ISO/IEC 20000-1 改版での変更点 2012 年 3 月 30 日富士通株式会社
ITIL と ISO20000 の歩み JIS 化 (2007.4) JIS Q 20000-1:2007 改版中 JIS Q 20000-2:2007 国際標準化 (2005.12) BS15000-1 BS15000-2 ISO20000-1 改版 (2011.4) ISO20000-2 ITIL V3 改版 (2012.2) ISO20000-1:2011 ISO20000-2(2012) ITIL V3( 改訂版 ) ITIL V1 CCTA( 後の OGC) 作成 英国政府の IT 利用高度化のガイドラインからスタート ITIL V2 V1 の約 40 の書籍を 7 冊に整理統合 世界へ普及 デファクトスタンダード サービスデリバリ / サービスサポート中心 サービスストラテジを中心とした見直し 2007 年 5 月に ( 実用的なガイド 例示 ) 一括リリース 2011 年 7 月 29 日 ( 日本語版は英語版一括リリース (5 冊 ) 翌年 8 月までに順次 ) サービスマネジメントのライフサイクルで再整理し 5 冊に統合 ~1990 2000 2007 2011 1
2011 年改版までの検討経緯 2005 年 12 月 15 日 同 2006 年 同 2007 年 同 同 同 2008 年 同 2010 年 同 2011 年 同 2012 年 2Q 12 月 22 日 5 月 10 月 2 月 4 月 20 日 7 月 12 月 7 月 12 月 1 月 11 月 BS15000 をベースに Fast Track 手続きで ISO/IEC 20000-1 及び 20000-2 初版が制定 NWI として 20000-1 及び 20000-2 の改訂提案 バンコク会議で改訂提案可決 ソウル会議で WG25 が設置され審議開始 WD 投票 JIS Q 20000-1 および 20000-2 が発行 JIPDEC による認証制度正式開始 WD2 投票 WD3 投票 CD 投票 FCD 投票 FCD2 投票 FDIS 投票 4 月 15 日 ISO/IEC 20000-1:2011 発行 6 月 ~2012 年 3 月 JIS 化原案作成委員会で審議 JIS 原案作成 JIS Q 20000-1:2012 発行予定 2
2011 年版での変更点のポイント タイトル変更仕様 (specification) 要求事項 (service management system requirements) 構成変更 用語定義の追加 変更 図の改訂 他の国際標準 (ISO 9001およびISO/IEC 27001 等 ) との整合 ベストプラクティス ( ITIL V3) との整合 新規の要求事項の追加 ITIL is a Registered Trade Mark of the Cabinet Office. 3
構成変更 1. 適用範囲 2. 用語及び定義 3. マネジメントシステムの要求事項 3.1 経営陣の責任 3.2 文書化に関する要求事項 3.3 力量 認識及び教育 訓練 4. サービスマネジメントシステムの計画立案及び実施 4.1 サービスマネジメントの計画 (Plan) 4.2 サービスマネジメントの導入およびサービスの提供 (Do) 4.3 監視 測定およびレビュー (Check) 4.4 継続的改善 (Act) 5. 新規又はサービス変更の計画及び導入 6. サービス提供プロセス 6.1 サービスレベル管理 (SLM) 6.2 サービスの報告 6.3 サービス継続及び可用性管理 6.4 サービスの予算業務及び会計業務 6.5 容量 能力管理 6.6 情報セキュリティ管理 7. 関係プロセス 7.1 一般 7.2 顧客関係管理 7.3 供給者管理 8. 解決プロセス 8.1 背景 8.2 インシデント管理 8.3 問題管理 9. 統合的制御プロセス 9.1 構成管理 9.2 変更管理 10. リリースプロセス 10.1 リリース管理 1. 適用範囲 1.1 一般 1.2 適用 2. 引用規格 3. 用語及び定義 4. サービスマネジメントシステムの一般要求事項 4.1 経営者の責任 4.2 他の関係者が運用するプロセスのガバナンス 4.3 文書の運用管理 4.4 資源の運用管理 4.5 SMSの確立及び改善 5. 新規又はサービス変更の設計及び移行 5.1 一般 5.2 新規サービス又はサービス変更の計画 5.3 新規サービス又はサービス変更の設計及び開発 5.4 新規サービス又はサービス変更の移行 6. サービス提供プロセス 6.1 サービスレベル管理 6.2 サービスの報告 6.3 サービス継続及び可用性管理 6.4 サービスの予算業務及び会計業務 6.5 容量 能力管理 6.6 情報セキュリティ管理 7. 関係プロセス 7.1 事業関係管理 7.2 供給者管理 8. 解決プロセス 8.1 インシデント及びサービス要求管理 8.2 問題管理 9. 統合的制御プロセス 9.1 構成管理 9.2 変更管理 9.3 リリース及び展開管理注 :2011 年版の日本語は正式なものではありません 2005 年版 2011 年版 4
用語定義の追加 変更 <2005 年版 :15 語 > 改善拡充 <2011 年版 :37 語 > 可用性 ベースライン (*1) 変更記録 (*1) 構成品目 CI 構成管理データベース CMDB 文書 インシデント 問題 記録 リリース 変更要求 サービスデスク (*1) サービスレベル合意書 SLA サービスマネジメント サービス提供者 < 追加 > 構成ベースライン 継続的改善 (*2) 是正処置 (*2) 顧客 (*2) 有効性 (*2) 情報セキュリティ (*3) 情報セキュリティインシデント (*3) 利害関係者 (*2) 内部グループ 既知の誤り 不適合 (*2) 組織 (*2) なお 同じ用語でもほとんどは文言の変更あり 予防処置 (*2) 手順 (*2) プロセス (*2) リスク サービス サービスコンポーネント サービス継続性 サービスマネジメント システム (*2) サービス要求 サービスの要求事項 供給者 トップマネジメント (*2) 移行 (*1)2011 年版では削除 (*2)ISO 9000:2005 の定義を適用 応用 (*3)ISO/IEC 27000:2009 の定義を適用 応用 5
フレームワーク図の改訂 :2005 年版 容量 能力管理 サービス提供プロセス サービスレベル管理 情報セキュリティ管理 サービス継続及び可用性管理 サービスの報告 サービスの予算業務及び会計業務 リリースプロセス 統合的制御プロセス 構成管理変更管理 解決プロセス 関係プロセス リリース管理 インシデント管理 問題管理 事業関係管理 サプライヤ管理 出典 :ISO/IEC 20000-1:2005 Figure 1-Service management processes 6
フレームワーク図の改訂 :2011 年版 顧客 ( および他の利害関係者 ) サービスマネジメント システム (SMS) 経営者の責任第三者が運用するプロセスのガバナンス SMSの確立及び改善ドキュメンテーション マネジメント資源の運用管理 顧客 ( および他の利害関係者 ) サービス要件 新規サービス又はサービス変更の設計 移行 サービス提供プロセス サービス 容量 能力管理 サービス継続及び可用性管理 サービスレベル管理 サービスの報告 情報セキュリティ管理 サービスの予算業務及び会計業務 解決プロセス インシデント管理及びサービス要求管理問題管理 統合的制御プロセス 構成管理変更管理リリース及び展開管理 関係プロセス 事業関係管理サプライヤ管理 出典 :ISO/IEC 20000-1:2011 Figure 2-Service management system 7
他の国際標準との整合 ISO 9001 との整合 - 用語定義 - 文書化およびリソースに関する要件 ( 箇条 4.3 4.4) -PDCA の Check プロセスで 内部監査と経営者によるレビューを分離して記述 ( 箇条 4.5.4.2 4.5.4.3) ISO/IEC 27001 との整合 - 用語定義 - 情報セキュリティ管理プロセスを 基本方針 管理策 セキュリティ インシデント及び変更に分割 ( 箇条 6.6.1~6.6.3) ( 但し CIA の A は Availability ではなく Accessibility に ) 8
ベストプラクティス ITIL V3 との整合 < 例 > 新規サービス又はサービス変更の設計及び移行 ( 箇条 5.4) 受け入れ基準 テスト 検証などの記述を追加し サービストランジション プロセス部分を拡充 インシデント及びサービス要求管理 ( 箇条 8.1) ITILで言う 要求実現 (request fulfillment) を サービス要求管理 (service request management) として追加 ( ただしインシデント管理とは明確には分離せず ) リリース及び展開管理 ( 箇条 9.3) 従来のリリース管理を リリース及び展開管理 としてプロセス名や deploymentの用法を合わせる 9
主な新規要求事項 : 第三者のガバナンス 第三者によって運用されるプロセスのガバナンスを明確化 サービス提供者は 要求事項を箇条 5~9に規定するすべてのプロセス又はプロセスの部分で 第三者が運用するものを特定しなければならない ( 中略 ) サービス提供者は第三者が運用するプロセスのガバナンスについて次により実証しなければならない ( 箇条 4.2) 供給者管理プロセスの要求事項を追加 サービス提供者及び供給者は 契約文書について合意しなければならない 契約には次を含めるか 引用しなければならない ( 箇条 7.2) として a)-l) を記述 10
主な新規要求事項 :SMS の適用範囲の確立 SMS の適用範囲の確立を新規に追加 ( 箇条 4.5.1) サービスマネジメント計画においてSMSの適用範囲を確立し文書化 サービスを提供する組織単位の名称 および提供されるサービスの定義 サービス プロバイダがサービスを提供する際の拠点となる地理的所在地 顧客およびその所在地 サービスの提供に使用される技術 シナリオ別に適用範囲の定義についてパート 3(*) でアドバイス (*) ISO/IEC 20000-3:Guidance on Scope definition and applicability of ISO/IEC 20000-1(TR) を参考 (2009 年 10 月制定済 ) 11
主な新規要求事項 : 新規サービス又はサービス変更の設計移行 旧版の箇条 5 の要求事項を 計画立案 ~ 移行 で展開 対象 : 全ての新規サービス及びサービスまたは顧客に対して潜在的に重大なインパクトがあるものの変更 ( サービスの終了または別の当事者への移行も含む ) 変更管理プロセスの一部として変更管理方針で確立 - サービスあるいは顧客に重大なインパクトを及ぼす可能性のある変更を特定する基準 サービス要件の特定とそれを満たす計画の立案と関係者との合意 新規サービス又はサービス変更の計画に含める事項 サービス構成要素を提供する第三者の能力評価 新規サービス又はサービス変更の設計に含める事項と文書化 文書化された設計にもとづく開発 受け入れ基準に照らし合わせてテスト 検証 承認 リリース 結果の報告 12
主な新規要求事項 : サービスカタログ サービスカタログを明に要求事項に追加 サービスカタログについて顧客と合意しなければならない サービスカタログには サービスとサービス構成要素との依存関係を含めなければならない ( 箇条 6.1 サービスレベル管理 ) サービスカタログは サービス及びSLAの変更後 それらが整合していることを確実にするために 維持しなければならない ( 同上 ) 13
全体として ボリュームは増加 (2005 年版 16ページ 2011 年版 26ページ ) したものの 明確性 一貫性などは改善された 定義の追加等 4.5ページ 要求事項の増加 3.5ページ その他 2ページ 他のマネジメントシステム (9001 27001など ) やITIL との整合性が高まったことにより これらの経験も活かした導入がより容易になるものと期待される 14
参考 :ISO/IEC 20000 関連の標準化動向 要求事項改訂 20000 Part 1:2011 Service management system requirements 要求事項の補足 適用のためのガイド 改訂 20000 Part 2:2012 Guidance for application of 20000-1 適用範囲についてのガイド 改訂中 20000 Part 3(TR) Guidance on scope definition and applicability of 20000-1 プロセス評価手法改訂中 20000 Part 4(TR) Process reference Model 20000 と 27001 の統合適用ガイド 新規 27013 Guidelines for the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1 プロセス評価モデル参照 15504 part 8 SC27/WG1 Process Assessment Model 全体概説 用語解説 新規 20000 Part 10 Concepts and terminology フレームワーク比較新規 20000 Part 11 Guidance on the relationship between ISO/IEC 20000-1 and related frameworks 段階的適合についてのガイド改訂中 20000 Part 5(TR) Exemplar implementation plan for 20000-1 クラウドへの適用ガイド新規 20000 Part 6 Guidance onthe application of ISO/IEC 20000-1 to the cloud SC7/WG25 15
ISO/IEC 20000-3 TR (Technical Report) として 2009 年 10 月 14 日に発行 サービスプロバイダが 20000 のパート 1 を適用する場合のスコープ定義のガイダンスを提供 複雑なサプライチェーンのなかで いくつかの例示をすることでサービスプロバイダが SMS の範囲を定義するためのガイドとなっている 6 章構成で以下の annex がついており annex.b では大きく 8 つのシナリオを例示している ( 全 22 ページ ) Annex A: Main points on applicability of ISO/IEC 20000-1, scoping of the SMS and conformity to ISO/IEC 20000-1 Annex B: Examples of scope statements 16
ISO/IEC 20000-5 TR (Technical Report) として 2010 年 4 月 26 日に発行 サービス プロバイダが IT サービス改善を計画 実行する際の適切な順序に関するアドバイスを提供 サービスマネジメントシステムの導入時に 一般的な 3 段階アプローチの利用を提案している その各フェーズで ISO/IEC 20000-1 の導入を成功させるための重要なアクティビティーを一覧や プロジェクトの導入時に役に立つ 目標の設定 ポリシーの策定 ドキュメント 記録の管理とプロセスドキュメントのサンプル といった 補足情報 アドバイスと指針を提供する ( 全 31 ページ ) 17
18