JIS Q 20000 −情報技術−サービスマネジメント−

 作成日:2017-10-10
最終更新日:

どんなことが書かれているか

JIS Q 20000 は2部からなる。第1部はサービスマネジメントシステム要求事項である。

第2部はサービスマネジメントシステムの適用の手引である。

以下第1部を調べよう。

JIS Q 20000-1

JIS Q 20000-1 は「情報技術-サービスマネジメント-第1部:サービスマネジメントシステム要求事項」となっている。 目次は次のとおりである。 

0.1 序文  
0.2 サービスマネジメントシステムの適用の手引  
1 適用範囲  
1.1 一般  
1.2 適用  
2 引用規格  
3 用語及び定義  
4 サービスマネジメントシステム(SMS)の一般要求事項  
4.1 経営者の責任  
4.2 他の関係者が運用するプロセスのガバナンス  
4.3 文書の運用管理  
4.4 資源の運用管理  
4.5 SMS の確立及び改善  
5 新規サービス又はサービス変更の設計及び移行プロセス  
5.1 一般  
5.2 新規サービス又はサービス変更の計画  
5.3 新規サービス又はサービス変更の設計及び開発  
5.4 新規サービス又はサービス変更の移行  
5.5 文書及び記録  
5.6 権限及び責任  
6 サービス提供プロセス  
6.1 サービスレベル管理  
6.2 サービスの報告  
6.3 サービス継続及び可用性管理  
6.4 サービスの予算業務及び会計業務 
6.5 容量・能力管理  
6.6 情報セキュリティ管理  
7 関係プロセス  
7.1 事業関係管理  
7.2 供給者管理  
8 解決プロセス  
8.1 インシデント及びサービス要求管理  
8.2 問題管理  
9 統合的制御プロセス  
9.1 構成管理  
9.2 変更管理  
9.3 リリース及び展開管理  
附属書 A(参考)プロセス間のインタフェース及びプロセスと SMS との統合  
参考文献

以下、内容をつまみぐい的に説明する。

3 用語及び定義

3.1

可用性
availability

あらかじめ合意された時点又は期間にわたって, 要求された機能を実行するサービス又はサービスコンポーネントの能力。
注記 可用性は,通常,サービスが利用可能であるべきと合意された時間に対する, 実際に顧客がサービス又はサービスコンポーネントを利用できる時間の割合又は百分率で表される。

3.2

構成ベースライン(configuration baseline)

サービス又はサービスコンポーネントの存続期間における特定の時点で,正式に指定された構成情報。

注記 1 構成ベースラインに,このベースライン以降に承認された変更を加えたものが, 最新の構成情報となる。

注記 2 ISO/IEC IEEE 24765:2010 から部分的に採用。

3.3

構成品目
CI (configuration item)

サービスの提供のために管理する必要がある要素。

3.4

構成管理データベース,CMDB(configuration management database)

構成品目のライフサイクルを通して,構成品目の属性及び構成品目間の関係を記録するために使用するデータ保管庫。

3.5

継続的改善(continual improvement)

サービスの要求事項を満たす能力を高めるために繰り返し行われる活動。

注記 JIS Q 9000:2006 から部分的に採用。

3.6

是正処置(corrective action)

検出された不適合又はその他の検出された望ましくない状況の原因を除去する,又はそれらの再発の可 能性を低減するための処置。

注記 JIS Q 9000:2006 から部分的に採用。

3.7

顧客(customer)

サービスを受ける組織又は組織の一部。

注記 1 顧客は,サービス提供者にとって組織の内部又は外部のいずれでもあり得る。

注記 2 JIS Q 9000:2006 から部分的に採用。 

3.8

文書(document)

情報及びそれを保持する媒体。

[JIS Q 9000:2006]

例  方針文書,計画書,プロセス記述書,手順書,サービスレベル合意書,契約書又は記録。

注記 1  文書は,いかなる形式又は種類の媒体でもよい。

注記 2  この規格では,記録を除く文書には,達成すべきことを記載する。

3.9

有効性(effectiveness)

計画した活動が実行され,計画した結果が達成された程度。

[JIS Q 9000:2006]

3.10

インシデント(incident)

サービスに対する計画外の中断,サービスの品質の低下, 又は顧客へのサービスにまだ影響していない事象。

3.11

情報セキュリティ(information security)

情報の機密性,完全性及びアクセス性を維持すること。

注記 1 さらに,真正性,責任追跡性,否認防止及び信頼性のような特性もまた含めてもよい。
注記 2 この規格で定義されている“availability”という用語は,ここでの定義には適さないため用いていない。
注記 3 対応国際規格の“accessibility”に対して“アクセス性”の訳語を当てたが,これは JIS Q 27001:2006 の“information security”の定義に用いられている“availability”と同じ意味である。
注記 4 ISO/IEC 27000:2009 から部分的に採用。

3.12

情報セキュリティインシデント(information security incident)

望ましくない単独若しくは一連の情報セキュリティ事象, 又は予期しない単独若しくは一連の情報セキュリティ事象であって, 事業運営を危うくする確率及び情報セキュリティを脅かす確率が高いもの。 [ISO/IEC 27000:2009]

3.13

利害関係者(interested party)

サービス提供者の活動のパフォーマンス又は成功に特定の利害関係をもつ人又はグループ。 例 顧客,所有者,経営者,サービス提供者の組織内の人々,供給者,銀行家,組合又はパートナ。

注記 1 グループは,一つの組織,その一部又は複数の組織のこともある。

注記 2 JIS Q 9000:2006 から部分的に採用。

3.14

内部グループ(internal group)

サービスの設計,移行,提供及び改善に貢献するために,サービス提供者と合意文書を交わす, サービス提供者の組織の一部。

注記 内部グループは,サービス提供者の SMS 適用の範囲外である。

3.15

既知の誤り(known error)

根本原因が特定されているか,若しくは回避策によってサービスへの影響を低減又は除去する方法がある問題 

3.16
不適合(nonconformity)
要求事項を満たしていないこと。
[JIS Q 9000:2006]

3.17

組織(organization)

責任,権限及び相互関係が取り決められている人々及び施設の集まり。 例 会社,法人,事業所,企業,団体,慈善団体,個人業者(sole trader),協会,若しくはこれらの 一部又は組合せ。

注記 1 この取決めは,一般に秩序立っている。

注記 2 組織は,公的又は私的のいずれでもあり得る。

[JIS Q 9000:2006]

3.18 予防処置(preventive action) 起こり得る不適合又はその他の起こり得る望ましくない状況の発生の原因を回避する若しくは除去する, 又はそれらの発生の可能性を低減するための処置。 注記 JIS Q 9000:2006 から部分的に採用。
3.19 問題(problem)

一つ以上のインシデントの根本原因。

注記 問題の記録が作成された時点では,通常はその根本原因は不明であり,問題管理プロセスは更 なる調査に対して責任をもつ。

3.20

手順(procedure)

活動又はプロセスを実行するために規定された方法。 [JIS Q 9000:2006]

注記 手順は文書にすることもあり,しないこともある。

3.21

プロセス(process)

インプットをアウトプットに変換する,相互に関連する又は相互に作用する一連の活動。 [JIS Q 9000:2006]

3.22
記録(record)
達成した結果を記述した,又は実施した活動の証拠を提供する文書。
[JIS Q 9000:2006]
例  監査報告書,インシデント報告書,教育・訓練の記録又は会議の議事録。

3.23

リリース(release)

一つ以上の変更の結果として,稼働環境へ展開される, 新規又は変更された構成品目の一つ以上の集合。

3.24

変更要求
request for change

サービス,サービスコンポーネント,又はサービスマネジメントシステムに対して行う変更についての提案。

注記 サービス変更には,新規サービスの提供又は不要となったサービスの廃止を含む。

3.25

リスク
risk

目的に対する不確かさの影響。

注記 1 影響とは,期待されていることから,好ましい方向及び/又は好ましくない方向に乖離することをいう。

注記 2 目的は,例えば,財務,安全衛生,環境に関する到達目標など,異なった側面があり,戦略,組織全体,プロジェクト,製品,プロセスなど,異なったレベルで設定されることがある。

注記 3 リスクは,起こり得る事象,結果又はこれらの組合せについて述べることによって,その特徴を記述することが多い。

注記 4 リスクは,ある事象(周辺状況の変化を含む。)の結果とその発生の起こりやすさとの組合せとして表現されることが多い。

3.26

サービス(service)

顧客が達成することを望む成果を促進することによって,顧客に価値を提供する手段。

注記 1 サービスは,一般的に無形である。

注記 2 サービスは,供給者,内部グループ,又は供給者として活動する顧客によって,サービス提供者にも提供され得る。

3.27

サービスコンポーネント(service component)

サービスの一つの単位であり,他の単位と組み合わされることで完結したサービスを提供する。

例 ハードウェア,ソフトウェア,ツール,アプリケーション,文書,情報,プロセス又は支援サービス。

注記 サービスコンポーネントは,一つ以上の構成品目で構成し得る。

3.28

サービス継続
service continuity

合意したレベルでサービスを継続的に提供するために,サービスに深刻な影響を及ぼす可能性のあるリスク及び事象を管理する能力。

3.29

サービスレベル合意書
SLA(service level agreement)

サービス及びサービス目標を特定した,サービス提供者と顧客との間の合意文書。

注記 1 サービスレベル合意書は,サービス提供者と,供給者,供給者として活動する内部グループ又は顧客との間でも締結することができる。

注記 2 サービスレベル合意書は,契約書又は他の種類の合意文書に含めることができる。

3.30

サービスマネジメント
service management

サービスの要求事項を満たし,サービスの設計,移行,提供及び改善のために,サービス提供者の活動及び資源を,指揮し,管理する,一連の能力及びプロセス。

3.31

サービスマネジメントシステム
SMS(service management system)

サービス提供者サービスマネジメントの活動を指揮し, 管理するためのマネジメントシステム。

注記 1 マネジメントシステムは,方針及び目的を定め,その目的を達成するための,相互に関連す る又は相互に作用する要素の集まりである。

注記 2 SMS には,サービスの設計,移行,提供及び改善のため,並びにこの規格の要求事項を満た すために必要な,全てのサービスマネジメントの方針,目的,計画,プロセス,文書,及び 資源を含む。

注記 3 JIS Q 9000:2006 の“品質マネジメントシステム”の定義から部分的に採用。

3.32

サービス提供者
service provider

顧客へのサービスを管理及び提供する組織,又は組織の一部。

注記 顧客は,サービス提供者にとって組織の内部又は外部のいずれでもあり得る。

3.33 サービス要求(service request)

情報,助言,サービスへのアクセス,又は事前に承認されている変更に対する要求。

3.34

サービスの要求事項
service requirement

サービスレベルの要求事項を含む,顧客及びサービスの利用者のニーズ,並びにサービス提供者のニーズ。

3.35

供給者(supplier)

サービス又はプロセスの設計,移行,提供及び改善に貢献するために,サービス提供者と契約を結ぶ, サービス提供者の組織の外部組織,又は組織の一部。

注記 供給者には,指定された統括供給者を含むが,その供給者の再請負契約先供給者は含まない。

3.36

トップマネジメント(top management)

最高位でサービス提供者を指揮し,管理する個人又はグループ。

注記 JIS Q 9000:2006 から部分的に採用。

3.37

移行(transition)

新規サービス又はサービス変更の,稼働環境への移動又は稼働環境からの移動に関わる活動。

4 サービスマネジメントシステム(SMS)の一般要求事項

4.1 経営者の責任

4.1.1 経営者のコミットメント

トップマネジメントは, SMS 及びサービスの計画,確立,導入,運用,監視,レビュー, 維持及び改善に対するコミットメントの証拠を,次によって提供しなければならない。

  1. サービスマネジメントの適用範囲,方針及び目的を確立し,周知する。
  2. 方針に従い,サービスマネジメントの目的を達成し,サービスの要求事項を満たすために,サービス マネジメントの計画が策定,実施及び維持されていることを確実にする。
  3. サービスの要求事項を満たすことの重要性を周知する。
  4. 法令・規制要求事項及び契約上の義務を満たすことの重要性を周知する。
  5. 資源の提供を確実にする。
  6. あらかじめ定めた間隔でマネジメントレビューを実施する。
  7. サービスに対するリスクが評価され,管理されていることを確実にする。

4.1.2 サービスマネジメントの方針

トップマネジメントは,サービスマネジメントの方針が次のとおりであることを確実にしなければなら ない。

  1. サービス提供者の目的に対して適切である。
  2. サービスの要求事項を満たすことについてのコミットメントを含んでいる。
  3. 4.5.5.1 に規定する継続的改善の方針によって, SMS 及びサービスの有効性を継続的に改善するというコミットメントを含んでいる。
  4. サービスマネジメントの目的を確立し,レビューするための枠組みを提供する。
  5. サービス提供者の要員に周知され,理解されている。
  6. 引き続き適切であるかについてレビューされている。

4.1.3 権限,責任及びコミュニケーション

トップマネジメントは,次の事項を確実にしなければならない。

  1. サービスマネジメントの権限及び責任が定められ,維持されている。
  2. コミュニケーションについて文書化された手順が確立され,導入されている。

4.1.4 管理責任者

トップマネジメントは,サービス提供者の管理層の中から管理責任者を任命しなければならない。 管理責任者は与えられている他の責任と関わりなく次に示す権限及び責任をもたなければならない。

  1. サービスの要求事項を特定し,文書化し,満たすための活動が実施されることを確実にする。
  2. サービスマネジメントの方針及び目的に従って,サービスマネジメントのプロセスが設計され,実施 され,改善されていることを確実にするための権限及び責任を割り当てる。
  3. サービスマネジメントのプロセスが SMS の他のコンポーネントと統合されていることを確実にする。
  4. サービスを提供するために使われる,ライセンスを含む資産が,法令・規制要求事項及び契約上の義 務に従って管理されていることを確実にする。
  5. SMS 及びサービスのパフォーマンス及び改善の機会について,トップマネジメントに報告する。

4.2 他の関係者が運用するプロセスのガバナンス

箇条 5∼箇条 9 のプロセスでは,サービス提供者は,他の関係者が運用する全てのプロセス又はプロセ スの一部を特定しなければならない。他の関係者とは,内部グループ,顧客又は供給者であり得る。サー ビス提供者は他の関係者が運用するプロセスのガバナンスについて,次の事項によって実証しなければな らない。
  1. プロセスに対する説明責任と,プロセスの順守を要求する権限とを実証する。
  2. プロセスの定義,及び他のプロセスとのインタフェースについて管理する。
  3. プロセスのパフォーマンス及びプロセス要求事項への適合について判断する。
  4. プロセスの改善についての計画立案及び優先度付けを管理する。

供給者がプロセスの一部を運用している場合, サービス提供者は供給者管理プロセスによって供給者を管理しなければならない。 内部グループ又は顧客がプロセスの一部を運用している場合, サービス提供者はサービスレベル管理プロセスによって内部グループ又は顧客を管理しなければならない。

注記 ISO/IEC TR 20000-3 は,この規格の適用範囲の定義及び適用性の手引を提供する。これには, 他の関係者が運用するプロセスのガバナンスについての更なる説明を含む。

4.3 文書の運用管理

(略)

4.4 資源の運用管理

4.4.1 資源の提供

サービス提供者は,次の事項を行うために必要な,人,技術,情報及び財務に関する資源を決定し, 提供しなければならない。

  1. SMS及びサービスを確立し,実施し,維持する。また,その有効性を継続的に改善する。
  2. 顧客満足を,サービスの要求事項を満たすサービスを提供することによって向上する。

4.4.2 人的資源

サービスの要求事項への適合に影響がある仕事に従事するサービス提供者の要員は,適切な教育, 訓練,技能及び経験を判断の根拠として, 力量がなければならない。サービス提供者は次の事項を実施しなければならない。

  1. 要員に必要な力量を決定する。
  2. 該当する場合,必要な力量がもてるように教育・訓練するか,又は他の処置をとる。
  3. とった処置の有効性を評価する。
  4. 要員が,サービスマネジメントの目的の達成に向けて,及びサービスの要求事項を満たすために,自 らどのように貢献できるかを認識することを確実にする。
  5. 教育,訓練,技能及び経験について該当する記録を維持する。

4.5 SMS の確立及び改善

4.5.1 適用範囲の定義

サービス提供者は,SMS を適用する範囲を定義し,サービスマネジメントの計画に含めなければならな い。この適用範囲は,サービスを提供する組織の部署,及び提供するサービスの名称によって定義しなけ ればならない。 サービス提供者は,次の事項を含む,提供するサービスに影響を及ぼす他の要因も考慮しなければなら ない。

  1. サービス提供者がサービスを提供する地理的所在地
  2. 顧客及び顧客の所在地
  3. サービスを提供するために使用する技術

注記 ISO/IEC TR 20000-3 は,この規格の適用範囲の定義及び適用性の手引を提供する。

4.5.2 SMS の計画(Plan)

サービス提供者は,サービスマネジメントの計画を作成,実施及び維持しなければならない。 計画立案では,サービスマネジメントの方針, サービスの要求事項及びこの規格の要求事項を考慮しなければならない。 サービスマネジメントの計画には,少なくとも次の事項を含むか,又は参照しなければならない。

  1. サービス提供者が達成すべきサービスマネジメントの目的
  2. サービスの要求事項
  3. SMS に影響を及ぼし得る既知の制限
  4. 方針,規格,法令・規制要求事項及び契約上の義務
  5. 権限,責任及びプロセスにおける役割についての枠組み
  6. 計画,サービスマネジメントのプロセス及びサービスに関する権限及び責任
  7. サービスマネジメントの目的を達成するために必要な,人,技術,情報及び財務に関する資源
  8. 新規サービス又はサービス変更の設計及び移行プロセスに関与する他の関係者と作業を行うためになすべき取組み
  9. サービスマネジメントのプロセス間のインタフェースでなすべき取組み, 及び SMS の他のコンポーネントとの統合のためになすべき取組み
  10. リスクの管理及びリスク受容基準のためになすべき取組み
  11. SMS を支援するために使用する技術
  12. SMS 及びサービスの有効性を測定,監査,報告,及び改善する方法

特定のプロセスのために作成された計画は,サービスマネジメントの計画と整合していなければならない。 サービスマネジメントの計画及び特定のプロセスのために作成された計画は, あらかじめ定めた間隔でレビューし,該当する場合,更新しなければならない

4.5.3 SMS の導入及び運用(Do)

サービス提供者は,サービスマネジメントの計画に従ってサービスを設計,移行, 提供及び改善するための SMS を, 少なくとも次の事項を含む活動を通じて導入し,運用しなければならない。

  1. 資金及び予算の割当て及び管理
  2. 権限,責任及びプロセスにおける役割の割当て
  3. 人,技術,及び情報に関する資源の管理
  4. サービスに対するリスクの特定,アセスメント及び管理
  5. サービスマネジメントのプロセスの管理
  6. サービスマネジメントの活動のパフォーマンスについての監視及び報告

4.5.4 SMS の監視及びレビュー(Check)

4.5.4.1 一般

サービス提供者は,SMS 及びサービスの監視及び測定のために適切な方法を用いなければならない。 これらの方法には,内部監査及びマネジメントレビューを含めなければならない。

全ての内部監査及びマネジメントレビューの目的は文書化しなければならない。 内部監査及びマネジメントレビューは, SMS 及びサービスがサービスマネジメントの目的を達成し, サービスの要求事項を満たす能力を実証するものでなければならない。 この規格の要求事項,サービス提供者が特定した SMS の要求事項,又はサービスの要求事項に対して,不適合を特定しなければならない。

特定された不適合,懸念事項及び処置を含む,内部監査及びマネジメントレビューの結果は, 記録しなければならない。結果及び処置は利害関係者に周知しなければならない。

4.5.4.2 内部監査

サービス提供者は,SMS 及びサービスが次のとおりであるかを判断するために, あらかじめ定めた間隔で内部監査を実施しなければならない。

  1. この規格の要求事項を満たしているか。
  2. サービス提供者が特定したサービスの要求事項及び SMS の要求事項を満たしているか。
  3. 効果的に実施され,維持されているか。

監査の計画及び実施,結果の報告及び監査記録の維持に関する権限及び責任を含めた, 文書化された手順をもたなければならない。

監査プログラムを計画しなければならない。監査プログラムでは, 監査の対象となるプロセス及び領域の状況及び重要性, 並びにこれまでの監査結果を考慮しなければならない。監査の基準,範囲, 頻度及び方法は文書化しなければならない。

監査員の選定及び監査の実施においては,監査の客観性及び公平性を確実にしなければならない。 監査員は,自らの仕事を監査してはならない。

不適合を周知し,優先度付けをし,処置の責任を割り当てなければならない。 監査された領域に責任をもつ管理者は, 発見された不適合及びその原因を除去するために遅滞なく修正及び是正処置がとられることを確実にしなければならない。 フォローアップには,とった処置の検証及び検証結果の報告を含めなければならない。

注記 マネジメントシステム監査のための指針については JIS Q 19011 を参照。

4.5.4.3 マネジメントレビュー

トップマネジメントは, SMS 及びサービスが, 引続き適切で,有効であることを確実にするために, あらかじめ定めた間隔で SMS 及びサービスをレビューしなければならない。このレビューでは, サービスマネジメントの方針及び目的を含む, SMS の改善の機会及び変更の必要性のアセスメントも行わなければならない。 マネジメントレビューへのインプットには少なくとも次の情報を含まなければならない。

  1. 顧客からのフィードバック
  2. サービス及びプロセスのパフォーマンス及び適合性
  3. 現在及び将来の,人,技術,情報及び財務に関する資源の程度
  4. 現在及び将来の,人及び技術に関する能力
  5. リスク
  6. 監査の結果及びフォローアップ処置
  7. 前回までのマネジメントレビューの結果及びフォローアップ処置
  8. 予防処置及び是正処置の状況
  9. SMS 及びサービスに影響を及ぼす可能性のある変更
  10. 改善の機会

マネジメントレビューの記録は,維持しなければならない。

マネジメントレビューの記録には,少なくとも資源,SMS の有効性の改善,及びサービスの改善に関連 する決定及び処置を含まなければならない。

4.5.5 SMS の維持及び改善(Act)

4.5.5.1 一般

SMS 及びサービスの継続的改善の方針をもたなければならない。 この方針には,改善の機会の評価基準を含めなければならない。 改善の特定,文書化,評価,承認,優先度付け,管理, 測定及び報告に対する権限及び責任を含む文書化された手順をもたなければならない。 是正処置及び予防処置を含む改善の機会を文書化しなければならない。

特定された不適合の原因は,是正しなければならない。是正処置では, 特定された不適合の再発を防止するため, 不適合の原因を除去する処置を講じなければならない。 予防処置では,潜在的不適合の発生を防止するため, 潜在的不適合の原因を除去する処置を講じなければならない。

注記 是正処置及び予防処置についての詳細は,JIS Q 9001:2008 の 8.5 を参照。

4.5.5.2 改善のマネジメント

改善の機会は,優先度付けを行わなければならない。サービス提供者は, 改善の機会について決定する場合には,継続的改善のための方針における評価基準を用いなければならない。 承認された改善について計画しなければならない。

サービス提供者は,少なくとも次の事項を含む改善活動を管理しなければならない。

  1. 品質,価値,能力,費用,生産性,資源の活用及びリスク低減のうち, 一つ以上について改善の目標を設定する。
  2. 承認された改善が実施されることを確実にする。
  3. 必要に応じて,サービスマネジメントの方針,計画,プロセス及び手順を改訂する。
  4. 設定した目標に照らして実施された改善を測定し,目標が達成されていない場合は,必要な処置をとる。
  5. 実施した改善を報告する。

5. 新規サービス又はサービス変更の設計及び移行プロセス

5.1 一般

サービス提供者は, サービス又は顧客に重大な影響を及ぼす可能性がある全ての新規サービス及びサービス変更に対して, このプロセスを使用しなければならない。箇条 5 に属する変更は, 変更管理プロセスの一部として合意された変更管理方針によって決定しなければならない。

箇条 5 に属する新規サービス又はサービス変更のアセスメント,承認, スケジューリング及びレビューは, 変更管理プロセスによって制御しなければならない。 箇条 5 に属する新規サービス又はサービス変更によって影響を受ける CI は,構成管理プロセスによって管理しなければならない。

サービス提供者は, 合意したサービスの要求事項, 並びに 5.2 及び 5.3 に定める関連要求事項に照らして, 新規サービス又はサービス変更についての計画立案及び設計活動からのアウトプットをレビューしなければならない。 サービス提供者は,このレビューに基づいてアウトプットを受理又は却下しなければならない。 サービス提供者は,新規サービス又はサービス変更を, 受理されたアウトプットを用いて効果的に開発し移行することを確実にするため, 必要な処置をとらなければならない。

注記 新規サービス又はサービス変更の必要性は,事業ニーズを満たすため, 又はサービスの有効性を改善するために, 顧客,サービス提供者,内部グループ又は供給者によって提起される可能性がある。

5.2 新規サービス又はサービス変更の計画

サービス提供者は, 新規サービス又はサービス変更に対するサービスの要求事項を特定しなければならない。 新規サービス又はサービス変更は,サービスの要求事項を満たすように計画しなければならない。 新規サービス又はサービス変更の計画立案について, 顧客及び利害関係者と合意しなければならない。

計画立案へのインプットとして,サービス提供者は,新規サービス又はサービス変更の提供による, 財務,組織及び技術に関する潜在的な影響を考慮しなければならない。サービス提供者はまた, 新規サービス又はサービス変更が SMS に及ぼす潜在的影響を考慮しなければならない。 新規サービス又はサービス変更の計画立案には,少なくとも次の事項を含むか, 又は参照しなければならない。

  1. 設計,開発及び移行活動についての権限及び責任
  2. サービス提供者と他の関係者との間のインタフェースにおける活動を含む, サービス提供者及び他の関係者によって実施される活動
  3. 利害関係者とのコミュニケーション
  4. 人,技術,情報,及び財務に関する資源
  5. 計画した活動に割り当てられた期間
  6. リスクの特定,アセスメント及び管理
  7. 他のサービスへの依存関係
  8. 新規サービス又はサービス変更のために必要な試験
  9. サービス受入れ基準
  10. 測定可能な形で表現された,新規サービス又はサービス変更の提供によって期待される成果

廃止するサービスについては,サービス提供者はサービス廃止を計画しなければならない。 計画立案には,データ,文書及びサービスコンポーネントの,廃止,保管, 廃棄又は移管の日付を含めなければならない。 サービスコンポーネントには, インフラストラクチャ及びライセンスを伴うアプリケーションを含む場合がある。

サービス提供者は, 新規サービス又はサービス変更のためのサービスコンポーネントの提供に関与する他の関係者を特定しなければならない。 サービス提供者は,サービスの要求事項を満たすための他の関係者の能力を評価しなければならない。 評価の結果は,記録し,必要な処置をとらなければならない。

5.3 新規サービス又はサービス変更の設計及び開発

新規サービス又はサービス変更は,少なくとも次の事項を含めて設計し,文書化しなければならない。

  1. 新規サービス又はサービス変更の提供についての権限及び責任
  2. 新規サービス又はサービス変更の提供のために, サービス提供者,顧客,及び他の関係者が実施する活動
  3. 適切な教育,訓練,技能及び経験に対する要求事項を含む, 人的資源に関する新規又は変更された要求事項
  4. 新規サービス又はサービス変更の提供に関する財務資源の要求事項
  5. 新規サービス又はサービス変更の提供を支援するための,新規の技術又は変更された技術
  6. この規格の要求に従った,新規又は変更された計画及び方針
  7. サービスの要求事項の変更に整合した,新規又は変更された契約及び他の合意文書
  8. SMS の変更
  9. 新規又は変更された SLA
  10. サービスカタログの更新
  11. 新規サービス又はサービス変更の提供のために使用する手順,尺度及び情報

サービス提供者は,設計によって新規サービス又はサービス変更がサービスの要求事項を満たすことを 確実にしなければならない。

新規サービス又はサービス変更は,文書化された設計に従って開発しなければならない。

注記 設計についての詳細は,JIS Q 9001:2008 の 7.3 に記載の設計・開発のプロセス,又は ISO/IEC 15288:2008 の 6.4.3 に記載のアーキテクチャ設計プロセスを参照。

5.4 新規サービス又はサービス変更の移行

新規サービス又はサービス変更は, それがサービスの要求事項及び文書化された設計を満たすことを検証するために, 試験しなければならない。新規サービス又はサービス変更は, サービス提供者と利害関係者とがあらかじめ合意したサービス受入れ基準に照らして検証しなければならない。 サービス受入れ基準が満たされていない場合には,サービス提供者及び利害関係者は, 必要な処置及び展開について決定しなければならない。

承認された新規サービス又はサービス変更を稼働環境へ展開するために, リリース及び展開管理プロセスを使用しなければならない。

移行活動が完了した後,サービス提供者は利害関係者に, 期待される成果に照らして実現された成果を報告しなければならない。

6 サービス提供プロセス

6.1 サービスレベル管理

サービス提供者は,提供するサービスについて顧客と合意しなければならない。

サービス提供者は,サービスカタログについて顧客と合意しなければならない。

サービスカタログには, サービスとサービスコンポーネントとの依存関係を含めなければならない。

提供する各サービスについて,一つ以上の SLA を顧客と合意しなければならない。 SLA を作成する場合には,サービス提供者はサービスの要求事項を考慮しなければならない。 SLA には合意したサービス目標,作業負荷の特性及び例外を含めなければならない。

サービス提供者は,顧客とともに, あらかじめ定めた間隔でサービス及び SLA をレビューしなければならない。

文書化されたサービスの要求事項,サービスカタログ,SLA,及び他の合意文書に対する変更は, 変更管理プロセスによって管理しなければならない。 サービスカタログは,サービス及び SLA の変更後,それらが整合していることを確実にするために,維持しなければならない。

サービス提供者は,あらかじめ定めた間隔で, サービス目標に照らして傾向及びパフォーマンスを監視しなければならない。 結果は,不適合の原因及び改善の機会を特定するために,記録し,レビューしなければならない。

サービス提供者は,内部グループ又は顧客が提供するサービスコンポーネントについて, それらの活動及び二者間のインタフェースを定義する合意文書を,策定,合意,レビュー及び維持しなければならない。

サービス提供者は,合意したサービス目標及びその他の合意したコミットメントに照らして, 内部グループ又は顧客のパフォーマンスを,あらかじめ定めた間隔で監視しなければならない。 結果は,不適合の原因及び改善の機会を特定するために記録し,レビューしなければならない。

6.2 サービスの報告

識別,目的,報告先,頻度及びデータの出所に関する詳細を含むサービス報告書の記載内容は,サービス提供者が文書化し,利害関係者と合意しなければならない。

サービス報告書は,サービスマネジメントのプロセスを含む, サービスの提供及び SMS 活動から得られる情報を用いて,サービスのために作成しなければならない。サービスの報告には,少なくとも次を含めなければならない。

  1. サービス目標に対するパフォーマンス
  2. 少なくとも,重大なインシデント,新規サービス又はサービス変更の展開,及び発動されたサービス継続計画を含む,重要な事象に関する情報
  3. 作業量及び定期的な変更を含む,作業負荷の特性
  4. この規格の要求事項,SMS の要求事項又はサービスの要求事項に対して検出された不適合,及び特定されたそれらの原因
  5. 傾向情報
  6. 顧客満足度測定,サービスに対する苦情,並びに満足度測定及び苦情の分析結果

サービス提供者は,サービス報告書の所見に基づいて決定を行い,処置をとらなければならない。合意した処置は,利害関係者に伝達しなければならない。

6.3 サービス継続及び可用性管理

6.3.1 サービス継続及び可用性の要求事項

サービス提供者は, サービス継続及び可用性に対するリスクを評価し文書化しなければならない。 サービス提供者は,サービス継続及び可用性の要求事項について特定し, 顧客及び利害関係者と合意しなければならない。 合意した要求事項では,適用可能な事業計画, サービスの要求事項SLA 及びリスクを考慮しなければならない。

合意したサービス継続及び可用性の要求事項には,少なくとも次を含めなければならない。

  1. サービスへのアクセス権
  2. サービス応答時間
  3. サービス全体(end-to-end)の可用性

6.3.2 サービス継続及び可用性の計画

サービス提供者は,サービス継続及び可用性の計画を作成,導入,及び維持しなければならない。 これらの計画の変更は,変更管理プロセスで管理しなければならない。 サービス継続計画には,少なくとも次を含めなければならない。

  1. 重大なサービスの停止の場合に実施する手順,又はその参照
  2. 計画が発動された場合の可用性の目標
  3. 復旧の要求事項
  4. 平常業務の状態に復帰するための取組み

サービス継続計画,連絡先一覧及び CMDB は, 通常のサービス提供領域へのアクセスが妨げられた場合でも利用可能でなければならない。

可用性計画には,少なくとも可用性の要求事項及び目標を含めなければならない。

サービス提供者は, サービス継続及び可用性の計画への変更要求の影響を評価しなければならない。

注記 サービス継続及び可用性の計画は,一つの文書に統合してもよい。

6.3.3 サービス継続及び可用性の監視及び試験

サービス可用性を監視し, その結果を記録して,合意した目標と比較しなければならない。 計画外の可用性の喪失は,調査し,必要な処置をとらなければならない。

サービス継続計画は,サービス継続の要求事項に照らして試験しなければならない。 可用性計画は,可用性の要求事項に照らして試験しなければならない。 サービス提供者がサービスを運用するサービス環境に重大な変更があった場合, サービス継続及び可用性の計画を再度試験しなければならない。

試験の結果は記録しなければならない。各試験後,及びサービス継続計画の発動後, レビューを実施しなければならない。 不備が見つかった場合には,サービス提供者は必要な処置をとり,とった処置について報告しなければならない。

6.4 サービスの予算業務及び会計業務

サービスの予算業務及び会計業務プロセスと,他の財務管理プロセスとの間に,定義されたインタフェースをもたなければならない。

次の事項について,方針及び文書化された手順をもたなければならない。

  1. 少なくとも次の事項を含む,サービスコンポーネントのための予算業務及び会計業務
    1. サービスを提供するために使用する資産(ライセンスを含む。)
    2. 共有資源
    3. 間接工数
    4. 資本及び運営経費
    5. 外部から提供されるサービス
    6. 要員
    7. 設備
  2. 各サービスに全体的な費用を提供するための,サービスへの間接費の配賦及び直接費の割当て
  3. 効果的な財務管理及び承認

費用は,提供するサービスについての効果的な財務管理及び意思決定ができるように予算化しなければならない。

サービス提供者は,予算に照らして費用を監視及び報告し,財務予測をレビューし,費用を管理しなければならない。

変更要求にかかる費用の根拠として,変更管理プロセスに情報を提供しなければならない。

注記 多くのサービス提供者はサービスに課金している。サービスの予算業務及び会計業務プロセスの範囲には,課金は含まない。

6.5 容量・能力管理

サービス提供者は,容量・能力及びパフォーマンスの要求事項を特定し,これについて顧客及び利害関係者と合意しなければならない。

サービス提供者は,人,技術,情報及び財務に関する資源を考慮して,容量・能力の計画を作成,実施及び維持しなければならない。容量・能力の計画の変更は,変更管理プロセスで管理しなければならない。

容量・能力の計画には,少なくとも次を含めなければならない。

  1. 現在及び将来の,サービスに対する需要
  2. 可用性,サービス継続及びサービスレベルについて合意した要求事項から予想される影響
  3. サービスの容量・能力を拡張させるための,期間,しきい(閾)値及び費用
  4. 法令,規制,契約又は組織変更上の,潜在的影響
  5. 新規技術及び新規技法による潜在的影響
  6. 予測分析を可能にする手順,又はその参照

サービス提供者は,容量・能力の利用を監視し, 容量・能力のデータを分析し,パフォーマンスを調整しなければならない。 サービス提供者は, 合意した容量・能力及びパフォーマンスの要求事項を満たすために, 十分な容量・能力を提供しなければならない。

6.6 情報セキュリティ管理

6.6.1 情報セキュリティ基本方針

適切な権限をもつ経営者は,サービスの要求事項,法令・規制要求事項及び契約上の義務を考慮して,情報セキュリティ基本方針を承認しなければならない。経営者は次を実施しなければならない。

  1. サービス提供者,顧客及び供給者の内部の適切な要員に,情報セキュリティ基本方針及びこの方針の 順守の重要性を周知する。
  2. 情報セキュリティマネジメントの目的が確立されていることを確実にする。
  3. 情報セキュリティリスク及びリスク受容基準の管理のためになすべき取組みを定義する。
  4. 情報セキュリティリスクアセスメントを,あらかじめ定めた間隔で実施することを確実にする。
  5. 情報セキュリティ内部監査を実施することを確実にする。
  6. 改善の機会を特定するため,監査結果をレビューすることを確実にする。

6.6.2 情報セキュリティ管理策

サービス提供者は,次のために物理的,実務管理的,及び技術的な情報セキュリティ管理策を導入し,運用しなければならない。

  1. 情報資産の機密性,完全性及びアクセス性を保つ。
  2. 情報セキュリティ基本方針の要求事項を満たす。
  3. 情報セキュリティ管理の目的を達成する。
  4. 情報セキュリティに関連するリスクを管理する。

これらの情報セキュリティ管理策を文書化し,管理策が関連するリスク,管理策の運用及び維持について記述しなければならない。

サービス提供者は,情報セキュリティ管理策の有効性をレビューしなければならない。サービス提供者は,必要な処置をとり,とった処置について報告しなければならない。

サービス提供者は,サービス提供者の情報又はサービスにアクセスし,利用又は管理する必要がある外部組織を特定しなければならない。サービス提供者は,情報セキュリティ管理策について,これらの外部組織と文書化し,合意し,実施しなければならない。

6.6.3 情報セキュリティの変更及びインシデント

次を特定するために, 変更要求を評価しなければならない。

  1. 新たな情報セキュリティリスク,又は変化した情報セキュリティリスク
  2. 既存の情報セキュリティ基本方針及び管理策への潜在的影響

情報セキュリティインシデントは, 情報セキュリティリスクに適した優先度に従い,インシデント管理手順を用いて管理しなければならない。サービス提供者は,情報セキュリティインシデントの種類,数及び影響を分析しなければならない。情報セキュリティインシデントは,改善の機会を特定するため,報告し,レビューしなければならない。

注記 ISO/IEC 27000 ファミリー規格は,情報セキュリティマネジメントシステムの要求事項を規定 し,導入及び運用を支援するための手引を提供する。

7. 関係プロセス

7.1 事業関係管理

サービス提供者は,サービスの顧客,利用者及び利害関係者を特定し,文書化しなければならない。 各顧客について,サービス提供者は顧客関係及び顧客満足を管理する責任をもつ個人を指名しなければならない。

サービス提供者は,顧客との間にコミュニケーションの仕組みを確立しなければならない。 コミュニケーションの仕組みによって, サービスを運用する事業環境及び新規サービス又はサービス変更に対する要求事項の理解を促進しなければならない。 この情報は,サービス提供者のこれらの要求事項への対応を可能にするものでなければならない。

サービス提供者は顧客とともに,あらかじめ定めた間隔で,サービスのパフォーマンスをレビューしなければならない。

文書化されたサービスの要求事項の変更は,変更管理プロセスで管理しなければならない。 SLA の変更は,サービスレベル管理プロセスと連携しなければならない。

サービスに対する苦情の定義について,顧客と合意しなければならない。 顧客からのサービスに対する苦情を管理する文書化された手順をもたなければならない。 サービス提供者は,サービスに対する苦情を記録,調査,対処,報告及び終了しなければならない。 通常の経路ではサービスに対する苦情が解決しなかった場合には,顧客に別の経路を提供しなければならない。

サービス提供者は,顧客及びサービスの利用者の代表的なサンプルに基づき, あらかじめ定めた間隔で顧客満足度を測定しなければならない。 その結果は,改善の機会を特定するために,分析し,レビューしなければならない。

7.2 供給者管理

サービス提供者は,サービスマネジメントのプロセスの一部の導入及び運用のために供給者を用いても よい。サプライチェーン関係の例を図 3 に示す。

各供給者について,サービス提供者は,供給者との関係,契約及び供給者のパフォーマンスの管理に責 任をもつ個人を指名しなければならない。

サービス提供者及び供給者は,契約文書について合意しなければならない。 契約には次を含めるか,又は参照しなければならない。

  1. 供給者が提供するサービスの範囲
  2. サービス,プロセス及び関係者の間の依存関係
  3. 供給者が満たす要求事項
  4. サービス目標
  5. 供給者及び他の関係者が運用するサービスマネジメントのプロセス間のインタフェース
  6. SMSの範囲内の供給者の活動の統合
  7. 作業負荷の特性
  8. 契約の例外及びその対処法
  9. サービス提供者及び供給者の権限及び責任
  10. 供給者が提供する報告及びコミュニケーション
  11. 課金の根拠
  12. 予定どおりの,又は早期の契約の終了,及び他の関係者へのサービスの移管に関する活動及び責任

サービス提供者は,サービス提供者と顧客との間の SLA を支え,整合を図るため, サービスレベルについて供給者と合意しなければならない。

サービス提供者は,統括供給者及び再請負契約先供給者の役割, 及びそれらの関係が文書化されていることを確実にしなければならない。 再請負契約先供給者が契約上の義務を果たすよう, 統括供給者が管理していることを,サービス提供者は検証しなければならない。

サービス提供者は,あらかじめ定めた間隔で供給者のパフォーマンスを監視しなければならない。 パフォーマンスは,サービス目標及びその他の契約上の義務に照らして測定しなければならない。 結果は記録し,不適合の原因及び改善の機会を特定するためにレビューしなければならない。 レビューは,契約が最新の要求事項を反映していることも確実にしなければならない。

契約の変更は,変更管理プロセスによって管理しなければならない。

サービス提供者と供給者との間の契約上の紛争を管理するための, 文書化された手順をもたなければならない。

注記 1 供給者管理プロセスの適用範囲には,供給者の選定及びサービスの調達は含まない。

注記 2 サプライチェーン関係のその他の例については,ISO/IEC TR 20000-3 を参照。

8. 解決プロセス

8.1 インシデント及びサービス要求管理

次の項目を規定する全てのインシデントに対する文書化された手順をもたなければならない。

  1. 記録
  2. 優先度の割当て
  3. 分類
  4. 記録の更新
  5. 段階的取扱い
  6. 解決
  7. 終了

記録作成から終了に至るまで,サービス要求の実現を管理するための文書化された手順をもたなければならない。 インシデント及びサービス要求はこれらの手順に従って管理しなければならない。

インシデント及びサービス要求の優先度付けを行う場合は, サービス提供者はインシデント又はサービス要求の影響及び緊急度を考慮しなければならない。

サービス提供者は,インシデント及びサービス要求管理プロセスに関与する要員が, 関連する情報にアクセスし,使用できることを確実にしなければならない。 関連する情報には,サービス要求管理の手順, 既知の誤り,問題解決策及び CMDB を含めなければならない。 リリース及び展開管理プロセスから得られる, リリースの成功又は失敗,及び将来のリリースの期日に関する情報は, インシデント及びサービス要求管理プロセスによって使用されなければならない。

サービス提供者は,報告されたインシデント又はサービス要求の進捗状況について, 継続的に顧客に情報を提供しなければならない。サービス目標が達成されない場合は, サービス提供者は顧客及び利害関係者に通知し,手順に従って段階的取扱いを行わなければならない。

サービス提供者は,重大なインシデントの定義について文書化し,顧客と合意しなければならない。 重大なインシデントは,文書化された手順に従って分類し,管理しなければならない。 トップマネジメントに,重大なインシデントについて通知しなければならない。トップマネジメントは, 重大なインシデントの管理に責任をもつ特定の個人が指名されていることを確実にしなければならない。 合意されたサービスの回復後,改善の機会を特定するために, 重大なインシデントをレビューしなければならない。

8.2 問題管理

問題を特定し,インシデント及び問題の影響を最小化又は回避するための文書化された手順をもたなければならない。問題のための手順では,次の項目を規定しなければならない。

  1. 識別
  2. 記録
  3. 優先度の割当て
  4. 分類
  5. 記録の更新
  6. 段階的取扱い
  7. 解決
  8. 終了

問題は手順に従って管理しなければならない。

サービス提供者は,根本原因及び潜在的な予防処置を特定するため, インシデント及び問題のデータ及びび傾向を分析しなければならない。

CI の変更を必要とする問題は,変更要求を提起することによって解決しなければならない。

根本原因が特定されたが,問題が恒久的に解決されていない場合,サービス提供者はその問題がサービスに及ぼす影響を低減又は除去するための処置を特定しなければならない。既知の誤りを記録しなければならない。

問題解決の有効性を監視し,レビューし,報告しなければならない。

既知の誤り及び問題解決策に関する最新の情報を,インシデント及びサービス要求管理プロセスに提供しなければならない。

9. 統合的制御プロセス

9.1 構成管理

CIの種類ごとの定義について文書化しなければならない。 各 CI について記録した情報は,効果的な管理を確実にし,少なくとも次を含まなければならない。

  1. CIについての記述
  2. CIと他の CI との関係
  3. CIとサービスコンポーネントとの関係
  4. 状態
  6. 場所
  7. ひも(紐)付けされた変更要求
  8. ひも(紐)付けされた問題及び既知の誤り

CI は一意に特定し,CMDB に記録しなければならない。 CMDB は更新アクセスの制御を含め, その信頼性及び正確性を確実にするために管理しなければならない。

CI の版を記録,制御及び追跡するための文書化された手順をもたなければならない。 制御の程度は,サービスの要求事項及び CI に関連するリスクを考慮して, サービス及びサービスコンポーネントの完全性を維持するものでなければならない。

サービス提供者は,あらかじめ定めた間隔で,CMDB に保管されている記録を監査しなければならない。

欠陥がある場合には,サービス提供者は必要な処置をとり, とった処置について報告しなければならない。

CMDB からの情報は,変更要求のアセスメントを支援するために, 変更管理プロセスに提供しなければならない。

CI の変更は,CI 及び CMDB にあるデータの完全性を確実にするため, 追跡可能かつ監査可能でなければならない。

影響を受ける CI の構成ベースラインは, 稼働環境へのリリースの展開に先立ってとらなければならない。

CMDB に記録されている CI の原本は,構成記録が参照している, セキュリティが保たれた物理的又は電子的な格納庫に収納しなければならない。 原本には少なくとも,文書,ライセンス情報,ソフトウェア, 及び入手可能な場合は,ハードウェア構成の配置図を含めなければならない。

構成管理プロセスと財務資産管理プロセスとの間には定義されたインタフェースをもたなければならない。

注記 構成管理プロセスの適用範囲には,財務資産管理を含まない。

9.2 変更管理

変更管理方針を確立し,次を定義しなければならない。

  1. 変更管理が制御している CI
  2. サービス又は顧客に重大な影響を及ぼす可能性のある変更を判断する基準

サービスの廃止は,重大な影響を及ぼす可能性のあるサービス変更として分類しなければならない。 サービス提供者から顧客又は他の関係者へのサービスの移管は, 重大な影響を及ぼす可能性のある変更として分類しなければならない。

変更要求を記録し,分類し,評価し,承認する文書化された手順をもたなければならない。

サービス提供者は,緊急変更の定義について文書化し,顧客と合意しなければならない。 緊急変更を管理する文書化された手順をもたなければならない。

サービス又はサービスコンポーネントへの全ての変更は,変更要求を用いて提起しなければならない。

変更要求は定義された適用範囲をもたなければならない。

全ての変更要求は記録し,分類しなければならない。 サービス又は顧客に重大な影響を及ぼす可能性があるとして分類された変更要求は, 新規サービス又はサービス変更の設計及び移行プロセスを用いて管理しなければならない。 変更管理方針で定義された,CI に対する他の全ての変更要求は, 変更管理プロセスを用いて管理しなければならない。

変更要求は,変更管理プロセス及びその他のプロセスからの情報を用いて評価しなければならない。

サービス提供者及び利害関係者は, 変更要求の受入れについて決定しなければならない。

意思決定では, リスク,サービス及び顧客への潜在的影響,サービスの要求事項,事業利益, 技術的実現可能性並びに財務的な影響を考慮しなければならない。

承認された変更は,開発し,試験しなければならない。

承認された変更の詳細及びその展開の期日案を含む変更スケジュールを策定し, 利害関係者に周知しなければならない。 変更スケジュールは,リリース展開の計画立案の基礎として使用しなければならない。

失敗した変更を元に戻す,又は修正するために必要な活動を計画し,可能な場合には, 試験しなければならない。変更が失敗した場合には,元に戻すか,又は修正しなければならない。 失敗した変更は,調査し,合意した処置をとらなければならない。

CMDB の記録は,変更の展開の成功後に更新しなければならない。

サービス提供者は,有効性について変更をレビューし, 利害関係者と合意した処置をとらなければならない。

変更要求は,傾向を検知するため,あらかじめ定めた間隔で分析しなければならない。 分析から導き出された結果及び結論は記録し, 改善の機会を特定するためにレビューしなければならない。

9.3 リリース及び展開管理

サービス提供者は, リリースの頻度及び種類を記述したリリース方針を策定し, 顧客と合意しなければならない。

サービス提供者は,新規サービス又はサービス変更,及びサービスコンポーネントの稼働環境への展開について, 顧客及び利害関係者とともに計画を策定しなければならない。 計画立案は変更管理プロセスと連携しなければならず, 関連する変更要求,既知の誤り及びリリースによって終了する問題の参照を含めなければならない。 計画立案には,各リリースの展開の日付,成果物及び展開方法を含めなければならない。

サービス提供者は,緊急のリリースの定義について文書化し,顧客と合意しなければならない。 緊急のリリースは緊急変更手順とのインタフェースが図られている文書化された手順に従って管理しなければならない。

リリースは,展開の前に構築し,試験しなければならない。 リリースの構築及び試験には,制御された受入れ試験環境を使用しなければならない。

リリースの受入れ基準について,顧客及び利害関係者と合意しなければならない。 リリースは,合意した受入れ基準に基づいて検証し,展開前に承認しなければならない。 受入れ基準を満たしていない場合には, サービス提供者は必要な処置及び利害関係者への展開について決定しなければならない。

リリース展開の場合にハードウェア, ソフトウェア及びその他のサービスコンポーネントの完全性が維持されるように, リリースを稼働環境に展開しなければならない。

リリース展開の失敗を元に戻す,又は修正するために必要な活動を計画し,可能な場合には, 試験しなければならない。リリース展開が失敗した場合には,元に戻すか,又は修正しなければならない。 リリースの失敗は調査し,合意した処置をとらなければならない。

リリースの成功又は失敗は,監視し,分析しなければならない。 測定には,リリース展開後のリリースに関連するインシデントを含めなければならない。 分析には,リリースの顧客への影響のアセスメントを含めなければならない。 分析から導き出された結果及び結論は記録し,改善の機会を特定するためにレビューしなければならない。

リリースの成功又は失敗に関する情報, 及び将来のリリース期日についての情報を, 変更管理プロセス, 並びにインシデント及びサービス要求管理プロセスに提供しなければならない。

変更要求がリリース及び展開計画に及ぼす影響のアセスメントを支援するため, 変更管理プロセスに情報を提供しなければならない。

まりんきょ学問所品質の部屋 > JIS Q 20000 −情報技術−サービスマネジメント−

MARUYAMA Satosi