内部監査

組織内部の監査員が、SMSが計画通りに運用され、ISO/IEC 20000の要求事項に適合しているかを体系的に評価する活動。定期的な実施が求められ、改善の機会を特定する。

組織内部の独立した監査部門が、自組織の業務活動やシステムを対象として実施する監査。経営目標の達成に向けて、内部統制やリスク管理の有効性を評価・改善することを目的とする。

組織自らが、ISMSの要求事項及び組織の情報セキュリティ要求事項への適合状況を定期的に検証する活動。ISO/IEC 27001ではISMSの継続的改善のために内部監査の実施が要求されている。

規格の要求事項、組織の方針・手順、またはSLAなどの合意された基準を満たしていない状態。内部監査やマネジメントレビューを通じて検出され、是正処置の対象となる。

情報システムの信頼性、安全性、効率性を独立した立場から評価する監査活動。ITサービスマネジメントにおいては、SMSのプロセスや管理策の適切性を第三者視点で検証する手段として活用される。

システムの導入から運用・保守・廃棄までにかかる総所有費用。初期コスト（イニシャルコスト）と運用コスト（ランニングコスト）に加え、教育費用や廃棄費用なども含む。ライフサイクル全体のコストを考慮した経済性評価に使用される。

構成品目（CI）を識別・記録・制御・追跡するプロセス。ソフトウェア開発では、ソースコードや文書などの構成品目のバージョンと変更履歴を管理する。ITサービスマネジメントでは、ITサービスを構成するハードウェア・ソフトウェア・文書などのCIを構成管理データベース（CMDB）で一元管理する。

変更要求を記録・評価・承認し、リスクを最小化して計画的に変更を実施するプロセス。ソフトウェア開発では構成品目に対する変更の影響範囲を分析し管理する。ITサービスマネジメントでは変更要求（RFC）を変更諮問委員会（CAB）で審議し、サービスへの影響を制御する。

価値を提供するため、サービスの計画立案、設計、移行、提供及び改善のための組織の活動及び資源を指揮し、管理する一連の能力及びプロセス。サービスコンポーネント、サービス品質、サービスライフサイクルの段階を含む。