2009/05/25
★実践プロマネ[サードパーティのサービスの管理(1)]★
2009/05/25 No.109 ┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓ ★ 実践プロマネのメールマガジン ★ (プロマネ経験からの実践的なアドバイス) 「実践プロマネのメールマガジン」で発行した情報は http://home.g00.itscom.net/project/index.html にタイトルをつけて掲載しています。こちらもご覧下さい。 ┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛ 基幹システム、業務システムが独自で、個別開発が避けられない場合があり ます。システム導入後も自社で情報システム部門を設置し、システム運用、 メンテナンスを実施することになります。 これでもハウジングサービスを利用して、ハードウェア、ネットワーク、イ ンフラのメンテナンスを委託する方法はあります。範囲は狭くても、これも サードパーティを利用していることになります。 ASP、SaaSでITサービスを利用する機会も多くなってきました。 これらのサービスでは、サービスプロバイダが提供する業務システム等をほ ぼそのままの形で利用することになります。 サービスの利用範囲が広がってきているといえます。 最近では、クラウドコンピューティングをサービスとして提供するプロバイ ダーが増えてきています。 アプリケーションソフトを含めて活用するケースとCPU、メモリ、記憶装 置などのコンピュータ資源を切り出して利用するケースがあります。 クラウドの傾向が進み、将来的には、自社でコンピュータシステムを保有す ることは限られた分野、業務に絞り込まれるものと思われます。 いずれにしても、ITシステムを利用するには、サードパーティの存在が欠 かせない時代になってきました。 事業領域、経営資源の「集中と選択」という経営戦略を実現するためには、 サードパーティのサービスをいかに利活用するかにかかっています。 それでは、サードパーティのサービスの管理のプロセスの説明と コントロール目標について確認していきます。 【プロセスの説明】 サードパーティが提供するサービスがビジネス要件を確実に満たすようにす るには、効果的なサードパーティの管理プロセスが必要です。 このプロセスでは、サードパーティとの合意のもと、役割、実行責任、およ び要求事項を明確に定義し、その合意事項の有効性とコンプライアンスをレ ビューしモニタリングします。 サードパーティが提供するサービスを効果的に管理することで、不適格なサ ービスプロバイダに起因するビジネスリスクを最小限に抑えることができま す。 サードパーティのサービスの管理のコントロール目標は、 効果、費用、およびリスクに関する透明性を維持し、サードパーティによる 要件を満たすサービス提供を実現することを、ビジネス要件とします。 重点をおくべきコントロールは、適格なサービスプロバイダ(サードパーテ ィ)とリレーションシップおよび相互責任を確立し、合意内容との適合性を 検証し保証するためにサービス提供状況をモニタリングすることです。 実現するための手段は、次の3項目です。 1)サービスプロバイダからのサービスの特定と分類 2)サービスプロバイダにかかわるリスクの特定と低減 3)サービスプロバイダの成果のモニタリングと測定 その成果の測定指標は、次の3項目です。 1)契約されたサービスに関するユーザからの苦情件数 2)明確に定義された要件とサービスレベルを満たしている主要サービスプ ロバイダの割合 3)モニタリング対象となっている主要サービスプロバイダの割合 【コントロール目標】 DS2.1 すべてのサービスプロバイダとのリレーションシップの特定 すべてのサービスプロバイダのサービスを特定し、サービスプロバイダのタ イプ、重要性、および依存度に従って分類します。 技術的および組織的な関係を正式に文書化して管理します。 この文書には、サービスプロバイダの役割と実行責任、目標、期待される成 果物、および代表者の信用証明が含まれる。 DS2.2 サービスプロバイダとのリレーションシップ管理 サービスプロバイダごとに正式なリレーションシップ管理プロセスを確立し ます。 リレーションシップオーナは連携して、顧客とサービスプロバイダにかかわ る問題に取り組み、SLAなどにより信頼と透明性に基づく良質なリレーシ ョンシップの維持に努める必要があります。 DS2.3 サービスプロバイダにかかわるリスクの管理 サービスプロバイダが安全かつ効率的な方法を使用し、継続的なサービスを 提供する上で想定されるリスクを特定し、低減します。 契約が、法令要件に従い一般的なビジネス標準に準拠していることを確認し ます。 リスクマネジメントではさらに、秘密保持契約(NDA)、エスクロー契約 (ライセンサー及びライセンシーが、ソフトウェア取引を開始する場合に、 ソースコードや技術情報等を第三者に預託しておき、ライセンサーが倒産等 した場合、第三者が契約で定めているの開示条件によりソースコード等をラ イセンシーに開示し、ライセンシーの保護を図る制度)、サービスプロバイ ダの存続能力、セキュリティ要件へのコンプライアンス、代替サービスプロ バイダ、SLA未達と超過達成などについて検討すべきです。 DS2.4 サービスプロバイダの成果のモニタリング サービス提供状況のモニタリングプロセスを確立する。 これにより、サービスプロバイダが現行のビジネス要件を満たすと同時に、 継続的に契約合意とSLAを厳守し、その成果が、市場の状況および他のサ ービスプロバイダと比較した場合の優位性があることを確認します。 次号では、「サードパーティのサービスの管理(2)」の詳細に触れます。 【以下は前号までを参照のこと】 [COBITの歴史] [COBITの4つのドメインと34のコントロール目標] [ITCのプロセスガイドライン] 参考資料 COBIT 4.1 日本語版 (Japanese) 情報システムコントロール協会 (ISACA) 参考資料 ITCプロセスガイドライン Ver.1.1 ITコーディネータ協会 ------------------------------------------------------------------ 「実践プロマネのメールマガジン」で発行した情報は http://home.g00.itscom.net/project/index.html にタイトルをつけて掲載しています。こちらもご覧下さい。 ぜひ、プロマネの皆様の<悩み>や<抱えている問題>を http://home.g00.itscom.net/project/index.html の 「ご意見ご質問のメールはこちらからお願いします。」 から投稿して下さい。匿名でも構いません。 ------------------------------------------------------------------ [ご意見、ご感想] 今週号の感想はこちらから(6月1日まで) http://home.g00.itscom.net/project/index.html バックナンバもこちらから http://home.g00.itscom.net/project/index.html ================================================================== [実践プロマネのメールマガジン]
