第9章 運用及び保守
目次
第9章 運用及び保守
PJMOは、 業務を安定的に運営するため、次のとおり、安定的、かつ、効率的な情報システムの運用及び保守を行う (1) ものとする。なお、 この章中「運用事業者」、「保守事業者」が実施することとした作業について、職員が自ら実施する事を妨げるものではない (2) 。 PJMOに定められた情報システム管理者が、運用及び保守作業に関する最終的な確認、決定を行うものとする。 ただし、保守について、契約不適合責任の範囲内で設計・開発事業者が修理等を行う場合には、この章中「保守事業者」とあるのは「設計・開発事業者」と読み替えるものとする。 保守には、アプリケーション保守、ソフトウェア製品保守、ハードウェア保守等が存在し、それぞれ作業内容が異なる (3) ことに留意する。 |
1. はじめに
情報システムの運用及び保守は、政策目的の達成を念頭に、サービスとして達成すべきレベルを十分理解した上で、計画や実施要領を策定することが求められる。また、運用及び保守業務の遂行に当たっては、定めた計画や実施要領に沿って作業を実施することに加え、各作業の実績や情報システムの稼働状況等を適切に把握し、作業の効率化を積極的に進めるため、日頃から運用及び保守業務の改善活動を推進できる体制を整備した上で業務を遂行することが必要である。
このため、本章は、プロジェクトの目標を達成できるよう、情報システムを安定的に運用するために、運用及び保守における準備や実施、改善、引継ぎについて必要となる活動を定めるものである。
なお、本書では、運用及び保守とプロジェクトの他の活動との関係を図9-1のように想定している。
図9-1 運用及び保守と前後の工程との関係
2. 解説
(1)「業務を安定的に運営するため、次のとおり、安定的、かつ、効率的な情報システムの運用及び保守を行う」
「安定的、かつ、効率的」とは、運用及び保守業務を検討する際には、多様な運用形態を踏まえた上で、安定した運用を効率良く継続するための検討をする必要があることを指す。
「多様な運用形態」とは、情報システムのクラウドサービスの適用等に伴い、運用形態も多様化していることを指す。例えば、複数の情報システムを単一の事業者が統合的に運用する場合もあれば、情報システムの一部の機能としてクラウドサービスを利用することで、クラウドサービスの運用とその他の機能の運用を異なる事業者が個別に実施する場合もある。運用形態が異なれば、運用及び保守業務として実施すべき作業内容、責任分界、留意事項等も異なるため、当該情報システムの運用形態を踏まえて運用及び保守業務の作業内容等を検討することが必要となる。
「運用及び保守業務」として対象とする業務と、機能改修は明確に区別することが重要であり、運用業務、保守業務及び機能改修はITガバナンスの観点から責任分界を適切に定める必要がある。例えば、保守において情報システムのソフトウェアを変更する際は、保守事業者が修正プログラムを作成し、検証環境におけるテストを実施した上で、PJMOが適用可否の判断を行い、PJMOの指示の下、運用事業者が本番環境に対する適用作業を行うよう役割分担を明確にする。一方、ハードウェアの修理、交換等の際は、保守事業者が本番環境に対して直接作業を行うこともあるため、責任所在が不明確にならないよう、業務に応じて決定する必要がある。
また、アプリケーション保守業務と機能改修は、いずれも情報システムの構成等の変更に携わる業務ではあるが、新機能の追加や既存機能の変更を行う場合は機能改修に該当し、情報システムの設計・開発として扱う必要がある。したがって、機能改修とアプリケーション保守業務を区分せず調達することは、情報システムの設計・開発時に実施すべき作業が抜け落ちることを防ぐためにも避けるべきである。やむを得ず両者を一括で契約する場合においても、経費や工数の区分がわかるように留意すること。
運用業務、保守業務及び機能改修の基本的な区分けの考え方を次に示す。
ア 運用業務
情報システムの稼働状態を維持することを目的とした業務。
管理対象は情報システムを構成する全ての環境であり、本番環境に対する変更作業を実施する点が、保守業務との大きな相違点である。なお、情報システムの設計された仕様及び構成の変更は、保守プログラムの適用等のほかは原則として行わない。
また、定常的に監視作業や情報システム維持作業、ユーザーサポート業務を実施し、これらの作業時に発生した異常情報を契機に、障害発生時の対応を実施する。
運用業務の対象とする作業の概要の例を表 9-1に示す。
| 対応 | 作業分類 | 作業名 | 作業概要 |
|---|---|---|---|
| 定常時対応 | 監視作業 | 死活監視 | 情報システムを構成する機器類の障害発生状況等を把握するために、機器の通信状態の変化や再起動の状況を監視する。 |
| 稼働状況監視 | 情報システムの稼働状況や利用状況の監視等を行う。 | ||
| ネットワーク監視 | ネットワークの稼働状況や利用状況の監視を行う。 | ||
| 性能監視 | 情報システムの性能要件が維持されていることを確認する。また、業務特性やピーク時特性を踏まえて情報システムの性能等の分析・管理を行う。 | ||
| セキュリティ監視 | 情報セキュリティに関する事象の発生状況を監視する。 | ||
| 防犯監視 | 施設・区域等に対する物理的な不正侵入や火災の発生有無等を監視する。 | ||
| ログ管理 | 情報システムのログの解析結果を確認し、画面や機能の利用実態や問題等を把握する。 | ||
| データ監視 | 情報システムで用いられるマスタデータや業務の過程で生成される業務データの、異常・不整合等を検出する。 | ||
| 情報システム維持作業 | データ一括処理業務 | 定期又は臨時に手動によるデータ一括処理の必要があった場合、処理の実行及び実行状況の確認を実施する。 | |
| バックアップ管理 | 情報システムにおけるデータのバックアップ管理を行う。 | ||
| 計画停止 | 事前に計画したスケジュールに基づき、定められた手順で告知した上で、情報システムの停止・再起動を行う。 | ||
| データ維持管理業務 | 異常・不整合等が発生したデータの修正又は削除を行う。 | ||
| 情報資産管理 | ハードウェアやソフトウェア製品、ネットワーク等の情報システムを構成する資産(製品名、取得額、バージョン、ライセンス期間等)の管理を行う。 | ||
| システム構成管理 | ハードウェアやソフトウェア製品、ネットワーク等、管理すべきサービスの構成情報(設定情報、IPアドレス、ポート接続情報、回線情報等)を管理する。 | ||
| 情報システムの変更要求管理作業 | ヘルプデスク、監視業務、業務側からの変更要求の受付、記録、承認依頼、変更状況の監視、結果確認を行う。 | ||
| アクセス管理 | 情報システムに係るID発行・削除、利用実態の把握を行う。 | ||
| 情報システムの設定変更 | 保守事業者の依頼内容及び監視項目ごとに事前に定めた手順に基づき、情報システムの設定変更等を行う。 | ||
| 業務運用支援作業 | データ作成、データ受付・登録、大量帳票印刷等の情報システムや業務の運用に当たり必要となる作業を実施する。 | ||
| システム監査対応 | システム監査対象に指定された場合、ヒアリングや情報提供等の協力を行う。 | ||
| セキュリティ監査対応 | 外部事業者によるセキュリティ診断を受ける場合、ヒアリングやログの提供等の協力を行う。 | ||
| 大規模災害時対応 | 大規模災害時対応の手順確認、リハーサルを実施する。 | ||
| 本番環境へのアプリケーションプログラムのリリース作業 | アプリケーションプログラムの本番環境への適用作業、リリース対象に特化した稼働状況確認を行う。 | ||
| 本番環境へのソフトウェア製品のリリース作業 | 保守事業者の依頼内容に基づき、セキュリティパッチの適用やアップデートを実施する。 | ||
| 本番環境へのハードウェアのリリース作業 | ハードウェア保守事業者による予防保守等による機器や部品交換に伴い、必要となる情報システムの停止、再開を実施する。 | ||
| ユーザーサポート業務 | ヘルプデスク業務 | 情報システムの利用者である職員や外部利用者のサポートを行うためのヘルプデスクを設置し、運用する。 | |
| コールセンター業務 | 情報システムの利用者である職員や外部利用者のサポートを行うためのコールセンターを設置し、運用する。 | ||
| 利用者教育支援 | 利用者に対する継続的な操作研修を実施する。 | ||
| 利用者からの定型変更対応 | 人事異動等による情報システムの利用者に設定する権限の追加や削除、アカウントロック時の対応等を行う。 | ||
| データの収集と報告 | 定期報告 | 各運用作業の実績、工数等を定期的に報告する。また、ハードウェア、ソフトウェアを含むシステム機能としての障害実績を整理し報告する。 | |
| 障害発生時対応 | 情報システム維持作業 | インシデント管理 | ヘルプデスク、監視業務、業務側からのインシデントの受付、記録、問題管理、変更管理への切り分け、承認依頼、変更状況の監視、結果確認を行う。 |
| 障害復旧対応(インシデント対応) | 障害発生時に影響度等の分析を行った上で、障害による影響を最小限にとどめ、情報システムの復旧作業を行う。 | ||
| 本番環境へのアプリケーションプログラムのリリース作業 | 修正プログラムの本番環境への適用作業、通常の監視項目とは別にリリース対象に特化した稼働状況確認を行う。 | ||
| 本番環境へのソフトウェア製品のリリース作業 | 保守事業者の依頼内容に基づき、障害時のセキュリティパッチの適用やアップデートを実施する。 | ||
| 本番環境へのハードウェアのリリース作業 | ハードウェア保守事業者による機器や部品交換に伴い、必要となる情報システムの停止、再開を実施する。 | ||
| バックアップからの復旧作業 | バックアップからサーバ設定やデータの復旧作業を行う。 |
表9-1 運用業務の対象作業例
イ 保守業務
情報システムが設計された仕様どおりに動作するように、情報システムの機能や品質を維持することを目的とした業務。
保守業務は開発環境、検証環境等で実施し、本番環境への適用は、運用事業者に依頼する。
保守業務の対象とする作業の概要の例を、表9-2に示す。
| 対応 | 作業分類 | 作業名 | 作業概要 |
|---|---|---|---|
| 定常時対応 | ハードウェアの保守 | 定期点検 | ハードウェアの状態について定期的に点検を行い、稼働状況について確認を行う。 |
| 予防保守 | ハードウェアの部品等について、稼働による損耗等による障害を防止するために部品等についてあらかじめ交換を行う。 | ||
| 保守部品提供・交換 | 運用事業者等が行う軽微な部品交換のために部品の提供や交換を行う。 | ||
| ファームウェア等保守 | ファームウェアなどの組込みソフトウェアの設定変更やアップデートを行う。 | ||
| ソフトウェア製品の保守 | ソフトウェア製品のアップデートファイル(セキュリティパッチ等)の提供 | アップデートファイル(既知の問題への対応パッチ、セキュリティパッチ等)を運用事業者へ提供する。 | |
| サポート対応 | ソフトウェア製品の利用に関する問合せに対応する。 | ||
| 保守作業共通 | システム監査対応 | システム監査対象に指定された場合、監査ヒアリングや情報提供へ協力を行う。 | |
| データの収集と報告 | 定期報告 | 各保守作業内容の実績、工数等を定期的に報告する。また、ハードウェア、ソフトウェアを含むシステム機能としての障害実績を整理し報告する。 | |
| 障害発生時対応 | アプリケーションプログラムの保守 | アプリケーションプログラムの不具合対応 | アプリケーションプログラムの不具合の受付、原因調査、報告、修正版プログラムの作成、検証環境でのテスト、リリース手順の作成、運用事業者への提供を行う。 |
| ハードウェアの保守 | ハードウェアの不具合対応 | サーバやディスク等の不具合の受付、原因調査、報告、ハードウェアの修理又は交換を行う。 | |
| ソフトウェア製品の保守 | ソフトウェア製品の不具合対応 | ソフトウェア製品の不具合の受付、原因調査、報告、アップデートファイルの入手、検証環境でのテスト、リリース手順の作成、運用事業者への提供を行う。 |
表9-2 保守業務の対象作業例
ウ 機能改修
情報システムについて、設計された仕様を変更又は追加し、当該情報システムの機能を追加・修正する業務。
機能改修を実施する場合は、新規開発と同様に標準ガイドライン各章で定義された作業のうち必要なものを実施すること。また、この作業の単位をサブプロジェクトとして管理することができる。
(2)「この章中「運用事業者」、「保守事業者」が実施することとした作業について、職員が自ら実施する事を妨げるものではない」
「職員が自ら実施する」とは、運用及び保守業務の一部又は全部を職員自らが実施することを指す。ただし、これらの作業を実施するために必要な技術を有する職員の安定的な確保や、人事異動等が作業の品質に影響を与えることのないよう対策を検討し、職員のみでは継続的な作業水準の確保が困難であることが想定されるときには、支援事業者の調達等に必要な予算の確保を図る必要がある。
(3)「保守には、アプリケーション保守、ソフトウェア製品保守、ハードウェア保守等が存在し、それぞれ作業内容が異なる」
「アプリケーション保守、ソフトウェア製品保守、ハードウェア保守等」とは、保守対象には施設、回線、クラウドサービスを含む外部サービスも含むことを指す。
1. 運用開始前の準備
PJMOは、運用及び保守を計画的に実施するため、自ら運用及び保守を行わない場合、次の1)から7)までに掲げる事項に取り組むものとする。その際、プロジェクト計画書、要件定義書等に変更が生じる場合には、これらを変更するとともに、必要な情報をODB等へ登録するものとする。 |
1. 趣旨
PJMOは、整備した情報システムを、政策目的やプロジェクトの目標の達成に向けて策定されたプロジェクト計画に従い、運用及び保守を遂行することが求められる。
このため、本節においては、複雑かつ多岐にわたる運用及び保守作業を開始する前に必要となる準備について、効率良く確実に行うための手順及び実施内容を示す。また、これら準備作業を進めるに当たっては、PMOや府省内外のCIO補佐官、外部組織の有識者や専門的な知見を持つ職員の支援や助言を受けることが望ましい。
なお、運用及び保守作業を事業者に委託せず職員自身で実施する場合においても、職員が中心となって作業を行う上で必要となる計画や実施上の取り決めを、計画書及び実施要領として記載する。
1) 運用事業者、保守事業者等の調達
PJMOは、情報システムの運用を行う運用事業者、保守を行う保守事業者、プロジェクト管理支援事業者(「第6章3.1)クb)ロ) 設計・開発等のプロジェクト管理支援事業者」参照)等について、運用及び保守業務の全てが職員及び各事業者に分担されるよう検討する(1)。 また、各事業者の作業範囲、作業内容、スケジュール、品質、責任分界等を定めた調達仕様書を作成し、調達を行うものとする。 |
1. 趣旨
PJMOは、運用・保守工程において、情報システムを維持・管理するために必要となる作業を、計画した予算内で漏れなく確実に実施する必要がある。運用及び保守業務を行うために、多くの場合外部事業者を調達するが、プロジェクトに必要とされる作業の内容や量を正しく把握し、業務を遂行できる事業者を選定することは、当該情報システムを維持・管理する上で非常に重要な事項である。
このため、PJMOは、適切な運用及び保守事業者を調達するために必要な内容を記載した調達仕様書を作成し、調達を行う。
2. 解説(1)「運用及び保守業務の全てが職員及び各事業者に分担されるよう検討する」
「運用及び保守業務の全てが職員及び各事業者に分担される」とは、運用及び保守業務の全てを漏れなく運用及び保守業務を実施する関係者に割り当てることを指す。関係者には、調達した各事業者以外にも業務に係る職員も含む。この作業の分担が正しく行われないと、作業の漏れが発生し、情報システムの運用・保守業務の遂行に必ず支障が生じるため、慎重に検討することが重要である。
具体的には、設計・開発における運用設計及び保守設計の内容を適切に反映し、運用及び保守業務で対象となる作業を全て洗い出した上で、それぞれの作業に対して実施する関係者を割り当てていく。
その上で、調達が必要な作業については「第6章2.調達仕様書の作成等」の記載に基づき、調達仕様書を作成し、調達を実施する。なお、設計・開発事業者が作成した運用計画書・保守計画書の案については、調達仕様書の附属文書又は閲覧資料として、応札希望者等に提示する。調達仕様書の附属文書とするか、閲覧資料とするかの区別は、機密保持の観点から判断する。
2) 運用計画書の作成と確定
PJMOは、 設計・開発時に作成した運用計画書の案(「第7章4.5) 運用・保守の設計」参照)、調達仕様書、要件定義書等に基づき、関連する他の事業者との調整を行った上で、運用計画書の作成を行う (1) 。 運用計画書には、原則として次のアからカまでに掲げる事項について記載する (2) ものとする。また、附属文書として、監視項目、運用業務フローなどの作業項目、作業内容、スケジュール、担当者等について記載するものとする。また、PJMOは、これにより作成した運用計画書を、PMO及び関係機関と調整し、確定するものとする。 ア 作業概要 監視、運用作業の対象範囲、作業概要等について記載する。 運用作業として、定常時における監視作業、情報システム維持作業、ユーザサポート業務、データの収集と報告、及び障害発生時における情報システム維持作業を定義する。特に、セキュリティや業務継続の観点から、情報システムの安全性及び信頼性を確保できるように留意すること イ 作業体制に関する事項 PJMO、運用事業者のみならず、運用に関わる関係機関、情報システムの利用者、関係事業者等の運用に関連する全ての関係者について、その体制、関係者間の関係性、役割分担、責務等を記載する。 ウ スケジュールに関する事項 プロジェクト計画書及び調達仕様書に基づき、運用を行う上で基本とする作業内容、関係する他の作業工程、そのスケジュール等について記載する。 エ 成果物に関する事項 運用によって納品される成果物の内容、担当者、納入期限、納入方法、納入部数等について記載する。 オ 運用形態、運用環境等 運用において採用する運用形態(オンサイト、リモート等)、運用環境(本番環境、検証環境、研修環境等の有無)等を記載する。 カ その他 上記アからオまでに掲げる事項のほか、運用を行う上での前提条件、時間、予算、品質等の制約条件等について記載する。 |
1. 趣旨
PJMOは、情報システムの安定稼働を実現するとともに、情報システムの稼働状況や作業実績等を踏まえた改善活動を継続的に実施することを目的として、定期的に実施する運用業務の作業内容やスケジュール等について記載した運用計画書を作成する。
運用計画書の作成は、必要な運用業務が運用計画に漏れなく定義され、かつ、効率的なものとなるよう、運用事業者から作業内容や実施時間、実施サイクル等についての情報提供等の支援を受けることが有効である。また、他の情報システムと連携し統合的な運用を行う場合には、運用業務の内容やスケジュール等についてPMOや他プロジェクトのPJMOと適切な調整を図りながら運用計画書を確定し、関連するプロジェクト間で整合性がとれた計画となるよう取り組むことが重要である。
2. 解説(1)「設計・開発時に作成した運用計画書の案(「第7章4.5) 運用・保守の設計」参照)、調達仕様書、要件定義書等に基づき、関連する他の事業者との調整を行った上で、運用計画書の案の作成を行う」
「設計・開発時に作成した運用計画書の案、調達仕様書、要件定義書等」とは、設計・開発時に、定常時における月次の作業内容や想定スケジュール等を取りまとめて作成した運用計画書の案、運用体制及び実施手順、運用事業者を調達した際の調達仕様書、要件定義書における運用に関する要件、提案書の内容を指す。
運用計画書の作成は、設計・開発事業者から運用事業者への引継ぎを確実に行った上で行う。
(2)「運用計画書には、原則として次のアからカまでに掲げる事項について記載する」
運用計画書の記載事項の例を、表9-3に示す。
| 定義する事項 | 記載理由・記載事項 |
|---|---|
| ア 作業概要 | 当該情報システムの運用業務の範囲を明確にするため、定常時における監視、データの保守やライセンス管理を含む情報システム維持、ユーザサポート、データの収集・報告、及び障害発生時における情報システム維持作業を定義し、これら作業の対象範囲や概要を記載する。 ・ データの収集として、データ量(データそのものだけでは無く、システムの維持に必要な領域や確保済みの領域を含む)、性能(重要な業務や頻度の高いオンライン処理のレスポンスタイムやバッチ処理の単位時間当たりの処理件数)、効率性(処理のピークや平均が把握できるCPUの利用率)は定点観測として必ず測定するよう定義する。 ・ 大規模災害時の対応とは別に、定常時及び障害発生時に実施する縮退運用の実施訓練等も定義する。 ・ 対象範囲の監視、運用作業を具体化した監視項目、運用業務フロー等の作業項目及び内容の詳細がわかる資料を、運用計画書の附属文書として作成する。 ・ 監視項目については、情報システムの構成や運転状況、サービスレベルの達成状況を評価する際の指標となることから、計画段階で明確に定義する必要がある。監視項目は、単に項目を列挙するだけでなく、実績値を取得する頻度やタイミング、取得方法、計算式等も定義する。 ・ これらの情報は、調達仕様書で示した作業の実施内容に関する事項を基に、提案書等の内容、運用事業者から提供される情報等を踏まえて記述する。 |
| イ 作業体制に関する事項 | 当該情報システムにおける運用業務の作業体制を明らかにするため、運用に関わる関係機関や事業者、情報システムの利用者等の全ての関係者について、運用業務を遂行する上での体制や関係者間の関係性、役割分担、責務等を具体的に記載する。 ・ 定常時及び障害発生時の体制、運用業務の改善活動を推進するための体制をそれぞれ記載する。 ・ これらの情報は、調達仕様書で示した作業の実施体制に関する事項を基に、提案書等の内容を反映する。 |
| ウ スケジュールに関する事項 | 当該情報システムの運用スケジュールを明確にするため、定期的に実施する運用作業内容ごとの基本的なスケジュールとして、運用業務のサイクル(年次、四半期次、月次、週次、日次等)を踏まえたスケジュールを記載する。 ・ 連携する他の情報システムや統合的に運用を行う他の情報システムがある場合には、当該情報システムに関係する作業やそのスケジュールについても記載する。 ・ 各月における具体的なスケジュールや運用作業の担当者等については、運用計画書の附属文書とする。 ・ これらの情報は、プロジェクト計画書に記載された実施計画、調達仕様書の作業スケジュールを基に、提案書等の内容、運用事業者からの情報提供等を踏まえ記載する。 |
| エ 成果物に関する事項 | 当該情報システムの運用業務の成果物を明確にするため、成果物の内容や作成担当者、納入期限、納入方法、納入部数等を記載する。 ・ これらの情報は、調達仕様書で示した成果物に関する記載事項を基に、提案書等の内容、運用事業者からの情報提供等も踏まえ、運用業務における成果物を定義する。 |
| オ 運用形態、運用環境等 | 当該情報システムの監視、運用の方法や利用する環境を明確にすることにより、適切な運用体制を構築するため、運用において採用する運用形態(オンサイト、リモート等)、定常時及び障害発生時における運用環境(本番環境、検証環境、研修環境等の有無)等を記載する。 ・ 検証環境の運用に関して保守事業者との役割分担についても明示する。 ・ これらの情報は、運用事業者を調達した際の調達仕様書、要件定義書の運用に関する事項を基に記載する。 |
| カ その他 | 「ア 作業概要」から「オ 運用形態、運用環境等」までに記載した事項以外に、運用を行う上で留意すべき前提条件、運用の時間や予算、品質等に関する制約条件がある場合に記載する。 |
表9-3 運用計画書の記載内容
3) 運用実施要領の作成と確定
PJMOは、運用実施要領をプロジェクト計画書及び運用計画書と整合性を確保しつつ作成し、原則として次のアからクまでに掲げる事項について記載する (1) ものとする。 ア コミュニケーション管理 運用に携わる事業者、関係事業者等との合意形成に関する手続、連絡調整に関する方法、運用事業者が参加すべき会議・開催頻度・議事録等の管理等について記載する。特に、インシデント発生時の連絡手段や報告要領についても記載するものとする。その際、PJMOと運用に携わる事業者の双方において作業内容及び手順に関する認識に相違が生じないよう、PJMOが議事録の正確性を確認し、修正することができること及びその手順を盛り込むものとする。 イ 体制管理 運用に携わる事業者における作業体制の管理手法等について記載する。 ウ 作業管理 運用の作業及びその品質の管理手法等について記載する。 エ リスク管理 運用における作業を阻害する可能性のあるリスクを適切に管理するため、リスク認識の手法、リスクの管理手法、顕在時の対応手順等について記載する。 オ 課題管理 運用において解決すべき問題について、発生時の対応手順、管理手法等について記載する。 カ システム構成管理 運用における情報システムの構成(ハードウェア、ソフトウェア製品、アプリケーションプログラム、ネットワーク、外部サービス、施設・区域、公開ドメイン等)の管理手法等について記載する。 キ 変更管理 運用により発生する変更内容について、管理対象、変更手順、管理手法等について記載する。 ク 情報セキュリティ対策 運用における情報漏えい対策等について記載する。 |
1. 趣旨
PJMOは、運用事業者の支援を受けて、当該情報システムにおける運用業務の管理方法や手順、遵守事項等について定めた運用実施要領を作成する。運用実施要領は、プロジェクト計画書の実施計画や運用計画書における作業内容、スケジュール等との整合性を図った上で作成する。
また、運用業務を管理する上での具体的な方法等を示した作業手順書も併せて作成する。作業手順書として作成を依頼する対象例を次に示す。
・入退室管理手順
・データ管理(授受・廃棄等)手順
・ライブラリアクセス管理手順
・オペレータへの作業依頼手順
・オペレータの作業手順
・サービスレベル等未達成時の対応作業手順
・ヘルプデスクにおける作業手順
・コールセンターにおける作業手順
・障害対策マニュアル 等
PJMOは、運用実施要領及び作業手順書を作成し、作成後は当該情報システムの運用に携わる事業者に加えて、関連が深い他システムの関係事業者等にも確認を求める。特に、定期的な会議における報告書については、項目及び報告内容について事業者と合意した上で、それに基づいた報告・確認を行うことが重要である。
2. 解説(1)「PJMOは、運用実施要領をプロジェクト計画書及び運用計画書と整合性を確保しつつ作成し、原則として次のアからクまでに掲げる事項について記載する」
運用実施要領の記載事項を、表9-4に示す。
| 定義する事項 | 記載理由・記載事項 |
|---|---|
| ア コミュニケーション管理 | PJMOと運用に携わる事業者、関係事業者等との間で運用作業の実施状況や課題等について適切に情報を共有し、相互の認識に差異が生じないようにするため、運用に携わる事業者、関係事業者等との合意形成に関する手続、連絡調整に関する方法や手順、頻度、議事録の管理等について記載する。 ・議事録については、PJMOが議事録の正確性を確認し、修正することができる旨の記載に加えて、議事録の内容を確認し確定するプロセスについても記載する。 ・運用事業者が参加すべき会議体やその開催頻度、主催者、参加者、議事録の作成主体等を記載する。 |
| イ 体制管理 | 運用に携わる事業者が運用業務を行う上で適切な作業体制を組成し、その体制を変更する際に、運用業務に影響を及ぼすことなく円滑に行うため、作業体制の説明及び作業要員変更時の報告・承認方法を記載する。 ・作業体制の記載に当たっては、チーム及び作業要員数、作業要員に求める資格要件を記載し、各チームが適正な作業体制を確保できていることが確認できるようにする。 ・運用業務を行う上での作業体制の変更時の報告・承認方法の記載に当たっては、実施のタイミング、報告方法(報告内容、報告先、様式)、承認方法(承認時の確認事項、承認プロセス、承認結果の通知方法、様式等)等を記載し、作業要員の変更が、迅速で、かつ、業務遂行に悪影響を与えない形で実施でき、常に最新の作業体制情報(作業要員に求める資格要件の充足状況を含む。)を確認できるようにする。 |
| ウ 作業管理 | PJMOが、運用事業者の実施する運用作業の実績や品質を適切に管理するため、運用事業者から定期的に報告を受け、管理する方法について記載する ・運用状況の月次報告において、運用作業実績、情報システムの構成、運転状況、サービスレベルの達成状況等、運用事業者から報告を求める内容について記載する。 ・運用作業実績には、次年度の運用体制を補強する判断材料とするために、計画工数と実績工数の両方の内訳を記載し、比較できるようにする。 ・サービスレベルの達成状況には、「第4章5)管理すべき指標」にて定義した指標の達成状況を報告するため、把握すべきログの取得タイミングや方法についても記載する。なお、ログ等のデータを把握する作業は可能な限りツールを用いて自動化し効率化を図るよう求める。なお、新たなログを取得する手段が存在しない場合は、「キ 変更管理」の対象として取得方法を変更する。 |
| エ リスク管理 | 運用において目標達成等に悪影響を与える可能性のあるリスクが顕在化した際に適切かつ迅速な対応が取れるようにするため、リスクの認識手法や管理手法、顕在時の対応手順等について記載する。 ・リスク管理における運用事業者、保守事業者等の役割分担を明確にするため、リスク管理のフローを記載する。 ・リスク管理自体は「第2章1.2)エ リスク管理」の記載事項に従い、プロジェクト全体で一元的に実施するため、本項目では、運用事業者が認識するリスクの基準や記録の方法、どのような手順で報告するかを中心に記載する。 |
| オ 課題管理 | 運用業務を遂行する上で発生した課題・問題・インシデントに対して、迅速かつ適切に対応するため、それぞれの管理手法や発生時の対応手順等について記載する。 ・課題管理における運用事業者、保守事業者等の役割分担を明確にするため、課題管理のフローを記載する。 ・問題やインシデントについては、運用事業者において一元管理するため、保守事業者が問題やインシデントを検知した際には、問題やインシデントの内容等の情報について迅速に報告させ、確実にそれらの情報を把握する旨を記載する。 ・問題やインシデントの管理における運用事業者、保守事業者等の役割分担を明確にするため、問題・インシデント管理のフローも記載する。 ・課題管理自体は「第2章1.2)オ 課題管理」の記載事項に従い、プロジェクト全体で一元的に実施するため、本項目では、運用事業者が認識する課題の基準や記録の方法、どのような手順で課題を報告するかを中心に記載する。 |
| カ システム構成管理 | 情報システムを構成する資産の情報を常に最新状態に維持し、情報システムの変更作業の実施における影響範囲の特定や障害発生時における影響分析、原因分析等の様々な場面で活用するため、運用事業者に対して管理を求める対象とする情報システムを構成するクラウドサービスやハードウェア、ソフトウェア製品、ネットワーク等の各資産における管理項目を記載する。 ・保守事業者が情報システムの構成を変更した際には、変更内容等の情報について迅速に報告させ、確実にそれら情報を更新する旨を記載する。 ・ハードウェア、ソフトウェアの構成について個別に管理するだけでなく、稼働環境の確認やライセンス管理の観点からもソフトウェアがどのハードウェアに紐づいているかを明らかにできる関連図についても記載する。 |
| キ 変更管理 | 運用業務で発生した変更事項の重要性や発生原因を認識し、対応の要否について正しく判断するために、その変更内容を確実に記録し、管理する方法について記載する。 ・変更管理の対象となるものは、承認等に基づき確定した状態にあるものであり、承認前等で内容が流動的であるものは含めない点に留意する。 ・変更管理における運用事業者、保守事業者等の役割分担を明確にするため、変更管理のフローを記載する。 ・ソフトウェアの保守により変更が発生する場合には、運用業務における変更管理(本番環境への適用履歴管理)と保守業務における変更管理(修正プログラムによるソフトウェアの変更履歴管理)は個別に行うが、それぞれの事業者における変更内容は一意に特定できる情報により紐付けて確認できる必要がある。そのため、ソフトウェアの保守事業者が仕様書、設計書等を変更した際には、運用事業者が変更内容等の情報について報告を受け、確実にそれら情報の把握及び管理を行う旨を記載する。 ・変更管理自体は「第3編第2章1.2)カ 変更管理」の記載事項に従い、プロジェクト全体で一元的に実施するため、本項目では、運用事業者が認識する変更事項の基準や記録の方法、どのような手順で変更事項を報告するかを中心に記載する。 |
| ク 情報セキュリティ対策 | 要件定義の情報セキュリティに関する事項及び調達仕様書における情報セキュリティに係る内容に基づき、情報セキュリティ確保のための管理項目やその内容について記載する。 ・各管理項目における具体的な手順等は、作業手順書として別途作成する。 ・異常検知時の報告所要時間やログの点検間隔等、定量的に記載できるものは定量的に記載することが望ましい。 ・情報セキュリティ対策に関する事項は機密事項に該当する可能性が高いため、特に取扱いには注意する必要がある。 |
c 表9-4 運用実施要領の記載内容
4) 保守計画書の作成と確定
PJMOは、 設計・開発時に作成した保守計画書の案(「第7章4.5) 運用・保守の設計」参照)、調達仕様書、要件定義書、運用計画書等に基づき、他の関連する事業者の支援を受けて、保守計画書の作成を行う (1) 。 保守計画書には、原則として次のアからカまでに掲げる事項について記載する(2) ものとする。また、附属文書として、定期保守項目、保守業務フローなどの作業項目、作業内容、スケジュール、担当者等について記載するものとする。また、PJMOは、これにより作成した保守計画書を、PMO及び関係機関と調整し、確定するものとする。 なお、 保守計画はシステムプロファイルに応じた保守水準となるよう留意する(3)。 ア 作業概要 保守の対象範囲、作業概要等について記載する。この際、契約不適合責任の範囲内で実施する作業との分担を明確にするものとする。 作業として、定常時におけるハードウェアの保守、ソフトウェア製品の保守、データの収集と報告、障害発生時におけるアプリケーションプログラムの保守、ハードウェアの保守、ソフトウェア製品の保守を定義する。 イ 作業体制に関する事項 PJMO、保守事業者のみならず、保守に関わる関係機関、情報システムの利用者、運用事業者等の関係事業者等の保守に関連する全ての関係者について、その体制、関係者間の関係性、役割分担、責務等について記載する。 ウ スケジュールに関する事項 プロジェクト計画書及び調達仕様書に基づき、保守を行う上で基本とする作業内容、関係する他の作業工程、そのスケジュール等について記載する。 エ 成果物に関する事項 保守によって納品される成果物の内容、担当者、納入期限、納入方法、納入部数等について記載する。 オ 保守形態、保守環境等 保守において採用する保守形態(オンサイト、リモート等)、保守環境(保守用の開発環境、テスト環境等の有無)等を記載する。 カ その他 上記アからオまでに掲げる事項のほか、保守を行う上での前提条件、時間、予算、品質等の制約条件等について記載する。 |
1. 趣旨
「第9章1.3)運用計画の案の作成と確定」で示した運用計画と同様の趣旨で、保守業務に関する保守計画を作成する必要がある。
2. 解説(1)「設計・開発時に作成した保守計画書の案(「第7章4.5) 運用・保守の設計」参照)、調達仕様書、要件定義書、運用計画書等に基づき、他の関連する事業者の支援を受けて、保守計画書の作成を行う」
「保守計画書の案、調達仕様書、要件定義書、運用計画書等」とは、設計・開発時に作成した保守計画書の案、保守体制及び実施手順、保守事業者を調達した際の調達仕様書、要件定義書における保守に関する要件、提案書等の内容を指す。
なお、保守計画書の作成は、設計・開発事業者から保守事業者への引継ぎを確実に行った上で行う。
(2)「保守計画書には、原則として次のアからカまでに掲げる事項について記載する」
保守計画書の記載事項を、表9-5に示す。
| 定義する事項 | 記載理由・記載事項 |
|---|---|
| ア 作業概要 | 当該情報システムの保守業務の範囲を明確にするため、情報システムにおける保守作業の対象範囲、対象とする作業の概要について記載する。 ・対象範囲の作業を具体化した定期保守項目、保守業務フロー等の作業項目及び作業内容について保守計画書の附属文書として作成する。 ・調達仕様書で示した作業の実施内容に関する事項を基に、提案書等の内容、保守事業者からの情報提供等を踏まえて記述する。 |
| イ 作業体制に関する事項 | 当該情報システムの保守作業を十分できる体制を確保するため、保守に関わる関係機関や事業者、情報システムの利用者等について、保守業務を遂行する上での体制や関係者間の関係性、役割分担、責務等を具体的に記載する。 ・本事項には全ての関係者を記載する。また定常時及び障害発生時の体制、保守業務の改善活動を推進するための体制をそれぞれ記載する。 ・調達仕様書で示した作業の実施体制に関する事項を基に、提案書等の内容を反映する。 |
| ウ スケジュールに関する事項 | 当該情報システムの保守作業スケジュールを明確にするため、定期的に実施する各保守作業のスケジュールを記載する。 ・プロジェクト計画書の実施計画、調達仕様書の作業スケジュールを基に、提案書等の内容、保守事業者からの情報提供等を踏まえ、保守業務のスケジュールを記載する。 ・連携する他の情報システムや統合的に運用を行う他の情報システムがある場合には、それらシステムにおける作業のうち、当該情報システムに関係する作業やそのスケジュールについても記載する。 ・運用スケジュールに可能な限り影響を与えないよう、保守作業スケジュールを計画することが望ましい。 |
| エ 成果物に関する事項 | 当該情報システムの保守業務の成果物を明確にするため、成果物の内容や成果物を作成する事業者、成果物の納入期限、納入部数、納入方法、納入場所等について記載する。 ・調達仕様書で示した成果物に関する記載事項を基に、提案書等の内容、保守事業者からの情報提供等も踏まえ、保守業務における成果物を定義する。 |
| オ 保守形態、保守環境等 | 当該情報システムの保守の方法や利用する環境を明確にすることにより、適切な保守体制を構築するため、保守において採用する保守形態(オンサイト、リモート等)、保守対象となるアプリケーションの改修を行う開発環境、動作確認のためのテスト環境、アップデートファイル(セキュリティパッチ等)の適用前テスト等を行う検証環境等について記載する。 ・検証環境の運用に関して運用事業者との役割分担について明示する。 ・保守事業者を調達した際の調達仕様書、要件定義書の保守に関する事項を基に記載する。 |
| カ その他 | 「ア 作業概要」から「オ 保守形態等」までに記載した事項以外に、保守を行う上で留意すべき前提条件、保守の時間や予算又は品質等に関する制約条件がある場合に記載する。 |
表9-5 保守計画書の記載内容
(3)「保守計画はシステムプロファイルに応じた保守水準となるよう留意する」
「システムプロファイル」とは、内閣官房が示す要領に基づいて定義する政府情報システムの信頼性の水準を指す。4段階のレベルから構成されるものであり、レベルⅣが最も高い信頼性が求められる政府情報システムとなる。
「システムプロファイルに応じた保守水準」とは、情報システムに求められるシステムプロファイルのレベルに合わせた保守のレベルを指す。具体的には、システムプロファイルのレベルを踏まえて、情報システム故障時における影響度やリスクの受容・予防・回避判断等、保守レベルが適切であるかを確認する。
当該情報システムに求められるシステムプロファイルのレベルと、保守のレベルが不一致である場合、過度な作業に伴うコストの増加や、過小な作業見積によるサービスレベルの低下を引き起こすおそれがあるため、適正なレベルとなるよう確認する必要がある。
(参考:標準ガイドライン 別紙5 システムプロファイルに係る定義について)
5) 保守実施要領の作成と確定
PJMOは、保守実施要領をプロジェクト計画書、運用実施要領及び保守計画書と整合性を確保しつつ作成し、原則として次のアからクまでに掲げる事項について記載する (1) ものとする。 ア コミュニケーション管理 保守に携わる事業者、関係事業者等との合意形成に関する手続、連絡調整に関する方法、保守事業者が参加すべき会議・開催頻度・議事録等の管理等について記載する。特に、PJMOと保守に携わる事業者の双方において作業内容及び手順に関する認識に相違が生じないよう、PJMOが議事録の正確性を確認し、修正することができること及びその手順を盛り込むものとする。 イ 体制管理 保守に携わる事業者における作業体制の管理手法等について記載する。 ウ 作業管理 保守の作業及びその品質の管理手法等について記載する。 エ リスク管理 保守における作業を阻害する可能性のあるリスクを適切に管理するため、リスク認識の手法、リスクの管理手法、顕在時の対応手順等について記載する。 オ 課題管理 保守において解決すべき問題について、発生時の対応手順、管理手法等について記載する。 カ システム構成管理 保守における情報システムの構成(ハードウェア、ソフトウェア製品、アプリケーションプログラム、ネットワーク、外部サービス、施設・区域、公開ドメイン等)の管理手法等について記載する。 キ 変更管理 保守により発生する変更内容について、管理対象、変更手順、管理手法等について記載する。 ク 情報セキュリティ対策 保守における情報漏えい対策等について記載する。 |
1. 趣旨
「第9章1.4)運用実施要領の案の作成と確定」で示した運用実施要領と同様の趣旨で、保守業務に関する保守実施要領を作成する必要がある。
また、保守業務を管理する上での具体的な方法等を示した作業手順書の作成対象例を次に示す。
・定期保守・点検手順
・障害対策マニュアル
PJMOは、保守実施要領及び作業手順書を作成し、作成後は当該情報システムの保守に携わる事業者に加えて、関連が深い他システムの関係事業者等にも確認を求める。特に、定期的な会議における報告書については、項目及び報告内容について事業者と合意した上で、それに基づいた報告・確認を行うことが重要である。
2. 解説(1)「PJMOは、保守実施要領をプロジェクト計画書、運用実施要領及び保守計画書と整合性を確保しつつ作成し、原則として次のアからクまでに掲げる事項について記載する」
保守実施要領の記載事項を、表9-6に示す。
| 定義する事項 | 記載理由・記載事項 |
|---|---|
| ア コミュニケーション管理 | PJMOと保守に携わる事業者、関係事業者等との間で保守作業の実施状況や課題等について適切に情報を共有し、相互の認識に差異が生じないようにするため、プロジェクト管理要領の「コミュニケーション管理」も踏まえて、保守に携わる事業者、関係事業者等との合意形成に関する手続、連絡調整に関する方法や手順、頻度、議事録の管理等について記載する。 ・議事録については、PJMOが議事録の正確性を確認し、修正することができる旨の記載に加えて、議事録の内容を確認し確定するプロセスについても記載する。 ・保守事業者が参加すべき会議体やその開催頻度、主催者、参加者、議事録の作成主体等を記載する。 |
| イ 体制管理 | 保守に携わる事業者が保守業務を行う上で適切な作業体制を組成し、その体制を変更する際に、保守業務に影響を及ぼすことなく円滑に行うため、作業体制の説明及び作業要員変更時の報告・承認方法を記載する。 ・作業体制の記載に当たっては、チーム及び作業要員数、作業要員に求める資格要件を記載し、各チームが適正な作業体制を確保できていることが確認できるようにする。 ・保守業務を行う上での作業体制の変更時の報告・承認方法の記載に当たっては、実施のタイミング、報告方法(報告内容、報告先、様式)、承認方法(承認時の確認事項、承認プロセス、承認結果の通知方法、様式等)等を記載し、作業要員の変更が、迅速で、かつ、業務遂行に悪影響を与えない形で実施でき、常に最新の作業体制情報(作業要員に求める資格要件の充足状況を含む。)を確認できるようにする。 |
| ウ 作業管理 | PJMOが、保守事業者の実施する保守作業の実績や品質を適切に管理するため、保守事業者から定期的に報告を受け、管理する方法について記載する。 ・保守状況の月次報告において、保守作業実績やサービスレベルの達成状況等の保守事業者から報告を求める内容についても記載する。 |
| エ リスク管理 | 保守において目標達成等に悪影響を与える可能性のあるリスクが顕在化した際に適切かつ迅速な対応が取れるようにするため、リスクの認識手法や管理手法、顕在時の対応手順等について記載する。 ・リスク管理自体は「第2章1.2)エ リスク管理」の記載事項に従い、プロジェクト全体で一元的に実施するため、本項目では、保守事業者が認識するリスクの基準や記録の方法、どのような手順で報告するかを中心に記載する。 ・リスク管理における運用事業者、保守事業者等の役割分担を明確にするため、リスク管理のフローを記載する。 |
| オ 課題管理 | 保守業務を遂行する上で発生した課題に対して、迅速かつ適切に対応するため、課題の管理手法や課題発生時の対応手順等について記載する。 ・課題管理における運用事業者、保守事業者等の役割分担を明確にするため、課題管理のフローを記載する。 ・保守事業者が問題やインシデントを検知した際には、問題やインシデントの内容等の情報について迅速に運用事業者に対して報告する旨を記載する。 ・問題やインシデントの管理における運用事業者、保守事業者等の役割分担を明確にするため、問題・インシデント管理のフローも記載する。 ・課題管理自体は「第2章1.2)オ 課題管理」の記載事項に従い、プロジェクト全体で一元的に実施するため、本項目では、運用事業者が認識する課題の基準や記録の方法、どのような手順で課題を報告するかを中心に記載する。 |
| カ システム構成管理 | 情報システムを構成する資産の情報を常に最新状態に維持し、情報システムの変更作業の実施における影響範囲の特定や障害発生時における影響分析、原因分析等の様々な場面で活用できるようにするため、保守事業者に対して情報システムの構成を変更した際の報告手順や報告様式について記載する。 ・保守事業者が情報システムの構成を変更した際には、変更内容等の情報について迅速に運用事業者に対して報告する旨を記載する。 ・システム構成管理における運用事業者、保守事業者等の役割分担を明確にするため、システム構成管理のフローを記載する。 |
| キ 変更管理 | 保守業務で発生した変更事項の重要性や発生原因を認識し、対応の要否について正しく判断するために、その変更内容を確実に記録し、管理する方法について記載する。 ・変更管理の対象となるものは、承認等に基づき確定した状態にあるものであり、承認前等で内容が流動的であるものは含めない点に留意する。 ・ソフトウェアの保守により変更が発生する場合には、運用業務における変更管理(本番環境への適用履歴管理)と保守業務における変更管理(修正プログラムによるソフトウェアの変更履歴管理)は個別に行うが、それぞれの事業者における変更内容は一意に特定できる情報により紐付けて確認できる必要がある。そのため、ソフトウェアの保守事業者が変更内容を運用事業者へ報告する際の手順や様式等についても記載する。 ・変更管理における運用事業者、保守事業者等の役割分担を明確にするため、変更管理のフローを記載する。 ・変更管理自体は「第3編第2章1.2)カ 変更管理」の記載事項に従い、プロジェクト全体で一元的に実施するため、本項目では、保守事業者が認識する変更事項の基準や記録の方法、どのような手順で変更事項を報告するかを中心に記載する。 |
| ク 情報セキュリティ対策 | 要件定義の情報セキュリティに関する事項及び調達仕様書における情報セキュリティに係る内容に基づき、情報セキュリティ確保のための管理項目やその内容について記載する。 ・各管理項目における具体的な手順等は、作業手順書として別途作成する。 ・脆弱性改善のためのソフトウェア更新の間隔等、定量的に記載できるものは定量的に記載することが望ましい。 ・情報セキュリティ対策に関する事項は機密事項に該当する可能性が高いため、特に取扱いには注意する必要がある。 |
表9-6 保守実施要領の記載内容
6) 大規模災害等の情報システム運用継続計画書の作成と確定
PJMOは、各府省の業務継続計画に基づき、情報システム運用継続計画を策定するものとする。 情報システム運用継続計画は、システムプロファイルに応じた水準となるよう留意する (1) 。また、災害の発生時に、情報システム運用継続計画に定めた手順を確実に実行できるように訓練や教育活動等を定期的に実施すること。 |
1. 趣旨
情報システムの運用の継続性について、障害、災害等による情報システムの問題発生時に求められる必要最低限の機能、その目標復旧時間等について「第5章2.1)ウ 非機能要件の定義」の継続性に関する事項として定めている。
このため、各府省の業務継続計画とともに、実行可能な大規模災害等の情報システム運用継続計画書を作成し、関係機関等と調整の上、確定する。
※参考:「中央省庁における情報システム運用継続計画ガイドライン」及び関連資料https://www.nisc.go.jp/active/general/itbcp-guideline.html
2. 解説(1)「情報システム運用継続計画は、システムプロファイルに応じた水準となるよう留意する」
「情報システム継続計画」とは、各府省で策定された業務継続計画を踏まえて情報システムごとに策定する、情報システムの運用継続計画のことを指す。
「システムプロファイルに応じた水準」とは、情報システムに求められるシステムプロファイルのレベルに合わせた情報システム継続計画になっていることを指す。具体的には、「第5章2.1)ウ 非機能要件の定義」の継続性に関する事項に基づき情報システム運用継続計画を策定するときに、当該情報システムのシステムプロファイルのレベルと同一レベルであるかを確認する。
システムプロファイルのレベルによって、情報システム継続計画に求められる水準が大きく異なるため、情報システム継続計画を策定する前提条件として、事前に確認することが重要である。
2. 運用及び保守の実施
PJMOは、運用及び保守を行うときは、少なくとも次のとおり実施するものとする。なお、保守を実施することにより、情報システムを構成するソフトウェア製品、ハードウェア等を改修又は更改する場合には、設計書の変更管理等、設計・開発時と同様の取組を行うものとする。 |
1. 趣旨
情報システムの本番移行が完了しても、それで全ての整備作業が終了するわけではなく、プロジェクトの目的・目標を確実に達成するためには、情報システムの稼働状態や品質等を安定的かつ効率的に維持するとともに、目標や指標に対する実績値の評価を行い、継続的な改善を行っていくことが必要となる。また、障害発生時や大規模災害時等の不測の事態に備え、リスクや課題を管理し、発生時には計画に則って適切な対処を行えるように準備することも必要である。
このため、PJMOは、運用・保守事業者との定例会議等を通じ、定期的に作業状況及び目標や指標の達成状況等を把握・分析し、継続的な改善を行えるよう問題を管理する。また、障害発生時には、事前に定めた計画にしたがって、運用・保守事業者と協働して必要な対応を行い、影響を最小限にとどめるよう努めるとともに、大規模災害等に対しても、定期的に訓練等を行うことで発災時に円滑かつ迅速な対応ができるように備える。
なお、運用及び保守作業を事業者に委託せず職員自身で実施する場合においても、実施すべき事項や注意すべき内容は同じである。
1) 運用の実施
PJMOは、運用を行うときは、少なくとも次のア及びイのとおり実施するものとする。 ア 定常時対応 PJMOは、運用事業者、保守事業者等に対し、運用計画書及び保守計画書に基づいた作業を求め、次のとおり作業を行うものとする。 a) 作業実績把握と確認 PJMOは、 運用事業者等に対し、定期的(毎月等)に会議(以下「定期運用会議」という。)を開催し (1) 、当該月の作業実績等をまとめて報告するよう求め、少なくとも次の[1]から[9]までに掲げる事項について、記載内容を事前に合意する (2) ものとする。 確認により把握された問題は、「1.3)オ 課題管理」で定めた手順に従って、対応する (3) ものとする。 [1] 成果指標とサービスレベルの達成状況 [2] 情報システムの利用実績状況 [3] 作業の計画と実績状況 [4] 体制の計画と要員の稼働状況 [5] 障害やインシデントの発生と対応状況 [6] 情報システムの利用者サポートの発生状況、教育・訓練状況 [7] リスク・課題の発生と対応状況 [8] 情報システムの稼働監視状況 [9] 情報システムの構成管理状況 b) 情報共有 PJMOは、 運用事業者、保守事業者等に対し、業務の運営状況、業務量や利用者の増減等の今後の見通しを提示するとともに、情報システムの運用上のリスク等について確認し、情報を共有の上、リスク対応等が必要な場合には対応策を検討する (4) ものとする。 イ 障害発生時対応 a) 対応 PJMOは、 情報システムについて障害が発生し、又は発生するおそれがあるときは、運用及び保守における実施手順等に基づき、運用事業者、保守事業者等の作業分担を明らかにし、対応を行う (5) ものとする。また、関係機関、情報システムの利用者等に発生事象内容と対応策を連絡するものとする。同様の事象が将来にわたって発生する可能性がある場合には、運用事業者等に対し、事象の分析及びその対応策の提出を求め、必要な措置を講ずるものとする。 b) 障害報告 PJMOは、運用事業者、保守事業者等から障害発生の報告を受け、情報システムの安定的な運用が困難になるおそれがあると認められる場合及び他の情報システムの運用に悪影響が生じるおそれがあると認められる場合には、PMO等へ報告するものとし、 併せて府省CIO補佐官等の支援や助言を受けて、必要な対策を講ずる(6) ものとする。 なお、情報漏えい等の情報セキュリティインシデントが発生した場合は、自府省の情報セキュリティポリシー等により規定されたルールに基づき、対応するものとする。 |
1. 趣旨
プロジェクトの目標を確実に達成するためには、サービス・業務を支える情報システムを安定的に運用し、情報システムの稼働状態を維持し続けることが必要不可欠である。また、運用期間中、運用事業者との間に継続的な契約が結ばれ、経費が一定であれば、運用管理上の問題はないということではなく、日々の運用業務の実績について的確に把握した上で、運用コストの削減や運用業務におけるリスク・課題の解消等を実施し、運用業務の改善に努めることが重要となる。
このため、PJMOは、定期的に運用状況を把握し、安定した運用業務を運営するとともに、より安定的かつ効率的な運用業務となるよう、運用業務の実績を把握・分析し、問題を管理する。
現状の把握・分析に当たっては、サンプル調査を行い、平均値を求めることで運用実績の全体像を把握したとはならず、一つ一つの実績を丹念に把握・分析し、適切な見直しを行うことが重要である。
2. 解説ア 定常時対応
運用業務における定常時対応とは、情報システムの稼働状態を維持するために必要となる定常的に行う作業であり、監視作業、情報システムの維持作業、ユーザーサポート業務に大別される。詳細は、表9-1を参照のこと。
(1)「運用事業者等に対し、定期的(毎月等)に会議(以下「定期運用会議」という。)を開催し」
「定期運用会議」とは、PJMOが、主に運用事業者や保守事業者等の運用及び保守の関係者を招集し、運用及び保守の実績把握や情報共有等を行うための定期的な会議を指す。
定期運用会議は、運用実施要領及び保守実施要領のコミュニケーション管理にて定めた間隔で定期的に開催し、運用事業者及び保守事業者等が、運用計画及び保守計画にて事前に合意した報告書の項目に従って、作業実績等を報告し、その内容の確認を行う。報告書のフォーマットは、実績の集計や経過の正確な把握ができるよう、運用と保守でできる限り統一し、一貫した形式となるように計画時点で定める。
(2)「当該月の作業実績等をまとめて報告するよう求め、少なくとも次の[1]から[9]までに掲げる事項について、記載内容を事前に合意する」
「次の[1]から[9]までに掲げる事項について、記載内容を事前に合意する」とは、PJMOが、報告対象期間の運用作業実績等について、少なくとも次に示す事項について確認を行うことを指す。確認事項について、要求した水準に達していない、改善が必要と判断される等の場合には、運用事業者に対して、その原因の分析及び対応策についての提案を求める。原因分析及び対応策の提案に当たっては、責任分界を踏まえて、場合によっては保守事業者に対応を求める等、対応者や対応範囲等を明確にするとともに、運用業務の改善や運用計画の見直しを検討する。
| 確認事項 | 確認観点の例 |
|---|---|
| [1] 成果指標とサービスレベルの達成状況 | プロジェクト目標、「第4章5.5) 管理すべき指標」、「第5章2.1)ウ
非機能要件の定義」の規模、性能、信頼性等に定められたサービスレベルを評価するために必要となる実績のうち、運用計画の作業概要にて定めた項目について、実績値を収集し、状況を確認する。 ・ここで収集した実績値は、「第8章2.1) モニタリングの実施及び分析」で分析し、改善を検討する。 |
| [2] 情報システムの利用実績状況 | 運用計画の作業概要にて定めた項目に従い、情報システムの機能や時間当たりの利用者数、アクセス数、申請数等を確認する。 ・ここで収集した実績値は、「[1]成果指標とサービスレベルの達成状況」の改善の検討材料とするとともに、ピーク性や傾向を分析し、運用体制や作業内容の見直しや改善に活用する。 |
| [3] 作業の計画と実績状況 | 当該月に実施した運用作業についての作業項目、実施内容、回数、作業工数等の予定と実績、及び、次月以降に予定している運用作業についての作業項目、実施内容、見込み量等を確認する。 ・これらを基に、次月以降の予定作業に漏れがないかを確認するとともに、作業実績に基づく作業効率等から、ピーク特性等も踏まえて次月以降の運用作業を安定的に行えるかを評価する。 ・要求する水準を満たしていない場合は改善を検討する。 |
| [4] 体制の計画と要員の稼働状況 | 当該月の運用実施体制及び担当者ごとの稼働状況や稼働工数、次月以降の運用体制及び予定工数を確認する。 ピーク性等を踏まえ、次月以降に安定した運用作業を行えるかを評価するとともに、稼働工数等は蓄積し、次年度以降の運用体制の検討等に活用する。 |
| [5] 障害やインシデントの発生と対応状況 | 当該月に発生した障害やインシデントの内容、及び、累積している障害やインシデントの対応状況を確認する。 ・障害やインシデントが大量に発生している場合は、運用作業が過多とならないよう、作業工数や運用体制を考慮して調整を行う。 ・発生した障害やインシデントに対しては、運用の観点で、報告や暫定対処等の作業が、要求する水準を満たしていたかどうかを評価し、改善する。 |
| [6] 情報システムの利用者サポートの発生状況、教育・訓練状況 | 運用計画の作業概要で定められたサポート業務について、当該月に発生したサポート業務の件数や内容、回答状況等、教育・訓練の実績や予定等を確認する。 サポート業務が要求した水準に達していない場合は、改善を検討する。 教育・訓練については利用者のアンケート等を集計し、改善に役立てることが望ましい。 |
| [7] リスク・課題の発生と対応状況 | 運用実施要領のリスク管理及び課題管理に従って、新たに発生した課題、次月以降に想定されるリスクの確認や、累積している課題の対応状況の確認、既知のリスクに対する再評価等を行う。 |
| [8] 情報システムの稼働監視状況 | 情報システムに対するリリース作業や変更作業の予実、「3) 情報システムの現況確認」に従った現況確認の結果を確認する。 ・運用計画の作業概要及び附属文書である「監視項目」の目標値を基に、監視項目ごとにその監視状況を確認する。 ・監視項目について目標が達成されていない場合は、その原因の分析及び対応策を検討する。 ・データ量や処理量等は、傾向を分析して予防的な対策を検討する。 |
| [9] 情報システムの構成管理状況 | 情報システムに関するシステム構成(ハードウェア、ソフトウェア、クラウドサービス、ネットワーク、データセンター)の現在の状況を正確に把握し、ライセンスや保守契約期限、更新手続の必要性を確認する。 |
表9-7 定期運用会議における運用作業の確認観点の例
(3)「確認により把握された問題は、「1.3)オ 課題管理 」で定めた手順に従って、対応する」
「「1.3)オ 課題管理 」で定めた手順に従って、対応する」とは、PJMOは、運用事業者より報告された作業実績を確認し、その内容について問題点や課題等を整理し、「 1.3)オ 課題管理」で定められた手順に従って、課題解決又は改善活動を実施することを指す。
なお、運用作業等の変更で対応可能な内容に関しては、「1.3)キ 変更管理 」で定めた手順に従って対応するが、その範囲を超えると想定されるときには、「第8章2.6)業務運営上の課題・要望の管理」にて、提供するサービス・業務全体を俯瞰した検討を行う。
(4)「運用事業者、保守事業者等に対し、業務の運営状況、業務量や利用者の増減等の今後の見通しを提示するとともに、情報システムの運用上のリスク等について確認し、情報を共有の上、リスク対応等が必要な場合には対応策を検討する」
「業務の運営状況、業務の運営状況、業務量や利用者の増減等の今後の見通し」とは、サービス・業務の目標達成状況、業務実施における課題、法制度の改正、業務の実施方法や体制の変更等、情報システムの運用に影響を与える又は今後影響を与え得る事項のことを指す。
「運用上のリスク等について確認する」とは、業務の運営状況や今後の見通し等により、発生し得る新たなリスクや課題の確認だけではなく、既に認識しているリスクや課題の評価や対応方針等を見直すことを指す。
PJMOは、運用事業者や保守事業者等に対してPJMO側が知り得る情報を提示し、運用事業者や保守事業者等は、PJMOから提示された情報を基に、リスクや課題の評価、対応方針等に変更が発生する可能性について提案する。運用事業者や保守事業者からの提案内容については、プロジェクト管理要領のリスク管理及び課題管理の記載事項に従い、適切に管理する。
リスクや課題への対応等が必要と判断される場合には、運用事業者や保守事業者と相談しながら、対応策を検討し、運用業務の改善や運用計画の見直しを行う。
イ 障害発生時対応
運用業務における障害発生時対応とは、発生した障害の記録や切り分け等の管理、障害に係る復旧作業やリリース作業を指す。障害対応については、一般的には表9-1で示すような障害発生時対応作業が含まれるが、職員、運用事業者及び保守事業者との役割や作業範囲等が曖昧にならないよう、「1.運用開始前の準備」の計画書及び実施要領にて明確にする。
(5)「情報システムについて障害が発生し、又は発生するおそれがあるときは、運用及び保守における実施手順等に基づき、運用事業者、保守事業者等の作業分担を明らかにし、対応を行う」
「運用及び保守における実施手順等」とは、設計・開発工程において作成した障害発生時対応の実施手順(「第7章4.5) 運用・保守の設計」)、運用計画の作業体制に関する事項、運用実施要領のコミュニケーション管理において定めたインシデント発生時の対応体制、連絡手段、報告要領及び具体的な作業手順を定めた障害対策マニュアルのことを指す。
PJMOは、運用事業者等の作業分担を明確にした上で、障害対策マニュアルに従い対応を行う。
情報システムの運用・保守中に発生した障害については、運用計画及び保守計画の作業管理にて定める管理方法に従い管理する。
想定外のリスクが発見された場合でプロジェクト全体として管理すべきものと判断される場合は、運用実施要領及び保守実施要領のリスク管理の記載事項に従い対応する。また、発生した障害のうち恒久的な対策が必要なものや今後予見される障害のうち現時点から対策が必要なものであり、プロジェクト全体として管理すべきものと判断される場合は、運用実施要領及び保守実施要領の課題管理の記載事項に従い対応する。
(6)「併せて府省CIO補佐官等の支援や助言を受けて、必要な対策を講ずる」
「府省CIO補佐官等」とは、自府省を担当するCIO補佐官以外に、他府省のCIO補佐官、外部組織の有識者や専門的な知見を持つ職員を含むことを指す。
2) 保守の実施
PJMOは、保守を行うときは、少なくとも次のア及びイのとおり実施するものとする。また、保守について、保守契約に基づく作業と契約不適合責任に基づく作業とを明確に区別して管理するものとする。その際、作業内容、作業手順等について事前に確認し、業務への影響等について把握の上、保守の実施の時期について判断を行うものとする。 ア 定常時対応 PJMOは、定期運用会議に保守事業者の参加を求めるとともに、 保守事業者に対し、当該月の作業実績等をまとめて報告するよう求め、少なくとも次の[1]から[6]までに掲げる事項を確認する (1) ものとする。 [1] 成果指標とサービスレベルの達成状況 [2] 作業の計画と実績状況 [3] 体制の計画と要員の稼働状況 [4] 障害やインシデントの発生と対応状況 [5] 情報システムの稼働監視状況 [6] リスク・課題の把握・対応状況 イ 障害発生時対応 PJMOは、保守事業者が担当する案件についても、「1)イ 障害発生時対応」に規定する内容と同様の取組を行うものとする。 |
1. 趣旨
情報システムを構築した後、その情報システムの機能や品質を維持し、正常かつ安全に稼働させるためには、ソフトウェア及びハードウェア等の定期的な保守、障害発生時の対応等を適切に実施していく必要がある。一方で、保守作業の実施に際しては、十分な準備を行い、当該作業の重要性とサービス・業務への影響を鑑みて、実施していくことが必要となる。
このため、PJMOは、運用業務と同様に、定期的に保守作業の状況を把握し、関係者や運用事業者と調整し、安定した保守業務を運営する。また、保守業務においても、ある一定の運用期間中、保守経費が一定であれば問題はないということではなく、より効率的な保守業務となるよう、定期的に保守業務の実績を一つ一つ丹念に把握・分析し、問題を管理する。
なお、保守作業においても、ハードウェア、ソフトウェア製品、アプリケーション等の保守対象や契約形態によって実施する作業内容や作業範囲が異なることに留意し、運用業務との作業分担や責任範囲を明確にした上で、保守作業を行う。
2. 解説ア 定常時対応
保守業務における定常時作業とは、情報システムの機能や品質を維持し、設計された仕様どおり動作させることを目的として定常的に行う作業(ハードウェアやソフトウェア製品に対する点検、交換、更新、サポート業務等)を指す。詳細は、表9-2を参照のこと。
(1)「保守事業者に対し、当該月の作業実績等をまとめて報告するよう求め、少なくとも次の[1]から[6]までに掲げる事項を確認する」
「作業実績等をまとめて報告する」とは、「1.6)ウ 作業管理」で定めた内容に基づき、保守事業者が、定期運用会議等で、PJMOに報告することをいう。
「次の[1]から[6]までに掲げる事項を確認する」とは、PJMOが、報告対象期間の保守作業実績等において、少なくとも次に示す事項について確認を行うことを指す。確認事項について、要求した水準に達していない、改善が必要と判断される等の場合には、PJMOは保守事業者に対し、その原因の分析及び対応策について、提案を求める。また、運用業務の改善や運用計画の見直しを検討する。
| 確認事項 | 確認観点の例 |
|---|---|
| [1] 成果指標とサービスレベルの達成状況 | プロジェクト目標、「第4章5.5) 管理すべき指標」、「第5章2.1)ウ
非機能要件の定義」の規模、性能、信頼性等に定められたサービスレベルを評価するために必要となる実績のうち、保守計画の作業概要にて収集を定められた項目に対して、状況を確認する。 ・ここで収集した実績値は、「第8章2.モニタリングの実施及び分析」で分析し、改善を検討する。 |
| [2] 作業の計画と実績状況 | 当該月に実施した保守作業についての作業項目、実施内容、作業工数等の予定と実績、及び、次月以降に予定している保守作業についての作業項目、実施内容、見込み工数等を確認する。 ・これらを基に、次月以降の予定作業に漏れがないかを確認する。 ・作業効率等が、要求する水準を満たしていない場合は改善を検討する。 |
| [3] 体制の計画と稼働状況 | 当該月の保守実施体制及び担当者ごとの稼働状況や稼働工数、次月以降の保守体制及び予定工数を確認する。 不具合やインシデント対応の対応状況等を踏まえ、次月以降に安定した保守作業を行えるかを評価するとともに、稼働工数等は蓄積し、次年度以降の保守体制の検討等に活用する。 |
| [4] 障害やインシデントの発生と対応状況 | 当該月に発生した障害やインシデントの内容、及び、累積している障害やインシデントの対応状況を確認する。 ・発生した障害やインシデントに対しては、不具合等に対する直接的な対処だけではなく、類似不具合の調査、根本的な原因、テストで摘出できなかった原因等の分析と対策の検討を求め、その妥当性を確認し、品質の維持に努める。 |
| [5] 情報システムの構成と稼働監視状況 | ハードウェアに対する点検の有無や新たなソフトウェアアップデートの有無や適用の要否、アップデート適用の検証状況や実施予定等を確認する。 ・セキュリティに関するソフトウェアのアップデートについては、緊急性や重要性、影響度等を踏まえて、対応の優先順位を決定する。 |
| [6] リスク・課題の発生と対応状況 | 保守実施要領のリスク管理及び課題管理に従って、新たに発生した課題、次月以降に想定されるリスクの確認や、累積している課題の対応状況の確認、既知のリスクに対する再評価等を行う。 |
表9-8 定期運用会議における保守作業の確認観点の例
3) 情報システムの現況確認
PJMOは、ODB等の格納データの内容が実際の情報システムの状況を反映したものとなるよう、運用計画及び保守計画に基づき、毎年度末までに、運用事業者、保守事業者等とともに、 ODB等の格納データと情報システムの現況との突合・確認を行う(1) 。これらの取組については、PJMOは、PMOからの依頼に応じ、具体の取組内容を報告するものとする。 PJMOは、これらの作業を円滑に進めるために、情報システムの構成に係るハードウェア製品及びソフトウェア製品(パッケージソフト、ミドルウェア等)の保守の実施において、各製品の構成に変更が生じるときには、運用事業者等からその旨の報告を受けるものとする。なお、運用事業者等に対し、管理対象の製品に関するライセンス情報を常に正確に把握し、変更の必要性が発生したときには、速やかに定期運用会議等で報告するよう求めるものとする。 なお、次の[1]から[4]までに掲げる事項が生じた場合には、それぞれに定めるとおりの対応を行うものとする。 [1] ODB等の格納データと情報システムの現況との間に相違があった場合(2) ODB等の格納データの更新及び再発防止策の検討・実施 [2] ライセンス許諾条件違反(3) ライセンス許諾条件への適合等 [3] サポート切れ(4) サポート切れの影響及び今後の対応策の検討等 [4] ハードウェア、ソフトウェア製品等の利用を停止したとき ODB等にその旨の登録(ただし、その利用を一旦停止し、その後、再利用することが適当であるもの(以下「再利用候補物」という。)に限る。なお、利用の停止から再利用の実施までの手続は、会計担当部門の協力を得て、会計法令等に基づく手続の実施、再利用候補物の保管場所の確保等が必要となることに留意すること。) |
1. 趣旨
当該情報システムの現状や課題等を正確に把握し、将来、関連又は類似する情報システムの整備や管理において、それらの情報を活用できるようにするためには、ODB等の格納データに登録漏れや誤りがないことが必要となる。
このため、PJMOは、運用事業者、保守事業者とともに、当該情報システムに関するODB等の格納データの内容が実際の情報システムの状況を正確に反映しているか否かを確認し、ODB等のデータと実際の状況等に差異が確認された等の場合には、適切な対応を行う必要がある。
2. 解説(1)「ODB等の格納データと情報システムの現況との突合・確認を行う」
「ODB等」とは、ODBに登録している情報又は各府省でODB以外に独自で情報システムの構成管理をしている場合は、その情報を利用することを指す。
「突合・確認」とは、ODB等に登録された資産を対象に、情報システムを構成している現況の環境と差異がないことを突き合わせて確認することをいう。
PJMOは、現況確認の対象資産、数量及び設置状況等を考慮し、現況確認の実施方法を決定する。現況確認の対象資産は、PC・サーバ等データの保存が行えるハードウェアを含め、対象資産の所在及び利用者情報、導入ソフトウェア情報についてODB等の情報と突合・確認する。なお、現況確認を行う際には、各対象資産の利用状況についても確認することが望ましい。
(2)「ODB等の格納データと情報システムの現況との間に相違があった場合」
「ODB等の格納データと情報システムの現況との間に相違があった場合」とは、ODB等の格納データと情報システムの現況を突き合わせた結果、一致していないことが判明した場合をいう。
現況と相違があったODB等の格納データについては、情報システムの現況を正確に反映したデータに更新する。ただし、現況と相違がない場合でも、利用状況を確認した結果、利用頻度が著しく低い資産等がある場合には、今後の利用方針を検討した上で、検討結果を登録しておくことが望ましい。特に、相違の発生理由が、ハードウェア、ソフトウェア製品等の利用を既に停止していたことであった場合には、ODB等にその旨の登録を行う。ただし、それらハードウェア、ソフトウェア製品の利用を一旦停止し、その後、再利用することが適当であると判断される場合に限り登録を行うことに留意する。
また、ODB等の格納データと情報システムの現況の間に相違が生じた理由を分析するとともに、再発を防止するための対策を講じ、常にODB等の格納データと情報システムの現況が一致するよう努めることとする。
(3)「ライセンス許諾条件違反」
「ライセンス許諾条件」とは、ソフトウェア製品等の提供元によって定められた、ある条件下において使用権を認めるという制限付きの契約のことを指す。
運用事業者は、ソフトウェアライセンス数を定期的に把握し、変更が発生したときは定期運用会議等でPJMOにその旨を報告する。PJMOは、報告を踏まえ、ライセンスの許諾条件に対する違反がないかを次に示す観点の例を参考に確認し、違反があった場合は、許諾条件に適合するよう、適切な対処を行う。
・ソフトウェアの利用目的に合致しているか
・ソフトウェアを利用できる人数(サーバソフトウェアの場合は、サーバの台数等)の上限を超えて利用していないか
・ソフトウェアの利用可能期間を超えて利用していないか
・(国外で利用する場合)ライセンスの購入国以外で利用に制限はないか
・第三者と共有する端末等を利用する場合に制限はないか
・複数の端末にソフトウェアをインストールする場合の条件等はないか 等
(4)「サポート切れ」
「サポート切れ」とは、ハードウェアやソフトウェア製品等の製造・販売元による、製品故障や予期しない動作をした際の問い合わせや改善対応の期間が終了することをいう。
ハードウェア、ソフトウェア製品のサポート切れについて、ベンダ等から通知される等で認識した製品等がサポート切れ後も継続利用される計画になっていることを確認した場合は、サポートのみ延長するか、製品等を新規購入するかを検討する。製品等を新規購入する際は、情報システム全体の更改が必要となる可能性もあるため、新規購入による影響範囲を十分調査・検討した上で対応方法を判断する必要がある。
また、サポート切れ後もやむを得ず一定期間利用を継続する場合は、次に示す観点について十分確認した上で対応方法を判断する必要がある。
・情報セキュリティリスク
・ハードウェア、ソフトウェア製品等の一方的な利用停止
・ハードウェア、ソフトウェア製品等の障害
4) 大規模災害等の発生時対応
PJMOは、大規模災害等の発災時において、情報システム運用継続計画に基づき、情報システムの運用及び保守を行うものとする。 なお、発災時における円滑かつ迅速な対応のため、 PJMOは、定常時から定期的に、発災時における運用及び保守の体制への移行について、訓練を行う (1) ものとする。 |
1. 趣旨
大規模災害等の発災時には、「1.7) 大規模災害等の情報システム運用継続計画書の案の作成と確定」で作成した情報システム運用継続計画に基づき、運用及び保守事業者、関係機関等と協力して対応を行い、サービス・業務の復旧や継続等を適切に行う必要がある。
このため、PJMOは、大規模災害等の発災時に円滑かつ迅速な対応ができるよう、定常時から定期的に情報システム運用継続計画において定めた教育訓練計画に基づき、訓練を実施する。また、訓練の実施結果については必ず結果の評価及び課題の整理等を行い、情報システム運用継続計画がより実行性のあるものとなるよう、計画の見直し等の改善を検討する。
なお、情報システムの運用中には、人事異動や体制の変更、業務手順の変更、情報システムの変更が発生することも多いため、これらの内容を踏まえて、定期的に計画を見直すことが重要である。また、他の地域で大規模災害等が発生した場合には、それら地域での対応状況等を参考にして、対応体制や対応手順等について計画の見直しを検討する。
2. 解説(1)「PJMOは、定常時から定期的に、発災時における運用及び保守の体制への移行について、訓練を行う」
「発災時における運用及び保守の体制への移行について、訓練を行う」とは、情報システム運用継続計画において定めた教育訓練計画に基づき、非常時の対応体制、対応手順等について、読み合わせによる確認や訓練シナリオに基づく訓練等を行い、計画行動に対する担当者の理解や対応力を向上することを指す。
3. 運用及び保守の改善
PJMOは、毎年度末までに、 当該年度の運用実績等から、作業効率や作業項目の過不足を評価・検証する (1) ものとする。この場合において、要求する水準を満たしていないときは、PJMOは、運用事業者、保守事業者等に対し、運用実施要領又は保守実施要領に沿った対応を求めるほか、当該事業者とともに運用実施要領又は保守実施要領の改善を検討するものとする。なお、評価・検証の結果、やむを得ず原契約の範囲に含まれない作業項目を追加する必要が生じた場合には、契約変更等を検討するものとする。 1) 運用計画及び保守計画の見直し PJMOは、毎年度末までに、当該年度の運用実績等を踏まえ、府省CIO補佐官等からの助言を受け、運用事業者、保守事業者等とともに、 運用計画及び保守計画の見直しを行う(2)ものとする。 PJMOは、 運用計画及び保守計画の見直しについて、その内容をプロジェクト計画書に反映する (3) とともに、必要な情報をODB等へ登録するものとする。 2) 運用作業の改善 PJMOは、運用の実施開始後に、運用をより円滑に実施するため、定期的に(例えば半年に一度)運用計画及び運用実施要領に基づき作成した運用作業の改善を行うものとする。 3) 保守作業の改善 PJMOは、保守の実施開始後に、保守をより円滑に実施するため、定期的に(例えば半年に一度)保守計画及び保守実施要領に基づき作成した保守作業の改善を行うものとする。 4) 大規模災害等の情報システム運用継続計画の見直し PJMOは、他の地域で大規模災害等が発生した場合には、それら地域での対応状況等を参考にして対応体制や対応手順等について、情報システム運用継続計画の見直しを行うものとする。 また、「2.4) 大規模災害等の発生時対応」での訓練の結果を受け、情報システム運用継続計画の見直しを行うものとする。 5) システム監査の指摘事項への対応 PJMOは、システム監査の指摘事項について、その内容を精査し、対応すべき課題及びリスクであると認識したものについてはその原因を分析し、費用対効果を踏まえて優先順位を付け、順次改善するものとする。 |
1. 趣旨
高い費用対効果でプロジェクト目標を達成するためには、定期運用会議等を通じて把握・分析した運用及び保守の状況や実績等に係る問題に対して、継続的な改善を行うことで、情報システムの運用及び保守をより安定的かつ効率的なものにしていくことが重要である。
このため、PJMOは、定期運用会議等で把握・分析した問題に対して、作業内容等が要求した水準を満たしていないものについては、事業者に原因分析及び対応策の提案を求めて改善を推進し、作業効率や作業項目の過不足等に係る問題は、事業者とともに、定期的に棚卸しを行い、計画の見直しも含めた改善の検討を行う。なお、改善を検討する際には、将来における、より良い運用及び保守を考えるという視点に立って、現状にとらわれないことが重要となる。運用及び保守の範囲での改善だけでは不十分と判断される場合は、「第8章2.6)業務運営上の課題・要望の管理」にてサービス・業務全体を俯瞰した検討を行う。
また、運用及び保守の改善を確実に行うためには、PJMOは、運用及び保守の現場確認を実施し、運用事業者や保守事業者等への確認により現場の状況を把握した上で、改善策等の検討を行うことも重要である。
2. 解説(1)「当該年度の運用実績等から、作業効率や作業項目の過不足を評価・検証する」
「作業効率や作業項目の過不足を評価・検証する」とは、表9-8に示す観点例のように、運用及び保守について状況別に原因を分析した上で評価し、効率化に向けた改善を検討し検証することをいう。
検討に当たっては、表面上の事象から結論を導くのではなく、定期運用会議等で報告を受けた詳細な実績値を用いて事実を詳細に捉えた上で、プロジェクト全体の効率化という視点から分析・評価・対策の検討を行うことが重要である。
| 状況 | 原因 | 改善観点の例 |
|---|---|---|
| 作業に必要以上の時間を要している。 | 作業手順が明文化されておらず、作業担当者により作業時間のばらつきが大きい。 | 運用実施要領又は保守実施要領を踏まえて、作業を担当する事業者に対して作業手順書の整備を要求する。 |
| 作業手順書に定められた手順が非効率である。 | 作業手順書に定められた事項のうち、時間を要している原因となる部分を特定し、作業手順の短縮を検討する。 | |
| 過度な情報セキュリティ管理により作業効率が低い。 | 情報セキュリティ管理に関する事項のうち、適正水準よりも過度となっている部分について、要件の緩和を検討する。 | |
| 作業に必要以上の人員を要している。 | 事業者への要求水準が過度となっている。 | 監視レベル(障害を検知してから復旧対応開始までの許容時間、障害から復旧するまでの許容時間等)の引下げを検討する。 問合せの受付時間を短縮したり、回答するまでの許容時間を長くしたりすることで、要員数の削減を検討する。 |
| 作業実績が想定を著しく下回っている。 | 事業者への委託範囲の見直しが行われていない。 | 業務の必要性を費用対効果の観点から精査し、委託範囲の縮小、スポット契約への変更等を検討する。 |
表9-9 運用及び保守の改善観点の例
(2)「運用計画及び保守計画の見直しを行う」
「運用計画及び保守計画の見直し」とは、作業効率や作業項目における過不足の評価・検証を踏まえ、運用及び保守の内容やスケジュール、作業の実施体制等を変更する必要があると判断したときに、運用計画やその附属文書、保守計画の見直しを検討することである。運用計画及び保守計画の見直しは、技術的に検討を要する事項を含むため、府省CIO補佐官等からの助言を受け、実現性等の検証を行う必要がある。
(3)「運用計画及び保守計画の見直しについて、その内容をプロジェクト計画書に反映する」
「その内容をプロジェクト計画書に反映する」とは、見直しを行った運用計画及び保守計画の内容を、プロジェクト計画書の体制、予算、スケジュール等に反映し、プロジェクト計画書と運用計画及び保守計画の間に不整合が発生しないように対応することである。
4. 運用及び保守の引継ぎ
PJMOは、次のとおり、 運用事業者、保守事業者等から必要な引継ぎ等が確実に行われるようにする (1) ものとする。 1) 情報システムの更改に関する情報提供 PJMOは、情報システムを更改するときは、運用事業者、保守事業者等に対し、次期の情報システムにおける要件定義又は設計・開発に携わる事業者に作業経緯、残存課題等に関する情報を提供させ、かつ、質疑応答等の必要な協力を求めるものとする。 2) 更改を伴わない事業者の交代に伴う引継ぎ PJMOは、情報システムの更改を伴わずに、運用事業者、保守事業者等に交代が生じるときは、交代前の事業者から交代後の事業者に対し、作業経緯、残存課題等について確実に引継ぎがなされるよう求めるものとする。 |
1. 趣旨
情報システムを更改する場合、又は、情報システムの更改を伴わずに運用事業者や保守事業者等に交代が生じる場合には、現行の運用事業者、保守事業者等から新たな事業者に対し、作業経緯や残存課題等の十分な引継ぎを行うことが重要である。
このため、PJMOは、現行の運用事業者、保守事業者に対して、引継書を作成させる等により確実な引継ぎを行わせると同時に、新たな事業者に対して、作業経緯や残存課題等についての習熟度の確認等により、確実に引継ぎが行われたか否かを確認する。
なお、引継ぎ前の事業者から、引継ぎ後の事業者へ直接引継ぎを行う場合においても、PJMOが必ず関与し、引継ぎ内容及び引継ぎが確実になされたかを把握することが重要である。
2. 解説(1)「運用事業者、保守事業者等から必要な引継ぎ等が確実に行われるようにする」
「必要な引継ぎ等」とは、現行の運用事業者及び保守事業者が、次期運用事業者及び保守事業者が円滑に運用・保守を実施できるよう、現在保持している情報を整理し、作業経緯や残存課題等も含めて引き継ぐ一連の作業を指す。
引継ぎ前の準備として、PJMO、現行の運用事業者及び保守事業者は、引継ぎ前に表9-9の例を参考に引き継ぐべき各種資料を整理し、それら資料の引継ぎ時期や引継ぎ方法も明確にした上で引継ぎ内容について合意する。現行の運用事業者及び保守事業者は、合意内容に基づき引継書の作成及び引継ぎに向けた準備を進める。
| 資料名 | 内容 |
|---|---|
| 引継ぎ書 | 引継ぎ資料一覧 課題、リスク引継ぎ事項 案件特性及びシステム特性に伴う個別引継ぎ事項 改善提案引継ぎ事項 等 |
| 情報システム関連資料 | 要件定義書 設計書 等 |
| 運用・保守関連資料 | 運用計画、保守計画 運用実施要領、保守実施要領 運用手順書、保守手順書、各種マニュアル、チェックリスト 各種管理簿 運用・保守報告書 等 |
| 構成管理情報 | ODB登録内容一覧 ライセンス関連情報※ ハードウェアとソフトウェアの関連図 等 ※システムに含まれる保有ライセンスに関する次の情報 ・ソフトウェアベンダ名 ・使用が許諾されるソフトウェア名 ・保有ライセンス数 ・ライセンス種別(デバイス、ユーザー、CPU等) ・その他ソフトウェアの使用許諾数を判断するために必要な情報 |
| 現物関連 | ソフトウェアパッケージ ライセンス証書 メディア類 等 |
表9-10 引継ぎ資料の例
引継ぎ作業においては、運用及び保守、情報システムに関連する各種資料等の引継ぎを確実に行うため、PJMOは、現行の運用事業者及び保守事業者から新たな事業者と一緒に説明を受ける等、必ず引継ぎ作業に関与することとし、自らも各種資料等の内容を把握するとともに、新たな事業者に対し、引継ぎが確実になされたかを把握することが重要である。引き継いだ資料は、決められた保管場所、保管方法により適切に管理する。
また、PJMOは、運用・保守の現場確認を実施し、現行の運用事業者及び保守事業者から新たな事業者と一緒に説明を受け、情報システムの設置状況や運用監視環境の現場を把握する。