日本マネジメントシステム認証機関協議会(JACB) 情報セキュリティ技術委員会 委員 (一財)日本科学技術連盟 ISO審査登録センター 情報セキュリティ審査室長 村上治 世の中は、モノからサービスの時代に流れが変 わっており、IT業界においてもクラウドサービ スへと、ビジネス形態が変わりつつある このようなサービス化の時代にうってつけなの が、ISO20000によるITSMSであるはずだ しかし、ITSMS認証登録は、我が国において未 だ200件程度で頭打ちである その要因はいくつかあると思われるが、本講演 では、ITSMSの規格及び認証制度における問題 点をISO認証審査の現場からの視点で考えてい く ITサービスは、1社で完結することは難しく、 サービス提供に当たっては、ITサービス事業者 間でサービスプロセスを分業し、サプライ チェーンが形成されていることが多い サプライチェーンにおいてITSMSの果たすべき 役割は、各事業者間で確実に担当プロセスを実 行し、最終製品に該当するサービス(以下、 「最終サービス」とする)のサービスレベル、 サービス品質を確保すること 各事業者が同じベクトルで、同じゴールを見て、 各プロセスを分担することが重要 最近発生した、マンションの品質問題のように 皆が自分の担当部分だけに目を向け、誰も全体を見 ていない 問題発生時は、問題の工程を担当した業者・担当者 だけが悪いという発想に陥りがち そうならないためには、各事業者が次の行動原 理を強く認識し行動する必要がある 個別最適に陥らず、全体最適をめざすこと 最終サービスを意識した行動をとること 現実に導入されているISO20000-1認証のITSMS は、以下の点から分業サプライチェーン型とい うより、自己完結サービス型のプロバイダーが 前提との印象を受ける フル装備のITILプロセスの義務化 その結果、自己完結型システムとなる 現実的に、日本にそのようなプロバイダーは、どれ ぐらいあるのか? 大手ですら、全てのプロセスを自社だけでやってい る例は少ないのでは? ISO20000-1では、サービスレベル管理~リリー ス及び展開管理までのITILプロセスのフルセッ トの装備を義務化 →自社受託プロセス以外は、矮小化・形骸化が多くみ られる →本当にフルセットは必要なのか? →理屈では分かるが、現実は全プロセスがまともに機 能している例は少ないのでは? →ISO9001においては、製品実現プロセス(製品提供 に関わるプロセス)は、適用除外が認められており、 自社が担当していないプロセスは行う必要がない インシデント管理は、顧客のインシデントとは 異なる、自社のインシデントを管理する →インシデントが顧客インシデントと自社インシデントの 2種類あり、実務上違和感があり、混乱も招きやすい →自社の中だけ上手くいっていれば良いという個別最適の 考えに陥りやすいのでは? 提言1:規格で要求されているITILプロセスに 適用除外を認める 提言2:インシデント管理での管理対象インシ デントは、サプライチェーン全体で提供する最 終サービスのインシデントとし、2つのインシ デントという煩雑さを避ける →顧客インシデントは、顧客と共通のインシデント 管理ツールを利用し、管理するような運用方法 →自社内インシデントは不適合と捉え、自社内管理 ツール(課題管理表など)を利用し、不適合修正処 置、是正処置を行うような運用方法
© Copyright 2024 ExpyDoc
