JIS Q 20000-1:2020 情報技術―サービスマネジメント―第１部：サービスマネジメントシステム要求事項 | ページ 6

                                                                                             23
                                                           Q 20000-1 : 2020 (ISO/IEC 20000-1 : 2018)
レビューは,8.5.1.3の変更管理活動によって管理しなければならない。
  8.5.2によって管理されない変更要求についても,8.5.1.3の変更管理活動によって管理しなければならな
い。
8.5.1.3  変更管理の活動
  組織及び利害関係者は,変更要求の承認及び優先度について決定を行わなければならない。意思決定で
は,リスク,事業利益,実現可能性及び財務影響を考慮しなければならない。意思決定では,次の事項に
対する変更の潜在的影響も考慮しなければならない。
a) 既存のサービス
b) 顧客,利用者及び他の利害関係者
c) この文書が要求する方針及び計画
d) 容量・能力,サービス可用性,サービス継続及び情報セキュリティ
e) 他の変更要求,リリース,及び展開のための計画
  承認された変更を準備し,検証し,可能であれば試験しなければならない。承認された変更の展開の期
日案及びその他の展開の詳細を利害関係者に周知しなければならない。
  失敗した変更を元に戻す又は修正する活動を計画し,可能な場合には,試験しなければならない。失敗
した変更は調査し,合意した処置をとらなければならない。
  組織は,有効性について変更をレビューし,利害関係者と合意した処置をとらなければならない。
  変更要求の記録は傾向を検知するために,あらかじめ定めた間隔で分析しなければならない。分析から
導き出された結果及び結論を記録し,改善の機会を特定するためにレビューしなければならない。
8.5.2  サービスの設計及び移行
8.5.2.1  新規サービス又はサービス変更の計画
  計画立案では,8.2.2で決定した新規サービス又はサービス変更についてのサービスの要求事項を用い,
次の事項を含むか,又は参照しなければならない。
a) 設計,構築及び移行活動についての権限及び責任
b) 組織又は他の関係者が,割り当てられた期間で実施する活動
c) 人,技術,情報,及び財務に関する資源
d) 他のサービスへの依存関係
e) 新規サービス又はサービス変更のために必要な試験
f)  サービス受入れ基準
g) 測定可能な条件で表現された,新規サービス又はサービス変更の提供による意図した成果
h)   MS,他のサービス,計画された変更,顧客,利用者及び他の利害関係者に対する影響
  廃止するサービスについては,計画立案に,サービスの廃止の日付,並びにデータ,文書化した情報,
及びサービスコンポーネントを保管,廃棄,又は移管する活動の日付を追加で含めなければならない。
  移管するサービスについては,計画立案に,サービス移管の日付,並びにデータ,文書化した情報,知
識及びサービスコンポーネントを移管する活動の日付を追加で含めなければならない。
  新規サービス又はサービス変更が影響を与えるCIは,構成管理によって管理しなければならない。
8.5.2.2  設計
  新規サービス又はサービス変更は,8.2.2で決定したサービスの要求事項を満たすように設計し,文書化
しなければならない。設計には,次の事項から関連する項目を含めなければならない。
a) 新規サービス又はサービス変更の提供に関与する関係者の権限及び責任

――――― [JIS Q 20000-1 pdf 26] ―――――

24
Q 20000-1 : 2020 (ISO/IEC 20000-1 : 2018)
b) 人,技術,情報,及び財務に関する資源の変更に対する要求事項
c) 適切な教育,訓練及び経験に対する要求事項
d) 新規SLA又はSLAの変更,サービスを支援する契約書,及び他の合意文書
e) 新規又は変更された方針,計画,プロセス,手順,尺度及び知識を含む,SMSの変更
f)  他のサービスへの影響
g) サービスカタログの更新
8.5.2.3  構築及び移行
  新規サービス又はサービス変更は,サービスの要求事項を満たし,文書化された設計に適合し,合意し
たサービス受入れ基準を満たしていることを検証するために,構築及び試験しなければならない。サービ
ス受入れ基準が満たされていない場合,組織及び利害関係者は,必要な処置及び展開について決定しなけ
ればならない。
  承認された新規サービス又はサービス変更を稼働環境へ展開するために,リリース及び展開管理を使用
しなければならない。
  移行活動が完了した後,組織は利害関係者に,意図した成果に照らして達成したことを報告しなければ
ならない。
8.5.3  リリース及び展開管理
  組織は,緊急リリースを含むリリースの種類,頻度及びそれらの管理方法を定義しなければならない。
  組織は,新規サービス又はサービス変更,及びサービスコンポーネントの稼働環境への展開について計
画をしなければならない。計画立案は変更管理と連携しなければならず,関連する変更要求,既知の誤り
又はリリースによって終了する問題の参照を含めなければならない。計画立案には,各リリースの展開の
日付,成果物及び展開方法を含めなければならない。
  リリースは,文書化した受入れ基準に基づいて検証し,展開前に承認しなければならない。受入れ基準
を満たしていない場合には,組織及び利害関係者は必要な処置及び展開について決定しなければならない。
  稼働環境へのリリースの展開に先立って,影響を受けるCIのベースラインをとらなければならない。
  リリースは,サービス及びサービスコンポーネントの完全性が維持されるように,稼働環境へ展開しな
ければならない。
  リリースの成功又は失敗は,監視し,分析しなければならない。測定には,リリース展開後のリリース
に関連するインシデントを含めなければならない。分析から導き出された結果及び結論は記録し,改善の
機会を特定するためにレビューしなければならない。
  リリースの成功又は失敗に関する情報,及び将来のリリース期日についての情報は,必要に応じて,他
のサービスマネジメント活動で利用可能にしなければならない。

8.6 解決及び実現

8.6.1  インシデント管理
  インシデントについては,次の事項を実施しなければならない。
a) 記録し,分類する。
b) 影響及び緊急度を考慮して,優先度付けをする。
c) 必要であれば,エスカレーションする。
d) 解決する。
e) 終了する。
  インシデントの記録は,とった処置とともに更新しなければならない。

――――― [JIS Q 20000-1 pdf 27] ―――――

                                                                                             25
                                                           Q 20000-1 : 2020 (ISO/IEC 20000-1 : 2018)
  組織は,重大なインシデントを特定する基準を決定しなければならない。重大なインシデントは,文書
化された手順に従って分類し,管理しなければならない。
  トップマネジメントは,重大なインシデントについて常に通知されるようになっていなければならない。
  組織は,重大なインシデントのそれぞれを管理する責任を割り当てなければならない。インシデントが
解決された後,重大なインシデントを報告し,改善の機会を特定するためにレビューしなければならない。
8.6.2  サービス要求管理
  サービス要求については,次の事項を実施しなければならない。
a) 記録し,分類する。
b) 優先度付けをする。
c) 実現する。
d) 終了する。
  サービス要求の記録は,とった処置とともに更新しなければならない。
  サービス要求の実現に関する指示書は,サービス要求の実現に関与する要員が利用可能にしなければな
らない。
8.6.3  問題管理
  組織は,問題を特定するために,インシデントのデータ及び傾向を分析しなければならない。組織は根
本原因の分析に着手し,インシデントの発生又は再発を防止するための,考え得る処置を決定しなければ
ならない。
  問題については,次の事項を実施しなければならない。
a) 記録し,分類する。
b) 優先度付けをする。
c) 必要であれば,エスカレーションする。
d) 可能であれば,解決する。
e) 終了する。
  問題の記録は,とった処置とともに更新しなければならない。問題解決に必要な変更は,変更管理方針
に従って管理しなければならない。
  根本原因が特定されたが,問題が恒久的に解決されていない場合,組織は,その問題がサービスに及ぼ
す影響を低減又は除去するための処置を決定しなければならない。既知の誤りは,記録しなければならな
い。既知の誤り及び問題解決に関する最新の情報は,必要に応じて,他のサービスマネジメント活動にお
いて利用可能にしなければならない。
  あらかじめ定めた間隔で,問題解決の有効性を監視し,レビューし,報告しなければならない。

8.7 サービス保証

8.7.1  サービス可用性管理
  あらかじめ定めた間隔で,サービス可用性のリスクのアセスメントを行い,そのサービス可用性のリス
クを文書化しなければならない。組織は,サービス可用性の要求事項及び目標を決定しなければならない。
合意した要求事項には,関連する事業の要求事項,サービスの要求事項,SLA及びリスクを考慮しなけれ
ばならない。
  サービス可用性の要求事項及び目標を文書化し,維持しなければならない。
  サービス可用性を監視し,結果を記録し,目標と比較しなければならない。計画外の可用性の喪失は,
調査し,必要な処置をとらなければならない。

――――― [JIS Q 20000-1 pdf 28] ―――――

26
Q 20000-1 : 2020 (ISO/IEC 20000-1 : 2018)
    注記 6.1で特定したリスクは,サービス可用性,サービス継続及び情報セキュリティに対するリスク
          へのインプットを提供する。
8.7.2  サービス継続管理
  あらかじめ定めた間隔で,サービス継続のリスクのアセスメントを行い,そのサービス継続のリスクを
文書化しなければならない。組織は,サービス継続の要求事項を決定しなければならない。合意した要求
事項では,関連する事業の要求事項,サービスの要求事項,SLA及びリスクを考慮しなければならない。
  組織は,一つ以上のサービス継続計画を作成し,実施し,維持しなければならない。サービス継続計画
には,次の事項を含むか,又は参照しなければならない。
a) サービス継続の発動の基準及び責任
b) 重大なサービスの停止の場合に実施する手順
c) サービス継続計画が発動された場合のサービス可用性の目標
d) サービス復旧の要求事項
e) 平常業務の状態に復帰するための手順
  サービス継続計画及び連絡先一覧は,通常のサービス提供領域へのアクセスが妨げられた場合でも利用
可能にしなければならない。
  あらかじめ定めた間隔で,サービス継続計画は,サービス継続の要求事項に照らして試験しなければな
らない。サービス環境に重大な変更があった場合は,サービス継続計画を再度,試験しなければならない。
試験の結果は記録しなければならない。各試験後,及びサービス継続計画の発動後,レビューを実施しな
ければならない。不備が見つかった場合,組織は必要な処置をとらなければならない。
  サービス継続計画が発動された場合,組織は,その原因,影響及び復旧について報告しなければならな
い。
8.7.3  情報セキュリティ管理
8.7.3.1  情報セキュリティ方針
  組織に関連する情報セキュリティ方針は,適切な権限をもった経営者が承認しなければならない。情報
セキュリティ方針は文書化し,6.3 c)のサービスの要求事項及び義務を考慮しなければならない。
  情報セキュリティ方針は,必要に応じて,利用可能にしなければならない。組織は,情報セキュリティ
方針への順守の重要性,並びにSMS及びサービスへの適用可能性を,次のうちの適切な要員に伝達しなけ
ればならない。
a) 組織
b) 顧客及び利用者
c) 外部供給者,内部供給者及び他の利害関係者
8.7.3.2  情報セキュリティ管理策
  あらかじめ定めた間隔で,SMS及びサービスに関する情報セキュリティリスクのアセスメントを行い,
その情報セキュリティリスクを文書化しなければならない。情報セキュリティ方針を支援し,特定された
情報セキュリティリスクに対応するために,情報セキュリティ管理策を決定し,実施し,運用しなければ
ならない。情報セキュリティ管理策についての決定は文書化しなければならない。
  外部組織に関連する情報セキュリティリスクに取り組むために,組織は,情報セキュリティ管理策につ
いて合意し,それを実施しなければならない。
  組織は,情報セキュリティ管理策の有効性を監視し,レビューし,必要な処置をとらなければならない。

――――― [JIS Q 20000-1 pdf 29] ―――――

                                                                                             27
                                                           Q 20000-1 : 2020 (ISO/IEC 20000-1 : 2018)
8.7.3.3  情報セキュリティインシデント
  情報セキュリティインシデントについては,次の事項を実施しなければならない。
a) 記録し,分類する。
b) 情報セキュリティリスクを考慮して,優先度付けする。
c) 必要であれば,エスカレーションする。
d) 解決する。
e) 終了する。
  組織は,情報セキュリティインシデントを種類,数,並びにSMS,サービス及び利害関係者に対する影
響ごとに分析しなければならない。情報セキュリティインシデントは,改善の機会を特定するため,報告
し,レビューしなければならない。
    注記 ISO/IEC 27000シリーズは,情報セキュリティマネジメントシステムの要求事項を規定し,導
          入及び運用を支援するための手引を提供している。ISO/IEC 27013は,ISO/IEC 27001(JIS Q
          27001)とISO/IEC 20000-1(この規格)との統合に関する手引を提供する。

9 パフォーマンス評価

9.1 監視,測定,分析及び評価

  組織は,次の事項を決定しなければならない。
a)   MS及びサービスに関して,監視及び測定が必要な対象
b) 該当する場合には,必ず,妥当な結果を確実にするための,監視,測定,分析及び評価の方法
c) 監視及び測定の実施時期
d) 監視及び測定の結果の,分析及び評価の時期
  組織は,結果の証拠として,適切な文書化した情報を保持しなければならない。
  組織は,サービスマネジメントの目的に照らしてSMSのパフォーマンスを評価し,SMSの有効性を評
価しなければならない。組織は,サービスの要求事項に照らして,サービスの有効性を評価しなければな
らない。

9.2 内部監査

9.2.1  組織は,SMSが次の状況にあるか否かに関する情報を提供するために,あらかじめ定めた間隔で
内部監査を実施しなければならない。
a) 次の事項に適合している。
  1)   MSに関して,組織自体が規定した要求事項
  2) この規格の要求事項
b) 効果的に実施され,維持されている。
9.2.2  組織は,次に示す事項を行わなければならない。
a) 頻度,方法,責任,計画要求事項及び報告を含む,監査プログラムの計画,確立,実施及び維持。監
    査プログラムは,次の事項を考慮に入れなければならない。
  1) 関連するプロセスの重要性
  2) 組織に影響を与える変更
  3) 前回までの監査の結果
b) 各監査について,監査の基準及び監査範囲を明確にする。
c) 監査プロセスの客観性及び公平性を確保するために,監査員を選定し,監査を実施する。

――――― [JIS Q 20000-1 pdf 30] ―――――

次のページ PDF 31