ISO20000とは、2005年12月に発行された「ITサービスマネジメントシステム(ITSMS)」 の国際規格を指します。
規格自体はISO20000-1(仕様:Specification)とISO20000-2(実践規範:Code of practice)の二部構成になっており、ISO20000-1が認証対象となる規格です。(正式名称はISO/IEC20000-1:2005)ITSMSの実現によって、組織は自社のサービスの安定化を計り、顧客に安定したサービスを提供出来るようになります。
また、ITSMSの国際規格であるISO20000は、J-SOX法(金融商品取引法)の特徴である「ITへの対応」とも関連性が高いため、今後、民間企業を中心に普及していくと考えられています。
ISO20000の歴史
ISO20000の歴史は、まず、英国規格協会がITIL(Information Technology Infrastructure Library)をベースに、自国規格であるBS15000を制定したところから始まります。
BS15000は、企業のIT部門やITサービスベンダーが、ITサービスを顧客に提供するうえで、効率的、且つ効果的なシステム運用を実施する為のフレームワーク(枠組み)や運用状況に関する評価基準を規定しています。
このBS15000をきっかけに国際規格化する機運が高まり、BS15000をベースとしたISO20000が制定されました。
ISO20000の構成
ITILとは?
Information Technology Infrastructure Libraryの略称です。
1980年代に英国政府によって「ITを有効活用している先進企業への調査」が開始され、その活動の結果、効果的なIT活用方法について成功事例をまとめたガイドブックが作成されました。
このガイドブックこそがITILであり、1989年、英国商務省(OGC)によって、初版が発表されました。
ITILでは下の3つのコンセプトを示しています
1.ITサービスをビジネス及び、その顧客ニーズに対して継続的に適合させる
2.ITサービスの提供における品質を改善させる
3.ITサービスに係るコストを中長期的に低減させる
現在、ITILでは、下記の7冊の書籍を発行しており、中でも「サービスサポート」と「サービスデリバリ」は、それぞれ「青本」「赤本」と呼ばれ、ITIL導入にあたっての必読書として広く普及しています。
ITILの構成
SLAとSLM
ISO20000を構築していく上で欠かせないのがサービスレベルアグリメント(SLA)とサービスレベルマネジメント(SLM)です。
SLAとはService Level Agreementの略であり、ITサービスを提供する前に「サービス提供者」と「顧客」の間で締結される「同意されたサービス内容」に関する取り決めをいいます。
またSLMとはその締結された内容通りに運用されている事を管理する事をいいます。
SLAによって、提供者と顧客は品質レベルについて共通の認識が出来、「サービス内容の具体的水準」などを確認することで、適正なレベルでのサービスを実現する事ができます。
SLAに盛り込むべき内容
SLAに盛り込むべき内容は以下の項目があげられています。
1. 簡潔なサービスの説明
2. 有効期間及びSLA変更管理
3. 任されている詳細範囲
4. 報告を含む連絡の簡潔な説明
5. 緊急時に活動し、事故及び問題是正、復旧または次善策に参加する権限を与えられた人の連絡先
6. サービス提供時間
7. 示すべき通知、期間あたりの回数を含む、予定及び合意による中断
8. セキュリティなどの顧客責任
9. セキュリティなどのサービス提供者の債務及び責任
10. 影響/優先順位の指針
11. エスカレーション/通知プロセス
12. 苦情処理手順
13. サービス目標
14. 合意したユーザー数/作業量、システムスループットをサポートするサービスの能力など、作業量の限界
15. 料金コードなどの高レベルの財務マネジメントの詳細
16. サービス中断時に取るべき措置
17. 事務処理手順
18. 用語録
19. サポートサービス及び関連サービス
20. SLAに記録した条項の例外
SLMの考え方
SLMとは、SLAに基づいて日常の活動が適正に実行されているかを監視し、評価を通じて維持・改善を行う管理のことをいいます。
SLMは「策定」「実行」「評価」「改善」のマネジメントサイクルによって成り立っています。
内部統制とITサービスマネジメント
1. J-SOX法とは?
2002年7月、米国においてエンロン、ワールドコムなどの企業会計にまつわる不祥事により失墜した証券市場の信頼回復の為、経営者による会計報告や財務報告の透明性、正確性を求める目的で米国企業改革法(サーベンス・オクスリー法、SOX法)が制定されました。日本でも同様の事件が相次ぎ、このSOX法をベースに「金融商品取引法」が制定されました。この法律の特徴は、内部統制の構築、運用を求める「日本版SOX法」(J-SOX法)が含まれ、「内部統制報告書」の提出が義務化されたことです。尚日本版SOX法が実際に義務化されるのは2008年4月となる見込みです。
2. J-SOX法の特徴
日本版SOX法の特徴は米国SOX法に無い「IT面での対応」に言及している事です。その理由として「COSO報告書公表後のIT環境の飛躍的進展により、ITが組織に進展した現状にそくして『ITへの対応』を(内部統制の)基本的要素の1つに加えている」と説明しています。
3. 内部統制とは?
内部統制の目的
① 業務の有効性・効率性向上 ② 債務報告の信頼性確保 ③ 法令などの遵守 ④ 資産の保全
内部統制を規定した法律は「金融証券取引法」以外に「新会社法」があります。それぞれ求めている内容は違いますが、端的にいえば、両者は「対象とする範囲」が異なっているといえます。
金融商品取引法=狭義の内部統制 ②のみ対象
新会社法=広義の内部統制 ①~④全て対象
4. 内部統制のフレームワーク
