この規格ページの目次
48
Q 20000-2 : 2013 (ISO/IEC 20000-2 : 2012)
込むことによって促進することが望ましい。
a) 顧客及びサービス提供者の事業計画及びニーズを将来のサービスの要求事項に定量化することを中心
とする事業の容量・能力管理
b) サービスの計画及び管理,並びに合意したサービス目標の全てを満たすことを確実にするための,サ
ービスの計画及び管理並びに資源の支援を中心とするサービスの容量・能力管理
c) サービスの効果的な支援,及び合意したコンポーネントの目標の達成を確実にするための,運用資源
及びコンポーネントの計画,並びに管理を中心とするコンポーネントの容量・能力管理
6.5.3 要求事項の説明
6.5.3.1 容量・能力管理活動
容量・能力管理活動は,容量・能力の使用状況の監視,容量・能力データの分析などの日々の運用作用,
サービス目標を基準にしたパフォーマンスの管理,及び将来の容量・能力の要求事項のための計画を包含
する。
容量・能力管理プロセスの活動は,次の事項を含む。
a) 容量・能力の要求事項のアセスメント,文書化及び合意,作業負荷及びパフォーマンスのベースライ
ンの定義,並びに作業負荷及びパフォーマンスのしきい(閾)値及びきっかけの設定。
b) 新規サービス又はサービス変更の容量・能力の要求事項のアセスメント,文書化及び合意。
c) 容量・能力管理プロセスは,パフォーマンス及び/又は容量・能力が要因となっている場合,新規サ
ービス又はサービス変更の設計に関与し,コンポーネント及び資源の調達に関して推奨を行うことが
望ましい。費用と容量・能力との釣合いをとる必要があることから,容量・能力管理プロセスは,解
決策案の候補の費用を調べ,最も適切な,費用対効果の高い解決策を推奨することが望ましい。
d) 新しい容量・能力の要求事項のための活動は,計画立案,支援チーム及び事業グループから得られる
インプットに基づくことが望ましい。これには,新規プロジェクトのインフラストラクチャ導入の計
画立案,及び老朽化したインフラストラクチャのコンポーネントの交換の予測を含めることが望まし
い。
e) コンポーネントの活用及びサービスのパフォーマンスを自動的に管理し改善するための,容量・能力
のしきい(閾)値,警告及び警報の設定,監視及び使用。
f) 容量・能力データベースと言われることが多いリポジトリへの,容量・能力管理プロセスが使用する
データ及び情報の保存。このリポジトリは,容量・能力管理プロセスの主要な要素とすることが望ま
しい。容量・能力データベースに含まれるデータ及び情報は,全ての容量・能力管理活動で分析され
ており,次に示す技術の全分野から得られる,事業,サービス,資源又は利用度,及び財務に関する
データを含むことが望ましい。
1) 事業データ : 現在及び将来の事業ニーズに関する信頼性の高い情報
2) サービスデータ : トランザクション応答時間,トランザクション量及び作業負荷量(これらだけに
限らない。)
3) コンポーネントの利用状況に関するデータ : コンポーネントが利用されることが望ましいレベルの
限界は,文書化しておくことが望ましい。この利用レベルを超えた場合,資源が過剰に利用され,
その資源を使用しているサービスのパフォーマンスが損なわれる。
4) 容量・能力管理プロセスが利用する他のデータ : 障害及び特定された弱点,冗長性及び予備の容量・
能力,資源,コンポーネント,サービスのしきい(閾)値及び許容誤差,現在,過去及び予測でき
るスループット及びパフォーマンス,並びに実際の達成度と予想達成度との比較を含める。
――――― [JIS Q 20000-2 pdf 51] ―――――
49
Q 20000-2 : 2013 (ISO/IEC 20000-2 : 2012)
g) 多くのサービスマネジメントのプロセスに貴重な情報を提供する,容量・能力及びパフォーマンス報
告書の作成。容量・能力報告書は,利害関係者が参照できるように,容量・能力データベースにまと
めて保存することが望ましい。これらの報告書には,次の事項を含めることが望ましい。
1) コンポーネントのパフォーマンスがどれほどで,その容量・能力のどれほどが利用されているかを
説明したコンポーネント単位の報告書及び情報
2) サービス及びそれを構成するコンポーネントが,サービス目標及び制限の全体に対して,どのよう
なパフォーマンスを示しているかを説明したサービス単位の報告書及び情報。これらの報告書は,
容量・能力及びパフォーマンスに関する顧客サービス報告書並びにSLM報告書の基礎となる。
3) 特定のコンポーネント,又はサービスの容量・能力及びパフォーマンスが,いつ許容できないもの
となったかを,マネジメント及び技術要員に示す例外報告書も作成することが望ましい。特に例外
報告書は,SLAの目標を達成したか又は違反したかを判定するとき,SLMプロセスの役に立つこと
が望ましい。インシデント及びサービス要求管理プロセス,並びに問題管理プロセスは,インシデ
ント及び問題の解決で例外報告書を利用することができる。
h) 将来のコンポーネント,並びにサービスの容量・能力及びパフォーマンスの予想は,採用する技法及
び技術に応じて様々な方法で行うことが望ましい。例として次の事項が含まれる。
1) ベースラインのモデル化は,モデル化の第一段階である。これは,達成されているパフォーマンス
を正確に反映する,ベースラインのモデルの作成に使用する。このベースラインのモデルが作成さ
れた場合,予測モデル化の開発が可能となる。
2) 傾向分析は,収集された資源の活用及びサービスのパフォーマンス情報を使って完了する。
3) 分析モデル化は,コンピュータシステムのパフォーマンスを分析するために数学的手法を用いる。
4) シミュレーションのモデル化は,所定のシステム構成を基準にしたトランザクション到着率など,
離散事象のモデル化を伴う。
6.5.3.2 容量・能力計画
容量・能力計画は,実際のパフォーマンス,予想される事業上の容量・能力ニーズ及びサービスの要求
事項を文書化することが望ましい。これは少なくとも年に1回,又はサービスの変更の度合い及びサービ
スの量が要求する場合は,より頻繁に作成することが望ましい。容量・能力計画は,事業上の要求事項を
満たすための合意したサービス目標及び費用の選択肢を達成する目的で,推奨される解決策を文書化する
ことが望ましい。
容量・能力計画は,次の事項を含むことが望ましい。
a) 現在の及び将来のサービス利用量で,理想的には,容量・能力需要に影響する機会に関する推奨を含
む。
b) 現在の及び将来の資源利用量及びパフォーマンスで,どの資源がどのサービスを支援するかの理解を
含む。
c) 災害時の推定作業負荷,容量・能力の要求事項など,可用性,サービス継続及びサービス目標に関す
る合意された要求事項が容量・能力及びパフォーマンスに及ぼす影響
d) 経営統合の結果としての,サービスの容量・能力の増加を提供するために必要な,日数,費用など,
サービスの容量・能力を拡大するための期間,しきい(閾)値及び費用
e) 関連する事業計画,シナリオ及び事業活動のパターンの概要
f) 利用できる場合は利用者情報を含む,事業活動の変更の概要
g) 容量・能力計画の詳細の計算に用いる方法,前提及び情報の詳細
――――― [JIS Q 20000-2 pdf 52] ―――――
50
Q 20000-2 : 2013 (ISO/IEC 20000-2 : 2012)
h) 容量・能力及びパフォーマンスに新技術が及ぼす潜在的影響
i) モデル化の技法など,予測分析を可能にするデータ及び手順
j) 規制を満たす電子カルテ用の十分な容量の記憶領域,バックアップ容量・能力を維持するための計画
など,法令上,規制上,契約上及び組織上の要求事項に及ぼす潜在的影響
6.5.4 文書及び記録
容量・能力管理プロセスで作成し,保持する文書及び記録には,次の事項を含めることが望ましい。
a) 容量・能力計画
b) 容量・能力管理手順
c) ベースライン及びプロファイル
d) 容量・能力管理データベース
e) サービス及び資源のしきい(閾)値の仕様,並びに事象及び警報のしきい(閾)値
f) サービスのパフォーマンス報告書
g) 利用レベル及びスケジュール
h) 有効性のレビュー
i) 作業負荷の分析
j) 容量・能力管理の例外報告書
k) 容量・能力及びパフォーマンスに関するインシデント記録のレビュー
容量・能力管理プロセスによってレビューする文書及び記録には,SLA及び要求されるサービスレベル
並びに監査報告書を含めた,顧客及び事業者の現在及び将来のサービスの容量・能力の需要及び要求事項
を含めることが望ましい。容量・能力計画の変更は,変更管理プロセスで管理することが望ましい。
6.5.5 権限及び責任
4.4.2.1に規定するプロセスオーナ,プロセスマネージャ,及びこのプロセスの手順を実行する要員に加
えて,容量・能力管理プロセスで必要となる権限及び責任には,次の要員を含めることが望ましい。
a) 現在及び潜在的な容量・能力の課題を特定し,その課題を解消し,サービスのパフォーマンスを維持
するための解決策が特定できるように,容量・能力及びパフォーマンスのデータの分析及びレビュー
に責任をもつ容量・能力の分析者。容量・能力の分析者は,容量・能力の継続的な需要を満たすため
の,選択肢の特定並びに奨励策の分析及び推奨を補佐する。
b) 全ての容量・能力要求事項の文書化及び合意に責任をもつ,顧客及び事業者の代表。
6.6 情報セキュリティ管理
6.6.1 要求事項の意図
情報セキュリティ管理(以下,ISMという。)プロセスは,情報資産を保護するためにセキュリティ管
理策を設けること,並びに,情報セキュリティの要求事項が新規サービス又はサービス変更の設計及び移
行に組み込まれることを確実にすることが望ましい。
6.6.2 概念
情報セキュリティは,組織の情報,並びに情報の格納,転送及び処理に関連して使用される,あらゆる
資源を識別し,制御し,かつ,保護するように設計された方針及び手順を体系にしたものであることが望
ましい。
経営者は,明確に定義された情報セキュリティ管理目的が備えられ,それが事業ニーズに整合すること
を確実にすることが望ましい。
――――― [JIS Q 20000-2 pdf 53] ―――――
51
Q 20000-2 : 2013 (ISO/IEC 20000-2 : 2012)
サービス提供者及び顧客は,情報資産を,価値,機密性又は事業に与える影響に応じて分類することが
望ましい。サービス提供者及び顧客は,各分類別に,リスクの受容レベルを定義し,合意することが望ま
しい。
6.6.3 要求事項の説明
6.6.3.1 情報セキュリティ方針
サービスの要求事項,法令・規制要求事項及び契約上の義務は,情報セキュリティ方針の基礎を提供す
ることが望ましい。方針は,機密性,完全性,アクセス性など,情報資産のセキュリティを保護するよう
に設計される物理的,実務管理的及び技術的な情報セキュリティ管理策の採用に方向性を示すことが望ま
しい。方針は,SMS及びサービスに説明責任をもつマネージャによる承認を得ることが望ましい。
注記1 対応国際規格の“accessibility”に対して“アクセス性”の訳語を当てたが,これはJIS Q
27001:2006の“information security”の定義に用いられている“availability”と同じ意味であ
る。
情報セキュリティ方針の適用範囲には,SMSの適用範囲内で情報資産の機密性,完全性及びアクセス性
を確実にするために必要な物理的,実務管理的及び技術的管理策を含めることが望ましいが,これらだけ
に限らない。情報セキュリティ方針の適用範囲は,事業ニーズに応えるためにSMSの適用範囲を超えるこ
ともある。
経営者は,要員,顧客及び供給者,並びに内部グループが,方針の内容を適切に理解し,方針を順守す
ることの重要性を認識することを確実にすることが望ましい。
さらに,経営者は,情報セキュリティ方針を,リスクアセスメントの一部として,及び情報セキュリテ
ィ監査のときに,用いることを確実にすることが望ましい。
方針は,リスク受容基準,及びパスワード管理などの特定された情報セキュリティリスクを管理するた
めの取組みに関する手引となることが望ましい。
方針は,情報セキュリティ内部監査を,情報セキュリティ違反の後,新規サービス又はサービス変更の
展開後など,一定の間隔で実施することを確実にすることが望ましい。
方針は,情報セキュリティ監査の結果について一定の間隔でレビューを行い,これを用いて情報セキュ
リティの改善の機会を特定することを確実にすることが望ましい。例えば,情報セキュリティ監査時に特
定されるぜい(脆)弱性の修正などである。
注記2 情報セキュリティの専門家としての役割を担う要員は,JIS Q 27002に精通していると役に立
つ。この規格は,セキュリティ方針の内容に関する手引を含んでいる。
6.6.3.2 情報セキュリティ管理策
情報セキュリティ管理策は,情報セキュリティ管理の目的を達成し,情報セキュリティリスクを管理す
ることを保証することが望ましい。情報セキュリティ管理策は,物理的,実務管理的,又は技術的なこと
もある。
サービス提供者は,管理策が文書化され,関連リスク及びリスク軽減戦略を記述したものであることを
確実にすることが望ましい。また,サービス提供者は,管理策のレビューについての権限及び責任,並び
にどの程度の頻度で管理策をレビューすることが望ましいかについて,定義することが望ましい。
さらに,サービス提供者は,組織の情報又はサービスにアクセスし,それを使用又は管理する必要があ
る外部の組織及び個人を管理するために,情報セキュリティ管理策を定義することが望ましい。
6.6.3.3 リスクアセスメント
ISMプロセスは,稼働環境の情報セキュリティリスクを特定するために,定期的にリスクアセスメント
――――― [JIS Q 20000-2 pdf 54] ―――――
52
Q 20000-2 : 2013 (ISO/IEC 20000-2 : 2012)
を実施することが望ましく,次にそれを文書化し,特定されたリスクの影響を予防又は最小化するための
具体的な管理策を実施することが望ましい。また,ISMプロセスは,新規サービス又はサービス変更の設
計及び移行の一部として,適切なリスクアセスメントを行うか,又は行われることを確実にすることが望
ましい。
情報セキュリティ方針は,情報セキュリティリスクアセスメントが,次のとおりであることを確実にす
ることが望ましい。
a) 新規サービス又はサービス変更に対するものを含めて,合意した間隔で実施される。
b) 記録し,承認された要員だけに可視的であるようにする。
c) 事業ニーズ,プロセス及び構成の変更の間も維持される。
d) サービスに影響を及ぼすものについての理解を助ける。
e) 情報セキュリティ監査に関する要求事項を定義する。
f) 運用する管理策の種類に関する決定を通知する。
情報資産のリスクは,リスクの性質及び事業に与える潜在的な影響に応じてアセスメントを行うことが
望ましい。
注記 情報セキュリティの専門家としての役割を担う要員は,ISO/IEC 27005に精通していると役に
立つ。
6.6.3.4 情報セキュリティリスクの管理
情報セキュリティ管理策は,サービス提供者が,サービスマネジメントの目的及びセキュリティ方針の
要求事項を達成できることを確実にすることが望ましい。また,管理策は,サービス提供者が特定された
全ての情報セキュリティリスクを管理できるようにすることが望ましい。
情報セキュリティ管理策の例を次に示す。
a) 情報セキュリティ方針を確立し,導入し,要員,供給者及び顧客に周知させることが望ましい。
b) 情報セキュリティ管理プロセスの権限及び責任を定義し,割り当てることが望ましい。
c) 情報セキュリティ方針の有効性を監視し,測定し,アセスメントを行うことが望ましい。
d) 重要な情報セキュリティの役割を担う要員は,情報セキュリティに関する教育・訓練を受けることが
望ましい。
e) リスクアセスメント及び管理策の導入について,専門家の助けが得られるようにしておくことが望ま
しい。
f) 変更によって,管理策の効果的な運用が損なわれないほうがよい。
g) 情報セキュリティインシデントは,インシデント及びサービス要求管理プロセスに従って報告し,適
切な優先度を割り当てられることが望ましい。
h) 情報セキュリティインシデントは,その優先度及びセキュリティインシデント記録にアクセスするた
めに必要な権限のレベルに応じて,それを解決する権限をもつ要員への段階的取扱いをすることが望
ましい。
i) 情報セキュリティインシデントの詳細は,適切な権限をもつ要員だけに可視的であるようにすること
が望ましい。
j) 定期的なリスクアセスメントは,組織のリスク耐性への準備状況の変化を特定するために完了するこ
とが望ましい。
k) 定期的な監査は,確立された情報セキュリティ方針及び管理策の適合性を確認するために実施するこ
――――― [JIS Q 20000-2 pdf 55] ―――――
次のページ PDF 56
JIS Q 20000-2:2013の引用国際規格 ISO 一覧
- ISO/IEC 20000-2:2012(IDT)
JIS Q 20000-2:2013の国際規格 ICS 分類一覧
- 35 : 情報技術.事務機械 > 35.020 : 情報技術(IT)一般
- 03 : サービス.経営組織,管理及び品質.行政.運輸.社会学. > 03.080 : サービス > 03.080.99 : その他のサービス
JIS Q 20000-2:2013の関連規格と引用規格一覧
- 規格番号
- 規格名称
- JISQ20000-1:2020
- 情報技術―サービスマネジメント―第1部:サービスマネジメントシステム要求事項