ISO20000はITサービスマネジメントの国際規格
ISO20000とは、イギリス生まれのITILに基づいて開発されたITSMSの国際規格のことで、組織が効果的かつ効率的に管理されたITサービスを実施するためのフレームワークと評価仕様を示しています。
ベストプラクティスであるITILは、情報システムを運用するための基準となるべき手順が体系的に整理されており、現在では世界各国で採用されていますが、「どこまでやればいいのか?」という目標が明確ではなかったため、企業によっては適用できない、適用の仕方がわからないとの不満の声がありました。
そこで、BSI(英国規格協会)は、あらゆる企業に対して適用可能となるITサービスマネジメント規格として、BS15000を整備しました。これをきっかけとして国際規格化に向けての機運が高まったことから、2005年12月にBS15000をベースとしたISO20000が制定されたのです。
ISO20000を構築で重要となるのは、SLA(サービスレベルアグリーメント:Service Level Agreement)とSLM(サービスレベルマネジメント:Service Level Management)です。SLAは顧客とサービス提供者の間でITサービスの取り決めについて、その目標と責任を明確にし、合意した文書のことをいいます。そして、日常の活動がSLAに基づいて適正に実行されているかどうかを監視・評価を行い、その維持・改善を行う管理がSLMです。SLMは「策定」「実行」「評価」「改善」というPDCAのマネジメントサイクルによって成り立っています。
ISO20000では情報システムを用いたサービスの運用・管理方法を以下の13のプロセスで定義しています。これらはSOX法における「ITへの対応」と関連しており、内部統制の強化にもつながります。
サービスレベル管理
顧客との間で合意したサービスレベルを維持・管理します。サービス提供の局面で最優先とされる事項であり、ISO20000におけるほかのプロセスはこのサービスレベル管理を支えるために存在しているといってもよいでしょう。
サービスの報告
文書識別、目的、報告先、データ出所、特定されているニーズと顧客の要求事項、パフォーマンス、不適合事項、問題点、負荷特性、重大イベント後のパフォーマンス、傾向情報、満足度分析などを含むサービス報告を作成します。
サービス継続及び可用性の管理
可用性管理はITシステム運用の平常時に、サービス継続管理は異常時に、サービスが利用可能な状態にすることに関するプロセスです。可用性及びサービス継続性の要求事項は、事業計画、SLA(サービスレベル合意文書)、リスクアセスメントをもとに特定します。
サービスの予算業務及び会計業務
情報誌さん、共有資源、間接工数、外部の供給サービス、人、保険、ライセンスを含む全コンポーネントのための予算及び会計、サービスに対する間接費の割り当てと直接費の配分、効果的な財務管理と承認に関する方針及びプロセスを明確にします。
容量・能力管理
現在及び予測される容量・能力に関する要求、サービスのアップグレードに対する期間、閾値、費用を認識し、計画を作成、維持します。
情報セキュリティ管理
適切な権限を持つ管理者が情報セキュリティの方針を承認し、周知させます。適切なセキュリティ管理策、情報セキュリティ方針の要求事項の実現、サービス又はシステムへのアクセスに関するリスクの管理として機能します。
顧客関係管理
サービス提供者と顧客との間の関係管理であり、サービスの利害関係者及び顧客を認識し、文書化します。また、苦情を処理するプロセスを用意し、正式なサービス苦情の定義を顧客と合意します。
供給者管理
サービス提供者と供給者との間の関係管理であり、文書化した供給者管理プロセスをもち、書く供給者に契約マネージャを置きます。供給者によって提供される要求事項、範囲、サービスレベル、連絡プロセスはSLAもしくは他の文書に記載し、全当事者で合意をします。
インシデント管理
ここでいうインシデントとは、サービスの中断もしくは品質低下の原因、あるいは原因となり得るすべての事象・出来事を指しています。インシデントは、ユーザとの窓口であるサービスデスクで受け付けます。インシデント管理では、すべてのインシデントを記録し、優先度付け、ビジネスへの影響、分類、更新、段階的取り扱い、解決及び正式な終了を定義します。
問題管理
すべての問題を記録し、ビジネスへの影響を特定し、それを最小化・回避するための手段を決め、全問題の記録、分類、更新、段階的取り扱い、解決及び正式な終了を定義します。可能な限りプロアクティブ(事前予防的)な措置をとることが要求されています。
構成管理
サービス及びインフラの識別可能なコンポーネントのバージョンを特定、コントロール、追跡するメカニズムを提供します。コントロールの程度は、事実上の必要性、失敗リスク、サービスの重要性を満たす十分なものとなるようしておきます。すべての構成をいつでも識別できるようにし、構成管理データベース(CMDB)に記録し、更新アクセスは厳密にコントロールします。
変更管理
すべての変更要求を記録し、分類し、リスク、影響、事実上の利益の点で評価します。変更記録は敵的に分析し、変更の増加レベル、頻出する種類、新たな傾向、その他の関係情報の指摘を行います。
リリース管理
リリースの頻度、方針を文書化し、合意し、計画を立案します。リリース及び配布は、インストール、取扱い、パッケージ、配布の間にハードウェア、ソフトウェアの完全性が維持されるように、計画、導入しなければなりません。
認証取得のメリット
ISO20000の認証取得によるメリットは「内部的効果」と「外部的効果」に分けることができます。内部的効果として、まず、SLA(サービスレベル契約)で契約内容を明確にすることにより、契約内容不明瞭によるリスクが回避できます。また、定期的にサービスの提供体制を見直し、リスクを明確化することで、現状のサービスの品質を向上させるための施策を計画し、実施することができます。
さらに、ITサービスを提供するための資源を適正管理することで、中長期的なコストを削減し、業務の効率を向上させます。そのほか、内部統制(日本版SOX法)対応における「IT統制」についても、ISO20000を軸として効率的・効果的に取り組むことができます。
一方、外部的効果は国内におけるITサービスに関する標準化の動向と関係しています。近年、経済産業省による「情報システムに係る政府調達へのSLAガイドライン」、JEITA(電子情報技術産業協会)による「民間向けITシステムのSLAガイドライン」、総務省の「公共ITにおけるアウトソーシングのガイドライン」など、自治体や民間企業におけるITサービスの標準化の必要性に基づいて策定されたガイドラインが普及してきたため、顧客のITサービスベンダーに対する評価の目も厳しくなってきています。
そのような顧客に対して、国際的な第三者認証であるISO20000の認証取得をアピールできれば、目に見える形で「安心」を提供することを意味しますので、他社との差別化につながります。
これらの内部的効果と外部的効果を考慮すると、ITインフラを利用したITサービスの運用・管理・提供を行っているISP(インターネットサービスプロバイダ)、ASP(アプリケーションサービスプロバイダ)、データセンター、ヘルプデスク、コールセンター、情報システム管理サービス等が、ISO20000の認証取得によるメリットを享受できるといえるでしょう。
初回認証には、第一段階、第二段階審査の2つが必要となります
ISO20000の審査は、ほかのマネジメントシステム規格と同様に以下の種類がありますが、初回時に必要なのは、第一段階、第二段階審査となっています。原則として、いずれも審査対象となる組織のサイトにて実施されます。
予備審査
組織が構築したシステムが本審査にかなうか否か(組織にとってはリハーサルも含め)、判断するために実施されます。あくまでも任意であり、必ず行わなければならないものではありません。
第一段階審査
ITサービスマネジメントのフレームワークを構成する文書について審査を行います。ITサービスマネジメントシステムが適正に確立されているかについての体制面を確認することが目的で、管理責任者や推進事務局のメンバー、トップマネジメントへのインタビューが中心となります。この段階では、特定の詳細な手順についての実施状況などはチェックされません。
第ニ段階審査
ITサービスマネジメントシステムの実装状況と運用状況についてサンプリングし審査します。あわせて、第一段階で不適合があった場合には、そのフォローアップも行われます。第一段階が「体制面の審査」であったことに対し、第二段階は「運用面の審査」であるといえます。
継続審査
マネジメントシステムの維持管理体制が要求事項に適合しているかどうか、効果的な運用が実施されているかどうかを確認するために行われるもので、認証登録後、6ヶ月または1年ごとに実施されます。
更新審査
認証の更新の際に必要となるもので、認証登録後、3年に1回実施されます。本審査と同様に、認証範囲の全範囲を対象としてマネジメントシステムの規格適合性とその有効性を審査します。