HOME » ISO20000(ITSMS)とは

ISO20000(ITSMS)とは

ビジネス遂行にITが不可欠な時代に

現代の事業活動は、ITの利用なくしては成立しません。企業内においてITが利活用されているだけではなく、企業も家庭も高速回線によってインターネットに接続され、ネットを通じてサービスが提供されることが当たり前になった今日では、事業活動で用いているITの障害が、事業活動に与える影響もますます大きくなっています。ITへの経営資源の投入もより大きくなり、適切なITの運営管理が事業上の重要なテーマになっています。

このような時代背景もあり、ITの運営管理はそれを本業としない組織にとっては難しい面があります。組織内ですべてのIT運用をまかなうスタイルから、ITシステムの運用サポートを専門に手がけるITサービスプロバイダーへのアウトソーシング化が進展。SaaS(サース Software as a Service)に代表されるような、ITシステムの必要な機能を必要な分だけ「サービス」として利用できるようにしたクラウドコンピューティングといった新しい形態のITサービスも普及し始めています。

ITサービスとその管理の課題

事業活動においてITの重要性が高まるにつれ、IT運用の問題点がクローズアップされることになりました。IT運用を提供する「ITサービス提供者」(企業内の情報システム部門や、外部供給者としてのITサービスプロバイダー)の活動が、イベントドリブンな問題発生後の対応に振り回され、事後対応のコストなど経営資源が例外的なイベントに費やされがちな傾向があります。問題発生時の機会損失を防ぐためにも、PDCAサイクルを軸とした能動的・予防的なリスクマネジメントの取り組みは不可欠。事業上のITへの要求事項とそれに投じるコストを合理的に管理するためにも、ITサービスを「経営のしくみ」(マネジメントシステム)に基づいて運営してゆく必要があります。

ITILの登場、ITSMS規格の誕生と国際規格(ISO)化

ITサービスマネジメントのベストプラクティス-ITIL

ITIL(Information Technology Infrastructure Library)とは、ITサービスマネジメントの手引き(ベストプラクティス)をまとめたガイドラインです。
初版のITILは1989年に公表されました。これは、ITサービス提供者への不満を解決するために、英国政府が命じてITを有効活用している組織を調査させ、ITサービスの方法論を整理したものです。
ITILはその後、2000年から2001年にかけて7つの書籍群からなるITIL V2に改版され、2007年にリリースされたITIL V3では、ライフサイクル・アプローチの概念に基づき内容が刷新されています。

ITサービス提供組織のマネジメント規格-ISO20000(ITSMS)

ITサービス提供組織はどのように運用されるべきかを規定したマネジメントシステム規格(ITサービスマネジメントシステム ITSMS)として、ITIL V2に準拠したBS15000が英国規格協会から2000年に発行されました。BS15000は2002年と2003年に改定され、これをもとにした国際規格ISO/IEC 20000が2005年に発行。ISO/IEC 20000シリーズのうち、審査の基準となる「仕様(要求事項)」を規定したISO/IEC 20000-1(パート1)は、2011年に改定され、最新版はISO/IEC 20000-1:2011となっています。

ISO20000シリーズ

審査の基準となる「要求事項」を規定したものがISO/IEC20000-1:2011(パート1)です。 このほか、パート1に沿ったITSMSを組織に導入する際の手引きとなるISO/IEC 20000-2:2012(パート2)、ITSMSの適用範囲を検討する上でのガイドラインとなるISO/IEC20000-3:2012(パート3)など、ISO20000シリーズとして、2012年現在パート1からパート5までの規格書が発行されています。

ISO20000-1:2011の概要

ISO/IEC20000-1:2011の構成は、①ITサービス提供組織のマネジメントプロセス ②実際のITサービスを提供するにあたり、そのITサービスを管理するためのITサービスマネジメントのプロセス に大きく分かれます。

1. ITサービス提供組織のマネジメントプロセス

ISO20000-1の4項「サービスマネジメントシステムの一般要求事項」にまとめられており、他のISOマネジメントシステム規格とも共通する事柄を扱っています。
以下、ITSMS(ITサービスマネジメントシステム)とSMS(サービスマネジメントシステム)の表記が混在していますが、両者同じものをさしており、規格書からの引用部分ではSMSを、独自の説明部分ではITSMSを用いています。

4.1 経営者の責任 トップマネジメントの責任とコミットメントの要求です。
4.2 他の関係者が運用するプロセスの
ガバナンス
「他の関係者」とは、供給者、顧客もしくは内部グループ(ITSMSの適用範囲外であるが、サービス提供にかかわる同じ組織の他の部門)をさします。5項から9項までのITサービス・マネジメントのプロセスにおいて、「他の関係者」が関わるプロセスを明確にし、管理することを要求しています
4.3 文書の運用管理 他のマネジメントシステムとも共通する、文書と記録の管理の要求です。ISO20000-1が文書化を要求している事柄についても規定しています。
4.4 資源の運用管理 経営資源(人・技術・情報・財務)の運用管理の要求です。

4.5 SMS の確立及び改善

4.5.1 適用範囲の定義

4.5.2 SMS の計画(Plan)

4.5.3 SMS の導入及び運用(Do)

4.5.4 SMS の監視及びレビュー(Check)

4.5.5 SMS の維持及び改善(Act)

適用範囲の定義と、PDCAサイクルに沿った運用を要求しています。
内部監査とマネジメントレビューは「4.5.4 SMS の監視及びレビュー」で、是正処置と予防処置は「4.5.5 SMS の維持及び改善」で扱われています。

2. ITサービスマネジメントのプロセス

ITサービス提供組織が提供するITサービスの運用管理についての要求事項です。ISO20000-1:2011では次の項立てとなっています。

5 新規サービス又はサービス変更の
設計及び移行
顧客に影響を与える新規サービス提供もしくはサービス変更時の管理プロセスの要求をまとめています。ISO9001の 「設計・開発(7.3)」に相当すると考えてもいいでしょう。

6 サービス提供プロセス

6.1 サービスレベル管理

6.2 サービスの報告

6.3 サービス継続及び可用性管理

6.4 サービスの予算業務及び会計業務

6.5 容量・能力管理

6.6 情報セキュリティ管理

「6.4 サービスの予算業務及び会計業務」はITILv3 の「サービス戦略」、それ以外の項目は、ITILv3 の「サービス設計」に関連しています。
7 関係プロセス 顧客や供給者との関係管理の要求事項です。

8 解決プロセス

8.1 インシデント及びサービス要求管理

8.2 問題管理

「8 解決プロセス」は、障害発生や顧客からの要望に対して、復旧や解決を提供する、顧客対応を中心とした処置が「8.1 インシデント及びサービス要求管理」、インシデントの根本原因の解決を図るのが「8.2 問題管理」です。ITILv3 の「サービスオペレーション」に関連しています。

9 統合的制御プロセス

9.1 構成管理

9.2 変更管理

9.3 リリース及び展開管理

「9 統合的制御プロセス」はITサービスやインフラストラクチャの構成要素を明確にし管理することを要求した「9.1 構成管理」、ITサービスや構成要素すべての変更を記録・分類・評価・承認のプロセスを通じて管理することを要求した「9.2 変更管理」、ITサービスの新規導入や変更作業の管理を要求した「9.3 リリース及び展開管理」からなります。ITILv3 の「サービストランジション」に関連しています。
ISO27001(ISMS)認証取得についてのご相談はこちらへ