2009/04/13
★実践プロマネ[変更管理(2)]★
2009/04/13 No.104 ┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓ ★ 実践プロマネのメールマガジン ★ (プロマネ経験からの実践的なアドバイス) 「実践プロマネのメールマガジン」で発行した情報は http://home.g00.itscom.net/project/index.html にタイトルをつけて掲載しています。こちらもご覧下さい。 ┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛ ITシステムのインフラ、アプリケーションに修正を施すと、必ずと言っ ていい程どこかに影響を与えます。 バッチ系や画面系の性能が劣化したり、システムが突然停止することもあ ります。 システムへの変更を加える際、既存の動作環境、アプリケーションに影響 がないことを確認する、あるいは影響がある場合の対策、手続きを確認す るプロセスが変更管理です。 システム担当が変更の必要を認識し、お客様に変更作業の申し入れをしま す。お客様に安心いただける変更管理が欠かせません。 現行のシステム構成、機能構成を参照し、システム環境面、アプリケーシ ョンに与える影響を検討し、正規の手続きで関係者や有識者でその影響に ついてレビューします。 影響の可能性があれば、代替案の検討も必要です。 変更の影響範囲が広範であれば、机上の検討に加え、テスト環境での変更 リハーサルも必要になります。 マネジメントレベルで定められた変更管理を確実に実施し、そのプロセス に問題ないことを裏付ける取り組みが重要です。 それでは、変更管理のマネジメントガイドラインと成熟度モデルについて 確認していきます。 【マネジメントガイドライン】 変更管理の達成目標とその評価指標を以下に示します。 (↑↓測定)は達成目標とその評価指標の関係を表します。 (↓設定)はIT、プロセス、アクティビティの関係を表します。 ★IT 達成目標 ・ビジネス戦略と整合性のとれたビジネス要件への対応 ・ソリューションとサービスの提供における不備と手戻りの削減 ・ITサービスの中断または変更が及ぼすビジネスへの影響を最小限に 抑えること ・ビジネスの機能要件やコントロール要件に対して、どのように効果的 で効率的な自動化ソリューションを提供できるかを示す ・情報および情報処理インフラストラクチャのインテグリティ維持 (↑↓測定) 評価指標 ・不正確な仕様や不完全な影響評価に起因するプロセスの中断または データエラーの数 (↓設定) ★プロセス 達成目標 ・ITインフラストラクチャとアプリケーションへの承認された変更の 実施 ・ITインフラストラクチャ、アプリケーション、および技術的ソリュ ーションへの変更による影響の評価 ・変更状況の追跡と主要な利害関係者への報告 ・不完全な要求仕様に起因するエラーを最小限に抑えること (↑↓測定) 評価指標 ・不適切な変更仕様に起因する、アプリケーション関連の手戻りの量 ・変更に要する時間と作業の削減額 ・全変更における緊急修正の割合 ・不適切な変更仕様に起因して、インフラストラクチャへの変更が成功 しなかった割合 ・正式に追跡、報告、または承認されていない変更の数 ・バックログとなっている変更要求の数 (↓設定) ★アクティビティ 達成目標 ・緊急変更やパッチ適用を含む変更手続の策定および周知 ・変更の評価、優先順位付け、および承認 ・計画的な変更 ・変更の状況追跡および報告 (↑↓測定) 評価指標 ・自動化ツールを使用して記録および追跡された変更の割合 ・正式な変更コントロールプロセスに従った変更の割合 ・承認された変更要求と否認された変更要求の比率 ・保守対象となっている各ビジネスアプリケーションまたはインフラ ストラクチャのバージョン数 ・インフラストラクチャコンポーネントに対する緊急変更の回数および タイプ ・インフラストラクチャコンポーネントに対するパッチの適用回数およ びタイプ 【成熟度モデル】 「ビジネス戦略と整合性のとれたビジネス要件への対応と、ソリューショ ンおよびサービスの提供における不備と手戻りの削減。」というITに対 するビジネス要件です。 このビジネス要件を満たす上で、「変更管理」プロセスにおける管理の成 熟度は、以下のとおりです。 成熟度0 −不在− 変更管理プロセスが定義されておらず、実質的にはまったくコントロール されないまま変更を実施する。 そのような変更がIT部門とビジネス部門の運用において混乱を招く可能 性があることが認識されておらず、優れた変更管理を実施することの利点 についても認識されていない。 成熟度1 −初期/その場対応− 変更を管理し、コントロールする必要性は認識されている。 実施されているアクティビティにばらつきがあり、未承認の変更が行われ る可能性が高い。 変更に関する文書が存在しないか、存在しても内容が不十分である。 また、システム構成に関する文書は不完全で信頼性が低い。 貧弱な変更管理に起因する本番環境のサービス中断とともにエラーが発生 する可能性が高い。 成熟度2 −再現性はあるが直感的− 非公式な変更管理プロセスが整備されており、大半の変更はこのアプロー チに従って実施されている。 しかし、このアプローチは体系化されておらず、未熟であり、エラーを誘 発しやすい。 成熟度3 −定められたプロセスがある− 分類、優先順位付け、緊急時の手続、変更の承認、およびリリース管理を 含む正式な変更管理プロセスが整備されており、このプロセスへのコンプ ライアンスが確立されつつある。 しかし、ワークアラウンド(回避策)が実施され、プロセスからの逸脱が しばしば発生する。 エラーが依然として発生する可能性があり、未承認の変更がときどき発生 する。 ITにかかわる変更がビジネス運営に及ぼす影響の分析が正式に行われる ようになりつつあり、新たなアプリケーションや技術の計画的な展開がサ ポートされている。 成熟度4 −管理され、測定可能である− 変更管理プロセスは十分整備されており、すべての変更に一貫して適用さ れている。 マネジメント層は変更に関する例外対応は最小限に抑えられているという 確信を持っている。 プロセスは効率的かつ効果的であるが、確実に品質を保証するために、膨 大な手作業と手動コントロールに依存している。 変更適用後に発生する可能性がある問題を最小限に抑えるために、すべて の変更に対する徹底した計画策定と影響評価の実施が義務付けられている。 また、変更の承認プロセスも整備されている。 変更は正式に追跡記録されており、変更管理マニュアルは最新かつ正確な 状態に保たれている。 システム構成に関する文書の内容は概ね正確である。 ITの変更管理の計画策定および実施について、ビジネスプロセスの変更 との統合が進められており、研修、組織改編、およびビジネスの継続性の 問題にも確実に対処できるようになっている。 ITの変更管理とビジネスプロセスの再設計の連携も進められている。 変更管理プロセスの品質と成果について、一貫したモニタリングプロセス が存在している。 成熟度5 −最適化− 変更管理プロセスは定期的にレビューされ、常に優れた実践方法が取り入 れられて、最新の状態に保たれている。 レビュープロセスには、モニタリング結果が反映されている。 構成情報はコンピュータで管理され、バージョンコントロールも実施され ている。 高度な変更履歴の追跡が行われており、未承認またはライセンスのないソ フトウェアの検知ツールも採用されている。 ITの変更管理はビジネスの変更管理と統合されており、ITが組織の生 産性の拡大、および新たなビジネスチャンスの創出を確実に実現する鍵と して機能している。 次号では、 「ソリューションおよびその変更の導入と認定」の詳細に触れます。 【以下は前号までを参照のこと】 [COBITの歴史] [COBITの4つのドメインと34のコントロール目標] [ITCのプロセスガイドライン] 参考資料 COBIT 4.1 日本語版 (Japanese) 情報システムコントロール協会 (ISACA) 参考資料 ITCプロセスガイドライン Ver.1.1 ITコーディネータ協会 ------------------------------------------------------------------ 「実践プロマネのメールマガジン」で発行した情報は http://home.g00.itscom.net/project/index.html にタイトルをつけて掲載しています。こちらもご覧下さい。 ぜひ、プロマネの皆様の<悩み>や<抱えている問題>を http://home.g00.itscom.net/project/index.html の 「ご意見ご質問のメールはこちらからお願いします。」 から投稿して下さい。匿名でも構いません。 ------------------------------------------------------------------ [ご意見、ご感想] 今週号の感想はこちらから(4月20日まで) http://home.g00.itscom.net/project/index.html バックナンバもこちらから http://home.g00.itscom.net/project/index.html ================================================================== [実践プロマネのメールマガジン]
