ISO20000はITサービスマネジメントの国際規格です
ISO20000は、ITサービスの品質を適正に提供することを目的としたITSMS(ITサービスマネジメントシステム)の国際規格のことで、ITサービスを効果的かつ効率的に管理・実施するためのフレームワークと評価仕様を示しています。
IT運用に関するベストプラクティスとして英国で生まれたITILが基になっており、情報システムを用いたサービスの運用・管理方法を13のプロセスで定義しています。SOX法における「ITへの対応」と関連しており、内部統制の強化にもつながります。
ISO20000とは?
ITILに基づいて開発されたITSMSの国際規格のことで、組織が効果的かつ効率的に管理されたITサービスを実施するためのフレームワークと評価仕様を示しています。
ITILとの違い
ノウハウ集であるITILには「どこまでやればよいか?」についての記載はありません。一方、仕様書であるISO20000には「何を行うのか」についての記載はありますが、それを「どのように行うのか?」については規定されていません。
認証取得のメリット
ITサービスマネジメントのフレームワークを用いることによる「内部管理機能の強化」と、第三者認証による「安心の提供」「他社に対する優位性」などが挙げられます。
ISO20000の構成
仕様書で、いわゆる要求事項(認証基準)が規定されているPart1と実施基準であり、いわゆるガイドラインとなるPart2の2部構成となっています。
各プロセスの名称とその内容
顧客との間で合意したサービスレベルを管理する「サービスレベル管理」を中心として、13のプロセスが存在しています。
適用範囲
適用範囲は「ITサービスを提供している組織」、「サービスプロバイダへ要求を行う組織」、「サービス提供能力を顧客に対して示すことが求められる組織」といったように非常に幅広く定義されています。
マネジメントシステムの要求事項
「経営陣の責任」、「文書化に関する要求事項」、「力量、認識及び教育、訓練」の3つの節が示されています。その多くはISO27001などの要求事項と多くの部分で整合しています。
サービスマネジメントの計画及び導入
ITサービスマネジメントシステムのPDCAサイクル(計画・実行・評価・改善のプロセスを順に実施し、最後の改善を次の計画に結びつけ、品質の維持・向上を行う手法)に関する節で構成されています。
SLA (サービスレベルアグリーメント)
ITサービスの提供者と顧客の間で締結されるサービス内容に関する取り決めのことをいいます。ガイドライン(ISO20000-2)を参照すると、SLAに盛り込むべき内容は以下の20項目です。
SLM (サービスレベルマネジメント)
SLAの遵守状況の監視・評価を通じて、SLAで設定されたサービスの水準を維持・改善するために行われる活動のことです。
CMDB (構成管理データベース)
ITサービスを提供するために必要なすべての構成品目を含んでいるデータベースのことで、構成品目に関するインシデント、問題、変更記録などもリンクされてここに格納されます。
ISO20000の審査の種類
2段階に分かれた認証審査と、更新までに定期的に実施される継続審査、認証を更新知るために必要な更新審査に分類されます。
第一段階審査
認証審査の最初のステップとなり、ITサービスマネジメント及びシステム文書の構築状態を確認します。
第ニ段階審査
構築したシステムが実際に運用され、規格への適合と組織のポリシー、目的にかなった仕組みであることを確認するために行われます。
