Microsoft PowerPoint 　講演資料.pptx

Size: px

Start display at page:

Download "Microsoft PowerPoint 　講演資料.pptx"

えりかももき
5 years ago
Views:

1 ISO/IEC20000 導入のポイント留意点について 2013 年 11 月 28 日 JIPDEC( 一般財団法人日本情報経済社会推進協会 ) 情報マネジメント推進センター副センター長高取敏夫

2 JIPDEC 組織図 JIPDEC( 一般財団法人日本情報経済社会推進協会 ) 設立 : 昭和 42 年 12 月 20 日事業規模 :26 億 4,300 万円 ( 平成 25 年度予算 ) 職員数 :126 名 ( 平成 25 年 4 月現在 ) JIPDEC 広報渉外部総務部電子情報利活用研究部プライバシーマーク推進センター情報マネジメント推進センター総務課事務局経理課安信簡情報環境推進部審査業務室電子署名認証センター情報通信管理課 reserved 2

3 情報マネジメント推進センターの主な業務内容情報技術に関連するマネジメントシステムの認定機関としての業務及び各制度に関連する普及業務 ISMS/ITSMS/BCMS 認定システム実施に伴う諸業務 ISMS/ITSMS/BCMS 認定審査の実施 ISMS/ITSMS/BCMS 関連の委員会事務局業務 IT 資産管理 (ITAM) に関する調査研究業務国際認定機関やフォーラム ( IAF PAC 等 ) との相互連携の推進 ISO/IECなど( 国際規格ガイド策定等 ) への積極的貢献 reserved 3

4 ISMS/ITSMS/BCMS 認定システムの実施 ISMS(Information Security Management System) とは組織の所有している情報資産を適切に保護するために情報セキュリティを継続的に改善するための仕組みのことである認証機関 :26 認証取得組織数 :4,406( 現在 ) 認証規格 :ISO/IEC 27001(JIS Q 27001) ITSMS() とは顧客の要件に適合したレベルの IT サービスの運用管理を実施しそのサービス品質を継続的に改善するための仕組みのことである認証機関 :9 認証取得組織数 :183( 現在 ) 認証規格 :ISO/IEC (JIS Q ) BCMS(Business Continuity Management System) とは組織における重要業務を中断阻害することなく事業継続を確実にするための仕組みのことである認証機関 :6 認証取得組織数 :47( 現在 ) 認証規格 :ISO 22301:2012 reserved 4

5 ITSMS(ISO/IEC ) 適合性評価制度 ITSMS( IT サービスマネジメントシステム ) 適合性評価制度の目的は組織における IT サービス運用管理の品質を継続的に維持改善させることによりわが国の IT サービスの信頼性の向上に貢献することを目的とする ITSMS 適合性評価制度は JIS Q (ISO/IEC )( ) を認証規格とした IT サービスの運用管理に対する第三者認証制度である情報技術 - サービスマネジメント - 第 1 部 : サービスマネジメントシステム要求事項 (Information technology-service Management-Part1 : service management system requirements :) reserved 5

6 サービスマネジメントシステム (SMS) の定義 3.30 サービスマネジメント (service management) サービスの要求事項を満たし, サービスの設計, 移行, 提供及び改善のために, サービス提供者の活動及び資源を, 指揮し, 管理する, 一連の能力及びプロセス ( サービスの要求事項 (3.34) を満たしたサービスの提供を実現するためのサービス提供者におけるサービスの管理活動全体 ) 3.31 サービスマネジメントシステム,SMS(service management system) サービス提供者のサービスマネジメントの活動を指揮し, 管理するためのマネジメントシステム注記 1 マネジメントシステムは, 方針及び目的を定め, その目的を達成するための, 相互に関連する又は相互に作用する要素の集まりである注記 2 SMS には, サービスの設計, 移行, 提供及び改善のため, 並びにこの規格の要求事項を満たすために必要な, 全てのサービスマネジメントの方針, 目的, 計画, プロセス, 文書, 及び資源を含む注記 3 JIS Q 9000:2006 の品質マネジメントシステムの定義から部分的に採用 JIS Q :2012 より引用 reserved 6

7 サービスマネジメントに適用される PDCA 方法論 Do ( 実施 ) Plan ( 計画 ) サービスマネジメントシステムサービスマネジメントプロセス Act ( 処置 ) サービス Check ( 点検 ) JIS Q :2012 より引用 reserved 7

8 ITSMS ユーザーズガイド ~ 導入のための基礎 ~ の内容基礎用語の解説基礎的な用語マネジメントシステムとの関係性が強い用語 IT と関係性が強い用語適用範囲の考え方規格の適用範囲 ( 規格の位置付けや想定される活用方法 ) ITSMS の適用範囲 ( サービス提供者が確立 ) 認証取得の適用範囲 ( 審査によって認められた範囲 ) 他のマネジメントシステムの視点からみた ITSMS 品質マネジメントシステム (JIS Q 9001) 情報セキュリティマネジメントシステム (JIS Q 27001) ITIL(IT Infrastructure Library) 導入のポイント ISO/IEC (ITSMS の適用範囲設定に関する手引 ) ISO/IEC TR (ITSMS の段階的導入に関する手引 ) ソフトウェア資産管理 (SAM) と ITSMS との関係 reserved 8

9 ガイドの構成対象マネシメントシステム初めての方 ISMS ユーザ QMS ユーザ ITIL ユーザ章 1.ITSMSとは 2. 用語の解説 3. スコーピング 4.ITSMSの段階的導入 ~ISO/IEC TR の要点 ~ 5.ISMSユーザのためのITSMS 入門 6.QMSユーザのためのITSMS 入門 7.ITILユーザのためのITSMS 入門 8. ソフトウェア資産管理と ITサービスマネジメント 9

10 ISO/IEC 国際規格の開発状況国際規格規格名称最新版 ISO/IEC (JIS Q :2012) ISO/IEC (JIS Q :2013) サービスマネジメントシステム要求事項サービスマネジメントシステムの適用の手引 IS IS ISO/IEC サービスマネジメントの適用範囲の指針 IS ISO/IEC TR サービスマネジメントのプロセス参照モデル TR ISO/IEC TR サービスマネジメントの段階的適合に関する手引き TR ISO/IEC サービスマネジメントのクラウドの適用に関する指針 WD ISO/IEC 小規模組織のためのサービスマネジメントシステムの利用と利益の指針 NP ISO/IEC TR IT サービスマネジメントの概念と用語 DTR ITIL is a Registered Trade Mark of the Cabinet Office. reserved 10

11 ITSMS の適用範囲サービス提供者は ITSMS を確立する前に ITSMS の適用範囲を定義するサービス提供者のトップマネジメントはサービスマネジメントの計画が作成され ITSMS の適用範囲が含まれていることを確実にする ITSMS と適用範囲の定義は維持してゆくことトップマネジメントは有効性及び妥当性を可能にする ITSMS の適用範囲のレビューに責任を持つこと 11

12 適用範囲に関する事例データセンタ事業者における適用範囲設定データセンタ事業者 ( 情報システムの運用業務やサービスを受託する企業等 ) は規格の要求事項に相当する業務やプロセスが既に存在していることも多くあるいは適合しやすい業務があり JIS Q との親和性の高い業態であると考えられるまた第三者認証取得を公表することにより自らの組織の管理態勢やサービスレベル及びサービス品質などが顧客やマーケットに対するアピール材料のひとつになるデータセンタ事業者は JIS Q の第三者認証制度を活用することが有効である reserved 12

13 企業等の IT 部門及びシステム子会社における適用範囲設定企業等における IT 部門は当該組織内のユーザが利用する情報システムの運用保守などを行っているこの場合は情報システムの仕様を決定するとか主に利用するオーナー部門に対するサービス提供として捉えることができるまた IT 部門の機能をシステム子会社としていることもありこの場合は親会社に対するサービス提供と捉えることができるこのように広く一般から受託するようなサービス提供者ではなくともある組織に対して IT サービスを提供しその品質の維持向上を実践する組織は JIS Q の認証取得に対して効果的に取組むことができる reserved 13

14 コールセンター事業者における適用範囲設定 reserved 14

15 Web システムを利用したサービス提供者における適用範囲設定 reserved 15

16 クラウドサービス (SaaS 型 ) における適用範囲設定クラウドサービス (SaaS) とはインターネットを経由して何らかのアプリケーション機能を提供するサービス形態でありクラウドサービスそのものがスコープの対象となる顧客はクラウドサービスに対してデータの所在セキュリティ可用性継続性性能採用するフレームワークや標準などが見え難いことに対して不安を抱いている傾向にあるサービス提供者はこの不安を払しょくするためにサービス品質の見える化や信頼性確保の表明が必要でありその 1 つの方法として JIS Q の認証取得が大いに貢献すると考えられる reserved 16

17 ITSMS 段階的導入 JIS Q の要求事項に基づく ITSMS の導入は段階的な取組みが可能である段階的な導入は導入時の影響範囲を極小化することにより関係者の理解が得られやすい場合が多く各種資源の投入も一度に多くの資源配賦を必要としなくなるそのほか小規模な取組みを通じて組織内外の関係者が成功体験を得られやすい一定期間の継続的な取組みを通じて顧客供給者との信頼関係を築きやすいなどのメリットがある段階的な導入としては JIS Q の要求事項を特定のサービスや特定の組織拠点等に適用範囲を限定する場合などが考えられる ( 出典 :ISO/IEC TR :2010) reserved 17

18 導入プロジェクトの検討事項 - ビジネスケースの策定 -( 例 ) ITサービスマネジメントシステム導入目標 ITサービスマネジメントシステムの適用範囲案サービスレベルの改善目標実施事項と各段階の達成目標導入による影響度影響範囲 ( 負荷及び資源の増減各種変更点ビジネスの発展リスク利害関係者等 ) 直接的 / 間接的なメリット及びデメリットプロジェクト体制スケジュール費用など ( 出典 :ISO/IEC TR :2010) reserved 18

19 コミットメントと方針 JIS Q の要求事項に基づく ITSMS を導入する場合一般的にはプロジェクトを組成することになるこの ITSMS 導入プロジェクトには実施するための資源 ( 例えば適切な力量を持った要員必要な調達をするための資金 ) が必要になるまた利害関係者に対する協力の要請等も含む指示命令報告等が必要となるしたがって ITSMS 導入の際には適切な組織決定を実施しトップマネジメントの支援及びコミットメントを得た上でプロジェクトを進めることが肝要である ( 出典 :ISO/IEC TR :2010) reserved 19

20 ギャップ分析の考え方 JIS Q の要求事項を満たすマネジメントシステムを構築することを達成すべきゴールと考えた場合 JIS Q の要求事項に対して現状のマネジメントシステムがどの程度一致しているかを分析することはゴールへ到達するための大変重要な活動であるこのギャップ分析は様々な詳細さで行うことができる一般的にはサービス提供者のニーズそのサービス提供者の顧客基盤のニーズに合わせて調整することが望ましい ( 出典 :ISO/IEC TR :2010) reserved 20

21 導入プロジェクトのガバナンスとマネジメント導入プロジェクトを始めるにあたりプロジェクトチームを組成する必要がある組織はプロジェクトが開始される前にこのプロジェクトチームの役割や権限と責任を明確にするとともにプロジェクトリーダーを特定する必要があるプロジェクトチームにはプロジェクトを成功に導くための強いリーダーシップが求められるプロジェクトリーダーにはサービスマネジメントの理解のみならずプロジェクトマネジメントに関する力量をもつ要員を任命することが望まれるまた組織のガバナンスの原則や方針組織文化等を理解しておくことが重要である ( 出典 :ISO/IEC TR :2010) reserved 21

22 ITSMS の段階的導入目的 (1) 第 1 段階ギャップ分析の結果 (findings) 及びビジネスケースの取り込み確立導入されたSMSの構成これにはサービスマネジメントの計画初期方針コミットメント / 説明責任危機管理 / 事後対応的プロセスを含む第 1 段階の完了時にはサービス提供者はサービスの中断及び要求に対して迅速かつ有効に対応することに重点を置くとともに基本的なSMS についてISO/IEC の要求事項を満たす方針プロセス手順を導入しているようになるサービス提供者はすべてのサービスと関連するコンポーネントとについての知識をもちこの知識によってこうしたサービスの中断又は要求に対応できるようになる第 1 段階終了時の状況 (status) の分析第 1 段階の終了までに SMS が第 2 段階の基盤を提供するようになる ( 出典 :ISO/IEC TR :2010) reserved 22

23 ITSMS の段階的導入目的 (2) 第 2 段階第 1 段階終了時の成果分析 (achievement analysis) に基づく計画の調整方針の改訂追加のプロセス既存プロセスの統合手順その他の支援文書サービス提供者は第 2 段階完了時にはサービスの中断及び要求の予測回避を可能にする活動プロセス手順コンポーネントの管理を導入しているようになるサービス提供者はより信頼できるサービスを顧客に提供するために自らのプロセス及び活動を安定化させているようになるまた顧客のニーズを計画に組み込むために将来のサービス要求事項について顧客との話し合いを開始しているようになる第 2 段階終了時の状況の分析第 2 段階の終了までに SMS が第 3 段階の基盤を提供するようになる ( 出典 :ISO/IEC TR :2010) reserved 23

24 ITSMS の段階的導入目的 (3) 第 3 段階第 2 段階終了時の成果分析に基づく計画の調整方針の改訂 ( 事前対応的な ) 最終プロセスすべてのプロセスの統合基盤となる手順及び他の支援文書の文書化サービス提供者はサービス文化を築きかつ顧客の事業 / 業務及びサービス要求事項について十分に理解を深めているようになるまたサービスとプロセスの有効性及び効率の測定が行われるようになる ( これには顧客満足と提供したサービスの継続的改善とを含む ) サービス提供者は供給者及び顧客の両方との取引関係を理解し確立しているようになる結果としてサービス提供者は ISO/IEC のすべての要求事項に適合するようになる第 3 段階終了時の状況の分析これには完全な内部監査を含むまた必要な場合には ISO/IEC への適合のための準備を含む第 3 段階の終了までに SMS が安定化のための基盤と継続的改善とを提供するようになる ( 出典 :ISO/IEC TR :2010) reserved 24

25 ITSMS のガバナンスの維持及びサービスの改善 JIS Q の要求事項が引き続き満たされていることを確実にするための一つの方法はガバナンスの維持と継続的改善に対するコミットメントを確実にすることであるまた継続的な改善の対象には ITSMS 提供したサービスなどにおいて改善に必要なあらゆるプロジェクトが含まれる従って組織の ITSMS におけるガバナンスを維持し継続的な改善を実施していくことがポイントである利害関係者のグループを任命することなどがある ( 出典 :ISO/IEC TR :2010) reserved 25

26 QMS から見た ITSMS JIS Q 9001(QMS) と JIS Q 20000(ITSMS) はマネジメントシステムの基本的な形態でほぼ同じ構造を持っているが ITSMS では IT サービスの提供管理に不可欠なプロセスを特定してそのプロセスに対する要求事項が詳細に規定されている既に QMS を導入している IT サービス事業者においては QMS で構築したマネジメントシステム部分をシステムの基礎としてその上に ITSMS 固有の設計と運用のプロセスが付加できるので効果的に ITSMS のシステムが構築できるまた IT サービスに限らず事業活動が広い場合にはより広範な活動を対象とする JIS Q 9001(QMS) と JIS Q 20000(ITSMS) との共有のマネジメントシステムにすることで会社全体の管理を統合化できる reserved 26

27 ISO/IEC と ISO/IEC の対比 ( 出典 :ISO/IEC 27013:2012) reserved 27

28 マネジメントシステム規格の統合組織組織他の MS QMS ( 品質 ) ITSMS (IT サービスマネジメント ) 統合 QMS ( 品質 ) ITSMS (IT サービスマネジメント ) ISMS ( 情報セキュリティ ) QMS:ISO 9001:2008 ITSMS:ISO/IEC :2011 QMS:ISO 9001:2008 ITSMS:ISO/IEC :20011 ISMS:ISO/IEC 27001:2005 reserved 28

29 ご清聴ありがとうございました問い合わせ先一般財団法人日本情報経済社会推進協会情報マネジメント推進センター TEL: FAX: Web: 登録商標など引用された社名製品名は各社の商標もしくは登録商標です reserved 29

どのような便益があり得るか? より重要な ( ハイリスクの ) プロセス及びそれらのアウトプットに焦点が当たる相互に依存するプロセスについての理解定義及び統合が改善されるプロセス及びマネジメントシステム全体の計画策定実施確認及び改善の体系的なマネジメント資源の有効利用及び説明責任の強化

どのような便益があり得るか? より重要な ( ハイリスクの ) プロセス及びそれらのアウトプットに焦点が当たる相互に依存するプロセスについての理解定義及び統合が改善されるプロセス及びマネジメントシステム全体の計画策定実施確認及び改善の体系的なマネジメント資源の有効利用及び説明責任の強化 ISO 9001:2015 におけるプロセスアプローチこの文書の目的 : この文書の目的は ISO 9001:2015 におけるプロセスアプローチについて説明することであるプロセスアプローチは業種形態規模又は複雑さに関わらずあらゆる組織及びマネジメントシステムに適用することができるプロセスアプローチとは何か? 全ての組織が目標達成のためにプロセスを用いているプロセスとは : インプットを使用して意図した結果を生み出す

Microsoft PowerPoint 講演資料.pptx

Microsoft PowerPoint 　講演資料.pptx