ISO/IEC 改版での変更点

Size: px

Start display at page:

Download "ISO/IEC 改版での変更点"

かずひろおおふさ
6 years ago
Views:

1 ISO/IEC 改版での変更点 2012 年 3 月 30 日富士通株式会社

ITIL と ISO20000 の歩み JIS 化 (2007.4) JIS Q 20000-1:2007 改版中 JIS Q 20000-2:2007 国際標準化 (2005.12) BS15000-1 BS15000-2 ISO20000-1 改版 (2011.4) ISO20000-2 ITIL V3 改版 (2012.

2 ITIL と ISO20000 の歩み JIS 化 (2007.4) JIS Q :2007 改版中 JIS Q :2007 国際標準化 ( ) BS BS ISO 改版 (2011.4) ISO ITIL V3 改版 (2012.2) ISO :2011 ISO (2012) ITIL V3( 改訂版 ) ITIL V1 CCTA( 後の OGC) 作成英国政府の IT 利用高度化のガイドラインからスタート ITIL V2 V1 の約 40 の書籍を 7 冊に整理統合世界へ普及デファクトスタンダードサービスデリバリ / サービスサポート中心サービスストラテジを中心とした見直し 2007 年 5 月に ( 実用的なガイド例示 ) 一括リリース 2011 年 7 月 29 日 ( 日本語版は英語版一括リリース (5 冊 ) 翌年 8 月までに順次 ) サービスマネジメントのライフサイクルで再整理し 5 冊に統合 ~

3 2011 年改版までの検討経緯 2005 年 12 月 15 日同 2006 年同 2007 年同同同 2008 年同 2010 年同 2011 年同 2012 年 2Q 12 月 22 日 5 月 10 月 2 月 4 月 20 日 7 月 12 月 7 月 12 月 1 月 11 月 BS15000 をベースに Fast Track 手続きで ISO/IEC 及び初版が制定 NWI として及びの改訂提案バンコク会議で改訂提案可決ソウル会議で WG25 が設置され審議開始 WD 投票 JIS Q およびが発行 JIPDEC による認証制度正式開始 WD2 投票 WD3 投票 CD 投票 FCD 投票 FCD2 投票 FDIS 投票 4 月 15 日 ISO/IEC :2011 発行 6 月 ~2012 年 3 月 JIS 化原案作成委員会で審議 JIS 原案作成 JIS Q :2012 発行予定 2

4 2011 年版での変更点のポイントタイトル変更仕様 (specification) 要求事項 (service management system requirements) 構成変更用語定義の追加変更図の改訂他の国際標準 (ISO 9001およびISO/IEC 等 ) との整合ベストプラクティス ( ITIL V3) との整合新規の要求事項の追加 ITIL is a Registered Trade Mark of the Cabinet Office. 3

5 構成変更 1. 適用範囲 2. 用語及び定義 3. マネジメントシステムの要求事項 3.1 経営陣の責任 3.2 文書化に関する要求事項 3.3 力量認識及び教育訓練 4. サービスマネジメントシステムの計画立案及び実施 4.1 サービスマネジメントの計画 (Plan) 4.2 サービスマネジメントの導入およびサービスの提供 (Do) 4.3 監視測定およびレビュー (Check) 4.4 継続的改善 (Act) 5. 新規又はサービス変更の計画及び導入 6. サービス提供プロセス 6.1 サービスレベル管理 (SLM) 6.2 サービスの報告 6.3 サービス継続及び可用性管理 6.4 サービスの予算業務及び会計業務 6.5 容量能力管理 6.6 情報セキュリティ管理 7. 関係プロセス 7.1 一般 7.2 顧客関係管理 7.3 供給者管理 8. 解決プロセス 8.1 背景 8.2 インシデント管理 8.3 問題管理 9. 統合的制御プロセス 9.1 構成管理 9.2 変更管理 10. リリースプロセス 10.1 リリース管理 1. 適用範囲 1.1 一般 1.2 適用 2. 引用規格 3. 用語及び定義 4. サービスマネジメントシステムの一般要求事項 4.1 経営者の責任 4.2 他の関係者が運用するプロセスのガバナンス 4.3 文書の運用管理 4.4 資源の運用管理 4.5 SMSの確立及び改善 5. 新規又はサービス変更の設計及び移行 5.1 一般 5.2 新規サービス又はサービス変更の計画 5.3 新規サービス又はサービス変更の設計及び開発 5.4 新規サービス又はサービス変更の移行 6. サービス提供プロセス 6.1 サービスレベル管理 6.2 サービスの報告 6.3 サービス継続及び可用性管理 6.4 サービスの予算業務及び会計業務 6.5 容量能力管理 6.6 情報セキュリティ管理 7. 関係プロセス 7.1 事業関係管理 7.2 供給者管理 8. 解決プロセス 8.1 インシデント及びサービス要求管理 8.2 問題管理 9. 統合的制御プロセス 9.1 構成管理 9.2 変更管理 9.3 リリース及び展開管理注 :2011 年版の日本語は正式なものではありません 2005 年版 2011 年版 4

6 用語定義の追加変更 <2005 年版 :15 語 > 改善拡充 <2011 年版 :37 語 > 可用性ベースライン (*1) 変更記録 (*1) 構成品目 CI 構成管理データベース CMDB 文書インシデント問題記録リリース変更要求サービスデスク (*1) サービスレベル合意書 SLA サービスマネジメントサービス提供者 < 追加 > 構成ベースライン継続的改善 (*2) 是正処置 (*2) 顧客 (*2) 有効性 (*2) 情報セキュリティ (*3) 情報セキュリティインシデント (*3) 利害関係者 (*2) 内部グループ既知の誤り不適合 (*2) 組織 (*2) なお同じ用語でもほとんどは文言の変更あり予防処置 (*2) 手順 (*2) プロセス (*2) リスクサービスサービスコンポーネントサービス継続性サービスマネジメントシステム (*2) サービス要求サービスの要求事項供給者トップマネジメント (*2) 移行 (*1)2011 年版では削除 (*2)ISO 9000:2005 の定義を適用応用 (*3)ISO/IEC 27000:2009 の定義を適用応用 5

7 フレームワーク図の改訂 :2005 年版容量能力管理サービス提供プロセスサービスレベル管理情報セキュリティ管理サービス継続及び可用性管理サービスの報告サービスの予算業務及び会計業務リリースプロセス統合的制御プロセス構成管理変更管理解決プロセス関係プロセスリリース管理インシデント管理問題管理事業関係管理サプライヤ管理出典 :ISO/IEC :2005 Figure 1-Service management processes 6

8 フレームワーク図の改訂 :2011 年版顧客 ( および他の利害関係者 ) サービスマネジメントシステム (SMS) 経営者の責任第三者が運用するプロセスのガバナンス SMSの確立及び改善ドキュメンテーションマネジメント資源の運用管理顧客 ( および他の利害関係者 ) サービス要件新規サービス又はサービス変更の設計移行サービス提供プロセスサービス容量能力管理サービス継続及び可用性管理サービスレベル管理サービスの報告情報セキュリティ管理サービスの予算業務及び会計業務解決プロセスインシデント管理及びサービス要求管理問題管理統合的制御プロセス構成管理変更管理リリース及び展開管理関係プロセス事業関係管理サプライヤ管理出典 :ISO/IEC :2011 Figure 2-Service management system 7

9 他の国際標準との整合 ISO 9001 との整合 - 用語定義 - 文書化およびリソースに関する要件 ( 箇条 ) -PDCA の Check プロセスで内部監査と経営者によるレビューを分離して記述 ( 箇条 ) ISO/IEC との整合 - 用語定義 - 情報セキュリティ管理プロセスを基本方針管理策セキュリティインシデント及び変更に分割 ( 箇条 6.6.1~6.6.3) ( 但し CIA の A は Availability ではなく Accessibility に ) 8

10 ベストプラクティス ITIL V3 との整合 < 例 > 新規サービス又はサービス変更の設計及び移行 ( 箇条 5.4) 受け入れ基準テスト検証などの記述を追加しサービストランジションプロセス部分を拡充インシデント及びサービス要求管理 ( 箇条 8.1) ITILで言う要求実現 (request fulfillment) をサービス要求管理 (service request management) として追加 ( ただしインシデント管理とは明確には分離せず ) リリース及び展開管理 ( 箇条 9.3) 従来のリリース管理をリリース及び展開管理としてプロセス名や deploymentの用法を合わせる 9

11 主な新規要求事項 : 第三者のガバナンス第三者によって運用されるプロセスのガバナンスを明確化サービス提供者は要求事項を箇条 5~9に規定するすべてのプロセス又はプロセスの部分で第三者が運用するものを特定しなければならない ( 中略 ) サービス提供者は第三者が運用するプロセスのガバナンスについて次により実証しなければならない ( 箇条 4.2) 供給者管理プロセスの要求事項を追加サービス提供者及び供給者は契約文書について合意しなければならない契約には次を含めるか引用しなければならない ( 箇条 7.2) として a)-l) を記述 10

12 主な新規要求事項 :SMS の適用範囲の確立 SMS の適用範囲の確立を新規に追加 ( 箇条 4.5.1) サービスマネジメント計画においてSMSの適用範囲を確立し文書化サービスを提供する組織単位の名称および提供されるサービスの定義サービスプロバイダがサービスを提供する際の拠点となる地理的所在地顧客およびその所在地サービスの提供に使用される技術シナリオ別に適用範囲の定義についてパート 3(*) でアドバイス (*) ISO/IEC :Guidance on Scope definition and applicability of ISO/IEC (TR) を参考 (2009 年 10 月制定済 ) 11

13 主な新規要求事項 : 新規サービス又はサービス変更の設計移行旧版の箇条 5 の要求事項を計画立案 ~ 移行で展開対象 : 全ての新規サービス及びサービスまたは顧客に対して潜在的に重大なインパクトがあるものの変更 ( サービスの終了または別の当事者への移行も含む ) 変更管理プロセスの一部として変更管理方針で確立 - サービスあるいは顧客に重大なインパクトを及ぼす可能性のある変更を特定する基準サービス要件の特定とそれを満たす計画の立案と関係者との合意新規サービス又はサービス変更の計画に含める事項サービス構成要素を提供する第三者の能力評価新規サービス又はサービス変更の設計に含める事項と文書化文書化された設計にもとづく開発受け入れ基準に照らし合わせてテスト検証承認リリース結果の報告 12

14 主な新規要求事項 : サービスカタログサービスカタログを明に要求事項に追加サービスカタログについて顧客と合意しなければならないサービスカタログにはサービスとサービス構成要素との依存関係を含めなければならない ( 箇条 6.1 サービスレベル管理 ) サービスカタログはサービス及びSLAの変更後それらが整合していることを確実にするために維持しなければならない ( 同上 ) 13

15 全体としてボリュームは増加 (2005 年版 16ページ 2011 年版 26ページ ) したものの明確性一貫性などは改善された定義の追加等 4.5ページ要求事項の増加 3.5ページその他 2ページ他のマネジメントシステム ( など ) やITIL との整合性が高まったことによりこれらの経験も活かした導入がより容易になるものと期待される 14

16 参考 :ISO/IEC 関連の標準化動向要求事項改訂 Part 1:2011 Service management system requirements 要求事項の補足適用のためのガイド改訂 Part 2:2012 Guidance for application of 適用範囲についてのガイド改訂中 Part 3(TR) Guidance on scope definition and applicability of プロセス評価手法改訂中 Part 4(TR) Process reference Model との統合適用ガイド新規 Guidelines for the integrated implementation of ISO/IEC and ISO/IEC プロセス評価モデル参照 part 8 SC27/WG1 Process Assessment Model 全体概説用語解説新規 Part 10 Concepts and terminology フレームワーク比較新規 Part 11 Guidance on the relationship between ISO/IEC and related frameworks 段階的適合についてのガイド改訂中 Part 5(TR) Exemplar implementation plan for クラウドへの適用ガイド新規 Part 6 Guidance onthe application of ISO/IEC to the cloud SC7/WG25 15

17 ISO/IEC TR (Technical Report) として 2009 年 10 月 14 日に発行サービスプロバイダがのパート 1 を適用する場合のスコープ定義のガイダンスを提供複雑なサプライチェーンのなかでいくつかの例示をすることでサービスプロバイダが SMS の範囲を定義するためのガイドとなっている 6 章構成で以下の annex がついており annex.b では大きく 8 つのシナリオを例示している ( 全 22 ページ ) Annex A: Main points on applicability of ISO/IEC , scoping of the SMS and conformity to ISO/IEC Annex B: Examples of scope statements 16

18 ISO/IEC TR (Technical Report) として 2010 年 4 月 26 日に発行サービスプロバイダが IT サービス改善を計画実行する際の適切な順序に関するアドバイスを提供サービスマネジメントシステムの導入時に一般的な 3 段階アプローチの利用を提案しているその各フェーズで ISO/IEC の導入を成功させるための重要なアクティビティーを一覧やプロジェクトの導入時に役に立つ目標の設定ポリシーの策定ドキュメント記録の管理とプロセスドキュメントのサンプルといった補足情報アドバイスと指針を提供する ( 全 31 ページ ) 17

19 18

JIS Q 27001:2014への移行に関する説明会　資料１

JIS Q 27001:2014への移行に関する説明会　資料１ JIS Q 27001:2014 への対応について一般財団法人日本情報経済社会推進協会情報マネジメント推進センターセンター長高取敏夫 2014 年 10 月 3 日 http://www.isms.jipdec.or.jp/ Copyright JIPDEC ISMS, 2014 1 アジェンダ ISMS 認証の移行 JIS Q 27001:2014 改正の概要 Copyright JIPDEC