ISO/IEC 20000(ISO 20000とも呼ばれる)は、国際標準化機構(ISO)と国際電気標準会議(IEC)が共同で開発したITサービス管理(ITSM)の国際標準です。
ITSMとは、組織がユーザー(従業員と顧客の両方)のニーズを満たし、ビジネス目標を達成できるようにするITサービスの実践です。ISO 20000は、サービス管理システム(SMS)の計画、設計、実装、保守、継続的な改善のための要件、ベスト・プラクティス、ベンチマーク、指針を概説しています。
ISO 20000は2004年に初めて発行され、2011年と2018年に改訂されました。最新の改訂版は、ISO 20000:2018と呼ばれています。
ISO 20000は、サービス管理プロセスに高い効率性と生産性を取り入れることで、ITSMのパフォーマンスの継続的な改善、リスクの軽減、サービス品質の向上を目指すあらゆる業界のITサービス・プロバイダーや組織の間で、近年人気が高まっています。
IBM Infrastructure as a Service(IaaS)およびIBM Platform as a Service(PaaS)製品には、ISO 20000-1:2018に準拠したサービス管理プロセスが導入されています。
IBM ISO 20000の認証は公開されており、一般に提供されています。以下のサービスはISO20000の認証を取得しています。以下のサービスでは、毎年1回以上、ISOの証明書を発行しています。
ISO 20000-1(ISO/IEC 20000-1:2018)は、サービス管理システムの開発、実装、保守および継続的な改善のための方法論を提供する主要な規格です。(ISO 20000とISO 20000-1は同じ意味で使用されることがあります。)ISO 20000-1には、ITサービスのライフサイクル全体に適用される要件と仕様が含まれています。特に、次の点に関する指針を提供します。
- 組織の状況におけるSMSのニーズの測定
- SMSの開発・保守・進化のためのリーダーシップ体制の確立
- 組織の目標、リスクと機会の特定を含む、SMSの開発と改善のための計画と準備
- 構築後のSMSのサポート
- SMSの運用、制御、サービス
- 監視や内部監査を含む、SMSのパフォーマンスの評価
- 是正措置や機能強化を含むSMSの改善
その他のISO 20000関連文書
特定の状況において主要規格をどのように満たすか、または適用するかといったさまざまな要素に対処できるように、ISO 20000の分冊(付属文書)が追加されています。
ISO/IEC委員会は、必要に応じてこれらの部分を追加、修正および撤回します。最新版がリリースされた年が、正式名称に追加されます(例:ISO/IEC 20000-5:2022)。注目すべき部分には、次のようなものがあります。
ISO 20000-2(ISO/IEC 20000-2:2019)は、ISO 20000-1に基づくサービス管理システムの適用に関する組織の指針となります。この指針には、ISO 20000-1に基づく主要な規格の解釈と適用のための例と提案が含まれています。
ISO 20000-3(ISO/IEC 20000-3:2019)は、ISO 20000-1の適用範囲に関する指針となり、組織はこの規格を使って、主要な規格が自社の状況に適用されるかどうかを評価できます。ISO 20000-3には、SMSの対象範囲を定義する方法が説明されており、組織がISO 20000-1に対する認証機関の適合性評価を計画する際に役立つ場合があります。
この文書には、比較的単純なサプライチェーン・シナリオから複雑なサプライチェーン・シナリオまで、さまざまな例を使用したSMSの対象範囲に関する記述の例が含まれています。
ISO20000-5(ISO/IEC20000-5:2022)は、ISO20000-1に適合するサービス管理システムの実装に関する指針となります。
ISO 20000-6(ISO/IEC 20000-6:2017)は、組織のSMSがISO 20000-1規格に適合しているかどうかを検証する認証機関の要件に対応します。ISO 20000-6は、認証機関を評価する認定機関でも使用できます。
ISO 20000-10(ISO/IEC 20000-10:2018)は、ISO 20000-1で使用される分類法、概念、用語を定義しています。
ISO 20000-11(ISO/IEC 20000-11:2021)は、ITサポートとサービス提供の管理と改善におけるベスト・プラクティスの確立された枠組みであるITインフラストラクチャー・ライブラリー(ITIL)に規定された枠組みとISO 20000-1との相関関係に関する指針となります。ISO 20000-11は、次のことを目的としています。
- すでにISO 20000-1に準拠していますが、ITILを使用してSMSの強化したいと考えている組織を支援します。
- ITILを使用している組織が、自社のSMSがISO 20000-1の規格にどの程度準拠しているかを実証できるようにサポートします。
- SMS監査人は、ISO 20000-1への準拠を達成するためのサポートとしてITILを使用することについて、理解を深めることができます。
ISO 20000-14(ISO/IEC 20000-14:2023)は、主にSMS内のサービス統合と管理(SIAM)に焦点を当てており、SMS内の複数のサービス・プロバイダーを管理する組織に指針を提供します。
ISO 20000-15(ISO/IEC 20000-15:2024)は、アジャイルなどのプロジェクト管理の枠組みやDevOpsなどのソフトウェア開発原則を、ISO 20000-1に準拠したサービス管理システムにどのように適用できるかを定めています。
ISO20000-16(ISO/IEC20000-16:2025)は、この記事の執筆時点では開発中であり、ISO20000-1に基づくSMSの持続可能性に関する指針となる予定です。
ISO20000をSMSに導入する組織は、サービス管理システムの要件が国際規格に適合していることを検証するために、認証プロセスを受けることができます。
さまざまな認証機関が、ISO 20000に準拠することを目指す組織を監査することができます。通常の認証プロセスでは、組織はサービス管理システムの要件とプロセス、および標準への準拠方法についての詳細な文書を保持しておく必要があります。
ISO 20000認証は、他の重要な認定や認証において必要になる場合があります。たとえば、インドの電子情報技術省(MietY)への登録を希望するクラウド・サービス・プロバイダーは、ISO 20000およびその他のセキュリティー規格への準拠を実証し、維持する必要があります。
2022年のISO調査によると、ISO20000認証は、認証を取得した組織数で世界第8位のISO規格認証となっています。多くの組織は、ITSMのベスト・プラクティスについて顧客を安心させるために、ISO 20000認証を取得しています。
しかし、ISOは、第三者認証が規格に準拠する唯一の根拠ではないこと、また組織は認証の有無にかかわらず、SMS の実装、評価および継続的な改善に関するISO 20000のフレームワークと指針のメリットを享受できることを明言しています。
繰り返しになりますが、ITSMとは、組織がユーザー(従業員と顧客の両方)のニーズを満たし、ビジネス目標を達成できるようにするITサービスの実践です。組織はISO 20000を使用して、次のようなさまざまなITSMの問題に対処しています。
- ビジネス関係管理
- チェンジ・マネジメント
- サービスレベル管理
- キャパシティー管理
- 可用性管理
- 問題管理
- ITインシデント管理
- 需要管理
- サプライチェーン・マネジメント
ISO 20000 とITILは、ITサービス管理システムのベスト・プラクティスにおける主要な情報源であるという点で似ています。国際規格とITILは、どちらもSMSのライフサイクルについて規定しています。国際規格とITILは、このようなシステムの計画、実装、保守および継続的な改善において、一緒に使用されることがよくあります。
ISO 20000は、ITSMのベスト・プラクティスに関する一般的な方法論を提供しますが、ITILは、ISO 20000方法論に概説されている目標を達成するために使用すべき具体的な実践方法について詳しく説明します。また、ISO 20000はITILフレームワークを念頭に置いて開発されましたが、COBITフレームワークやMicrosoftオペレーション・フレームワークなどの他のITサービス管理フレームワークでも使用できます。
ISO 20000は、提供されるサービスの性質にかかわらず、あらゆる地域のあらゆる規模の組織に適用できるように策定された国際規格です。そのため、あらゆる業界の組織や企業が、SMS開発のベンチマークとしてISO 20000を使用しています。ユーザーとユースケースには、次のようなものがあります。
- サービスの提供を設計、維持、改善する能力を実証したい組織
- SMSのパフォーマンスを監査、検証したいと考えている組織
- 組織のSMSの品質保証を求める顧客
- サプライチェーンの一部を含め、すべてのプロバイダーによる一貫したITサービス管理アプローチを求めている顧客
- SMSコンサルタント・アドバイザー
- ISO 20000に対する準拠アセスメントを実施する組織
ISO 20000は、品質およびセキュリティ管理システムとの統合の必要性から、他の国際規格を念頭に置いて設計されました。ISO 20000に関連する規格には、次のものが含まれます。
ISO 9001(ISO/IEC 9001)は、品質マネジメントシステムの国際規格です。同規格は、品質管理システム(QMS)の確立、実装、保守および継続的な改善に関する要件を定めています。
ISO 22301(ISO/IEC 22301)は、事業継続性管理システムの国際規格です。この規格は、組織がサービスを妨害するインシデントから自社を保護し、発生する可能性を減らし、回復するために利用することを目的としています。
ISO 27001(ISO/IEC 27001)は、情報セキュリティー管理システム(ISMS)の国際規格です。この規格は、ISMSが満たさなければならない要件を定義し、組織がデータ・セキュリティー・リスクを管理し、情報セキュリティー、データ保護およびサイバーセキュリティーのベスト・プラクティスを実装できるようサポートします。