ITベンダーが考えるURSとは
URS(User Requirements Specification:ユーザ要求仕様書)
URS*は細かく記載すればそれだけ精度は高まりますが、ちょっとした仕様変更でもURS*から修正するのは、CSV*の観点から大変です。これまでのシステム開発ではウォーターフォール開発がメインでしたので、すべての仕様が順次決定されていきました。しかし、現在のシステム開発は、開発手法の変化やパッケージ・クラウド(SaaS、PaaS、IaaS)の活用など、ユーザーの利用直前に柔軟に内容変更できる環境が整ってきています。
こういうことも踏まえると、URSに遡って変更管理に載せて検討することは大変なことです。ですから、このページに記載されている内容をそのままURSにすればいいと言うことではありません。御社の中でセレクションしていただき、必要で十分なURSの作成のお役に立てればと思います。
弊社の推奨としては本当に必達(必要)な要件は記載して、開発途中に変更の可能性があるものは、幅をもたせて記載することが賢い方法ではないかと考えています。ただ、後々のDQ*でのTMX*で利用されますので、記載のメッシュは十分な検討が必要だと思います。また、ITベンダーにユーザー要件を伝えるだけであれば、RFPという方法もありますので、併用することをお勧めします。
*
URS(User Requirements Specification:ユーザ要求仕様書)
CSV(Computerized System Validation:コンピュータシステムバリデーション)
DQ(Design Qualification:設計時適格性評価)
TMX(Traceability matrix:トレーサビリティマトリクス)
RFP(Request for proposal:提案依頼書)
セキュリティ
①パスワード
パスワードの6桁以上であること。
パスワードに含む数字の個数が1つ以上であること。
パスワードに含むアルファベットの個数が1つ以上であること。
パスワードに含む大文字小文字を混在させること。
パスワードは設定回数までは再利用できないこと。
パスワードの有効期限は3ヶ月以内(90日)とする。
ユーザがパスワードを間違った際、3回以上の場合アカウントがロックすること。
ロックの解除は管理者のみが行えること。
一定時間(5分間)使用しない場合、自動的にシステムから切断されること。
パスワードは管理者でも把握できないようにする。
パスワード管理は管理者のみが行えること。
SLA
Service Level Agreement サービスレベルアグリーメント
- サービス時間
サービス時間 |サービスを提供する時間帯(設置やネツトワーク等の点検/保守のための計画停止時間の記述)
計画停止予定通知|定期的な保守停止に関する事前連絡確認(事前通知のタイミング/方法の記述を含む) - 可用性
サービス稼働率 |サービスを利用できる確率( (計画サービス時間一停止時間) ÷計画サービス時間)
ディザスタリカバリ |災害発生時のシステム復旧/サポート体制
重大障害時の代替手段|早期復旧が不可能な場合の代替措置
アップグレード方針 |バージョンアップ/変更管理/パッチ管理の方針 - 信頼性
平均復旧時間 |障害発生から修理完了までの平均時間(修理時間の和÷故障回数)
システム監視基準|システム監視基準(監視内容/監視・通知基準)の設定に基づく監視
障害通知プロセス|障害発生時の連絡プロセス(通知先/方法/ 経路)
障害通知時間 |異常検出後に指定された連絡先に通知するまでの時間
障害監視間隔 |障害インシデントを収集/集計する時間間隔
サービス提供状況の報告方法/間隔 サービス提供状況を報告する方法/時間間隔
ログの取得 |利用者に提供可能なログの種類(アクセスログ、操作ログ、エラーログ等)
データ保証の要件|バックアップ内容(回数、復旧方法など)、データ保管場所/形式、利用者のデータへのアクセス権など、利用者に所有権のあるデータの取扱方法
バックアップデータの保存期間|データをバックアップした媒体を保管する期限
データ消去の要件|サービス解約後の、データ消去の実施有無/ タイミング、保管媒体の破棄の実施有無/タイミング、及びデータ移行など、利用者に所有権のあるデータの消去方法 - サポート
サービス提供時間帯(障害対応) |障害対応時の問合せ受付業務を実施する時間帯
サービス提供時間帯(一般問合せ)|一般問合せ時の問合せ受付業務を実施する時間帯 - 性能基準
オンライン応答時間|オンライン処理の応答時間
パッチ処理時間 |バッチ処理(一括処理)の応答時間
カスタマイズ性 |カスタマイズが可能な事項、分量、仕様等の条件について規程し、カスタマイズに必要な情報を開示していること。
外部接続性 |外部システム接続仕様( API、開発言語など) が公開されていること。
同時接続ユーザ数 |オンラインユーザが同時に接続してサ-ビスを利用することができるユーザ数を運用ルールに規程していること - セキュリティ
公的認証取得の要件|JIPDECやJQA等で認定している情報処理管理に関する公的認証(ISMS、プライバシーマーク等)が取得されていること。
アプリケーションに関する第三者評価|不正な侵入、操作、データ取得等への対策について、第三者の客観的な評価を得ていること。
情報取扱者の制限 |ユーザのデータにアクセスできる利用者の限定されていること。
情報取扱い環境 |べンダ側でのデータ取扱環境が適切に確保されていること。
通信の暗号化レベル|システムとやりとりされる通信の暗号化強度。
民間向け IT システムの SLA ガイドライン-追補版:SaaS 対応編
社団法人 電子情報技術産業協会 ソリューションサービス事業委員会 SLA/SLM 専門委員会