JIS 0164-11原案作成委員会
第3 種専門委員会
ITアセットマネジメント-第11部:ITアセットマネジメントシステムの審査及び認証を行う機関に対する要求事項JIS原案作成委員会
<2022年度委員会活動報告>
委員長 高橋 快昇(一般社団法人 IT資産管理評価認定協会 理事)
1. 経緯
ITアセットマネジメント(ITAM)のための規格は,国際的にはISO/IEC 19770規格群として,また,国内ではJIS X 0164規格群として規格化されている。規格群の構成は“Part??”,“第??部”のように呼ばれ,規格番号を“ISO/IEC 19770-??:西暦年”,“JIS X 0164-??:西暦年”で表記している。この“??”は国際規格に合わせ,同一の数値が使われる。規格群の中心となるのは,要求事項を規定したISO/IEC 19770-1であるが,この規格の第3版でISO標準のMSS(Management System Standard)にリニューアルされた。世界的に運用されているMSS認証制度と同様に認証を受けたい。そのためにITアセットマネジメントシステム(ITAMS)の技術的能力を有し、公正・公平な立場から審査・認証を行う機関(以下,認証機関という。)への要求事項を規定すべきとの機運が高まった。最初にWG21内でその必要性が提起されたのは,ISO/IEC 19770-1:2017(要求事項)が出版される前の2016年である。2017年のSC7総会で正式にWG21内にISO/IEC 19770-11(ITAMSの審査及び認証を行う機関に対する要求事項)のプロジェクトが設立された。このプロジェクトを中心にWG21内でWD(Working Draft)の検討が進み,2019年初めにNP(New Proposal)/CD(Committee Draft)投票,2020年DIS(Draft International Standard)投票を経て2021年5月にIS(International Standard)として出版された。
今回,このISO/IEC 19770-11:2021(以下,対応国際規格という。)を基に,技術的内容及び構成を変更することなく,JIS X 0164-11:20xxの原案を作成した。
今回,このISO/IEC 19770-11:2021(以下,対応国際規格という。)を基に,技術的内容及び構成を変更することなく,JIS X 0164-11:20xxの原案を作成した。
2. 作業内容
対応国際規格の構成は,JIS Q 17021-1:2015(適合性評価—マネジメントシステムの審査及び認証を行う機関に対する要求事項)にITAMS固有の要求事項が追加される形で規定されている。その構成は,適用範囲(箇条1),引用規格(箇条2),用語及び定義(箇条3),原則(箇条4),一般要求事項(箇条5),組織運営機構に関する要求事項(箇条6),資源に関する要求事項(箇条7),情報に関する要求事項(箇条8),プロセス要求事項(箇条9),認証機関に関するマネジメントシステム要求事項(箇条10)となっている。要求事項は,箇条5~箇条10であるが,箇条6,10にはITAMS固有の要求事項の追加がなく,追加があるのは,箇条5,7,8,9である。以下主な追加項目を説明する。
箇条5では,公平性のマネジメントについて,コンサルタントとみなされたり,潜在的な利害抵触が発生したりすることなく実施してよいITAMS関連業務を追加している。
箇条7では,要員の力量についてITAMSに関する要求事項が多く追加されている。
箇条8では,認証文書でITAMにおける適用範囲の定義の追加,及び機密保持で認証のためにアクセスできない文書がある場合(審査ができないことを通知しなければならない)の追記がある。
箇条9では,認証活動に先立つ事項で,申請レビューに依頼者の活動分野及びITAMSに生じうるリスクの明確な理解があること。初回審査の審査工数の決定で,ITAM運用プロセスを含むITAMSの責任及び権限をもつITAMSを支援する有効な要員数で審査工数を算出することが規定されている。これは,ISMS(Information Security Management System)やITSMS(IT Service Management System)といった他のMSSでの従業員数といった組織規模の概念と少し異なっている。ここで示されている要員数のレンジは150名までであり,大企業であっても要員数が150名とカウントされる組織は殆ど想定されていない。審査工数の潜在的な増減要因や他のマネジメントシステム規格認証が行われている場合の調整判断の基準,サーベイランス審査及び再認証審査の審査工数の決定条件,遠隔審査の許容可否の条件などもITAMS固有の項目として追加してある。審査の計画作成では,審査目的,審査範囲及び審査基準の決定で審査目的の中にITAMSと他のMSSの境界で,ITAMSの活動に参加している他の関係者とのインタフェースが識別及び統制されていることを確認することが含まれている。これは,ITAMSやISMS及び経営戦略などにむけたインタフェースがITAMS価値向上への足掛かりになるとの認識を強調するための要求事項である。また,ITAMSで特に重要なサンプリングの正確さのための要求事項も審査の計画に含めなければならないことが追加されている。
この対応国際規格のJIS化作業は,原文とSAMAC(一般社団法人 IT資産管理評価認定協会)がFDIS(Final Draft International Standard)から勉強用に作成した対訳版を参考に2021年7月~10月に4回のリモート会議で行われた。具体的には,毎回オンラインで原文を表示し,事前に検討された委員毎の表現を議論する形式で進められた。また,訳語はできるだけJIS Q 17021,JIS Q 27006に合わせてある。
箇条5では,公平性のマネジメントについて,コンサルタントとみなされたり,潜在的な利害抵触が発生したりすることなく実施してよいITAMS関連業務を追加している。
箇条7では,要員の力量についてITAMSに関する要求事項が多く追加されている。
箇条8では,認証文書でITAMにおける適用範囲の定義の追加,及び機密保持で認証のためにアクセスできない文書がある場合(審査ができないことを通知しなければならない)の追記がある。
箇条9では,認証活動に先立つ事項で,申請レビューに依頼者の活動分野及びITAMSに生じうるリスクの明確な理解があること。初回審査の審査工数の決定で,ITAM運用プロセスを含むITAMSの責任及び権限をもつITAMSを支援する有効な要員数で審査工数を算出することが規定されている。これは,ISMS(Information Security Management System)やITSMS(IT Service Management System)といった他のMSSでの従業員数といった組織規模の概念と少し異なっている。ここで示されている要員数のレンジは150名までであり,大企業であっても要員数が150名とカウントされる組織は殆ど想定されていない。審査工数の潜在的な増減要因や他のマネジメントシステム規格認証が行われている場合の調整判断の基準,サーベイランス審査及び再認証審査の審査工数の決定条件,遠隔審査の許容可否の条件などもITAMS固有の項目として追加してある。審査の計画作成では,審査目的,審査範囲及び審査基準の決定で審査目的の中にITAMSと他のMSSの境界で,ITAMSの活動に参加している他の関係者とのインタフェースが識別及び統制されていることを確認することが含まれている。これは,ITAMSやISMS及び経営戦略などにむけたインタフェースがITAMS価値向上への足掛かりになるとの認識を強調するための要求事項である。また,ITAMSで特に重要なサンプリングの正確さのための要求事項も審査の計画に含めなければならないことが追加されている。
この対応国際規格のJIS化作業は,原文とSAMAC(一般社団法人 IT資産管理評価認定協会)がFDIS(Final Draft International Standard)から勉強用に作成した対訳版を参考に2021年7月~10月に4回のリモート会議で行われた。具体的には,毎回オンラインで原文を表示し,事前に検討された委員毎の表現を議論する形式で進められた。また,訳語はできるだけJIS Q 17021,JIS Q 27006に合わせてある。
2.2 作業中問題となった点
訳語の確定について多くの議論があった。主なものは次の通りである。
“assurance”の用語定義について,JIS X 0134-1:2021の定義“主張が達成されたか,又は達成されるであろうと正当化された確信の根拠”を変更し,“主張が達成されたこと又はこれから達成されることの,正当化された確信の根拠”とした。これは,原文("grounds for justified confidence that a claim has been or will be achieved")の意味を再度検討し,より正確な日本語にした結果である。また,“正当化された確信の根拠”については,“正当な確信の根拠”という案も検討された。“正当化”には“本来正しくないものを正当と主張するという意味合いを含む”という意見もあったが,“確信は所
与のものとして正当ではなく,どこかで“正当である”と議論・合意する(正当化する)ものである”という意見を採用した。
“assurance”の用語定義について,JIS X 0134-1:2021の定義“主張が達成されたか,又は達成されるであろうと正当化された確信の根拠”を変更し,“主張が達成されたこと又はこれから達成されることの,正当化された確信の根拠”とした。これは,原文("grounds for justified confidence that a claim has been or will be achieved")の意味を再度検討し,より正確な日本語にした結果である。また,“正当化された確信の根拠”については,“正当な確信の根拠”という案も検討された。“正当化”には“本来正しくないものを正当と主張するという意味合いを含む”という意見もあったが,“確信は所
与のものとして正当ではなく,どこかで“正当である”と議論・合意する(正当化する)ものである”という意見を採用した。
3. その他
SC7におけるWG21はIT資産管理(ITアセットマネジメント)の規格を開発している。スタート時はソフトウェアが目に見えない変化の激しい資産であり,コンプライアンス管理の優劣が企業価値を左右すると考え,ソフトウェア資産のMSSと情報構造を規格化したが,サイバーセキュリティや脆弱性対策をはじめとするセキュリティ面の管理を追及するとオープンソースソフトウェアも含めた構成管理が必須であり,当然ハードウェア資産の管理も必要となる。WG21は2013年の総会でソフトウェア資産管理からIT資産管理に名称変更が認められた。複雑で多様なIT資産が何時,何処で,誰に,どのように使われているかを正確にリアルタイムで把握できていることが重要となっている。この管理の品質を高めるためにITAMSの認証機関に対する要求事項が重要な役割を果たすものと期待されている。