>サイトトップへ >このカテゴリの一覧へ

Q 20000-1

:2012 (ISO/IEC 20000-1:2011)

(1)

目  次

ページ

0.1

  序文  

1

0.2

  サービスマネジメントシステム要求事項  

1

1

  適用範囲  

2

1.1

  一般  

2

1.2

  適用  

3

2

  引用規格  

4

3

  用語及び定義  

4

4

  サービスマネジメントシステムの一般要求事項  

9

4.1

  経営者の責任  

9

4.2

  他の関係者が運用するプロセスのガバナンス  

10

4.3

  文書の運用管理  

10

4.4

  資源の運用管理  

11

4.5

  SMS の確立及び改善  

11

5

  新規サービス又はサービス変更の設計及び移行  

14

5.1

  一般  

14

5.2

  新規サービス又はサービス変更の計画 

14

5.3

  新規サービス又はサービス変更の設計及び開発  

15

5.4

  新規サービス又はサービス変更の移行 

16

6

  サービス提供プロセス  

16

6.1

  サービスレベル管理  

16

6.2

  サービスの報告  

16

6.3

  サービス継続及び可用性管理  

17

6.4

  サービスの予算業務及び会計業務  

18

6.5

  容量・能力管理  

18

6.6

  情報セキュリティ管理  

19

7

  関係プロセス  

19

7.1

  事業関係管理  

19

7.2

  供給者管理  

20

8

  解決プロセス  

21

8.1

  インシデント及びサービス要求管理 

21

8.2

  問題管理  

22

9

  統合的制御プロセス  

22

9.1

  構成管理  

22

9.2

  変更管理  

23

9.3

  リリース及び展開管理  

24


Q 20000-1

:2012 (ISO/IEC 20000-1:2011)  目次

(2)

ページ

参考文献  

25


Q 20000-1

:2012 (ISO/IEC 20000-1:2011)

(3)

まえがき

この規格は,工業標準化法第 14 条によって準用する第 12 条第 1 項の規定に基づき,一般財団法人日本

情報経済社会推進協会(JIPDEC)及び一般財団法人日本規格協会(JSA)から,工業標準原案を具して日

本工業規格を改正すべきとの申出があり,日本工業標準調査会の審議を経て,経済産業大臣が改正した日

本工業規格である。これによって,JIS Q 20000-1:2007 は改正され,この規格に置き換えられた。

この規格は,著作権法で保護対象となっている著作物である。

この規格の一部が,特許権,出願公開後の特許出願又は実用新案権に抵触する可能性があることに注意

を喚起する。経済産業大臣及び日本工業標準調査会は,このような特許権,出願公開後の特許出願及び実

用新案権に関わる確認について,責任はもたない。

JIS Q 20000

の規格群には,次に示す部編成がある。

JIS Q 20000-1

  第 1 部:サービスマネジメントシステム要求事項

JIS Q 20000-2

  第 2 部:実践のための規範


日本工業規格

JIS

 Q

20000-1

:2012

(ISO/IEC 20000-1

:2011

)

情報技術−サービスマネジメント−

第 1 部:サービスマネジメントシステム要求事項

Information technology-Service management-

Part 1: Service management system requirements

0.1 

序文 

この規格は,2011 年に第 2 版として発行された ISO/IEC 20000-1 を基に,技術的内容及び対応国際規格

の構成を変更することなく作成した日本工業規格である。

なお,この規格で点線の下線を施してある参考事項は,対応国際規格にはない事項である。

この規格で,

“注記”と記載されている情報は,関連する要求事項の内容を理解するための,又は明確に

するための手引である。

0.2 

サービスマネジメントシステム要求事項 

この規格の要求事項は,サービスの要求事項を満たし,かつ,顧客及びサービス提供者の双方に価値を

提供する,サービスの設計,移行,提供及び改善を含む。この規格は,サービス提供者がサービスマネジ

メントシステム(以下,SMS という。

)を計画,確立,導入,運用,監視,レビュー,維持及び改善する

場合の統合されたプロセスアプローチを要求する。

注記  この規格におけるサービスとは,情報技術サービスを意味する。

SMS

を調整のとれた形で統合し,かつ,実施することによって,継続的な管理,並びに継続的改善の機

会,より高い有効性及び効率性が得られる。この規格に規定するプロセスの運用には,人材をよく組織し,

かつ,調整することが必要である。また,プロセスを効果的かつ効率的にするために,適切なツールを使

用することができる。

最も効果的なサービス提供者は,戦略から設計,移行,運用までの,継続的改善を含むサービスのライ

フサイクルの全ての段階における SMS への影響を考慮する。

この規格は,SMS 及びサービスのあらゆる場面で,

“計画(Plan)−実行(Do)−点検(Check)−処置

(Act)

(PDCA)として知られる方法論の適用を要求する。この規格で適用する PDCA 方法論を簡潔に説

明すると,次のようになる。

計画(Plan)

:SMS を確立し,文書化し,合意する。SMS には,サービスの要求事項を満たすための方

針,目的,計画及びプロセスが含まれる。

実行(Do)

:サービスの設計,移行,提供及び改善のために SMS を導入し,運用する。

点検(Check)

:方針,目的,計画及びサービスの要求事項について,SMS 及びサービスを監視,測定及

びレビューし,それらの結果を報告する。

処置(Act)

:SMS 及びサービスのパフォーマンスを継続的に改善するための処置を実施する。

次の事項は,SMS の範囲内で用いる場合,統合されたプロセスアプローチ及び PDCA 方法論の最も重要

な側面である。


2

Q 20000-1

:2012 (ISO/IEC 20000-1:2011)

a)

顧客満足を達成するためのサービスの要求事項を理解し,満たす。

b)

サービスマネジメントの方針及び目的を確立する。

c) SMS

に基づいて,顧客に付加価値のあるサービスを設計し,提供する。

d) SMS

及びサービスのパフォーマンスを監視し,測定し,レビューする。

e)

客観的測定に基づいて,SMS 及びサービスを継続的に改善する。

図 は,箇条 5∼箇条 に規定するサービスマネジメントのプロセスを含む SMS,及びサービスに PDCA

方法論を適用する方法を示す。PDCA 方法論の各要素は SMS を成功裏に導入するために不可欠な部分であ

る。この規格で用いる改善プロセスは,PDCA 方法論に基づいている。

図 1−サービスマネジメントに適用される PDCA 方法論

この規格によって,サービス提供者はその SMS を,サービス提供者の組織内の他のマネジメントシステ

ムと統合することができる。統合されたプロセスアプローチ及び PDCA 方法論を採用することによって,

サービス提供者は複数のマネジメントシステム規格の整合を図る,又は完全に統合することができる。例

えば,SMS は JIS Q 9001 に基づく品質マネジメントシステム,又は JIS Q 27001:2006 に基づく情報セキュ

リティマネジメントシステムと統合することができる。

この規格は,意図的に特定の手引から独立している。サービス提供者は,一般に受け入れられている手

引と自身の経験とを組み合わせて用いることができる。

適用範囲 

1.1 

一般 

この規格は,サービスマネジメントシステム(SMS)の規格である。この規格は,SMS を計画,確立,

導入,運用,監視,レビュー,維持及び改善するための,サービスの提供者に対する要求事項を規定する。

要求事項にはサービスの要求事項を満たすための,サービスの設計,移行,提供及び改善を含む。この規

格は,次の組織,サービス提供者又は審査員若しくは監査員が利用してもよい。

a)

サービス提供者からのサービスを求め,サービスの要求事項が満たされるという保証を必要とする組

b)

サプライチェーンに属するものを含め,全てのサービス提供者による一貫した取組みを求める組織

実行

(Do)

処置

(Act)

点検

(Check)

計画

(Plan)


3

Q 20000-1

:2012 (ISO/IEC 20000-1:2011)

c)

サービスの要求事項を満たすサービスの設計,移行,提供,及び改善に関する能力を実証しようとす

るサービス提供者

d)

自らのサービスマネジメントのプロセス及びサービスを,監視,測定及びレビューするサービス提供

e)

サービスの設計,移行及び提供を,SMS の効果的な導入及び運用を通して改善するサービス提供者

f)

この規格の要求事項に対するサービス提供者の SMS の適合性評価に,基準として用いる審査員又は監

査員

図 は,サービスマネジメントのプロセスを含む SMS を示す。サービスマネジメントのプロセス,及び

プロセス間の関係は,異なるサービス提供者が異なる方法で導入することができる。各サービス提供者と

顧客との関係の性質が,サービスマネジメントのプロセスの導入方法に影響する。

図 2−サービスマネジメントシステム(SMS

1.2 

適用 

この規格の全ての要求事項は,汎用的であり,提供するサービスの形態,規模及び性質を問わず,あら

ゆるサービス提供者に適用できることを意図している。サービス提供者がこの規格への適合を宣言する場

合には,サービス提供者の組織の性質を問わず,箇条 4∼箇条 までのいかなる要求事項の除外も認めら

れない。

サービス提供者は,箇条 の要求事項全てを満たしている証拠を示すことによってだけ,箇条 の要求

事項への適合を実証することができる。サービス提供者は,箇条 の要求事項について,他の関係者が運

用するプロセスのガバナンスの証拠に頼ることはできない。

箇条 5∼箇条 の要求事項への適合は,サービス提供者が全ての要求事項を満たしているという証拠を

示すことによって実証することができる。その代わりとして,サービス提供者は,大部分の要求事項につ

いて自身で満たしているという証拠,及びサービス提供者が直接運用していない,他の関係者が運用する


4

Q 20000-1

:2012 (ISO/IEC 20000-1:2011)

プロセス又はプロセスの一部についてのガバナンスの証拠を示すことができる。

この規格の適用範囲には,製品又はツールについての仕様を含んでいない。しかし,組織はこの規格を

SMS

の運用を支援する製品又はツールの開発に役立てるために利用できる。

注記 1  この規格の対応国際規格及びその対応の程度を表す記号を,次に示す。

ISO/IEC 20000-1:2011

, Information technology − Service management − Part 1: Service

management system requirements

(IDT)

なお,対応の程度を表す記号“IDT”は,ISO/IEC Guide 21-1 に基づき,

“一致している”

ことを示す。

注記 2  ISO/IEC TR 20000-3 は,この規格の適用範囲の定義及び適用性の手引を提供する。これは,

他の関係者が運用するプロセスのガバナンスについて,より詳細に説明している。

引用規格 

この規格には,引用規格はない。この箇条は,今後改正予定の JIS Q 20000-2 と箇条番号を一致させて

おくためにある。

用語及び定義 

この規格で用いる主な用語及び定義は,次による。

3.1

可用性(availability)

あらかじめ合意された時点又は期間にわたって,要求された機能を実行するサービス又はサービスコン

ポーネントの能力。

注記  可用性は,通常,サービスが利用可能であるべきと合意された時間に対する,実際に顧客がサ

ービス又はサービスコンポーネントを利用できる時間の割合又は百分率で表される。

3.2

構成ベースライン(configuration baseline)

サービス又はサービスコンポーネントの存続期間における特定の時点で,正式に指定された構成情報。

注記 1  構成ベースラインに,このベースライン以降に承認された変更を加えたものが,最新の構成

情報となる。

注記 2  ISO/IEC IEEE 24765:2010 から部分的に採用。

3.3

構成品目,CI(configuration item)

サービスの提供のために管理する必要がある要素。

3.4

構成管理データベース,CMDB(configuration management database)

構成品目のライフサイクルを通して,構成品目の属性及び構成品目間の関係を記録するために使用する

データ保管庫。

3.5

継続的改善(continual improvement)

サービスの要求事項を満たす能力を高めるために繰り返し行われる活動。


5

Q 20000-1

:2012 (ISO/IEC 20000-1:2011)

注記  JIS Q 9000:2006 から部分的に採用。

3.6

是正処置(corrective action)

検出された不適合又はその他の検出された望ましくない状況の原因を除去する,又はそれらの再発の可

能性を低減するための処置。

注記  JIS Q 9000:2006 から部分的に採用。

3.7

顧客(customer)

サービスを受ける組織又は組織の一部。

注記 1  顧客は,サービス提供者にとって組織の内部又は外部のいずれでもあり得る。

注記 2  JIS Q 9000:2006 から部分的に採用。

3.8

文書(document)

情報及びそれを保持する媒体。

JIS Q 9000:2006]

例  方針文書,計画書,プロセス記述書,手順書,サービスレベル合意書,契約書又は記録。

注記 1  文書は,いかなる形式又は種類の媒体でもよい。

注記 2  この規格では,記録を除く文書には,達成すべきことを記載する。

3.9

有効性(effectiveness)

計画した活動が実行され,計画した結果が達成された程度。

JIS Q 9000:2006]

3.10

インシデント(incident)

サービスに対する計画外の中断,サービスの品質の低下,又は顧客へのサービスにまだ影響していない

事象。

3.11

情報セキュリティ(information security)

情報の機密性,完全性及びアクセス性を維持すること。

注記 1  さらに,真正性,責任追跡性,否認防止及び信頼性のような特性もまた含めてもよい。

注記 2  この規格で定義されている“availability”という用語は,ここでの定義には適さないため用い

ていない。

注記 3  対応国際規格の“accessibility”に対して“アクセス性”の訳語を当てたが,これは JIS Q 

27001:2006

の“information security”の定義に用いられている“availability”と同じ意味であ

る。

注記 4  ISO/IEC 27000:2009 から部分的に採用。

3.12

情報セキュリティインシデント(information security incident)

望ましくない単独若しくは一連の情報セキュリティ事象,又は予期しない単独若しくは一連の情報セキ

ュリティ事象であって,事業運営を危うくする確率及び情報セキュリティを脅かす確率が高いもの。


6

Q 20000-1

:2012 (ISO/IEC 20000-1:2011)

ISO/IEC 27000:2009]

3.13

利害関係者(interested party)

サービス提供者の活動のパフォーマンス又は成功に特定の利害関係をもつ人又はグループ。

例  顧客,所有者,経営者,サービス提供者の組織内の人々,供給者,銀行家,組合又はパートナ。

注記 1  グループは,一つの組織,その一部又は複数の組織のこともある。

注記 2  JIS Q 9000:2006 から部分的に採用。

3.14

内部グループ(internal group)

サービスの設計,移行,提供及び改善に貢献するために,サービス提供者と合意文書を交わす,サービ

ス提供者の組織の一部。

注記  内部グループは,サービス提供者の SMS 適用の範囲外である。

3.15

既知の誤り(known error)

根本原因が特定されているか,若しくは回避策によってサービスへの影響を低減又は除去する方法があ

る問題。

3.16

不適合(nonconformity)

要求事項を満たしていないこと。

JIS Q 9000:2006]

3.17

組織(organization)

責任,権限及び相互関係が取り決められている人々及び施設の集まり。

例  会社,法人,事業所,企業,団体,慈善団体,個人業者(sole trader),協会,若しくはこれらの

一部又は組合せ。

注記 1  この取決めは,一般に秩序立っている。

注記 2  組織は,公的又は私的のいずれでもあり得る。

JIS Q 9000:2006]

3.18

予防処置(preventive action)

起こり得る不適合又はその他の起こり得る望ましくない状況の発生の原因を回避する若しくは除去する,

又はそれらの発生の可能性を低減するための処置。

注記  JIS Q 9000:2006 から部分的に採用。

3.19

問題(problem)

一つ以上のインシデントの根本原因。

注記  問題の記録が作成された時点では,通常はその根本原因は不明であり,問題管理プロセスは更

なる調査に対して責任をもつ。

3.20

手順(procedure)


7

Q 20000-1

:2012 (ISO/IEC 20000-1:2011)

活動又はプロセスを実行するために規定された方法。

JIS Q 9000:2006]

注記  手順は文書にすることもあり,しないこともある。

3.21

プロセス(process)

インプットをアウトプットに変換する,相互に関連する又は相互に作用する一連の活動。

JIS Q 9000:2006]

3.22

記録(record)

達成した結果を記述した,又は実施した活動の証拠を提供する文書。

JIS Q 9000:2006]

例  監査報告書,インシデント報告書,教育・訓練の記録又は会議の議事録。

3.23

リリース(release)

一つ以上の変更の結果として,稼働環境へ展開される,

新規又は変更された構成品目の一つ以上の集合。

3.24

変更要求(request for change)

サービス,サービスコンポーネント,又はサービスマネジメントシステムに対して行う変更についての

提案。

注記  サービス変更には,新規サービスの提供又は不要となったサービスの廃止を含む。

3.25

リスク(risk)

目的に対する不確かさの影響。

注記 1  影響とは,期待されていることから,好ましい方向及び/又は好ましくない方向にかい(乖)

離することをいう。

注記 2  目的は,例えば,財務,安全衛生,環境に関する到達目標など,異なった側面があり,戦略,

組織全体,プロジェクト,製品,プロセスなど,異なったレベルで設定されることがある。

注記 3  リスクは,起こり得る事象,結果又はこれらの組合せについて述べることによって,その特

徴を記述することが多い。

注記 4  リスクは,ある事象(周辺状況の変化を含む。)の結果とその発生の起こりやすさとの組合せ

として表現されることが多い。

JIS Q 31000:2010]

3.26

サービス(service)

顧客が達成することを望む成果を促進することによって,顧客に価値を提供する手段。

注記 1  サービスは,一般的に無形である。

注記 2  サービスは,供給者,内部グループ,又は供給者として活動する顧客によって,サービス提

供者にも提供され得る。

3.27

サービスコンポーネント(service component)


8

Q 20000-1

:2012 (ISO/IEC 20000-1:2011)

サービスの一つの単位であり,他の単位と組み合わされることで完結したサービスを提供する。

例  ハードウェア,ソフトウェア,ツール,アプリケーション,文書,情報,プロセス又は支援サー

ビス。

注記  サービスコンポーネントは,一つ以上の構成品目で構成し得る。

3.28

サービス継続(service continuity)

合意したレベルでサービスを継続的に提供するために,サービスに深刻な影響を及ぼす可能性のあるリ

スク及び事象を管理する能力。

3.29

サービスレベル合意書,SLA(service level agreement)

サービス及びサービス目標を特定した,サービス提供者と顧客との間の合意文書。

注記 1  サービスレベル合意書は,サービス提供者と,供給者,供給者として活動する内部グループ

又は顧客との間でも締結することができる。

注記 2  サービスレベル合意書は,契約書又は他の種類の合意文書に含めることができる。

3.30

サービスマネジメント(service management)

サービスの要求事項を満たし,サービスの設計,移行,提供及び改善のために,サービス提供者の活動

及び資源を,指揮し,管理する,一連の能力及びプロセス。

3.31

サービスマネジメントシステム,SMS(service management system)

サービス提供者のサービスマネジメントの活動を指揮し,管理するためのマネジメントシステム。

注記 1  マネジメントシステムは,方針及び目的を定め,その目的を達成するための,相互に関連す

る又は相互に作用する要素の集まりである。

注記 2 SMS には,サービスの設計,移行,提供及び改善のため,並びにこの規格の要求事項を満た

すために必要な,全てのサービスマネジメントの方針,目的,計画,プロセス,文書,及び

資源を含む。

注記 3  JIS Q 9000:2006 の“品質マネジメントシステム”の定義から部分的に採用。

3.32

サービス提供者(service provider)

顧客へのサービスを管理及び提供する組織,又は組織の一部。

注記  顧客は,サービス提供者にとって組織の内部又は外部のいずれでもあり得る。

3.33

サービス要求(service request)

情報,助言,サービスへのアクセス,又は事前に承認されている変更に対する要求。

3.34

サービスの要求事項(service requirement)

サービスレベルの要求事項を含む,顧客及びサービスの利用者のニーズ,並びにサービス提供者のニー

ズ。

3.35

供給者(supplier)


9

Q 20000-1

:2012 (ISO/IEC 20000-1:2011)

サービス又はプロセスの設計,移行,提供及び改善に貢献するために,サービス提供者と契約を結ぶ,

サービス提供者の組織の外部組織,又は組織の一部。

注記  供給者には,指定された統括供給者を含むが,その供給者の再請負契約先供給者は含まない。

3.36

トップマネジメント(top management)

最高位でサービス提供者を指揮し,管理する個人又はグループ。

注記  JIS Q 9000:2006 から部分的に採用。

3.37

移行(transition)

新規サービス又はサービス変更の,稼働環境への移動又は稼働環境からの移動に関わる活動。

サービスマネジメントシステムの一般要求事項 

4.1 

経営者の責任 

4.1.1 

経営者のコミットメント 

トップマネジメントは,SMS 及びサービスの計画,確立,導入,運用,監視,レビュー,維持及び改善

に対するコミットメントの証拠を,次によって提供しなければならない。

a)

サービスマネジメントの適用範囲,方針及び目的を確立し,周知する。

b)

方針に従い,サービスマネジメントの目的を達成し,サービスの要求事項を満たすために,サービス

マネジメントの計画が策定,実施及び維持されていることを確実にする。

c)

サービスの要求事項を満たすことの重要性を周知する。

d)

法令・規制要求事項及び契約上の義務を満たすことの重要性を周知する。

e)

資源の提供を確実にする。

f)

あらかじめ定めた間隔でマネジメントレビューを実施する。

g)

サービスに対するリスクが評価され,管理されていることを確実にする。

4.1.2 

サービスマネジメントの方針 

トップマネジメントは,サービスマネジメントの方針が次のとおりであることを確実にしなければなら

ない。

a)

サービス提供者の目的に対して適切である。

b)

サービスの要求事項を満たすことについてのコミットメントを含んでいる。

c)

4.5.5.1

に規定する継続的改善の方針によって,SMS 及びサービスの有効性を継続的に改善するという

コミットメントを含んでいる。

d)

サービスマネジメントの目的を確立し,レビューするための枠組みを提供する。

e)

サービス提供者の要員に周知され,理解されている。

f)

引き続き適切であるかについてレビューされている。

4.1.3 

権限,責任及びコミュニケーション 

トップマネジメントは,次の事項を確実にしなければならない。

a)

サービスマネジメントの権限及び責任が定められ,維持されている。

b)

コミュニケーションについて文書化された手順が確立され,導入されている。

4.1.4 

管理責任者 

トップマネジメントは,サービス提供者の管理層の中から管理責任者を任命しなければならない。管理


10

Q 20000-1

:2012 (ISO/IEC 20000-1:2011)

責任者は与えられている他の責任と関わりなく次に示す権限及び責任をもたなければならない。

a)

サービスの要求事項を特定し,文書化し,満たすための活動が実施されることを確実にする。

b)

サービスマネジメントの方針及び目的に従って,サービスマネジメントのプロセスが設計され,実施

され,改善されていることを確実にするための権限及び責任を割り当てる。

c)

サービスマネジメントのプロセスが SMS の他のコンポーネントと統合されていることを確実にする。

d)

サービスを提供するために使われる,ライセンスを含む資産が,法令・規制要求事項及び契約上の義

務に従って管理されていることを確実にする。

e) SMS

及びサービスのパフォーマンス及び改善の機会について,トップマネジメントに報告する。

4.2 

他の関係者が運用するプロセスのガバナンス 

箇条 5∼箇条 のプロセスでは,サービス提供者は,他の関係者が運用する全てのプロセス又はプロセ

スの一部を特定しなければならない。他の関係者とは,内部グループ,顧客又は供給者であり得る。サー

ビス提供者は他の関係者が運用するプロセスのガバナンスについて,次の事項によって実証しなければな

らない。

a)

プロセスに対する説明責任と,プロセスの順守を要求する権限とを実証する。

b)

プロセスの定義,及び他のプロセスとのインタフェースについて管理する。

c)

プロセスのパフォーマンス及びプロセス要求事項への適合について判断する。

d)

プロセスの改善についての計画立案及び優先度付けを管理する。

供給者がプロセスの一部を運用している場合,サービス提供者は供給者管理プロセスによって供給者を

管理しなければならない。内部グループ又は顧客がプロセスの一部を運用している場合,サービス提供者

はサービスレベル管理プロセスによって内部グループ又は顧客を管理しなければならない。

注記  ISO/IEC TR 20000-3 は,この規格の適用範囲の定義及び適用性の手引を提供する。これには,

他の関係者が運用するプロセスのガバナンスについての更なる説明を含む。

4.3 

文書の運用管理 

4.3.1 

文書の作成及び維持 

サービス提供者は,SMS の効果的な計画立案,運用及び管理を確実にするために,記録を含む文書を作

成し,維持しなければならない。これらの文書には次を含まなければならない。

a)

サービスマネジメントについての文書化した方針及び目的

b)

文書化したサービスマネジメントの計画

c)

この規格で要求する特定のプロセスのために作成された,文書化した方針及び計画

d)

文書化したサービスカタログ

e)

文書化した SLA

f)

文書化したサービスマネジメントのプロセス

g)

この規格で要求する,文書化した手順及び記録

h) SMS

の効果的な運用及びサービスの提供のために,サービス提供者が必要と判断した,付加的な文書。

これには外部で作成されたものを含む。

4.3.2 

文書管理 

SMS

が要求する文書は管理しなければならない。ただし,記録は文書の一種ではあるが,4.3.3 に規定す

る要求事項に従って管理しなければならない。

次の活動に必要な管理を規定するために,権限及び責任を含む文書化された手順を確立しなければなら

ない。


11

Q 20000-1

:2012 (ISO/IEC 20000-1:2011)

a)

文書を作成し,発行前に承認する。

b)

新規文書又は変更された文書について利害関係者に周知する。

c)

文書をレビューし,必要に応じて文書の維持管理を行う。

d)

文書の変更の識別及び現在有効な版の識別を確実にする。

e)

該当する文書の適切な版が,

必要なときに,

必要なところで使用可能な状態にあることを確実にする。

f)

文書は容易に識別可能であり,読みやすいことを確実にする。

g)

外部からの文書を明確にし,その配付が管理されていることを確実にする。

h)

廃止文書が誤って使用されないようにする。また,これらを保持する場合には,適切な識別をする。

4.3.3 

記録の管理 

記録は,要求事項への適合及び SMS の効果的運用を実証するために保管しなければならない。

記録の識別,保管,保護,検索,保管期間及び廃棄に関して必要な管理を規定するために,文書化され

た手順を確立しなければならない。記録は,読みやすく,容易に識別可能で,検索可能にしておかなけれ

ばならない。

4.4 

資源の運用管理 

4.4.1 

資源の提供 

サービス提供者は,次の事項を行うために必要な,人,技術,情報及び財務に関する資源を決定し,提

供しなければならない。

a) SMS

及びサービスを確立し,実施し,維持する。また,その有効性を継続的に改善する。

b)

顧客満足を,サービスの要求事項を満たすサービスを提供することによって向上する。

4.4.2 

人的資源 

サービスの要求事項への適合に影響がある仕事に従事するサービス提供者の要員は,適切な教育,

訓練,

技能及び経験を判断の根拠として,力量がなければならない。サービス提供者は次の事項を実施しなけれ

ばならない。

a)

要員に必要な力量を決定する。

b)

該当する場合,必要な力量がもてるように教育・訓練するか,又は他の処置をとる。

c)

とった処置の有効性を評価する。

d)

要員が,サービスマネジメントの目的の達成に向けて,及びサービスの要求事項を満たすために,自

らどのように貢献できるかを認識することを確実にする。

e)

教育,訓練,技能及び経験について該当する記録を維持する。

4.5 SMS

の確立及び改善 

4.5.1 

適用範囲の定義 

サービス提供者は,SMS を適用する範囲を定義し,サービスマネジメントの計画に含めなければならな

い。この適用範囲は,サービスを提供する組織の部署,及び提供するサービスの名称によって定義しなけ

ればならない。

サービス提供者は,次の事項を含む,提供するサービスに影響を及ぼす他の要因も考慮しなければなら

ない。

a)

サービス提供者がサービスを提供する地理的所在地

b)

顧客及び顧客の所在地

c)

サービスを提供するために使用する技術

注記  ISO/IEC TR 20000-3 は,この規格の適用範囲の定義及び適用性の手引を提供する。


12

Q 20000-1

:2012 (ISO/IEC 20000-1:2011)

4.5.2 SMS

の計画(Plan 

サービス提供者は,サービスマネジメントの計画を作成,実施及び維持しなければならない。計画立案

では,サービスマネジメントの方針,サービスの要求事項及びこの規格の要求事項を考慮しなければなら

ない。サービスマネジメントの計画には,少なくとも次の事項を含むか,又は参照しなければならない。

a)

サービス提供者が達成すべきサービスマネジメントの目的

b)

サービスの要求事項

c) SMS

に影響を及ぼし得る既知の制限

d)

方針,規格,法令・規制要求事項及び契約上の義務

e)

権限,責任及びプロセスにおける役割についての枠組み

f)

計画,サービスマネジメントのプロセス及びサービスに関する権限及び責任

g)

サービスマネジメントの目的を達成するために必要な,人,技術,情報及び財務に関する資源

h)

新規サービス又はサービス変更の設計及び移行プロセスに関与する他の関係者と作業を行うためにな

すべき取組み

i)

サービスマネジメントのプロセス間のインタフェースでなすべき取組み,及び SMS の他のコンポーネ

ントとの統合のためになすべき取組み

j)

リスクの管理及びリスク受容基準のためになすべき取組み

k) SMS

を支援するために使用する技術

l) SMS

及びサービスの有効性を測定,監査,報告,及び改善する方法

特定のプロセスのために作成された計画は,サービスマネジメントの計画と整合していなければならな

い。サービスマネジメントの計画及び特定のプロセスのために作成された計画は,あらかじめ定めた間隔

でレビューし,該当する場合,更新しなければならない。

4.5.3 SMS

の導入及び運用(Do 

サービス提供者は,サービスマネジメントの計画に従ってサービスを設計,移行,提供及び改善するた

めの SMS を,少なくとも次の事項を含む活動を通じて導入し,運用しなければならない。

a)

資金及び予算の割当て及び管理

b)

権限,責任及びプロセスにおける役割の割当て

c)

人,技術,及び情報に関する資源の管理

d)

サービスに対するリスクの特定,アセスメント及び管理

e)

サービスマネジメントのプロセスの管理

f)

サービスマネジメントの活動のパフォーマンスについての監視及び報告

4.5.4 SMS

の監視及びレビュー(Check 

4.5.4.1 

一般 

サービス提供者は,SMS 及びサービスの監視及び測定のために適切な方法を用いなければならない。こ

れらの方法には,内部監査及びマネジメントレビューを含めなければならない。

全ての内部監査及びマネジメントレビューの目的は文書化しなければならない。内部監査及びマネジメ

ントレビューは,SMS 及びサービスがサービスマネジメントの目的を達成し,サービスの要求事項を満た

す能力を実証するものでなければならない。この規格の要求事項,サービス提供者が特定した SMS の要求

事項,又はサービスの要求事項に対して,不適合を特定しなければならない。

特定された不適合,懸念事項及び処置を含む,内部監査及びマネジメントレビューの結果は,記録しな

ければならない。結果及び処置は利害関係者に周知しなければならない。


13

Q 20000-1

:2012 (ISO/IEC 20000-1:2011)

4.5.4.2 

内部監査 

サービス提供者は,SMS 及びサービスが次のとおりであるかを判断するために,あらかじめ定めた間隔

で内部監査を実施しなければならない。

a)

この規格の要求事項を満たしているか。

b)

サービス提供者が特定したサービスの要求事項及び SMS の要求事項を満たしているか。

c)

効果的に実施され,維持されているか。

監査の計画及び実施,結果の報告及び監査記録の維持に関する権限及び責任を含めた,文書化された手

順をもたなければならない。

監査プログラムを計画しなければならない。監査プログラムでは,監査の対象となるプロセス及び領域

の状況及び重要性,並びにこれまでの監査結果を考慮しなければならない。監査の基準,範囲,頻度及び

方法は文書化しなければならない。

監査員の選定及び監査の実施においては,監査の客観性及び公平性を確実にしなければならない。監査

員は,自らの仕事を監査してはならない。

不適合を周知し,優先度付けをし,処置の責任を割り当てなければならない。監査された領域に責任を

もつ管理者は,発見された不適合及びその原因を除去するために遅滞なく修正及び是正処置がとられるこ

とを確実にしなければならない。フォローアップには,とった処置の検証及び検証結果の報告を含めなけ

ればならない。

注記  マネジメントシステム監査のための指針については JIS Q 19011 を参照。

4.5.4.3 

マネジメントレビュー 

トップマネジメントは,SMS 及びサービスが,引続き適切で,有効であることを確実にするために,あ

らかじめ定めた間隔で SMS 及びサービスをレビューしなければならない。このレビューでは,サービスマ

ネジメントの方針及び目的を含む,SMS の改善の機会及び変更の必要性のアセスメントも行わなければな

らない。

マネジメントレビューへのインプットには少なくとも次の情報を含まなければならない。

a)

顧客からのフィードバック

b)

サービス及びプロセスのパフォーマンス及び適合性

c)

現在及び将来の,人,技術,情報及び財務に関する資源の程度

d)

現在及び将来の,人及び技術に関する能力

e)

リスク

f)

監査の結果及びフォローアップ処置

g)

前回までのマネジメントレビューの結果及びフォローアップ処置

h)

予防処置及び是正処置の状況

i) SMS

及びサービスに影響を及ぼす可能性のある変更

j)

改善の機会

マネジメントレビューの記録は,維持しなければならない。

マネジメントレビューの記録には,少なくとも資源,SMS の有効性の改善,及びサービスの改善に関連

する決定及び処置を含まなければならない。

4.5.5 SMS

の維持及び改善(Act 

4.5.5.1 

一般 

SMS

及びサービスの継続的改善の方針をもたなければならない。この方針には,改善の機会の評価基準


14

Q 20000-1

:2012 (ISO/IEC 20000-1:2011)

を含めなければならない。

改善の特定,文書化,評価,承認,優先度付け,管理,測定及び報告に対する権限及び責任を含む文書

化された手順をもたなければならない。是正処置及び予防処置を含む改善の機会を文書化しなければなら

ない。

特定された不適合の原因は,是正しなければならない。是正処置では,特定された不適合の再発を防止

するため,不適合の原因を除去する処置を講じなければならない。予防処置では,潜在的不適合の発生を

防止するため,潜在的不適合の原因を除去する処置を講じなければならない。

注記  是正処置及び予防処置についての詳細は,JIS Q 9001:2008 の 8.5 を参照。

4.5.5.2 

改善のマネジメント 

改善の機会は,優先度付けを行わなければならない。サービス提供者は,改善の機会について決定する

場合には,継続的改善のための方針における評価基準を用いなければならない。承認された改善について

計画しなければならない。

サービス提供者は,少なくとも次の事項を含む改善活動を管理しなければならない。

a)

品質,価値,能力,費用,生産性,資源の活用及びリスク低減のうち,一つ以上について改善の目標

を設定する。

b)

承認された改善が実施されることを確実にする。

c)

必要に応じて,サービスマネジメントの方針,計画,プロセス及び手順を改訂する。

d)

設定した目標に照らして実施された改善を測定し,目標が達成されていない場合は,必要な処置をと

る。

e)

実施した改善を報告する。

新規サービス又はサービス変更の設計及び移行 

5.1 

一般 

サービス提供者は,サービス又は顧客に重大な影響を及ぼす可能性がある全ての新規サービス及びサー

ビス変更に対して,このプロセスを使用しなければならない。箇条 に属する変更は,変更管理プロセス

の一部として合意された変更管理方針によって決定しなければならない。

箇条 に属する新規サービス又はサービス変更のアセスメント,承認,スケジューリング及びレビュー

は,変更管理プロセスによって制御しなければならない。箇条 に属する新規サービス又はサービス変更

によって影響を受ける CI は,構成管理プロセスによって管理しなければならない。

サービス提供者は,

合意したサービスの要求事項,

並びに 5.2 及び 5.3 に定める関連要求事項に照らして,

新規サービス又はサービス変更についての計画立案及び設計活動からのアウトプットをレビューしなけれ

ばならない。サービス提供者は,このレビューに基づいてアウトプットを受理又は却下しなければならな

い。サービス提供者は,新規サービス又はサービス変更を,受理されたアウトプットを用いて効果的に開

発し移行することを確実にするため,必要な処置をとらなければならない。

注記  新規サービス又はサービス変更の必要性は,事業ニーズを満たすため,又はサービスの有効性

を改善するために,顧客,サービス提供者,内部グループ又は供給者によって提起される可能

性がある。

5.2 

新規サービス又はサービス変更の計画 

サービス提供者は,新規サービス又はサービス変更に対するサービスの要求事項を特定しなければなら

ない。新規サービス又はサービス変更は,サービスの要求事項を満たすように計画しなければならない。


15

Q 20000-1

:2012 (ISO/IEC 20000-1:2011)

新規サービス又はサービス変更の計画立案について,顧客及び利害関係者と合意しなければならない。

計画立案へのインプットとして,サービス提供者は,新規サービス又はサービス変更の提供による,財

務,組織及び技術に関する潜在的な影響を考慮しなければならない。サービス提供者はまた,新規サービ

ス又はサービス変更が SMS に及ぼす潜在的影響を考慮しなければならない。

新規サービス又はサービス変更の計画立案には,少なくとも次の事項を含むか,又は参照しなければな

らない。

a)

設計,開発及び移行活動についての権限及び責任

b)

サービス提供者と他の関係者との間のインタフェースにおける活動を含む,サービス提供者及び他の

関係者によって実施される活動

c)

利害関係者とのコミュニケーション

d)

人,技術,情報,及び財務に関する資源

e)

計画した活動に割り当てられた期間

f)

リスクの特定,アセスメント及び管理

g)

他のサービスへの依存関係

h)

新規サービス又はサービス変更のために必要な試験

i)

サービス受入れ基準

j)

測定可能な形で表現された,新規サービス又はサービス変更の提供によって期待される成果

廃止するサービスについては,サービス提供者はサービス廃止を計画しなければならない。計画立案に

は,データ,文書及びサービスコンポーネントの,廃止,保管,廃棄又は移管の日付を含めなければなら

ない。サービスコンポーネントには,インフラストラクチャ及びライセンスを伴うアプリケーションを含

む場合がある。

サービス提供者は,新規サービス又はサービス変更のためのサービスコンポーネントの提供に関与する

他の関係者を特定しなければならない。サービス提供者は,サービスの要求事項を満たすための他の関係

者の能力を評価しなければならない。評価の結果は,記録し,必要な処置をとらなければならない。

5.3 

新規サービス又はサービス変更の設計及び開発 

新規サービス又はサービス変更は,少なくとも次の事項を含めて設計し,文書化しなければならない。

a)

新規サービス又はサービス変更の提供についての権限及び責任

b)

新規サービス又はサービス変更の提供のために,サービス提供者,顧客,及び他の関係者が実施する

活動

c)

適切な教育,訓練,技能及び経験に対する要求事項を含む,人的資源に関する新規又は変更された要

求事項

d)

新規サービス又はサービス変更の提供に関する財務資源の要求事項

e)

新規サービス又はサービス変更の提供を支援するための,新規の技術又は変更された技術

f)

この規格の要求に従った,新規又は変更された計画及び方針

g)

サービスの要求事項の変更に整合した,新規又は変更された契約及び他の合意文書

h) SMS

の変更

i)

新規又は変更された SLA

j)

サービスカタログの更新

k)

新規サービス又はサービス変更の提供のために使用する手順,尺度及び情報

サービス提供者は,設計によって新規サービス又はサービス変更がサービスの要求事項を満たすことを


16

Q 20000-1

:2012 (ISO/IEC 20000-1:2011)

確実にしなければならない。

新規サービス又はサービス変更は,文書化された設計に従って開発しなければならない。

注記  設計についての詳細は,JIS Q 9001:2008 の 7.3 に記載の設計・開発のプロセス,又は ISO/IEC 

15288:2008

の 6.4.3 に記載のアーキテクチャ設計プロセスを参照。

5.4 

新規サービス又はサービス変更の移行 

新規サービス又はサービス変更は,それがサービスの要求事項及び文書化された設計を満たすことを検

証するために,試験しなければならない。新規サービス又はサービス変更は,サービス提供者と利害関係

者とがあらかじめ合意したサービス受入れ基準に照らして検証しなければならない。サービス受入れ基準

が満たされていない場合には,サービス提供者及び利害関係者は,必要な処置及び展開について決定しな

ければならない。

承認された新規サービス又はサービス変更を稼働環境へ展開するために,リリース及び展開管理プロセ

スを使用しなければならない。

移行活動が完了した後,サービス提供者は利害関係者に,期待される成果に照らして実現された成果を

報告しなければならない。

サービス提供プロセス 

6.1 

サービスレベル管理 

サービス提供者は,提供するサービスについて顧客と合意しなければならない。

サービス提供者は,

サービスカタログについて顧客と合意しなければならない。

サービスカタログには,

サービスとサービスコンポーネントとの依存関係を含めなければならない。

提供する各サービスについて,一つ以上の SLA を顧客と合意しなければならない。SLA を作成する場

合には,サービス提供者はサービスの要求事項を考慮しなければならない。SLA には合意したサービス目

標,作業負荷の特性及び例外を含めなければならない。

サービス提供者は,顧客とともに,あらかじめ定めた間隔でサービス及び SLA をレビューしなければな

らない。

文書化されたサービスの要求事項,サービスカタログ,SLA,及び他の合意文書に対する変更は,変更

管理プロセスによって管理しなければならない。サービスカタログは,サービス及び SLA の変更後,それ

らが整合していることを確実にするために,維持しなければならない。

サービス提供者は,あらかじめ定めた間隔で,サービス目標に照らして傾向及びパフォーマンスを監視

しなければならない。結果は,不適合の原因及び改善の機会を特定するために,記録し,レビューしなけ

ればならない。

サービス提供者は,内部グループ又は顧客が提供するサービスコンポーネントについて,それらの活動

及び二者間のインタフェースを定義する合意文書を,策定,合意,レビュー及び維持しなければならない。

サービス提供者は,合意したサービス目標及びその他の合意したコミットメントに照らして,内部グルー

プ又は顧客のパフォーマンスを,あらかじめ定めた間隔で監視しなければならない。結果は,不適合の原

因及び改善の機会を特定するために記録し,レビューしなければならない。

6.2 

サービスの報告 

識別,目的,報告先,頻度及びデータの出所に関する詳細を含むサービス報告書の記載内容は,サービ

ス提供者が文書化し,利害関係者と合意しなければならない。

サービス報告書は,サービスマネジメントのプロセスを含む,サービスの提供及び SMS 活動から得られ


17

Q 20000-1

:2012 (ISO/IEC 20000-1:2011)

る情報を用いて,サービスのために作成しなければならない。サービスの報告には,少なくとも次を含め

なければならない。

a)

サービス目標に対するパフォーマンス

b)

少なくとも,重大なインシデント,新規サービス又はサービス変更の展開,及び発動されたサービス

継続計画を含む,重要な事象に関する情報

c)

作業量及び定期的な変更を含む,作業負荷の特性

d)

この規格の要求事項,SMS の要求事項又はサービスの要求事項に対して検出された不適合,及び特定

されたそれらの原因

e)

傾向情報

f)

顧客満足度測定,サービスに対する苦情,並びに満足度測定及び苦情の分析結果

サービス提供者は,サービス報告書の所見に基づいて決定を行い,処置をとらなければならない。合意

した処置は,利害関係者に伝達しなければならない。

6.3 

サービス継続及び可用性管理 

6.3.1 

サービス継続及び可用性の要求事項 

サービス提供者は,サービス継続及び可用性に対するリスクを評価し文書化しなければならない。サー

ビス提供者は,サービス継続及び可用性の要求事項について特定し,顧客及び利害関係者と合意しなけれ

ばならない。合意した要求事項では,適用可能な事業計画,サービスの要求事項,SLA 及びリスクを考慮

しなければならない。

合意したサービス継続及び可用性の要求事項には,少なくとも次を含めなければならない。

a)

サービスへのアクセス権

b)

サービス応答時間

c)

サービス全体(end-to-end)の可用性

6.3.2 

サービス継続及び可用性の計画 

サービス提供者は,サービス継続及び可用性の計画を作成,導入,及び維持しなければならない。これ

らの計画の変更は,変更管理プロセスで管理しなければならない。

サービス継続計画には,少なくとも次を含めなければならない。

a)

重大なサービスの停止の場合に実施する手順,又はその参照

b)

計画が発動された場合の可用性の目標

c)

復旧の要求事項

d)

平常業務の状態に復帰するための取組み

サービス継続計画,連絡先一覧及び CMDB は,通常のサービス提供領域へのアクセスが妨げられた場合

でも利用可能でなければならない。

可用性計画には,少なくとも可用性の要求事項及び目標を含めなければならない。

サービス提供者は,サービス継続及び可用性の計画への変更要求の影響を評価しなければならない。

注記  サービス継続及び可用性の計画は,一つの文書に統合してもよい。

6.3.3 

サービス継続及び可用性の監視及び試験 

サービスの可用性を監視し,その結果を記録して,合意した目標と比較しなければならない。計画外の

可用性の喪失は,調査し,必要な処置をとらなければならない。

サービス継続計画は,サービス継続の要求事項に照らして試験しなければならない。可用性計画は,可

用性の要求事項に照らして試験しなければならない。サービス提供者がサービスを運用するサービス環境


18

Q 20000-1

:2012 (ISO/IEC 20000-1:2011)

に重大な変更があった場合,サービス継続及び可用性の計画を再度試験しなければならない。

試験の結果は記録しなければならない。各試験後,及びサービス継続計画の発動後,レビューを実施し

なければならない。不備が見つかった場合には,サービス提供者は必要な処置をとり,とった処置につい

て報告しなければならない。

6.4 

サービスの予算業務及び会計業務 

サービスの予算業務及び会計業務プロセスと,他の財務管理プロセスとの間に,定義されたインタフェ

ースをもたなければならない。

次の事項について,方針及び文書化された手順をもたなければならない。

a)

少なくとも次の事項を含む,サービスコンポーネントのための予算業務及び会計業務

1)

サービスを提供するために使用する資産(ライセンスを含む。

2)

共有資源

3)

間接工数

4)

資本及び運営経費

5)

外部から提供されるサービス

6)

要員

7)

設備

b)

各サービスに全体的な費用を提供するための,サービスへの間接費の配賦及び直接費の割当て

c)

効果的な財務管理及び承認

費用は,提供するサービスについての効果的な財務管理及び意思決定ができるように予算化しなければ

ならない。

サービス提供者は,予算に照らして費用を監視及び報告し,財務予測をレビューし,費用を管理しなけ

ればならない。

変更要求にかかる費用の根拠として,変更管理プロセスに情報を提供しなければならない。

注記  多くのサービス提供者はサービスに課金している。サービスの予算業務及び会計業務プロセス

の範囲には,課金は含まない。

6.5 

容量・能力管理 

サービス提供者は,容量・能力及びパフォーマンスの要求事項を特定し,これについて顧客及び利害関

係者と合意しなければならない。

サービス提供者は,人,技術,情報及び財務に関する資源を考慮して,容量・能力の計画を作成,実施

及び維持しなければならない。容量・能力の計画の変更は,変更管理プロセスで管理しなければならない。

容量・能力の計画には,少なくとも次を含めなければならない。

a)

現在及び将来の,サービスに対する需要

b)

可用性,サービス継続及びサービスレベルについて合意した要求事項から予想される影響

c)

サービスの容量・能力を拡張させるための,期間,しきい(閾)値及び費用

d)

法令,規制,契約又は組織変更上の,潜在的影響

e)

新規技術及び新規技法による潜在的影響

f)

予測分析を可能にする手順,又はその参照

サービス提供者は,容量・能力の利用を監視し,容量・能力のデータを分析し,パフォーマンスを調整

しなければならない。サービス提供者は,合意した容量・能力及びパフォーマンスの要求事項を満たすた

めに,十分な容量・能力を提供しなければならない。


19

Q 20000-1

:2012 (ISO/IEC 20000-1:2011)

6.6 

情報セキュリティ管理 

6.6.1 

情報セキュリティ基本方針 

適切な権限をもつ経営者は,サービスの要求事項,法令・規制要求事項及び契約上の義務を考慮して,

情報セキュリティ基本方針を承認しなければならない。経営者は次を実施しなければならない。

a)

サービス提供者,顧客及び供給者の内部の適切な要員に,情報セキュリティ基本方針及びこの方針の

順守の重要性を周知する。

b)

情報セキュリティマネジメントの目的が確立されていることを確実にする。

c)

情報セキュリティリスク及びリスク受容基準の管理のためになすべき取組みを定義する。

d)

情報セキュリティリスクアセスメントを,あらかじめ定めた間隔で実施することを確実にする。

e)

情報セキュリティ内部監査を実施することを確実にする。

f)

改善の機会を特定するため,監査結果をレビューすることを確実にする。

6.6.2 

情報セキュリティ管理策 

サービス提供者は,次のために物理的,実務管理的,及び技術的な情報セキュリティ管理策を導入し,

運用しなければならない。

a)

情報資産の機密性,完全性及びアクセス性を保つ。

b)

情報セキュリティ基本方針の要求事項を満たす。

c)

情報セキュリティ管理の目的を達成する。

d)

情報セキュリティに関連するリスクを管理する。

これらの情報セキュリティ管理策を文書化し,管理策が関連するリスク,管理策の運用及び維持につい

て記述しなければならない。

サービス提供者は,情報セキュリティ管理策の有効性をレビューしなければならない。サービス提供者

は,必要な処置をとり,とった処置について報告しなければならない。

サービス提供者は,サービス提供者の情報又はサービスにアクセスし,利用又は管理する必要がある外

部組織を特定しなければならない。サービス提供者は,情報セキュリティ管理策について,これらの外部

組織と文書化し,合意し,実施しなければならない。

6.6.3 

情報セキュリティの変更及びインシデント 

次を特定するために,変更要求を評価しなければならない。

a)

新たな情報セキュリティリスク,又は変化した情報セキュリティリスク

b)

既存の情報セキュリティ基本方針及び管理策への潜在的影響

情報セキュリティインシデントは,情報セキュリティリスクに適した優先度に従い,インシデント管理

手順を用いて管理しなければならない。サービス提供者は,情報セキュリティインシデントの種類,数及

び影響を分析しなければならない。情報セキュリティインシデントは,改善の機会を特定するため,報告

し,レビューしなければならない。

注記  ISO/IEC 27000 ファミリー規格は,情報セキュリティマネジメントシステムの要求事項を規定

し,導入及び運用を支援するための手引を提供する。

関係プロセス 

7.1 

事業関係管理 

サービス提供者は,サービスの顧客,利用者及び利害関係者を特定し,文書化しなければならない。

各顧客について,サービス提供者は顧客関係及び顧客満足を管理する責任をもつ個人を指名しなければ


20

Q 20000-1

:2012 (ISO/IEC 20000-1:2011)

ならない。

サービス提供者は,顧客との間にコミュニケーションの仕組みを確立しなければならない。コミュニケ

ーションの仕組みによって,サービスを運用する事業環境及び新規サービス又はサービス変更に対する要

求事項の理解を促進しなければならない。この情報は,サービス提供者のこれらの要求事項への対応を可

能にするものでなければならない。

サービス提供者は顧客とともに,あらかじめ定めた間隔で,サービスのパフォーマンスをレビューしな

ければならない。

文書化されたサービスの要求事項の変更は,変更管理プロセスで管理しなければならない。SLA の変更

は,サービスレベル管理プロセスと連携しなければならない。

サービスに対する苦情の定義について,顧客と合意しなければならない。顧客からのサービスに対する

苦情を管理する文書化された手順をもたなければならない。サービス提供者は,サービスに対する苦情を

記録,調査,対処,報告及び終了しなければならない。通常の経路ではサービスに対する苦情が解決しな

かった場合には,顧客に別の経路を提供しなければならない。

サービス提供者は,顧客及びサービスの利用者の代表的なサンプルに基づき,あらかじめ定めた間隔で

顧客満足度を測定しなければならない。その結果は,改善の機会を特定するために,分析し,レビューし

なければならない。

7.2 

供給者管理 

サービス提供者は,サービスマネジメントのプロセスの一部の導入及び運用のために供給者を用いても

よい。サプライチェーン関係の例を

図 に示す。

図 3−サプライチェーン関係の例

各供給者について,サービス提供者は,供給者との関係,契約及び供給者のパフォーマンスの管理に責

任をもつ個人を指名しなければならない。

サービス提供者及び供給者は,契約文書について合意しなければならない。契約には次を含めるか,又

は参照しなければならない。

a)

供給者が提供するサービスの範囲

b)

サービス,プロセス及び関係者の間の依存関係

c)

供給者が満たす要求事項

d)

サービス目標

e)

供給者及び他の関係者が運用するサービスマネジメントのプロセス間のインタフェース

f) SMS

の範囲内の供給者の活動の統合

g)

作業負荷の特性

h)

契約の例外及びその対処法

再請負契約先 
供給者  3a

供給者  1

供給者  2

統括供給者  3

サービス

提供者

顧客


21

Q 20000-1

:2012 (ISO/IEC 20000-1:2011)

i)

サービス提供者及び供給者の権限及び責任

j)

供給者が提供する報告及びコミュニケーション

k)

課金の根拠

l)

予定どおりの,又は早期の契約の終了,及び他の関係者へのサービスの移管に関する活動及び責任

サービス提供者は,サービス提供者と顧客との間の SLA を支え,整合を図るため,サービスレベルにつ

いて供給者と合意しなければならない。

サービス提供者は,統括供給者及び再請負契約先供給者の役割,及びそれらの関係が文書化されている

ことを確実にしなければならない。再請負契約先供給者が契約上の義務を果たすよう,統括供給者が管理

していることを,サービス提供者は検証しなければならない。

サービス提供者は,あらかじめ定めた間隔で供給者のパフォーマンスを監視しなければならない。パフ

ォーマンスは,サービス目標及びその他の契約上の義務に照らして測定しなければならない。結果は記録

し,不適合の原因及び改善の機会を特定するためにレビューしなければならない。レビューは,契約が最

新の要求事項を反映していることも確実にしなければならない。

契約の変更は,変更管理プロセスによって管理しなければならない。

サービス提供者と供給者との間の契約上の紛争を管理するための,文書化された手順をもたなければな

らない。

注記 1  供給者管理プロセスの適用範囲には,供給者の選定及びサービスの調達は含まない。

注記 2  サプライチェーン関係のその他の例については,ISO/IEC TR 20000-3 を参照。

解決プロセス 

8.1 

インシデント及びサービス要求管理 

次の項目を規定する全てのインシデントに対する文書化された手順をもたなければならない。

a)

記録

b)

優先度の割当て

c)

分類

d)

記録の更新

e)

段階的取扱い

f)

解決

g)

終了

記録作成から終了に至るまで,サービス要求の実現を管理するための文書化された手順をもたなければ

ならない。インシデント及びサービス要求はこれらの手順に従って管理しなければならない。

インシデント及びサービス要求の優先度付けを行う場合は,サービス提供者はインシデント又はサービ

ス要求の影響及び緊急度を考慮しなければならない。

サービス提供者は,インシデント及びサービス要求管理プロセスに関与する要員が,関連する情報にア

クセスし,使用できることを確実にしなければならない。関連する情報には,サービス要求管理の手順,

既知の誤り,問題解決策及び CMDB を含めなければならない。リリース及び展開管理プロセスから得られ

る,リリースの成功又は失敗,及び将来のリリースの期日に関する情報は,インシデント及びサービス要

求管理プロセスによって使用されなければならない。

サービス提供者は,報告されたインシデント又はサービス要求の進捗状況について,継続的に顧客に情

報を提供しなければならない。サービス目標が達成されない場合は,サービス提供者は顧客及び利害関係


22

Q 20000-1

:2012 (ISO/IEC 20000-1:2011)

者に通知し,手順に従って段階的取扱いを行わなければならない。

サービス提供者は,重大なインシデントの定義について文書化し,顧客と合意しなければならない。重

大なインシデントは,文書化された手順に従って分類し,管理しなければならない。トップマネジメント

に,重大なインシデントについて通知しなければならない。トップマネジメントは,重大なインシデント

の管理に責任をもつ特定の個人が指名されていることを確実にしなければならない。合意されたサービス

の回復後,改善の機会を特定するために,重大なインシデントをレビューしなければならない。

8.2 

問題管理 

問題を特定し,インシデント及び問題の影響を最小化又は回避するための文書化された手順をもたなけ

ればならない。問題のための手順では,次の項目を規定しなければならない。

a)

識別

b)

記録

c)

優先度の割当て

d)

分類

e)

記録の更新

f)

段階的取扱い

g)

解決

h)

終了

問題は手順に従って管理しなければならない。

サービス提供者は,根本原因及び潜在的な予防処置を特定するため,インシデント及び問題のデータ及

び傾向を分析しなければならない。

CI

の変更を必要とする問題は,変更要求を提起することによって解決しなければならない。

根本原因が特定されたが,問題が恒久的に解決されていない場合,サービス提供者はその問題がサービ

スに及ぼす影響を低減又は除去するための処置を特定しなければならない。既知の誤りを記録しなければ

ならない。

問題解決の有効性を監視し,レビューし,報告しなければならない。

既知の誤り及び問題解決策に関する最新の情報を,インシデント及びサービス要求管理プロセスに提供

しなければならない。

統合的制御プロセス 

9.1 

構成管理 

CI

の種類ごとの定義について文書化しなければならない。各 CI について記録した情報は,効果的な管

理を確実にし,少なくとも次を含まなければならない。

a) CI

についての記述

b) CI

と他の CI との関係

c) CI

とサービスコンポーネントとの関係

d)

状態

e)

f)

場所

g)

ひも(紐)付けされた変更要求

h)

ひも(紐)付けされた問題及び既知の誤り


23

Q 20000-1

:2012 (ISO/IEC 20000-1:2011)

CI

は一意に特定し,CMDB に記録しなければならない。CMDB は更新アクセスの制御を含め,その信

頼性及び正確性を確実にするために管理しなければならない。

CI

の版を記録,制御及び追跡するための文書化された手順をもたなければならない。制御の程度は,サ

ービスの要求事項及び CI に関連するリスクを考慮して,

サービス及びサービスコンポーネントの完全性を

維持するものでなければならない。

サービス提供者は,あらかじめ定めた間隔で,CMDB に保管されている記録を監査しなければならない。

欠陥がある場合には,

サービス提供者は必要な処置をとり,

とった処置について報告しなければならない。

CMDB

からの情報は,変更要求のアセスメントを支援するために,変更管理プロセスに提供しなければ

ならない。

CI

の変更は,CI 及び CMDB にあるデータの完全性を確実にするため,追跡可能かつ監査可能でなけれ

ばならない。

影響を受ける CI の構成ベースラインは,

稼働環境へのリリースの展開に先立ってとらなければならない。

CMDB

に記録されている CI の原本は,構成記録が参照している,セキュリティが保たれた物理的又は

電子的な格納庫に収納しなければならない。原本には少なくとも,文書,ライセンス情報,ソフトウェア,

及び入手可能な場合は,ハードウェア構成の配置図を含めなければならない。

構成管理プロセスと財務資産管理プロセスとの間には定義されたインタフェースをもたなければならな

い。

注記  構成管理プロセスの適用範囲には,財務資産管理を含まない。

9.2 

変更管理 

変更管理方針を確立し,次を定義しなければならない。

a)

変更管理が制御している CI

b)

サービス又は顧客に重大な影響を及ぼす可能性のある変更を判断する基準

サービスの廃止は,重大な影響を及ぼす可能性のあるサービス変更として分類しなければならない。サ

ービス提供者から顧客又は他の関係者へのサービスの移管は,重大な影響を及ぼす可能性のある変更とし

て分類しなければならない。

変更要求を記録し,分類し,評価し,承認する文書化された手順をもたなければならない。

サービス提供者は,緊急変更の定義について文書化し,顧客と合意しなければならない。緊急変更を管

理する文書化された手順をもたなければならない。

サービス又はサービスコンポーネントへの全ての変更は,変更要求を用いて提起しなければならない。

変更要求は定義された適用範囲をもたなければならない。

全ての変更要求は記録し,分類しなければならない。サービス又は顧客に重大な影響を及ぼす可能性が

あるとして分類された変更要求は,新規サービス又はサービス変更の設計及び移行プロセスを用いて管理

しなければならない。変更管理方針で定義された,CI に対する他の全ての変更要求は,変更管理プロセス

を用いて管理しなければならない。

変更要求は,変更管理プロセス及びその他のプロセスからの情報を用いて評価しなければならない。

サービス提供者及び利害関係者は,

変更要求の受入れについて決定しなければならない。

意思決定では,

リスク,サービス及び顧客への潜在的影響,サービスの要求事項,事業利益,技術的実現可能性並びに財

務的な影響を考慮しなければならない。

承認された変更は,開発し,試験しなければならない。

承認された変更の詳細及びその展開の期日案を含む変更スケジュールを策定し,利害関係者に周知しな


24

Q 20000-1

:2012 (ISO/IEC 20000-1:2011)

ければならない。変更スケジュールは,リリース展開の計画立案の基礎として使用しなければならない。

失敗した変更を元に戻す,又は修正するために必要な活動を計画し,可能な場合には,試験しなければ

ならない。変更が失敗した場合には,元に戻すか,又は修正しなければならない。失敗した変更は,調査

し,合意した処置をとらなければならない。

CMDB

の記録は,変更の展開の成功後に更新しなければならない。

サービス提供者は,有効性について変更をレビューし,利害関係者と合意した処置をとらなければなら

ない。

変更要求は,傾向を検知するため,あらかじめ定めた間隔で分析しなければならない。分析から導き出

された結果及び結論は記録し,改善の機会を特定するためにレビューしなければならない。

9.3 

リリース及び展開管理 

サービス提供者は,リリースの頻度及び種類を記述したリリース方針を策定し,顧客と合意しなければ

ならない。

サービス提供者は,新規サービス又はサービス変更,及びサービスコンポーネントの稼働環境への展開

について,顧客及び利害関係者とともに計画を策定しなければならない。計画立案は変更管理プロセスと

連携しなければならず,関連する変更要求,既知の誤り及びリリースによって終了する問題の参照を含め

なければならない。計画立案には,各リリースの展開の日付,成果物及び展開方法を含めなければならな

い。

サービス提供者は,緊急のリリースの定義について文書化し,顧客と合意しなければならない。緊急の

リリースは緊急変更手順とのインタフェースが図られている文書化された手順に従って管理しなければな

らない。

リリースは,展開の前に構築し,試験しなければならない。リリースの構築及び試験には,制御された

受入れ試験環境を使用しなければならない。

リリースの受入れ基準について,顧客及び利害関係者と合意しなければならない。リリースは,合意し

た受入れ基準に基づいて検証し,展開前に承認しなければならない。受入れ基準を満たしていない場合に

は,サービス提供者は必要な処置及び利害関係者への展開について決定しなければならない。

リリース展開の場合にハードウェア,ソフトウェア及びその他のサービスコンポーネントの完全性が維

持されるように,リリースを稼働環境に展開しなければならない。

リリース展開の失敗を元に戻す,又は修正するために必要な活動を計画し,可能な場合には,試験しな

ければならない。リリース展開が失敗した場合には,元に戻すか,又は修正しなければならない。リリー

スの失敗は調査し,合意した処置をとらなければならない。

リリースの成功又は失敗は,監視し,分析しなければならない。測定には,リリース展開後のリリース

に関連するインシデントを含めなければならない。分析には,リリースの顧客への影響のアセスメントを

含めなければならない。分析から導き出された結果及び結論は記録し,改善の機会を特定するためにレビ

ューしなければならない。

リリースの成功又は失敗に関する情報,

及び将来のリリース期日についての情報を,

変更管理プロセス,

並びにインシデント及びサービス要求管理プロセスに提供しなければならない。

変更要求がリリース及び展開計画に及ぼす影響のアセスメントを支援するため,変更管理プロセスに情

報を提供しなければならない。


25

Q 20000-1

:2012 (ISO/IEC 20000-1:2011)

参考文献

[1]

JIS Q 9000:2006

  品質マネジメントシステム−基本及び用語

注記  対応国際規格:ISO 9000:2005,Quality management systems−Fundamentals and vocabulary

(IDT)

[2]

JIS Q 9001

  品質マネジメントシステム−要求事項

注記  対応国際規格:ISO 9001,Quality management systems−Requirements(IDT)

[3]

JIS Q 9004

  組織の持続的成功のための運営管理−品質マネジメントアプローチ

注記  対応国際規格:ISO 9004,Managing for the sustained success of an organization−A quality

management approach

(IDT)

[4]

JIS Q 10002

  品質マネジメント−顧客満足−組織における苦情対応のための指針

注記  対応国際規格:ISO 10002,Quality management−Customer satisfaction−Guidelines for

complaints handling in organizations

(IDT)

[5]

JIS Q 19011

  マネジメントシステム監査のための指針

注記  対応国際規格:ISO 19011,Guidelines for auditing management systems(IDT)

[6]

JIS Q 20000-2:2007

  情報技術−サービスマネジメント−第 2 部:実践のための規範

注記  対応国際規格:ISO/IEC 20000-2:2005,Information technology−Service management−Part 2:

Code of practice

(IDT)

[7]

JIS Q 27001:2006

  情報技術−セキュリティ技術−情報セキュリティマネジメントシステム−要求

事項

注記  対 応 国 際 規 格 : ISO/IEC 27001:2005 , Information technology − Security techniques −

Information security management systems

−Requirements(IDT)

[8]

JIS Q 31000

  リスクマネジメント−原則及び指針

注記  対応国際規格:ISO 31000,Risk management−Principles and guidelines(IDT)

[9]

JIS X 0145-1

  情報技術−プロセスアセスメント−第 1 部:概念及び用語

注記  対応国際規格:ISO/IEC 15504-1,Information technology−Process assessment−Part 1:

Concepts and vocabulary

(IDT)

[10]  JIS X 0145-2

  情報技術−プロセスアセスメント−第 2 部:アセスメントの実施

注記  対応国際規格:ISO/IEC 15504-2,Information technology−Process assessment−Part 2:

Performing an assessment

(IDT)

[11]  JIS X 0145-3

  情報技術−プロセスアセスメント−第 3 部:アセスメント実施の手引

注記  対応国際規格:ISO/IEC 15504-3,Information technology−Process assessment−Part 3:

Guidance on performing an assessment

(IDT)

[12]  JIS X 0164-1

  ソフトウェア資産管理−第 1 部:プロセス

注記  対応国際規格:ISO/IEC 19770-1,Information technology−Software asset management−Part

1: Processes

(IDT)

[13]  ISO 10007

,Quality management systems−Guidelines for configuration management

[14]  ISO/IEC 15288

,Systems and software engineering−System life cycle processes


26

Q 20000-1

:2012 (ISO/IEC 20000-1:2011)

[15]  ISO/IEC TR 20000-3

,Information technology− Service management−Part 3: Guidance on scope

definition and applicability of ISO/IEC 20000-1

[16]  ISO/IEC TR 20000-4

,Information technology−Service management−Part 4: Process reference model

[17]  ISO/IEC TR 20000-5

,Information technology−Service management−Part 5: Exemplar implementation

plan for ISO/IEC 20000-1

[18]  ISO/IEC/IEEE 24765:2010

,Systems and software engineering−Vocabulary

[19]  ISO/IEC 27000:2009

,Information technology−Security techniques−Information security management

systems

−Overview and vocabulary

[20]  ISO/IEC 27005

,Information technology−Security techniques−Information security risk management