|
||||||
 |
||||||
|
||||||
|
||
|
はじめての方へ- このQ&Aは役に立った
- 役にたった:0件
質問 |
||
| QNo.3790611 | 内部統制と本番環境 | |
|---|---|---|
| 質問者:SHA-256 |
内部統制について質問です。わたしはECサイトを運営する会社の、情報システム部の ような立場です。先日ある人より、 「運営やリリース作業・障害調査を含め、開発会社が本番環境にアクセスできては ならない」 と指示されました。 「運営」については納得ですが、「リリース作業」「障害調査」は疑問に思っています。 この指示をそのままうのみにすると、開発会社からソースをもらって、技術に疎い 自社社員がリリース作業を行わなければならくなるかもしれません。ソース置き換え だけならともかく、DB のテーブル構成変更などを慣れない作業者が行うと何が起こるか わかりません。 リリース作業や障害調査など必要な作業を開発会社が本番環境で作業できるように するためには、内部統制をどのようにクリアすればよいのでしょうか。 内部統制には全く詳しくないのですが、ログの取得と管理・情報漏洩を防止する誓約書・ リリース許可書などで対応すればよいのではないかと考えているのですが甘いでしょうか。 なお、開発会社は外部におります。コスト的に社内常駐は困難です。 |
|
困り度:
|
||
| 質問投稿日時: 08/02/19 17:03 |
||
最新から表示|回答順に表示
回答 |
|
| ANo.2 | >>この指示をそのままうのみにすると、開発会社からソースをもらって、技術に疎い 自社社員がリリース作業を行わなければならくなるかもしれません。 最近は、現場を知るとよけいな責任感や気苦労が増えると思って、セキュリティ・セミナーなどで教えられたことを、自社の事情を何も考慮せず、そのまんま下に押しつける方が増えているのかもしれません。 昨年は、改正建築基準法を、現場のことをなーんも考えずに、施行して建築業界(いや日本を?)を官製不況に陥れた役人たちがいました(あんたバカあ〜?ってやつですね)。 質問者さんの件って、その建築業界の官製不況のIT業界版っていうことでしょうかね。ちょっと思いつくのは、 1)「そんなやり方できません。やるなら時間と予算増やしてください。」て直訴する。 2)書類上だけ整えて、開発会社に作業場の違反があっても、見なかったことにする。 3)開発会社の方を高給で引き抜いて、自社社員にする。 4)自分たちで作業を行って、大規模なシステムトラブルを起こす。それを機会に体制を改善する。(自分たちにトラブル責任が及ばないように、指示した人が生贄になるように手をまわしておく) 雑誌に「企業の情報システム部が、人件費カット等のため、仕事を外部委託し続けたことで、開発能力を失った」って記述があったと思いますが、日本の多くの企業がこんな状況なのかもしれませんね。(質問者さんの職場がこういう経緯があるかどうか不明ですが・・) 合掌。 |
|---|---|
| 回答者:lv4u | |
| 種類:アドバイス どんな人:一般人 自信:参考意見 |
|
| 回答日時: 08/02/21 02:11 |
|
| |
| この回答への補足 | この回答に補足をつける(質問者のみ) |
| この回答へのお礼 | この回答にお礼をつける(質問者のみ) |
回答 |
|
| ANo.1 | 客先からダミーを提供してもらうか、開発側がダミーを作ってテストするか、ではないでしょうかね・・・ 本番環境に対して接続申請してる間に、テスト期間が終わっちゃう・・・という場合が多いかも。 あくまで参考です。 |
|---|---|
| 回答者:sinjou | |
| 種類:アドバイス どんな人:一般人 自信:参考意見 |
|
| 回答日時: 08/02/20 22:16 |
|
| |
| この回答への補足 | この回答に補足をつける(質問者のみ) |
| この回答へのお礼 | この回答にお礼をつける(質問者のみ) |
- このQ&Aは役に立った
- 役にたった:0件
最新から表示|回答順に表示
はじめての方へ