「ISO20000の規格について（8）」

皆さんこんにちは。今回の内容は、「6.3サービス継続性及び可用性管理」になります。

「6.3サービス継続性及び可用性管理」は、 ISO20000でも特徴的な要求事項で、
ISO9001では、直接要求されていない大きなギャップ部分になります。
ここでの要求は、サービス提供に対するリスクを洗い出し、管理することが求められており、
いわゆるサービスのリスクアセスメントとリスクマネジメントが求められていると解釈できます。

ISO27001では、情報セキュリティにおけるリスクアセスメントとリスクマネジメントが求められており、
CIAを観点にした守るべき情報資産に対するリスクアセスメントを行います。

ISO27001の適用範囲に顧客へ提供しているシステムが入っている場合は、
ある意味ISO27001のリスクアセスメントで十分なように思えます。
ただ、1点だけISO27001と大きな違いがあります。それは、ISO20000では顧客とコミットメントした
サービスとサービスレベルは、どのようなことをしても守らなければいけないということです。
ISO27001でいえば、リスクを受容することができません。

一見、厳しいように思えますが、当然のことになります。顧客とのコミットメント、いわば契約ですが、
契約された内容を自分たちの基準で受容するといって、顧客が納得するかというと、そのようなはずはありません。

そのため、顧客とコミットメントした内容（契約、SLA）を確実に守る体制を確立するために、
契約違反およびSLA違反を起こしてしまう事象（脅威）を洗い出し、リスクアセスメントし、対策を整備する
必要があります。

ただし、リスクアセスメントの結果から、顧客から得た金額と対策を整備するコストが
完全に見合わない場合があります。
そのような場合には、対象となるリスク内容を免責事項、もしくはSLAの適用除外項目として
顧客と合意を得るのがよいかと思います。

だからこそ、ISO20000の「6.1サービスレベル管理」でも、SLAとしてサービスレベルだけでなく
“提供すべきサービスの全範囲”を特定することが要求されています。
この全範囲というのは、サービスプロバイダが責任をもって提供できる範囲を特定するという意味で
とらえていただくとわかりやすいかと思います。
サービスのリスクアセスメントの結果から、対策がとれないリスクに対しては除外項目として
適用範囲を明確にし、顧客にも納得していただきサービスを提供する。
これもまた、運用後のトラブルを減少させるための活動につながります。

最後にサービス継続性についてですが、ISO27001取得企業であれば、
ISO27001の事業継続計画を参考に、対象を”事業”から、”サービス”の観点で実施するのがよいかと思います。

こちらも、基本的には顧客とのコミットメント事項が重要になります。
ただし、社会インフラを提供している企業以外であれば、現在のところ顧客から事業継続または、
サービス継続に関する具体的な要求がないのがほとんどかと思います。
（具体的に要求されている場合、その要求内容がサービス継続性の要求事項ととらえてください。）

その点で考えれば、ISO27001の考え方での実施が一番わかりやすいかと思います。

以上が「6.3サービス継続性及び可用性管理」の解説になります。