X 33002:2017 (ISO/IEC 33002:2015)
(1)
目 次
ページ
序文 ··································································································································· 1
1 適用範囲························································································································· 1
2 引用規格························································································································· 1
3 用語及び定義 ··················································································································· 2
4 アセスメントの実施 ·········································································································· 2
4.1 一般要求事項 ················································································································ 2
4.2 アセスメントアクティビティ ··························································································· 3
4.3 役割,責任及び適格性 ···································································································· 5
4.4 アセスメント入力 ·········································································································· 6
4.5 アセスメント記録 ·········································································································· 7
4.6 アセスメントのクラス ···································································································· 7
4.7 プロセス能力のアセスメント ··························································································· 9
5 プロセスアセスメントの適合性検証 ···················································································· 10
附属書A(規定)独立性のカテゴリ ························································································ 11
附属書B(参考)アセスメント報告書の内容例 ·········································································· 12
参考文献 ···························································································································· 14
X 33002:2017 (ISO/IEC 33002:2015)
(2)
まえがき
この規格は,工業標準化法第12条第1項の規定に基づき,一般社団法人情報処理学会(IPSJ)及び一般
財団法人日本規格協会(JSA)から,工業標準原案を具して日本工業規格を制定すべきとの申出があり,
日本工業標準調査会の審議を経て,経済産業大臣が制定した日本工業規格である。
ソフトウェア開発を主たる対象としたプロセスアセスメント手法をセキュリティ,セーフティ,サービ
スなど,より広い範囲に適用するべく,国際規格ISO/IEC 15504シリーズ(JIS X 0145シリーズ)の枠組
みが見直されて,ISO/IEC 33000シリーズへの移行及び再構築が行われており,これに対応して,この規
格の制定を行った。
この規格は,著作権法で保護対象となっている著作物である。
この規格の一部が,特許権,出願公開後の特許出願又は実用新案権に抵触する可能性があることに注意
を喚起する。経済産業大臣及び日本工業標準調査会は,このような特許権,出願公開後の特許出願及び実
用新案権に関わる確認について,責任はもたない。
日本工業規格 JIS
X 33002:2017
(ISO/IEC 33002:2015)
情報技術−プロセスアセスメント−
プロセスアセスメント実施に対する要求事項
Information technology-Process assessment-
Requirements for performing process assessment
序文
この規格は,2015年に第1版として発行されたISO/IEC 33002を基に,技術的内容及び構成を変更する
ことなく作成した日本工業規格である。
この規格では,規格番号“330xx”の一連のJIS及びISO/IEC規格全体を総称する場合は,“規格類”と
呼ぶ。
なお,この規格で点線の下線を施してある参考事項は,対応国際規格にはない事項である。
1
適用範囲
この規格は,診断対象プロセスのアセスメント結果が,客観的で,一貫していて,再現可能であり,か
つ,代表的であることを確実にするアセスメント実施のための最小限の要求事項を定義する。
この規格で定義している要求事項は,組織又は組織の代行者が次の目的で使用できる。
a) 自己アセスメントを促進する。
b) プロセスパフォーマンスを向上し,プロセスに関連するリスクを軽減するための基盤を提供する。
c) 関連するプロセス品質特性の達成度合を評定する。
d) 組織間の客観的なベンチマークを提供する。
この規格は,全ての適用分野及びあらゆる大きさの組織に適用できる。
注記1 この規格は,ソフトウェア又は情報分野が対象である。
注記2 組織は,システム内において統合されたプロセスの集合を実装できる。
注記3 この規格の対応国際規格及びその対応の程度を表す記号を,次に示す。
ISO/IEC 33002:2015,Information technology−Process assessment−Requirements for performing
process assessment(IDT)
なお,対応の程度を表す記号“IDT”は,ISO/IEC Guide 21-1に基づき,“一致している”
ことを示す。
2
引用規格
次に掲げる規格は,この規格に引用されることによって,この規格の規定の一部を構成する。これらの
引用規格は,記載の年の版を適用し,その後の改正版(追補を含む。)は適用しない。
JIS X 33001:2017 情報技術−プロセスアセスメント−概念及び用語
注記 対応国際規格:ISO/IEC 33001:2015,Information technology−Process assessment−Concepts and
2
X 33002:2017 (ISO/IEC 33002:2015)
terminology
ISO/IEC 33003:2015,Information technology−Process assessment−Requirements for process measurement
frameworks
ISO/IEC 33004:2015,Information technology−Process assessment−Requirements for process reference,
process assessment and maturity models
3
用語及び定義
この規格で用いる主な用語及び定義は,JIS X 33001:2017による。
4
アセスメントの実施
プロセスアセスメントは,組織単位で実行されるプロセスを理解し,診断することを目的とする。
プロセスアセスメントプロセスの鍵となる要素を図1に示す。
図1−プロセスアセスメントプロセスの鍵となる要素
この箇条では,この規格に適合するアセスメントの要求事項を規定する。要求事項は,アセスメント出
力の一貫性が保たれ,評定を実証するための証拠の提供を確実にする上での助けとなる。
4.1
一般要求事項
アセスメントは,文書化したアセスメントプロセスに従って実施しなければならない。アセスメントの
厳密性及び独立性,並びに意図する用途への適合性の観点から,文書化したアセスメントプロセスは,ア
セスメントの目的を満たすものでなければならず,また,アセスメントを実施する目的を満足することが
保証されるように構成されなければならない。
文書化したアセスメントプロセスは,この規格の中で定義された全ての要求事項を満足するように実施
されるアクティビティ及びタスクの集合を規定しなければならない。特に,文書化したアセスメントプロ
セスは,次を満たさなければならない。
− 少なくとも4.2で定義されたアセスメントアクティビティを識別する。
入力
・依頼者の識別
・事業背景
・アセスメント目的
・アセスメント範囲
・アセスメント要求事項
・アセスメント制約条件
・要員の識別
・アセッサ適格性
・プロセスアセスメントモデル
・該当する場合,成熟度モデル
アクティビティ
・アセスメントの計画
・データ収集
・データの妥当性確認
・結果の決定
・アセスメントの報告
出力
・データ及び証拠
・アセスメント報告書
・アセスメント記録
役割及び責任
・依頼者
・リードアセッサ
・アセッサ
3
X 33002:2017 (ISO/IEC 33002:2015)
− 少なくとも4.3で定義された役割,責任及び適格性を識別する。
− 文書化したアセスメントプロセスを適用するためにアセスメントのクラスを識別し,文書化したプロ
セスで取り扱う各クラスに関連付けられた修整の性質及び程度を識別する。
− データを収集し,分析するための戦略の観点から,アセスメントのために定義する組織及びプロセス
の範囲の両方の網羅率を確保するための基準を定義する。
− プロセス属性を評定する際に使用する評定方法を識別する。
− 評定を決定する際に使用する集約方法を識別又は定義する。
アセスメントのクラスについては,4.6で規定する。それらは,アセスメント結果の確からしさの程度の
違いを反映する。
附属書Aに,異なる種類の主体及び人員に対する独立性の異なるカテゴリを,使用基準とともに記載し
ている。
文書化したアセスメントプロセスは,少なくとも4.2から4.7までのアクティビティを含まなければなら
ない。
4.2
アセスメントアクティビティ
アセスメントプロセスは,アセスメント依頼者のコミットメントをもって開始しなければならない。
4.2.1
アセスメントの計画
少なくとも次の事項を含めて,アセスメント計画を策定し,文書化しなければならない。
a) この規格で規定する必要な入力(4.4参照)
b) アセスメントのクラス(4.6参照)
c) アセスメント実施主体,アセスメントチームのリードアセッサ及び他のメンバの独立性のカテゴリ(附
属書A参照)
d) アセスメント関係者への伝達
e) 次を含む文書化したアセスメントプロセスの識別
1) アセスメントのクラス(4.6参照)に対して定義した,アセスメントの組織の範囲又はプロセスの範
囲の網羅率に関する全ての要求事項を満たす客観的証拠及びデータの,選択,識別,収集及び分析
のための戦略及び技法
2) 関係する場合,合意したプロセス属性の評定を導出する進め方
f)
アセスメントを実施する際に,実施されるアクティビティ
g) このアクティビティに割り当てる資源及び日程
h) アセスメントの参加者の役割及び責任の識別及び定義
i)
この規格の要求事項を満たしていることを検証するための基準
j)
計画したアセスメント出力に関する記載
プロセスアセスメントのための役割及び責任を,アセスメントによって影響を受ける要員に割り当て,
伝えなければならない。
アセスメント依頼者は,アセスメントの計画を承認し,その承認を文書化しなければならない。
4.2.2
データ収集
選択したアセスメントのクラスが規定したとおりに,組織及びプロセスの範囲を網羅する十分なデータ
を収集しなければならない。アセスメントのクラス(4.6参照)に対して十分な直接又は間接の証拠となる
データを収集しなければならない。
アセスメント範囲内のプロセスを評価するために必要な証拠及び追加情報は,体系的な方法で収集し,
4
X 33002:2017 (ISO/IEC 33002:2015)
少なくとも次の要求事項を満たさなければならない。
a) アセスメント範囲に規定された,組織単位のプロセスとプロセスアセスメントモデルの構成要素との
対応を確立しなければならない。
b) アセスメント範囲で識別した各プロセスを,客観的証拠に基づいて診断しなければならない。
c) 評定の検証の基盤を提供するために,客観的証拠を特定し,収集しなければならない。
d) それぞれの診断対象プロセスの各プロセス属性について収集した客観的証拠は,アセスメントの目的,
アセスメントの範囲及びアセスメントのクラスを満たすために十分なものでなければならない。
e) 各プロセスについて収集した客観的証拠は,選択したアセスメントのクラス(4.6参照)の要求に応じ
て,アセスメント対象組織におけるプロセスの実行を代表するものでなければならない。
f)
選択したアセスメントのクラス(4.6参照)の要求に応じて,選択したプロセスアセスメントモデルの
各要素の客観的証拠を収集しなければならない。
g) アセスメントの出力の理解を助けるために,アセスメントに関連する情報を編集しなければならない。
4.2.3
データの妥当性確認
アセスメントにおけるデータの妥当性確認の進め方は,アセスメント範囲として識別される全てのプロ
セスインスタンスに対して,この規格の要求事項に適合していること,及び網羅率の要求事項を満足する
ことを確実にしなければならない。
アクティビティは,次を満たさなければならない。
a) 収集した証拠が客観的であることを確認する。
b) 客観的証拠がアセスメントの目的及びアセスメントのクラスを網羅するために十分で,代表的なもの
であることを確実にする。
c) 選択したアセスメントのクラス(4.6参照)に要求された収集データが,アセスメントの組織及びプロ
セスの範囲を網羅していることを確認する。
d) データが全体として矛盾がないことを確実にする。
4.2.4
結果の決定
妥当性を確認したデータを分析するときに,アセッサの判断を支援するために,プロセスアセスメント
モデルが定義しているアセスメント指標一式を使用しなければならない。
プロセス属性評定は,プロセス測定フレームワークと矛盾しない用語で表現しなければならない。
アセスメントチームは,次のアクティビティを実施しなければならない。
a) 選択した評定方法に従ってプロセス属性の評定を行う。
b) 適用可能な場合には,選択した集約方法を使用して評定を集約する。
c) プロセス属性の評定とその評定を決めるときに使用した客観的証拠との間の追跡可能性を維持する。
d) 評定したそれぞれのプロセス属性のアセスメント指標と客観的証拠との間の関係を記録する。
e) プロセスプロファイル及び(必要であれば)定義したアセスメント範囲のプロセス品質水準を記録す
る。
f)
該当する場合,成熟度を導出する。
これらのアクティビティから得られた結果は,アセスメントの目的に関連付けなければならない。また,
アセスメントの事業背景,例えば,アセスメントの目的,目標プロファイル又は目指す成果にも関連付け
なければならない。
4.2.5
アセスメントの報告
アセスメントに関係があり,かつ,アセスメントの出力の理解を助ける情報を編集しなければならない。
5
X 33002:2017 (ISO/IEC 33002:2015)
アセスメント結果を,必要であれば比較でき,かつ,依頼者及び影響を受ける当事者に対して効果的に伝
達できる方法で表現しなければならない。
アセスメント報告書は,少なくとも次を含まなければならない。
a) 概要
1) 一意の識別子(識別番号)
2) 発行日
3) 版番号
4) 文書の発行者
5) 文書変更履歴
b) 診断対象の企業及び組織単位
c) アセスメントのクラス
d) アセッサの氏名及び役割
e) 該当する場合,アセスメント実施主体,リードアセッサ及びアセスメントチームの他のメンバの独立
性のカテゴリ
f)
アセスメント参加者(氏名,役割又は部門)
g) アセスメントの日付及び期間
h) 適用される規格及び要求事項の参照
i)
モデルの識別,例えば,プロセスアセスメントモデル,成熟度モデル
j)
プロセス測定フレームワークの識別
k) アセスメント結果
l)
該当する場合,改善及びリスク軽減のための機会
アセスメント報告書を文書化し,アセスメントの依頼者に対して発行しなければならない。
アセスメント報告書の内容の例を,附属書Bに示す。
4.3
役割,責任及び適格性
アセスメントのために定義する役割及び責任には,次のことを含めなければならない。
a) アセスメントの依頼者は,次のことを実施しなければならない。
1) リードアセッサとして選定された個人がこの規格に対するアセスメントの適合性に責任をもち,ア
セスメントの実施に必須の適格性をもつことを検証する。
2) アセスメントの範囲を確定し,アセスメント計画を承認する。
3) アセスメントを実施するために資源を利用可能にすることを確実にする。
4) アセスメントチームが関連する資源をアクセス可能にすることを確実にする。
b) リードアセッサは,次のことを実施しなければならない。
1) アセスメントを始めるために依頼者のコミットメントを確認する。
2) 依頼者からのアセスメントの目標を理解し,文書化する。
3) アセスメントの進め方が,この規格の要求事項に従っていることを検証する。
4) 宣言したアセスメント範囲が,診断する実際の範囲を正しく記載していることを検証する。
5) アセスメントの参加者がアセスメントの目的,範囲及び進め方について概要説明を受けることを確
実にする。
6) アセスメントチームの全員が,その役割に適切な知識及びスキルをもっていることを確実にする。
7) アセスメントチームの全員が,定義したアセスメントアクティビティの実施方法について,適切に
6
X 33002:2017 (ISO/IEC 33002:2015)
文書化した手引を利用できることを確実にする。
8) アセスメントチームが,アセスメントを支援するために選択したツールを使用する能力を備えてい
ることを確実にする。
9) 提出したアセスメント結果を依頼者が受領したことを確認する。
10) アセスメントの完了時にこの規格に対するアセスメントの適合性の程度を検証し,文書化する。
c) アセッサは,アセスメントに関連して割り当てられたアクティビティを実行しなければならない。例
えば,詳細計画策定,データ収集,データの妥当性確認,プロセス属性の評定及び報告である。
アセッサは,要求されたクラスのアセスメントを実施し,専門的な判断を行うために,適切な教育,訓
練及び経験(分野の経験を含む。)に基づいて適格でなければならない。
4.4
アセスメント入力
アセスメント入力は,アセスメントのデータ収集段階に先立って定義し,アセスメントの依頼者が承認
しなければならない。
アセスメント入力の中での変更は,依頼者又は依頼者が委任した人と合意し,アセスメント記録の中に
文書化しなければならない。
少なくともアセスメント入力として,次のことを明記しなければならない。
a) アセスメントの依頼者の識別及び診断対象組織単位に対する依頼者の関係
b) 組織の事業目標とアセスメントの状況とを含む事業背景
c) アセスメントの目的
d) 事業に適用するためのアセスメント範囲。これには,定義され宣言された組織範囲に次のことを含む。
1) 各組織単位において,調査するプロセス
2) 調査対象のプロセス品質特性。これには,アセスメント範囲の各プロセスに対する最も高いプロセ
ス品質水準を含める。
3) プロセスを展開する組織単位
4) 次を含む,プロセスを展開する組織単位の背景
i)
各組織単位の規模,例えば,人員の数
ii) 各組織単位の製品又はサービスの適用分野
iii) 各組織単位の製品又はサービスの主要な特性(例えば,規模,重大さ,複雑さ及び品質)
5) アセスメント範囲の製品,サービス,ライフサイクル段階又はプロジェクトの実例
e) 使用したモデルの識別及びプロセス測定フレームワーク
1) 次を含む,ISO/IEC 33004:2015に適合したプロセスアセスメントモデル
i)
ISO/IEC 33004:2015に適合した適切なプロセス参照モデルの識別
ii) ISO/IEC 33003:2015に適合したプロセス測定フレームワークの識別
2) 関係する場合,ISO/IEC 33004:2015に適合した成熟度モデル
f)
次を含むアセスメント要求事項
1) 使用する文書化されたアセスメントプロセス
2) 実施するアセスメントのクラス及びアセスメントの独立性のカテゴリ
3) 使用する評定方法
4) 使用する集約方法
g) 少なくとも次のことを考慮しているアセスメント制約
1) 主な資源の利用可能性
7
X 33002:2017 (ISO/IEC 33002:2015)
2) アセスメントに費やす最長期間
3) アセスメントから除外する個別のプロセス又は組織単位
4) アセスメント出力の所有権及びこれらの使用上の制限
5) 機密情報及び非開示情報の取扱いに対する制御
h) アセスメントに特定の責任を負う,アセスメント対象者,アセスメントチーム及びアセスメント支援
要員の特定及び役割
i)
リードアセッサの適格性の判定基準
4.5
アセスメント記録
アセスメント記録には,少なくとも次のことを含めなければならない。
a) アセスメント実施日
b) アセスメント入力の特定
c) 収集した客観的証拠の特定
d) 文書化したアセスメントプロセスの特定
e) アセスメントの結果として生じる一連のプロセスプロファイル
f)
該当する場合,成熟度
4.6
アセスメントのクラス
4.6.1
概要
アセスメントを実施する目的は,アセスメントを実施する事業と組織の背景とによって,大きく変わっ
てもよい。特に,アセスメント結果の正確性と,その結果がアセスメント対象組織範囲全体の代表的プロ
セスパフォーマンスとみなせる程度についての高度な確からしさとが必要になる場合がある。様々なニー
ズを満足することを確実にするために,アセスメント結果が,異なる確からしさになる三つのアセスメン
トのクラスを識別する。各クラスに関する個別要求事項を,この細分箇条に規定する。評定手段は,アセ
スメントのクラスに対し適切でなければならない。
注記 ISO/IEC 33010 [2] は,アセスメントのクラスの選定と,各クラスに適切なデータ収集及び評定
手段についての手引とを規定している。
アセスメントのクラスを次に定義する。
4.6.1.1
クラス1アセスメント
クラス1アセスメントの目的は,次のとおりである。
− 異なる組織間のアセスメント結果の比較に適するような確からしさの結果を提供する。
− 比較された組織の相対的強みと弱みとに関してアセスメントの結論を引き出すことができる。
− プロセス改善,外部のベンチマーキング及びプロセス品質判定のための基盤を提供する。
クラス1アセスメントの個別要求事項は,アセスメント計画策定,データの収集及び妥当性確認,プロ
セス属性評定,並びにアセスメントチームの独立性の記録に関して定義される(4.6.2参照)。
4.6.1.2
クラス2アセスメント
クラス2アセスメントの目的は,次のとおりである。
− 組織単位の重要なプロセスの全体的な実行水準を示す確からしいアセスメント結果を提供する。この
アセスメント結果は,組織又はプロダクトラインの範囲のアセスメント結果の比較に適している。
− 改善の機会とプロセス関連リスクの度合とについてアセスメントの結論を引き出せる。
− 改善プログラム開始時の初期アセスメントの基盤を提供する。
クラス2アセスメントの個別要求事項は,データの収集及び妥当性確認,プロセス属性評定,並びにア
8
X 33002:2017 (ISO/IEC 33002:2015)
セスメントチームの独立性のカテゴリの記録に関して定義される(4.6.3参照)。
4.6.1.3
クラス3アセスメント
クラス3アセスメントの目的は,次のとおりである。
− 重大な改善の機会とプロセス関連リスクの重要な領域を示す結果とを生み出す。
− 改善プログラムの進捗を監視する。又は,後で実施するクラス1又はクラス2のアセスメントの重要
な問題を特定する。
クラス3アセスメントは,この規格で定義した一般要求事項を満足する。付加した個別要求事項はない。
注記 クラス3アセスメントは,組織プロセス成熟度の評定に使わないほうがよい。
4.6.2
クラス1アセスメント個別要求事項
4.6.2.1
アセスメント計画
4.2.1の定義に加え,アセスメント計画の準備において次を対象としなければならない。
a) アセスメント実施主体の独立性のカテゴリ,リードアセッサ及びアセスメントチームのメンバを記録
しなければならない(附属書A及び箇条4参照)。
b) アセスメントチームは,少なくとも一人のリードアセッサを含まなければならない。
c) 各プロセスにつきアセスメント範囲内で最低でも(可能であれば)四つのプロセスインスタンスを特
定しなければならない。四つよりも少ないインスタンスしかない場合は,全てのプロセスインスタン
スを選択しなければならない。
4.6.2.2
データ収集及び妥当性確認
4.2.2及び4.2.3に定義した要求事項に加え,データ収集及び妥当性確認に次の追加要求事項を適用しな
ければならない。
a) アセスメント範囲内の各プロセス成果及び各プロセス属性成果について,上記のプロセスインスタン
スにわたる作業生産物の評価及びプロセス実行者の証言の両方から導出された客観的証拠を収集しな
ければならない。
4.6.2.3
結果決定及びアセスメント報告
4.2.4及び4.2.5で定義した要求事項に加え,プロセス属性評定の生成及びアセスメント結果報告に次の
追加要求事項を適用しなければならない。
a) 妥当性を確認したデータに基づき,各プロセスインスタンスに対して各プロセス成果及びプロセス属
性成果の達成度合を特徴付けなければならない。
b) 妥当性を確認したデータに基づき,各プロセスインスタンスに対してアセスメント範囲内の全てのプ
ロセス属性についてのプロセス属性評定を特徴付けなければならない。
c) どのプロセスインスタンスも最高のプロセス属性評定に特徴付けられない場合は,その原因となる課
題をプロセスパフォーマンス上の隔たりとして文書化しなければならない。
d) アセスメントチームは,吟味されたプロセスインスタンスで識別されたプロセスパフォーマンス上の
隔たりがプロセスパフォーマンスにおける全体的な弱みを示すものであるかどうか判定しなければな
らない。個々のプロセスパフォーマンス上の隔たり及び弱みの記述は,アセスメント記録内に文書化
し維持しなければならない。
e) アセスメント範囲内の全てのプロセスの評定を完了した後,アセスメントチームは,プロセスプロフ
ァイル一式及びプロセス品質水準を決定しなければならない。
f)
プロセス品質水準を決定した後,アセスメントチームは,選択された成熟度モデルに沿って成熟度を
決定しなければならない(成熟度モデルを適用する場合)。
9
X 33002:2017 (ISO/IEC 33002:2015)
g) アセスメント依頼者に提出するアセスメント報告は,リードアセッサが承認し,全てのアセスメント
チームメンバが確認し,かつ,アセスメント実施主体が許可しなければならない。
4.6.3
クラス2アセスメント個別要求事項
4.6.3.1
計画
4.2.1に定義した内容に加え,アセスメント計画の準備において次の対処をしなければならない。
a) アセスメント実施主体の独立性のカテゴリ,リードアセッサ及びアセスメントチームのメンバを,記
録しなければならない(附属書A参照)。
b) アセスメントチームは,少なくとも一人のリードアセッサを含まなければならない。
c) 各プロセスについて,アセスメント範囲内で最低でも(可能であれば)二つのプロセスインスタンス
を特定しなければならない。二つよりも少ないインスタンスしかない場合は,全てのプロセスインス
タンスを選択しなければならない。
注記 リードアセッサは,診断を受ける組織単位から独立していることを推奨する。
4.6.3.2
データ収集及び妥当性確認
4.2.2及び4.2.3に定義した要求事項に加え,データ収集及び妥当性確認には,次の追加の要求事項を適
用しなければならない。
a) アセスメント範囲内の各プロセスインスタンスの各プロセス属性について,作業生産物の評価とプロ
セス実行者の証言との両方から導出した客観的証拠を収集しなければならない。
4.6.3.3
結果決定及びアセスメント報告
4.2.4及び4.2.5で定義した要求事項に加え,プロセス属性評定の生成及びアセスメント結果報告には,
次の追加要求事項を適用しなければならない。
a) 妥当性を確認したデータに基づき,各プロセスインスタンスに対してアセスメント範囲内の全てのプ
ロセス属性についてのプロセス属性評定を特徴付けなければならない。
b) いずれかのプロセスインスタンスにおいて最高のプロセス属性評定に特徴付けられない場合は,それ
ぞれその原因となる課題を実施上の隔たりとして文書化しなければならない。
c) アセスメント範囲内の全てのプロセスの評定を完了した後,アセスメントチームは,プロセスプロフ
ァイル一式及びプロセス品質水準を決定しなければならない。
d) プロセス品質水準を決定した後,アセスメントチームは選択された成熟度モデルに沿って成熟度を決
定しなければならない(成熟度モデルを適用する場合)。
e) アセスメント依頼者に提出するアセスメント報告は,リードアセッサが承認し,全てのアセスメント
チームメンバが確認し,かつ,アセスメント実施主体が許可しなければならない。
4.6.4
クラス3アセスメント個別要求事項
クラス3アセスメントには,4.1から4.5までの一般要求事項のほかに個別要求事項はない。
4.7
プロセス能力のアセスメント
プロセスアセスメントをプロセス能力のアセスメントに適用するため,定義されたプロセス品質特性と
してのプロセス能力に基づくプロセス測定フレームワークを,プロセスアセスメントモデルに取り入れな
ければならない。
注記 ISO/IEC 33020:2015は,プロセス能力のアセスメントのためのプロセス測定のフレームワーク
を規定している[3]。
10
X 33002:2017 (ISO/IEC 33002:2015)
5
プロセスアセスメントの適合性検証
ここでは,この規格の要求事項を満たしていることを検証するために使用してもよい仕組みについて示
す。
この規格の要求事項への,アセスメントの適合性は,次によって検証してもよい。
− 自己宣言(第一者)
− 第二者
− 第三者
検証を実施する当事者は,文書化されたアセスメントプロセスが4.1で規定された要求事項に適合して
いること,及びアセスメントの実施が箇条4で規定している要求事項に適合していることを保証しなけれ
ばならない。適合性の客観的証拠は,維持しなければならない。
検証を実施する当事者は,次を確実にしなければならない。
− 使用されるプロセスアセスメントモデルが,ISO/IEC 33004:2015の要求事項に適合している。
− 使用されるプロセス参照モデルが,ISO/IEC 33004:2015の要求事項に適合している。
− 使用されるプロセス測定のフレームワークが,ISO/IEC 33003:2015の要求事項に適合している。
− 該当する場合,使用されるあらゆる成熟度モデルが,ISO/IEC 33004:2015の要求事項に適合している。
注記 ISO/IEC 29169:2016は,適合アセスメント方法論の適用についての手引を規定している[1]。
11
X 33002:2017 (ISO/IEC 33002:2015)
附属書A
(規定)
独立性のカテゴリ
表A.1は,組織の様々な独立性の種類及びアセスメントを実施するアセスメントチームの編成の分類に
使用する類型を規定する。
カテゴリAは,完全に独立した第三者サービスを提供する組織であることが一般的である。
カテゴリBは,診断される組織から独立したリードアセッサと診断される組織内外のアセスメントチー
ムメンバとによって編成されたアセスメントチームが,第二者又は第三者サービスを提供する組織である
ことが一般的である。このような進め方は,データが内部チームメンバによって集められる検証に基づく
進め方で使用してもよい。
カテゴリCは,内部ではあるが独立したプロセスグループ又は診断される組織内ではあるが別の報告ラ
インの品質保証グループであることが一般的である。この進め方は,独立したアセスメント実施の責任が
ある機能グループをもつ,大きな組織で使用してもよい。
カテゴリDは,プロセス改善の実施において組織を支援し,能力を診断する内部のコンサルタントであ
ることが一般的である。独立したアセスメント実施に顧客からの圧力がない多くの小さな組織では,この
ようなアプローチを取ってもよい。
表A.1−アセスメント実施主体及び人員の独立性のカテゴリ
カテゴリA
カテゴリB
カテゴリC
カテゴリD
アセスメント実
施主体
アセスメント実施主体は,診断される組織から
独立していなければならない。
アセスメント実施主体は,診断される組織の一
部でなければならない。
リードアセッサ
リードアセッサは,診断される組織から独立し
ていなければならない。
診断される組織単位
において,リードアセ
ッサの責任の適正な
人事上の分離がなけ
ればならない。
リードアセッサは,診
断される組織単位の
一部に属することが
できる。
アセッサ(リード
アセッサ以外)
アセッサは,診断され
る組織から独立して
いなければならない。
診断される組織単位
において,アセッサの
責任の人事上の分離
がなければならない。
診断される組織単位
において,アセッサの
責任の人事上の分離
がなければならない。
アセッサは,診断され
る組織単位の一部に
属することができる。
12
X 33002:2017 (ISO/IEC 33002:2015)
附属書B
(参考)
アセスメント報告書の内容例
アセスメント報告書の記載内容の例を,次に示す。
a) 概要
1) 一意の識別子(識別番号)
2) 発行日
3) 版番号
4) 文書の発行者
5) 文書配布先一覧
6) 文書変更履歴
b) アセスメント及び結果の要約
c) アセスメントの日程及び期間
d) 診断対象の企業及び組織単位
1) 企業の名称
2) 企業の住所
3) 組織単位の名称
4) 組織単位の住所
5) 製品及び/又はサービスの内容
6) アセスメント実施場所
e) アセスメントのクラス
f)
アセスメント実施主体,リードアセッサ及びアセスメントチームの他のメンバの独立性のカテゴリ
g) アセッサの氏名及び役割,並びに該当する場合,アセスメント主体の名称及び役割
h) 該当する場合,アセスメント主体
1) アセスメント主体の名称
2) アセスメント主体の住所
3) アセスメント主体の種類
i)
適用可能な規格類及び要求事項への参照
j)
プロセスモデル及びプロセス測定フレームワークの識別情報
1) プロセスアセスメントモデルの識別情報
2) プロセス測定フレームワークの識別情報
3) 成熟度モデルの識別情報(該当する場合)
k) 使用する評定方法及び集約方法
l)
アセスメントの範囲
1) アセスメント範囲内で調査対象として選択したプロセス
2) プロセスを展開する組織単位
3) アセスメント範囲内の個々のプロセスに対するプロセス品質水準を含んだ調査対象としたプロセス
品質特性
13
X 33002:2017 (ISO/IEC 33002:2015)
4) 該当する場合,診断する成熟度
5) アセスメント範囲に対する該当事項及び/又は除外事項
m) 該当する場合,アセスメントの基盤として選択された次に示すプロジェクトの詳細
1) 識別子(識別番号)
2) 簡単な説明
3) 適用領域
4) プロジェクト開始日
5) プロジェクト終了日
6) 現在のライフサイクル段階
7) プロジェクトチームの規模
8) プロジェクトチームの工数(人×月)
n) 該当する場合,アセスメントの基盤として選択された次に示すサービスの詳細
1) 識別子(識別番号)
2) 簡単な説明
3) 適用領域
4) サービスチームの規模
o) アセスメント参加者(氏名,役割又は部門)
p) アセスメント結果
1) プロセスプロファイルの集合(必要であれば,プロセス品質水準を含む。)
2) 該当する場合,成熟度
3) プロセス属性の評定で確認された実行の隔たり及び弱み
4) 該当する場合,改善及びリスク軽減の機会
5) アセスメントへの注釈
q) アセスメント中に収集した追加情報
r) アセスメント報告書の発行
1) リードアセッサによる承認
2) アセスメントチームの全メンバによる確認
3) アセスメントを実施するアセスメント主体による許可(関係する場合)
14
X 33002:2017 (ISO/IEC 33002:2015)
参考文献
[1] ISO/IEC 29169:2016,Information technology−Process assessment−Application of conformity assessment
methodology to the assessment to process quality characteristics and organizational maturity
[2] ISO/IEC 33010 1),Information technology−Process assessment−Guide on process assessments
注1) 発行予定
[3] ISO/IEC 33020:2015,Information technology−Process assessment−Process measurement framework for
assessment of process capability