ISO/IEC20000 導入の ポイント 留意点について 2013 年 11 月 28 日 JIPDEC( 一般財団法人日本情報経済社会推進協会 ) 情報マネジメント推進センター副センター長高取敏夫
JIPDEC 組織図 JIPDEC( 一般財団法人日本情報経済社会推進協会 ) 設立 : 昭和 42 年 12 月 20 日 事業規模 :26 億 4,300 万円 ( 平成 25 年度予算 ) 職員数 :126 名 ( 平成 25 年 4 月現在 ) JIPDEC 広報渉外部 総務部電子情報利活用研究部プライバシーマーク推進センター 情報マネジメント推進センター 総務課 事務局 経理課 安信簡情報環境推進部 審査業務室 電子署名 認証センター 情報通信管理課 reserved 2
情報マネジメント推進センターの 主な業務内容 情報技術に関連するマネジメントシステムの認定機関としての業務及び各制度に関連する普及業務 ISMS/ITSMS/BCMS 認定システム実施に伴う諸業務 ISMS/ITSMS/BCMS 認定審査の実施 ISMS/ITSMS/BCMS 関連の委員会事務局業務 IT 資産管理 (ITAM) に関する調査研究業務 国際認定機関やフォーラム ( IAF PAC 等 ) との相互連携の推進 ISO/IECなど( 国際規格 ガイド策定等 ) への積極的貢献 reserved 3
ISMS/ITSMS/BCMS 認定システムの 実施 ISMS(Information Security Management System) とは 組織の所有している情報資産を適切に保護するために 情報セキュリティを継続的に改善するための仕組みのことである 認証機関 :26 認証取得組織数 :4,406(2013.11.6 現在 ) 認証規格 :ISO/IEC 27001(JIS Q 27001) ITSMS() とは 顧客の要件に適合したレベルの IT サービスの運用管理を実施し そのサービス品質を継続的に改善するための仕組みのことである 認証機関 :9 認証取得組織数 :183(2013.11.6 現在 ) 認証規格 :ISO/IEC 20000-1(JIS Q 20000-1) BCMS(Business Continuity Management System) とは 組織における重要業務を中断 阻害することなく 事業継続を確実にするための仕組みのことである 認証機関 :6 認証取得組織数 :47(2013.11.6 現在 ) 認証規格 :ISO 22301:2012 reserved 4
ITSMS(ISO/IEC20000-1) 適合性評価制度 ITSMS( IT サービスマネジメントシステム ) 適合性評価制度の目的は 組織における IT サービス運用管理の品質を継続的に維持 改善させることにより わが国の IT サービスの信頼性の向上に貢献することを目的とする ITSMS 適合性評価制度は JIS Q 20000-1(ISO/IEC 20000-1)( ) を認証規格とした IT サービスの運用管理に対する第三者認証制度である 情報技術 - サービスマネジメント - 第 1 部 : サービスマネジメントシステム要求事項 (Information technology-service Management-Part1 : service management system requirements :) reserved 5
サービスマネジメントシステム (SMS) の定義 3.30 サービスマネジメント (service management) サービスの要求事項を満たし, サービスの設計, 移行, 提供及び改善のために, サービス提供者の活動及び資源を, 指揮し, 管理する, 一連の能力及びプロセス ( サービスの要求事項 (3.34) を満たしたサービスの提供を実現するための サービス提供者におけるサービスの管理活動全体 ) 3.31 サービスマネジメントシステム,SMS(service management system) サービス提供者のサービスマネジメントの活動を指揮し, 管理するためのマネジメントシステム 注記 1 マネジメントシステムは, 方針及び目的を定め, その目的を達成するための, 相互に関連する又は相互に作用する要素の集まりである 注記 2 SMS には, サービスの設計, 移行, 提供及び改善のため, 並びにこの規格の要求事項を満たすために必要な, 全てのサービスマネジメントの方針, 目的, 計画, プロセス, 文書, 及び資源を含む 注記 3 JIS Q 9000:2006 の 品質マネジメントシステム の定義から部分的に採用 JIS Q 20000-1:2012 より引用 reserved 6
サービスマネジメントに適用される PDCA 方法論 Do ( 実施 ) Plan ( 計画 ) サービスマネジメントシステムサービスマネジメントプロセス Act ( 処置 ) サービス Check ( 点検 ) JIS Q 20000-1:2012 より引用 reserved 7
ITSMS ユーザーズガイド ~ 導入のための基礎 ~ の内容 基礎用語の解説 基礎的な用語 マネジメントシステムとの関係性が強い用語 IT と関係性が強い用語 適用範囲の考え方 規格の適用範囲 ( 規格の位置付けや想定される活用方法 ) ITSMS の適用範囲 ( サービス提供者が確立 ) 認証取得の適用範囲 ( 審査によって認められた範囲 ) 他のマネジメントシステムの視点からみた ITSMS 品質マネジメントシステム (JIS Q 9001) 情報セキュリティマネジメントシステム (JIS Q 27001) ITIL(IT Infrastructure Library) 導入のポイント ISO/IEC 20000-3(ITSMS の適用範囲設定に関する手引 ) ISO/IEC TR 20000-5(ITSMS の段階的導入に関する手引 ) ソフトウェア資産管理 (SAM) と ITSMS との関係 reserved 8
ガイドの構成 対象 マネシ メントシステム初めての方 ISMS ユーザ QMS ユーザ ITIL ユーザ 章 1.ITSMSとは 2. 用語の解説 3. スコーピング 4.ITSMSの段階的導入 ~ISO/IEC TR 20000-5の要点 ~ 5.ISMSユーザのためのITSMS 入門 6.QMSユーザのためのITSMS 入門 7.ITILユーザのためのITSMS 入門 8. ソフトウェア資産管理と ITサービスマネジメント 9
ISO/IEC 20000 国際規格の開発状況 国際規格規格名称最新版 ISO/IEC 20000-1 (JIS Q 20000-1:2012) ISO/IEC 20000-2 (JIS Q 20000-2:2013) サービスマネジメントシステム要求事項 サービスマネジメントシステムの適用の手引 IS IS ISO/IEC 20000-3 サービスマネジメントの適用範囲の指針 IS ISO/IEC TR 20000-4 サービスマネジメントのプロセス参照モデル TR ISO/IEC TR 20000-5 サービスマネジメントの段階的適合に関する手引き TR ISO/IEC 20000-7 サービスマネジメントのクラウドの適用に関する指針 WD ISO/IEC 20000-8 小規模組織のためのサービスマネジメントシステムの利用と利益の指針 NP ISO/IEC TR 20000-10 IT サービスマネジメントの概念と用語 DTR ITIL is a Registered Trade Mark of the Cabinet Office. reserved 10
ITSMS の適用範囲 サービス提供者は ITSMS を確立する前に ITSMS の適用範囲を定義する サービス提供者のトップマネジメントは サービスマネジメントの計画が作成され ITSMS の適用範囲が含まれていることを確実にする ITSMS と適用範囲の定義は維持してゆくこと トップマネジメントは 有効性及び妥当性を可能にする ITSMS の適用範囲のレビューに責任を持つこと 11
適用範囲に関する事例 データセンタ事業者における適用範囲設定 データセンタ事業者 ( 情報システムの運用業務やサービスを受託する企業等 ) は 規格の要求事項に相当する業務やプロセスが既に存在していることも多く あるいは適合しやすい業務があり JIS Q 20000 との親和性の高い業態であると考えられる また 第三者認証取得を公表することにより 自らの組織の管理態勢やサービスレベル及びサービス品質などが 顧客やマーケットに対するアピール材料のひとつになる データセンタ事業者は JIS Q 20000 の第三者認証制度を活用することが有効である reserved 12
企業等の IT 部門及び システム子会社における適用範囲設定 企業等における IT 部門 は 当該組織内のユーザが利用する情報システムの運用 保守などを行っている この場合は 情報システムの仕様を決定するとか 主に利用する オーナー部門 に対するサービス提供として捉えることができる また IT 部門の機能をシステム子会社としていることもあり この場合は親会社に対するサービス提供と捉えることができる このように 広く一般から受託するようなサービス提供者ではなくとも ある組織に対して IT サービスを提供し その品質の維持 向上を実践する組織は JIS Q 20000 の認証取得に対して効果的に取組むことができる reserved 13
コールセンター事業者における 適用範囲設定 reserved 14
Web システムを利用した サービス提供者における適用範囲設定 reserved 15
クラウドサービス (SaaS 型 ) における 適用範囲設定 クラウドサービス (SaaS) とは インターネットを経由して何らかのアプリケーション機能を提供するサービス形態であり クラウドサービスそのものが スコープの対象となる 顧客はクラウドサービスに対して データの所在 セキュリティ 可用性 継続性 性能 採用するフレームワークや標準などが見え難いことに対して不安を抱いている傾向にある サービス提供者はこの不安を払しょくするためにサービス品質の見える化や信頼性確保の表明が必要であり その 1 つの方法として JIS Q 20000-1 の認証取得が大いに貢献すると考えられる reserved 16
ITSMS 段階的導入 JIS Q 20000-1 の要求事項に基づく ITSMS の導入は 段階的な取組みが可能である 段階的な導入は 導入時の影響範囲を極小化することにより 関係者の理解が得られやすい場合が多く 各種資源の投入も一度に多くの資源配賦を必要としなくなる そのほか 小規模な取組みを通じて組織内外の関係者が成功体験を得られやすい 一定期間の継続的な取組みを通じて顧客 供給者との信頼関係を築きやすいなどのメリットがある 段階的な導入としては JIS Q 20000-1の要求事項を特定のサービスや特定の組織 拠点等に適用範囲を限定する場合などが考えられる ( 出典 :ISO/IEC TR 20000-5:2010) reserved 17
導入プロジェクトの検討事項 - ビジネスケースの策定 -( 例 ) ITサービスマネジメントシステム導入目標 ITサービスマネジメントシステムの適用範囲案 サービスレベルの改善目標 実施事項と各段階の達成目標 導入による影響度 影響範囲 ( 負荷及び資源の増減 各種変更点 ビジネスの発展 リスク 利害関係者等 ) 直接的 / 間接的なメリット及びデメリット プロジェクト体制 スケジュール 費用など ( 出典 :ISO/IEC TR 20000-5:2010) reserved 18
コミットメントと方針 JIS Q 20000-1 の要求事項に基づく ITSMS を導入する場合 一般的にはプロジェクトを組成することになる この ITSMS 導入プロジェクトには 実施するための資源 ( 例えば 適切な力量を持った要員 必要な調達をするための資金 ) が必要になる また 利害関係者に対する協力の要請等も含む指示 命令 報告等が必要となる したがって ITSMS 導入の際には 適切な組織決定を実施し トップマネジメントの支援及びコミットメントを得た上でプロジェクトを進めることが肝要である ( 出典 :ISO/IEC TR 20000-5:2010) reserved 19
ギャップ分析の考え方 JIS Q 20000-1 の要求事項を満たすマネジメントシステムを構築することを達成すべきゴールと考えた場合 JIS Q 20000-1 の要求事項に対して 現状のマネジメントシステムがどの程度一致しているかを分析することはゴールへ到達するための大変重要な活動である このギャップ分析は様々な詳細さで行うことができる 一般的には サービス提供者のニーズ そのサービス提供者の顧客基盤のニーズに合わせて調整することが望ましい ( 出典 :ISO/IEC TR 20000-5:2010) reserved 20
導入プロジェクトのガバナンスと マネジメント 導入プロジェクトを始めるにあたり プロジェクトチームを組成する必要がある 組織はプロジェクトが開始される前にこのプロジェクトチームの役割や権限と責任を明確にするとともに プロジェクトリーダーを特定する必要がある プロジェクトチームにはプロジェクトを成功に導くための強いリーダーシップが求められる プロジェクトリーダーには サービスマネジメントの理解のみならずプロジェクトマネジメントに関する力量をもつ要員を任命することが望まれる また 組織のガバナンスの原則や方針 組織文化等を理解しておくことが重要である ( 出典 :ISO/IEC TR 20000-5:2010) reserved 21
ITSMS の段階的導入目的 (1) 第 1 段階 ギャップ分析の結果 (findings) 及びビジネスケースの取り込み 確立 導入されたSMSの構成 これには サービスマネジメントの計画 初期方針 コミットメント / 説明責任 危機管理 / 事後対応的プロセスを含む 第 1 段階の完了時には サービス提供者は サービスの中断及び要求に対して迅速かつ有効に対応することに重点を置くとともに 基本的なSMS についてISO/IEC 20000-1の要求事項を満たす 方針 プロセス 手順を導入しているようになる サービス提供者は すべてのサービスと関連するコンポーネントとについての知識をもち この知識によってこうしたサービスの中断又は要求に対応できるようになる 第 1 段階終了時の状況 (status) の分析 第 1 段階の終了までに SMS が第 2 段階の基盤を提供するようになる ( 出典 :ISO/IEC TR 20000-5:2010) reserved 22
ITSMS の段階的導入目的 (2) 第 2 段階 第 1 段階終了時の成果分析 (achievement analysis) に基づく 計画の調整 方針の改訂 追加のプロセス 既存プロセスの統合 手順 その他の支援文書 サービス提供者は 第 2 段階完了時には サービスの中断及び要求の予測 回避を可能にする 活動 プロセス 手順 コンポーネントの管理を導入しているようになる サービス提供者は より信頼できるサービスを顧客に提供するために 自らのプロセス及び活動を安定化させているようになる また 顧客のニーズを計画に組み込むために 将来のサービス要求事項について顧客との話し合いを開始しているようになる 第 2 段階終了時の状況の分析 第 2 段階の終了までに SMS が第 3 段階の基盤を提供するようになる ( 出典 :ISO/IEC TR 20000-5:2010) reserved 23
ITSMS の段階的導入目的 (3) 第 3 段階第 2 段階終了時の成果分析に基づく 計画の調整 方針の改訂 ( 事前対応的な ) 最終プロセス すべてのプロセスの統合 基盤となる手順及び他の支援文書の文書化 サービス提供者は サービス文化を築き かつ 顧客の事業 / 業務及びサービス要求事項について十分に理解を深めているようになる また サービスとプロセスの有効性及び効率の測定が行われるようになる ( これには 顧客満足と提供したサービスの継続的改善とを含む ) サービス提供者は 供給者及び顧客の両方との取引関係を理解し 確立しているようになる 結果として サービス提供者は ISO/IEC 20000-1のすべての要求事項に適合するようになる 第 3 段階終了時の状況の分析 これには 完全な内部監査を含む また必要な場合には ISO/IEC 20000-1への適合のための準備を含む 第 3 段階の終了までに SMS が安定化のための基盤と継続的改善とを提供するようになる ( 出典 :ISO/IEC TR 20000-5:2010) reserved 24
ITSMS のガバナンスの維持 及びサービスの改善 JIS Q 20000-1 の要求事項が引き続き満たされていることを確実にするための一つの方法は ガバナンスの維持と継続的改善に対するコミットメントを確実にすることである また 継続的な改善の対象には ITSMS 提供したサービスなどにおいて 改善に必要なあらゆるプロジェクトが含まれる 従って 組織の ITSMS におけるガバナンスを維持し 継続的な改善を実施していくことが ポイントである 利害関係者のグループを任命することなどがある ( 出典 :ISO/IEC TR 20000-5:2010) reserved 25
QMS から見た ITSMS JIS Q 9001(QMS) と JIS Q 20000(ITSMS) は マネジメントシステムの基本的な形態でほぼ同じ構造を持っているが ITSMS では IT サービスの提供管理に不可欠なプロセスを特定して そのプロセスに対する要求事項が詳細に規定されている 既に QMS を導入している IT サービス事業者においては QMS で構築したマネジメントシステム部分をシステムの基礎として その上に ITSMS 固有の設計と運用のプロセスが付加できるので 効果的に ITSMS のシステムが構築できる また IT サービスに限らず事業活動が広い場合にはより広範な活動を対象とする JIS Q 9001(QMS) と JIS Q 20000(ITSMS) との共有のマネジメントシステムにすることで会社全体の管理を統合化できる reserved 26
ISO/IEC 27001 と ISO/IEC 20000-1 の対比 ( 出典 :ISO/IEC 27013:2012) reserved 27
マネジメントシステム規格の統合 組織 組織 他の MS QMS ( 品質 ) ITSMS (IT サービスマネジメント ) 統合 QMS ( 品質 ) ITSMS (IT サービスマネジメント ) ISMS ( 情報セキュリティ ) QMS:ISO 9001:2008 ITSMS:ISO/IEC 20000-1:2011 QMS:ISO 9001:2008 ITSMS:ISO/IEC 20000-1:20011 ISMS:ISO/IEC 27001:2005 reserved 28
ご清聴ありがとうございました 問い合わせ先一般財団法人日本情報経済社会推進協会情報マネジメント推進センター TEL: 03-5860-7570 FAX: 03-5573-0564 Web: http://www.isms.jipdec.or.jp/ 登録商標など引用された社名 製品名は各社の商標もしくは登録商標です reserved 29