JP5405921B2 - Task management system and security management support system - Google Patents
Task management system and security management support system Download PDFInfo
- Publication number
- JP5405921B2 JP5405921B2 JP2009153466A JP2009153466A JP5405921B2 JP 5405921 B2 JP5405921 B2 JP 5405921B2 JP 2009153466 A JP2009153466 A JP 2009153466A JP 2009153466 A JP2009153466 A JP 2009153466A JP 5405921 B2 JP5405921 B2 JP 5405921B2
- Authority
- JP
- Japan
- Prior art keywords
- task
- department
- user
- security
- management
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000007726 management method Methods 0.000 claims description 312
- 230000008520 organization Effects 0.000 claims description 49
- 238000004458 analytical method Methods 0.000 claims description 34
- 238000000034 method Methods 0.000 claims description 33
- 230000004044 response Effects 0.000 claims description 18
- 238000013439 planning Methods 0.000 claims description 5
- 230000002776 aggregation Effects 0.000 claims description 4
- 238000004220 aggregation Methods 0.000 claims description 4
- 238000003745 diagnosis Methods 0.000 description 51
- 230000006870 function Effects 0.000 description 36
- 238000012545 processing Methods 0.000 description 34
- 238000010586 diagram Methods 0.000 description 23
- 230000008569 process Effects 0.000 description 21
- 238000009472 formulation Methods 0.000 description 17
- 239000000203 mixture Substances 0.000 description 17
- 238000012550 audit Methods 0.000 description 15
- 238000013459 approach Methods 0.000 description 13
- 238000012502 risk assessment Methods 0.000 description 13
- 238000004364 calculation method Methods 0.000 description 11
- 238000011161 development Methods 0.000 description 11
- 238000003825 pressing Methods 0.000 description 9
- 238000003860 storage Methods 0.000 description 7
- 230000007704 transition Effects 0.000 description 7
- 238000011156 evaluation Methods 0.000 description 6
- 238000004088 simulation Methods 0.000 description 6
- 238000007689 inspection Methods 0.000 description 5
- 230000008859 change Effects 0.000 description 3
- 230000000694 effects Effects 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 230000000717 retained effect Effects 0.000 description 3
- 125000002066 L-histidyl group Chemical group [H]N1C([H])=NC(C([H])([H])[C@](C(=O)[*])([H])N([H])[H])=C1[H] 0.000 description 2
- 238000011002 quantification Methods 0.000 description 2
- 230000004931 aggregating effect Effects 0.000 description 1
- 230000003321 amplification Effects 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000011217 control strategy Methods 0.000 description 1
- 238000007796 conventional method Methods 0.000 description 1
- 238000012937 correction Methods 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 230000008676 import Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 238000003199 nucleic acid amplification method Methods 0.000 description 1
- 238000005457 optimization Methods 0.000 description 1
- 238000004393 prognosis Methods 0.000 description 1
- 230000002250 progressing effect Effects 0.000 description 1
- 230000003252 repetitive effect Effects 0.000 description 1
- 238000013077 scoring method Methods 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 230000008685 targeting Effects 0.000 description 1
Images
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Description
本発明は、タスク管理の技術に関し、特に、企業等の組織体においてトップダウンで作業が指示されるタスクを管理するタスク管理システムに適用して有効な技術に関するものである。 The present invention relates to a task management technique, and more particularly to a technique that is effective when applied to a task management system that manages tasks for which work is instructed top-down in an organization such as a company.
企業等における業務の流れをコンピュータシステムにより制御・管理するワークフロー管理においては、作業単位をタスクとして各部門・部署や担当者に割り当て、その進捗状況などを管理するということが行われる。このようなワークフロー管理によって管理される業務は、一般的に、ワークフローやタスクの生成が、実業務の発生元である下位部門・下位部署や実担当者によって行われ、上位部門・上位部署や上長などに対して申請され承認されるというように、組織の階層構造における下位から上位に向けての一連の業務の流れ、すなわち上り方向のベクトルを有する業務である。 In workflow management in which a business flow in a company or the like is controlled and managed by a computer system, a unit of work is assigned to each department / department or person in charge as a task, and its progress is managed. In the business managed by such workflow management, workflows and tasks are generally generated by the lower department / lower department or the actual person who is the origin of the actual business, It is a series of business flows from the lower to the higher in the hierarchical structure of the organization, that is, a business having an upward vector, such as being applied for and approved by the head.
ワークフロー管理においては、一般的に、予め定義されたワークフローの各タスクに対して静的もしくはワークフローの実行状況に応じて動的に担当者が割り当てられる。このとき、例えば、特開平8−95877号公報(特許文献1)に記載されているように、あるタスクを複数の担当者に同報的に割り当てることも可能であるし、特開2007−179251号公報(特許文献2)に記載されているように、タスクを割り当てられた担当者が、他の担当者にタスクを委任することも可能である。一般的にはこれら各タスクの進捗状況を管理することによりワークフロー全体の進捗状況を判断する。 In workflow management, in general, a person in charge is assigned to each task of a predefined workflow either statically or dynamically according to the execution status of the workflow. At this time, as described in, for example, Japanese Patent Laid-Open No. 8-95877 (Patent Document 1), a certain task can be assigned to a plurality of persons in a broadcast manner, or Japanese Patent Laid-Open No. 2007-179251. As described in Japanese Patent Publication (Patent Document 2), a person in charge who is assigned a task can delegate the task to another person in charge. In general, the progress of the entire workflow is determined by managing the progress of these tasks.
一方で、企業等の階層構造の組織においては、例えば、マネジメント層から直近の下位部署に対して一斉同報的に作業の実施を指示し、当該下位部署がさらに直近の下位部署に同様の指示を展開して階層構造の末端の担当者にまで作業指示が届く、というようにトップダウンで上位から下位に組織の階層構造に応じてタスクが1対多で増幅されて指示される、すなわち下り方向のベクトルを有する業務も多い。 On the other hand, in a hierarchical organization such as a company, for example, the management layer instructs the immediate subordinate departments to carry out the work in a simultaneous broadcast, and the subordinate departments also instruct the closest subordinate departments the same instructions. The task is delivered to the person in charge at the end of the hierarchical structure, and the tasks are instructed in a one-to-many amplification according to the hierarchical structure of the organization from the top down to the bottom, that is, down Many businesses have a vector of directions.
このような業務における各タスクの進捗管理は、上記のようなワークフロー管理の仕組みで対応することが難しい場合が多く、現状ではまだ電話や電子メール等で個別に確認して手作業により集計しているケースも多い。また、組織の階層構造が深くなるほど、進捗を確認する対象の下位部署や担当者の数が1対多で累積的に増幅されるため、タスクの進捗や実績を管理するのはより煩雑となる。 The progress management of each task in such a business is often difficult to handle with the workflow management mechanism as described above, and at present, it is still confirmed individually by telephone or e-mail and tabulated manually. There are many cases. In addition, the deeper the organization's hierarchical structure, the more complicated the number of subordinate departments and persons in charge who confirm progress is one-to-many, so it becomes more complicated to manage task progress and results. .
そこで本発明の目的は、企業等の階層構造を有する組織体において、上位部署もしくはその担当者からトップダウンで展開されるタスクの指示や実施状況の管理等を可能とするタスク管理システムを提供することにある。本発明の前記ならびにその他の目的と新規な特徴は、本明細書の記述および添付図面から明らかになるであろう。 SUMMARY OF THE INVENTION An object of the present invention is to provide a task management system capable of instructing tasks to be deployed from the top department or the person in charge thereof and managing the implementation status in an organization having a hierarchical structure such as a company. There is. The above and other objects and novel features of the present invention will be apparent from the description of this specification and the accompanying drawings.
本願において開示される発明のうち、代表的なものの概要を簡単に説明すれば、以下のとおりである。 Of the inventions disclosed in this application, the outline of typical ones will be briefly described as follows.
本発明の代表的な実施の形態によるタスク管理システムは、階層構造を有する複数の部署からなる組織体における、前記部署の階層構造の上位の担当者から配下の下位の担当者に対しての作業実施の指示であるタスクの情報を保持し、前記タスクの実施状況の管理を行うタスク管理サーバと、前記タスク管理サーバにネットワーク経由で接続するクライアント端末とからなるタスク管理システムであって、以下の特徴を有するものである。 In a task management system according to a representative embodiment of the present invention, in an organization composed of a plurality of departments having a hierarchical structure, work from a person in charge of a hierarchy in the department to a person in charge of a subordinate in the hierarchy is performed. A task management system that includes a task management server that holds task information that is an execution instruction and manages the execution status of the task, and a client terminal that is connected to the task management server via a network. It has characteristics.
すなわち、前記タスク管理システムにおいて、前記タスク管理サーバは、前記クライアント端末を介した前記各部署におけるユーザからの要求により、前記部署の階層構造における前記ユーザの配下の1または複数の担当者に対して指示する前記タスクを新たに作成し、前記タスクの指示を受けた各担当者の単位で前記タスクに係る作業の進捗率およびステータスの管理を行うタスク進捗を作成して、前記タスクおよび前記タスク進捗の情報を前記データベースに登録し、また、前記クライアント端末を介した前記各部署におけるユーザからの要求により、前記データベースに登録された前記タスクおよび前記タスク進捗の内容を修正して更新するタスク操作部と、前記クライアント端末を介した前記ユーザからの要求により、前記データベースに登録された1つ以上の前記タスク進捗のうち、前記ユーザに関連する前記タスク進捗の情報を取得して出力するタスク情報取得部と、前記クライアント端末を介した前記ユーザからの要求により、前記ユーザに指示された前記タスクについての実施状況を算出して出力する実施状況管理部と、当該タスク管理システムを利用する前記ユーザおよび前記部署とその階層構造の情報を前記データベースに保持して管理する管理部とを有することを特徴とするものである。 That is, in the task management system, the task management server is configured to respond to a request from a user in each department via the client terminal to one or more persons in charge of the user in the hierarchical structure of the department. The task to be instructed is newly created, and a task progress for managing the progress rate and status of the work related to the task is created for each person who has received the task instruction. And the task operation unit that corrects and updates the contents of the task and the task progress registered in the database in response to a request from the user in each department via the client terminal. And the database according to a request from the user via the client terminal. Among the one or more task progresses registered in the task, a task information acquisition unit that acquires and outputs the task progress information related to the user, and a request from the user via the client terminal, An implementation status management unit that calculates and outputs an implementation status for the task instructed by the user, and stores and manages information on the user and the department that uses the task management system and its hierarchical structure in the database. And a management unit.
本願において開示される発明のうち、代表的なものによって得られる効果を簡単に説明すれば以下のとおりである。 Among the inventions disclosed in the present application, effects obtained by typical ones will be briefly described as follows.
本発明の代表的な実施の形態によれば、企業等の階層構造を有する組織体において、部署の階層構造における配下の担当者に対して作業を指示するタスクを作成し、当該タスクの指示を受けた担当者単位で当該タスクに係る作業の進捗率およびステータス等の管理を行うタスク進捗を作成して、これらの情報をデータベースに保持して管理することで、組織の階層構造に基づいてタスクの指示を容易に行い、また、タスクの実施率の算出やタスクの情報の参照範囲の制限などを含む実施状況の管理を行うことができる。 According to a typical embodiment of the present invention, in an organization having a hierarchical structure such as a company, a task for instructing work to a person in charge in a hierarchical structure of a department is created, and the task is instructed. Create task progress to manage the progress rate and status of work related to the task in units of the person in charge, and store this information in the database to manage it based on the hierarchical structure of the organization Can be easily performed, and the implementation status including the calculation of the task implementation rate and the limitation of the reference range of the task information can be managed.
以下、本発明の実施の形態を図面に基づいて詳細に説明する。なお、実施の形態を説明するための全図において、同一部には原則として同一の符号を付し、その繰り返しの説明は省略する。 Hereinafter, embodiments of the present invention will be described in detail with reference to the drawings. Note that components having the same function are denoted by the same reference symbols throughout the drawings for describing the embodiment, and the repetitive description thereof will be omitted.
<概要>
以下では、まず、本発明の一実施の形態であるタスク管理システムにおけるタスクおよびタスクの階層構造について概要を説明する。図2は、タスク管理システムが適用される企業等の一般的な組織の階層構造の一部について例を示す図である。例えば、最高情報セキュリティ責任者(CISO)をトップに営業本部、情報システム本部、業務本部が配下に組織されている。各本部には責任者として本部長が存在する。
<Overview>
In the following, first, an overview of tasks and a hierarchical structure of tasks in the task management system according to an embodiment of the present invention will be described. FIG. 2 is a diagram illustrating an example of a part of a hierarchical structure of a general organization such as a company to which the task management system is applied. For example, a sales headquarters, information system headquarters, and business headquarters are organized under the head of the chief information security officer (CISO). Each headquarters has a headquarters as a responsible person.
また、営業本部の配下には、例えば営業一部、二部が組織され、それぞれに責任者として部長が存在する。さらに、営業一部、二部にはそれぞれ一般従業員として2人の従業員が在籍する。同様に、情報システム本部の配下には、例えば情報システム部、基盤システム部が組織され、それぞれに責任者として部長が存在する。さらに、情報システム部には一般従業員として2人の従業員が在籍する。 In addition, under the sales headquarters, for example, a sales department and two departments are organized, and each has a general manager as a responsible person. In addition, two employees are registered as general employees in the first and second sales departments. Similarly, under the information system headquarters, for example, an information system department and a base system department are organized, and each has a general manager as a responsible person. In addition, the information system department has two employees as general employees.
ここで、上位組織がCISOで共通である営業本部、情報システム本部、業務本部は同一階層の組織である。同様に、営業一部、二部はそれぞれ上位組織が営業本部で共通あり同一階層の組織である。また、情報システム部、基盤システム部は上位組織が情報システム本部であり同一階層の組織である。なお、図2の例では、業務本部および基盤システム部には配下の下位部署および在籍する従業員が存在しない。 Here, the sales headquarters, the information system headquarters, and the business headquarters whose upper organization is common in CISO are organizations in the same hierarchy. Similarly, in the sales part and the second part, the upper organization is common to the sales headquarters and is the organization of the same hierarchy. In addition, the information system unit and the base system unit are organizations of the same hierarchy, with the upper organization being the information system headquarters. In the example of FIG. 2, the business headquarters and the infrastructure system department do not have subordinate departments or employees who belong to them.
図3は、タスク管理システムにおいて管理されるタスクの概念を説明する図である。ここでのタスクとは、組織の階層構造における上位の担当者から配下の下位の担当者に対しての作業実施の指示であり、このような上位部署からトップダウンで展開されるタスクの例として、図3では、企業でのセキュリティ管理における管理策として企業全体での実施が必要である「PC資産管理台帳の更新」という作業を、図2の組織階層におけるCISOがタスクとして指示した場合を例としている。 FIG. 3 is a diagram for explaining the concept of tasks managed in the task management system. A task here is an instruction to perform work from a higher-level person in charge in the hierarchical structure of the organization to a lower-level person in charge. FIG. 3 shows an example in which the work of “updating the PC asset management ledger” that needs to be implemented by the entire company as a management measure in security management at the company is instructed as a task by the CISO in the organizational hierarchy of FIG. It is said.
CISOは、当該タスクの起点となり、まず、配下の組織の担当者である営業本部本部長、情報システム本部本部長、業務本部本部長に「PC資産管理台帳の更新」というタスク(T1)を指示している。すなわち、タスク(T1)では、指示者はCISOであり3人の各本部長は指示受け者である。このように、複数の担当者に同報的にタスクを指示することができる。なお、タスクの起点である担当者(CISO)が指示したタスク(T1)は元タスクとして識別される。 The CISO is the starting point of the task, and first instructs the task (T1) called “Updating PC Asset Management Ledger” to the head of the sales headquarters, the head of the information system headquarters, and the head of the business headquarters who are in charge of the subordinate organization. doing. That is, in the task (T1), the instructor is CISO, and each of the three heads is an instruction receiver. In this way, tasks can be instructed to a plurality of persons in charge. The task (T1) designated by the person in charge (CISO) that is the starting point of the task is identified as the original task.
各タスクのステータスは、タスクの指示受け者の単位で管理される。タスク(T1)の指示受け者である営業本部本部長は、当該タスクをさらに配下の組織の担当者である営業一部部長、二部部長に再指示(以下では「再アサイン」と記載する場合がある)して展開している。従って、タスク(T1)について営業本部本部長が指示受け者となっている部分についてはステータスは「指示済」となっている。このように、タスクにおけるタスクの指示受け者毎のステータスの管理単位をこれ以降「タスク進捗」と呼ぶものとする。 The status of each task is managed in units of task instruction recipients. The head of the sales headquarters who is the recipient of the task (T1) re-instructs the task to the head of the sales department and the head of the department in charge of the organization under the organization (hereinafter referred to as “reassignment”) There is). Therefore, for the task (T1), the status is “instructed” for the portion where the head of the sales headquarters is the instruction recipient. The status management unit for each task instruction recipient in the task is hereinafter referred to as “task progress”.
営業本部本部長と同様に、情報システム本部本部長も配下の組織の担当者である情報システム部部長、基盤システム部部長にタスクを再アサインしており、情報システム本部本部長が指示受け者となっているタスク進捗のステータスは「指示済」となっている。一方、業務本部本部長は配下の組織および担当者が存在しないため、タスク(T1)は自身で実施する必要がある。業務本部本部長はタスク(T1)を再アサインしておらず、自身でも未だ作業着手していないため、タスク進捗のステータスは「未指示」となっている。なお、タスク進捗のステータスについては後述する。 Like the head of the sales headquarters, the head of the information system headquarters also reassigns tasks to the head of the information system headquarters and the base system headquarters who are responsible for the subordinate organization. The status of the task progress is “instructed”. On the other hand, the general manager of the business headquarters does not have a subordinate organization or person in charge, so the task (T1) needs to be performed by himself. Since the general manager of the business headquarters has not reassigned the task (T1) and has not yet started work, the task progress status is “uninstructed”. The task progress status will be described later.
営業本部本部長から営業一部部長、二部部長に再アサインされたタスク(T2)は、タスク(T1)を親タスクとした子タスクとして識別される。また、タスク(T2)について、指示者は営業本部本部長であり2人の各部長は指示受け者である。タスク(T2)の指示受け者である営業一部部長は、当該タスクをさらに配下の担当者である営業一部#1、#2に再アサインしている。また、図3の例ではさらに、営業一部部長自身もPC資産を有しており「PC資産管理台帳の更新」の作業を実施する必要があることから、自分自身にもタスクを指示している。従って、営業一部部長が再アサインしたタスク(T4)の指示受け者には、営業一部#1、#2に加えて営業一部部長自身も含まれる。
The task (T2) reassigned from the general manager of the sales headquarters to the general manager of the sales department and the general manager of the second department is identified as a child task having the task (T1) as a parent task. For the task (T2), the instructor is the general manager of the sales headquarters, and each of the two general managers is the instruction receiver. The sales department manager who is the recipient of the task (T2) reassigns the task to
また、タスク(T2)の指示受け者である営業二部部長は、当該タスクを配下の担当者(営業二部#1、#2)に未だ再アサインしておらず、自身でも作業着手していないため、タスク進捗のステータスは「未指示」となっている。この場合、営業二部部長は、原則として当該タスクを配下の担当者に再アサインすることも自身で実施することも可能である。自身で実施した場合にはもはや当該タスクを再アサインすることはできなくなる。このように、タスクの階層構造は組織の階層構造に基づいて構成されるが、同一の構成になるとは限らない。
The general manager of the
タスク(T4)では、営業一部#1はタスク(T4)を再アサインしておらず、自身でも未だ作業着手していないため、タスク進捗のステータスは「未指示」となっている。また、営業一部#2は「PC資産管理台帳の更新」の作業を全て完了しているため、タスク進捗のステータスは「完了」となっている。また、営業一部部長は「PC資産管理台帳の更新」の作業を着手しているが未完了であるため、タスク進捗のステータスは「未完了」となっている。
In the task (T4), the
その他のタスク(T3、T5)やタスク進捗についても上記と同様であるため説明は省略する。なお、図中において各タスク(タスク進捗)の指示者・指示受け者の名称に付されている括弧内の文字(「A」〜「L」)は、それぞれの担当者のユーザIDを表しているものとする。 The other tasks (T3, T5) and task progress are the same as described above, and thus description thereof is omitted. In the figure, the letters (“A” to “L”) in parentheses attached to the names of the instructor / instructor of each task (task progress) represent the user ID of each person in charge. It shall be.
図4は、タスク(タスク進捗)の状態遷移図の例である。タスクが指示者から指示受け者に対して指示(もしくは再アサイン)されたとき、指示受け者におけるタスク進捗のステータスの初期状態は未指示(S1)である。この状態では、指示受け者は当該タスクについて再アサインしておらず、自身での実施も未着手である。 FIG. 4 is an example of a state transition diagram of a task (task progress). When a task is instructed (or reassigned) from the instructor to the instruction receiver, the initial status of the task progress status in the instruction receiver is not instructed (S1). In this state, the instruction recipient has not reassigned the task and has not yet started to perform the task.
ステータスが未指示(S1)の状態では、指示受け者は、上述したように、原則として当該タスクを配下の担当者に再アサインすることも、自身で作業を実施することも可能である。当該タスクを再アサインした場合は、当該指示受け者におけるタスク進捗のステータスは指示済(S3)に遷移する。指示済(S3)に遷移したタスク進捗は、当該タスク進捗に係る作業を指示受け者が実施することはもはやできないため、これ以上ステータスが遷移することはない。 In the state where the status is not instructed (S1), the instruction recipient can reassign the task to a subordinate person in principle as described above, or can carry out the work by himself / herself. When the task is reassigned, the task progress status of the instruction recipient is changed to instructed (S3). The task progress that has transitioned to instructed (S3) can no longer be changed in status because the instructee can no longer perform work related to the task progress.
なお、タスクは原則として配下の担当者に再アサインすることができるが、指示者から「再アサイン不可」の指定が付されて指示されたタスクの場合は、再アサインすることはできない。すなわち、自身が作業を実施しなければならない。配下の担当者が存在しない末端の指示受け者の場合も実質的には再アサイン不可である。これらのタスク進捗については、指示済(S3)のステータスに遷移することはできない。 In principle, a task can be reassigned to a subordinate person in charge, but cannot be reassigned in the case of a task instructed by the instructor to be designated as “not reassignable”. That is, it must carry out the work itself. In the case of an instruction recipient at the end where there is no subordinate person in charge, it is virtually impossible to reassign. Regarding the progress of these tasks, it is not possible to transition to the instructed status (S3).
一方、ステータスが未指示(S1)の状態から指示受け者がタスク進捗のステータスに「未完了」を指定した場合は、タスク進捗のステータスは未完了(S2)に遷移する。なお、タスク進捗のステータスに「未完了」を指定する代わりに、当該タスク進捗に係る作業が一部実行された旨の進捗率(例えば「50%」など)を指定することで未完了(S2)に遷移させてもよい。また、新たに指示されたタスクが再アサイン不可の場合は、必然的に指示受け者自身が実施することになるため、ステータスは自動的に未指示(S1)から未完了(S2)に遷移する。このときの進捗率は0%である。 On the other hand, when the instruction recipient designates “uncompleted” as the task progress status from the state in which the status is not instructed (S1), the task progress status transitions to incomplete (S2). Instead of designating “incomplete” as the task progress status, it is incomplete by specifying a progress rate (for example, “50%”) indicating that a part of the work related to the task progress has been executed (S2). ). In addition, when a newly designated task cannot be reassigned, the instruction recipient himself inevitably performs the task, so the status automatically changes from uninstructed (S1) to incomplete (S2). . The progress rate at this time is 0%.
ステータスが未完了(S2)の状態で、タスク進捗のステータスに「未完了」を指定した場合(もしくは作業の進捗率を更新した場合)は、タスク進捗のステータスは未完了(S2)で不変である。なお、タスク進捗のステータスに「未指示」を指定する(もしくは作業の進捗率に0%を指定する)と、ステータスを未指示(S1)に戻すことも可能である。 When the status is incomplete (S2) and “incomplete” is specified as the task progress status (or when the work progress rate is updated), the task progress status is incomplete (S2) and remains unchanged. is there. Note that if “uninstructed” is designated as the task progress status (or 0% is designated as the work progress rate), it is also possible to return the status to uninstructed (S1).
また、ステータスが未完了(S2)の状態で、作業実施が不能である等の事情により、当該タスクを配下の担当者に再アサインすることも可能である。この場合、ステータスは指示済(S3)に遷移する。また、ステータスが未完了(S2)の状態で、タスク進捗のステータスに「完了」を指定した場合(もしくは作業の進捗率に100%を指定した場合)は、タスク進捗のステータスは完了(S4)に遷移して終了する。すなわち、ステータスが完了(S4)になったタスク進捗のステータスはこれ以上変更されることはないため、当該タスク進捗の指示受け者が確かに作業を行ったということの証跡の情報とすることができる。 In addition, the task can be reassigned to a subordinate person under the circumstances that the status is incomplete (S2) and the work cannot be performed. In this case, the status changes to instructed (S3). Further, when the status is incomplete (S2) and “complete” is designated as the task progress status (or when 100% is designated as the work progress rate), the task progress status is completed (S4). Transition to and end. That is, since the status of the task progress whose status has been completed (S4) is not changed any more, it can be used as trail information that the task progress instructor has certainly worked. it can.
このように、本実施の形態のタスク管理システムでは、上位部署からトップダウンで展開するタスクを組織階層の構造に基づいて再アサインにより展開可能とし、展開した階層毎に親タスク、子タスクとして管理する。各階層のタスクでは、指示受け者単位でタスク進捗としてステータスを管理する。 As described above, in the task management system according to the present embodiment, a task that is expanded from the top department in a top-down manner can be expanded by reassignment based on the structure of the organizational hierarchy, and is managed as a parent task and a child task for each expanded hierarchy. To do. In the tasks of each hierarchy, the status is managed as task progress for each instruction recipient.
<実施の形態1>
[システム構成]
以下では、本発明の実施の形態1であるタスク管理システムについて説明する。図1は、本発明の実施の形態1であるタスク管理システムの構成例の概要を示す図である。タスク管理システム1は、例えば、タスク管理サーバ100およびデータベースと、タスク管理サーバ100にインターネットや社内LAN等のネットワークを介して接続されたクライアント端末400から構成される。
<
[System configuration]
Below, the task management system which is
タスク管理サーバ100は、コンピュータシステムからなるサーバ機器によって構成され、例えば、タスク実施管理部110、実施状況管理部120、管理部130などを有する。これら各部はソフトウェアプログラムとして実装され、例えば、タスク管理サーバ100上の図示しないWebサーバプログラムと連携してクライアント端末400からの処理要求を受けて所定の処理を行い、クライアント端末400に対して処理結果の画面を提示する等の処理を行う。
The
タスク実施管理部110は、例えば、タスク操作部111、タスク情報取得部112を有する。タスク操作部111は、クライアント端末400を介したユーザからの要求によるタスクの新規作成(指示)、再アサインといった処理を行い、当該タスクの情報をその階層構造の情報とともにデータベースに登録する。また、対象のタスクの指示を受けた指示受け者の単位でタスクの進捗率やステータスを管理するタスク進捗をデータベースに登録する。また、タスクおよびタスク進捗の内容の修正、進捗状況の更新などの操作を行い、データベースを更新する。
The task
タスク情報取得部112は、クライアント端末400を介したユーザからの要求により、対象のユーザに関連するタスク進捗の情報(当該ユーザが指示もしくは再アサインしたタスクおよび当該ユーザが指示されたタスクにおける当該ユーザに係るタスク進捗)をデータベースから取得して出力する。
The task
実施状況管理部120は、クライアント端末400を介したユーザからの要求により、タスクの階層構造に基づいて、当該ユーザが指示されたタスクについての実施状況(実施率や未実施者など)を算出して出力する。また、管理部130は、タスク管理システム1を利用するユーザおよび部署とその階層構造の情報、その他のシステム的な情報などをデータベースに保持して管理する機能を実現する。また、ユーザの情報を利用してユーザのログイン時の認証なども行う。なお、上記各部の構成はあくまで一例であり、さらに上記以外の各部を有していてもよいし、また、上記各部の一部または全部がまとめられていたり、さらに細かく分けられたりしていてもよい。
In response to a request from the user via the client terminal 400, the implementation
タスク管理サーバ100は、さらに例えば、ユーザ・部署DB210、タスクDB260、タスク進捗DB270の各データベースを有する。ユーザ・部署DB210は、タスク管理システム1を利用する企業等の組織におけるユーザおよび部署とその階層構造などの情報を保持する。タスクDB260は、タスク管理システム1によって管理されているタスクおよびその階層構造の情報を保持する。
The
タスク進捗DB270は、タスクDB260に保持・管理されている各タスクについて指示受け者(タスク進捗)単位でのステータス等の情報を保持する。なお、これら各データベースは、タスク管理サーバ100が直接保持する構成でもよいし、別のデータベースサーバ等に保持してネットワーク経由でアクセスする構成としてもよい。これら各データベースの詳細については後述する。
The
クライアント端末400は、ユーザ(各部署の担当者など)に対してタスク管理サーバ100の各機能を利用するためのユーザインタフェースを提供する機器であり、PCや携帯端末などにより構成される。例えば図示しないWebブラウザを有し、タスク管理サーバ100上の図示しないWebサーバプログラムとネットワーク経由により連携して、上記機能を実行するための指示を行ったり、実行結果の画面をユーザに提示したりする。
The client terminal 400 is a device that provides a user interface for using each function of the
[データベース構成]
図5は、ユーザ・部署DB210のテーブルの構成例を示した図である。ユーザ・部署DB210は、タスク管理システム1を利用する企業等のユーザや部署およびその階層構造等を保持するデータベースであり、例えば、会社テーブル211、部署テーブル212、所属部署テーブル213、担当ロールテーブル214、ロールテーブル215、ユーザテーブル216のテーブルから構成される。なお、図中のテーブル間の矢印は、例えば、A→Bである場合に、A:B=1:nの関係(A has many Bs)にあることを示している。
Database configuration
FIG. 5 is a diagram showing a configuration example of a table of the user /
会社テーブル211は、例えば、会社ID、会社名などの会社の属性に関する項目を有する。部署テーブル212は、例えば、部署ID、会社ID、上位部署ID、部署名、場所などの各部署の属性に関する項目を有する。上位部署IDの項目を有することにより、各部署の階層構造を保持・把握することができる。ロールテーブル215は、例えば、ロールID、会社ID、ロール名などの項目を有する。ロール名は、例えば、「CISO」、「各部署セキュリティ管理者」、「一般社員」など、ユーザに割り当てられるロール(役割)の種別である。ユーザのロールに応じて利用可能な機能を制限してもよい。 The company table 211 includes items relating to company attributes such as a company ID and a company name, for example. The department table 212 includes items relating to the attributes of each department such as a department ID, company ID, upper department ID, department name, and location. By having the item of the upper department ID, the hierarchical structure of each department can be held and grasped. The role table 215 includes items such as a role ID, a company ID, and a role name, for example. The role name is a type of role (role) assigned to the user, such as “CISO”, “each department security administrator”, “general employee”, and the like. You may restrict | limit the function which can be utilized according to a user's role.
ユーザテーブル216は、例えば、ユーザID、会社ID、パスワード、ユーザ名、メールアドレスなどの各ユーザの属性に関する項目を有する。ユーザがタスク管理システム1にログインする際の認証に使用されるデータや、認証結果などの情報も保持する。所属部署テーブル213は、例えば、ユーザID、部署IDなどの項目を有し、ユーザが所属する部署の情報を保持する。部署が階層構造となっていることから、ユーザが所属する部署も複数の階層(例えば「○○部××課」など、直接所属する部署とその上位部署)にわたる場合がある。
The user table 216 includes items related to the attributes of each user such as a user ID, company ID, password, user name, and mail address. Data used for authentication when the user logs in to the
また、担当ロールテーブル214は、例えば、ユーザID、ロールIDなどの項目を有し、ユーザが担当するロールの情報を保持する。一人のユーザが複数のロールを担当しているという場合もある。これらのユーザ・部署DB210の各テーブルの情報は、例えば、システム管理者や人事担当者等によって、管理部130により予め登録され、また更新などの管理が行われる。
The responsible role table 214 includes items such as a user ID and a role ID, and holds information on the role that the user is responsible for. In some cases, one user is in charge of multiple roles. The information in each table of the user /
図6(a)、(b)は、タスクDB260のテーブルの構成例および具体的なデータの例を示した図である。タスクDB260は、タスク管理システム1によって管理されているタスクおよびその階層構造の情報を保持するデータベースであり、例えば、タスクテーブル261、カテゴリテーブル262のテーブルから構成される。
6A and 6B are diagrams showing a configuration example of a table of the
タスクテーブル261は、例えば、タスクID、タスクタイトル、期日、作成日、カテゴリID、親タスクID、元タスクID、指示者ユーザIDなどのタスクの属性に関する項目を有する。ここでのタスクとは、図3に示したタスクの階層構造における各階層のタスク(例えばT1〜T5)を指し、このタスク毎にタスク操作部111によってユニークなタスクIDが割り振られる。親タスクIDや元タスクIDの項目を有することにより、上述したタスクの階層構造を保持・把握することができる。なお、図6(b)は、図3に示したタスクの階層構造を例とした場合のタスクテーブル261の具体的なデータの例を示している。
The task table 261 includes items relating to task attributes such as task ID, task title, due date, creation date, category ID, parent task ID, original task ID, and instructor user ID. The task here refers to a task (for example, T1 to T5) in each layer in the task hierarchy shown in FIG. 3, and a unique task ID is assigned by the
カテゴリテーブル262は、例えば、カテゴリID、カテゴリ名などの、タスクのカテゴリの種類を表すための項目を有する。カテゴリ名は、例えば、「セキュリティ対策」や「月次報告」などである。 The category table 262 includes items for representing the type of task category, such as a category ID and a category name. The category name is, for example, “security measures” or “monthly report”.
図7(a)、(b)は、タスク進捗DB270のテーブルの構成例および具体的なデータの例を示した図である。タスク進捗DB270は、タスクDB260に保持・管理されている各タスクについての指示受け者(タスク進捗)単位でのステータス等の情報を保持するデータベースであり、例えば、タスク進捗ID、タスクID、指示受け者ユーザID、進捗率、ステータスID、完了フラグ、完了日、再アサインフラグ、コピーフラグなどのタスク進捗の属性に関する項目を有する。
FIGS. 7A and 7B are diagrams showing a configuration example of the table of the
タスク進捗毎にタスク操作部111によってユニークなタスク進捗IDが割り振られ、タスクID、指示受け者ユーザIDの項目を有することで、属するタスクおよび指示受け者を把握することができる。このタスク進捗毎に、進捗率や図4に示したステータスの状況を保持・管理する。
A unique task progress ID is assigned by the
完了フラグの項目は、タスク進捗の完了・未完了を容易に判断可能とするため、ステータスIDが完了(S4)を示すものを「完了」とし、それ以外のステータスのものを「未完了」とする。また、再アサインフラグの項目は、「再アサイン不可」の指定が当該タスク進捗の指示者からされているか否かを示すフラグであり、コピーフラグの項目は、再アサインする際にタスクの内容をコピーすることが指示者から許可されているか否かを示すフラグである。 In the completion flag item, in order to make it easy to determine whether the task progress has been completed or not completed, the status ID indicating completion (S4) is set to “completed”, and other statuses are set to “uncompleted”. To do. The reassign flag item is a flag indicating whether or not “reassignment impossible” is specified by the task progress instructor, and the copy flag item indicates the task contents when reassigning. This is a flag indicating whether or not copying is permitted by the instructor.
ステータステーブル272は、例えば、ステータスID、ステータス名などの、タスク進捗のステータスの種類を表すための項目を有する。ステータス名は、図4に示した各ステータスの名称をそれぞれ保持する。なお、図7(b)は、図3に示したタスクの階層構造を例とした場合のタスク進捗テーブル271の具体的なデータの例を示している。ステータスIDの項目には、便宜上、ステータスIDの値ではなくステータステーブル272のステータス名の値で変換したものを示している。 The status table 272 includes items for representing the type of task progress status, such as status ID and status name. The status name holds the name of each status shown in FIG. FIG. 7B shows an example of specific data in the task progress table 271 when the hierarchical structure of tasks shown in FIG. 3 is taken as an example. For the sake of convenience, the item of status ID indicates a value converted by the status name value of the status table 272 instead of the status ID value.
[タスク実施管理]
以下では、ユーザがクライアント端末400を介してタスク管理サーバ100にアクセスし、タスクの新規作成(指示)、再アサインや、内容の修正、進捗状況の更新などのタスクについての操作を行う際の処理内容について説明する。
[Task execution management]
In the following, processing when the user accesses the
ユーザがクライアント端末400からタスク管理サーバ100にログインすると、タスク実施管理部110のタスク情報取得部112は、タスクDB260およびタスクDB270を参照して、例えば、図8に示すような、当該ユーザに関連するタスクの情報を表示するトップ画面を生成してクライアント端末400上に表示する。
When the user logs in to the
図8では図2、図3における営業本部本部長がログインした際の画面例を示している。この画面では、「未処理タスク一覧」として、当該ユーザが指示受け者となっているタスクのタスク進捗であり、かつステータスが未指示(S1)もしくは未完了(S3)のものの一覧が表示されている。未処理タスク一覧に表示されたタスク(タスク進捗)は、当該ユーザによる実施もしくは再アサインの処理を要するものである。また、これに付随して、「指示受け一覧」ボタンを押下すると、図示しないが、当該ユーザが指示受け者となっている、完了(S4)や指示済(S2)も含んだ全てのタスク進捗の一覧を表示することが可能である。 FIG. 8 shows a screen example when the general manager of the sales headquarters in FIGS. 2 and 3 logs in. In this screen, the “unprocessed task list” is displayed with a list of tasks progressing for the task for which the user is an instruction recipient and the status is not instructed (S1) or incomplete (S3). Yes. The task (task progress) displayed in the unprocessed task list requires execution or reassignment processing by the user. In addition, when the “instruction receiving list” button is pressed, all the task progresses including completion (S4) and instructed (S2) that the user is the instruction receiver are not shown. It is possible to display a list of
同様に、「処理待ちタスク一覧」として、当該ユーザが指示者となっているタスクに含まれるタスク進捗であり、かつステータスが未指示(S1)もしくは未完了(S3)のものの一覧が表示されている。処理待ちタスク一覧に表示されたタスク(タスク進捗)は、当該ユーザが指示を行い、指示受け者(配下の担当者)による実施もしくは再アサインの処理を要するものである。また、これに付随して、「指示一覧」ボタンを押下すると、図示しないが、当該ユーザが指示者となっているタスクに含まれるタスク進捗であり、完了(S4)や指示済(S2)も含んだ全てのタスク進捗の一覧を表示することが可能である。 Similarly, a list of tasks that are included in the task for which the user is the instructor and whose status is not instructed (S1) or incomplete (S3) is displayed as the “processing waiting task list”. Yes. The task (task progress) displayed in the list of tasks waiting to be processed is one that is instructed by the user and needs to be executed or reassigned by the instruction recipient (subordinate person in charge). In addition, when the “instruction list” button is pressed, it is a task progress included in the task for which the user is an instructor (not shown), and completion (S4) and instructed (S2) are also performed. It is possible to display a list of all included task progress.
このように、ログインしたユーザによって参照することができるタスク(タスク進捗)の範囲を制限しているが、ユーザの権限(部署やロール等)によって参照することができる範囲(部署、ユーザや、組織階層など)が拡大可能なように制御することも可能である。 In this way, the range of tasks (task progress) that can be referenced by the logged-in user is limited, but the range (department, user, or organization) that can be referenced by the user's authority (department, role, etc.) It is also possible to control so that the hierarchy can be expanded.
図8の画面において、「新規作成」ボタンを押下することによって、当該ユーザが起点となって新たにタスクを作成して指示することができる。図9は、タスクを新規作成する画面の例を示した図である。 By pressing the “New” button on the screen of FIG. 8, the user can create and instruct a new task starting from the user. FIG. 9 is a diagram showing an example of a screen for creating a new task.
図9の画面において、ユーザはタスク名やカテゴリ、内容、担当者(指示受け者)などの情報を設定してタスクを新たに作成することができる。担当者を指定する際には、プルダウンメニューやリスト等によりユーザ・部署DB210に保持されている組織の階層構造の情報を提供することができ、容易に組織の階層構造に沿ったタスクの指示を行うことができる。このとき例えば、自身が属する部署および配下の部署に属する担当者のみがプルダウンメニューに表示されるように制御することでタスクの指示範囲を制限することができる。
In the screen of FIG. 9, the user can create a new task by setting information such as task name, category, content, person in charge (instructee). When specifying the person in charge, information on the hierarchical structure of the organization held in the user /
さらに、タスクの作成時に、当該タスクの担当者(指示受け者)がさらに配下の担当者にタスクを再アサインすることを許可するか否か、および許可する場合に、指示受け者がタスクを再アサインする際に当該画面で指定したタスクの内容をコピーして再アサインすることを許可するか否かを指定することができる。タスク操作部111は、これらの設定内容に従ってタスクDB260およびタスク進捗DB270に新たにタスクおよびタスク進捗を作成する。
In addition, when creating a task, whether or not to allow the person in charge of the task (instruction recipient) to reassign the task to a subordinate person in charge, and if so, the instruction recipient re-initiates the task. When assigning, it is possible to specify whether or not to permit copying and reassigning the contents of the task specified on the screen. The
また、図8の画面において、「未処理タスク一覧」に表示されたタスク進捗の「進捗更新」ボタンを押下することによって、当該タスク進捗のステータスを更新することができる。図10は、タスク進捗の進捗状況(ステータス)を更新する画面の例を示した図である。図10の画面において、ユーザは、当該タスク進捗に係る実作業の進捗状況に応じて進捗率やステータスを入力することができる。タスク操作部111は、入力内容に従ってタスク進捗DB270の内容を更新する。
Also, by pressing the “progress update” button for the task progress displayed in the “unprocessed task list” on the screen of FIG. 8, the status of the task progress can be updated. FIG. 10 is a diagram showing an example of a screen for updating the progress (status) of the task progress. In the screen of FIG. 10, the user can input a progress rate and a status according to the progress status of the actual work related to the task progress. The
さらに、当該タスク進捗が指示者によって再アサイン不可の指定がされていない場合は、「再アサイン」ボタンが押下可能となっており、これを押下することによってユーザは当該タスクの実施を配下の担当者に再アサインすることができる。このとき、図9に示したタスクの新規作成時の画面と同様な画面が表示され、タスクの内容や再アサインする担当者を設定することができる。 In addition, if the instructor has not specified that the task progress cannot be reassigned, the “Reassign” button can be pressed, and by pressing this button, the user is responsible for executing the task. Can be reassigned. At this time, a screen similar to the screen at the time of creating a new task shown in FIG. 9 is displayed, and the contents of the task and the person to be reassigned can be set.
なお、当該タスク進捗に指示者によってタスク内容のコピー不可の指定がされていなかった場合は、タスクの再アサインを行う画面において、期日や内容などの情報が再アサインするタスクにそのまま引き継がれて設定される。タスク操作部111は、設定内容に従ってタスクDB260およびタスク進捗DB270に新たに再アサインしたタスクおよびタスク進捗を作成する。
Note that if the instructor has not specified that the task content cannot be copied in the task progress, information such as the due date and content will be carried over to the reassigned task as it is on the task reassignment screen. Is done. The
図10の画面においてタスクの進捗率を100%としてステータスを完了(S4)とした場合は、当該タスク進捗は図8の「未処理タスク一覧」から消える。また、タスクを再アサインしてタスク進捗のステータスを指示済(S2)とした場合は、当該タスク進捗は図8の「未処理タスク一覧」から消え、「処理待ちタスク一覧」に新たに表示される。 When the task progress rate is 100% and the status is completed (S4) on the screen of FIG. 10, the task progress disappears from the “unprocessed task list” of FIG. If the task is reassigned and the task progress status is indicated (S2), the task progress disappears from the “unprocessed task list” in FIG. 8 and is newly displayed in the “waiting task list”. The
また、図8の画面において、「処理待ちタスク一覧」に表示されたタスク進捗の「修正」ボタンを押下することによって、再アサインした当該タスク進捗の内容を修正することができる。このとき、図9に示したタスクの新規作成時の画面と同様な画面が表示され、内容や期日などの情報を修正することができる。また、組織の人事異動等に伴って担当者が変更になる場合は指示受け者である担当者を変更することも可能である。タスク操作部111は、修正内容に従ってタスク進捗DB270の内容を更新する。
Further, by pressing the “correct” button for the task progress displayed in the “processing waiting task list” on the screen of FIG. 8, the reassigned task progress can be corrected. At this time, a screen similar to the screen at the time of newly creating a task shown in FIG. 9 is displayed, and information such as contents and due date can be corrected. In addition, when the person in charge changes due to personnel changes in the organization, it is possible to change the person in charge who is the instruction recipient. The
また、図8の画面において、「処理待ちタスク一覧」に表示されたタスク進捗の「削除」ボタンを押下することによって、再アサインした当該タスク進捗を削除(指示を取り消し)することもできる。タスク操作部111は、指定されたタスク進捗をタスク進捗DB270から削除する。
Further, by pressing the “deletion” button of the task progress displayed in the “processing waiting task list” on the screen of FIG. 8, the reassigned task progress can be deleted (instructions canceled). The
この際、削除したタスク進捗と同じタスクIDを有するタスク進捗が他に存在しない場合、すなわち、当該タスク進捗が属する子タスクに含まれるタスク進捗が全て削除された場合は、タスク操作部111は、タスクDB260およびタスク進捗DB270を参照して当該子タスクを指示した親タスクのタスク進捗を特定し、そのステータスを指示済(S2)から未指示(S3)に更新することによって再アサインがされなかったものとする。
At this time, when there is no other task progress having the same task ID as the deleted task progress, that is, when all the task progresses included in the child task to which the task progress belongs are deleted, the
[タスク実施状況管理]
以下では、ユーザがクライアント端末400を介してタスク管理サーバ100にアクセスし、タスクの階層構造に基づいた実施状況(実施率や未実施者など)の情報を参照する際の処理内容について説明する。
[Task implementation status management]
Hereinafter, processing contents when the user accesses the
上述の図8の画面において、「未処理タスク一覧」に表示されたタスク進捗の「実施状況」ボタンを押下することによって、ユーザは当該タスク進捗の実施状況を、同じ指示者から対象のタスクの指示・再アサインを受けた他の担当者に係るタスク進捗との間で比較(横比較)することができる。図11は、タスク進捗の実施状況を横比較した結果を表示する画面の例を示した図である。 By pressing the “execution status” button for the task progress displayed in the “unprocessed task list” on the screen of FIG. 8 described above, the user can change the task progress execution status from the same instructor to the target task. Comparison (horizontal comparison) can be made with the task progress of other persons in charge who have received instructions / reassignments. FIG. 11 is a diagram illustrating an example of a screen that displays a result of a horizontal comparison of task progress implementation statuses.
図11の画面では、営業本部本部長がCISOから指示されたタスクについて、CISOから当該タスクについて同様に指示を受けた情報システム本部本部長、業務本部本部長との間でタスク進捗の実施率を比較(横比較)して表示している。これにより、自身に指示されたタスク(タスク進捗)の実施状況を、階層的に横の部署の他の担当者に係るタスク進捗の実施状況と比較して進捗状況を判断することができる。 In the screen of FIG. 11, regarding the task instructed by the headquarters of the sales headquarters, the execution rate of the task progress between the head of the information system headquarters and the headquarters of the business headquarters is similarly received from the CISO. Comparison (horizontal comparison) is displayed. As a result, the progress status of the task (task progress) instructed by itself can be determined by comparing the progress status of the task progress related to other persons in charge in the hierarchically horizontal department.
ここでの実施率(%および件数)は、実施状況管理部120が、対象のタスク進捗に対して、タスクの階層構造における自身を含む下位に属する全てのタスク進捗について、例えば、
実施率=(完了(S4)の件数)/
(未指示(S1)or未完了(S2)or(完了S4)の件数) …式(1)
の式によって算出する。実施状況管理部120における実施率の算出処理の詳細については後述する。
The implementation rate (% and the number of cases) here is as follows. For example, the implementation
Implementation rate = (number of completed (S4)) /
(Number of uninstructed (S1) or incomplete (S2) or (completed S4)) Expression (1)
It is calculated by the following formula. Details of the execution rate calculation process in the implementation
また、上述の図8の画面において、「処理待ちタスク一覧」に表示されたタスク進捗の「実施状況」ボタンを押下することによって、ユーザは当該タスク進捗の実施状況を、自身が再アサインにより指示した配下の担当者に係るタスク進捗の間で比較(下比較)することができる。図12は、タスク進捗の実施状況を下比較した結果を表示する画面の例を示した図である。図12の画面では、営業本部本部長が指示したタスクについて、指示受け者である営業一部部長および営業二部部長の間で式(1)によって算出したタスク進捗の実施率を比較(下比較)して表示している。 In addition, by pressing the “Implementation Status” button for the task progress displayed in the “List of Tasks Awaiting Processing” on the screen of FIG. 8 described above, the user instructs the implementation status of the task progress by reassignment. It is possible to make a comparison (downward comparison) among the task progresses related to the subordinate personnel who have been subordinate. FIG. 12 is a diagram illustrating an example of a screen that displays a result of a lower comparison of task progress implementation statuses. In the screen of FIG. 12, the task progress rate calculated by the formula (1) is compared between the sales department manager and the sales department manager who are the instruction recipients for the task indicated by the head of sales headquarters (lower comparison). ) Is displayed.
図12に示す下比較の場合は、図11に示す横比較の場合と異なり、自身の配下の部署に係る実施状況の確認であるため、例えば、図12における「未完了/未実施者」の項目のような未完了者や未実施者の具体的な情報など、さらに詳細な情報を参照可能とするよう参照権限を強化してもよい。また、担当者がさらに再アサインによって配下の担当者にタスクを指示している場合は、それらのタスク進捗についても式(1)によって実施率を算出してタスクの階層毎に表示するようにしてもよい。 In the case of the lower comparison shown in FIG. 12, unlike the case of the horizontal comparison shown in FIG. 11, since the implementation status related to the department under its control is confirmed, for example, “incomplete / unexecuted” of FIG. The reference authority may be strengthened so that more detailed information such as incomplete items such as items and specific information of unimplemented persons can be referred to. In addition, if the person in charge instructs the subordinate person in charge by reassignment, the execution rate of those tasks is also calculated by equation (1) and displayed for each task hierarchy. Also good.
[タスク実施状況管理(処理フロー)]
図13は、タスク進捗毎の実施率を算出する処理の流れの例を示すフローチャートである。あるタスク進捗の実施率は、上述したように、例えば、対象のタスク進捗について、タスクの階層において自身を含む下位に属する全てのタスク進捗を対象に式(1)の計算を行って求めることができる。このタスク進捗実施率算出処理は、上述したタスク実施状況の横比較、下比較のいずれにおいても利用される。
[Task implementation status management (processing flow)]
FIG. 13 is a flowchart illustrating an example of a flow of processing for calculating an execution rate for each task progress. As described above, the execution rate of a certain task progress can be obtained, for example, by calculating Formula (1) for all task progresses belonging to a lower level including itself in the task hierarchy. it can. This task progress execution rate calculation process is used in both the horizontal comparison and the lower comparison of the task execution statuses described above.
図13において、実施状況管理部120は、事前に実施率の分子および分母となる値を初期化しておく。その後、実施率の算出対象となるタスク進捗(タスク進捗ID)を入力パラメータとしてタスク進捗実施率算出処理を開始すると、まず、対象のタスク進捗のステータスが指示済(S2)であるか否かを確認する(S101)。
In FIG. 13, the implementation
ステップS101でステータスが指示済(S2)でない場合は、対象のタスク進捗は再アサインされておらず、現時点でタスクの階層構造における末端であることを示す。従って、実施率の分母に1を加算する(S102)。次に、対象のタスク進捗のステータスが完了(S4)であるか否かを確認する(S103)。ステータスが完了(S4)でない場合(すなわち未指示(S1)もしくは未完了(S3)である場合)は、対象のタスク進捗の指示受け者を未完了者のリストに追加し(S104)、ステータスが完了(S4)である場合は、実施率の分子に1を加算して(S105)、処理を終了する。 If the status is not instructed (S2) in step S101, it indicates that the target task progress has not been reassigned and is currently at the end of the task hierarchy. Therefore, 1 is added to the denominator of the implementation rate (S102). Next, it is confirmed whether or not the status of the target task progress is complete (S4) (S103). If the status is not complete (S4) (that is, if it is not instructed (S1) or incomplete (S3)), the target task progress instruction recipient is added to the list of incomplete users (S104), and the status is If it is completed (S4), 1 is added to the numerator of the implementation rate (S105), and the process ends.
一方、ステップS101でステータスが指示済(S2)である場合は、対象のタスク進捗は再アサインされているため、対象のタスク進捗から再アサインされたタスクの実施率を算出する。そのため、まず、タスク進捗DB270を参照して、対象のタスク進捗が属するタスク(のタスクID)を判別する(S106)。
On the other hand, if the status is instructed (S2) in step S101, the target task progress has been reassigned, so the execution rate of the reassigned task is calculated from the target task progress. Therefore, first, the
次に、タスクDB260を参照して、判別したタスクが親タスクとなっており、かつ、対象のタスク進捗の指示受け者が指示者となっている子タスク(のタスクID)を判別する(S107)。具体的には、タスクテーブル261において、親タスクIDと指示者ユーザIDの値が、ステップS106で取得した、タスク進捗テーブル271における対象のタスク進捗のタスクIDおよび指示受け者ユーザIDの値とそれぞれ一致する、という条件を満たすタスクを取得してこれを判別対象の子タスクとし、そのタスクIDを取得する。
Next, referring to the
さらに、タスク進捗DB270を参照して、判別した子タスクに属するタスク進捗(のタスク進捗ID)を判別する(S108)。なお、ステップS106〜S108の一連の処理は、便宜上時系列で処理を記載しているが、タスクDB260、タスク進捗DB270を対象としたデータベースアクセスにおいて一括で処理することも可能である。
Further, the
最後に、ステップS108で判別したタスク進捗毎に、当該タスク進捗実施率算出処理を再帰的に呼び出して、タスク進捗毎の実施率を算出し(S109)、処理を終了する。上記の処理により、あるタスク進捗が指定された場合に、当該タスク進捗について、自身を含む下位に属する全てのタスク進捗を対象とした実施率の分子・分母の値を算出することができる。 Finally, for each task progress determined in step S108, the task progress execution rate calculation process is recursively called to calculate the execution rate for each task progress (S109), and the process ends. With the above processing, when a certain task progress is designated, the numerator and denominator values of the implementation rate for all the task progresses belonging to the lower level including itself can be calculated for the task progress.
図14は、図11に示したタスク進捗の実施状況を横比較する際の処理の流れの例を示すフローチャートである。処理を開始すると、実施状況管理部120は、まず、タスク進捗DB270を参照して、対象のタスク進捗と同じタスクに属する(同じタスクIDを有する)タスク進捗(のタスク進捗ID)を判別する(S201)。この中には、対象のタスク進捗自身も含まれる。次に、判別したタスク進捗毎に、図13に示したタスク進捗実施率算出処理を呼び出して、タスク進捗毎の実施率を算出し(S202)、これを例えば図11に示すような形式で出力して(S203)、処理を終了する。
FIG. 14 is a flowchart illustrating an example of the flow of processing when performing a horizontal comparison of the task progress implementation status illustrated in FIG. 11. When the process is started, the implementation
図15は、図12に示したタスク進捗の実施状況を下比較する際の処理の流れの例を示すフローチャートである。処理を開始すると、実施状況管理部120は、対象のタスク進捗について、図13に示したタスク進捗実施率算出処理を呼び出して、対象のタスク進捗の実施率を算出する(S301)。その後、対象のタスク進捗および再アサインした下位の各タスク進捗について、ステップS302で算出した実施率と未完了者の情報を、例えば図12に示すような形式で出力して(S302)、処理を終了する。
FIG. 15 is a flowchart illustrating an example of a processing flow when the task progress implementation status illustrated in FIG. 12 is compared downward. When the process is started, the execution
なお、図12および図15に示す下比較の処理では、上述したように、図11および図14に示す横比較の場合と異なり、自身の配下の部署に係る実施状況の確認であるため、ステップS301の処理で記録された未完了者の情報も出力し、当該担当者に対して直接の問い合わせ等も可能となるようにしているが、横比較の場合は、対象のユーザと階層的に横の部署の担当者(指示受け者)における実施状況のサマリーを表示するのみに制限している。 In the lower comparison process shown in FIGS. 12 and 15, as described above, unlike the case of the horizontal comparison shown in FIGS. 11 and 14, it is a confirmation of the implementation status related to the department under its control. Information on incomplete persons recorded in the process of S301 is also output so that direct inquiries and the like can be made to the person in charge. In the case of horizontal comparison, the horizontal comparison with the target user is made hierarchically. It is limited to displaying only the summary of the implementation status of the person in charge (instructor) of the department.
以上に説明したように、本発明の実施の形態1であるタスク管理システムによれば、企業等の階層構造を有する組織体において、部署の階層構造における配下の担当者に対して作業を指示するタスクを作成し、さらに、当該タスクの指示を受けた担当者(指示受け者)単位で当該タスクに係る作業の進捗率およびステータス等の管理を行うタスク進捗を作成して、これらの情報をデータベースに保持して管理することができる。また、指示されたタスクを再アサインすることによりさらに下位部署に指示を展開することができ、これらのタスクをタスクの階層構造として管理することができる。 As described above, according to the task management system according to the first embodiment of the present invention, in an organization having a hierarchical structure such as a company, an operation is instructed to a person in charge in the hierarchical structure of a department. Create a task and create a task progress that manages the progress rate and status of the work related to the task for each person (instructor) who has received the instruction for the task. Can be held and managed. Further, by reassigning the designated task, the instruction can be expanded to a lower department, and these tasks can be managed as a hierarchical structure of tasks.
これにより、組織の階層構造に基づいてタスクの指示・展開を容易に行い、また、組織(タスク)の階層構造に応じた形で実施率の算出や参照範囲の制限などを含む実施状況の管理を行うことが可能となる。さらに、タスク進捗の単位でステータスを遷移させて管理するため、各担当者における作業実施の証跡を容易に取得することが可能となり、監査等の際の対応を容易にすることができる。また、タスクの階層構造の情報を組織の階層構造の情報と分離して保持することで、人事異動や組織改編などの際にもタスクの担当者等を柔軟に変更して対応することができる。 This makes it easy to instruct and expand tasks based on the hierarchical structure of the organization, and manage the implementation status including calculation of the implementation rate and restriction of the scope of reference in a form according to the hierarchical structure of the organization (task). Can be performed. Furthermore, since the status is managed in units of task progress, it is possible to easily obtain a trail of work execution by each person in charge, and it is possible to easily deal with audits and the like. In addition, by keeping task hierarchy information separately from organization hierarchy information, it is possible to flexibly change the person in charge of tasks in the event of personnel changes or organizational changes. .
<実施の形態2>
以下では、本発明の実施の形態2であるセキュリティ管理支援システムについて説明する。
<
Below, the security management support system which is
近年、IT技術の急速な発展に伴いその重要性が高まる一方、障害や情報漏洩等が発生した場合の影響度も大きくなっており、企業において適切な情報セキュリティ対策を講じることは重要な課題となっている。しかし、企業における情報セキュリティ対策への取組みは、その効果が認識しづらく、また、ゴールが見えずどのような対策をどこまで実施すれば十分であるかが判断しづらいことから、セキュリティ対策に対して過剰投資となる場合も生じ、いわゆる「対策疲れ」の状況も生じている。 In recent years, the importance of IT technology has increased with the rapid development of IT technology, and the degree of influence in the event of a failure or information leakage has increased, and it is an important issue for companies to take appropriate information security measures. It has become. However, it is difficult to recognize the effects of information security measures in a company, and it is difficult to judge what measures should be implemented to what extent because the goals are not visible. In some cases, excessive investment occurs, and so-called “measure fatigue” occurs.
これらの課題に対して、これまで、セキュリティ対策の状況(セキュリティレベル)やリスクを定量化することによって可視化するといった解決策が提案されてきた。これらの解決策は大きく分類して管理的(人的)アプローチと技術的アプローチに分けることができる。 To date, solutions have been proposed in which the status of security measures (security level) and risks are visualized by quantifying them. These solutions can be broadly classified into administrative (human) approaches and technical approaches.
管理的アプローチとしては、例えば、企業の情報セキュリティのマネジメント体系に関する認証基準であるISMS(Information Security Management System:情報セキュリティマネジメントシステム)(ISO(International Organization for Standardization:国際標準化機構)/IEC(International Electrotechnical Commission:国際電気標準会議)27001)を始めとするセキュリティ基準についての各種認証の取得や、種々のリスク分析の手法を用いた企業のリスク評価の実施などがある。また、技術的アプローチとしては、例えば、SIM(Security Information Management:セキュリティ統合管理ツール)やログ分析ツール等のツール類を用いたセキュリティ管理の実施などがある。 As an administrative approach, for example, ISMS (Information Security Management System) (ISO (International Organization for Standardization)) / IEC (International Electrotechnical Commission), which is a certification standard for information security management systems of companies. : International Electrotechnical Commission) Acquiring various certifications for security standards such as 27001) and conducting risk assessment of companies using various risk analysis methods. Further, as a technical approach, for example, there is implementation of security management using tools such as SIM (Security Information Management) and log analysis tools.
また、これらに該当するものとして、例えば、特開2003−150748号公報には、セキュリティポリシーと、情報システムに関する情報とを所定のアプリケーションプログラミングインターフェースに基づきリスク評価用のデータ形式に変換し、変換後のセキュリティポリシー及び情報システムに関する情報に基づきリスク評価を実行し、リスク評価の結果に基づき適宜管理策が選択され、選択された管理策によってセキュリティポリシー等に変更を加えて管理策データとする技術が開示されている。このとき、管理策データを用いてセキュリティのシミュレーションを実行することで、リスク評価の結果をセキュリティポリシーの構築に反映することができる。 Further, for example, Japanese Patent Application Laid-Open No. 2003-150748 discloses that a security policy and information on an information system are converted into a data format for risk evaluation based on a predetermined application programming interface. A technology that performs risk assessment based on information on the security policy and information system of the system, selects control measures as appropriate based on the results of risk assessment, and modifies the security policy etc. according to the selected control measures to create control measure data. It is disclosed. At this time, by executing a security simulation using the control data, the result of risk evaluation can be reflected in the construction of the security policy.
このように、セキュリティレベルやリスクを定量化する手法やツールはいくつか存在するが、これらはいずれも企業の経営的視点でセキュリティ管理が行えるようなレベルには至っていない。例えば、リスク分析ツールやSIMなどは、部分的な機能しか提供しておらず、また、セキュリティレベルの把握はあくまで現状を定量化して把握するに止まり、現状のセキュリティレベルに基づく将来の目標設定や、目標を達成するために実施すべき施策の決定を支援するといったことまでは十分にできていない。また、セキュリティレベルを企業における複数の拠点や部署(階層)毎に把握・管理するということもできていない。 As described above, there are several methods and tools for quantifying the security level and risk, but none of them has reached a level at which security management can be performed from the management viewpoint of a company. For example, risk analysis tools, SIMs, etc. provide only partial functions, and the security level can be understood only by quantifying the current state, and future target setting based on the current security level It is not enough to support the decision of measures to be implemented to achieve the goal. Moreover, it is not possible to grasp and manage the security level for each of a plurality of bases and departments (hierarchies) in a company.
特に、大規模組織では、PCやサーバなどの管理対象の資産が多く、また、拠点や部署、グループ企業などの管理対象の組織も多岐にわたるため、セキュリティ管理業務は煩雑となり運営は非常に困難である。また、部署毎の対策レベルの現状把握が難しく、部署毎での対策レベルの差も大きいため、全体最適を実現することも困難である。例えば、ISMS認証を大規模組織で取得するのは非常に困難であり、実際は部署/拠点単位で取得するケースがほとんどである。 In particular, large-scale organizations have many assets to be managed such as PCs and servers, and there are a wide variety of organizations to be managed such as bases, departments, and group companies, making security management operations complicated and extremely difficult to operate. is there. In addition, it is difficult to grasp the current state of the countermeasure level for each department, and since the difference in the countermeasure level for each department is large, it is also difficult to realize overall optimization. For example, it is very difficult to acquire ISMS authentication in a large-scale organization, and in fact, in most cases, it is acquired in units of departments / bases.
また、セキュリティレベルを定量化する従来の手法やツールでは、利用に際して高度な専門的知識が必要であるため、企業等の組織体においては、セキュリティレベルの定量化による評価はセキュリティ管理部門など一定のスキルを持った特定の部署が全部署の評価を一括して肩代わりして行っているのが実情である。その結果、現場の各部署(ユーザ部門)にとってはセキュリティ管理が他人事となってしまい、セキュリティ意識をユーザ部門に広く浸透させるのが困難になっている。 In addition, since conventional techniques and tools for quantifying security levels require advanced specialized knowledge when used, in organizations such as corporations, evaluations based on quantification of security levels are limited to security management departments, etc. The fact is that specific departments with skills take over the evaluation of all departments at once. As a result, for each department (user department) at the site, security management becomes another person, making it difficult to spread security awareness widely to the user department.
これらの課題を実効的に解決するには、セキュリティ管理「業務」をシステム化することが必要である。ここでの「業務」には、例えば、情報資産の洗い出しや分類、現状のセキュリティ対策状況の把握、リスク分析、セキュリティ対策(リスク対応)の目標設定と対策状況の管理など種々のものがある。これらの中には、例えば、情報資産の洗い出しや重要度設定による分類など、ユーザ部門で実施すべき、またはユーザ部門の協力が必要な作業は多く、また、実際のセキュリティ対策自体についてもユーザ部門で実施すべき対策は多い。 In order to effectively solve these problems, it is necessary to systematize security management "business". The “business” here includes various types such as identification and classification of information assets, grasping the current security countermeasure status, risk analysis, security countermeasure (risk response) target setting and management of the countermeasure status. Among these, for example, there are many tasks that should be carried out in the user department, such as identification of information assets and classification by importance setting, or cooperation with the user department, and the actual security measures themselves are also in the user department There are many countermeasures to be implemented in Japan.
従って、特に、大規模組織においては、ユーザ部門が主体的にセキュリティ対策やセキュリティリスクについて現状を把握し、目標設定・管理を行ってセキュリティ管理業務の運営に関与できるようにすることは、企業において効率的・効果的なセキュリティ管理を実現するうえで非常に重要である。 Therefore, especially in a large-scale organization, it is important for companies to be able to participate in the operation of security management operations by grasping the current state of security measures and security risks, and setting and managing targets. It is very important to realize efficient and effective security management.
そこで本実施の形態のセキュリティ管理支援システムは、企業等の組織において、セキュリティ管理の対象となる情報資産に関する情報を各部署によって管理することを可能とし、また、当該情報資産についてのセキュリティ対策状況やリスクを部署毎に定量化して、各部署における現状把握と目標設定・管理を行うことを目的とするものである。 Therefore, the security management support system according to the present embodiment makes it possible for each organization to manage information related to information assets subject to security management in an organization such as a company. The purpose is to quantify the risk for each department and to grasp the current situation and set / manage the target in each department.
すなわち、本実施の形態のセキュリティ管理支援システムは、企業等の組織体におけるセキュリティ管理「業務」をシステム化するものであり、この機能としては、例えば、部署毎に保護すべき情報資産についての情報をデータベース化して管理し、セキュリティ管理部門等ではなく現場(ユーザ部門)の担当者が情報を入力・更新することで分散管理する資産管理機能や、現状のセキュリティレベルやリスクレベルを定量化して部署別、対策ジャンル別など種々の切り口で把握する現状分析機能を有するものである。 That is, the security management support system according to the present embodiment systemizes security management “operations” in an organization such as a company. As this function, for example, information on information assets to be protected for each department Asset management function that manages the data in a distributed manner by inputting and updating information by the person in charge (user department) instead of the security management department etc., and quantifying the current security level and risk level It has a current state analysis function for grasping from various viewpoints such as different and countermeasure genres.
また、現状のセキュリティレベルやリスクレベルに基づく将来の目標レベルの決定や、目標レベルを達成するために実施すべき施策の決定を支援する目標管理機能などを有し、さらに、従業員に対するセキュリティ対策についての具体的な施策である管理策の実施等の各種指示や、上長による承認等の一連の業務をワークフローやタスクとして管理する業務処理機能を有する。 In addition, it has a goal management function that supports the determination of future target levels based on the current security level and risk level, and the measures to be implemented to achieve the target levels. It has a business processing function that manages various instructions such as implementation of management measures, which are specific measures, and a series of work such as approval by a superior as a workflow or task.
ここで、企業等の組織体におけるセキュリティ管理業務は、その特性上、セキュリティ対策についての管理策の実施を全社もしくは一部の部署における組織階層全体に徹底させ、その実施状況をトラッキングすることによってセキュリティレベルやセキュリティリスクを分析・管理するというものが主である。 Here, due to the characteristics of security management operations in organizations such as corporations, security measures are implemented by ensuring that security measures are implemented throughout the entire company hierarchy or in the entire organizational hierarchy and tracking the implementation status. Analyzing and managing the level and security risk is the main.
従って、本実施の形態のセキュリティ管理支援システムは、このような上位部署からトップダウンで指示・展開される管理策の実施をタスクとして管理するため、上述の業務処理機能の部分に実施の形態1で示したタスク管理システムの機能を適用している。これにより、タスクを階層構造で管理し、組織の階層構造に基づいたタスク(管理策)の指示・展開や、組織の階層構造に応じた形での実施率の算出等の実施状況の管理を行うことが可能となり、セキュリティレベルやリスクレベルの定量化に資することができる。 Therefore, the security management support system according to the present embodiment manages the implementation of the management measures that are instructed and deployed from the upper-level departments as a task as a task. The function of the task management system shown in is applied. As a result, tasks are managed in a hierarchical structure, and management of the implementation status such as the instruction and development of tasks (control measures) based on the hierarchical structure of the organization and the calculation of the implementation rate in a form according to the hierarchical structure of the organization. Can be performed, and can contribute to the quantification of the security level and the risk level.
[システム構成]
図16は、本発明の実施の形態2であるセキュリティ管理支援システムの構成例の概要を示す図である。セキュリティ管理支援システム5は、例えば、セキュリティ管理支援サーバ500と、セキュリティ管理支援サーバ500にネットワーク経由で接続されたおよびクライアント端末400から構成される。また、後述するセキュリティ管理ツールサーバ300とネットワーク経由で連携してもよい。
[System configuration]
FIG. 16 is a diagram showing an outline of a configuration example of the security management support system according to the second embodiment of the present invention. The security
セキュリティ管理支援サーバ500は、コンピュータシステムからなるサーバ機器によって構成され、例えば、現状分析部510、目標管理部520、業務処理部530、資産管理部540、管理部550などを有する。これら各部はソフトウェアプログラムとして実装され、例えば、セキュリティ管理支援サーバ500上の図示しないWebサーバプログラムと連携して、クライアント端末400からの処理要求を受けて所定の処理を行い、クライアント端末400に対して処理結果の画面を提示したり、また、日次等のバッチ処理により所定の処理を行ったりする。
The security
現状分析部510は、部署毎に保持する資産に対する管理策(セキュリティ対策についての具体的な施策)の実施状況についての診断結果を後述するデータベースに登録し、また、データベースに登録された診断結果に基づいて、各部署における現状のセキュリティレベルもしくはリスクレベルを管理対象のセキュリティ基準に基づいて採点し、部署別、対策ジャンル(管理策カテゴリ)別など種々の切り口(集計方法)で集計した結果をクライアント端末400に表示する現状分析機能を実現する。
The current
現状分析部510は、例えば、セキュリティレベル診断部511、リスク分析部512、詳細分析部513の各部から構成される。セキュリティレベル診断部511は、いわゆるベースラインアプローチによりセキュリティ対策状況(セキュリティレベル)を定量化する機能を有する。リスク分析部512は、いわゆるリスクベースアプローチによりセキュリティリスク(リスクレベル)を定量化する機能を有する。詳細分析部513は、部署別、管理策カテゴリ別、セキュリティ基準別などの種々の切り口からセキュリティレベルやリスクレベルを集計することで現状を分析し、分析結果をユーザに提示する機能を有する。
The current
目標管理部520は、部署毎の現状のセキュリティレベルやリスクレベルに基づく将来の目標レベルの決定や、目標レベルを達成するために実施すべき施策の決定を支援し、その結果ユーザによって当該部署に対して指定された、セキュリティレベルもしくはリスクレベルの目標レベルとその達成時期および実施すべき施策を後述するデータベースに登録または更新する目標管理機能を実現する。
The
目標管理部520は、例えば、目標設定部521、計画策定部522、予実管理部523の各部から構成される。目標設定部521は、ユーザがセキュリティレベルもしくはリスクレベルの目標値を指定し、その達成期限と合わせて目標レベルとして設定・登録するための機能を有する。計画策定部522は、目標設定部521によって設定された目標レベルを達成するために必要な管理策をユーザが指定するための機能を有する。予実管理部523は、目標設定部521によって設定された目標レベルとその達成度をユーザが確認するための機能を提供する。
The
業務処理部530は、従業員に対する管理策の実施等の各種指示や、上長による承認等の一連の業務をワークフローやタスクとして管理する業務処理機能を実現する。また、セキュリティ管理支援システム5にて蓄積・管理されている情報に基づいて、例えば内部監査等で必要となる項目を抽出したり、内部監査の結果を管理したりといった機能を有していてもよい。
The
本実施の形態のセキュリティ管理支援システム5では、管理策の実施といった上位部署からトップダウンで指示・展開される業務をタスクとして管理するため、業務処理部530に実施の形態1のタスク管理システム1におけるタスク実施管理部110および実施状況管理部120の機能を適用している。ここで、管理策は、上述したように部署毎に保持する資産に対する具体的な施策(作業)であり、これを実施の形態1で説明したタスクとして管理するためには、例えば、対象の資産の管理者(PCの場合は各所有者、サーバ機器の場合はサーバ管理者など)に対して管理策の実施というタスクの指示を行うことになる。
In the security
資産管理部540は、保護すべき情報資産(機密情報およびこれを保持するファイルサーバ、PCなどの機器等)についての情報をデータベース化して管理し、セキュリティ管理部門等ではなく現場(ユーザ部門)の担当者が情報を入力・更新することで分散管理する資産管理機能を実現する。
The
また、管理部550は、セキュリティ管理支援システム5を利用するユーザや部署、その他のシステム的な情報などを管理する機能を実現する。さらに、ユーザのログイン時の認証なども行う。すなわち、実施の形態1のタスク管理システムにおける管理部130の機能を包含している。なお、上記各部の構成はあくまで一例であり、さらに上記以外の各部を有していてもよいし、また、上記各部の一部または全部がまとめられていたり、さらに細かく分けられたりしていてもよい。
In addition, the
セキュリティ管理支援サーバ500は、さらに、ユーザ・部署DB210、資産DB220、管理策DB230、計画策定DB240、診断DB250の各データベースに加えて、実施の形態1のタスク管理システム1におけるタスクDB260、タスク進捗DB270の各データベースを有する。
The security
ユーザ・部署DB210は、管理部550によって登録された、セキュリティ管理支援システム5を利用する企業等のユーザや部署およびその階層等の情報を保持する。このデータベースは、実施の形態1のタスク管理システム1におけるユーザ・部署DB210と同等のものである。資産DB220は、資産管理部540によって登録された、情報資産に関する情報(重要度や管理者などを含む)を保持する。
The user /
管理策DB230は、管理部550によって予め登録された、セキュリティ対策における管理策および対応するセキュリティ基準の情報等を保持する。計画策定DB240は、目標管理部520によって登録された、部署毎の目標レベルとこれを達成するための管理策の情報等を保持する。診断DB250は、現状分析部510等によって登録された、資産毎の管理策の実施状況についての診断結果、およびこれに基づいて現状分析部510によって作成された種々の切り口の現状分析用のサマリーを保持する。
The
なお、これら各データベースは、セキュリティ管理支援サーバ500が直接保持する構成でもよいし、別のデータベースサーバ等に保持してネットワーク経由でアクセスする構成としてもよい。これら各データベースの詳細については後述する。
Each database may be held directly by the security
セキュリティ管理ツールサーバ300は、一般的なセキュリティ管理製品やツール等、もしくは既存の社内システム等(以下では総称して「セキュリティ管理ツール」という場合がある)のサーバであり、管理対象の情報資産(特にPC)毎のセキュリティ関連の設定情報(すなわち管理策の実施状況)などを保持するサーバである。これらのセキュリティ管理ツールは、一般的に、資産管理対象のPCに導入されたプログラムによってセキュリティ関連の設定情報等を自動判別して取得し、ネットワーク経由でセキュリティ管理ツールサーバ300に送信することで、セキュリティ管理ツールサーバ300上で一元管理するものである。 The security management tool server 300 is a server for general security management products, tools, etc., or existing in-house systems (hereinafter sometimes collectively referred to as “security management tools”). In particular, it is a server that holds security-related setting information (that is, the implementation status of management measures) for each PC. In general, these security management tools automatically determine and acquire security-related setting information by a program installed in a PC that is an asset management target, and send the security-related setting information to the security management tool server 300 via a network. This is centrally managed on the security management tool server 300.
セキュリティ管理支援サーバ500の現状分析部510は、セキュリティ管理ツールサーバ300と連携して、セキュリティ管理ツールサーバ300によって収集され一元管理されている資産管理対象のPCの設定情報等を抽出し、フォーマット変換等によって診断DB250に取り込むことが可能である。これにより、情報資産の登録に係る作業を大きく軽減することができる。なお、セキュリティ管理ツールサーバ300は、連携するセキュリティ管理ツールに応じて複数種類有していてもよいし、全ての情報資産を手動で登録する場合は有していなくてもよい。また、図16に示すような独立したサーバ機器ではなく、例えば、セキュリティ管理支援サーバ500上にその機能を有していてもよい。
The current
クライアント端末400は、ユーザ(セキュリティ管理部門の担当者や各部署の担当者など)に対してセキュリティ管理支援サーバ500の各機能を利用するためのユーザインタフェースを提供する機器であり、PCや携帯端末などにより構成される。例えば図示しないWebブラウザを有し、セキュリティ管理支援サーバ500上の図示しないWebサーバプログラムとネットワーク経由により連携して、上記機能を実行するための指示を行ったり、実行結果の画面をユーザに提示したりする。
The client terminal 400 is a device that provides a user interface for using each function of the security
[処理の流れ]
図17は、セキュリティ管理支援システム5を利用したセキュリティ管理業務の流れの概要を示した図である。まず、セキュリティ管理支援サーバ500の現状分析部510の機能を利用して、自部署および下位部署についてのセキュリティ対策状況およびセキュリティリスクの現状レベルを分析する(S401)。
[Process flow]
FIG. 17 is a diagram showing an outline of the flow of security management work using the security
次に、目標管理部520の機能を利用して、各部署の担当者は、自部署および下位部署(下位部署が存在する場合)の目標レベルを設定する(S402)。このとき、一般的には例えば、所定の期限までに所定のセキュリティ基準(例えばISMS認証基準やいわゆる日本版SOX法(金融商品取引法)対応など)を達成することを目標として、目標レベルを数値設定する。自部署の目標レベルを設定する際に、上位部署によって目標レベルが設定されている場合には、それを下回らない(目標を達成できる)ような目標設定とする。さらに、設定された目標レベルに対して、これを達成できるように実施すべき管理策と実施期限を設定する。
Next, using the function of the
次に、各部署において設定された管理策を具体的に実施する(S403)。その後、各部署が自部署における管理策の実施状況の自己点検を行う、あるいは独立したセキュリティ監査部門が各部署における管理策の実施状況の内部監査を行い、現状分析部510の機能を利用してセキュリティ管理支援システム5に診断結果を登録・更新する(S404)。ステップS403の実施とステップS404の自己点検/内部監査を随時繰り返し、ステップS401の現状分析に戻る。このようないわゆるPDCA(Plan-Do-Check-Act)サイクルを、例えば四半期毎に繰り返すことによってセキュリティ管理業務を運営する。なお、上記各ステップでの処理例については後述する。
Next, the management policy set in each department is specifically implemented (S403). After that, each department conducts self-inspection of the implementation status of management measures in its own department, or an independent security audit department performs internal audits on the implementation status of management measures in each department, and uses the functions of the current
[データベース構成]
図18は、資産DB220のテーブルの構成例を示した図である。資産DB220は、セキュリティ管理の対象である情報資産に関する情報等を保持するデータベースであり、例えば、資産種別テーブル221、資産テーブル222、資産種別格納情報テーブル223、情報テーブル224、システム格納情報225のテーブルから構成される。
Database configuration
FIG. 18 is a diagram illustrating a configuration example of a table of the
資産種別テーブル221は、例えば、資産種別ID、資産種別名、資産区分などの資産の種別に関する項目を有する。資産種別は、例えば、「デスクトップPC」、「ノートPC」、「携帯端末」、「記録媒体」、「机/キャビネット」、「業務系システム」、「OA系システム」、「ネットワーク」、「組織」などの管理対象資産の小分類区分である。また、資産区分は、例えば、「PC」、「携帯端末」、「記録媒体」、「机/キャビネット」、「システム」、「ネットワーク」、「組織」などの管理対象資産の大分類区分である。 The asset type table 221 includes items relating to asset types such as asset type ID, asset type name, and asset category. The asset types are, for example, “desktop PC”, “notebook PC”, “portable terminal”, “recording medium”, “desk / cabinet”, “business system”, “OA system”, “network”, “organization” "Is a sub-category of managed assets. The asset classification is a broad classification classification of assets to be managed such as “PC”, “portable terminal”, “recording medium”, “desk / cabinet”, “system”, “network”, “organization”, and the like. .
資産テーブル222は、例えば、資産ID、管理部署ID、資産種別ID、資産名、管理者ID、利用者ID、保管場所、金額、製品名、シリアル番号、セキュリティ管理ツールキー番号などの各資産(実物資産)の属性に関する項目を有する。セキュリティ管理ツールキー番号の項目は、対象の資産がセキュリティ管理ツールサーバ300によって設定情報等を自動収集することができる資産である場合に、その情報を特定するためのキー情報を保持する項目である。 The asset table 222 includes, for example, each asset (such as asset ID, management department ID, asset type ID, asset name, administrator ID, user ID, storage location, amount, product name, serial number, security management tool key number). It has items related to attributes of (real assets). The item of the security management tool key number is an item that holds key information for identifying the target asset when the security management tool server 300 can automatically collect setting information and the like. .
情報テーブル224は、例えば、情報ID、管理部署ID、情報名、情報区分、管理者ID、資産価値区分(機密性、完全性、可用性)、資産価値金額(機密性、完全性、可用性)、個人情報属性、現利用者などの企業で保持している各情報の属性に関する項目を有する。情報区分は、例えば、「自社個人情報」、「顧客個人情報」、「自社重要情報(戦略情報、財務情報等)」、「自社非重要情報(その他の文書、記録等)」などの情報の分類区分である。 The information table 224 includes, for example, information ID, management department ID, information name, information classification, administrator ID, asset value classification (confidentiality, integrity, availability), asset value amount (confidentiality, integrity, availability), It has items related to personal information attributes and attributes of each information held by companies such as current users. The information category includes, for example, information such as “in-house personal information”, “customer personal information”, “in-house important information (strategy information, financial information, etc.)” and “in-house non-important information (other documents, records, etc.)”. Classification category.
また、資産価値区分は、情報資産についての一般的なリスクの評価観点である機密性(C:Confidentiality)、完全性(I:Integrity)、可用性(A:Availability)の観点から、例えば1〜3などの数値により資産価値(当該情報の重要度)を評価したものである。また、資産価値金額は、上記の資産価値を機密性、完全性、可用性の観点から金額で評価したものである。本実施の形態では、情報のリスクの高さを資産価値区分で評価することもできるし、資産価値金額で評価することもできる。これらの資産価値の情報は、例えば、各部署セキュリティ管理者などが入力する。 The asset value classification is, for example, 1 to 3 from the viewpoints of confidentiality (C: Confidentiality), integrity (I: Integrity), and availability (A: Availability), which are general risk evaluation viewpoints for information assets. The asset value (importance of the information) is evaluated by numerical values such as The asset value amount is obtained by evaluating the above asset value from the viewpoint of confidentiality, integrity, and availability. In the present embodiment, the level of risk of information can be evaluated by the asset value category, or can be evaluated by the asset value amount. Information on these asset values is input by, for example, each department security administrator.
資産種別格納情報テーブル223は、例えば、情報ID、資産種別IDなどの項目を有し、各情報が属する(格納されている)資産種別の情報を保持する。一つの情報が複数の資産種別に属する場合もある。また、システム格納情報テーブル225は、例えば、情報ID、資産IDなどの項目を有し、各情報がシステムに属する(格納されている)場合に、そのシステム(資産)との対応を保持する。 The asset type storage information table 223 has items such as an information ID and an asset type ID, for example, and holds information on the asset type to which each information belongs (stored). One piece of information may belong to multiple asset types. Further, the system storage information table 225 has items such as an information ID and an asset ID, and holds correspondence with the system (assets) when each information belongs to (stores) the system.
すなわち、各情報資産のリスクを評価するために、本実施の形態のセキュリティ管理支援システム5では、基本的に情報と資産(現物)とを直接紐付けるのではなく、情報と資産種別とを紐付け、資産種別単位で紐付けられた情報の資産価値(重要度)に基づいてリスクを評価する。資産(現物)単位で紐付けられた情報の資産価値に基づいてリスクを評価するほうが精緻なリスク評価が可能であるが、大規模組織で資産(現物)単位で管理を行うことは多大な労力を要する。一方、資産種別単位で紐付けられた情報の資産価値に基づいてリスクを評価した場合、簡便にリスク評価をすることが可能であり、かつ実用上支障のない精度の結果を得ることができる。
That is, in order to evaluate the risk of each information asset, the security
なお、資産区分が「システム」の資産については、資産の数が一般のPC等と比べて少なく、また保持している情報がシステムの種類に応じて特性があり、データ量も多いことから、例外的に資産(現物のシステム)と情報との紐付けを行い、資産単位でリスクの評価を行う。また、資産区分(資産種別)が「ネットワーク」や「組織」の資産については、情報を保持していないものとして、情報との紐付けは行わない。すなわち、情報の資産価値に基づいたリスクの評価は行わない。また、資産区分(資産種別)が「机/キャビネット」に該当する資産であっても、オフィスやデータセンター、倉庫などについては、情報との紐付けは行わないが、重要度の高い情報が必ず含まれているものとして取り扱う。 For assets with the asset classification “System”, the number of assets is smaller than that of ordinary PCs, etc., and the retained information has characteristics depending on the type of system, and the amount of data is large. In exceptional cases, assets (actual systems) are linked to information, and risk is evaluated on an asset basis. In addition, regarding assets whose asset classification (asset type) is “network” or “organization”, information is not held and information is not linked. That is, risk assessment based on the asset value of information is not performed. In addition, even if the asset category (asset type) falls under “desk / cabinet”, the office, data center, warehouse, etc. are not linked to information, but highly important information is always Treat as included.
これらの資産DB220の各テーブルの情報は、例えば、各部署セキュリティ管理者等によって、資産管理部540により登録され、また更新などの管理が行われる。
Information of each table of these
図19は、管理策DB230のテーブルの構成例を示した図である。管理策DB230は、管理策および管理策が含まれるセキュリティ基準の情報等を保持するデータベースであり、例えば、セキュリティ基準テーブル231、管理策セキュリティ基準テーブル232、管理策テーブル233、リスク内容テーブル234、管理策リスク内容テーブル235、管理策実行部署テーブル236、管理策実行パターンテーブル237のテーブルから構成される。
FIG. 19 is a diagram illustrating a configuration example of a table of the
セキュリティ基準テーブル231は、例えば、セキュリティ基準ID、セキュリティ基準名などの項目を有し、セキュリティレベルを定量化(採点)する際のベースとし、管理目標とすることができるセキュリティ基準の情報を保持する。セキュリティ基準は、例えば、ISMS認証(ISO/IEC27001)、FISC(The Center for Financial Industry Information Systems)安全対策基準、日本版SOX法、自社のセキュリティポリシーなどである。 The security standard table 231 includes items such as a security standard ID and a security standard name, and holds security standard information that can be used as a management target as a base for quantifying (scoring) the security level. . The security standards include, for example, ISMS certification (ISO / IEC27001), FISC (The Center for Financial Industry Information Systems) safety measures standard, Japanese version SOX method, in-house security policy, and the like.
管理策テーブル233は、例えば、管理策ID、管理策名、管理策内容、管理策カテゴリ、判定手段、質問文、対応有無(機密性、完全性、可用性)などの項目を有し、セキュリティ管理における個別の対策の内容を保持する。管理策カテゴリは、管理策の内容を分類するものであり、例えば、「セキュア設定」、「アクセス管理」、「電子商取引管理」、「パスワード管理」、「外部委託先管理」、「監視」などに各管理策を分類する。 The management policy table 233 includes items such as management policy ID, management policy name, management policy content, management policy category, determination means, question text, correspondence (confidentiality, integrity, availability), and the like, and security management The contents of individual measures in are retained. The control category categorizes the content of the control, for example, “secure setting”, “access management”, “e-commerce management”, “password management”, “outsourced party management”, “monitoring”, etc. Each management measure is classified.
判定手段は、当該管理策が実施されているか否かの判定をユーザが行い手動で結果を入力するもの(「手動」)であるか、手動入力であっても外部・内部監査によって判定するもの(「手動(監査)」)であるか、セキュリティ管理ツールによる自動判定であるか(「自動」)を示す情報である。これにより、当該管理策の実施状況についての診断の実施(判定)もしくは診断結果の登録のいずれかがユーザ以外によって行われるものとそうでないもの、すなわち、判定結果が第三者判定によるもの(「手動(監査)」もしくは「自動」)であるか、自己判定によるもの(「手動」)であるかを識別することができる。 Judgment means is whether the user decides whether or not the control measure is implemented and inputs the result manually ("manual"), or is judged by external / internal audit even if it is manual input (“Manual (audit)”) or information indicating whether it is automatic determination by a security management tool (“automatic”). As a result, either the execution (determination) of diagnosis regarding the implementation status of the management measure or the registration of the diagnosis result is performed by a person other than the user and the case where the determination result is not, ie, the determination result is determined by a third party (“ It is possible to identify whether it is “manual (audit)” or “automatic”) or by self-determination (“manual”).
また、質問文は、当該管理策の具体的な内容に相当し、当該管理策が実施できているか否かを判定するためのユーザに対する質問文(例えば「パスワードは××文字以上であるか?」など)の形式で保持される。また、対応有無の項目は、当該管理策が機密性、完全性、可用性のそれぞれの観点に対応するものであるか否かを示すフラグである。 The question text corresponds to the specific contents of the control measure, and is a question text for the user for determining whether or not the control measure has been implemented (for example, “Is the password more than xx characters? Etc.)). Further, the item of presence / absence of correspondence is a flag indicating whether or not the management measure corresponds to each viewpoint of confidentiality, integrity, and availability.
リスク内容テーブル234は、例えば、リスク内容ID、リスク内容、優先度などの項目を有し、想定されるリスクの内容毎にその優先度を保持する。管理策セキュリティ基準テーブル232は、例えば、管理策ID、セキュリティ基準ID、基準重み付け、文書名、条項番号などの項目を有し、セキュリティ基準の内容に含まれる管理策の情報を保持する。一つの管理策が複数のセキュリティ基準で共通に含まれる場合もある。基準重み付けの項目は、当該管理策について含まれるセキュリティ基準が異なることによる重み付け値である。また、文書名、条項番号の項目は、当該管理策がセキュリティ基準のどの部分に該当するものかを特定する情報である。 The risk content table 234 has items such as risk content ID, risk content, and priority, for example, and holds the priority for each assumed risk content. The management policy security standard table 232 includes items such as management policy ID, security standard ID, standard weighting, document name, and clause number, and holds management policy information included in the contents of the security standard. One control may be commonly included in multiple security standards. The item of reference weighting is a weighting value due to different security standards included in the management policy. In addition, the items of document name and clause number are information for specifying to which part of the security standard the control measures correspond.
また、管理策リスク内容テーブル235は、例えば、管理策ID、リスク内容IDなどの項目を有し、管理策に該当するリスク内容の情報を保持する。また、管理策実行部署テーブル236は、例えば、管理策ID、実行部署IDなどの項目を有し、当該管理策を実行する部署の情報を保持する。また、管理策実行パターンテーブル237は、例えば、管理策ID、資産種別ID、資産種別重み付け、管理策実行単価などの項目を有し、当該管理策がどの資産種別に適用されるか、およびその場合のインパクトの情報を保持する。資産種別重み付けの項目は、当該管理策が適用される資産種別が異なることによる重み付け値である。また、管理策実行単価の項目は、当該管理策を対象の資産種別に対して実施した場合の概算のコストであり、後述する計画策定の際のシミュレーションに用いる。 The management policy risk content table 235 includes items such as a management policy ID and a risk content ID, and holds risk content information corresponding to the management policy. The management measure execution department table 236 has items such as a management measure ID and an execution department ID, for example, and holds information on the department that executes the management measure. Further, the management measure execution pattern table 237 has items such as a control measure ID, asset type ID, asset type weighting, control measure execution unit price, and to which asset type the control measure is applied. Holds information about the impact of the case. The asset type weighting item is a weighting value for different asset types to which the management policy is applied. Further, the item of the management measure execution unit price is an approximate cost when the management measure is executed for the target asset type, and is used for a simulation when a plan is described later.
これらの管理策DB230の各テーブルの情報は、例えば、システム管理者等によって、管理部550により予め登録され、また更新などの管理が行われる。
Information of each table in the
図20は、計画策定DB240のテーブルの構成例を示した図である。計画策定DB240は、部署毎の目標レベルとこれを達成するための管理策の情報等を保持するデータベースであり、例えば、目標設定テーブル241、リスク目標設定テーブル242、計画策定明細テーブル243、システム計画策定明細テーブル244のテーブルから構成される。
FIG. 20 is a diagram illustrating a configuration example of a table of the
目標設定テーブル241は、例えば、部署ID、作成基準年月、目標達成年月、自部署設定目標セキュリティレベル、上位部署設定目標セキュリティレベルなどの項目を有し、自部署および上位部署から設定された目標セキュリティレベル(ベースラインアプローチ)と達成期限の情報を保持する。同様に、リスク目標設定テーブル242は、例えば、部署ID、作成基準年月、目標達成年月、自部署設定目標リスクレベル、上位部署設定目標リスクレベルなどの項目を有し、自部署および上位部署から設定された目標リスクレベル(リスクベースアプローチ)と達成期限の情報を保持する。 The target setting table 241 includes items such as a department ID, creation reference date, target achievement date, own department setting target security level, and upper department setting target security level, and is set from the own department and the upper department. Maintain information on target security level (baseline approach) and deadline. Similarly, the risk target setting table 242 has items such as a department ID, creation reference date, target achievement date, own department set target risk level, higher department set target risk level, and the like. The target risk level (risk-based approach) and deadline information set from
計画策定明細テーブル243は、例えば、部署ID、資産種別ID、管理策ID、作成基準年月、目標達成年月、計画設定区分などの項目を有し、部署毎の資産種別単位(資産区分がシステムのものは含まない)での実施すべき管理策の内容と達成期限の情報を保持する。また、システム計画策定明細テーブル244は、例えば、部署ID、資産ID、管理策ID、作成基準年月、目標達成年月、計画設定区分などの項目を有し、部署毎の資産単位(資産区分がシステムのもののみ)での実施すべき管理策の内容と達成期限の情報を保持する。 The plan development details table 243 has items such as a department ID, an asset type ID, a control policy ID, a creation reference date, a target achievement date, a plan setting category, and the like. The contents of the control measures to be implemented and the deadline information are retained. The system plan formulation details table 244 includes items such as a department ID, asset ID, control ID, creation reference date, target achievement date, plan setting classification, and the like. The information on the contents of the control measures to be implemented and the deadline for achievement are held.
すなわち、本実施の形態のセキュリティ管理支援システム5では、実施すべき管理策の設定単位は基本的に資産(現物)ではなく資産種別である。資産(現物)単位で実施すべき管理策を設定し管理するほうが精緻なセキュリティレベルの評価が可能であるが、大規模組織で資産単位で管理を行うことは多大な労力を要するからである。なお、資産区分が「システム」のものについては、上述したとおり、資産種別単位ではなく資産(システム)単位で実施すべき管理策の設定を行う。計画策定明細テーブル243およびシステム計画策定明細テーブル244における計画設定区分の項目は、当該管理策が実施対象として選択されているか否かを示すフラグである。
That is, in the security
これらの計画策定DB240の各テーブルの情報は、後述する目標管理部520の予実管理部523による経年予実比較や計画策定部522によるシミュレーションの際などに用いるため、更新された場合には以前のレコードを履歴レコードとして保持する。また、これらの各テーブルの情報は、例えば、各部署の担当者等によって、目標管理部520により登録され、また更新などの管理が行われる。
The information in each table in the
図21は、診断DB250のテーブルの構成例を示した図である。診断DB250は、資産毎のセキュリティ対策状況やセキュリティリスク、およびこれに基づいて作成された種々の切り口の現状分析用のサマリーを保持するデータベースであり、例えば、診断明細テーブル251から構成される。
FIG. 21 is a diagram illustrating a configuration example of a table of the
診断明細テーブル251は、例えば、資産ID、管理策ID、部署ID、判定結果、判定手段、判定結果更新日時などの項目を有し、部署毎の各資産単位での管理策の実施状況の判定結果の情報を入力・保持する。判定結果の項目は、例えば、○(実施済み)、×(未実施)、N/A(非該当)などで表される。診断明細テーブル251の情報は、判定手段の項目が「手動」もしくは「手動(監査)」の資産については、例えば、各部署の担当者等によって、現状分析部510により登録・更新される。また、判定手段の項目が「自動」の資産については、セキュリティ管理ツールサーバ300から取得した情報によって自動的に判定結果が登録・更新される。
The diagnostic details table 251 includes items such as asset ID, management policy ID, department ID, judgment result, judgment means, judgment result update date and time, and judgment of the implementation status of the management policy in each asset unit for each department. Input and hold the result information. The item of the determination result is represented by, for example, ◯ (performed), × (not performed), N / A (not applicable), and the like. Information in the diagnostic details table 251 is registered / updated by the current
本実施の形態のセキュリティ管理支援システム5では、管理策の実施状況の判定結果は資産(現物)単位で入力し管理するが、大規模組織で資産単位で入力・管理を行うことは多大な労力を要するため、上述したようにセキュリティ管理ツールサーバ300から情報を取得して自動登録したり、後述するように、資産種別単位で一括して入力できるようにしたりして作業負荷を軽減している。なお、この診断明細テーブル251の情報は、後述する目標管理部520の予実管理部523による経年予実比較の際などに用いるため、更新された場合には以前のレコードを履歴レコードとして保持する。
In the security
詳細は後述するが、ベースラインアプローチでのセキュリティレベルの採点は、例えば、管理策の総数に対する実施数の割合に重み付けをして行う。また、リスクベースアプローチでのリスクレベルの採点は、例えば、ベースラインアプローチでのセキュリティレベルの採点結果に対してさらに資産価値に基づくリスク係数を考慮して行う。なお、以上に示した各DBの構成は一例であり、他のDBやテーブル、項目を有していてもよい。 Although details will be described later, scoring of the security level in the baseline approach is performed by weighting the ratio of the number of implementations to the total number of management measures, for example. In addition, for scoring the risk level in the risk-based approach, for example, the scoring result of the security level in the baseline approach is further considered in consideration of a risk coefficient based on the asset value. In addition, the structure of each DB shown above is an example, and may have another DB, a table, and an item.
[現状分析]
以下、図17におけるセキュリティ対策およびセキュリティリスクの現状レベルの分析(S401)での処理内容について説明する。ユーザがクライアント端末400から図示しないメイン画面等を介してセキュリティレベルの現状分析を行うよう要求すると、セキュリティ管理支援サーバ500の現状分析部510は、各DBの内容を参照して、例えば図22に示すような、現状のセキュリティレベルの診断結果を表示するセキュリティ診断画面を生成してクライアント端末400上に表示する。
[Current situation analysis]
Hereinafter, processing contents in the security measure and security risk present level analysis (S401) in FIG. 17 will be described. When the user requests the client terminal 400 to perform a security level current state analysis via a main screen (not shown), the current
図22の例では、指定された部署について、指定された管理策カテゴリに属する各管理策についての実施状況に基づいて、指定されたセキュリティ基準毎にセキュリティレベルおよびリスクレベルを採点し、その結果を表示している。 In the example of FIG. 22, the security level and the risk level are scored for each designated security standard based on the implementation status of each management measure belonging to the designated control measure category for the designated department, and the result is it's shown.
セキュリティレベルについては、現状分析部510のセキュリティレベル診断部511により、ベースラインアプローチによって採点を行う。各部署が保持する資産(資産テーブル222)の資産種別について、対象のセキュリティ基準によって割り当てられている各管理策(管理策実行パターンテーブル237)についての実施状況の判定結果(診断明細テーブル251)に基づいて、資産単位でのセキュリティレベルは、
セキュリティレベル=
Σ(重み付け値×判定結果○(実施済み)の管理策)×100
÷Σ(重み付け値×判定結果N/Aではない管理策) …式(2)
の式によって算出する。
The security level is scored by the security
Security level =
Σ (weighting value x judgment result ○ (implemented) control measure) x 100
÷ Σ (weighting value x control result that is not the judgment result N / A) (2)
It is calculated by the following formula.
ここで、重み付け値は、例えば、管理策セキュリティ基準テーブル232の基準重み付け値と、管理策実行パターンテーブル237の資産種別重み付け値とを乗算したものであり、判定結果は診断明細テーブル251の判定結果である。また、ここで判定結果○(実施済み)とは、対象の管理策の実施指示に係るタスクが対象の部署(におけるタスクの指示者)において実施の形態1の図12、図15で示した下比較での実施率が100%となっていることを表す。 Here, the weight value is, for example, the product of the reference weight value of the control policy security reference table 232 and the asset type weight value of the control measure execution pattern table 237, and the determination result is the determination result of the diagnostic details table 251. It is. In addition, here, the determination result ○ (completed) means that the task related to the execution instruction of the target management measure is the target department (instructor of the task) shown in FIGS. 12 and 15 of the first embodiment. It represents that the implementation rate in comparison is 100%.
また、Σは対象の資産について割り当てられている全ての管理策について合計することを示す。すなわち、対象の資産について割り当てられている管理策の総数と、そのうちの実施済み(判定結果○)の管理策の数との割合を重み付けして算出したものである。なお、ここでのセキュリティレベルは数値が高いほど良いことを示す。 Further, Σ indicates that all the control measures assigned to the target asset are summed up. That is, it is calculated by weighting the ratio between the total number of management measures assigned to the target asset and the number of management measures that have been implemented (judgment result ○). Note that the higher the security level here, the better.
図22の例は、セキュリティレベルを部署単位で採点(集計)したものであり、式(2)による計算を、対象の部署が保持する全ての資産に割り当てられている管理策に対して行ったものである。対象の部署が階層の末端(現場)の部署ではない場合は、当該部署の直近の下位部署のセキュリティレベルを平均したものを用いてもよい。 In the example of FIG. 22, the security level is scored (aggregated) in units of departments, and the calculation according to the formula (2) is performed on the management policy assigned to all the assets held by the target department. Is. If the target department is not the department at the end of the hierarchy (site), an average of the security levels of the subordinate departments nearest to the department may be used.
また、リスクレベルについては、現状分析部510のリスク分析部512により、リスクベースアプローチによって採点を行う。例えば、各部署が保持する資産の資産種別に保持される情報(情報テーブル224)から求められるリスク係数、および式(2)で算出したセキュリティレベルに基づいて、
リスクレベル=リスク係数×(100−セキュリティレベル) …式(3)
の式によって算出する。
Further, the risk level is scored by the
Risk level = Risk coefficient × (100−Security level) Equation (3)
It is calculated by the following formula.
ここで、リスク係数は当該部署が保持する資産に保持される情報の資産価値に基づいて算出される情報のリスクの高さを示す係数であり、例えば、当該部署が保持する資産に保持される情報の情報テーブル224における資産価値区分(機密性、完全性、可用性)のそれぞれの最大値を用いる。これにより、機密性、完全性、可用性の区分毎にリスクレベルを算出する。なお、ここでのリスクレベルは数値が低いほど良いことを示す。 Here, the risk coefficient is a coefficient indicating the level of risk of information calculated based on the asset value of the information held in the asset held by the department. For example, the risk coefficient is held in the asset held by the department. The maximum value of each asset value category (confidentiality, integrity, availability) in the information table 224 of information is used. Thus, the risk level is calculated for each classification of confidentiality, integrity, and availability. The risk level here indicates that the lower the value, the better.
本実施の形態のセキュリティ管理支援システム5では、リスク係数を情報テーブル224の資産価値区分に基づいて算出しているが、上述したように情報テーブル224の資産価値金額(機密性、完全性、可用性)の値を用いてもよいし、他のリスク評価のための指標を用いてもよい。また、本実施の形態のセキュリティ管理支援システム5では、セキュリティレベル、およびリスクレベルを上記の式(2)、式(3)を用いて比較的簡易な方法で採点しているが、他の採点方法であってもよいし、セキュリティ基準毎に異なる採点方法であってもよい。
In the security
採点されたセキュリティレベルについては、図22に示すように、例えば、得点とともに最大幅を100%としたゲージによって表示する。また、リスクレベルについては機密性、完全性、可用性の区分毎に得点を表示する。さらに、第三者判定割合として、対象の管理策のうち第三者判定によるものの割合をゲージとともに表示する。第三者判定割合については、上述したように、例えば診断明細テーブル251の判定結果の項目が「手動(監査)」もしくは「自動」のものを第三者判定によるものとして、その数の管理策の総数に対する割合として求める。この第三者判定割合が高いものは診断結果の信頼性が高いものと判断することができる。 As shown in FIG. 22, the scored security level is displayed by, for example, a gauge with a maximum width of 100% together with the score. In addition, for the risk level, a score is displayed for each classification of confidentiality, integrity, and availability. Furthermore, as the third party determination ratio, the ratio of the target control measures based on the third party determination is displayed together with the gauge. As for the third party determination ratio, as described above, for example, the item of the determination result of the diagnosis details table 251 is “manual (audit)” or “automatic”, and the number is controlled according to the third party determination. As a percentage of the total number of Those having a high third party determination ratio can be determined to have high reliability of the diagnosis result.
図22のセキュリティ診断画面によってセキュリティ基準毎のセキュリティレベルの診断結果を参照したユーザは、さらに、例えば画面右のプルダウンメニューおよび「分析」ボタンでの操作により、対象のセキュリティ基準について種々の切り口(集計方法)での詳細分析を行うことができる。詳細分析の要求を受けたセキュリティ管理支援サーバ500は、現状分析部510の詳細分析部513により診断明細テーブル251を参照して詳細分析を行い、その結果をクライアント端末400に表示する。
The user who refers to the security level diagnosis result for each security standard on the security diagnostic screen of FIG. 22 further performs various operations (aggregation) on the target security standard by, for example, operation with a pull-down menu on the right side of the screen and an “analysis” button. Method). Upon receiving the request for detailed analysis, the security
例えば、図23は、現状のセキュリティレベルの診断結果を部署毎に比較して表示する部署比較画面の例を示した図である。図23の例では、指定された部署について、その直近の下位部署毎に、指定された管理策カテゴリでのセキュリティレベルを集計し、その結果をグラフとして表示している。これにより、部署間でのセキュリティレベルの差異を把握することができる。この比較は、上位部署が各下位部署のセキュリティ対策の実施状況を把握するのに用いるとともに、下位部署が同一系列の他部署との間で実施状況を比較するのにも用いることができる。 For example, FIG. 23 is a diagram illustrating an example of a department comparison screen that displays the current security level diagnosis result for each department. In the example of FIG. 23, for the designated department, the security level in the designated management policy category is tabulated for each immediate lower department, and the result is displayed as a graph. Thereby, the difference in the security level between departments can be grasped. This comparison can be used for the higher-level department to grasp the implementation status of the security measures of each lower-level department, and for the lower-level department to compare the implementation status with other departments in the same series.
また、図24は、現状のセキュリティレベルの診断結果を管理策カテゴリ毎に比較して表示するレーダーチャート画面の例を示した図である。図24の例では、指定された部署について、管理策カテゴリ毎にセキュリティレベルを集計し、レーダーチャートの形式で表示している。これにより、管理策カテゴリ間でのセキュリティ対策の実施状況の差異(強み・弱み)を把握することができる。 FIG. 24 is a diagram showing an example of a radar chart screen that displays the current security level diagnosis results for each control policy category. In the example of FIG. 24, the security levels of the designated departments are totaled for each control category and displayed in the form of a radar chart. Thereby, it is possible to grasp the difference (strength / weakness) in the implementation status of the security measures between the management policy categories.
また、図25は、当該部署における管理策の実施状況についての計画と実績を対比(予実管理)する情報として、後述する目標設定の処理により設定された目標セキュリティレベル(将来および過去の設定履歴)の値とこれまでのセキュリティレベル(過去の診断履歴)の値とを比較して表示する経年予実比較画面の例を示した図である。図25の例では、指定された部署について、設定されたセキュリティレベルの期単位での目標値および実績値を集計し、目標値と実績値とを過去3期、当期、将来3期にわたってグラフ表示している。これにより、設定した目標のセキュリティレベルに対する達成状況を把握することができる。なお、ここでの処理は目標管理部520の予実管理部523によって行われる。
FIG. 25 shows a target security level (future and past setting history) set by a target setting process to be described later as information for comparing (predicting and managing) a plan and an actual performance of management measures in the relevant department. It is the figure which showed the example of the aged prognosis comparison screen which compares and displays the value of past and the value of the past security level (past diagnosis history). In the example of FIG. 25, the target value and the actual value of the set security level for each designated department are aggregated, and the target value and the actual value are displayed in a graph over the past three periods, the current period, and the future three periods. doing. Thereby, it is possible to grasp the achievement status of the set target security level. Note that the processing here is performed by the
また、図26は、現状のセキュリティレベルの診断結果を管理策毎に詳細に表示する診断明細照会画面の例を示した図である。図26の例では、指定された部署について、指定された資産種別および管理策カテゴリに該当する管理策毎の診断結果(判定結果)を実施率に基づいて集計し、表示している。ここでは、例として、「本部」を対象として、「デスクトップPC」についての「管理策1、2、3、…」の実施を配下の各課(「営業1課
、2課、…」の担当者にタスクとして指示し、その実施状況に基づいて集計された現状のセキュリティレベルの診断結果を表示している。
FIG. 26 is a diagram showing an example of a diagnosis details inquiry screen that displays the current security level diagnosis result in detail for each management measure. In the example of FIG. 26, the diagnosis results (determination results) for each management measure corresponding to the specified asset type and management policy category are totaled and displayed for the specified department based on the implementation rate. Here, as an example, the person in charge of each department ("
下段の診断結果の表における実施率は、「本部」を対象として、対象の各管理策について実施の形態1の図12、図15で示した下比較によって算出した実施率であり、これが100%となっている場合には判定結果が○となる。 The implementation rate in the lower diagnostic result table is the implementation rate calculated by the lower comparison shown in FIG. 12 and FIG. 15 of the first embodiment for each target management measure for “headquarters”, which is 100%. If it is, the determination result is ○.
なお、下段の診断結果の表において、判定手段が「自動」の管理策については、上述したように、セキュリティ管理ツールサーバ300から判定結果を自動取得している。また、判定結果が「詳細設定」となっている管理策については、対象の資産毎に判定結果が異なる(「全て○」や「全て×」ではない)ことを示している。これについては、画面右の「詳細」ボタンを押下することにより、資産(機器)単位での診断結果の照会画面に遷移する。 In the lower diagnostic result table, as for the management measures for which the determination means is “automatic”, the determination results are automatically acquired from the security management tool server 300 as described above. In addition, regarding the management measures whose determination result is “detailed setting”, the determination result is different for each target asset (not “all ○” or “all ×”). As for this, by pressing the “details” button on the right side of the screen, a transition is made to an inquiry screen for diagnosis results in units of assets (devices).
図27は、現状のセキュリティレベルの診断結果を資産毎に詳細に表示する診断明細照会(詳細)画面の例を示した図である。図27の例では、指定された部署、資産種別、管理策について、対応する資産(機器)毎に診断結果(判定結果)を診断明細テーブル251を参照して表示している。以上の図26、図27により、個別の管理策毎、資産毎に詳細にセキュリティ対策の実施状況を把握することができる。 FIG. 27 is a diagram showing an example of a diagnosis details inquiry (details) screen that displays the current security level diagnosis result in detail for each asset. In the example of FIG. 27, the diagnosis result (determination result) is displayed for each corresponding asset (device) with respect to the designated department, asset type, and management policy with reference to the diagnosis details table 251. 26 and 27, it is possible to grasp the implementation status of security measures in detail for each individual management measure and each asset.
[目標設定]
以下、図17における自部署および下位部署の目標レベルの設定(ステップS402)での処理内容について説明する。ユーザがクライアント端末400から図示しないメイン画面等を介してセキュリティレベルの目標設定を行うよう要求すると、セキュリティ管理支援サーバ500の目標設定部521は、例えば図28に示すような、自部署のセキュリティレベルの目標を設定する自部署目標設定画面を生成してクライアント端末400上に表示する。
[setting a goal]
Hereinafter, the processing contents in the setting of the target level of the own department and the lower department (step S402) in FIG. 17 will be described. When the user requests the client terminal 400 to set a security level target via a main screen (not shown), the
図28の例では、指定された部署について、目標設定の対象のセキュリティ基準についてのこれまでのセキュリティレベルの目標設定値と実績の経年予実比較のグラフが表示されている。このグラフは上述した図25のものと同様であり、目標管理部520の予実管理部523により生成する。ユーザは、この経年予実比較のグラフを参照しながら、次期以降の自部署の目標のセキュリティレベルを設定することができる。
In the example of FIG. 28, a graph of a comparison between the target setting value of the security level so far and the past and actual results of the security standard for the target setting target for the designated department is displayed. This graph is the same as that shown in FIG. 25 described above, and is generated by the
自部署の目標値の設定に際しては、後述する下位部署目標設定画面により上位部署から設定された目標値についても目標設定テーブル241の上位部署設定目標セキュリティレベルもしくはリスク目標設定テーブル242の上位部署設定目標リスクレベルを参照して合わせて表示される。自部署の目標値として設定する値は、上位部署から設定された目標値より小さい値とすることはできないなどの制限を設けてもよい。 When setting the target value of the own department, the target value set from the upper department on the lower department target setting screen described later is also set to the upper department setting target security level of the target setting table 241 or the upper department setting target of the risk target setting table 242. Displayed together with reference to the risk level. There may be a restriction that the value set as the target value of the own department cannot be smaller than the target value set by the higher department.
設定した目標値は、目標設定部521により、目標設定テーブル241の自部署設定目標セキュリティレベルもしくはリスク目標設定テーブル242の自部署設定目標リスクレベルに登録される。このとき、自部署が保持する資産およびその資産種別と管理策実行パターンテーブル237の内容とに基づいて、計画策定明細テーブル243、およびシステム計画策定明細テーブル244のエントリ、すなわち自部署が保持する資産種別(資産区分が「システム」の場合は資産)に割り当てられた管理策のエントリを作成する。
The set target value is registered by the
さらに、図28の自部署目標設定画面等から、図29に示すような下位部署のセキュリティレベルの目標を設定する下位部署目標設定画面に遷移することができる。図29の例では、指定された部署の直近の下位部署について、目標設定の対象のセキュリティ基準についての現状のセキュリティレベルのグラフが表示されている。このグラフは上述した図23のものと同様であり、現状分析部510の詳細分析部513により生成する。ユーザは、この各下位部署の現状のセキュリティレベルのグラフを参照しながら、次期以降の各下位部署の目標のセキュリティレベルを設定することができる。
Furthermore, it is possible to shift from the own department target setting screen shown in FIG. 28 to a lower department target setting screen for setting a security level target of the lower department as shown in FIG. In the example of FIG. 29, a graph of the current security level with respect to the security standard that is the target setting target is displayed for the subordinate department nearest to the designated department. This graph is the same as that in FIG. 23 described above, and is generated by the
下位部署の目標値の設定に際しては、前述の自部署目標設定画面により設定した自部署の目標値についても目標設定テーブル241の自部署設定目標セキュリティレベルもしくはリスク目標設定テーブル242の自部署設定目標リスクレベルを参照して合わせて表示される。設定した目標値は、対象の下位部署についての目標設定テーブル241の上位部署設定目標セキュリティレベルもしくはリスク目標設定テーブル242の上位部署設定目標リスクレベルに登録される。このように、部署毎の目標設定を、部署の階層構造を考慮した形で行うことができる。 When setting the target value of the lower department, the target value of the own department set in the target setting table 241 or the target risk of the own department set in the risk target setting table 242 is set for the target value of the own department set on the above-described own department target setting screen. It is displayed with reference to the level. The set target value is registered in the upper department setting target security level of the target setting table 241 or the upper department setting target risk level of the risk target setting table 242 for the target lower department. In this way, the goal setting for each department can be performed in consideration of the hierarchical structure of the department.
さらに、各部署の担当者は、図28の自部署目標設定画面によって設定した自部署の目標値を達成するために実施すべき管理策およびその実施時期を、目標管理部520の計画策定部522により、図30に示すような計画策定画面によって決定することができる。図30の例では、指定された部署について、当該部署が保持する各資産種別について目標設定の対象であるセキュリティ基準によって割り当てられている管理策を、計画策定明細テーブル243およびシステム計画策定明細244から取得して計画明細として表示している。 Further, the person in charge of each department indicates the control measures to be implemented and the implementation timing for achieving the target value of the own department set on the own department target setting screen of FIG. Thus, it can be determined by a plan formulation screen as shown in FIG. In the example of FIG. 30, for the designated department, the management policy assigned by the security standard that is the target of target setting for each asset type held by the department is shown in the plan formulation details table 243 and the system plan formulation details 244. Acquired and displayed as plan details.
ここで、図中の表における優先度は、各計画明細の静的な優先度を示し、例えば、当該計画明細に対応する管理策についての管理策セキュリティ基準テーブル232の基準重み付けの値と、管理策実行パターンテーブル237の資産種別重み付けの値とを乗算したものとする。また、対象の管理策に係るタスクについて実施の形態1の図12、図15で示した下比較により算出した実施率が表示されている。すなわち、当該実施率は、当該計画明細に対応する管理策についての、対象の部署以下の組織における全資産の数と実施済みの資産の数との割合と等価である。 Here, the priority in the table in the figure indicates the static priority of each plan item. For example, the reference weight value of the control measure security standard table 232 for the control measure corresponding to the plan item and the management It is assumed that the asset type weighting value of the measure execution pattern table 237 is multiplied. Further, the implementation rate calculated by the lower comparison shown in FIGS. 12 and 15 of the first embodiment for the task related to the target management policy is displayed. That is, the implementation rate is equivalent to the ratio of the total number of assets and the number of implemented assets in the organization below the target department for the management policy corresponding to the plan details.
また、管理策実行パターンテーブル237から取得した、各計画明細の管理策を実施する場合の概算単価、および未実施分の数量についても表示している。なお、図30の例では、上述した優先度の値に(1−実施率)の値を乗算した値の降順で各計画明細を並べ替えて表示している。これにより、優先度が高くかつ現時点で実施率の低い計画明細が表の上位に表示されるようにすることができる。 In addition, the approximate unit price and the unimplemented quantity when the management policy for each plan detail is acquired from the management policy execution pattern table 237 are also displayed. In addition, in the example of FIG. 30, each plan details are rearranged and displayed in the descending order of the value which multiplied the value of the priority mentioned above by the value of (1-implementation rate). As a result, it is possible to display the plan details having a high priority and a low implementation rate at the present time at the top of the table.
このように表示された各計画明細に対して、ユーザは、当該部署での実施の要否とその完了目標時期を、例えばチェックボックスやプルダウンメニューを利用して選択する。ここで選択した内容は、計画策定明細テーブル243もしくはシステム計画策定明細テーブル244の計画設定区分および目標達成年月の項目に反映される。上述したように、本実施の形態のセキュリティ管理支援システム5では、実施すべき管理策の設定単位は基本的に資産ではなく資産種別である。資産単位で実施すべき管理策を設定し管理するほうが精緻なセキュリティレベルの評価が可能であるが、大規模組織で資産単位で管理を行うことは多大な労力を要するからである。
For each plan detail displayed in this way, the user selects the necessity of implementation in the department and the completion target time using, for example, a check box or a pull-down menu. The contents selected here are reflected in the items of the plan setting category and the target achievement date in the plan formulation details table 243 or the system plan formulation details table 244. As described above, in the security
なお、各計画明細についての実施の要否の設定は、対象の情報資産が各階層の部署に存在するため、基本的にはタスクを指示(再アサイン)された各階層の部署で個別に行う必要がある場合もあるが、例えば「セキュリティポリシーの策定」など、各部署で個別に行うのではなく、企業全体もしくは各事業部等の単位(上位部署)で実施すれば他の部署(下位部署)は実施の必要がないという管理策もある。このような管理策については、例えば、個別に管理策カテゴリを割り当てるなどして識別可能とし、上位部署で実施されるもしくは既にされている場合には下位部署では自動的に実施されるもしくは実施されたものとして処理してもよい。 In addition, since the target information assets exist in the departments of each hierarchy, the necessity of implementation for each plan item is basically set individually in the department of each hierarchy where the task is instructed (reassigned). It may be necessary, but it is not performed individually in each department, such as “development of security policy”, but if it is carried out in the unit of the whole company or each business division (higher department), other departments (lower departments) There is also a management policy that does not need to be implemented. Such control measures can be identified by, for example, individually assigning control measure categories, and are implemented or implemented automatically in the subordinate department if implemented in the upper department or if already implemented. You may process as a thing.
本実施の形態のセキュリティ管理支援システム5では、さらに、計画策定に際してどの計画明細を実施すれば効果的に目標のセキュリティレベルを達成できるのかを判断するために、シミュレーションの機能を有する。実施する計画明細と完了目標時期を設定して保存ボタンを押下すると、各時期に各計画明細が実施されたとした場合の達成セキュリティレベル(シミュレーション結果)と、実施に要する概算費用(実施費用総額)を算出し、各時期の当該部署の目標セキュリティレベルと合わせて下段の表に表示する。ここで、実施費用総額は、例えば、各計画明細について、各時期において実施されている場合にはその単価に数量を乗算した値を、実施されていない場合には零を、各計画明細について合算して算出する。
The security
このように、当該部署で保持する資産種別に応じて対象となる計画明細の一覧が提示され、さらに、シミュレーション結果を参照しながら実施する計画明細を設定することができるため、各部署の担当者が容易に目標達成のための計画を策定することができる。 In this way, a list of target plan details is presented according to the asset type held in the relevant department, and furthermore, the plan details to be implemented can be set while referring to the simulation results. Can easily formulate a plan to achieve the goal.
[自己点検/内部監査]
以下、図17における管理策の実施状況の自己点検/内部監査(S404)での処理内容について説明する。ユーザがクライアント端末400から図示しないメイン画面等を介して現在のセキュリティ対策状況についての自己点検を行うよう要求すると、セキュリティ管理支援サーバ500の現状分析部510は、例えば図31に示すような、自部署のセキュリティ対策の診断結果を入力する診断明細入力画面を生成してクライアント端末400上に表示する。
[Self-inspection / internal audit]
Hereinafter, the contents of processing in the self-inspection / internal audit (S404) of the implementation status of the management measures in FIG. 17 will be described. When the user requests the client terminal 400 to perform a self-inspection about the current security countermeasure status via a main screen (not shown) or the like, the current
図31の例では、上述の図12で示した診断明細照会画面と同様の画面から、指定された資産種別について管理策毎に実施率を参照して診断結果(判定結果)をプルダウンメニューで入力することができる。入力された結果は、診断明細テーブル251に反映される。なお、図30の例と同様に、対象の管理策に係るタスクについて実施の形態1の図12、図15で示した下比較により算出した実施率が表示されている。 In the example of FIG. 31, the diagnosis result (judgment result) is input from the pull-down menu by referring to the implementation rate for each management measure for the specified asset type from the same screen as the diagnosis details inquiry screen shown in FIG. can do. The input result is reflected in the diagnostic details table 251. Similar to the example of FIG. 30, the execution rate calculated by the lower comparison shown in FIGS. 12 and 15 of the first embodiment for the task related to the target management policy is displayed.
このように、資産単位ではなく、資産種別単位で管理策毎の診断結果を入力することで、ユーザの作業負荷を軽減することができる。一方、対象の管理策について全ての資産(機器)で判定結果が同じではなく混在する場合には、資産単位での診断結果を入力するため、画面右の「詳細」ボタンを押下することにより、資産単位での診断結果の入力画面に遷移することもできる。 In this way, the user's workload can be reduced by inputting the diagnosis result for each management measure not in units of assets but in units of asset types. On the other hand, if the judgment results are not the same for all the assets (devices) for the target management measures, and they are mixed, by pressing the “Details” button on the right side of the screen to enter the diagnosis results for each asset, It is also possible to transition to an input screen for diagnosis results in asset units.
図32は、自部署のセキュリティ対策の診断結果を資産毎に入力する診断明細入力(詳細)画面の例を示した図である。図32の例では、上述の図27で示した診断明細照会(詳細)画面と同様の画面から、各資産(機器)について診断結果(判定結果)を個別にプルダウンメニューで入力することができる。入力された結果は、同様に診断明細テーブル251に反映される。なお、セキュリティ管理ツールサーバ300から判定結果を取得することが可能な資産(機器)については、自動で判定結果が診断明細テーブル251に反映されるため手動での入力は不要である。 FIG. 32 is a diagram showing an example of a diagnosis details input (details) screen for inputting the diagnosis result of the security measures of its own department for each asset. In the example of FIG. 32, a diagnosis result (determination result) for each asset (device) can be individually input from a pull-down menu from the same screen as the diagnosis details inquiry (details) screen shown in FIG. The input result is similarly reflected in the diagnostic details table 251. For assets (devices) that can obtain a determination result from the security management tool server 300, the determination result is automatically reflected in the diagnosis details table 251, and therefore manual input is not necessary.
なお、セキュリティ監査部門が各部署における管理策の実施状況の内部監査を行う場合には、図31や図32の診断明細入力画面において、部署プルダウンメニューから監査対象の部署を選択したうえで、同様に診断結果(判定結果)を入力する。 When the security audit department conducts internal audits of the implementation status of management measures in each department, the same applies after selecting the department to be audited from the department pull-down menu on the diagnostic details input screen in FIGS. Enter the diagnosis result (judgment result).
以上、図22〜図32を用いて本実施の形態のセキュリティ管理支援システム5での処理内容の概要について説明したが、図22〜図32で示した各種画面については、その種類や画面構成、入出力の項目や方法などのユーザインタフェースはあくまで一例であり、当然ながら他のユーザインタフェースであってもよい。
The outline of the processing contents in the security
以上に説明したように、本実施の形態のセキュリティ管理支援システム5によれば、各部署が保持する保護すべき情報資産に関する情報をデータベース上に体系的に保持・管理し、セキュリティ管理ツールとの連携や、資産種別単位でのセキュリティ対策状況の判定結果の入力および目標設定・管理を可能とすることにより、ユーザ部門が情報資産の管理を容易に行うことが可能となる。
As described above, according to the security
さらに、セキュリティレベルやリスクレベルを種々の切り口で簡易に定量化して提示することによって、部署の階層構造の中で各部署がセキュリティ対策状況の現状把握と目標設定・予実管理を容易に行うことが可能となる。このため、セキュリティ管理に要する負荷を企業内で分散して効率的・効果的なセキュリティ管理を行うことが可能となる。また、各階層の部署毎に、セキュリティ対策状況の現状や実施の成果を定量的に把握することができるため、ユーザ部門のセキュリティ対策に対する関心を高めるとともに、部署間の競争心理を高めてセキュリティ対策を推進する効果を得ることができる。 Furthermore, by easily quantifying and presenting the security level and risk level from various perspectives, it is possible for each department to easily grasp the current status of security countermeasures, set targets, and manage probabilities in the hierarchical structure of departments. It becomes possible. For this reason, it is possible to perform efficient and effective security management by distributing the load required for security management in the enterprise. In addition, each department at each level can quantitatively grasp the current status of security countermeasures and the results of their implementation, which raises interest in security measures in the user department and increases the psychology of competition between departments. The effect which promotes can be acquired.
また、管理策を実施する作業をタスクとし、実施の形態1に示したタスク管理システムの機能を適用することで、タスクを階層構造で管理し、タスクの作成、配下の部署・担当者への展開や、タスクの階層構造に基づいた形での実施率の算出等を容易に行うことが可能となる。
In addition, tasks that implement management measures are used as tasks, and by applying the functions of the task management system described in
これにより、例えば、タスク(管理策)カテゴリと、これに対応する管理策IDとを定義しておき、図17に示したPDCAサイクルの1診断周期におけるタスク(管理策)の実施率を、図30等に示すように診断結果の実施率に自動反映させるなどにより、タスク管理の機能を、セキュリティレベルおよびリスクレベルの定量化などを行うセキュリティ管理の機能に連携させることが可能となる。 Thereby, for example, a task (control measure) category and a control measure ID corresponding to this are defined, and the execution rate of the task (control measure) in one diagnosis cycle of the PDCA cycle shown in FIG. The task management function can be linked to the security management function for quantifying the security level and the risk level, for example, by automatically reflecting the result of diagnosis in the implementation rate as indicated by 30.
以上、本発明者によってなされた発明を実施の形態に基づき具体的に説明したが、本発明は前記実施の形態に限定されるものではなく、その要旨を逸脱しない範囲で種々変更可能であることはいうまでもない。 As mentioned above, the invention made by the present inventor has been specifically described based on the embodiment. However, the present invention is not limited to the embodiment, and various modifications can be made without departing from the scope of the invention. Needless to say.
本発明は、企業等の組織体においてトップダウンで作業が指示されるタスクを管理するタスク管理システムに利用可能である。 INDUSTRIAL APPLICABILITY The present invention can be used for a task management system that manages tasks for which work is instructed from the top down in an organization such as a company.
1…タスク管理システム、5…セキュリティ管理支援システム、
100…タスク管理サーバ、110…タスク実施管理部、111…タスク操作部、112…タスク情報取得部、120…実施状況管理部、130…管理部、
210…ユーザ・部署DB、211…会社テーブル、212…部署テーブル、213…所属部署テーブル、214…担当ロールテーブル、215…ロールテーブル、216…ユーザテーブル、
220…資産DB、221…資産種別テーブル、222…資産テーブル、223…資産種別格納情報テーブル、224…情報テーブル、225…システム格納情報テーブル、
230…管理策DB、231…セキュリティ基準テーブル、232…管理策セキュリティ基準テーブル、233…管理策テーブル、234…リスク内容テーブル、235…管理策リスク内容テーブル、236…管理策実行部署テーブル、237…管理策実行パターンテーブル、
240…計画策定DB、241…目標設定テーブル、242…リスク目標設定テーブル、243…計画策定明細テーブル、244…システム計画策定明細テーブル、
250…診断DB、251…診断明細テーブル、
260…タスクDB、261…タスクテーブル、262…カテゴリテーブル、
270…タスク進捗DB、271…タスク進捗テーブル、272…ステータステーブル、
300…セキュリティ管理ツールサーバ、
400…クライアント端末、
500…セキュリティ管理支援サーバ、510…現状分析部、511…セキュリティレベル診断部、512…リスク分析部、513…詳細分析部、520…目標管理部、521…目標設定部、522…計画策定部、523…予実管理部、530…業務処理部、540…資産管理部、550…管理部。
1 ... task management system, 5 ... security management support system,
DESCRIPTION OF
210 ... User / department DB, 211 ... Company table, 212 ... Department table, 213 ... Affiliation department table, 214 ... Role table in charge, 215 ... Role table, 216 ... User table,
220 ... Asset DB, 221 ... Asset type table, 222 ... Asset table, 223 ... Asset type storage information table, 224 ... Information table, 225 ... System storage information table,
230 ... Control measure DB, 231 ... Security standard table, 232 ... Control measure security standard table, 233 ... Control measure table, 234 ... Risk content table, 235 ... Control measure risk content table, 236 ... Control measure execution department table, 237 ... Control strategy execution pattern table,
240 ... planning DB, 241 ... target setting table, 242 ... risk target setting table, 243 ... planning specification table, 244 ... system planning table,
250 ... diagnosis DB, 251 ... diagnosis details table,
260 ... task DB, 261 ... task table, 262 ... category table,
270 ... Task progress DB, 271 ... Task progress table, 272 ... Status table,
300 ... Security management tool server,
400: Client terminal,
500 ... security management support server, 510 ... current state analysis unit, 511 ... security level diagnosis unit, 512 ... risk analysis unit, 513 ... detailed analysis unit, 520 ... target management unit, 521 ... target setting unit, 522 ... plan formulation unit, 523 ... Predictive management unit, 530 ... business processing unit, 540 ... asset management unit, 550 ... management unit.
Claims (6)
前記セキュリティ管理支援サーバは、
前記クライアント端末を介した前記各部署におけるユーザからの要求により、前記部署毎に、前記部署が保持する前記情報資産についての情報を資産データベースに登録または更新する資産管理部と、
前記クライアント端末を介した前記各部署における前記ユーザからの要求により、前記部署毎に、前記部署が保持する前記情報資産に対する管理策の実施状況についての診断結果を診断データベースに登録し、また、前記クライアント端末を介した前記各部署における前記ユーザからの要求により、前記診断データベースの内容に基づいて、前記各部署における現状の前記セキュリティレベルもしくは前記リスクレベルを管理対象のセキュリティ基準に基づいて採点し、前記ユーザにより指定された集計方法で集計した結果を前記クライアント端末に表示する現状分析部と、
前記クライアント端末を介した前記各部署における前記ユーザからの要求により、前記部署に対して前記ユーザにより指定された、前記セキュリティレベルもしくは前記リスクレベルの目標レベルとその達成時期を計画策定データベースに登録または更新する目標管理部と、
前記部署の階層構造の上位の担当者から配下の下位の担当者に対しての、前記情報資産に対する管理策の実施の指示であるタスクについて、
前記クライアント端末を介した前記各部署におけるユーザからの要求により、前記部署の階層構造における前記ユーザの配下の1または複数の担当者に対して指示する前記タスクを新たに作成してタスクデータベースに登録し、前記タスクの指示を受けた各担当者の単位で前記タスクに係る作業の進捗率およびステータスの管理を行うタスク進捗を作成してタスク進捗データベースに登録し、また、前記クライアント端末を介した前記各部署におけるユーザからの要求により、前記タスクデータベースに登録された前記タスクおよび前記タスク進捗データベースに登録された前記タスク進捗の内容を修正して更新するタスク操作部と、
前記クライアント端末を介した前記ユーザからの要求により、前記タスク進捗データベースに登録された1つ以上の前記タスク進捗のうち、前記ユーザに関連する前記タスク進捗の情報を取得して出力するタスク情報取得部と、
前記クライアント端末を介した前記ユーザからの要求により、前記ユーザに指示された前記タスクについての実施状況を算出して出力する実施状況管理部と、
当該セキュリティ管理支援システムを利用する前記ユーザおよび前記部署とその階層構造の情報をユーザ・部署データベースに保持して管理する管理部とを有することを特徴とするセキュリティ管理支援システム。 A security management support server that evaluates and manages the security level or risk level of information assets to be protected held by an organization consisting of a plurality of departments having a hierarchical structure, and a client that connects to the security management support server via a network A security management support system comprising terminals,
The security management support server includes:
In response to a request from a user in each department via the client terminal, for each department, an asset management unit that registers or updates information about the information asset held by the department in an asset database;
In response to a request from the user in each department via the client terminal, for each department, register a diagnostic result about the implementation status of the management measures for the information assets held by the department in the diagnostic database, and In response to a request from the user in each department via a client terminal, based on the contents of the diagnostic database, the current security level or the risk level in each department is scored based on the security standards to be managed, A current state analysis unit that displays on the client terminal the result of aggregation by the aggregation method specified by the user;
In response to a request from the user in each department via the client terminal, the target level of the security level or the risk level specified by the user for the department and the time of achievement thereof are registered in the planning database or The goal management department to be updated,
Against the lower personnel under the upper personnel hierarchy before Symbol department, the task is an indication of the implementation of security controls for the information assets,
In response to a request from a user in each department via the client terminal, the task that newly instructs one or more persons in charge of the user in the hierarchical structure of the department is created and registered in the task database and registers with the task proceeds Hakadode database to create a progress rate and task progress performing status management of the tasks in the unit of each person receiving the instruction of the task according to the task, also, the client terminal and a task operation unit in response to a request from the user, to update and correct the content of the task progress registered in the task and the task progress database registered in the task database the in each department via,
Task information acquisition for acquiring and outputting the task progress information related to the user among the one or more task progresses registered in the task progress database in response to a request from the user via the client terminal And
An implementation status management unit that calculates and outputs an implementation status for the task instructed to the user in response to a request from the user via the client terminal;
Security management support system, comprising a management unit for managing holds the user and the information of the department and its hierarchical structure utilizing the security management support system in the user department database.
前記タスク操作部は、前記タスクを指示された前記ユーザからの要求により、指示された前記タスクの実行を、前記部署の階層構造における前記ユーザの配下の1または複数の担当者に対して再指示する子タスクを作成して、作成した前記子タスクおよび前記子タスクに係る前記タスク進捗の情報をそれらの階層構造の情報とともに前記タスク進捗データベースに登録することを特徴とするセキュリティ管理支援システム。 The security management support system according to claim 1,
The task operation unit re-instructs execution of the designated task to one or a plurality of persons under the user in the hierarchical structure of the department in response to a request from the user who is designated the task. A security management support system comprising: creating a child task to be registered, and registering the created child task and information on the task progress relating to the child task together with information on a hierarchical structure thereof in the task progress database.
前記タスク操作部は、前記クライアント端末を介した前記各部署におけるユーザからの要求により、前記タスクもしくは前記子タスクが新たに作成され、前記タスク進捗が前記タスク進捗データベースに新たに登録された際の前記タスク進捗の前記ステータスを未指示とし、
前記タスク進捗に係る作業が一部実行された旨の進捗率が指定された際に、前記タスク進捗の前記ステータスを未完了に更新し、
前記タスク進捗に係る前記タスクの実行が、前記部署の階層構造における前記ユーザの配下の1または複数の担当者に対して再指示された際に、前記タスク進捗の前記ステータスを指示済に更新し、
前記タスク進捗に係る作業が完了した旨が指定された際に、前記タスク進捗の前記ステータスを完了に更新することを特徴とするセキュリティ管理支援システム。 The security management support system according to claim 1 or 2,
When the task operation unit newly creates the task or the child task in response to a request from the user in each department via the client terminal, and the task progress is newly registered in the task progress database. The status of the task progress is not indicated,
When the progress rate indicating that the work related to the task progress is partially executed is specified, the status of the task progress is updated to incomplete,
When the execution of the task related to the task progress is re-instructed to one or more persons in charge of the user in the hierarchical structure of the department, the status of the task progress is updated to indicated. ,
A security management support system that updates the status of the task progress to complete when it is specified that the task related to the task progress is completed.
前記実施状況管理部は、前記クライアント端末を介した前記ユーザからの要求により、前記ユーザに指示された前記タスクについての実施状況を算出する際に、前記ユーザに係る前記タスク進捗について、前記タスクの階層構造における自身を含む下位に属する全ての前記タスク進捗を対象として実施率を算出して出力することを特徴とするセキュリティ管理支援システム。 In the security management support system according to any one of claims 1 to 3,
The implementation status management unit calculates the implementation status of the task instructed by the user in response to a request from the user via the client terminal. A security management support system that calculates and outputs an execution rate for all the task progresses belonging to a lower level including itself in a hierarchical structure.
前記実施状況管理部は、前記クライアント端末を介した前記ユーザからの要求により、前記ユーザに指示された前記タスクについての実施状況を算出する際に、前記タスクの指示を受けた各担当者に係る前記タスク進捗毎に、前記タスクの階層構造における自身を含む下位に属する全ての前記タスク進捗を対象とした実施率をそれぞれ算出して出力することを特徴とするセキュリティ管理支援システム。 In the security management support system according to any one of claims 1 to 3,
The implementation status management unit relates to each person in charge who has received an instruction for the task when calculating the implementation status for the task instructed to the user by a request from the user via the client terminal. A security management support system, wherein for each task progress, an implementation rate for all the task progresses belonging to a lower level including itself in the task hierarchy is calculated and output.
前記タスク情報取得部は、前記クライアント端末を介した前記ユーザからの要求により、前記タスク進捗データベースに登録された1つ以上の前記タスク進捗のうち、前記ユーザに関連する前記タスク進捗の情報を取得して出力する際に、前記ユーザが指示された前記タスクおよび前記ユーザが指示もしくは再指示した前記タスクにおける前記ユーザに係る前記タスク進捗の情報を取得して出力することを特徴とするセキュリティ管理支援システム。 In the security management support system according to any one of claims 1 to 5,
The task information acquisition unit acquires information on the task progress related to the user among the one or more task progresses registered in the task progress database in response to a request from the user via the client terminal. Security management support, wherein the task progress information related to the user in the task instructed by the user and the task instructed or re-instructed by the user is acquired and output system.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009153466A JP5405921B2 (en) | 2009-06-29 | 2009-06-29 | Task management system and security management support system |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009153466A JP5405921B2 (en) | 2009-06-29 | 2009-06-29 | Task management system and security management support system |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2011008669A JP2011008669A (en) | 2011-01-13 |
JP5405921B2 true JP5405921B2 (en) | 2014-02-05 |
Family
ID=43565213
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2009153466A Expired - Fee Related JP5405921B2 (en) | 2009-06-29 | 2009-06-29 | Task management system and security management support system |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5405921B2 (en) |
Families Citing this family (17)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9742778B2 (en) | 2009-09-09 | 2017-08-22 | International Business Machines Corporation | Differential security policies in email systems |
JP5812911B2 (en) * | 2012-03-26 | 2015-11-17 | 株式会社日立システムズ | Workflow management system, workflow management method, and workflow management program |
JP6183771B2 (en) * | 2013-02-14 | 2017-08-23 | エヌシーアイ総合システム株式会社 | Workflow system |
US20140278729A1 (en) * | 2013-03-12 | 2014-09-18 | Palo Alto Research Center Incorporated | Multiple resolution visualization of detected anomalies in corporate environment |
JP6397627B2 (en) * | 2014-01-14 | 2018-09-26 | 株式会社富士通マーケティング | Business task management device, business task management method, and business task management program |
JP6274090B2 (en) * | 2014-12-01 | 2018-02-07 | 三菱電機株式会社 | Threat analysis apparatus and threat analysis method |
JP2018088040A (en) * | 2016-11-28 | 2018-06-07 | エヌ・ティ・ティ・コムウェア株式会社 | Audit support apparatus, audit support system, audit support method, and program |
JP2018088039A (en) * | 2016-11-28 | 2018-06-07 | エヌ・ティ・ティ・コムウェア株式会社 | Audit support apparatus, audit support system, audit support method, and program |
JP2018088044A (en) * | 2016-11-28 | 2018-06-07 | エヌ・ティ・ティ・コムウェア株式会社 | Audit support apparatus, audit support system, audit support method, and program |
JP6946664B2 (en) * | 2017-02-28 | 2021-10-06 | カシオ計算機株式会社 | Work support system, work support method and program |
CN109886548B (en) * | 2019-01-18 | 2024-05-07 | 平安科技(深圳)有限公司 | Method, system, device and storage medium for dispatching order |
CN111275301A (en) * | 2020-01-15 | 2020-06-12 | 海涛企划(深圳)有限公司 | Management method, system and display platform |
JP6831164B1 (en) * | 2020-01-29 | 2021-02-17 | 菱洋エレクトロ株式会社 | Methods and systems for customizing business instructions |
CN111881252A (en) * | 2020-07-31 | 2020-11-03 | 平安国际融资租赁有限公司 | Work report processing method and device, computer equipment and storage medium |
CN112734112A (en) * | 2021-01-08 | 2021-04-30 | 深圳市昂捷信息技术股份有限公司 | Task-driven digital store management method |
JP7391434B1 (en) * | 2023-03-10 | 2023-12-05 | 株式会社Rstandard | Programs and information processing equipment |
CN117311675B (en) * | 2023-11-29 | 2024-02-09 | 武汉海昌信息技术有限公司 | Service configuration method and device related to distributed system and electronic equipment |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH10326306A (en) * | 1997-05-26 | 1998-12-08 | Hitachi Ltd | Item allocation system |
JP2002157385A (en) * | 2000-11-17 | 2002-05-31 | Fuji Xerox Co Ltd | Task management device, task management method and recording medium |
JP2004355520A (en) * | 2003-05-30 | 2004-12-16 | Fujitsu Ltd | Business activity support method and business activity support program |
JP4709612B2 (en) * | 2004-08-31 | 2011-06-22 | インターナショナル・ビジネス・マシーンズ・コーポレーション | Method, program and computer for assigning personnel to tasks comprising a project |
EP1977377A1 (en) * | 2005-12-23 | 2008-10-08 | Promptt Technologies LTD | A method of managing a task |
-
2009
- 2009-06-29 JP JP2009153466A patent/JP5405921B2/en not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
JP2011008669A (en) | 2011-01-13 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5405921B2 (en) | Task management system and security management support system | |
US10885476B2 (en) | Evaluating business components in an enterprise | |
Pika et al. | Mining resource profiles from event logs | |
US20050159968A1 (en) | Organizationally interactive task management and commitment management system in a matrix based organizational environment | |
US20020178049A1 (en) | System and method and interface for evaluating a supply base of a supply chain | |
US20020052862A1 (en) | Method and system for supply chain product and process development collaboration | |
US20060085245A1 (en) | Team collaboration system with business process management and records management | |
US20100023385A1 (en) | Individual productivity and utilization tracking tool | |
JP4736241B2 (en) | Multidimensional matrix management system and method | |
KR102180377B1 (en) | Integrated work management solution system | |
WO2005106721A1 (en) | Corporate control management software | |
US11922350B1 (en) | Systems and methods of generating improved graphical user interfaces for distributed rule and workflow management | |
WO2006083724A2 (en) | Systems and methods for managing information | |
US10621535B1 (en) | Method and apparatus to onboard resources | |
JP2010198194A (en) | Security management support system | |
Tseng et al. | Customer knowledge management performance index | |
JP5003084B2 (en) | Business monitoring device, business monitoring system, business monitoring method and program | |
JP2002083098A (en) | Target managing system | |
US20080183743A1 (en) | Method and computer based system for performance management | |
Baskarada et al. | IQM-CMM: a framework for assessing organizational information quality management capability maturity | |
JP2004185160A (en) | Job progress state management system | |
JP2002358396A (en) | Method and apparatus for monitoring system related information totalization prosessor, terminal device for browsing, and program | |
US20150213563A1 (en) | Methods and Systems of Production System Management | |
JP4684210B2 (en) | Risk management evaluation system and risk management evaluation sheet | |
JP2004348761A (en) | Program for supporting business operation |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20120208 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20120322 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20120326 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20130723 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20130918 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20131008 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20131031 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
LAPS | Cancellation because of no payment of annual fees |