ITILをベースとした運用管理規定の策定

ポイント

• 多くのユーザー企業においてシステム運用整備を支援した実績に評価
• ITILをベースとした「運用管理規定」を実運用と並行しながら短期間で策定
• ISMS認証を短期間で取得し、セキュリティレベルや業務品質の高い運用サービスの実現

1.経緯

2.運用管理規定とITIL、ISMSの位置づけ

運用管理規定とITIL、ISMSの位置づけは次の通りです。
このうちアークシステムは運用管理規定について支援いたしました。

• 運用管理規定は、システムセンターでの運用活動、運用管理活動すべてを規定するもので、いわば運用管理における"法律"に相当するものです。この運用管理規定をITILをベースとし、一部独自のカスタマイズ (解釈) を加えて作成いたしました。
• 情報セキュリティ管理の観点でみると運用管理規定は、組織、制度、教育などと並んで、ISMSに従う必要があります。言い換えると「システムセンターでのISMS活動を具体的に規定したものが、運用管理規定である」という関係性を持ちます。
• 運用管理においては「目標の設定・計画 (Plan)→運用管理活動の実装・実施 (Do)→監視・評価 (Check)→改善策の検討・実施 (Action)→目標の再設定 (Plan)→ ・・・」というPDCAサイクルを継続することが非常に重要です。ITILに基づき"サービスレベル管理プロセス"を頂点としたPDCAサイクルを構成する運用管理規定は、同じくPDCAアプローチに基づくISMSと基本的な考え方で一致しており、実際の規定上も整合性を確保しています。

3.運用管理規定の特長

ここで言う「運用管理規定」は単なる方針的なものではなく、次のような特長を備えています。

• 管理プロセスや管理基準はもちろん、管理を行ううえでの組織や管理者の役割まで、詳細に定義していること。
• ITILがカバーしていない管理を、アークシステム独自の運用方法論 (ARKメソドロジー) に基づき、ITILと整合性をとった形で組み込んでいること。
• 運用全体としても、各管理個別、運用個別でも、それぞれPDCAサイクルが機能するよう設計していること。
• これらすべてが、ISMS認証基準や管理施策を網羅したものになっていること。

今回の支援ではまったくのゼロから、手順書、様式の作成にいたるまで、運用管理規定を短期間で現場に実装いたしました。

4.進め方

必要に応じて運用部門にヒアリングを行ないながら、規定書のたたき台をすべてアークシステムにて作成しました。段階的にレビューを行う方式を採り、特に運用部門レビューを通じて現状とのギャップ解消をはかることで、机上の空論ではなく、実際的に使える運用管理規定を策定しました。ISMSとの整合性確保が大きなポイントとなりました。

ISMSとの整合性確保のために・・・

• ISMS側からの要件をインプットとして、運用管理規定書のたたき台を作成
• ISMSの管理策と、運用管理規定とをつきあわせ、どの策をどの規定に盛り込むべきかを検討し、漏れのないように設計
• ISMSのPDCAフローと、運用管理規定のPDCAフローの整合性を保つよう設計
• 必要に応じてISMS認証機関にレビューを行ないながら、運用管理規定を完成

5.運用管理規定を構成するドキュメントの一例

ITIL管理項目		運用管理規定のドキュメント
		規定書本体	付随するドキュメントなど
サービスサポート	インシデント管理	インシデント管理規定書	インシデント管理シート 各種対応手順書 コール対応マニュアル サービスレベル一覧
	問題管理	問題管理規定書	問題管理シート 問題管理表
	構成管理	構成管理規定書	ハードウェア全体構成図 ハードウェア機器一覧 ハードウェア機器構成 ソフトウェア一覧 ソフトウェア構成一覧 ネットワーク構成図

※上記の規定書やドキュメントは、ほんの一例です。実際にはITILの様々な管理項目に則り、ISMSと整合性の取れた多くの規定とドキュメントを作成致しました。

6.効果

• ITILをベースとした「運用管理規定」を実運用と並行しながら短期間で策定
• ISMS認証を短期間で取得
• セキュリティレベルや業務品質の高い運用サービスの実現