【0119】
OP65では、処置確認者によって、是正予防の計画による処置が確認され、処置確認者のユーザ端末から、是正予防の計画による処置の確認完了が送信される。処置の確認完了は、例えば、是正予防管理のメニューの画面を通じて処置確認者から入力される。是正予防管理手段173は、処置確認者のユーザ端末から、是正予防の計画による処置の確認完了を受け付ける。是正予防管理手段173は、処置確認者の部門長を依頼先として、処置の確認完了の承認依頼のワークフローをワークフロー処理手段16に対して発行する。その後、ワークフロー処理手段16によって、承認依頼のワークフローが実行される。
【0120】
OP66では、ワークフロー処理手段16による承認依頼のワークフローの実行によって、依頼先である部門長によって処置の確認完了の承認がなされる。是正予防管理手段173は、承認依頼のワークフローの完了を、例えば、ワークフローテーブル212の更新によって検知する。
【0121】
OP67では、是正予防管理手段173は、IMS推進責任者に対して、処置の確認完
了について確認を依頼する。是正予防管理手段173がIMS推進責任者による確認完了を検知すると、処理がOP68に進む。この確認の依頼及び確認完了の検知は、例えば、OP63と同様にToDO処理手段152を通じて行われる。
【0122】
OP68では、是正予防管理手段173は、IMS管理責任者に対して処置の確認完了の受理を依頼する。是正予防管理手段173は、IMS管理責任者による処置の確認完了の受理を検知すると、図28に示されるフローが終了する。
【0123】
図28に示されるフローの実行によって受理された是正予防の計画の処置は、チーム内又は部門内の全ユーザ端末において実行される。
【0124】
図28に示されるフローでは、部門長,IMS推進責任者,IMS管理責任者等の設定は、例えば、予めユーザ情報テーブル211においてなされている。また、これらの一部または全部は、同一の人物であってもよい。
【0125】
図28では、業務プロジェクトチームや本部等の小規模なグループ単位で行われる是正予防管理処理のフローが示される。是正予防管理処理のフローが、全社レベルのような大規模なグループで行われる場合には、是正予防の計画の承認者、確認者、受理をする者が変わる。例えば、全社レベルの是正予防の計画について、図28のフローが実行される場合には、OP62とOP66とにおける承認者がIMS管理責任者となる。OP63とOP67とにおける確認者がトップマネジメントとなる。
【0126】
(セルフチェック処理)
図30は、セルフチェック処理のフローの例を示す図である。セルフチェックは、ユーザに対するセキュリティ等の啓もう活動の一つである。図30に示されるフローは、例えば、トップ画面のメニュー項目から、「セルフチェック」が選択されると開始される。
【0127】
OP70では、共通マネジメント部17のセルフチェック手段176は、ユーザによるサブメニューの選択を受け付ける。例えば、セルフチェックのサブメニューには、チェック項目登録,実施単位別項目リスト登録,スケジュール登録,セルフチェック実行,実施状況確認,フォローがある。チェック項目登録が選択された場合には、処理がOP71に進む。実施単位別項目リスト登録が選択された場合には、処理がOP72に進む。スケジュール登録が選択された場合には、処理がOP73に進む。セルフチェック実行が選択された場合には、処理がOP75に進む。実施状況確認が選択された場合には、処理がOP76に進む。フォローが選択された場合には、処理がOP78に進む。
【0128】
OP71では、セルフチェック手段176は、チェック項目登録処理を実行する。チェック項目登録処理は、セルフチェックの質問項目を登録する処理である。セルフチェック手段176は、ユーザから入力された質問項目をセルフチェックの質問項目に追加し登録する。セルフチェックの質問項目は、例えば、企業に割り当てられたスキーマ21に格納されている。セルフチェック手段176がユーザからセルフチェックの質問項目の登録の終了の入力を受け付けると、図30に示されるフローが終了する。
【0129】
OP72では、セルフチェック手段176は、実施単位別項目リスト登録処理を実行する。実施単位別項目リスト登録処理は、登録されている質問項目を、実施単位別にリストにして登録する処理である。質問項目の実施単位別のリストへの分類は、ユーザからの入力によって行われる。セルフチェック手段176がユーザから実施単位別項目リスト登録の終了の入力を受け付けると、図30に示されるフローが終了する。
【0130】
OP73では、セルフチェック手段176は、スケジュール登録処理を実行する。スケ
ジュール登録処理は、実施単位別に登録された質問項目をいつ、どの期間に実施するか、のスケジュールを登録する処理である。スケジュールは、ユーザから入力される。セルフチェック手段176がユーザからスケジュール登録の終了の入力を受け付けると、処理がOP74に進む。
【0131】
OP74では、セルフチェック手段176は、OP73において登録されたセルフチェックのスケジュールをToDO処理としてToDOテーブル214に登録する。その後、図30のフローが終了する。
【0132】
OP75では、セルフチェック手段176は、セルフチェック実行処理を実行する。セルフチェック実行処理は、セルフチェックの質問項目について回答していく処理である。セルフチェックの質問項目は、画面に表示され、ユーザは、各質問項目に対して回答を入力する。セルフチェック手段176は、セルフチェックを実行したユーザをメモリに記録する。セルフチェック手段176がユーザからセルフチェックの終了の入力を受け付けると、図30に示されるフローが終了する。
【0133】
OP76では、セルフチェック手段176は、実施状況確認処理を実行する。実施状況確認処理は、部門長が部門内のセルフチェック未実施のユーザを確認する処理である。そのため、サブメニューの実施状況確認は、権限が部門長以上のユーザのみが選択することができる。セルフチェック手段176は、セルフチェックを実施していない部門内のユーザを抽出し、表示する。次に処理がOP77に進む。
【0134】
OP77では、セルフチェック手段176は、OP76において抽出されたセルフチェックを実施していない部門内のユーザに対して、セルフチェックの実施をToDO処理としてToDOテーブル214に登録する。さらにセルフチェック手段176は、抽出されたユーザに対してセルフチェックの実施を促す内容のメールを送信する。その後、図30に示されるフローが終了する。
【0135】
OP78では、セルフチェック手段176は、フォロー処理を実行する。フォロー処理は、部門長が、セルフチェック未実施であるユーザの入力,及び、セルフチェック実施済みであるもののNGであったユーザに対してNGであった理由の入力を受け付ける処理である。そのため、サブメニューのフォロー処理は、権限が部門長以上のユーザのみが選択することができる。セルフチェック手段176がユーザからフォロー処理の終了の入力を受け付けると、図30に示されるフローが終了する。
【0136】
<第1実施形態の作用効果>
第1実施形態では、統合マネジメントシステム1は、ISMSとPMSとで共通する機能をそれぞれから切り離し、共通マネジメント部17に備える。これによって、ISMSとPMSとを統合することができる。また、統合マネジメントシステム1では、共通マネジメント部17,ISMSマネジメント部18,PMSマネジメント部19で共通して用いられるワークフローは、これらのマネジメント部とは別にワークフロー処理手段16を設け、これによって一元管理される。これによって、それぞれのマネジメントシステムで重複して行われていた処理を1つにまとめることができ、処理の手間が省ける。また、ハードウェア資源の無駄な使用も省くことができる。結果として、システム全体としての効率が上がる。
【0137】
共通マネジメント部17は、インシデント管理手段172や是正予防管理手段173などの、ISMSとPMSとの双方からインシデントや是正予防の計画等の情報が集まる機能ブロックを有する。これによって、ISMSとPMSとにおいて重要な情報を集中管理することができ、情報管理が容易となる。
【0138】
第1実施形態では、統合マネジメントシステム1は、ISMSマネジメント部18とPMSマネジメント部19とを備えることによって、ISMSとPMSとを統合していた。統合マネジメントシステム1は、ISMSとPMSとに限られず、その他のマネジメントシステム固有の機能ブロックを有するマネジメント部を追加することによって、その他のマネジメントシステムも統合することができる。その他のマネジメントシステムには、例えば、環境マネジメントシステム(Environment Management System:EMS),品質マネジメントシステム,労働安全衛生マネジメントシステム等がある。
【0139】
統合マネジメントシステム1は、第1実施形態において説明されたような、SaaSアプリケーションとしての形態の他に、ソフトウェアパッケージ(プログラムの集合体)としての形態で提供されてもよい。ソフトウェアパッケージの形態の場合には、統合マネジメントシステム1は、インターネットからダウンロードする方法、又は、DVDなどの可搬記録媒体に記録される方法によって販売される。図31は、統合マネジメントシステム1のソフトウェアパッケージ(統合マネジメントサービスパック)の例を示す図である。共通マネジメントサービスパックは、共通マネジメント部17に相当する。ISMSオプションはISMSマネジメント部18に相当する。PMSオプションはPMSマネジメント部19に相当する。統合マネジメントサービスパックでは、共通マネジメントサービスパックと、ISMSオプション、PMSオプションのうちの一方又は両方と、で販売される。また、企業ごとに必要な機能のみを選択することができる。
【0140】
<第2実施形態>
第2実施形態では、統合マネジメントシステムは、統合マネジメントシステムを利用するそれぞれの企業において実施されたリスク分析の結果を集計し、全社平均,業種別平均,企業規模別平均などのベンチマークを求める機能(ベンチマーク機能)を有する。このベンチマークによって、統合マネジメントシステムを利用する各企業は、自社におけるリスク管理の他社平均との比較を行うことができる。第2実施形態では、第1実施形態と共通する説明については省略される。
【0141】
(機能構成)
図32は、第2実施形態における統合マネジメントシステム1Bの機能構成の例を示す図である。統合マネジメントシステム1Bは、第1実施形態の統合マネジメントシステム1の機能ブロックに加え、ベンチマーク集計手段110,ベンチマーク表示手段120,パブリックスキーマ22と各企業のスキーマ21とに保持される各テーブルと、をさらに有する。
【0142】
統合マネジメントシステム1Bでは、ISMSマネジメント部18の情報資産リスク分析手段182、又は、PMSマネジメント部19の個人情報リスク分析手段195(以降、まとめて「リスク分析手段」)によって、統合マネジメントシステム1Bを利用するすべての企業のすべての部門に対してリスク分析が実行される。リスク分析は、例えば、質問項目に回答する形式で行われる。
【0143】
図33は、リスク分析の質問項目に対する回答の入力画面の例である。図33に示される例では、各質問項目に対して複数の選択肢が用意されている。ユーザは、この選択肢の中から一つ選択して、質問項目に回答する。リスク分析手段は、各質問項目に対する回答(選択肢)を、リスク分析データとして、各企業のスキーマ21に格納する。第2実施形態では、統合マネジメントシステム1Bを利用する全企業の全部門に対して、同じ質問項目でリスク分析が行われる。また、リスク分析の質問項目に回答するのは、例えば、ISMS担当者(又はPMS担当者)等の部門に代表者1名でよい。
【0144】
選択肢には、それぞれポイントが設定されており、各質問項目について、回答された選択肢のポイントが集計されることで、各質問項目(管理策)の、全社平均,業種別平均,企業規模別平均等が取得される。図34は、図33に示される例における、選択肢のポイントを設定する選択肢テーブルの例を示す図である。選択肢テーブルのエントリには、選択肢番号,選択肢内容,ポイントが含まれる。選択肢テーブルは、例えば、パブリックスキーマ22に格納されている。
【0145】
図35は、ベンチマーク集計手段110の機能ブロックの例を示す図である。ベンチマーク集計手段110は、リスク分析データの集計に係る処理(ベンチマーク集計処理)を実行する。ベンチマーク集計手段110は、実行判定手段111,企業単独集計手段112,全体平均算出手段113,業種別平均算出手段114,規模別平均算出手段115,部門別平均算出手段116を含む。
【0146】
実行判定手段111は、ベンチマーク集計処理を実行するか否かを判定する。第2実施形態の統合マネジメントシステム1Bでは、ベンチマーク機能を利用可能な企業数が所定の下限値よりも少ない場合には、ベンチマーク集計処理が実行されない。これは、ベンチマーク機能を利用可能な企業数が少ない場合には、サンプル数が少なくなり、ベンチマークの信頼度が低くなってしまったり、ベンチマークへの一つの企業当たりの影響力(依存度)が大きくなってしまったりするからである。所定の下限値は、例えば、100である。ベンチマーク集計手段110のメモリには、ベンチマーク有効フラグ117が保持されている。例えば、ベンチマーク有効フラグ117が「1」である場合には、ベンチマーク集計処理が実行可能である(有効である)ことが示される。例えば、ベンチマーク有効フラグ117が「0」である場合には、ベンチマーク集計処理が実行できない(無効である)ことが示される。
【0147】
企業単独集計手段112は、ベンチマーク機能を利用可能な各企業について、企業内でのポイントの集計処理を行う。例えば、企業内での集計処理の一つとして、企業単独集計手段112は、管理策毎に企業単独ポイントを算出する。企業単独ポイントは、企業内の各部門のポイントの平均である。また、企業内での集計処理の一つとして、企業単独集計手段112は、単独集計テーブル(後述)を登録する。全体平均算出手段113は、管理策毎の全体平均を算出する。全体平均は、ベンチマーク機能を利用可能な全企業の企業単独ポイントの平均である。業種別平均算出手段114は、管理策ごとに業種別平均を算出する。業種別平均は、ベンチマーク機能を利用可能な企業のうち、同一業種の企業の企業単独ポイントの平均であって、業種毎に算出される。
【0148】
規模別平均算出手段115は、管理策毎に企業規模別平均を算出する。第2実施形態では、従業員数によって企業の規模を格付けする。例えば、従業員数が1000以上の企業は、大手企業に分類される。従業員数が700人以上1000未満の企業は、準大手企業に分類される。従業員数が300人以上700人未満の企業は、中堅企業に分類される。従業員数が300人未満の企業は、中小企業に分類される。企業規模別平均は、ベンチマーク機能を利用可能な企業のうち、同程度の規模の企業の企業単独ポイントの平均であって、規模毎に算出される。
【0149】
部門別平均算出手段116は、管理策毎に部門別平均を算出する。部門別平均は、ベンチマーク機能を利用可能な各企業の同種の部門のポイントの平均である。また、部門別平均算出手段116は、各企業の部門ごとに、資産価値の評価が最も高い資産が何件保有されているかを評価する。資産価値の評価方法は企業ごとに設定可能である。資産価値の評価方法は、3−5段階で評価される。
【0150】
企業単独ポイントは、各企業のスキーマ21に格納される。全体平均,業種別平均,企
業規模別平均,部門別平均は、パブリックスキーマ22に格納される。詳細は、後述する。「決定手段」は、例えば、実行判定手段111である。「検索手段」は、例えば、企業単独集計手段112または全体平均算出手段113である。「企業ポイント算出手段」は、例えば、企業単独集計手段112である。「基準ポイント算出手段」は、例えば、全体平均算出手段113である。「業種別基準ポイント算出手段」は、例えば、業種別平均算出手段114である。「規模別基準ポイント算出手段」は、例えば、規模別平均算出手段115である。「部門分類ポイント算出手段」は、例えば、企業単独集計手段112である。「部門別基準ポイント算出手段」は、例えば、部門別平均算出手段116である。「個別記憶領域」は、例えば、各企業のスキーマ21である。「共通記憶領域」は、例えば、パブリックスキーマ22である。
【0151】
図36は、ベンチマーク表示手段120に含まれる機能ブロックの例である。ベンチマーク表示手段120は、ベンチマーク集計手段110によって算出されたベンチマークの表示に係る処理である。ベンチマーク表示手段120は、企業データ取得手段121,集計データ取得手段122,比較評価手段123,表示手段124を含む。
【0152】
企業データ取得手段121は、ベンチマークの表示指示の送信元であるユーザ端末のユーザが属する企業の企業単独ポイントを取得する。集計データ取得手段122は、全体平均,業種別平均,企業規模別平均,部門別平均を取得する。比較評価手段123は、ユーザが属する企業の企業単独ポイントと、全体平均,業種別平均,企業規模別平均,部門別平均とを比較して評価する。表示手段124は、ユーザが属する企業の企業単独ポイントと、全体平均,業種別平均,企業規模別平均,部門別平均との比較した評価をユーザ端末に表示させる。
【0153】
「企業ポイント取得手段」は、例えば、企業データ取得手段121である。「基準ポイント取得手段」は、例えば、集計データ取得手段122である。「提供手段」は、例えば、表示手段124である。
【0154】
(ベンチマーク集計処理に係るデータ構造)
図37Aは、各企業のスキーマ21に格納されるデータの例を示す図である。いずれの企業のスキーマ21にも、部門情報テーブル215,資産テーブル216,リスク分析データテーブル217,単独集計テーブル218,環境設定マスタ219a,管理策マスタ219bが保持される。
【0155】
図37Bは、部門情報テーブル215の例である。部門情報テーブル215は、各企業の部門の部門コードを定義するテーブルである。部門情報テーブル215には、部門コード,部門名,部門分類が対応付けて保持される。部門分類は、例えば、総務部門,営業部門,開発部門,経理部門,製造部門、全社があり、各部門は業務の性質によって部門分類のいずれかに分類される。「部門分類保持手段」は、例えば、部門情報テーブル215である。
【0156】
図37Cは、環境設定マスタ219aの例である。環境設定マスタ219aは、資産価値を何段階で評価するかを示す。図37Cに示される企業Aのスキーマ21内の環境設定マスタ219aの例では、「3」が格納されており、企業Aでは、3段階で資産価値を評価することが示される。例えば、資産価値が3段階で評価される場合には、評価「1」、「2」、「3」の順で評価が高くなる。
【0157】
図37Dは、資産テーブル216の例である。資産テーブル216は、企業が保有する資産の情報を保持するテーブルである。資産テーブル216のエントリは、項目に、資産番号,資産名,管理部門コード,資産分類,資産価値を含む。「管理部門コード」には資
産を管理する部門の部門コードが含まれる。この部門コードは、部門情報テーブル215において定義される部門コードである。「資産分類」には、資産の種類に応じて、情報,機器等の分類が格納される。「資産価値」には、環境設定マスタ219aに設定された数による段階評価の値が格納される。図37Dに示される資産テーブル216の例では、資産価値は、3段階で評価され、「資産価値」が「3」である資産の価値が最も高い。
【0158】
図37Eは、管理策マスタ219bの例である。管理策マスタ219bには、リスク分析の質問項目が設定される。管理策マスタ219bのエントリは、項目に、管理策番号,質問内容,関連資産分類を含む。関連資産分類には、質問内容が関連する資産分類が格納される。この「資産分類」は、図37Dに示される資産テーブル216において用いられる「資産分類」と同じ分類が用いられる。
【0159】
図37Fは、リスク分析データテーブル217の例である。リスク分析データテーブル217には、リスク分析による各管理策に対する各部門の回答(選択肢)、すなわち、リスク分析データが格納されている。リスク分析データテーブル217には、管理策番号,部門コード,回答選択肢番号が対応付けて格納されている。「管理部門コード」には、管理策に対して回答を行った部門の部門コードが含まれる。この部門コードは、部門情報テーブル215において定義される部門コードである。「回答選択肢番号」には、回答として選択された選択肢の選択肢番号が格納される。この選択肢番号は、例えば、図34において示される選択肢テーブルにおいて定義される選択肢番号である。リスク分析データテーブル217へのエントリの追加は、リスク分析手段によって行われる。「部門ポイント記憶手段」は、例えば、リスク分析データテーブル217である。
【0160】
図37Gは、単独集計テーブル218の例である。単独集計テーブル218は、企業における部門別(全社含む)の平均ポイントが格納される。単独集計テーブル218のエントリは、項目に、管理策番号,部門分類,平均ポイント,高価値資産件数を含む。「管理策番号」には、図37Eの管理策マスタ219bにおいて定義された管理策番号が格納される。「部門分類」は、図37Bで用いられるものと同じ分類が用いられる。「平均ポイント」には、同じ「部門分類」に含まれる部門のポイントの平均が格納される。単独集計テーブル218のエントリは、企業単独集計手段112によって、生成される。
【0161】
例えば、管理策番号「125」の部門分類「開発部門」の平均ポイントは、例えば、企業単独集計手段112によって、以下のようにして求められる。(1)まず、企業単独集計手段112は、部門情報テーブル215から、部門分類が「開発部門」となる部門である第一開発部の部門コード「200」と第二開発部の部門コード「201」とを取得する。(2)次に、企業単独集計手段112は、リスク分析データテーブル217から、管理策番号「125」に対する、部門コード「200」の回答選択肢番号「2」と、部門コード「201」の回答選択肢番号「3」とを取得する。(3)次に、企業単独集計手段112は、選択肢テーブルから、回答選択肢番号「2」のポイント「50」と、回答選択肢番号「3」のポイント「50」と、を取得して、得られたポイントの平均「50」を算出する。このポイントの平均「50」が、「平均ポイント」に格納される。
【0162】
単独集計テーブル218において、「部門分類」が「全社」であるエントリの「平均ポイント」は、該当する管理策の企業単独ポイントである。
【0163】
単独集計テーブル218の「高価値資産件数」は、「部門分類」が同じ部門が保有する評価が最も高い資産の合計件数である。「高価値資産件数」は、部門情報テーブル215と資産テーブル216とから求められる。「高価値資産件数」によって、例えば、企業内で高価値な資産が集中する部門を特定することができる。
【0164】
部門情報テーブル215,資産テーブル216,環境設定マスタ219a,管理策マスタ219bは、それぞれ予め入力されている。リスク分析データテーブル217は、ユーザによってリスク分析の質問項目の回答が入力されると、新たにエントリが追加される。単独集計テーブル218は、リスク分析データテーブル217が更新されると、次のベンチマーク集計処理の実行時に更新される。
【0165】
図38Aは、パブリックスキーマ22に格納されるデータの例である。パブリックスキーマ22には、企業テーブル251,全体集計テーブル252,業種別集計テーブル253,規模別集計テーブル254,部門別集計テーブル255が格納される。
【0166】
図38Bは、企業テーブル251の例である。企業テーブル251は、統合マネジメントシステム1Bを利用する企業に関する情報を保持するテーブルである。企業テーブル251のエントリは、項目に、企業コード,企業名,ベンチマーク使用有無,業種コード,規模コードを含む。「業種コード」と「規模コード」とには、例えば、図14のコードマスタ222に定義されたコードが用いられる。「企業記憶手段」、「業種分類保持手段」、「規模分類保持手段」は、例えば、企業テーブル251である。
【0167】
図38Cは、全体集計テーブル252の例である。全体集計テーブル252は、各管理策に対する、ベンチマーク機能を利用する全企業のポイントの平均値、すなわち、全体平均を保持するテーブルである。全体集計テーブル252のエントリは、全体平均算出手段113によって生成及び登録される。例えば、管理策番号「125」の「全体平均ポイント」は、ベンチマーク機能を利用する全ての企業の単独集計テーブル218内の管理策番号「125」、部門分類「全社」のエントリの「平均ポイント」の平均を求めることにより全体平均算出手段113によって算出される。
【0168】
図38Dは、業種別集計テーブル253の例である。業種別集計テーブル253は、各管理策について、ベンチマーク機能を利用する企業のうち、業種毎にポイントの平均、すなわち、業種別平均を保持するテーブルである。業種別集計テーブル253のエントリは、項目に、管理策番号,業種コード,業種別平均ポイントを保持する。業種別集計テーブル253のエントリは、業種別平均算出手段114によって生成及び登録される。
【0169】
例えば、管理策番号「125」,業種コード「A」のエントリの「業種別平均ポイント」は、以下のようにして求められる。(1)まず、業種別平均算出手段114は、企業テーブル251から、ベンチマーク使用有無「あり」,業種コード「A」の企業コードを抽出する。(2)例えば、業種別平均算出手段114は、企業情報テーブル221から抽出された企業コードのスキーマ21を特定する。(3)業種別平均算出手段114は、特定したスキーマ21内の単独集計テーブル218から、管理策番号「125」、部門分類「全社」の平均ポイントを取得する。(4)業種別平均算出手段114は、取得した平均ポイントの平均値を算出する。算出された平均値が、業種別集計テーブル253における、管理策番号「125」,業種コード「A」のエントリの「業種別平均ポイント」に格納される。
【0170】
図38Eは、規模別集計テーブル254の例である。規模別集計テーブル254は、各管理策について、ベンチマーク機能を利用する企業のうち、企業規模毎にポイントの平均、すなわち、企業規模別平均を保持するテーブルである。規模別集計テーブル254のエントリは、項目に、管理策番号,規模コード,規模別平均ポイントを保持する。規模別集計テーブル254のエントリは、規模別平均算出手段115によって生成及び登録される。
【0171】
例えば、管理策番号「125」,規模コード「1」のエントリの「規模別平均ポイント
」は、以下のようにして求められる。(1)まず、規模別平均算出手段115は、企業テーブル251から、ベンチマーク使用有無「あり」,規模コード「1」の企業コードを抽出する。(2)例えば、規模別平均算出手段115は、企業情報テーブル221から抽出された企業コードのスキーマ21を特定する。(3)規模別平均算出手段115は、特定したスキーマ21内の単独集計テーブル218から、管理策番号「125」、部門分類「全社」の平均ポイントを取得する。(4)規模別平均算出手段115は、取得した平均ポイントの平均値を算出する。算出された平均値が、規模別集計テーブル254における、管理策番号「125」,規模コード「1」のエントリの「規模別平均ポイント」に格納される。
【0172】
図38Fは、部門別集計テーブル255の例である。部門別集計テーブル255は、各管理策に対する、ベンチマーク機能を利用する企業の、部門ごとのポイントの平均、すなわち、部門別平均を保持するテーブルである。部門別集計テーブル255のエントリは、項目に、管理策番号,部門分類,部門別平均ポイント,高価値資産件数平均を含む。部門別集計テーブル255のエントリは、部門別平均算出手段116によって生成及び登録される。例えば、管理策番号「125」、部門分類「総務部門」のエントリの「部門別平均ポイント」は、ベンチマーク機能を利用する全ての企業の単独集計テーブル218内の管理策番号「125」、部門分類「総務部門」のエントリの「平均ポイント」の平均値を求めることにより取得される。また、例えば、管理策番号「125」、部門分類「総務部門」のエントリの「高価値資産件数平均」は、ベンチマーク機能を利用する全ての企業の単独集計テーブル218内の管理策番号「125」、部門分類「総務部門」のエントリの「高価値資産件数」の平均値を求めることにより取得される。「高価値資産件数平均」によって、部門別の高価値な資産件数の平均が示され、例えば、システム全体として、高価値な資産が集中する傾向にある部門が判明する。
【0173】
企業テーブル251は予めエントリが入力されている。全体集計テーブル252,業種別集計テーブル253,規模別集計テーブル254,部門別集計テーブル255は、例えば、ベンチマーク集計処理が実行される度に更新される。
【0174】
(動作例)
図39は、ベンチマーク集計手段110によって実行される処理のフローの例を示す図である。図39に示されるフローは、例えば、所定の時刻に定期的に実行される。
【0175】
OP81では、実行判定手段111は、企業テーブル251を参照し、ベンチマーク機能を利用可能な企業数を計数する。実行判定手段111は、例えば、企業テーブル251を参照し、「ベンチマーク使用有無」が「あり」となっているエントリ数を計数することで、ベンチマーク機能を利用可能な企業数を取得する。
【0176】
OP82では、実行判定手段111は、ベンチマーク機能を利用可能な企業数が下限値よりも多いか否かを判定する。ベンチマーク機能を利用可能な企業数が下限値よりも多い場合には(OP82:Yes)、処理がOP84に進む。ベンチマーク機能を利用可能な企業数が下限値以下である場合には(OP82:No)、処理がOP83に進む。
【0177】
OP83では、ベンチマーク機能を利用可能な企業数が下限値以下であるので、実行判定手段111は、ベンチマーク集計処理を実行しないことを判定し、ベンチマーク有効フラグ117を「無効」に設定する。その後、図39に示されるフローが終了する。
【0178】
OP84では、ベンチマーク機能を利用可能な企業数が下限値よりも多いので、実行判定手段111は、ベンチマーク処理を実行することを判定し、ベンチマーク有効フラグ117を「有効」に設定する。
【0179】
OP85では、企業単独集計手段112が、ベンチマークを利用可能な各企業について、サーバ名,ポート番号,スキーマ名をパブリックスキーマ22の企業情報テーブル221から取得し、各企業のスキーマ21にアクセスする。各企業のスキーマ21において、企業単独集計手段112は、単独集計テーブル218を生成及び更新する。これによって、ベンチマークを利用可能な各企業について、企業単独ポイントと、部門別の平均ポイントとが算出される。
【0180】
OP86では、全体平均算出手段113が、ベンチマークを利用可能な各企業について、サーバ名,ポート番号,スキーマ名を企業情報テーブル221から取得し、各企業のスキーマ21にアクセスして、各企業の単独集計テーブル218から各企業の企業単独ポイントを取得する。さらに、全体平均算出手段113は、ベンチマークを利用可能な全企業の企業単独ポイントの平均値、すなわち、全体平均ポイントを算出する。算出された全体平均ポイントは、全体集計テーブル252に格納される。
【0181】
OP87では、業種別平均算出手段114が、ベンチマークを利用可能な各企業について、サーバ名,ポート番号,スキーマ名を企業情報テーブル221から取得し、各企業のスキーマ21にアクセスして、各企業の単独集計テーブル218から各企業の企業単独ポイントを取得する。さらに、業種別平均算出手段114は、ベンチマークを利用可能な企業の、業種別の企業単独ポイントの平均値、すなわち、業種別平均ポイントを算出する。算出された業種別平均ポイントは、業種別集計テーブル253に格納される。
【0182】
OP88では、規模別平均算出手段115が、ベンチマークを利用可能な各企業について、サーバ名,ポート番号,スキーマ名を企業情報テーブル221から取得し、各企業のスキーマ21にアクセスして、各企業の単独集計テーブル218から各企業の企業単独ポイントを取得する。さらに、規模別平均算出手段115は、ベンチマークを利用可能な企業の、規模別の企業単独ポイントの平均値、すなわち、規模別平均ポイントを算出する。算出された規模別平均ポイントは、規模別集計テーブル254に格納される。
【0183】
OP89では、部門別平均算出手段116が、ベンチマークを利用可能な各企業について、サーバ名,ポート番号,スキーマ名を企業情報テーブル221から取得し、各企業のスキーマ21にアクセスして、各企業の単独集計テーブル218から各企業の部門ごとの平均ポイントを取得する。さらに、部門別平均算出手段116は、ベンチマークを利用可能な全企業の、部門ごとの平均ポイントの平均値、すなわち、部門別平均ポイントを算出する。算出された部門別平均ポイントは、部門別集計テーブル255に格納される。また、部門別平均算出手段116は、ベンチマークを利用可能な全企業の部門別に、高価値評価資産平均を算出し、部門別集計テーブル255に格納する。その後図39に示されるフローが終了する。
【0184】
図40は、ベンチマーク表示手段120によって実行される処理のフローの例を示す図である。図40に示されるフローは、例えば、ベンチマーク表示手段120が、ユーザ端末からベンチマークの表示指示を受け付けると開始される。なお、ベンチマーク機能を利用可能でない企業のユーザは、トップ画面のメニュー項目にベンチマーク機能は表示されないので、ベンチマーク機能にアクセスすること自体できない。したがって、ベンチマークの表示指示はベンチマーク機能を利用可能な企業のユーザ端末からしか発信されない。
【0185】
OP101では、企業データ取得手段121が、スキーマ情報に格納されるスキーマ21(表示指示の送信元のユーザが属する企業のスキーマ21)にアクセスし、単独集計テーブル218から、表示指示の送信元のユーザが属する企業の企業単独ポイントを取得する。
【0186】
OP102では、集計データ取得手段122が、パブリックスキーマ22の全体集計テーブル252から全体平均ポイント,業種別集計テーブル253から当該企業が属する業種の業種別平均ポイント,規模別集計テーブル254から当該企業が分類される規模の規模別平均ポイント,部門別集計テーブル255から部門別平均ポイントを取得する。
【0187】
OP103では、比較評価手段123が、OP102において取得された、企業の企業単独ポイントと、全体平均ポイント,業種別平均ポイント,規模別平均ポイント,部門別平均ポイントとを比較して評価表示を設定する。OP104では、表示手段124が評価表示をユーザ端末に送信する。その後図40に示されるフローが終了する。
【0188】
<第2実施形態の作用効果>
第2実施形態では、ベンチマーク機能によって、管理策に対するポイントの全体平均,業種別平均,規模別平均,部門別平均,と自社内の平均との比較評価が提供される。これによって、他社と比べた際の自社のリスク対策のレベルが分かる。また、全体平均の加えて、業種別平均,規模別平均,部門別平均との比較評価も提供されるので、様々な観点から自社のリスク対策について見直しすることができる。また、他社との比較評価は、新たなリスク対策項目を導入する際に、どのリスク対策項目を導入すべきか、検討の助けになる。
【0189】
また、管理策に対するポイントの全体平均,業種別平均,規模別平均,部門別平均は、パブリックスキーマ22に格納されており、公開されている。一方、各企業の企業単独ポイントや各部門の回答等の情報は各企業のスキーマ21に格納されている。これによって、自社の情報は公開せずに、他社とのリスク対策の比較を行うことができる。
【0190】
なお、第2実施形態においては、各企業の企業単独ポイントを、各部門の平均値として算出していたが、これに限られない。例えば、単独集計テーブル218の「高価値資産件数」を用いて各部門のポイントに重みづけを行って、重み付けされた後のポイントの平均値を企業単独ポイントとしてもよい。
【0191】
<変形例>
第1実施形態及び第2実施形態で説明された統合マネジメントシステムは、複数のサーバによって構成された。ただし、これに限られず、統合マネジメントシステムは、単体のサーバ上に構成されてもよい。この場合には、単体のサーバ上に全てのデータベースが存在するので、例えば、企業情報テーブル221のエントリの項目に「サーバ名」が含まれない。これと連動して、例えば、図39のOP85〜OP89などの各企業のスキーマ21にアクセスする際に、サーバ名は取得されない。また、この場合には、統合マネジメントシステムが管理する企業数も少なくなるため、ベンチマーク機能を利用可能な企業数に応じてベンチマーク集計処理の実行の可否を判定する処理は行われない。すなわち、第2実施形態におけるベンチマーク集計手段110に実行判定手段111は備えられない。その他の処理及び構成については、上述の説明と同様に行われる。
【符号の説明】
【0192】
1,1B 統合マネジメントシステム
2 Webサーバ
3 アプリケーションサーバ
4 データベースサーバ
11 入力受付手段
12 ログイン手段
13 処理振分手段
14 出力手段
15 共通モジュール
16 ワークフロー処理手段
17 共通マネジメント部
18 ISMSマネジメント部
19 PMSマネジメント部
20 データベース
21 各企業のスキーマ
22 パブリックスキーマ
110 ベンチマーク集計手段
111 実行判定手段
112 企業単独集計手段
113 全体平均算出手段
114 業種別平均算出手段
115 規模別平均算出手段
116 部門別平均算出手段
120 ベンチマーク表示手段
121 企業データ取得手段
122 集計データ取得手段
123 比較評価手段
124 表示手段
151 お知らせ処理手段
152 ToDO処理手段
171 規定管理手段
172 インシデント管理手段
173 是正予防管理手段
176 セルフチェック手段
182 情報資産リスク分析手段
183 持ち出し管理手段
185、196 インシデント・是正予防起票手段
195 個人情報リスク分析手段
211 ユーザ情報テーブル
212 ワークフローテーブル
213 お知らせテーブル
214 ToDOテーブル
215 部門情報テーブル
216 資産テーブル
217 リスク分析データテーブル
218 単独集計テーブル
219a 環境設定マスタ
219b 管理策マスタ
221 企業情報テーブル
222 コードマスタ
223 ログインテーブル
251 企業テーブル
252 全体集計テーブル
253 業種別集計テーブル
254 規模別集計テーブル
255 部門別集計テーブル
【特許請求の範囲】
【請求項1】
全利用者が利用可能な共通記憶領域と、複数の企業のそれぞれに対して割り当てられる、アクセスが各企業のユーザ端末に制限された個別記憶領域と、を提供する記憶手段と、
前記各企業の個別記憶領域内に格納され、各部門のポイントを保持する部門ポイント記憶手段と、
前記各企業について、第1の演算処理を行うことによって、各個別記憶領域内の前記部門ポイント記憶手段に保持される各部門のポイントから企業ポイントを算出し、算出した企業ポイントを各企業の個別記憶領域に格納する企業ポイント算出手段と、
各個別記憶領域から各企業の企業ポイントを読み出し、第2の演算処理を行うことによって前記各企業の企業ポイントから前記情報処理システムにおける基準ポイントを算出し、前記基準ポイントを前記共通記憶領域に格納する基準ポイント算出手段と、
を備える情報処理システム。
【請求項2】
ユーザ端末からのアクセスを受け付けた場合に、
検索されたデータベース内の前記ユーザ端末のユーザの属する企業の個別記憶領域から前記ユーザの属する企業の企業ポイントを取得する企業ポイント取得手段と、
前記共通記憶領域から前記基準ポイントを取得する基準ポイント取得手段と、
前記ユーザの属する企業の企業ポイントと前記基準ポイントとを前記ユーザ端末に提供する提供手段と、
をさらに備える請求項1に記載の情報処理システム。
【請求項3】
前記各企業の業種分類を保持する業種分類保持手段と、
各個別記憶領域から各企業の企業ポイントを読み出し、前記第2の演算処理を行うことによって、前記業種分類ごとに、分類される企業の企業ポイントから業種別基準ポイントを算出し、前記業種別基準ポイントを前記共通記憶領域に格納する業種別基準ポイント算出手段と、
をさらに備える請求項1又は2に記載の情報処理システム。
【請求項4】
前記各企業の規模分類を保持する規模分類保持手段と、
各個別記憶領域から各企業の企業ポイントを読み出し、前記第2の演算処理を行うことによって、前記規模分類ごとに、分類される企業の企業ポイントから規模別基準ポイントを算出し、前記業種基準ポイントを前記共通記憶領域に格納する規模別基準ポイント算出手段と、
をさらに備える請求項1から3のいずれか一項に記載の情報処理システム。
【請求項5】
前記各企業について、各部門の部門分類を保持する部門分類保持手段と、
前記各企業について、所定の演算処理を行うことによって、各個別記憶領域内の前記部門ポイント記憶手段に保持される各部門のポイントから、部門分類ごとに部門分類ポイントを算出し、算出した各部門分類の部門分類ポイントを各企業の個別記憶領域に格納する部門分類ポイント算出手段と、
前記検索手段の検索結果に基づいて各個別記憶領域にアクセスし、各個別記憶領域から各企業の各部門分類の部門分類ポイントを読み出し、所定の演算処理を行うことによって、前記部門分類ごとに、各企業の部門分類ポイントから部門別基準ポイントを算出し、前記部門別基準ポイントを前記共通記憶領域に格納する部門別基準ポイント算出手段と、
をさらに備える請求項1から4のいずれか一項に記載の情報処理システム。
【請求項6】
全利用者が利用可能な共通記憶領域と、複数の企業のそれぞれに対して割り当てられる、アクセスが各企業のユーザ端末に制限された個別記憶領域と、を提供する記憶手段と、
前記各企業の個別記憶領域内に格納され、各部門のポイントを保持する部門ポイント記
憶手段と、を備える情報処理装置が、
前記各企業について、第1の演算処理を行うことによって、各個別記憶領域内の前記部門ポイント記憶手段に保持される各部門のポイントから企業ポイントを算出し、算出した企業ポイントを各企業の個別記憶領域に格納し、
各個別記憶領域から各企業の企業ポイントを読み出し、第2の演算処理を行うことによって前記各企業の企業ポイントから前記情報処理システムにおける基準ポイントを算出し、前記基準ポイントを前記共通記憶領域に格納する、
情報処理方法。
【請求項7】
全利用者が利用可能な共通記憶領域と、複数の企業のそれぞれに対して割り当てられる、アクセスが各企業のユーザ端末に制限された個別記憶領域と、を提供する記憶手段と、
前記各企業の個別記憶領域内に格納され、各部門のポイントを保持する部門ポイント記憶手段と、を含む情報処理装置を、
前記各企業について、第1の演算処理を行うことによって、各個別記憶領域内の前記部門ポイント記憶手段に保持される各部門のポイントから企業ポイントを算出し、算出した企業ポイントを各企業の個別記憶領域に格納する企業ポイント算出手段と、
各個別記憶領域から各企業の企業ポイントを読み出し、第2の演算処理を行うことによって前記各企業の企業ポイントから前記情報処理システムにおける基準ポイントを算出し、前記基準ポイントを前記共通記憶領域に格納する基準ポイント算出手段と、
として機能させるための情報処理プログラム。
【請求項1】
全利用者が利用可能な共通記憶領域と、複数の企業のそれぞれに対して割り当てられる、アクセスが各企業のユーザ端末に制限された個別記憶領域と、を提供する記憶手段と、
前記各企業の個別記憶領域内に格納され、各部門のポイントを保持する部門ポイント記憶手段と、
前記各企業について、第1の演算処理を行うことによって、各個別記憶領域内の前記部門ポイント記憶手段に保持される各部門のポイントから企業ポイントを算出し、算出した企業ポイントを各企業の個別記憶領域に格納する企業ポイント算出手段と、
各個別記憶領域から各企業の企業ポイントを読み出し、第2の演算処理を行うことによって前記各企業の企業ポイントから前記情報処理システムにおける基準ポイントを算出し、前記基準ポイントを前記共通記憶領域に格納する基準ポイント算出手段と、
を備える情報処理システム。
【請求項2】
ユーザ端末からのアクセスを受け付けた場合に、
検索されたデータベース内の前記ユーザ端末のユーザの属する企業の個別記憶領域から前記ユーザの属する企業の企業ポイントを取得する企業ポイント取得手段と、
前記共通記憶領域から前記基準ポイントを取得する基準ポイント取得手段と、
前記ユーザの属する企業の企業ポイントと前記基準ポイントとを前記ユーザ端末に提供する提供手段と、
をさらに備える請求項1に記載の情報処理システム。
【請求項3】
前記各企業の業種分類を保持する業種分類保持手段と、
各個別記憶領域から各企業の企業ポイントを読み出し、前記第2の演算処理を行うことによって、前記業種分類ごとに、分類される企業の企業ポイントから業種別基準ポイントを算出し、前記業種別基準ポイントを前記共通記憶領域に格納する業種別基準ポイント算出手段と、
をさらに備える請求項1又は2に記載の情報処理システム。
【請求項4】
前記各企業の規模分類を保持する規模分類保持手段と、
各個別記憶領域から各企業の企業ポイントを読み出し、前記第2の演算処理を行うことによって、前記規模分類ごとに、分類される企業の企業ポイントから規模別基準ポイントを算出し、前記業種基準ポイントを前記共通記憶領域に格納する規模別基準ポイント算出手段と、
をさらに備える請求項1から3のいずれか一項に記載の情報処理システム。
【請求項5】
前記各企業について、各部門の部門分類を保持する部門分類保持手段と、
前記各企業について、所定の演算処理を行うことによって、各個別記憶領域内の前記部門ポイント記憶手段に保持される各部門のポイントから、部門分類ごとに部門分類ポイントを算出し、算出した各部門分類の部門分類ポイントを各企業の個別記憶領域に格納する部門分類ポイント算出手段と、
前記検索手段の検索結果に基づいて各個別記憶領域にアクセスし、各個別記憶領域から各企業の各部門分類の部門分類ポイントを読み出し、所定の演算処理を行うことによって、前記部門分類ごとに、各企業の部門分類ポイントから部門別基準ポイントを算出し、前記部門別基準ポイントを前記共通記憶領域に格納する部門別基準ポイント算出手段と、
をさらに備える請求項1から4のいずれか一項に記載の情報処理システム。
【請求項6】
全利用者が利用可能な共通記憶領域と、複数の企業のそれぞれに対して割り当てられる、アクセスが各企業のユーザ端末に制限された個別記憶領域と、を提供する記憶手段と、
前記各企業の個別記憶領域内に格納され、各部門のポイントを保持する部門ポイント記
憶手段と、を備える情報処理装置が、
前記各企業について、第1の演算処理を行うことによって、各個別記憶領域内の前記部門ポイント記憶手段に保持される各部門のポイントから企業ポイントを算出し、算出した企業ポイントを各企業の個別記憶領域に格納し、
各個別記憶領域から各企業の企業ポイントを読み出し、第2の演算処理を行うことによって前記各企業の企業ポイントから前記情報処理システムにおける基準ポイントを算出し、前記基準ポイントを前記共通記憶領域に格納する、
情報処理方法。
【請求項7】
全利用者が利用可能な共通記憶領域と、複数の企業のそれぞれに対して割り当てられる、アクセスが各企業のユーザ端末に制限された個別記憶領域と、を提供する記憶手段と、
前記各企業の個別記憶領域内に格納され、各部門のポイントを保持する部門ポイント記憶手段と、を含む情報処理装置を、
前記各企業について、第1の演算処理を行うことによって、各個別記憶領域内の前記部門ポイント記憶手段に保持される各部門のポイントから企業ポイントを算出し、算出した企業ポイントを各企業の個別記憶領域に格納する企業ポイント算出手段と、
各個別記憶領域から各企業の企業ポイントを読み出し、第2の演算処理を行うことによって前記各企業の企業ポイントから前記情報処理システムにおける基準ポイントを算出し、前記基準ポイントを前記共通記憶領域に格納する基準ポイント算出手段と、
として機能させるための情報処理プログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16A】
【図16B】
【図16C】
【図17A】
【図17B】
【図18】
【図19】
【図20】
【図21】
【図22】
【図23A】
【図23B】
【図24】
【図25】
【図26】
【図27】
【図28】
【図29】
【図30】
【図31】
【図32】
【図33】
【図34】
【図35】
【図36】
【図37A】
【図37B】
【図37C】
【図37D】
【図37E】
【図37F】
【図37G】
【図38A】
【図38B】
【図38C】
【図38D】
【図38E】
【図38F】
【図39】
【図40】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16A】
【図16B】
【図16C】
【図17A】
【図17B】
【図18】
【図19】
【図20】
【図21】
【図22】
【図23A】
【図23B】
【図24】
【図25】
【図26】
【図27】
【図28】
【図29】
【図30】
【図31】
【図32】
【図33】
【図34】
【図35】
【図36】
【図37A】
【図37B】
【図37C】
【図37D】
【図37E】
【図37F】
【図37G】
【図38A】
【図38B】
【図38C】
【図38D】
【図38E】
【図38F】
【図39】
【図40】
【公開番号】特開2013−80298(P2013−80298A)
【公開日】平成25年5月2日(2013.5.2)
【国際特許分類】
【出願番号】特願2011−218744(P2011−218744)
【出願日】平成23年9月30日(2011.9.30)
【出願人】(591128763)株式会社富士通ソーシアルサイエンスラボラトリ (57)
【出願人】(000005223)富士通株式会社 (25,993)
【Fターム(参考)】
【公開日】平成25年5月2日(2013.5.2)
【国際特許分類】
【出願日】平成23年9月30日(2011.9.30)
【出願人】(591128763)株式会社富士通ソーシアルサイエンスラボラトリ (57)
【出願人】(000005223)富士通株式会社 (25,993)
【Fターム(参考)】
[ Back to top ]