【情報セキュリティ】情報関連規格(2):ITサービスマネジメントシステム ISO 20000とは何か?

ビジネスの変化へのすみやかな対応、さらなるコスト管理、効率化へ。ビジネスに応じてITサービスを適正に管理し競争力を強化するための、ISO 20000。

LRQA主任審査員 三島 俊雄


LRQA主任審査員
三島 俊雄

ビジネスには欠かせないものとなり、高度化し、成熟化している、ITサービス。こうした中で、2005年12月に規格化された、ITサービスマネジメントシステムISO 20000は、ITサービスに求められるビジネスの効果的支援、さらなる効率化、コスト管理、リスク管理の強化もサポートする、マネジメントシステムです。

ITの成熟化で、さらなる効率化やリスク管理が求められる、ITサービス。

IT(情報通信テクノロジー)が停止してしまうとビジネスまでも止まってしまう、ITなくしては新しい業務もオフィスも工場も立ち上げられない‥‥。あらゆる業界の情報システム部門、ITサービス企業は、ビジネスの中で、より大きな役割を担うようになっています。

しかし、ハード、ソフトの高度化やフルレンジ機能化など、ITの成熟化が進む中で、ITサービスにおいて、もはや、“障害を出さない”というのは、当然のこと。急激なビジネスの変化への追従、サービスレベル向上とコスト削減の両立、さらなる効率化、リスク管理の強化が求められるようになっているのです。

“見える化”によって、サービス、コスト管理の最適化が実現できる、ISO 20000。

こうした中で、2005年12月に異例ともいうべき速さで、BS 15000をベースとして規格化された、ITサービスマネジメントシステム ISO 20000。これは、いってみれば、品質マネジメントシステムISO 9001のITサービス版。ISO 9001、ISO 27001などが、全社的に導入するものなのに対して、これはITサービス会社、情報システム部門に特化した規格となっています。

ISO 20000では、「ITサービスを顧客ニーズに合わせて提供していくために最低限やらなければいけないこと」が、コンパクトにまとめられています。ベースになっているのは、ITIL(ITインフラストラクチャライブラリ)。ITILには、ITサービスのBest Practice(ベストな実施方法事例)が記述されています。ISO 20000-1は、その中の必要最低限のものを選択し規格化したものといえるでしょう(下図-1、2参照)。サービスレベル管理(ビジネスの要求するサービスレベルの管理)、ビジネス関係管理、サプライヤ管理(ビジネスの要求を満たすためのサプライヤの管理)、キャパシティ管理(将来予測も含むシステム・ネットワーク、運用人員等のキャパシティ管理)等が含まれています。そのため、“ビジネス(事業)からのサービスへの要求事項は何か、それを確実に提供できているか”といった部分まで踏み込んで管理していくことができるのです。

また、ISO 9001では触れられていなかった、リスク管理面や予算管理の要求が規格に入っているのも特長です。昨今、急速に普及してきた ISO 27001の情報セキュリティの内容も要求には含まれています。さらに、インシデント管理、問題管理などによって、サービス障害やリクエストへの緊急対応、根本原因の解決へのプロセスを強化。また、予算管理の仕組みづくりによって、コストを可視化して、サービスとコストのバランスを把握していくこともできるでしょう。

ITサービスでも、ISO 9001を使って品質管理の仕組みを確立していくことはできます。しかし、ITサービスに特化したISO 20000を導入することで、より高度な管理が行え、ITサービスのどこにリスクがあるか、どんな無駄があるかを“見える化”できます。そして、さらに、ITサービスによるビジネスのプロアクティブな支援を強化し、リスク管理、コスト管理をしていくことができるのです。

“まずは構築(ADOPT)&そして最適化(ADAPT)”が、導入、運用のカギ。

こうしたISO 20000を導入、運用していくためのポイントは、“まずはシステム構築(ADOPT)&そして最適化(ADAPT)”。準備ばかりに何年もかけて完璧を目指すのではなく、まずは、マネジメントシステムを構築して、PDCAサイクルによって改善していくとよいでしょう。

この規格では、サービスマネジメントの計画・実施・チェック・改善(Plan・Do・Check・Act)がかなり親切に記述されています。また新規サービスの計画・実施も記述されています(図-1参照)。

ISO 20000ベースのマネジメントシステムを構築し一つひとつ問題点をチェック、改善を繰り返していけば、目的とする“管理レベル”に達することができるでしょう(図-3参照)。

また、プロセス(Process)の改革、人(People)の意識改革、ツール(Tool)の改革も重要なポイントです。規格では、インシデント管理、問題管理、変更管理などのプロセスの管理が要求されています。しかし、システム運用チーム、ネットワーク管理チームといった技術的な組織体系はあっても、プロセス管理のチームがない組織も多いのではないでしょうか。そこで、技術体系チームを縦軸に、プロセス管理のチームを横軸とする、マトリックス管理の手法を導入することもひとつの方法です(図-4参照)。

また、人の意識改革として、スタッフに明確な責任と権限を与え、スタッフ自身にやるべきこと、目標を自覚させて、“自働化”させていくことも必要でしょう。さらに、ツール改革として、多種多様なツールと自社制作ツールを効果的に組み合わせれば、効率化が図れるでしょう。

ITサービスマネジメントシステムのプロセス

まずは構築そして最適化/マトリックス管理

ビジネスに役立つ、LRQAの審査登録サービス。

こうしたISO 20000の導入には、審査登録機関選びも大切なポイントとなります。LRQAでは、貴社のビジネスパートナーというスタンスで審査を行っています。これは、審査サービスを通じて、貴社のITサービスにおける弱点を的確に指摘することで、貴社のビジネスの強化にお役立ていただくことが大切だと考えているからです。また、LRQAはIT関連企業の実務経験者を審査員として揃えているため、現場の業務に即した審査をご提供することができます。

ITサービスをビジネスのニーズにマッチさせそのレベル向上とさらなる効率化の両立を実現して、貴社のITサービスの競争力を高めていく、または貴社情報システム部のサービス強化のために、ぜひ、ISO 20000の導入をご検討されてはいかがでしょうか。

内部統制にも役立つISO 20000

米国では、2000年代にエンロン事件をはじめとして、財務報告に関する不正事件が続発しました。そこで、こうした不祥事やコンプライアンスの欠如を防止して、株式市場の信頼回復、正常化を目指すために制定されたのが、会計監査制度の充実と企業の内部統制強化を求める米国版SOX法です。

日本国内においても、昨今、財務報告の不祥事が続発。米国版SOX法を参考として、金融商品取引法(日本版SOX法)が制定され、2008年4月より適用されることとなりました。日本版SOX法では、特に「ITによる統制」が求められていますが、ISO 20000を構築、運用しておけば、将来的にこのIT 統制の仕組みづくりへ対応していることの証となるでしょう。

LRQAの審査メリット

  1. 審査を通じて、ITサービスマネジメントの弱点を的確に指摘。ビジネスの強化にお役立ていただけます。
  2. IT関連の実務経験者を審査員として揃えています。
  3. ISO 9001、BS 15000の時代からグローバルに培ってきた、審査のノウハウ、信頼があります。
  4. ISO 20000の実践的な研修コースを用意しております。


(掲載日:2007年4月1日)

関連コラム一覧 <開く>

コラム

全てのコラムを表示