中小企業にとって日常業務をはじめITへの依存度は高くなっており、その安定稼働は欠かすことができない要因となっています。ITサービス運用の安定性を確保し、障害時の早い復旧により、被害を最小限に食い止めるITサービスのマネジメントへの関心が高まっています。そのような流れを受け、2005年12月15日にITサービスマネジメントシステムの国際標準規格としてISO20000-1(認証規格)とISO20000-2(実施ガイドライン)が発効されました。
●運用のお手本は「ITIL」
ITサービスに関する代表的な品質基準は、1980年代後半から1990年代後半にかけて英国政府が「システム運用を適切に手助けする方法論」としてまとめた書籍群であるITIL(IT Infrastructure Library)というライブラリ(図-1参照)があります。これが2000年に英国規格協会からBS15000-1(認証規格)BS15000-2(実施ガイドライン)として規格化されて、それぞれが2005年にISO20000-1とISO20000-2へとグローバルスタンダードとして移行されました。
●「ITIL」とISO20000規格
ITILはITサービス運用時における膨大な運用規範集として存在しており、ISO20000はそこから重要なITサービスプロセスを抽出して認証基準として再編成しています。さらに文書管理や内部監査、マネジメントレビューなどのISOのマネジメント規格を追加した内容となっています。ITILはISO20000-2とともに、ISO20000システム構築時の参考書として利用する位置づけです。
●ISO20000の要求事項(図-1参照)
1.サービスマネジメントの計画および実施
サービスマネジメントに関するP(計画)D(実行)C(監査)A(対処)サイクルを規定しています。適用範囲を決め、ITサービスの運用目標を設定し、サービスプロセスを構築します。その際、プロセス間インターフェイスやサービスに潜むリスクの分析方法、プロセスの監視と測定方法、継続的改善としてのサービス改善計画の策定手順などを明確化して、文書化し、記録が残る手順にまとめます。
2.サービス提供プロセス
ITサービスを提供するプロセスに関する要求事項が規定されています。・サービスレベルマネジメント…ITサービスを提供する者とサービスを受容する者との間で交わされるサービスレベルの協定であるSLA(Service Level Agreement)を管理するプロセスが必要です。・サービス報告…サービスの測定結果を含む正確なレポートの作成が必要です。・可用性およびサービス継続性管理…使いたい時に使える状態を維持するためサービスを監視・記録し、障害時の対応を手順化した事業継続管理が必要です。・予算管理および会計管理…ITサービスのコスト管理を行います。・能力管理…性能要求事項を満たすべく能力の監視・調整をする必要があります。・情報セキュリティマネジメント…情報資産をリスクから保護する手順を作成する必要があります。ISO27000と連動を取ることも可能です。
3.関係プロセス
供給者や顧客などの第三者との役割や責任関係を管理して、良好な関係を維持する必要があります。
4.解決プロセス
サービスディスクなどによる事故管理から未解決な障害などの問題管理を手順化する必要があります。
5.管理プロセス
インフラ設備の状況等を構成管理データベース(CMDB)に維持し、サービス変更管理時の手順を定める必要があります。
6.リリースプロセス
新規サービスリリース時の手順を定め、スムーズなサービスリリースを保障しなければなりません。
●ITサービス運用のチェックリスト
欧米ではISOの規格は認証取得を行うことよりも、自己システムを確立する際に利用するのが一般的です。中小企業でも、コンピュータシステムが停止して業務に支障がでないように、ますます依存度の高まるITサービスの運用方法を確立する際の体系だった参考規格として利用してみてはいかがでしょう。
