tag:iso20000.info,2010-09-14://4 2011-10-14T03:39:37Z クラウド/ホスティング屋のISO20000への取り組み Movable Type tag:iso20000.info,2011://4.42 2011-10-14T03:07:02Z 2011-10-14T03:39:37Z

7ヶ月ぶりのブログ更新となります。この間に、当社では、ISO/IEC 27001...

itil この間に、当社では、ISO/IEC 27001および20000-1の審査機関を、
JACOに変更しました。

2005年の取得から、早6年となり、2回目の更新。
マネジメントサイクルも、12回以上は回っています。
すっかり回し方の型ができてきたため、
別の視点で見ていただくこともまた有意義では、という声が出てきました。

前審査機関のJQAには、最初のころは、マネジメントシステムそのものの指摘をいただき、
1つ1つ組織全体で理解しながら、PDCAの型をつくってきました。
最近は、毎回内部の人間が見落としがちな鋭い視点から、
数々のご指摘をいただき、それを各部署のマネージャークラスや、
内部監査にFBすることで、自己点検のレベルアップを図ってきました。
振り返ると、JQAさんには育てていただいた（あくまで審査ですが）気持ちでいっぱいです。
本当にお世話になりました。

さて、実際他の機関の審査を受けてみて、どちらの機関もISOの基準に則った審査方法とはいえ、
細かい審査の進め方、指摘の観点はやはり違うのだな、という印象を受けました。
当社と同じように、マンネリ防止目的の審査機関変更も少なくないそうです。

無事更新審査も通り、社員一同、新たな3年を踏み出したところです。
これからもどうぞよろしくお願いいたします。
]]> tag:iso20000.info,2011://4.41 2011-02-28T07:10:20Z 2011-02-28T07:22:59Z

早いもので、2月も最終日。 昨年2月のIT proを読み返すと、こんな記事が目に...

itil 昨年2月のIT proを読み返すと、こんな記事が目に止まりました。
「クラウド導入に踏み切れない理由」
http://headlines.yahoo.co.jp/hl?a=20110204-00000040-zdn_ep-secu

■1年前、クラウドのセキュリティは不安の種だった

この記事では、クラウドを導入、計画している企業がまだ少ないことや、
クラウドにおける不安を報じています。
当時、クラウドに対しセキュリティが不安という企業は、7割近くもあったとのこと。

いやぁ、なんとも懐かしいです。
昨今では、大企業、金融関係、官公庁、自治体、学校でのクラウド導入の
ニュースも頻繁に流ており、もはや隔世の感すらあります。

...ということは、この1年で、
クラウドに対するセキュリティの不安は解消されたということでしょうか。
クラウドに関わる読者の皆様ご自身はどうでしょうか？
業務で仮に関わらなくても、スマートフォンやGoogle Appsを利用している、
一ユーザとして、いかがでしょうか？

■1年後、クラウドの不安は解消されたのか？

そのヒントとなる資料がこちら。
2010年12月に、NRIセキュアテクノロジーズが発表した、
情報セキュリティに関するアンケート
「企業における情報セキュリティ実態調査2010」
http://www.nri.co.jp/news/2010/101203.html

新たにASPやクラウドサービスを利用する際、重視する項目を上位5つを
企業の情報システム担当者・情報セキュリティ担当に問うたところ、
以下の結果が帰ってきました。

---

「月次費用」
「サービスの品質」
「サービスの継続性」
「自社システムとの連携」
「移行のしやすさ」

---

おや？セキュリティが入っていないのです。

---

「情報セキュリティ監査の実施状況や第三者認証（ISMS、プライバシーマーク等）の取得状況」については、「重視する」と回答した企業は2割未満にとどまる（それぞれ、19.5％、11.3％）。

---

まとめると、
「クラウド導入において、セキュリティより、費用や品質を重視する企業が多い」
という結果でした。

調査が異なるため、一概に比較できるものではないのですが、
1年前と比べ、クラウドのセキュリティへの不安感は、
軽くなっているような印象をうけます。

おそらくここ1年で、

・社内外でクラウドの導入実績が増えた
・個人レベルでのクラウド経験が理解の一助となった
・コスト等クラウド導入の積極的な理由が強くなった

等の理由があるのでしょう。

■セキュリティ課題は消えていない。どう対応する？

とはいえ、クラウドのセキュリティへの不安感は薄くなっても、
セキュリティの課題が解決したわけではありません。

海外の法律にどう対応するか、という課題は依然残っていますし、
クラウド導入が進んだ昨今では、
パブリッククラウドで動くマルウェアも登場しているそうです。

「クラウドにおける重要なセキュリティ課題とは何か？どう対応するか？？」

ヒントになりそうな資料を見つけました。

IPAから、欧州 ネットワーク情報セキュリティ庁による
「クラウドコンピューティング：情報セキュリティ確保のためのフレームワーク」
「クラウドコンピューティング：情報セキュリティに関わる利点、リスクおよび推奨事項」
の翻訳が出ています。
pdfで配布され無料で誰でも閲覧できるものです。
http://www.ipa.go.jp/security/publications/enisa/index.html

エイヤーで導入して、後悔しないために、
次回、資料の中身を見ていきたいと思います。 ]]> tag:iso20000.info,2011://4.40 2011-02-14T05:51:30Z 2011-02-14T05:58:32Z

ISO20000の審査機関をウェブで調べました。ご参考になさってください。BSI...

itil ご参考になさってください。

BSI マネジメントシステム ジャパン
http://www.bsigroup.jp/ja-jp

DNVインダストリージャパン
http://www.dnv.jp/services/certification/index.asp

ペリージョンソン レジストラー
http://www.pjr.jp/

JQA
http://www.jqa.jp/index.html

ビューローベリタス
http://www.bureauveritas.jp/

日本検査キューエイ株式会社
http://www.jicqa.co.jp/

SGS ジャパン株式会社
http://www.jp.sgs.com/

日本能率協会　審査登録センター
http://www.jma.or.jp/JMAQA/

日科技連・ISO審査登録センター
http://www.juse.or.jp/iso_center/index.html

ITサービスの品質向上の仕組みを構築し、維持向上する上で、
事実上、二人三脚、長いおつきあいとなります。

もちろん、審査機関は、コンサルティングはできないのですが、
英文の要求事項の解釈から、示唆に富む指摘(審査報告)、
審査でのヒアリングにおける現場へのインパクト etc.
審査からのインプットは、自社のマネジメントシステムにおいて一定の影響のあるものです。

自社の経営管理と照らし合わせ、信頼できるパートナーを選定したいものですね。
]]> tag:iso20000.info,2011://4.39 2011-02-07T04:12:11Z 2011-02-07T05:31:55Z

「ITILを導入して、一体どんなメリットがあるんですか？」この問いは、これからI...

itil
この問いは、これからISO20000の取得にとりかかろうとする経営者から、
毎夜サーバーのエラー警告に悩まされているインフラエンジニア、
膨大な構成管理データベースの入力に飽き飽きしているPMOまで、
ITILに関わるすべての立場の人が、ふと心に抱く質問ではないでしょうか。

この質問、ここに答えが載っていました。
グローバルナレッジ社が興味深い調査を公開しています。

「ビジネスにとってのITIL®の利点 」
http://www.globalknowledge.co.jp/reference/contents/WP_ITIL+Survey+v2.pdf

同社及び関連会社のハウスファイルから抽出されたITILプロフェッショナル、及びトレーニング受講者から、
358名が回答しています。昨年の調査です。（誤差5%）

この調査に、ITILの導入効果に関して以下の記載がありました。

----
実践により実現したITIL®の利点上位11位
1.  ITサービス反応性の向上
2.  エンド顧客の満足度
3.  IT作業負荷に関する改善
4.  ITサービス提供のコスト低減
5.  サービスインシデントの減少
6.  サービスのばらつき低減
7.  ITサービスに対する要求の測定
8.  ITプロジェクト成功率の向上
9.  ITサービスカタログ利用の増加
10.  ITフォーキャストの精度向上
11.  ビジネスの利益率や売上
-----
(引用：「ビジネスにとってのITIL®の利点 」）

上位2つは、顧客に近い場所での変化というのが興味深いですね。
当社に照らし合わせても、上位2つに関する変化は確かにありました。

「1.  ITサービス反応性の向上」
社内のサービスレベル目標として、お問い合わせには○○分以内にご対応する、という活動を開始しました。
サポートや営業の社員は、お客様からのご依頼やお問い合わせに、
迅速にご対応できているかどうか、非常に意識が高くなっています。

「2.  エンド顧客の満足度」
顧客満足度調査、サービスレポート、サービスレビューなどは、
ITILへの取り組みをきっかけに開始した活動です。
ITサービス業は、実にお客様から目に見えない活動がほとんどと感じます。
安定稼働が使命ゆえ、納品後は、ちょっと気を許すと、障害対応でしかやりとりしない、
という事態も起こり得るわけです。

目に見える活動をきっかけに、SLAを意識し、
協調してサービス提供ができる関係性が生まれることで、
結果的に、エンドユーザー様の満足度も向上するということではないでしょうか。

「3.  IT作業負荷に関する改善」
これは、サービスの最前線にいるエンジニアには心強い結果ですね。
同調査によれば、CEOやCTOなど「Cレベル」のマネジメントの協力を得ずとも、
効果がある、との回答があります。
部署レベルの部分最適から導入できるのがITILの特長だと思います。
忙しくて忙しくて仕方がない！というエンジニアの方が、
ボトムアップで、上司にITILの導入を打診するというスタートも、
実際のところ多いのではないでしょうか。

ITILの導入を決定する経営者や管理者は、
「11.  ビジネスの利益率や売上」
すなわち、売上向上やコスト削減がメリットとして目が行くわけですが、
よくよく考えてみれば、金銭面の数字は活動の結果を示すもの。
・サポートセンターのレスポンス向上
・サービスレビューでお客様と交流の場を持つ
・インシデントが見える化して作業負荷がチーム内で平準化される
etc....こういった活動の積み重ねが、売上やコスト削減につながってゆくのですね。

「漢方みたいに効く」ITIL。
導入のメリットを図る数値としては、売上やコスト削減効果より、
まずは活動レベルの数字を短期目標に上げると、
そのメリットを、みんなで共有できそうです。
]]> tag:iso20000.info,2011://4.38 2011-01-30T02:00:00Z 2011-01-31T05:36:21Z

ITIL・ITSM川柳大賞の発表が、1月18日にありました。ITIL Found...

itil ITIL FoundationやITIL　Managerなどの試験を主催する「EXIN」が募集したものです。
こちらで発表されています。

私が深く共感したのはこちら。

「ITILは  漢方みたいに  効くんです」
（NECラーニング株式会社賞、受賞者は富士通様）

ITILの導入には人手も時間も費用もかかる割りに、
即効性が見えない...
一応、短期的な数値目標は立てていたりして、
それなりの効果は数字には出ているのですけれども、
導入前の期待感に比べると、実感が薄い...

ITILに関わる人にはそんなモヤモヤ感が誰しもあるのではないでしょうか。

「漢方」とは、なんとも心得た表現。

社内のあらゆる施策と同様、短期的な評価とともに、
長期的な視点で評価することを忘れないようにしたいですね。

運用フェーズにはいると継続的で変化を感じにくいですが、
審査や内部監査、MRなどのタイミングで、導入前を振り返ると、
長期的な視点での評価もしやすいのではないかと思います。

マンネリ化しがち（？）なこれらの定期的なイベントも、
視点を変えて積極的に活用したいものですね。
]]> tag:iso20000.info,2011://4.37 2011-01-24T04:00:08Z 2011-01-24T04:09:57Z

2011年初のエントリーとなりました。少しづつですが、今年も更新を続けていけたら...

itil 少しづつですが、今年も更新を続けていけたらと思います。
本年もどうぞよろしくお願いいたします。

2010年を振り返ると、IT業界(特にインフラ)では、クラウドが普及期となり、
各社本格的な対応に迫られた年ではなかったかと思います。

当社でも、クラウドの普及でお客様が求めるものが大きく変わり、
サービスの内容も大きく変わりました。
数年前まで、専用サーバーの納期に、約2週間をいただいていましたが、
1月にリリースしたサービスは約10分でご提供しています。
実に、調達時間が2016分の1に*。

また提供者としてだけでなく、利用者としても、クラウドを使う場面が増えています。
業務でもSaaSやソーシャルアプリケーションの活用が進んでいます。

しかしながら、活用は進んでいるものの、セキュリティポリシーの見直しは後回し...
という会社様が多いのではないかと推察されます。
逆にセキュリティポリシーの見直しが後回しになっているから、
クラウドを導入できないというケースもありそうです。

私自身は、内部監査員ですが、クラウドをどういう視点で監査すべきか、
クラウドやセキュリティのニュースを追いながら、思案しています。

いずれの立場でも、クラウドでは何がリスクなのか、どう対応すべきかを知るのが第一歩。

本日は、セキュリティポリシーの見直しに役立ちそうな本を見つけましたので、
ご紹介いたします。

■クラウド セキュリティ&プライバシー ―リスクとコンプライアンスに対する企業の視点

出版社: オライリージャパン
言語 日本語
発売日： 2010/6/12

クラウドに関するセキュリティについて網羅的に解説されている本です。
まさに「視点」を提供し、具体的にどういったことがクラウドで行われているのか、
読みやすい言葉で解説されています。


どんな視点が提供されているのかというと...

○例えば、クラウドでは「転送」が増えること。

なるほど、ソーシャルアプリなどではAPIで別の事業者のサービスを経由するなんてことがありますね。その時に情報が他社に転送されているわけです。
また、同一事業者間でも国外のiDCにデータを転送することが発生したりします。

となると、そこのデータの扱いは、その国の法や、その会社のセキュリティポリシーに準拠することなどを、取得前に利用者に通知し、同意を取る必要がありそうです。

○例えば、動的にクラウド上のリソースを活用しようとしたら、
自動化をさせないと、非常に管理が煩雑になること。

なるほど、近い将来、技術基盤が標準化されれば、自社の環境をイメージ化して、
持ち運びしやすいようにして、条件のよいクラウドインフラを常に選択し、使い続ける、
といったケースが考えられます。
将来とはいわず、既に、クラウド内部では、冗長構成を組み、Aがダウンしたので、
シームレスにBにシステムを移して、運用を継続する、なんてことをやってます。

その際に、都度都度、手作業で構成管理DBを変更するのは、煩雑です。
ミス、漏れ、ムダの元。自動化を検討する必要がありそうです。

○例えば、仮想化をしたらOSに、「ホスト」「ゲスト」という概念があり、管理対象が増えること。

なるほど、管理対象が増え、管理の手間が倍増します。
更に仮想化ソフトウェア（KVM、VMware、Xenなど）の管理も必要になります。
　
などなど...

「インフラストラクチャセキュリティ、データセキュリティとストレージ、監査とコンプライアンス、またクラウドが企業ITに与える影響まで」網羅的に書かれていますので、ここでポイントを絞ってご紹介することも難しいのですが、会社に1冊、リファレンスとして置いておくと、

・サーバー・ネットワーク管理者
・クラウド管理者/選定担当者
・法務担当者
・監査担当者
・ISOの事務局
などに、有益な視点をもたらしてくれそうな本です。

また認証を取得されている企業さまでしたら、審査機関に問合せるなどして、
要求事項の観点から対応を見直すのも、必要な作業かと思います。

クラウドはまだまだ発展途上のサービスですから、改善の余地が多分にあります。
「セキュリティが不完全だから使わない」というのも一つの立場ですが、
利用者がクラウド事業者に声を上げ、審査機関とも連携をとりながら、
関係者が一体となってサービス品質を上げ、クラウドを使いやすいものにしていく、
今年はそんな年になればと思います。

※14日×24時間×60分÷10分...
　 計算した自分がにわかに信じられません！（笑）どなたか計算間違ってたら教えてください...
]]> tag:iso20000.info,2010://4.36 2010-11-08T10:20:33Z 2010-11-08T10:38:08Z

ISO9001は「品質」、ISO14001は「環境」。日常生活でも企業広告に載っ...

itil 日常生活でも企業広告に載っていたりして、メジャーな規格です。

メジャーたる所以は、適用範囲が広いからでしょう。
品質は製造業のイメージが強いですが、サービスを提供する企業にも適用できます。
先日、タクシー会社の看板にも「ISO9001取得！」と書いてありました。
ISO9001は38,168社、ISO14001は20,373社が認証を受けています。※
※JAB調べ 2010/11/01時点

ISO27001も比較的メジャーな規格ですね。「情報セキュリティ」。
今や、コンピューターを使わないで業務をする企業のほうが少なくなりましたから、
こちらも多くの企業が参考になる規格です。
2005年の個人情報保護法施行に合わせて、注目を集めました。

ISO20000、こちらもメジャーに成りうる規格です。
「ITサービス」。ITサービスの会社だけでなく、
企業の情報システム部門をITサービスを提供する組織体と捉えることで、
多くの企業に適用できます。
特に本支店間など、マルチテナントでITサービスが提供される会社や、
情報システム部門が独立している中堅から大企業で、
仕組みを確立するのに、よい指針になるはずです。

さて、マネジメントシステムの規格ISOはこの他にも、
実はいくつも存在しています。
業界特化型の、いわゆる「セクター規格」というものです。
ISO9001をベースに、その業界ごとに求められる要件を追加しています。

自社の業界に合ったものがあれば、マネジメントシステムを見なおしたり、
再構築する上で、ISO9001以上に実効性が高い規格となるでしょう。

その一つが、ISO/TS16949。これは「自動車産業」のセクター規格です。
設計、開発、製造、設置からサービス提供まで、
サプライチェーンすべてに適用できる規格です。

統括組織は、「IATF（国際自動車産業特別委員会）」で欧米の自動車メーカーと、
業界団体から組織されています。
自動車メーカーは、
クライスラー、フォード、ＧＭ、ダイムラー、フォルクスワーゲン
ＢＭＷ、フィアット、ルノー、プジョーシトロエン。
自動車好きの日本人にとって、憧れのメーカーが名を連ねていますね！

昨今、QCDに対する要求が、特に厳しくなっていると報じられています。
輸出産業における経営環境の変化は日々ニュースで報じられるところです。
また一方で、電気自動車が徐々に普及し、動力の変化も起きています。
中国に拠点を移す企業も、中小企業を含めて増えています。
自動車業界においては、ここ数年、ターニングポイントにある企業様も多いのではないでしょうか。

日本の認証機関でも審査が始まっており、各地で説明会が開始され、
徐々に注目を集めているISO/TS16949。
自動車業界特化型のマネジメントシステムとして、
業務の仕組みを見直す指針となりそうです。

■審査機関の一部
JQA
http://www.jqa.jp/service_list/management/ts16949.html

BSI
http://www.bsigroup.jp/ja-jp/assessmentandcertification/managementsystem/standardsschemes/isots16949/

ビューローベリタス
http://certification.bureauveritas.jp/CER-Business/ISO-TS16949/

LRQAジャパン
http://www.lrqa.or.jp/standards-and-schemes/standards/74474-isots-16949.aspx
]]> tag:iso20000.info,2010://4.35 2010-10-25T09:56:46Z 2010-10-26T07:11:28Z

業務改善のフレームワークには、前回お伝えした「ECRS」以外にもいろいろあります...

itil フレームワークというと、とっつきづらいですが、
「視点」と言い換えると馴染みやすいのではないでしょうか。

本日は、改善の「3S」という視点をご説明します。

「あれ？5Sじゃないの？」

おっしゃるとおり、
「整理、整頓、清潔、清掃、躾」
をまとめて5Sといいます。
当社でも5S運動を始めて、もう、3年たつでしょうか。

5Sののうち、整理、整頓、清潔を3Sとして活動している会社様も、
多くいらっしゃいます。

今日はもう一つの3S、「単純化、専門化、標準化」です。

---

Simplification 単純化 ：　作業を単純な作業に分解する
Specialization 専門化　：　単一作業を専門的に繰り返し
Standardization　標準化 ：　誰がやっても同じようにできるように

引用：www.komazawa-u.ac.jp/~takai/kyozai/5th_7thRedume.doc

---

具体的にどう活用するのでしょう？以下のページに事例が出ています。
「優秀企業を作り上げる方法、展開【9】」
http://www.mug.gr.jp/mwmguide/column/odajima/094/index.html
職場の業務改善と比べると、壮大な製品開発の話ですが、
ご参考までにどうぞ。

日々のルーチンワークへの適用としては、
以下のようなケースが考えられるのではないでしょうか。

■単純化
(1)都度、上長が状況で判断していたものを「Aのときは○○、Bのときは××」
　 とパターン化したことで、確認の必要がなくなり、仕事のミスが減った。
(2)管理表の項目を見直して、必要最小限に絞ったので、運用も確認も楽になった。
(3)アンケートをフリーの記述ではなく、「はい」「いいえ」
　 にしたので、回答が楽になり、回収率が上がった。

■専門化
(1)Aさん、Bさん、Cさんが都度やっていた業務を、Aさんにお任せした。
　 Aさんはその業務のスキルが上がって、対応がとても早くなった。
(2)業務のうち、単純作業とそうでない部分をきりわけた。単純作業の部分は、
　 新人さんや、アルバイトさんにお願いできることになった。

■標準化：
(1)利用する機器の標準品を決めたことで、管理の煩雑さが減った。
(2)インストールや変更の手順の標準形を決めたことで、
　 マニュアル化でき、教育の手間が減った。

ただし、人を専門化すると、仕事がつまらなく感じてしまうこともあるので、
逆に多能工化（複数の工程を一人でやる）して、モチベーションを上げ、
仕事の幅を広げる（能力開発）ということもやるそうです。

つまり、この3Sも「絶対」的な改善の定石ではなく、あくまで視点の一つ。
日々の小さな改善提案のヒントにしてみてください。
]]> tag:iso20000.info,2010://4.34 2010-09-17T02:08:50Z 2010-09-17T02:12:32Z

先日、「構成管理の成功事例はないみたいです」 とお伝えしたばかりで恐縮ですが、 ...

itil とお伝えしたばかりで恐縮ですが、
「これは！」と思うデモを、最近、セミナーで拝見しました。
クラウドで運用管理のPDCAが自動化される様に、目を見張りました。

9/15（水）に行われました、G-Cloud（主催：技術評論社）のプログラム。
富士通研究所　クラウドコンピューティング研究センターの安達基光様が、
「高信頼なクラウドコンピューティングを実現する障害対処技術の開発」
と題して行われた研究発表です。

クラウドはここに来て日本のサービスプロバイダが次々に対応を発表し、
企業でも導入が加速しています。
安達様は、クラウドにおける障害対応の課題を整理し、
運用管理の考え方に変革が必要であるとしました。
　[大規模化/複雑化]障害の影響が拡大しやすいため、スピードが求められる
　[安定性重視]「事後処理」から「事前回避」へ

すると、運用管理の方針は、これまでの事後処理から、
早期発見・迅速な対処、すなわち事前回避が方針となり、
故障機器は交換せず放置することで、低コストで高可用性を実現できるとしました。

夜中にシステム管理者が、機器交換のために、人里離れたデータセンターに飛んでいく...
そんな姿は、近い将来、笑い話になってしまうのでしょうか。

そして、いよいよデモです。クラウド障害対応技術のデモですが、
こんな障害対応プロセスが自動化していました。

　○監視：高速パケットキャプチャと品質/性能分析
→○予兆：メッセージ分析による予知
→○診断：構成要素の症状を追跡し、原因箇所特定
→○対処：過去のトラブル対応手順を実行
　すべてのフェーズでCMDBの参照、書き込みが行われる。

例えば、こんな感じです。
システム内のすべてのノードは常時、パケットがキャプチャーされており、
同時にエラーメッセージの分析がリアルタイムで行われています。
過去のメッセージのパターンと照合し、またパケットの微細な変化を読み取り、
障害の兆候があると、構成アイテムがラックの見取り図で、視覚的に特定されます。
異常があるノードが、赤く光るんですね。
概ね、障害が発生する、30分前にはわかるようです。
そのノードをクリックすると、更に関連する構成アイテムや附属文書が参照できます。
過去の対応履歴から、対応フローが確認できるばかりでなく、
定型化できている対応フロー(63%が定型化できるとのこと！）は、
自動化して、障害対応が未然に完結してしまうのです。
例えば、再起動とか、切り離してしまうとか。
そのあたりが、意識しなくても、完了してしまうというのです。

我が意を得たり！「これ、これ！」と思わず口にするところでした。
もしかしたら、会場にいたシステム管理者の多くが、
同じように思っていたかもしれませんね。

私達がCMDBの構築を進めていたときは、障害発生後の迅速な対応を意識していましたが、
ここまでプロアクティブな対応ができるとは。
システム管理者が安眠できる日が、近づいていますね！
クラウドにより、ITILの考え方は運用管理のベースになりそう。
そんな確信を得た講演でした。
]]> tag:iso20000.info,2010://4.33 2010-09-09T02:03:59Z 2010-09-13T00:25:50Z

先日、現事務局の方から衝撃のコメントがありました。「審査員の先生にちらっと聞いた...

itil 「審査員の先生にちらっと聞いたんですけど、
　構成管理で成功している企業ってないみたいですよ」

そう聞いて、なんだか残念なような、ほっとしたような...

というのもかつて、ISO20000を導入するときに力を入れたのが、、
インシデント管理と構成管理でした。
構成管理は、機器の「親子関係」までを管理するデータベース、
CMDBが要件に入っています。

CMDBの概念の肝は、親子関係の紐付け。頭のよい仕組みだととても関心しました。
例えば、一つのサーバーの情報には、親になるデータセンターや、IPアドレス、
顧客名、子になるOSや、アプリケーションの情報などが、
網羅的に紐付けいているのです。
もちろん顧客名から引くこともできますし、IPアドレスからも引くことができる。

これはホスティング屋さんからしたら、夢のシステムです。
「データセンターの障害だ！」と言えば、
データセンタに紐づく顧客のリストが一覧で示され、一次連絡が迅速にできます。
「ハードウェアの障害だ！」と言えば、
同じ機種のリストが一覧で出て、そこから過去の障害対応の履歴などを参照できます。
「○○というアプリケーションに脆弱性がでたよ」と言えば、
○○をインストールしているサーバーと、顧客一覧が示され、
パッチあて作業の時間を見積り、作業スケジュールが迅速に作成できます。

...とこのように、ISO20000の構築チームでは夢が広がり、
CMDBの開発にあたり、ありとあらゆる要件が盛り込まれました。
要件確定後も、みんなが思いついたアイデアを、次から次に開発担当者に伝え、
カスタマイズは膨らみに膨らみました。

気がつくと。カスタマイズ部分のドキュメンテーションが追いつかず、
（中小企業にはよくあることですね...）
CMDBが故障した際の復旧方法を、十分にCMDBの運用担当者に引き継げず、
カスタマイズ部分はリスクが大きいから、と部分的な運用にとどまることになりました。
夢の実現は、感覚値で10～20%程度でしょうか。
高機能なCMDBを入れることで、審査の際、有利に進みましたが、
現状の使い方であればAccessで低予算で身の丈に合ったDBを作ることでも、
実務では十分だったかもしれません。

それでも世の中には高機能なCMDBツールが各種存在し、
ITILを導入しているデータセンターもずいぶん増えました。
きっと成功事例があるんだろうな、と夢見ていた矢先の、現事務局さんからのヒトコト。
もちろん、CMDBツールが全く機能しないわけではなく、
構成管理というのは、どのサービスプロバイダにも存在しますが、
ITILのベストプラクティスは、やはりあるべき姿。
ユーザ側の期待が大きすぎるのかもしれません。
夢のシステムなんて、やはりないんだなぁ、と感じられた一件でした。

身の丈にあった仕組みからスタートし、
PDCAで夢に近づけていくのが、現実解なのだと思います。 ]]> tag:iso20000.info,2010://4.32 2010-09-03T00:00:24Z 2010-09-03T00:57:14Z

さて、今日は改善のためのフレームワークをご紹介します。案を考えるというと、柔軟な...

itil 案を考えるというと、柔軟な発想や、奇抜なアイデアが必要なように思いますが、
考え方にも「型」があり、トレーニングで量産できるようになるものです。
あ、あくまで「質」じゃなくて「量産」ですよ（言い訳、言い訳...）。

改善提案のフレームワークで代表的なものをひとつ上げてみます。

「改善のECRS」
そのまま「イーシーアールエス」とか、人によっては「イクルス」とか読みます。
ある業務について、E→C→R→Sの順に考えていくというものです。

排除(Eliminate)
やめてみる。なくしちゃう。
例：
「書類の廃棄期間を決めていなかったが、保存期間を3年間と決め残りを廃棄したことで、探す時間が短くなった。」
「障害を15区分に分類し、分析していたが、5区分に整理し、10区分減らしたことで、傾向がつかみやすくなった」

結合(Combine)
くっつけてみる。
例：
「設定情報をAシステムに入力した後、Bシステムにも入力していたが、Bシステムの機能を、Aシステムに統合したのでAシステムへの入力だけで済むようになった」
「毎週決まった時間にデータセンターにオンサイト確認のために社員を派遣していたが、同じ週に他のデータセンターの作業があるときは、スケジューリングを工夫し一緒に済ませるようにした」

交換(Rearrange)
とりかえてみる。
例：
「本部長が作業の確認をしていたが、チームリーダーがやるようにしたことで、作業の確認の際に、細かなアドバイスもできるようになった」
「データで管理していた作業履歴を、紙にすることで、見える化が促進され、抜けや漏れが少なくなった」

簡素化(Simplify)
単純に、シンプルにしてみる。
例：
「A作業、B作業、C作業...それぞれに価格をつけ、お客様に都度お見積りをだし、受注していたが、定額サービスにしたので、依頼から作業まで迅速になった」
「文書のうち、決まって記入する項目や図をフォーマットにしたので、数カ所変更するだけで、文書が完成するようになった」

生産管理系の研修の中には、ECRSを使って、改善案をドリルのように考えさせるものがあるようです。なんてたくましい！

ECRSの中で、一番改善効果が高くて、一番難しいのが、Eであるとされています。
数年前には「捨てる技術」という本が流行りました。捨てることの価値は、誰もが認めるところですね。

と、こんな記事を書きながら、私の机は「いつか使うかも」と取っておいた書類が山を成し、作業スペースを圧迫しかけています。
本当に、捨てるのは難しいことだと実感します...
]]> tag:iso20000.info,2010://4.31 2010-09-02T09:44:16Z 2010-09-02T10:13:37Z

9月になりましたが、まだまだ暑いですね。1箇月間ぶりのエントリとなりますが、スカ...

itil 1箇月間ぶりのエントリとなりますが、
スカイアーチのISO20000の取り組みも、相変わらずアツイです！

先月より、新しい取り組みが始まりました。
「業務改善提案制度」
なんともISO企業らしい取り組みです！

この取組みの背景の取り組みは、「ITIL資格の奨励」。
全社でITIL Foundation資格の取得を奨励しているのは、先日お話したとおりです。
取り組みも半年を数え、先々月には既に取得者が10名（全社員の2割）を超えました。

エンジニアやセールス、事務局だけでなく、最近では、経理部門のマネージャーも取得！
社内の各所で、ITIL用語が聞こえ、全社の共通言語になりつつあります。
取り組みを継続すると、組織は変わるものですね。

「せっかく勉強したんだから、アウトプットの場も」
と社長の一声で、この制度が始まりました。

業務改善提案制度の仕組みはシンプル。
1.社員に業務改善の提案を広く募集。
　社員はエクセルの様式に提案を記入します。
2.月末に提出を締切り、役員会で評価・採否を検討。
3.月末の月次報告会で全社員に、すべての業務改善提案の概要と公表。
4.優秀者には、賞金！（お小遣い）

先日8月31日には、第1回目の発表がありました。
提出者は2名。1人は営業担当の方。身近なことが「すぐにできる」と高評価。すぐにできる小さな改善こそ、業務改善の要諦ですね。
もう1名は、情シスリーダの方。4件もの提案を提出。さすが、情シス。社内に目が光っています。

先月は2名。要領を学び、また来月は提出が増えることでしょう。楽しみですね。

提案制度というと、コンテストのようで、ちょっと敷居が高く思えますが、
案を量産するためのフレームワークが、世の中にはたくさん存在します。
改善案に特化したフレームワークというのもあるのです。
社員の方は、これで改善案を量産して、がっちりお小遣いを稼ぎましょう！

と、ここまで引っ張りつつ、長くなりましたので、
具体的なフレームワークは、また明日ご案内します。 ]]> tag:iso20000.info,2010://4.30 2010-07-30T02:25:39Z 2010-07-30T12:05:47Z

ITベンチャーが、ISOを取得する上で、注意しなければいけない点をお話しています...

itil 注意しなければいけない点をお話しています。

ISO20000を取得する上で、圧倒的に有利な人材がいます。
それは、

・メーカー出身者

です。もちろん、ITILを学んだ人も有利です。
同様に、ISO構築チームに、メーカー出身者がいたら、同じくらい重宝されると思います。

ISOの基本は、ISO9000です。ものづくりの品質管理の世界。
このベースとなる考え方、言葉は、ITベンチャーには正直、馴染みがないのです。
「開発？やってないよ、うちは運用だけだよ」という会社はなおさら。
ちなみに、ここで言うメーカーは、開発を含みます。
開発は立派なものづくりだからです。
開発のマネジメントを規定した「PMBOK」とISO20000が一緒に語られること、なんとなく多いと思いませんか？

取得のときを振り返ると、要求事項書いてある「間接費の配賦」の"配賦"読み方を、隣の席の人と「ハイフ？ハイブ？」と悩んでみたり。
「目標」を立てても、学校の「めあて」とか「スローガン」とか、それに近いものだったり。
うーん、なんか違う（というか大間違い）。
「基本は9000だよ」とセミナーで聞いた足で、
品質管理関連の入門書を読みあさることになりました。

取得を目指される方は、まず、ISO27001や20000関連の「図解」から入ると思うのですが、もう一冊、品質管理の図解も本棚にぜひ加えてください。
要求事項（特に前半のマネジメントシステムの部分）がよくわかるようになります。

先日、ソフトウェアのQAの仕事をされていたエンジニアさんが、
ご入社されたのですが、まるで留学中に日本人に会ったかのような感動を覚えました。
「間接費の配賦は・・・」と聞くと、「ハイブorハイフ論」より先に、
「データセンターは○○で、回線は××で、工数は▼▼で管理して、顧客ごとにこんな風に...」
と予実管理をしている資料を見せてくれました。
わぁ、話が早い！！

「ものづくり」では、体系化された考え方があり、管理手法があります。
メーカー出身の方は、それを普通に使いこなしているのだな、と頭が下がりました。
ISO20000はITサービスの「品質管理」なので、ISO27001以上に、
ISO9000で定義されているような、QCDや顧客要求事項、という考え方が重要です。

ISOの構造としては、どの規格も共通で、
・「マネジメントシステム」の要求
・「個別の分野の要求（品質、環境、セキュリティ、サービスetc）」の要求
の2つで構成されています。プライバシーマークも同じですね。
マネジメントシステムの要求に、個人情報保護に特化した要求が乗っかっています。

ITILを学んだ人が重宝されるのは、後者の部分。
メーカー出身者が重宝されるのは、前者の部分。
そんなイメージです。

ISO20000の構築・運用に関わられている方は、プロジェクトチームの編成や、
日頃のプライベートのおつきあいを、こんな視点で見直されてみてはいかがでしょうか？]]> tag:iso20000.info,2010://4.29 2010-07-15T06:46:41Z 2010-07-30T02:24:39Z

ITベンチャーがISOやプライバシーマークを取得、運用していく上で、注意しなけれ...

itil 注意しなければいけない点＝新米事務局の失敗をお話したいと思います。

反省(1)「雛形通りに作るのは10年早い」

「さぁ、マネジメントの仕組みを作るぞ！」と意気込んで、
（※まったく、今思うと恥ずかしい意気込みです）
参考書を開くと、帳票例がいっぱい出てきます。
帳票例の押印欄が、5つ、6つ設けられていて戸惑うわけです。
「え！私の上には部長と社長の2人しかいないのに！？」と。

間違いなく、参考書はある程度の規模の会社を想定しています。
この通りに作成すると、担当者は紙の管理だけで1日業務が終わってしまいます。

業務を再設計する際は、
今ある業務と、あるべき姿を照らし合わせて、ない部分をどう実現するかを考えます。
自分は要求事項をもとに、付け足す作業をしたわけですが、
そのない部分を付け足す際に、雛形をそのまま採用しそうになりました。
すると雛形だけで何十という書式を、新たに管理する事態に・・・

雛形は一旦横において、斜めから眺めながら、
「もっとカンタンな方法はないかな？コンパクトにならないかな？」
と一捻りさせなければ、と心得ました。

コンパクトにすると統制のレベルが下がるのでは、と心配される向きもあると思うのですが、
ISO27001ですが、以前、関係者の方がこんなことを仰っていました。

「御社は紙の文化ですか？印鑑が好きなのですか？（笑）
　ITの会社なんだから、電子データで管理したらどうですか？
　電子印鑑がない？では、共有ドライブに適切に担当者と責任者を分けて権限管理をすることで、
　責任者が承認した、とみなすこともできるのではないですか」

この方がおっしゃっていたのは、こんな感じです。

手順「責任者は『承認前申請書フォルダ』の申請書を確認したら、
　　『承認後申請書フォルダ』に申請書を移す」
┌────┐　　　　　　　┌────┐
│承認前　│　　　　　　　│承認後　│
│申請書　│──────→│申請書　│
│フォルダ│　　　　　　　│フォルダ│
└────┘　　　　　　　└────┘
担当者：作成・更新可　　　　担当者：作成・更新不可
責任者：作成・更新可　　　　責任者：作成・更新可

※等幅フォント以外でご覧の方は崩れて見えます。ごめんなさい。

客観的に「責任者が見ている」ということがわかればいいわけです。
「紙、いらないんだ！」これは目からウロコでした。

組織のマネジメントシステムですから、要求事項は一緒でも、
業種・業態・規模によって、それをどう実現するかは、千差万別になるはずです。
あくまで雛形は、ITベンチャーにとって10年以上先のあるべき姿と心得て、
次の更新審査（3年先）のあるべき姿を追うくらいが、
ちょうどよいのかなぁ、と思う今日この頃です。

(2)以降はまた次回お話します。

]]> tag:iso20000.info,2010://4.28 2010-07-15T06:46:41Z 2010-07-15T06:58:38Z

ITベンチャーがISOやプライバシーマークを取得、運用していく上で、 注意しなけ...

itil 注意しなければいけない点＝新米事務局の失敗をお話したいと思います。

反省(1)「雛形通りに作るのは10年早い」

「さぁ、マネジメントの仕組みを作るぞ！」と意気込んで、
（※まったく、今思うと恥ずかしい意気込みです）
参考書を開くと、帳票例がいっぱい出てきます。
帳票例の押印欄が、5つ、6つ設けられていて戸惑うわけです。
「え！私の上には部長と社長の2人しかいないのに！？」と。

間違いなく、参考書はある程度の規模の会社を想定しています。
この通りに作成すると、担当者は紙の管理だけで1日業務が終わってしまいます。
世の中には、ISO事務局のアウトソーシングなんてビジネスもあるそうです。

業務を再設計する際は、
今ある業務と、あるべき姿を照らし合わせて、ない部分をどう実現するかを考えます。
自分は要求事項をもとに、付け足す作業をしたわけですが、
そのない部分を付け足す際に、雛形をそのまま採用しそうになりました。
すると雛形だけで何十という書式を、新たに管理する事態に・・・

雛形は一旦横において、斜めから眺めながら、
「もっとカンタンな方法はないかな？コンパクトにならないかな？」
と一捻りさせなければ、と心得ました。

コンパクトにすると統制のレベルが下がるのでは、と心配される向きもあると思うのですが、
ISO27001の関係者の方が、以前こんなことを仰っていました。

「御社は紙の文化ですか？印鑑が好きなのですか？（笑）
　ITの会社なんだから、電子データで管理したらどうですか？
　電子印鑑がない？では、共有ドライブに適切に担当者と責任者を分けて権限管理をすることで、
　責任者が承認した、とみなすこともできるのではないですか」

この方がおっしゃっていたのは、こんな感じです。

手順「責任者は『承認前申請書フォルダ』の申請書を確認したら、
　　『承認後申請書フォルダ』に申請書を移す」
┌────┐　　　　　　　┌────┐
│承認前　│　　　　　　　│承認後　│
│申請書　│──────→│申請書　│
│フォルダ│　　　　　　　│フォルダ│
└────┘　　　　　　　└────┘
担当者：作成・更新可　　　　担当者：作成・更新不可
責任者：作成・更新可　　　　責任者：作成・更新可

※等幅フォント以外でご覧の方は崩れて見えます。ごめんなさい。

客観的に「責任者が見ている」ということがわかればいいわけです。
「紙、いらないんだ！」これは目からウロコでした。

組織のマネジメントシステムですから、要求事項は一緒でも、
業種・業態・規模によって、それをどう実現するかは、千差万別になるはずです。
あくまで雛形は、ITベンチャーにとって10年以上先のあるべき姿と心得て、
次の更新審査（3年先）のあるべき姿を追うくらいが、
ちょうどよいのかなぁ、と思う今日この頃です。

(2)以降はまた次回お話します。
]]>