ITベンダーが考えるURS

URS*は細かく記載すればそれだけ精度は高まりますが、ちょっとした仕様変更でもURS*から修正するのは、CSV*の観点から大変です。これまでのシステム開発ではウォーターフォール開発がメインでしたので、すべての仕様が順次決定されていきました。しかし、現在のシステム開発は、開発手法の変化やパッケージ・クラウド(SaaS、PaaS、IaaS)の活用など、ユーザーの利用直前に柔軟に内容変更できる環境が整ってきています。

こういうことも踏まえると、URSに遡って変更管理に載せて検討することは大変なことです。ですから、このページに記載されている内容をそのままURSにすればいいと言うことではありません。御社の中でセレクションしていただき、必要で十分なURSの作成のお役に立てればと思います。

弊社の推奨としては本当に必達(必要)な要件は記載して、開発途中に変更の可能性があるものは、幅をもたせて記載することが賢い方法ではないかと考えています。ただ、後々のDQ*でのTMX*で利用されますので、記載のメッシュは十分な検討が必要だと思います。また、ITベンダーにユーザー要件を伝えるだけであれば、RFPという方法もありますので、併用することをお勧めします。

*
URS(User Requirements Specification:ユーザ要求仕様書)
CSV(Computerized System Validation:コンピュータシステムバリデーション)
DQ(Design Qualification:設計時適格性評価)
TMX(Traceability matrix:トレーサビリティマトリクス)
RFP(Request for proposal:提案依頼書)

 

セキュリティ
①パスワード

パスワードの6桁以上であること。
パスワードに含む数字の個数が1つ以上であること。
パスワードに含むアルファベットの個数が1つ以上であること。
パスワードに含む大文字小文字を混在させること。
パスワードは設定回数までは再利用できないこと。
パスワードの有効期限は3ヶ月以内(90日)とする。
ユーザがパスワードを間違った際、3回以上の場合アカウントがロックすること。
ロックの解除は管理者のみが行えること。
一定時間(5分間)使用しない場合、自動的にシステムから切断されること。
パスワードは管理者でも把握できないようにする。
パスワード管理は管理者のみが行えること。

SLA
Service Level Agreement サービスレベルアグリーメント

  1. サービス時間
    サービス時間  |サービスを提供する時間帯(設置やネツトワーク等の点検/保守のための計画停止時間の記述)
    計画停止予定通知|定期的な保守停止に関する事前連絡確認(事前通知のタイミング/方法の記述を含む)
  2. 可用性
    サービス稼働率   |サービスを利用できる確率( (計画サービス時間一停止時間) ÷計画サービス時間)
    ディザスタリカバリ |災害発生時のシステム復旧/サポート体制
    重大障害時の代替手段|早期復旧が不可能な場合の代替措置
    アップグレード方針 |バージョンアップ/変更管理/パッチ管理の方針
  3. 信頼性
    平均復旧時間  |障害発生から修理完了までの平均時間(修理時間の和÷故障回数)
    システム監視基準|システム監視基準(監視内容/監視・通知基準)の設定に基づく監視
    障害通知プロセス|障害発生時の連絡プロセス(通知先/方法/ 経路)
    障害通知時間  |異常検出後に指定された連絡先に通知するまでの時間
    障害監視間隔  |障害インシデントを収集/集計する時間間隔
    サービス提供状況の報告方法/間隔 サービス提供状況を報告する方法/時間間隔
    ログの取得   |利用者に提供可能なログの種類(アクセスログ、操作ログ、エラーログ等)
    データ保証の要件|バックアップ内容(回数、復旧方法など)、データ保管場所/形式、利用者のデータへのアクセス権など、利用者に所有権のあるデータの取扱方法
    バックアップデータの保存期間|データをバックアップした媒体を保管する期限
    データ消去の要件|サービス解約後の、データ消去の実施有無/ タイミング、保管媒体の破棄の実施有無/タイミング、及びデータ移行など、利用者に所有権のあるデータの消去方法
  4. サポート
    サービス提供時間帯(障害対応) |障害対応時の問合せ受付業務を実施する時間帯
    サービス提供時間帯(一般問合せ)|一般問合せ時の問合せ受付業務を実施する時間帯
  5. 性能基準
    オンライン応答時間|オンライン処理の応答時間
    パッチ処理時間  |バッチ処理(一括処理)の応答時間
    カスタマイズ性  |カスタマイズが可能な事項、分量、仕様等の条件について規程し、カスタマイズに必要な情報を開示していること。
    外部接続性    |外部システム接続仕様( API、開発言語など) が公開されていること。
    同時接続ユーザ数 |オンラインユーザが同時に接続してサ-ビスを利用することができるユーザ数を運用ルールに規程していること
  6. セキュリティ
    公的認証取得の要件|JIPDECやJQA等で認定している情報処理管理に関する公的認証(ISMS、プライバシーマーク等)が取得されていること。
    アプリケーションに関する第三者評価|不正な侵入、操作、データ取得等への対策について、第三者の客観的な評価を得ていること。
    情報取扱者の制限 |ユーザのデータにアクセスできる利用者の限定されていること。
    情報取扱い環境  |べンダ側でのデータ取扱環境が適切に確保されていること。
    通信の暗号化レベル|システムとやりとりされる通信の暗号化強度。

 

民間向け IT システムの SLA ガイドライン-追補版:SaaS 対応編
社団法人 電子情報技術産業協会 ソリューションサービス事業委員会 SLA/SLM 専門委員会