FIXER cloud.config Division General Manager のいさおです。
全社経営計画、トレーニングプログラム、セールスプロセス、マイグレーションプロセス、ISMS、ITSMSなど、一通りプロセスができあがりましたのでいよいよ実践です。
読み解き
クライテリアに記載されていること自体はわかる。
だが、具体的に何をしたらよいかわからない。
え?プロセス作ったのに、何をしたらよいかわからないって??
そうなんです。
けっこう、実際に動こうとすると何をしていいのかわからないことがあるんです。
特別に、一つだけ例を紹介しましょう。
※Azure Expert MSP Checklist v1.6の内容なので、現在はこの限りではありません。
Azure Expert MSP Checklist v1.6のSection5の一つに「Asset Management」があります。
原文を見て、何したらいいかわかります?
原文はこれ。
Azure Expert Managed Service Provider(MSP)
Asset Management
Partner must implement formal methods and tools for Asset Management and asset tracking.
Required Evidence
Demonstration of Asset Management and tracking tools/databases and APIs, including evidence of an asset management strategy. Partner must also be able to produce a report (during the audit) of currently active assets for a given customer, share resource tagging strategy, demonstrate the ability to leverage custom resource tags to identify and track Azure resources used - including documentation of types of assets tracked, details for specific assets, and how these assets are integrated with internal asset management systems.
Audit Process and Criteria
Azure Expert MSP Program Guide
Valid Jan 2 – June 30, 2019 VERSION 1.6.1
ITSMSの資産管理でなんとかなるんじゃない?って思っていたら大間違い。
Azure Expert MSPですからね。
文中に「share resource tagging strategy」ってあるじゃないですか。
おぉっ。
リソースタグのルールを作って、部門だったりプロジェクトだったりのリソースを即判断できるようにしてあげて、お客様の要望にあわせてそのリソース情報を提示してあげること。
Azure Policyなんかも組み合わせて強制的にタグ付けしてあげてたりすると、漏れがなくなって更によいかもしれませんね。
というように読み解くのです。
抜け漏れ防止
先ほど例に挙げた「Asset Management」はまだわかりやすい方で、もっと読み解きが難しいクライテリアが全64個。
これを一つ一つ読み解き、抜け漏れなくその内容が合っているのか?合格レベルに達しているのか?ということを抜け漏れなく確認できるようにするためには、下図1のような「クライテリア チェックリスト」を作成するといいと思います。
合格レベルに達しているか否かを可視化するのは、とてもわかりやすいです。
下図2のように、担当別で習熟度を見えるようにしてみると更によいです。
このチェックを始めたのが監査の半年前くらいですね。
それからは、毎月内部監査している勢いでアウトプット→チェックの繰り返しです。
諦めず、根気よく。
です。
さて、地道にクライテリアにマッチした仕事の仕方に変わる兆しが見えてきたら、今度は監査の準備をしなければなりません。
ということで、次回は「監査とか審査の準備」です。