情報システムの利用に伴う利用者のサービスやシステムの維持管理などを 効率的に運営していく仕組み

ITサービスマネジメントの認証規格

ITIL ISO/IEC 20000

ITサービス運用管理のための実践方法をまとめ サービスの枠組みを示したライブラリ

サービスレベル合意書 ITサービスの範囲と品質を明確にする

サービス提供曜日・時間帯 サービスデスクが提供するサービス内容 障害発生時復旧時間目標値 システム処理時間・応答時間の目標値

計画から維持・改善までのプロセスを実施することで 企業ごとに作り上げていく

サービスマネジメントを実現するために必要な事項を プロセスとして体系的にまとめたもの

ITサービスのレベルが低下した場合に 迅速に回復するための管理

インシデントに対して原因を究明して取り除く

SMS適応範囲内のサービス

サービスを受ける組織やその一部

SMS適応範囲内において サービスを提供する側

サービス利用側

SMSサービス運用のために必要なプロセスを計画

サービス要求事項を決定・文書化 変更要求・提案に対して優先度付け

提供するサービスを文書化したサービスカタログを作成し 顧客や利用者もアクセス可能にする

SMS微計画における要求事項・義務を果たすため サービス提供のための資産管理

ITサービスを構成するハード/ソフトなどの情報を特定 情報管理を行う

構成管理データベース ハード/ソフトなどの構成/バージョン情報を記録

顧客満足を維持し、良好な関係を確立するための取り決めを行う

サービスカタログに掲載できない 検討/開発中のITサービスのこと

サービスレベル合意書を作成・締結し 実現・維持・改善するための活動

外部供給者を用いる場合の管理活動

費用を予算化し、期間を決めて実際の費用との比較/検討を行う

受容と消費を監視・報告し、将来の需要を予測

資源の容量・能力の要求事項を決定/維持

サービスの追加、廃止または変更要求を分類 要求の優先度を決定し、影響を考慮して承認

サービスの計画/設計を行い文書化する

サービス受入基準 構築した新サービスの評価基準

試験されたサービスを、実際の稼働環境で使える状態にする

可能な限り迅速に回復させるための対応

記録・分類 →優先度付け →段階的取り扱い →解決 →終了

サービス要求に対して記録・分類を行う

問題の根本的原因を突き止め、発生/再発防止への解決策を決定

記録・分類 →優先度付け →段階的取り扱い →可能なら解決 →終了

利用者が利用したいときに提供できるよう監視・記録を行う

サービス継続計画を作成し、実施・維持を行う

目標復旧時間

目標復旧時点

情報セキュリティ方針、管理策を作成 インシデントに対する事項を実施

監視/測定対象を決めたうえで有効性を評価

内部監査 マネジメントレビュー

クライアントのコンピュータ内部情報の 収集/分析/監視/遠隔操作/ソフトや対策 をネットワーク経由で管理するソフトウェア

日常の運用計画 障害発生時の運用を適切に行うための計画 運用負荷軽減のための改善計画

システム安定稼働のために システムの監視/操作/状況連絡を行う

システム運用設計の基本的な考え方/運用スケジュールを立案

障害時の運用方式に関する設計を行う

監視ツール 診断ツール

運用/セキュリティ情報を監視し 異常を発見した際にレポートする

監視ツールからの情報を統合し 意思決定支援を行う

運用スケジュールに基づいた、計画的バックアップ実施

単一窓口

電話を取り込んだシステム

利用者からの問い合わせに対し 窓口機能提供/引継ぎ/対応結果の記録・管理 をおこなう

中央サービスデスク ローカルサービスデスク バーチャルサービスデスク フォロー・ザ・サン

全ての問い合わせを受ける単一窓口を設ける

利用者に近い拠点ごとに窓口を設ける

複数サービスデスクをネットワークなどでつなぎ 単一窓口として機能させる

サービス要員全員を統括管理 統制の取れたサービスを提供

建物や設備が最適な状態になるように 監視・改善する管理活動

免振装置 コールドアイル ホットアイル UPS 自家発電設備

機器の冷却用通路

廃熱用通路

障害が発生すると企業活動や社会に重大な影響を及ぼすシステムのこと

過電流/過電圧から機器を守る装置

無停電電源装置 10数分程度電源が供給 災害時に安全に機器を終了できる

ビルなどで複数通信回線を収容する

経済産業省が監査手順や内容を規定したもの

システム監査報告書に記載する監査意見を立証するために必要な事実

監査対象と利害関係に無い 開発運用に関わっていない 守秘義務を負う

情報システムが監査を受けることを前提に構築・整備されていること

1.監査計画 2.予備調査 3.本調査 4.監査調書の作成/保管 5.監査の結論と報告書の作成 6.監査の報告 7.改善提案のフォローアップ

システム監査計画書に 監査手続きの種類 実施時期 適用範囲 をまとめる

情報システムのガバナンス 情報システムマネジメント 情報システムのコントロール

情報システムの利用・活用が経営目的に沿っているか システム管理者に適切な方向付けがなされているか

経営方針に基づいてPDCAサイクルを確立・運用されているか

リスクに応じたコントロールが組み込み・機能しているか

監査対象を把握するために業務内容/体制を確認 問題事項確認した場合、裏付ける記録入手/現場確認

監査意見を立証するための証拠を入手するプロセス

監査人が実施した監査のプロセスを記録 監査結論の基礎となる

合理的根拠による監査の結論を導出 対象部門との間で事実確認を行い監査報告書を作成

保証意見 指摘事項 改善勧告 特記すべき事項

措置が適切に実施されているかを報告する

最高情報責任者

最高情報セキュリティ責任者

それぞれの果たすべき役割を 分割整理して配分

リスクに関わるマネジメントが効果的に実施されるように 適切なコントロールの整備、運用状況を評価することで保証する

プライバシーマーク制度 個人情報の取り扱いに関する規格

企業内部で不正や違法行為が横行せず 健全で効率的な組織運営のための体制を 企業自ら構築して運用する仕組み

企業統治

法令遵守

業務プロセス明確化 職務分掌の見直し チェック体制確立 ITガバナンス確立

業務プロセスをITによって 監視/記録/統制する

企業の競争力向上のために情報システム戦略を策定し 戦略実行を統制する仕組みを確立する取り組み