こんにちは、saeです。
近回は、前回に引き続きデータセンターの規程関連の考え方について、説明させて頂きます。
3.3 各運用管理規程の関係(プロセス間の関係)
センター運用管理規程は下図の通り「PDCA」を考慮して構成されています。
センター運用管理規程は、セキュリティ要件の厳しいデーターセンターで、実際に「PDCA」のサイクルを回す必要があり、実現可能な「Plan」を策定する必要があります。
実現可能な「Plan」を策定する為には、顧客とのサービスレベルを踏まえた計画が必要となりますが、顧客の要望するサービスレーベルが過大であれば、設備や人的資源的に不可能な場合もあります。(例:電源では自家発電装置や燃料タンクの容量、燃料の補給手段等のインフラ設備の課題があります)
実際の環境を踏まえたサービスレベルを設定しなければ、そもそも実現不可能な計画となりますが、低すぎるサービスレベルでは顧客からの信頼や納得を得ることはできず、顧客が離れてしまうか、実際には有名無実化してしまい、多大な負担を運用保守部門が負うこととなります。
サービスレベルの設定については、営業や企画部署等が行うことがありますが、運用設計を理解していないと、実際のサービスとは乖離してしまうことが多く、運用部署がサービス立ち上げに当初から参加することが重要となります。
「Do」の推進では、実際に計画した運用管理要件に沿って構築、改善、作業を行います。これらは日々の運用保守業務と直結します。これらは、各運用管理プロセスの監視、測定を行う必要があり、手順や規定に沿って行ったことがわかるエビデンスを残す必要があり、実務担当者にとっては非常に負担となるケースがあります
図 3‑1 センター運用管理規程の計画・推進・評価・改善(Plan~Do~Check~Action)
「Check」では、実際に運用した結果に対して、監査を行います。
これは、社内的な内部監査やISMS審査等の外部監査がありますが、基本的にはセキュリティの改善活動が実際に行われているか等のISMSの基準を満たしているかの確認が中心となります。
これらの監査で、要件を満たしていない場合は、指摘事項として「いつ」「どのように」して改善するのかを報告し、改善結果も求められます。
4 用語集
