Comments
Description
Transcript
2016年11月30日 一般財団法人日本情報経済社会推進協会 参事 高取
IT Service Management System 2016年11月30日 一般財団法人日本情報経済社会推進協会 参事 高取 敏夫 IT Service Management System ITサービスマネジメントの国際動向 ITサービスマネジメントにおける クラウドサービス対応 ISO/IEC TR 20000-9のシナリオ ISMSクラウドセキュリティ認証の重要性 Copyright JIPDEC,2016-All rights reserved 2 IT Service Management System ISO/IEC JTC1/SC40の構成 ISO/IEC 20000シリーズの概要(1/5~5/5) Copyright JIPDEC,2016-All rights reserved 3 IT Service Management System ISO/IEC JTC1/SC40の構成 ISO/IEC JTC1/SC40 ・SC40名称:IT Service Management and Governance of IT ‐WG1:Corporate governance of IT →ISO/IEC 30120及び38500関連(ITガバナンス)の策定 ‐WG2:IT service management →ISO/IEC 20000シリーズの策定 ‐WG3:IT-enabled services/Buisiness process outsourcing →ISO/IEC 30105関連 (ITを使ったビジネスプロセスアウトソーシング)策定 Copyright JIPDEC,2016-All rights reserved 4 IT Service Management System ISO/IEC 20000シリーズ概要(1/5) ■発行済み規格 国際規格 規格名称 最新版(年) ISO/IEC 20000-1 (JIS Q 20000-1:2012) サービスマネジメントシステム要求事項 2011 ISO/IEC 20000-2 (JIS Q 20000-2:2013) サービスマネジメントシステムの適用の手引 2012 ISO/IEC 20000-3 ISO/IEC 20000-1の適用範囲定義及び適用の手引 2012 ISO/IEC TR 20000-4 プロセス参照モデル 2010 ISO/IEC TR 20000-5 ISO/IEC 20000-1の模範実施計画 2013 ISO/IEC TR 20000-9 クラウドサービスへのISO/IEC 20000-1適用の手引き 2015 ISO/IEC TR 20000-10 概念及び用語 2013 ( http://www.iso.org/iso/home.html ) Copyright JIPDEC,2016-All rights reserved 5 IT Service Management System ISO/IEC 20000シリーズ概要(2/5) ■発行済み規格 ISO/IEC 20000-1:2011(JIS Q 20000-1:2012) 国際規格 ISO/IEC 20000-1 (JIS Q 20000-1:2012) 規格名称 サービスマネジメントシステム要求事項 最新版(年) 2011 ・この規格は、ITSMS適合性評価制度における認証基準である。 ・この規格は、SMSを計画、確立、導入、運用、監視、レビュー、維持及び改善する ための、サービスの提供者に対する要求事項を規定する。 目 1 2 3 4 5 6 7 8 9 次 適用範囲 引用規格 用語及び定義 サービスマネジメントシステムの一般要求事項 新規サービス又はサービス変更の設計及び移行 サービス提供プロセス 関係プロセス 解決プロセス 統合的制御プロセス Copyright JIPDEC,2016-All rights reserved 6 IT Service Management System ISO/IEC 20000シリーズ概要(3/5) ■発行済み規格 ISO/IEC 20000-2:2012(JIS Q 20000-2:2013) 国際規格 規格名称 ISO/IEC 20000-2 (JIS Q 20000-1:2013) サービスマネジメントシステムの適用の手引 最新版(年) 2012 ・この規格は、ISO/IEC 20000-1:2011に基づくSMS(サービスマネジメントシステム) の適用に関する手引を示す。この規格は、組織が、ISO/IEC 20000規格群の他の 関連規格を参考にすることを含めて、ISO/IEC 20000-1:2011を解釈し、それを適 用できるようにするための例及び提言を示す。 目 次 1 適用範囲 2 引用規格 3 用語及び定義 4 サービスマネジメントシステムの一般要求事項 5 新規サービス又はサービス変更の設計及び移行 6 サービス提供プロセス 7 関係プロセス 8 解決プロセス 9 統合的制御プロセス 附属書A(参考)プロセス間のインタフェース及びプロセスとSMSとの統合 参考文献 Copyright JIPDEC,2016-All rights reserved 7 IT Service Management System ISO/IEC 20000シリーズ概要(4/5) ■発行済み規格 ISO/IEC 20000-3:2012 国際規格 ISO/IEC 20000-3 規格名称 ISO/IEC 20000-1の適用範囲定義及び適用の手引 最新版(年) 2012 ・この規格は、ISO/IEC 20000-1の適用に関する適用範囲に関する手引きで、 適用範囲の定義及び適用の手引きを示す。8つの適用範囲を例示。 目 次 1 適用範囲 2 引用規格 3 用語及び定義 4 ISO/IEC 20000-1に規定された要求事項の達成 5 ISO/IEC 20000-1の適用 6 SMSの適用範囲の一般原則 附属書A(参考) SMS、ISO/IEC 20000-1適用の要点、 ISO/IEC 20000-1の適用及びISO/IEC 20000-1への適合 附属書B(参考) シナリオに基づく適用範囲の定義 附属書C(参考) 適合性評価の種類 参考文献 Copyright JIPDEC,2016-All rights reserved 8 IT Service Management System ISO/IEC 20000シリーズ概要(5/5) ISO/IEC TR 20000-4:2010 第4部:プロセス参照モデル ・このTRは、プロセス参照モデルについてISO/IEC 20000-1に基づいて示す。 このモデルは、ISO/IEC 15504シリーズのProcess Assessment に関わる 標準と組み合わせてISO/IEC 20000-1で記述されているSMSのプロセスの アセスメントに用いることを意図している。 ISO/IEC TR 20000-5:2013 第5部:ISO/IEC 20000-1の模範実施計画 ・このTRは、組織がSMSの導入にあたり段階的に適用する際の手引きを示す。 ISO/IEC TR 20000-6:2013 第6部:SMSの審査及び認証を行う機関に対する要求事項 ・この規格は、ISO/IEC 20000-1に基づいてSMSの審査及び認証を行う認証 機関に対する要求事項及びガイドを規定する。 Copyright JIPDEC,2016-All rights reserved 9 IT Service Management System ISO/IEC 20000-1:2011の概要 サービスマネジメントシステム(SMS)の定義 ISO/IEC 20000-1:2011の要求事項 サービスマネジメントに適用されるPDCA方法論 統合マネジメントシステムアプローチ 外部委託に対する要求事項 外部委託によって運用されるプロセスのガバナンス 説明責任及び順守 プロセスの定義及びインターフェース等 Copyright JIPDEC,2016-All rights reserved 10 IT Service Management System ISO/IEC 20000-1:2011の概要 ISO/IEC 20000-1(Information technology - Service management - Part 1: Service management system requirements:サービスマネジメントシステム要求事項)は、顧客 の要件に適合したレベルのITサービスの運用管理を実施、その サービスの品質を継続的に改善するための仕組みを規定してい る。 図 ISO/IEC 20000 Copyright JIPDEC,2016-All rights reserved 11 IT Service Management System サービスマネジメントシステム(SMS)の 定義 3.30 サービスマネジメント(service management) サービスの要求事項を満たし,サービスの設計,移行,提供及び改善のた めに,サービス提供者の活動及び資源を,指揮し,管理する,一連の能力及 びプロセス。 (サービスの要求事項(3.34)を満たしたサービスの提供を実現するための、サービス提供者におけるサービ スの管理活動全体) 3.31 サービスマネジメントシステム,SMS(service management system) サービス提供者のサービスマネジメントの活動を指揮し,管理するためのマネ ジメントシステム。 注記1 マネジメントシステムは,方針及び目的を定め,その目的を達成するための,相互に関連する又は相互 に作用する要素の集まりである。 注記2 SMSには,サービスの設計,移行,提供及び改善のため,並びにこの規格の要求事項を満たすために 必要な,全てのサービスマネジメントの方針,目的,計画,プロセス,文書,及び資源を含む。 注記3 JIS Q 9000:2006の“品質マネジメントシステム”の定義から部分的に採用。 (JIS Q 20000-1:2012 より引用) Copyright JIPDEC,2016-All rights reserved 12 IT Service Management System ISO/IEC 20000-1:2011の要求事項 この規格は、SMSを計画、確立、導入、運用、監視、レビュー、維持及び改善す るための、サービスの提供者に対する要求事項を規定する。 サービス提供者からのサービスを求め、サービスの要求事項が満たされる という保証を必要とする組織。 サプライチェーンに属するものを含め、全てのサービス提供者による一貫し た取組みを求める組織。 サービスの要求事項を満たすサービスの設計、移行、提供及び改善に関 する能力を実証しようとするサービス提供者。 自らのサービスマネジメントのプロセス及びサービスを、監視、測定及びレ ビューするサービス提供者 サービスの設計、移行及び提供を、SMSの効果的な導入及び運用を通して 改善するサービス提供者 ISO/IEC 20000-1の要求事項に対するサービス提供者のSMSの適合性評 価に、基準として用いる審査員又は監査員 (JIS Q 20000-1:2012 より引用) Copyright JIPDEC,2016-All rights reserved 13 IT Service Management System サービスマネジメントに適用される PDCA方法論 Plan (計画) サービス マネジメント システム Do サービス マネジメント プロセス (実施) Act (処置) サービス Check (点検) Copyright JIPDEC,2016-All rights reserved (JIS Q 20000-1:2012 より引用) 14 IT Service Management System 統合マネジメントシステムアプローチ 他のマネジメントシステムが存在する場合、プロセスアプロー チ及びPDCA方法論を採用してSMSを導入することによって、 サービス提供者は組織のマネジメントシステムとの整合を図る、 又は完全に統合することができる。 統合マネジメントシステムアプローチは、効率性を高め、説明 責任の明確な所在及びトレーサビリティについて確立し、組織 の計画立案、コミュニケーション及び管理を向上させる。 (JIS Q 20000-2:2013 より引用) Copyright JIPDEC,2016-All rights reserved 15 IT Service Management System 外部委託に対する要求事項 「ISO/IEC 20000-1 :2011(JIS Q 20000-1:2012)サービスマネジメ ンントシステム要求事項」では「4.2他の関係者が運用するプロセ スのガバナンス」において、他の関係者にプロセスの運用を委託 した場合のサービス提供者が順守しなければならない要求事項 が示されており、その規格解釈の手引とシナリオ事例がISO/IEC 20000-3:2012に解説されている。 (出典:運用管理のお手本 ISO/IEC 20000~事例から学ぼう~Vo.3 クラウド時代のITSMS編) Copyright JIPDEC,2016-All rights reserved 16 IT Service Management System 外部委託によって運用される プロセスのガバナンス 5.2 他の関係者によって運用されるプロセスのガバナンス 5.2.1 他の関係者によって運用されるプロセス サービス提供者は他の関係者によって運用されるプロセス又 はプロセスの一部を特定することが望ましい。 サービス提供者は、契約又は合意文書が、他の関係者によっ て運用されるSMSの適用範囲のプロセスのガバナンスを含むこ とを確実にすることが望ましい。 例えば、サービス提供者は、他の関係者が合意したプロセスを 順守していることを検証できる。 (出典:運用管理のお手本 ISO/IEC 20000~事例から学ぼう~Vo.3 クラウド時代のITSMS編) Copyright JIPDEC,2016-All rights reserved 17 IT Service Management System 説明責任及び順守 5.2.2 説明責任及び順守 サービス提供者は、全てのプロセスにおいて、ISO/IEC 200001:2011の箇条4.2の要求事項を満たすことに対する、説明責任 及び責任の両方をもつことを実証することが望ましい。これには 他の関係者によって運用されるプロセスを含めることが望まし い。 サービス提供者は、他の関係者によって運用される合意したプ ロセスの順守を実行するする権限をもつことが望ましい。 サービス提供者は、トップマネジメントがSMSをコミットしている ことを実証できることが望ましい。 (出典:運用管理のお手本 ISO/IEC 20000~事例から学ぼう~Vo.3 クラウド時代のITSMS編) Copyright JIPDEC,2016-All rights reserved 18 IT Service Management System プロセスの定義及びインターフェース等 5.2.3 プロセスの定義及びインタフェース サービス提供者は他の関係者により運用されるプロセスの定義、 及びSMS内の他のプロセスとのインタフェースを管理することが 望ましい。 5.2.4 プロセスのパフォーマンス ISO/IEC 20000-1:2011の4.2の要求事項のもとで、サービス提供 者はプロセスパフォーマンスのための基準を管理することが望ま しい。また、サービス提供者は、自らのプロセス要求事項を他の 関係者に順守させることが望ましい。 5.2.5プロセスの改善 サービス提供者はプロセスの改善の計画立案及び実施する改善 に与える優先度を管理することが望ましい。改善の機会は、サー ビス提供者又は他の関係者によって特定できる。 (出典:運用管理のお手本 ISO/IEC 20000~事例から学ぼう~Vo.3 クラウド時代のITSMS編) Copyright JIPDEC,2016-All rights reserved 19 IT Service Management System クラウドサービスへのISO/IEC 20000-1の適用 ISO/IEC TR 20000-9のシナリオ クラウドサービスシナリオ例 Copyright JIPDEC,2016-All rights reserved 20 IT Service Management System クラウドサービスへの ISO/IEC 20000-1の適用 ISO/IEC TR 20000-9は、クラウドサービスの提供者に対する ISO/IEC 20000-1:2011の利用の手引である。 ISO/IEC TR 20000-9は、SaaS、PaaS、IaaSといった標準的なクラ ウドサービスの種類に限定することなく、また、パブリック、プライ ベート、コミュニティ、ハイブリッドのクラウド展開モデルにも関係な く適用できる。 ISO/IEC 20000-1の適用は、サービスを提供するために利用する サービスモデルあるいは技術の種類から独立している。 ISO/IEC 20000-1における全ての要求事項はクラウドサービス提 供者へ適用可能である。 (出典:運用管理のお手本 ISO/IEC 20000~事例から学ぼう~Vo.3 クラウド時代のITSMS編) Copyright JIPDEC,2016-All rights reserved 21 IT Service Management System ISO/IEC TR 20000-9のシナリオ ISO/IEC TR 20000-9では15の表シナリオ例を用いることで、 ISO/IEC 20000-1の参照された箇条がどのようにクラウドサービ スに適用可能であるかの推奨と例示をしている。 シナリオは、ISO/IEC 20000-1により規定された最も関連する要 求事項への参照を含んでいる。 ISO/IEC 20000-1で規定される全てのプロセスは、ISO/IEC TR 20000-9で説明するシナリオの1つ以上に含められている。 (出典:運用管理のお手本 ISO/IEC 20000~事例から学ぼう~Vo.3 クラウド時代のITSMS編) Copyright JIPDEC,2016-All rights reserved 22 IT Service Management System クラウドサービスシナリオ例 *ISO/IEC TR 20000-9:2015を基に作成 S01 Identify the context for service management of cloud services S02 Establish strategy and plan for management of cloud services S03 Provide a catalogue of cloud services (クラウドサービスのカタログを提供する) S04 Identify and manage service requirements for cloud services S05 Design and develop a new cloud service S06 Establish a service relationship with the cloud customer (クラウド顧客とサービス関係を確立する) S07 Establish a cloud service agreement (クラウドサービス合意を確立する) S08 Onboarding the customer S09 Deliver and operate the cloud services S10 Monitor and report cloud service S11 Manage resources for cloud services S12 Check and improve the SMS and cloud services S13 Terminate a cloud service contract S14 Transfer a cloud service S15 Remove a cloud service (出典:運用管理のお手本 ISO/IEC 20000~事例から学ぼう~Vo.3 クラウド時代のITSMS編) Copyright JIPDEC,2016-All rights reserved 23 Information Security Management System ISMSクラウドセキュリティ認証の概要 ISMSクラウドセキュリティ認証の背景 ISMSクラウドセキュリティ認証の対象者 ISMSクラウドセキュリティ認証の枠組み ISMSクラウドセキュリティ認証の要求事項 JIP-ISMS 517-1.0の概要 ISMSクラウドセキュリティ認証に関する要求事項 (1/4~4/4) ISMS認証とISMSクラウドセキュリティ認証の違い ISMSクラウドセキュリティ認証への期待 ISMSとITSMSとの統合(1/2~2/2) Copyright JIPDEC ISMS, 2016 24 Information Security Management System ISMSクラウドセキュリティ認証の背景 クラウドサービスの本格的な普及に伴い、クラウドサービスに求められ るセキュリティ要求事項を明確化することの重要性を認識。 クラウドサービス向けの国際規格ISO/IEC 27017(Code of practice for information security controls based on ISO/IEC 27002 for cloud services)が2015年12月15日に発行された。 このような状況を踏まえ、ISMSに基づき、クラウドサービスの信頼性を 保証するISMSクラウドセキュリティ認証制度を開始した。(2016年8月) Copyright JIPDEC ISMS, 2016 25 Information Security Management System ISMSクラウドセキュリティ認証の対象者 ISMSクラウドセキュリティ認証は、ISO/IEC 27017のガイドラインに沿った、 クラウドサービスプロバイダ(提供者)又はクラウドサービスカスタマ(利用 者)のいずれか、あるいはその両方である組織を対象とする。 ※ クラウドサービスプロバイダ: クラウドサービスを利用可能にする組織 (クラウドサービスを提供す る組織)。ただし、クラウドサービスプロバイダも、提供するサービスの様態 によっては、クラウドサービスカスタマとなる場合がある。 ※ クラウドサービスカスタマ: クラウドサービスを利用する目的のための取引関係がある組織 (クラウドサービスを利用する組織) Copyright JIPDEC ISMS, 2016 26 Information Security Management System ISMSクラウドセキュリティ認証の枠組み ISMSクラウドセキュリティ認証 ISMS(ISO/IEC 27001)認証を前提として、ISO/IEC 27017に規定されるク ラウドサービス固有の情報セキュリティ管理策が実施されている組織を認 証するものである。 ※ISOの枠組みの中で、ISMS(ISO/IEC 27001)認証を前提として、特定の 分野固有の規格(ISO/IEC 27017)に準拠していることである。 Copyright JIPDEC ISMS, 2016 27 Information Security Management System ISMSクラウドセキュリティ認証の要求事項 適用範囲 ISO/IEC 27001 A ① ISO/IEC 27017 ISMSに関する 要求事項 ISO/IEC 27001認証 ISMSクラウドセキュリティ認証に関する 要求事項(JIP-ISMS517-1.0) クラウドサービスに 基づく リスクアセスメント 適用範囲A 適用範囲B ISO/IEC ISMSクラウド 27001 + セキュリティ 認証 認証 B ISO/IEC 27002 ISMSに関する ガイドライン 適用範囲 ② ISO/IEC 27017 認証登録書 クラウドセキュリティに関する ガイドライン ISO/IEC 27001 A ISO/IEC 27017 B Copyright JIPDEC ISMS, 2016 28 JIP-ISMS 517-1.0の概要 ・JIP-ISMS 517(ISO/IEC27017:2015に基づくISMS クラウドセキュリティ認証に関する要求事項)の構成 1.概要 2.引用規格 3.用語及び定義 4.要求事項 参考A Copyright JIPDEC ISMS, 2016 29 ISMSクラウドセキュリティ認証に関する 要求事項(1/4) 4.要求事項 4.1 クラウドサービスを含む情報セキュリティマネジメントシステムの適用範囲の決定 【JIS Q 27001の4.3】 組織は、クラウドサービスを含めたISMSの適用範囲を定めるために、その境界及び適用可能性を 決定しなければならない。 クラウドサービスを含めたISMSの適用範囲は、クラウドサービス名を含む文書化した情報として利 用可能な状態にしておかなければならない。 適用範囲を定める際、クラウドサービスプロバイダが自らのサービスを提供するに当たり、別のクラ ウドサービスを利用している場合は、クラウドサービスプロバイダ及びクラウドサービスカスタマの 両方を適用範囲としなければならない。 注記:ISO/IEC27017の箇条4では、クラウドサービスプロバイダの情報セキュリティ管理の対象は、 クラウドサービスカスタマの情報セキュリティ対策のための情報提供や機能提供を含むものと規定 されている。これに従い、クラウドサービスプロバイダは、リスクアセスメントの範囲にクラウドサービ スカスタマとの関係を含めたリスク対応を検討することが必要である。 Copyright JIPDEC ISMS, 2016 30 ISMSクラウドセキュリティ認証に関する 要求事項(2/4) 4.2 ISO/IEC 27017の規格に沿ったクラウド情報セキュリティ対策の実施 ・4.2.1 情報セキュリティリスクアセスメント【JIS Q 27001の6.1.2c)】 組織は、次の事項を行う情報セキュリティリスクアセスメントのプロセスを定め、適用しなければな らない。 c)次によって情報セキュリティリスクを特定する。 1)ISMSの適用範囲内におけるクラウドサービスに関する情報の機密性、完全性及び可用性の喪 失に伴うリスクを特定するために、情報セキュリティリスクアセスメントのプロセスを適用する。 2)これらのリスク所有者を特定する。 Copyright JIPDEC ISMS, 2016 31 ISMSクラウドセキュリティ認証に関する 要求事項(3/4) 4.2.2 情報セキュリティリスク対応【JIS Q 27001の6.1.3】 組織は、次の事項を行うために、情報セキュリティリスク対応のプロセスを定め、適用しなければならない。 a)ISMSの適用範囲内におけるクラウドサービスのリスクアセスメントの結果を考慮して、適切な情報セキュリティ リスク対応の選択肢を選定する。 b)選定した情報セキュリティリスク対応の選択肢の実施に必要な全ての管理策を決定する。 c)4.2.2b)で決定した管理策をJIS Q 27001の附属書A及びISO/IEC 27017に示す管理策と比較し、必要な管理策 が見落とされていないことを検証する。 d)次を含む適用宣言書を作成する。 -必要な管理策[4.2.2のb)及びc)参照] -それらの管理策を含めた理由 -それらの必要な管理策を実施しているか否か -JIS Q 27001の附属書A及びISO/IEC 27017に示す管理策を除外した理由 注記1:ISO/IEC 27017に示す管理策には、ISO/IEC 27017の本文に実施の手引が示されている管理策、及び ISO/IEC 27017の附属書Aの管理策が含まれる。 注記2:クラウドセキュリティに基づくリスク分析の結果に基づいて、ISO/IEC 27017本文に記載されている実施の 手引を参照し、クラウドサービス固有のリスクに対する管理策として、必要な事項を選択し、実施する。 注記3:ISO/IEC 27017に示す管理策は、クラウドサービスプロバイダ及びクラウドサービスカスタマに対する固有 の管理策であるため、原則は全ての管理策の評価を実施することとなる。 但し、サービスの種類によって、管理策が存在しない場合には、適用除外することができる。 Copyright JIPDEC ISMS, 2016 32 ISMSクラウドセキュリティ認証に関する 要求事項(4/4) 4.3内部監査【JIS Q 27001の9.2】 組織は、ISMS内のクラウドサービスが次の状況にあるか否かに関する情報を提供するために、あ らかじめ定めた間隔で内部監査を実施しなければならない。 a) 次の事項に適合している。 1) ISMS に関して,組織自体が規定した要求事項 2) この規格の要求事項 b) 有効に実施され,維持されている。 注記1: 内部監査の一部として、 第三者による独立したレビュー(外部監査など)の結果を利用す ることができる。 注記2:クラウドサービスプロバイダのコミットメント(クラウドサービスの提供にかかる情報セキュリ ティガバナンス及びマネジメントに関するコミットメント) が適正に実施されていることを確 認 することが望ましい。 Copyright JIPDEC ISMS, 2016 33 ISMS認証と ISMSクラウドセキュリティ認証の違い ISMS認証は、その適用範囲に含まれるクラウドサービスの提供も しくは利用に関し、任意に追加の管理策として取り込んだものであ る。 ISMSクラウドセキュリティ認証は、ISMSの枠組みの中に、ISO/IEC 27017:2015に基づくクラウドサービス固有のセキュリティ管理策を 取り込んだものである。 Copyright JIPDEC ISMS, 2016 34 ISMSクラウドセキュリティ認証への期待 組織がクラウドセキュリティ対策に取り組むことは、クラウドサービ スの価値を高めるとともに、対外的にも組織の信頼性をアピール することができる。 組織が、ISMSクラウドセキュリティ認証を取得することは、クラウド サービスへの信頼性を向上させるとともに、ISMSの価値を高める ことができる。 組織が、クラウドサービスの品質を向上させるためには、ITサービ スマネジメントにおけるISMSクラウドセキュリティ認証の活用が期 待できる。 Copyright JIPDEC ISMS, 2016 35 IT Service Management System ISMSとITSMSとの統合(1/2) IT技術利活用の進展などにより、ビジネスにおけるITシステム への依存度が高まり、システムリスクが即ビジネスリスクに直 結する時代となって来た。これまで以上にシステムの安定稼働 やセキュリティ維持・確保などにシステムリスクに対する統制が 求められている。 このような状況から、ITSMS(ISO/IEC 20000-1)とISMS (ISO/IEC 27001)との統合により、セキュリティの強化、内部統 制の確立・強化を実現することが可能となる。 Copyright JIPDEC,2016-All rights reserved 36 IT Service Management System (出典:ISO/IEC 27013:2012) Copyright JIPDEC,2016-All rights reserved 37 IT Service Management System 【問い合わせ先】 一般財団法人日本情報経済社会推進協会 情報マネジメント推進センター TEL: 03-5860-7570 FAX: 03-5573-0564 Web: http://www.isms.jipdec.or.jp/ 登録商標など 引用された社名、製品名は各社の商標もしくは登録商標です。 Copyright JIPDEC,2016-All rights reserved 38