agosty.ru35. ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ. МАШИНЫ КОНТОРСКИЕ35.020. Информационные технологии (ИТ) в целом

ГОСТ Р ИСО/МЭК 20000-1-2021 Информационные технологии. Менеджмент сервисов. Часть 1. Требования к системе менеджмента сервисов

Обозначение:
ГОСТ Р ИСО/МЭК 20000-1-2021
Наименование:
Информационные технологии. Менеджмент сервисов. Часть 1. Требования к системе менеджмента сервисов
Статус:
Действует
Дата введения:
04.30.2022
Дата отмены:
-
Заменен на:
-
Код ОКС:
35.020

Текст ГОСТ Р ИСО/МЭК 20000-1-2021 Информационные технологии. Менеджмент сервисов. Часть 1. Требования к системе менеджмента сервисов

ГОСТ Р ИСО/МЭК 20000-1-2021

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ. МЕНЕДЖМЕНТ СЕРВИСОВ

Часть 1

Требования к системе менеджмента сервисов

Information technology. Service management. Part 1: Service management system requirements

ОКС 35.020

Дата введения 2022-04-30

Предисловие

1 ПОДГОТОВЛЕН Ассоциацией по сертификации "Русский Регистр" (Ассоциация "Русский Регистр") на основе собственного перевода на русский язык англоязычной версии стандарта, указанного в пункте 4

2 ВНЕСЕН Техническим комитетом по стандартизации ТК 022 "Информационные технологии"

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 7 декабря 2021 г. N 1718-ст

4 Настоящий стандарт идентичен международному стандарту ИСО/МЭК 20000-1:2018(E) "Информационные технологии. Менеджмент сервисов. Часть 1: Требования к системе менеджмента сервисов" (ISO/IEC 20000-1:2018 "Information technology - Service management - Part 1: Service management system requirements", IDT)

5 ВЗАМЕН ГОСТ Р ИСО/МЭК 20000-1-2013

Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.rst.gov.ru)

Введение

Настоящий стандарт подготовлен в целях уточнения требований к установлению, внедрению, поддержанию и постоянному улучшению системы менеджмента сервисов (СМС). СМС содействуют менеджменту жизненного цикла сервиса, включая планирование, проектирование, перенесение, поставку и его улучшение. Сервисы, в соответствии с согласованным требованиям, являются ценными для клиентов, пользователей и организаций, их предоставляющих.

Внедрение СМС является стратегическим решением организации, на которое оказывают влияние ее цели, орган управления, а также стороны, задействованные в жизненном цикле сервисов, и потребность в результативных и стабильных сервисах.

Внедрение и функционирование системы менеджмента сервисов включает в себя непрерывное наглядное их представление, управление и постоянное улучшение, что приводит к результативности и эффективности. Повышение качества менеджмента применимо к СМС и сервисам.

Настоящий стандарт независим от какого-либо конкретного руководства. Организация может использовать комбинацию общепринятых руководств и личный опыт. Требования, приведенные в настоящем стандарте, согласованы с широко используемыми методологиями улучшения. Для поддержания СМС может быть использован соответствующий инструментарий.

ИСО/МЭК 20000-2 представляет руководство по применению систем менеджмента сервисов, включая примеры вариантов соответствия требованиям, указанным в настоящем стандарте. ИСО/МЭК 20000-10 содержит информацию в отношении всех частей стандартов серии ИСО/МЭК 20000, преимуществ, ошибочных восприятий и других соответствующих стандартов. В дополнение к терминам, не используемым в настоящем стандарте, но используемым в других частях стандартов серии ИСО/МЭК 20000, в ИСО/МЭК 20000-10 перечислены термины и определения, включенные в настоящий стандарт.

Структура пунктов (т.е. последовательность пунктов), термины, приведенные в 3.1, а также многие требования заимствованы из приложения SL к Консолидированному дополнению ИСО к Директивам ИСО/МЭК, Часть 1, известного как общая структура высокого уровня (СВУ) для стандартов систем менеджмента. Внедрение СВУ позволяет организациям согласовывать или интегрировать несколько стандартов систем менеджмента. Например, СМС может быть интегрирована с системой менеджмента качества, основанной на ИСО 9001, или системой менеджмента информационной безопасности, основанной на ИСО/МЭК 27001.

Рисунок 1 иллюстрирует СМС указанием содержания пунктов настоящего стандарта. Рисунок 1 не представляет структурную иерархию, последовательность или уровни полномочий. В настоящем стандарте не содержится требований относительно обязательного применения его структуры к СМС организации. Также отсутствует и требование замены терминов, используемых организацией, на термины, используемые в настоящем стандарте. Организация вправе выбрать использование терминов, подходящих для ее деятельности.

Структура пунктов направлена на предоставление связной презентации требований, а не модели для документирования политики, целей и процессов организации. Каждая организация вправе выбирать способ объединения требований в свои процессы. Взаимоотношения каждой организации с ее клиентами, пользователями и прочими заинтересованными сторонами влияют на внедрение процессов. Однако СМС, проектируемая организацией, не может исключать каких-либо требований, содержащихся в настоящем стандарте.

Рисунок 1 - Система менеджмента сервисов

1 Область применения

1.1 Общие положения

Настоящий стандарт определяет требования к организациям по установлению, внедрению, поддержанию и постоянному улучшению системы менеджмента сервисов (СМС). Требования, указанные в настоящем стандарте, включают в себя планирование, проектирование, перенесение, поставку и улучшение сервисов для выполнения требований сервисов и принесения выгоды. Настоящий стандарт может быть применен:

a) клиентом, желающим получить сервисы и требующим гарантий соответствия этих сервисов с точки зрения качества;

b) клиентом, требующим применения последовательного подхода к жизненному циклу сервисов всеми поставщиками услуг, включая поставщиков в цепи поставок;

c) организацией для демонстрации своих способностей в планировании, проектировании, перенесении, предоставлении и улучшении сервисов;

d) организацией для мониторинга, измерения и анализа своей СМС и сервисов;

e) организацией для улучшения планирования, проектирования, перенесения, предоставления и улучшения сервисов посредством результативного внедрения и функционирования СМС;

f) организацией или иной стороной, осуществляющей оценки соответствия требованиям, указанным в настоящем стандарте;

g) организацией, предоставляющей обучение или консультации в области менеджмента сервисов.

Термин "сервис", использующийся в настоящем стандарте, относится к сервису(ам) в области СМС. Термин "организация", использующийся в настоящем стандарте, относится к организации в области СМС, которая управляет и предоставляет сервисы клиентам. Организация в области СМС может являться частью более крупной организации, например отделом большой корпорации. Организация или часть организации, которая управляет и предоставляет сервис или сервисы внутренним или внешним клиентам, может также называться поставщиком сервисов. Любое использование терминов "сервис" или "организация" с измененным смыслом четко различается в настоящем стандарте.

1.2 Применение

Все требования, приведенные в настоящем стандарте, являются стандартными и предназначены для применения ко всем организациям, независимо от типа, размера и характера предоставляемых сервисов. Исключение каких-либо требований из разделов с 4 по 10 недопустимо в случаях, когда организация заявляет о своем соответствии настоящему стандарту, независимо от типа организации.

Соответствие требованиям, приведенным в настоящем стандарте, может быть продемонстрировано самой организацией наличием свидетельств выполнения всех этих требований.

Сама организация демонстрирует соответствие разделам 4 и 5. Однако поддержку организации могут оказывать и другие стороны. Например, другая сторона может проводить внутренние аудиты от лица организации или содействовать в подготовке СМС.

В других случаях организация может продемонстрировать свидетельства сохранения ответственности за выполнение требований, указанных в настоящем стандарте, и свидетельства управления в случае привлечения других сторон к выполнению требований пунктов 6-10 (см. 8.2.3). Например, организация может продемонстрировать свидетельства управления другой стороной, предоставляющей компоненты инфраструктурных сервисов или техническую поддержу, включая процесс управления инцидентами.

Организация не может демонстрировать соответствие требованиям, указанным в настоящем стандарте, если другие стороны используются для предоставления или осуществления всех сервисов, их компонентов или процессов в области СМС.

Область применения настоящего стандарта исключает спецификацию для продукции или инструментов. Однако настоящий стандарт может быть использован для содействия в разработке или приобретении продукции или инструментов, поддерживающих функционирование СМС.

2 Нормативные ссылки

В настоящем стандарте нормативные ссылки отсутствуют.

3 Термины и определения

В настоящем стандарте применены следующие термины с соответствующими определениями.

ИСО и МЭК поддерживают терминологические базы данных для применения в сфере стандартизации по следующим адресам:

- онлайн-платформа ИСО; которая доступна по ссылке: https://www.iso.org/obp;

- Электропедия МЭК: //www.electropedia.org/.

3.1 Термины, относящиеся к стандартам системы менеджмента

3.1.1 аудит (audit): Систематический, независимый и документируемый процесс (3.1.18) получения свидетельств аудита и их объективного оценивания для установления степени соответствия критериям аудита.

Примечания

1 Аудит может быть внутренним (аудит первой стороны) или внешним (аудит второй или третьей стороны), а также может быть комбинированным (объединяющим две или более дисциплины).

2 Внутренний аудит проводится самой организацией (3.1.14) или внешней стороной от ее лица.

3 "Свидетельства аудита" и "критерии аудита" определены в ISO 19011.

3.1.2 компетентность (competence): Способность применять знания и навыки для достижения намеченных результатов.

3.1.3 соответствие (conformity): Выполнение требования (3.1.19).

Примечания

1 Соответствие относится к требованиям настоящего стандарта, а также требованиям СМС организации.

2 Исходное определение, приведенное в приложении SL, было модифицировано посредством добавления примечания 1.

3.1.4 постоянное улучшение (continual improvement): Повторяющаяся деятельность по улучшению функционирования (3.1.16).

3.1.5 корректирующее действие (corrective action): Действие, предпринятое для устранения причины или снижения вероятности повторного возникновения выявленного несоответствия (3.1.12) или другой нежелательной ситуации.

Примечание - Исходное определение, приведенное в приложении SL, было модифицировано посредством добавления текста: "действие, предпринятое для устранения причины несоответствия и предупреждения его повторного возникновения".

3.1.6 документированная информация (documented information): Информация, которая должна управляться и поддерживаться организацией (3.1.14), и носитель, который ее содержит.

Пример - Политики (3.1.17), планы, описания процессов, процедуры (3.2.11), соглашения об уровне сервисов (3.2.20) или договоры.

Примечания

1 Документированная информация может быть любого формата и получена из любого источника.

2 Документированная информация может относиться к:

- системе менеджмента (3.1.9), включая соответствующие процессы (3.1.18);

- информации, созданной для функционирования организации (документация);

- свидетельствам достигнутых результатов (записи (3.2.12)).

3 Исходное определение, приведенное в приложении SL, было модифицировано посредством добавления примеров.

3.1.7 результативность (effectiveness): Степень реализации запланированной деятельности и достижения запланированных результатов.

3.1.8 заинтересованная сторона (interested party): Лицо или организация (3.1.14), которые могут воздействовать, быть подверженными воздействию или воспринимать себя в качестве подверженных воздействию решения или деятельности, относящейся к СМС (3.2.23) или сервисам (3.2.15).

Примечания

1 По отношению к организации заинтересованная сторона может быть внутренней или внешней.

2 Заинтересованные стороны могут включать части организации за пределами области СМС, потребителей (3.2.3), пользователей (3.2.28), сообщество, внешних поставщиков (3.2.4), регулирующие органы, государственные организации, неправительственные организации, инвесторов или сотрудников.

3 В случаях, когда заинтересованные стороны указаны в требованиях (3.1.19) настоящего стандарта, заинтересованные стороны могут различаться в зависимости от контекста и требования.

4 Исходное определение, приведенное в приложении SL, было модифицировано посредством удаления допускаемого термина "стейкхолдер", добавления "относящейся к СМС или сервисам" к определению и добавления примечаний 1, 2 и 3.

3.1.9 система менеджмента (management system): Совокупность взаимосвязанных или взаимодействующих элементов организации (3.1.14) для разработки политик (3.1.17), целей (3.1.13) и процессов (3.1.18) для достижения этих целей.

Примечания

1 Система менеджмента может относиться к одной или нескольким дисциплинам.

2 Элементы системы менеджмента включают структуру организации, роли и ответственность, планирование, функционирование, политики, цели, планы, процессы и процедуры (3.2.11).

3 Область применения системы менеджмента может охватывать всю организацию, определенные функции организации, определенные части организации, одну или более функций в группе организаций.

4 Исходное определение, приведенное в приложении SL, было модифицировано посредством разъяснения того, что система является системой менеджмента и перечисления элементов в примечании 2.

3.1.10 измерение (measurement): Процесс (3.1.18) определения величины.

3.1.11 мониторинг (monitoring): Определение статуса системы, процесса (3.1.18) или вида деятельности.

Примечание - Для определения статуса возможна необходимость проверки, надзора или критического наблюдения.

3.1.12 несоответствие (nonconformity): Невыполнение требования (3.1.19).

Примечание - Несоответствие относится к требованиям настоящего стандарта, а также требованиям МС организации.

3.1.13 цель (objective): Результат, который должен быть достигнут.

Примечания

1 Цель может быть стратегической, тактической или оперативной.

2 Цели могут относиться к разным дисциплинам [таким как финансовые цели, цели в области здоровья и безопасности, менеджмента сервисов (3.2.22), а также экологии] и могут применяться на разных уровнях [например, стратегическом, организации, сервиса (3.2.15), проекта, продукции и процесса (3.1.18)].

3 Цель может быть выражена разными способами, например в виде ожидаемого результата, намерения, критерия работы, цели в области менеджмента сервисов или другими словами со схожими значениями (например, целевая установка, заданная величина, задача).

4 В контексте СМС (3.2.23), цели в области менеджмента сервисов устанавливаются организацией в соответствии с политикой (3.1.17) в области менеджмента сервисов для достижения определенных результатов.

5 Исходное определение, приведенное в приложении SL, было модифицировано посредством добавления "менеджмент сервисов" и "сервис" к примечанию 2 к определению.

3.1.14 организация (organization): Лицо или группа людей, выполняющих свои функции, имеющих ответственность, полномочия и взаимоотношения для достижения своих целей (3.1.13).

Примечания

1 Понятие организации включает в себя, но не ограничивается следующими примерами: индивидуальный предприниматель, компания, корпорация, фирма, предприятие, орган власти, товарищество, благотворительное учреждение, а также их часть или их объединение, являющиеся юридическим лицом или нет, государственные или частные.

2 Организация или часть организации, которая осуществляет менеджмент и поставку сервиса (3.2.15) или сервисов внутренним или внешним клиентам (3.2.3), именуется поставщиком сервисов (3.2.24).

3 Если область СМС (3.2.23) охватывает только часть организации, термин "организация" при использовании в настоящем стандарте относится к части организации, входящей в область СМС. Любое использование термина "организация" с иным намерением четко разграничено.

4 Исходное определение, приведенное в приложении SL, было модифицировано посредством добавления примечаний 2 и 3.

3.1.15 передать на аутсорсинг (outsource): Заключение соглашения, в соответствии с которым внешняя организация (3.1.14) выполняет часть функций или процесса (3.1.18) организации.

Примечание - Внешняя организация не входит в область СМС (3.2.23), хотя переданная на аутсорсинг функция или процесс подпадают под область.

3.1.16 результаты деятельности (performance): Измеримый итог.

Примечания

1 Результаты деятельности могут относиться к количественным и качественным полученным данным.

2 Результаты деятельности могут относиться к менеджменту действий, процессам (3.1.18), продукции, услугам (3.2.15), системам или организациям (3.1.14).

3 Исходное определение, приведенное в приложении SL, было модифицировано посредством добавления термина "сервисы" в примечании 2.

3.1.17 политика (policy): Намерения и направление организации (3.1.14), документированно сформулированные ее высшим руководством (3.1.21).

3.1.18 процесс (process): Совокупность взаимосвязанных или взаимодействующих видов деятельности, использующих входные данные для получения намеченного результата.

Примечания

1 В зависимости от контекста "намеченный результат" процесса называется выходными данными, продукцией или сервисом (3.2.15).

2 Входными данными для процесса обычно являются выходные данные других процессов, а выходные данные процессов обычно являются входными данными для других процессов.

3 Два и более взаимосвязанных и взаимодействующих процесса совместно могут также рассматриваться как процесс.

4 Процессы в организации (3.1.14), как правило, планируются и осуществляются в управляемых условиях с целью добавления ценности.

5 Исходное определение, приведенное в приложении SL, было изменено с "совокупность взаимосвязанных или взаимодействующих видов деятельности, превращающих входные в выходные данные". Исходное определение, приведенное в приложении SL, было также модифицировано посредством добавления примечаний 1-4.

[Источником пересмотренных определений примечаний 1-4 является ИСО 9000:2015, 3.4.1]

3.1.19 требование (requirement): Потребность или ожидание, которое установлено, обычно предполагается или является обязательным.

Примечания

1 Слова "обычно предполагается" означают, что это общепринятая практика организации (3.1.14) и заинтересованных сторон (3.1.8), что рассматриваемые потребности и ожидания предполагаются.

2 Конкретным требованием является такое требование, которое определено, например, в документированной информации (3.1.6).

3 В контексте СМС (3.2.23) требования сервисов (3.2.26) документируют и согласуют, а не просто предполагают. Кроме того, возможно наличие других требований, таких как законодательные и нормативные.

4 Исходное определение, приведенное в приложении SL, было модифицировано посредством добавления примечания 3.

3.1.20 риск (risk): Влияние неопределенности.

Примечания

1 Влияние выражается в отклонении от ожидаемого результата - положительном или отрицательном.

2 Неопределенность является состоянием, связанным с недостатком, даже частично, информации, понимания или знания о событии, его последствиях или вероятности.

3 Риск часто определяют по отношению к потенциальным событиям (как определено в Руководстве ИСО 73:2009, 3.5.1.3) и последствиям (как определено в Руководстве ИСО 73:2009, 3.6.1.3) или к их комбинации.

4 Риск часто выражается в терминах комбинации последствий события (включая изменения в обстоятельствах) и связанных с ними вероятностей (как определено в Руководстве ИСО 73:2009, 3.6.1.1) возникновения.

3.1.21 высшее руководство (top management): Лицо или группа людей, осуществляющие руководство и управление организацией (3.1.14) на высшем уровне.

Примечания

1 Высшее руководство имеет право делегировать полномочия и предоставлять ресурсы в рамках организации.

2 Если область применения системы менеджмента (3.1.9) охватывает только часть организации, под высшим руководством подразумевают тех, кто осуществляет руководство и управляет этой частью организации.

3.2 Термины, относящиеся к менеджменту сервисов

3.2.1 актив (asset): Предмет, вещь или единица, обладающие потенциальной или фактической ценностью для организации (3.1.14).

Примечания

1 Ценность может быть материальной или нематериальной, финансовой или нефинансовой и может включать в себя рассмотрение рисков (3.1.20) и обязанностей. На различных этапах жизни актива ценность может быть положительной или отрицательной.

2 Физические активы, как правило, относятся к оборудованию, товарам и собственности организации. Физические активы противоположны нематериальным активам, которые являются нефизическими активами, такими как договоры найма, брэнды, цифровые активы, права пользования, лицензии, права интеллектуальной собственности, репутация или соглашения.

3 Группирование активов, именуемое системой активов, также может считаться активом.

4 Актив также может являться элементом конфигурации (3.2.2). Некоторые элементы конфигурации не являются активами.

[ИСТОЧНИК: ИСО/МЭК 19770-5:2015, 3.2, модифицировано - примечание 4 содержит новую информацию].

3.2.2 элемент конфигурации ЭК (configuration item Cl): Элемент, который необходимо контролировать для предоставления сервиса (3.2.15) или сервисов.

3.2.3 потребитель (customer): Организация (3.1.14) или часть организации, получающая сервис (3.2.15) или сервисы.

Пример - Заказчик, клиент, бенефициар, спонсор, покупатель.

Примечания

1 Потребитель может быть внутренним или внешним по отношению к организации, предоставляющей сервис или сервисы.

2 Потребитель может также являться пользователем (3.2.28). Потребитель может также действовать в качестве поставщика.

3.2.4 внешний поставщик (external supplier): Другая сторона, являющаяся внешней по отношению к организации, которая заключает договор с целью участия в планировании, проектировании, перенесении (3.2.27), поставке или улучшении сервиса (3.2.15), компонента сервиса (3.2.18) или процесса (3.1.18).

Примечания

1 Внешние поставщики включают установленных ведущих поставщиков, но не их субподрядных поставщиков.

2 Если организация в области применения СМС является частью большей организации, другая сторона является внешней по отношению к большей организации.

3.2.5 инцидент (incident): Незапланированная приостановка сервиса (3.2.15), снижение качества сервиса или событие, которое еще не оказало воздействия на сервис для потребителя (3.2.3) или пользователя (3.2.28).

3.2.6 информационная безопасность (information security): Поддержание конфиденциальности, целостности и доступности информации.

Примечание - Кроме того, к информационной безопасности могут иметь отношение другие характеристики, такие как подлинность, достоверность, отказоустойчивость и надежность.

[ИСТОЧНИК: ИСО/МЭК 27000:2018, 3.28]

3.2.7 инцидент информационной безопасности (information security incident): Единичное событие или серия нежелательных или неожиданных событий, связанных с информационной безопасностью (3.2.6), которые со значительной вероятностью способны нанести ущерб бизнес-операциям и поставить под угрозу информационную безопасность.

[ИСТОЧНИК: ИСО/МЭК 27000:2018, 3.31]

3.2.8 внутренний поставщик (internal supplier): Часть большей организации (3.1.14), находящаяся за пределами области СМС (3.2.23), которая заключает документированное соглашение с целью участия в планировании, проектировании, перенесении (3.2.27), поставке или улучшении сервиса (3.2.15), компонента сервиса (3.2.18) или процесса (3.1.18).

Пример - Закупки, инфраструктура, финансы, человеческие ресурсы, помещения.

Примечание - Внутренний поставщик и организация в рамках области применения СМС являются частями одной большей организации.

3.2.9 известная ошибка (known error): Проблема (3.2.10), коренная причина которой определена или метод снижения или устранения последствий которой на сервис (3.2.15) идентифицирован.

3.2.10 проблема (problem): Причина одного или нескольких фактических или потенциальных инцидентов (3.2.5)

3.2.11 процедура (procedure): Установленный способ осуществления деятельности или процесса (3.1.18).

Примечание - Процедуры могут быть документированными и недокументированными.

[ИСТОЧНИК: ИСО 9000:2015, 3.4.5]

3.2.12 запись (record): Документ, содержащий достигнутые результаты или свидетельства осуществленной деятельности.

Пример - Отчеты по аудиту (3.1.1), подробная информация об инциденте (3.2.5), список лиц, направленных на обучение, протоколы совещаний.

Примечания

1 Записи могут использоваться, например, для оформления прослеживаемости и предоставления свидетельств проведения верификации, предупреждающих действий и корректирующих действий (3.1.5).

2 Записи, как правило, не требуют управления изменениями.

[ИСТОЧНИК: ИСО 9000:2015, 3.8.10, модифицирован - был добавлен пример].

3.2.13 релиз (release): Набор из одного или нескольких новых или измененных сервисов (3.2.15) или компонентов сервисов (3.2.18), внедренных в производственную среду в результате одного или более изменений.

3.2.14 запрос на изменение (request for change): Предложение о внесении изменения в сервис (3.2.15), компонент сервиса (3.2.18) или СМС (3.2.23).

Примечание - Изменение сервиса включает в себя предоставление нового сервиса, перенесение сервиса или прекращение предоставления сервиса, который больше не требуется.

3.2.15 сервис (service): Способ предоставления ценности потребителю (3.2.3) посредством содействия в получении конечных результатов, которых хочет достичь потребитель.

Примечания

1 Сервис, как правило, является нематериальным.

2 Термин "сервис" в том виде, как он используется в настоящем стандарте, означает сервис или сервисы в рамках области СМС (3.2.23). Любое использование термина "сервис" с иным значением четко разграничено.

3.2.16 доступность сервиса (service availability): Способность сервиса (3.2.15) или компонента сервиса (3.2.18) выполнять требуемые функции в определенный момент или в течение определенного промежутка времени.

Примечание - Доступность сервиса может выражаться отношением или процентом времени, в течение которого сервис или компонент сервиса фактически доступны для использования по отношению к согласованному времени.

3.2.17 каталог сервисов (service catalogue): Документированная информация о сервисах, которую организация предоставляет своим потребителям.

3.2.18 компонент сервиса (service component): Часть сервиса (3.2.15), которая в сочетании с другими элементами предоставляет полный сервис.

Пример - Инфраструктура, приложения, документация, лицензии, информация, ресурсы, вспомогательные сервисы.

Примечание - Компонент сервиса может включать элементы конфигурации (3.2.2), активы (3.2.1) и другие элементы.

3.2.19 непрерывность сервиса (service continuity): Способность предоставлять сервис (3.2.15) непрерывно или в условиях постоянной доступности, как согласовано.

Примечание - Управление непрерывностью сервисов может быть разновидностью управления непрерывностью бизнеса. ИСО 22301 является стандартом системы менеджмента для управления непрерывностью бизнеса.

3.2.20 соглашение об уровне сервисов SLA (service level agreement SLA): Документированное соглашение между организацией (3.1.14) и потребителем (3.2.3), которое определяет сервисы (3.2.15) и их согласованное функционирование.

Примечания

1 Соглашение об уровне сервисов также может быть заключено между организацией и внешним поставщиком (3.2.4), внутренним поставщиком (3.2.8) или потребителем, выступающим в качестве поставщика.

2 Соглашение об уровне сервисов может быть включено в контракт или другой тип документированного соглашения.

3.2.21 целевой показатель уровня сервиса (service level target): Определенные измеримые характеристики сервиса (3.2.15), которым организация (3.1.14) обязуется соответствовать.

3.2.22 менеджмент сервисов (service management): Набор способностей и процессов (3.1.18) по руководству и управлению деятельностью и ресурсами организации (3.1.14) с целью планирования, проектирования, перенесения (3.2.27), поставки или улучшения сервисов (3.2.15) для предоставления ценности (3.2.29).

Примечание - Настоящий стандарт содержит набор требований, разделенных на пункты и подпункты. Каждая организация вправе выбрать, как объединить данные требования в процессы. Подпункты могут использоваться для определения процессов СМС организации.

3.2.23 система менеджмента сервисов (CMC) (service management system SMS): Система менеджмента (3.1.9) по руководству и управлению деятельностью в области менеджмента сервисов (3.2.22) организации (3.1.14).

Примечание - СМС включает в себя политики (3.1.17), цели (3.1.13), планы, процессы (3.1.18), документированную информацию и ресурсы в области менеджмента сервисов, необходимые для планирования, проектирования, перенесения (3.2.27), поставки и улучшения сервисов для соответствия требованиям (3.1.19), приведенным в настоящем стандарте.

3.2.24 поставщик сервиса (service provider): Организация (3.1.14), которая управляет и предоставляет сервис (3.2.15) или сервисы потребителям (3.2.3).

3.2.25 запрос на сервис (service request): Запрос о предоставлении информации, консультации, доступа к сервису (3.2.15) или на предварительно утвержденное изменение.

3.2.26 требование к сервису (service requirement): Установленные или обязательные потребности заказчика (3.2.3), пользователей (3.2.28) и организации (3.1.14), связанные с сервисами (3.2.15) и СМС (3.2.23).

Примечание - В контексте СМС (3.2.23), требования сервисов документируют и согласуют, а не просто предполагают. Кроме того, возможно наличие других требований, таких как законодательные и нормативные.

3.2.27 перенесение (transition): Виды деятельности, связанные с перемещением нового или измененного сервиса (3.2.15) в производственную среду или из нее.

3.2.28 пользователь (user): Лицо или группа людей, взаимодействующих или получающих выгоду от сервиса (3.2.15) или сервисов.

Примечание - Примеры пользователей включают отдельных лиц и сообщества людей. Потребитель (3.2.3) также может являться пользователем.

3.2.29 ценность (value): Важность, выгода или польза.

Пример - Денежная ценность, достижение результатов сервисов, достижение целей (3.1.13) в области менеджмента сервисов (3.2.22), удержание клиентов, устранение ограничений.

Примечание - Создание ценности от сервисов (3.2.15) включает пользование преимуществами на оптимальном уровне ресурсов при управлении риском (3.1.20). Актив (3.2.1) и сервис (3.2.15) являются примерами того, чему может быть придана ценность.

4 Среда организации

4.1 Понимание организации и ее среды

Организация должна определить внешние и внутренние факторы, относящиеся к ее цели и влияющие на ее способность достигать намеченного(ых) результата(ов) ее СМС.

Примечание - Слово "фактор" в данном контексте может относиться к факторам, имеющим положительное или отрицательное воздействие. Эти факторы являются важными для организации в контексте ее способности предоставлять сервисы согласованного уровня качества своим потребителям.

4.2 Понимание потребностей и ожиданий заинтересованных сторон

Организация должна определить:

a) заинтересованные стороны, имеющие отношение к СМС и сервисам;

b) соответствующие требования этих заинтересованных сторон.

Примечание - Требования заинтересованных сторон могут включать сервис, показатели деятельности, законодательные и регулирующие требования и контрактные обязательства, связанные с СМС и сервисами.

4.3 Определение области применения системы менеджмента сервисов

Организация должна определить границы и применимость СМС, чтобы установить область ее применения. При определении области применения организация должна рассматривать:

a) внешние и внутренние факторы, указанные в п.4.1;

b) требования, указанные в п.4.2;

c) сервисы, предоставляемые организацией.

Определение области применения СМС должно включать сервисы, охваченные ею, и наименование организации, управляющей и предоставляющей сервисы.

Область применения СМС должна быть доступна и поддерживаться в виде документированной информации.

Примечания

1 ИСО/МЭК 20000-3 предоставляет руководство по определению области.

2 При определении области применения СМС указываются сервисы, входящие в область. Это могут быть все или некоторые сервисы, предоставляемые организацией.

4.4 Система менеджмента сервисов

Организация должна разработать, внедрить, поддерживать и постоянно улучшать СМС, включая необходимые процессы и их взаимодействия, в соответствии с требованиями настоящего стандарта.

5 Лидерство

5.1 Лидерство и приверженность

Высшее руководство должно продемонстрировать лидерство и приверженность в отношении СМС посредством:

a) обеспечения разработки политики и целей в области менеджмента сервисов, которые согласуются со стратегическим направлением организации;

b) обеспечения создания, внедрения и поддержания плана менеджмента сервисов для поддержания политики в этой области, достижения целей и соответствия требованиям к сервисам;

c) обеспечения присвоения соответствующих уровней полномочий для принятия решений, связанных с СМС и сервисами;

d) обеспечения определения того, что представляет ценность для организации и ее потребителей;

e) обеспечения управления другими сторонами, участвующими в жизненном цикле сервиса;

f) обеспечения интеграции требований СМС в бизнес-процессы организации;

g) обеспечения доступности ресурсов, необходимых для СМС и сервисов;

h) распространения в организации понимания важности результативного менеджмента сервисов, соответствия целям в области менеджмента сервисов, предоставления ценности и соответствия требованиям СМС;

i) обеспечения достижения СМС намеченных результатов;

j) руководства и оказания поддержки лицам в обеспечении результативности СМС и сервисов;

k) поддержки постоянного улучшения СМС и сервисов;

l) оказания поддержки другим соответствующим руководителям в демонстрации ими лидерства в сфере их ответственности.

Примечание - Слово "бизнес" в настоящем стандарте следует понимать в широком смысле, как отображение видов деятельности, которые являются ключевыми для целей существования организации.

5.2 Политика

5.2.1 Разработка политики менеджмента сервисов

Высшее руководство должно разработать политику менеджмента сервисов, которая:

a) соответствует намерениям организации;

b) создает основу для установления целей в области менеджмента сервисов;

c) включает в себя обязательство соответствовать применимым требованиям;

d) включает в себя обязательство постоянно улучшать СМС и сервисы.

5.2.2 Доведение политики менеджмента сервисов

Политика менеджмента сервисов должна:

a) быть доступной в качестве документированной информации;

b) доведенной до сведения в рамках организации;

c) доступной подходящим способом для заинтересованных сторон.

5.3 Функции, ответственность и полномочия в организации

Высшее руководство должно обеспечить распределение функций, ответственности и полномочий, относящихся к СМС и сервисам, и доведение их до сведения работников.

Высшее руководство должно распределить ответственность и полномочия для:

a) обеспечения соответствия СМС требованиям настоящего стандарта;

b) отчетности высшему руководству о результатах функционирования СМС и сервисов.

6 Планирование

6.1 Действия в отношении рисков и возможностей

6.1.1 При планировании СМС организация должна учесть факторы, указанные в п.4.1, и требования, указанные в п.4.2, и определить риски и возможности, подлежащие рассмотрению:

a) для обеспечения уверенности в том, что СМС может достичь своих намеченных результатов;

b) предупреждения или уменьшения нежелательного влияния;

c) достижения постоянного улучшения СМС и сервисов.

6.1.2 Организация должна определить и документировать:

a) риски, связанные:

1) с организацией;

2) несоответствием требованиям к сервисам;

3) вовлечением других сторон в жизненный цикл сервиса;

b) воздействие на потребителей рисков и возможностей СМС и сервисов;

c) критерии приемлемости риска;

d) подход, который должен быть выбран для менеджмента рисков.

6.1.3 Организация должна планировать:

a) действия в отношении этих рисков и возможностей и их приоритетность;

b) то, каким образом:

1) интегрировать и внедрить действия в процессы СМС;

2) оценивать результативность этих действий.

Примечания

1 Варианты реагирования на риски и возможности могут включать: избежание, допущение или повышение риска, с тем чтобы отследить возможности; устранение источника, изменение вероятности или последствий риска, сдерживание риска путем согласованных действий, разделение риска с другой стороной или принятие риска путем принятия решения, основанного на информации.

2 ИСО 31000 содержит принципы и общее руководство по менеджменту рисков.

6.2 Цели в области менеджмента сервисов и планирование их достижения

6.2.1 Установление целей

Организация должна установить цели в области менеджмента сервисов для соответствующих функций и уровней. Цели в области менеджмента сервисов должны:

a) быть согласованными с политикой менеджмента сервисов;

b) быть измеримыми;

c) учитывать применимые требования;

d) подлежать мониторингу;

e) быть доведенными до сведения;

f) актуализироваться по мере необходимости.

Организация должна сохранять документированную информацию о целях в области менеджмента сервисов.

6.2.2 Планирование достижения целей

При планировании действий по достижению своих целей в области менеджмента сервисов организация должна определить:

a) что должно быть сделано;

b) какие потребуются ресурсы;

c) кто будет нести ответственность;

d) когда эти действия будут завершены;

e) каким образом будут оцениваться результаты.

6.3 Планирование системы менеджмента сервисов

Организация должна создать, внедрить и поддерживать план менеджмента сервисов. При планировании необходимо учитывать политику менеджмента сервисов, цели в области менеджмента сервисов, риски и возможности, требования к сервисам и требования, приведенные в настоящем стандарте. План менеджмента сервисов должен включать или содержать ссылку:

a) на перечень сервисов;

b) известные ограничения, которые могут воздействовать на СМС и сервисы;

c) обязательства, такие как соответствующие политики, стандарты, законодательные, регулирующие и договорные требования, и то, каким образом данные обязательства применимы к СМС и сервисам;

d) полномочия и ответственности за СМС и сервисы;

e) человеческие, технические, информационные и финансовые ресурсы, необходимые для функционирования СМС и сервисов;

f) подход, который должен быть принят для работы с другими сторонами, участвующими в жизненном цикле сервиса;

g) технологию, используемую для поддержания СМС;

h) то, каким образом результативность СМС и сервисов будет подлежать измерению, проверке, отчетности и улучшению.

Другие виды деятельности по планированию также должны быть согласованы с планом менеджмента сервисов.

7 Средства обеспечения системы менеджмента сервисов

7.1 Ресурсы

Организация должна определить и обеспечить наличие человеческих, технических, информационных и финансовых ресурсов, необходимых для разработки, внедрения, поддержания и постоянного улучшения СМС и функционирования сервисов в целях соответствия требованиям к сервисам и достижения целей в области менеджмента сервисов.

7.2 Компетентность

Организация должна:

a) определять необходимую компетентность лиц, выполняющих работу под ее управлением, которая оказывает влияние на результаты деятельности и результативность СМС и сервисов;

b) обеспечивать компетентность этих лиц на основе соответствующего образования, подготовки или опыта;

c) если применимо, предпринимать действия, направленные на получение требуемой компетентности и оценивать результативность предпринятых действий;

d) сохранять соответствующую документированную информацию как свидетельство компетентности.

Примечание - Применимые действия могут включать, например, проведение обучения, наставничество или перераспределение обязанностей среди имеющихся работников; или прием на работу, или привлечение компетентных лиц для выполнения контрактных работ.

7.3 Осведомленность

Лица, выполняющие работы под управлением организации, должны быть осведомлены:

a) о политике в области менеджмента сервисов;

b) целях в области менеджмента сервисов;

c) сервисах, относящихся к их работе;

d) их вкладе в результативность СМС, включая пользу от улучшения результатов деятельности;

e) последствиях несоответствия требованиям СМС.

7.4 Обмен информацией

Организация должна определить порядок внутреннего и внешнего обмена информацией, относящейся к СМС и сервисам, включая следующие вопросы:

a) какая информация будет передаваться;

b) когда будет передаваться информация;

c) кому будет передаваться информация;

d) каким образом будет передаваться информация;

e) кто будет нести ответственность за обмен информацией.

7.5 Документированная информация

7.5.1 Общие положения

СМС организации должна включать:

a) документированную информацию, требуемую настоящим стандартом;

b) документированную информацию, определенную организацией как необходимую для обеспечения результативности СМС.

Примечание - Объем документированной информации СМС одной организации может отличаться от другой в зависимости от:

- размера организации и вида ее деятельности, процессов, продукции и услуг;

- сложности процессов, сервисов и их взаимодействия;

- компетентности лиц.

7.5.2 Создание и актуализация документированной информации

При создании и актуализации документированной информации организация должна обеспечить соответствующие:

a) идентификацию и описание (например, название, дата, автор или ссылочный номер);

b) формат (например, язык, версия программного обеспечения, графические средства) и носитель (например, бумажный или электронный);

c) анализ и одобрение сточки зрения пригодности и адекватности.

7.5.3 Управление документированной информацией

7.5.3.1 Документированная информация, требуемая СМС и настоящим стандартом, должна находиться под управлением в целях обеспечения:

a) доступности и пригодности, где и когда она необходима;

b) достаточной защиты (например, от несоблюдения конфиденциальности, ненадлежащего использования или потери целостности).

7.5.3.2 Для управления документированной информацией организация должна предусматривать следующие действия, насколько это применимо:

a) распределение, обеспечение доступа, поиск и использование;

b) хранение и защита, включая сохранение разборчивости;

c) управление изменениями (например, управление версиями);

d) хранение и уничтожение.

Документированная информация внешнего происхождения, определенная организацией как необходимая для планирования и функционирования СМС, должна быть соответствующим образом идентифицирована и находиться под управлением.

Примечание - Доступ может подразумевать решение в отношении разрешения только просмотра документированной информации или разрешения просмотра с полномочиями по внесению изменений в документированную информацию.

7.5.4 Документированная информация системы менеджмента сервисов

Документированная информация для СМС должна включать:

a) область применения СМС;

b) политику и цели в области менеджмента сервисов;

c) план менеджмента сервисов;

d) политику управления изменениями, политику информационной безопасности и план(ы) непрерывности сервисов;

e) процессы СМС организации;

f) требования сервисов;

g) каталог(и) сервисов;

h) соглашения об уровне сервисов (SLA);

i) договоры с внешними поставщиками;

j) соглашения с внутренними поставщиками или потребителями, выступающими в качестве поставщиков;

k) процедуры, требуемые настоящим стандартом;

l) записи, необходимые для демонстрации свидетельств соответствия требованиям настоящего стандарта и СМС организации.

Примечание - Пункт 7.5.4 содержит перечень основных документов для СМС. В настоящем стандарте также приведены другие требования относительно необходимости сохранять информацию в виде документированной информации, ее документирования или записи. ИСО/МЭК 20000-2 предоставляет дополнительное руководство.

7.6 Знания

Организация должна определить и поддерживать знания, необходимые для обеспечения функционирования СМС и сервисов.

Знания должны быть соответствующими, пригодными и доступными для соответствующих лиц.

Примечание - Знания специфичны для организации, ее СМС, сервисов и заинтересованных сторон. Знания используются и распространяются для содействия достижению намеченных результатов и функционированию СМС и сервисов.

8 Функционирование системы менеджмента сервисов

8.1 Планирование и управление деятельностью

Организация должна планировать, внедрять и управлять процессами, необходимыми для выполнения требований и осуществления действий, определенных в пункте 6 по средствам:

a) установления критериев результативности деятельности для процессов на основе требований стандарта;

b) управления процессами в соответствии с установленными критериями функционирования;

c) сохранения документированной информации в объеме, необходимом для обеспечения уверенности в том, что процессы выполнялись, как запланировано.

Организация должна управлять запланированными изменениями в СМС и анализировать последствия непредусмотренных изменений, при необходимости принимая меры по смягчению любых негативных воздействий (см. п.8.5.1).

Организация должна обеспечивать, чтобы процессы, переданные на аутсорсинг, находились под управлением (см. п.8.2.3).

8.2 Портфолио сервисов

8.2.1 Предоставление сервисов

Организация должна управлять СМС, обеспечивая координирование деятельности и ресурсов. Организация должна осуществлять деятельность, необходимую для предоставления сервисов.

Примечание - Портфолио сервисов используется для управления всем жизненным циклом всех сервисов, включая предлагаемые сервисы, разрабатываемые, действующие сервисы, указанные в каталоге(ах) сервисов, а также сервисы, которые должны быть удалены. Менеджмент портфолио сервисов обеспечивает, что поставщик сервиса имеет право сочетать сервисы. Виды деятельности, связанные с портфолио сервисов, перечисленные в данном стандарте, включают планирование сервисов, управление сторонами, задействованными в жизненном цикле сервисов, менеджмент каталога сервисов, менеджмент активов и менеджмент конфигураций.

8.2.2 Планирование сервисов

Требования для существующих сервисов, новых сервисов и изменений в сервисах должны быть определены и документированы.

Организация должна определить критичность сервисов, основываясь на потребностях организации, потребителей, пользователей и других заинтересованных сторон. Организация должна определить и управлять отношениями и дублированием сервисов, где это необходимо. Организация должна предложить изменения с целью согласования сервисов с политикой менеджмента сервисов, целями в области менеджмента сервисов и требованиями к сервисам, учитывая известные ограничения и риски.

Организация должна определять первоочередную последовательность запросов о внесении изменений и предложений о новых или измененных сервисах с целью их согласования с бизнес-потребностями и целями в области менеджмента сервисов, учитывая доступные ресурсы.

8.2.3 Управление сторонами, задействованными в жизненном цикле сервисов

8.2.3.1 Организация должна поддерживать ответственность за выполнение требований, приведенных в настоящем стандарте, и предоставление сервисов вне зависимости от того, какая сторона задействована в осуществлении деятельности по поддержанию жизненного цикла сервиса.

Организация должна определить и применять критерии оценки и выбора других сторон, задействованных в жизненном цикле сервиса. Другими сторонами могут являться внешние поставщики, внутренние поставщики или потребители, выступающие в роли поставщиков.

Другие стороны не должны предоставлять или управлять всеми сервисами, компонентами сервисов или процессами в рамках области распространения СМС.

Организация должна определить и документировать:

a) сервисы, предоставляемые или управляемые другими сторонами;

b) компоненты сервисов, предоставляемые или управляемые другими сторонами;

c) процессы или части процессов в рамках СМС организации, управляемые другими сторонами.

Организация должна интегрировать сервисы, компоненты сервисов и процессы в рамках СМС, предоставляемые или управляемые организацией или другими сторонами, с целью соответствия требованиям к сервисам. Организация должна координировать деятельность с другими сторонами, задействованными в жизненном цикле сервиса, включая планирование, проектирование, перенесение, поставку и улучшение сервисов.

8.2.3.2 Организация должна определить и применять соответствующие средства управления другими сторонами из числа приведенных ниже:

a) измерение и оценка показателей деятельности;

b) измерение и оценка результативности соответствия сервисов и компонентов сервисов требованиям.

Примечание - ИСО/МЭК 20000-3 содержит руководство по управлению другими сторонами, задействованными в жизненном цикле сервиса.

8.2.4 Менеджмент каталога сервисов

Организация должна создать и поддерживать в рабочем состоянии один или более каталогов сервисов. Каталог(и) сервисов должны включать в себя информацию для организации, потребителей, пользователей и других заинтересованных сторон, описывать сервисы, их запланированные результаты и отношения между сервисами.

Организация должна обеспечивать своим потребителям, пользователям и другим заинтересованным сторонам доступ к соответствующим частям каталога(ов) сервисов.

8.2.5 Менеджмент активов

Организация должна гарантировать, что активы, используемые для предоставления сервисов, управляются с целью соответствия требованиям к сервисам и обязательствам, перечисленным в п.6.3 с).

Примечания

1 ИСО 55001 и ИСО/МЭК 19770-1 содержат требования для поддержания внедрения и управления активами и менеджмента ИТ-активов.

2 Кроме того, см. менеджмент конфигураций, когда актив также является элементом конфигурации (ЭК).

8.2.6 Менеджмент конфигураций

Типы ЭК должны быть определены. Сервисы должны быть классифицированы как ЭК.

Информация о конфигурации должна быть документирована со степенью подробности, соответствующей критичности и типу сервисов. Доступ к информации о конфигурации подлежит управлению. Информация о конфигурации, документированная по каждому ЭК, должна включать:

a) уникальную идентификацию;

b) тип ЭК;

c) описание ЭК;

d) взаимоотношение с другими ЭК;

e) статус.

ЭК подлежит управлению. Изменения в ЭК должны быть прослеживаемыми и проверяемыми для поддержания целостности информации о конфигурации. Информация о конфигурации должна быть актуализирована после внедрения изменений в ЭК.

Через запланированные интервалы времени организация должна верифицировать точность информации о конфигурации. При выявлении неточностей организация должна предпринимать соответствующие действия.

При необходимости информация о конфигурации должна быть доступна для осуществления других видов деятельности, связанных с менеджментом сервисов.

8.3 Отношения и соглашения

8.3.1 Общие положения

Организация может использовать поставщиков для:

a) предоставления или управления сервисами;

b) предоставления или управления компонентами сервисов;

c) управления процессами или частями процессов, которые находятся в рамках СМС организации.

Рисунок 2 иллюстрирует менеджмент использования, соглашений и взаимоотношений с бизнесом, менеджмент уровня сервисов и менеджмент поставщиков.

Рисунок 2 - Отношения и соглашения между сторонами, задействованными в жизненном цикле сервиса

Примечания

1 ИСО/МЭК 20000-3 содержит примеры взаимоотношений в рамках цепи поставок с их потенциальной применимостью и областью.

2 Менеджмент поставщиков в настоящем стандарте исключает закупки поставщиков.

8.3.2 Менеджмент деловых отношений

Потребители, пользователи и другие заинтересованные стороны сервисов должны быть идентифицированы и документированы. Организация должна иметь одного или более уполномоченных лиц, ответственных за менеджмент отношений с потребителями и поддержание удовлетворенности потребителей.

Организация должна определить порядок обмена информацией со своими потребителями и другими заинтересованными сторонами. Обмен информацией должен способствовать пониманию изменяющейся деловой среды, в которой функционируют сервисы, и должен давать организации возможность реагировать на новые или измененные требования к сервисам.

Через запланированные интервалы времени организация должна анализировать тенденции изменения производительности и результаты сервисов.

Через запланированные интервалы времени организация должна измерять удовлетворенность сервисами, основываясь на репрезентативной выборке потребителей. Результаты должны быть проанализированы, рассмотрены в целях идентификации возможностей для улучшения и предоставлены в форме отчета.

Жалобы в отношении сервисов должны быть зарегистрированы, управляться с целью их закрытия и предоставлены в форме отчета. В случаях, когда жалоба в отношении сервисов не решена посредством обычных каналов связи, должен быть предоставлен метод распространения.

8.3.3 Менеджмент уровнем сервисов

Организация и потребитель определяют сервисы, которые должны быть предоставлены.

В отношении каждого предоставляемого сервиса организация должна подготовить одно или несколько SLA на основе документированных требований к сервисам. SLA должны включать цели уровня сервисов, предельную рабочую нагрузку и исключения.

Через запланированные промежутки времени организация должна осуществлять мониторинг, анализировать и предоставлять отчетность в отношении:

a) показателей деятельности на соответствие целям уровня сервисов;

b) фактических и периодических изменений рабочей нагрузки по сравнению с предельной рабочей нагрузкой, указанной в SLA.

В случаях, когда цели уровня сервисов не достигаются, организация должна идентифицировать возможности для улучшения.

Примечание - Соглашения между организацией и ее потребителями о сервисах, которые должны быть предоставлены, могут принимать различные формы, такие как документированное соглашение, протоколы устных соглашений, достигнутых в ходе совещания, соглашение, изложенное в электронном письме, или соглашение об условиях предоставления сервиса.

8.3.4 Менеджмент поставщиков

8.3.4.1 Менеджмент внешних поставщиков

Организация должна иметь одного или более уполномоченных лиц, ответственных за менеджмент отношений, договоры и показатели деятельности внешних поставщиков.

В отношении каждого внешнего поставщика организация должна согласовать документированный договор. Договор должен включать в себя или содержать ссылку:

a) на область применения сервисов, компоненты сервисов, процессы или части процессов, которые должны быть предоставлены или приведены в действие внешним поставщиком;

b) требования, которые должны соблюдаться внешним поставщиком;

c) цели уровня сервисов или другие договорные обязательства;

d) полномочия и ответственности организации и внешнего поставщика.

Организация должна оценивать согласованность целей уровня сервисов и других договорных обязательств внешнего поставщика на соответствие SLA с потребителями, а также управлять идентифицированными рисками. Организация должна определить и управлять взаимодействием с внешними поставщиками.

Через запланированные промежутки времени организация должна осуществлять мониторинг показателей деятельности внешнего поставщика. В случаях, когда цели уровня сервисов или другие договорные обязательства не соблюдаются, организация должна обеспечивать идентификацию возможностей для улучшения.

Через запланированные промежутки времени организация должна анализировать договор на предмет соответствия действующим требованиям к сервисам. Изменения, идентифицированные в отношении договора, должны быть оценены на предмет воздействия изменения на СМС и сервисы до утверждения изменения.

Споры между организацией и внешним поставщиком должны быть зарегистрированы и управляться до момента их урегулирования.

8.3.4.2 Менеджмент внутренних поставщиков и потребителей, выступающих в роли поставщика

В отношении каждого внутреннего поставщика и потребителя, выступающего в его роли, организация должна разработать, согласовать и поддерживать в рабочем состоянии документированное соглашение для определения целей уровня сервисов, других обязательств, видов деятельности и взаимосвязей между сторонами.

Через запланированные промежутки времени организация должна осуществлять мониторинг показателей деятельности внутреннего поставщика или потребителя, выступающего в роли поставщика. В случаях, когда цели уровня сервисов или другие согласованные обязательства не соблюдаются, организация должна обеспечивать идентификацию возможностей для улучшения.

8.4 Предложение и спрос

8.4.1 Бюджетирование и учет затрат на сервисы

Организация должна осуществлять бюджетирование и учет сервисов или групп сервисов в соответствии со своими политиками и процессами финансового менеджмента.

Затраты должны быть заложены в бюджет в целях обеспечения результативного финансового управления и принятия решений в отношении сервисов.

Через запланированные промежутки времени организация должна осуществлять мониторинг и предоставлять отчетность о фактических затратах в сравнении с бюджетом, анализировать прогнозы финансового положения и управлять затратами.

Примечание - Многие, но не все организации берут плату за свои сервисы. Бюджетирование и учет затрат на сервисы в настоящем стандарте исключает взимание платы для обеспечения применимости ко всем организациям.

8.4.2 Управление спросом

Через запланированные промежутки времени организация должна:

a) определять текущий и прогнозировать будущий уровень спроса на сервисы;

b) осуществлять мониторинг и предоставлять отчетность об уровне спроса и потреблении сервисов.

Примечание - Управление спросом обеспечивает понимание текущего и будущего уровня спроса потребителей на сервисы. Управление мощностями совмещается с управлением спросом в целях планирования и предоставления и предоставления достаточных мощностей для удовлетворения спроса.

8.4.3 Управление мощностями

Требования к мощностям человеческих, технических, информационных и финансовых ресурсов должны быть определены, документированы и поддерживаться в рабочем состоянии с учетом требований к сервисам и производительности.

Организация должна планировать мощности, включая:

a) текущую и прогнозируемую мощность на основе спроса на сервисы;

b) ожидаемое воздействие согласованных целей уровня сервисов, требований к доступности и непрерывности сервисов на мощность;

c) временные рамки и пороговые значения для изменений в мощности сервиса.

Организация должна обеспечить мощность, достаточную для соответствия согласованным требованиям к мощности и производительности. Организация должна осуществлять мониторинг использования мощностей, анализировать данные о мощностях и производительности, а также идентифицировать возможности для повышения производительности.

8.5 Проектирование, построение и перенесение сервисов

8.5.1 Управление изменениями

8.5.1.1 Политика в области управления изменениями

Политика в области управления изменениями должна быть разработана и документирована для определения:

a) компонентов сервисов и других факторов, находящихся под контролем при управлении изменениями;

b) категорий изменений, включая аварийное изменение и то, как они должны управляться;

c) критериев для определения изменений, которые потенциально могут оказывать значительное воздействие на потребителей или сервисы.

8.5.1.2 Инициирование управления изменениями

Запросы на изменения, включая предложения о добавлении, прекращении или перенесении сервисов, должны быть зарегистрированы и классифицированы.

Организация должна использовать проектирование и перенесение сервисов, описанные в п.8.5.2, в отношении:

a) новых сервисов, которые потенциально могут оказывать значительное воздействие на потребителей или другие сервисы, как определено политикой в области управления изменениями;

b) изменений сервисов, которые потенциально могут оказывать значительное воздействие на потребителей или другие сервисы, как определено политикой в области управления изменениями;

c) категорий изменений, которые должны управляться проектированием и перенесением в соответствии с политикой в области управления изменениями;

d) прекращения предоставления сервиса;

e) перехода существующего сервиса от организации потребителю или другой стороне;

f) перехода существующих сервисов от потребителей или других сторон организации.

Оценка, утверждение, планирование и анализ новых или измененных сервисов в области п.8.5.2 должны управляться посредством деятельности по управлению изменениями, описанному в п.8.5.1.3.

Запросы на изменения, не управляемые посредством п.8.5.2, должны управляться посредством деятельности по управлению изменениями, описанному в п.8.5.1.3.

8.5.1.3 Деятельность по управлению изменениями

Организация и заинтересованные стороны должны принимать решения об утверждении и приоритетности запросов на изменения. При принятии решений должны быть учтены риски, коммерческие выгоды, осуществимость и финансовые последствия. При принятии решений также должны быть учтены потенциальные воздействия изменения на:

a) существующие сервисы;

b) потребителей, пользователей и другие заинтересованные стороны;

c) политики и планы, необходимые согласно настоящему стандарту;

d) мощность, доступность, непрерывность сервисов и информационную безопасность;

e) другие запросы на изменения, релизы и планы развертывания.

Утвержденные изменения должны быть подготовлены, верифицированы и, если это возможно, подвержены испытаниям. Предлагаемые даты развертывания и другая подробная информация о развертывании утвержденных изменений должны быть доведены до сведения заинтересованных сторон.

Виды деятельности, направленные на отмену или исправление неудачного изменения, должны быть запланированы и, если это возможно, подвержены испытаниям.

При неудачных изменениях следует провести расследование и принять согласованные действия.

Организация должна анализировать изменения на предмет их результативности для внедрения действий, согласованных с заинтересованными сторонами.

Через запланированные промежутки времени записи по запросам на изменения должны подвергаться анализу для выявления тенденций. Результаты и заключения анализа должны быть зарегистрированы и рассмотрены для выявления возможностей для улучшения.

8.5.2 Проектирование и перенесение сервисов

8.5.2.1 Планирование новых или измененных сервисов

При планировании должны быть использованы требования к сервисам для новых и измененных сервисов, указанные в п.8.2.2, а также должны быть включены или указаны в виде ссылок:

a) полномочия и ответственности за деятельность по проектированию, построению и перенесению сервисов;

b) виды деятельности, которые должны осуществляться организацией или другими сторонами, и сроки их выполнения;

c) человеческие, технические, информационные и финансовые ресурсы;

d) зависимости от других сервисов;

e) необходимые испытания новых и измененных сервисов;

f) критерии приемки сервисов;

g) запланированные результаты предоставления новых или измененных сервисов, выраженные в измеримой форме;

h) воздействие на СМС, другие сервисы, запланированные изменения, потребителей, пользователей и другие заинтересованные стороны.

В отношении сервисов, подлежащих отмене, планирование должно дополнительно включать дату(ы) отмены сервисов и деятельность по архивированию, удалению или перенесению данных, документированной информации и компонентов сервисов.

В отношении сервисов, которые должны быть перенесены, планирование должно дополнительно включать дату(ы) перенесения сервисов и мероприятия по перенесению данных, документированной информации, знаний и компонентов сервисов.

ЭК, на которые воздействовали новые или измененные сервисы, подлежат управлению посредством менеджмента конфигураций.

8.5.2.2 Проектирование

Новые или измененные сервисы должны быть спроектированы и документированы таким образом, чтобы соответствовать требованиям к сервисам, указанным в п.8.2.2. Проектирование должно включать соответствующие разделы из приведенного ниже списка:

a) полномочия и ответственности сторон, участвующих в предоставлении новых или измененных сервисов;

b) требования к изменениям в человеческих, технических, информационных и финансовых ресурсах;

c) требования к соответствующему образованию, подготовке и опыту;

d) новые или измененные SLA, договоры и другие документированные соглашения, поддерживающие сервисы;

e) изменения в СМС, включая новые или измененные политики, планы, процессы, процедуры, измерения и знания;

f) воздействие на другие сервисы;

g) актуализация каталога(ов) сервисов.

8.5.2.3 Построение и перенесение

Новые или измененные сервисы подлежат испытанию для верификации того, что они удовлетворяют требованиям к сервисам, соответствуют документированному проекту и отвечают согласованным критериям приемки сервисов. При несоблюдении критериев приемки сервисов организация и заинтересованные стороны должны принять решение в отношении необходимых действий и внедрения.

Управление релизами и внедрением должно использоваться для внедрения утвержденных новых или измененных сервисов в производственную среду.

По завершении деятельности по перенесению организация должна предоставить заинтересованным сторонам отчетность о достижении запланированных результатов.

8.5.3 Управление релизами и внедрением

Организация должна определить типы релизов, включая аварийные релизы, их частоту и способ управления.

Организация должна планировать внедрение новых или измененных сервисов и компонентов сервисов в производственную среду. Планирование должно быть скоординировано с менеджментом изменений и включать ссылки на соответствующие запросы на изменения, известные ошибки или проблемы, закрываемые посредством релиза. Планирование должно включать даты внедрения каждого релиза, планируемые результаты и методы развертывания.

Релиз должен быть верифицирован на соответствие документированным критериям приемки и утвержден до его внедрения. При несоблюдении критериев приемки организация и заинтересованные стороны должны принять решение в отношении необходимых действий и внедрения.

Перед внедрением релиза в производственную среду должны быть утверждены основные параметры затронутых ЭК. Релиз должен быть внедрен в производственную среду таким образом, чтобы сохранять целостность сервисов и компонентов сервисов.

Успешное или неудачное внедрение релиза должно подвергаться мониторингу и анализу. Измерения должны включать в себя инциденты, относящиеся к релизу в период, следующий за внедрением релиза. Результаты и заключения по анализу должны быть зарегистрированы и проанализированы для идентификации возможностей для улучшения.

Информация об успешных или неудачных внедрениях релизов и даты предстоящих релизов должны предоставляться для других видов деятельности по управлению сервисами, если применимо.

8.6 Разрешение и осуществление

8.6.1 Управление инцидентами

Инциденты должны быть:

a) зарегистрированы и классифицированы;

b) расположены в порядке приоритетности с учетом воздействия и экстренности;

c) расширены, если необходимо;

d) урегулированы;

e) закрыты.

Записи в отношении инцидентов должны быть актуализированы с указанием предпринятых действий.

Организация должна определить критерии для идентификации значительных инцидентов. Значительные инциденты должны быть классифицированы и управляться в соответствии с документированной процедурой. Высшее руководство должно быть осведомлено о значительных инцидентах. Организация должна распределить ответственности за управление каждым значительным инцидентом. После урегулирования значительный инцидент должен быть отражен в отчетности и проанализирован для идентификации возможностей для улучшения.

8.6.2 Управление запросами на сервисы

Запросы на сервисы должны быть:

a) зарегистрированы и классифицированы;

b) расположены в порядке приоритетности;

c) выполнены;

d) закрыты.

Записи в отношении запросов на сервисы должны быть актуализированы с указанием предпринятых действий.

Инструкции по выполнению запросов на сервисы должны быть доступны для лиц, участвующих в выполнении запросов на сервисы.

8.6.3 Управление проблемами

Организация должна анализировать данные и тенденции в отношении инцидентов с целью идентификации проблем, а также осуществлять анализ коренных причин и определять потенциальные действия по предотвращению возникновения или повторного возникновения инцидентов.

Проблемы должны быть:

a) зарегистрированы и классифицированы;

b) расположены в порядке приоритетности;

c) расширены, если необходимо;

d) урегулированы, если возможно;

e) закрыты.

Записи в отношении проблем должны быть актуализированы с указанием предпринятых действий. Изменения, необходимые для урегулирования проблемы, должны управляться в соответствии с политикой в области управления изменениями.

В случаях, когда коренная причина была идентифицирована, но проблема не была окончательно устранена, организация должна определить действия по снижению уровня или устранению воздействия проблемы на сервисы. Известные ошибки должны быть зарегистрированы. Актуальная информация об устранении известных ошибок и проблем должна быть доступна для других видов деятельности по менеджменту сервисов, если необходимо.

Через запланированные интервалы времени результативность урегулирования проблем должна подвергаться мониторингу, анализу и должна быть отражена в отчетности.

8.7 Обеспечение сервисов

8.7.1 Управление доступностью сервисов

Через запланированные интервалы времени риски в отношении доступности сервисов должны быть оценены и документированы. Организация должна определить требования и цели доступности сервисов. Согласованные требования должны учитывать соответствующие требования бизнеса, требования сервисов, SLA и риски.

Требования к доступности сервисов и цели должны быть документированы и поддерживаться в рабочем состоянии.

Доступность сервисов должна подвергаться мониторингу, результаты которого должны быть зарегистрированы и проверены на соответствие целям. Нарушение доступности должно быть расследовано, необходимые действия должны быть приняты.

Примечание - Риски, идентифицированные в п.6.1, могут предоставить входные данные для рисков в отношении доступности, непрерывности сервисов и информационной безопасности.

8.7.2 Управление непрерывностью сервисов

Через запланированные интервалы времени риски в отношении непрерывности сервисов должны быть оценены и документированы. Организация должна определить требования к непрерывности сервисов. Согласованные требования должны учитывать соответствующие требования бизнеса, требования сервисов, SLA и риски.

Организация должна разработать, внедрить и поддерживать в рабочем состоянии один или более планов непрерывности сервисов. План непрерывности сервисов должен включать в себя или содержать ссылку на:

a) критерии и ответственности за внедрение непрерывности сервисов;

b) процедуры, которые должны быть внедрены в случае значительных проблем в предоставлении сервиса;

c) цели в отношении доступности сервисов при внедрении плана непрерывности сервисов;

d) требования к восстановлению сервисов;

e) процедуры по возврату к нормальным условиям функционирования.

Планы непрерывности сервисов и перечни контактных лиц должны быть доступны при отсутствии доступа к обычным местам предоставления сервисов.

Через запланированные интервалы времени планы непрерывности сервисов должны подвергаться проверкам на соответствие требованиям к непрерывности сервисов. Планы непрерывности сервисов должны подвергаться повторным проверкам после внедрения значительных изменений в среду сервисов. Результаты проверок должны быть зарегистрированы. Анализ должен быть проведен после каждой проверки и после внедрения каждого плана непрерывности сервисов. При обнаружении несоответствий организация должна предпринимать соответствующие действия.

При внедрении плана непрерывности сервисов организация должна отражать в отчетности причину, воздействие и восстановление.

8.7.3 Менеджмент информационной безопасности

8.7.3.1 Политика в области информационной безопасности

Руководство с соответствующими полномочиями должно утвердить политику в области информационной безопасности, соответствующую организации. Политика в области информационной безопасности должна быть документирована и учитывать требования к сервисам и обязательства, указанные в 6.3 c).

Политика в области информационной безопасности должна быть доступна при необходимости. Организация должна довести важность соответствия политике в области информационной безопасности и ее применимость к СМС и сервисам до сведения соответствующих лиц среди:

a) организации;

b) потребителей и пользователей;

c) внешних поставщиков, внутренних поставщиков и других заинтересованных сторон.

8.7.3.2 Средства управления информационной безопасностью

Через запланированные интервалы времени риски, связанные с информационной безопасностью, в отношении СМС и сервисов должны быть оценены и документированы. Средства управления информационной безопасностью должны быть определены, внедрены и реализованы в целях обеспечения политики в области информационной безопасности, а также должны учитывать идентифицированные риски, связанные с информационной безопасностью. Решения в отношении средств управления информационной безопасностью должны быть документированы.

Организация должна согласовать и внедрить средства управления информационной безопасностью в отношении рисков, связанных с информационной безопасностью для внешних организаций.

Организация должна осуществлять мониторинг и анализ результативности средств управления информационной безопасностью и предпринимать соответствующие действия.

8.7.3.3 Инциденты информационной безопасности

Инциденты информационной безопасности должны быть:

a) зарегистрированы и классифицированы;

b) расположены в порядке приоритетности с учетом рисков, связанных с информационной безопасностью;

c) расширены, если необходимо;

d) урегулированы;

e) закрыты.

Организация должна анализировать инциденты информационной безопасности на основе их типа, объема и воздействия на СМС, сервисы и заинтересованные стороны. Инциденты информационной безопасности должны быть отражены в отчетности и проанализированы для идентификации возможностей для улучшения.

Примечание - Стандарты серии ИСО/МЭК 27000 содержат требования и предоставляют руководство для обеспечения внедрения и функционирования системы менеджмента информационной безопасности. ИСО/МЭК 27013 предоставляет руководство по интеграции ИСО/МЭК 27001 и ИСО/МЭК 20000-1 (настоящий стандарт).

9 Оценка результатов деятельности

9.1 Мониторинг, измерение, анализ и оценка

Организация должна определить:

a) что должно подлежать мониторингу и измерениям в отношении СМС и сервисов;

b) методы мониторинга, измерения, анализа и оценки, если применимо, для обеспечения достоверных результатов;

c) когда должны проводиться мониторинг и измерения;

d) когда результаты мониторинга и измерений должны быть проанализированы и оценены.

Организация должна сохранять соответствующую документированную информацию как свидетельство полученных результатов.

Организация должна оценивать результаты деятельности СМС на соответствие целям менеджмента сервисов и оценивать результативность СМС. Организация должна оценивать результативность сервисов на соответствие требованиям сервисов.

9.2 Внутренний аудит

9.2.1 Организация должна проводить внутренние аудиты через запланированные интервалы времени для получения информации, что СМС:

a) соответствует:

1) собственным требованиям организации к ее СМС;

2) требованиям настоящего стандарта;

b) результативно внедрена и поддерживается в рабочем состоянии.

9.2.2 Организация должна:

a) планировать, разрабатывать, реализовывать и поддерживать в актуальном состоянии программу(ы) аудитов, включая периодичность, методы проведения аудитов, ответственность, требования к планированию и предоставление отчетности с учетом:

1) важности проверяемых процессов;

2) изменений, оказывающих влияние на организацию;

3) результатов предыдущих аудитов;

b) определять критерии аудита и область для каждого аудита;

c) отбирать аудиторов и проводить аудиты так, чтобы обеспечивать объективность и беспристрастность процесса аудита;

d) обеспечивать передачу информации о результатах аудитов соответствующим руководителям;

e) сохранять документированную информацию как свидетельство реализации программ(ы) аудитов и результатов аудитов.

Примечание - ИСО 19011 предоставляет руководство по аудиту систем менеджмента.

9.3 Анализ со стороны руководства

Высшее руководство должно анализировать через запланированные интервалы времени СМС и сервисы организации в целях обеспечения их постоянной пригодности, адекватности и результативности.

Анализ со стороны руководства должен включать в себя рассмотрение:

a) статуса действий по результатам предыдущих анализов со стороны руководства;

b) изменений во внешних и внутренних факторах, касающихся СМС;

c) информации о результатах деятельности и результативности СМС, включая тенденции, относящиеся к:

1) несоответствиям и корректирующим действиям;

2) результатам мониторинга и измерений;

3) результатам аудитов;

d) возможностям для постоянного улучшения;

e) обратной связи от потребителей и других заинтересованных сторон;

f) соответствию и пригодности политики менеджмента сервисов и других политик, требуемым согласно настоящему стандарту;

g) степени достижения целей в области менеджмента сервисов;

h) результатам деятельности сервисов;

i) результатам деятельности других сторон, участвующих в предоставлении сервисов;

j) текущим и прогнозируемым уровням человеческих, технических, информационных и финансовых ресурсов, а также возможностям человеческих и технических ресурсов;

k) результатам оценки рисков и результативности действий, предпринятых в отношении рисков и возможностей;

l) изменениям, которые могут оказывать воздействие на СМС и сервисы.

Выходные данные анализа со стороны руководства должны включать в себя решения, относящиеся к возможностям для постоянного улучшения и любым необходимым изменениям СМС и сервисов.

Организация должна сохранять документированную информацию как свидетельство результатов анализов со стороны руководства.

9.4 Отчетность по сервисам

Организация должна определить требования к отчетности и ее цель.

Отчеты по результатам деятельности и результативности СМС и сервисов должны составляться с использованием информации, основанной на деятельности СМС и предоставлении сервисов. Отчетность по сервисам должна включать в себя информацию о тенденциях.

Организация должна принимать решения и осуществлять действия на основе свидетельств, приведенных в отчетах по сервисам. Согласованные действия должны быть доведены до сведения заинтересованных сторон.

Примечание - Необходимые отчеты указаны в соответствующих пунктах настоящего стандарта. Также могут быть подготовлены дополнительные отчеты.

10 Улучшение

10.1 Несоответствия и корректирующие действия

10.1.1 При появлении несоответствий организация должна:

a) реагировать на данное несоответствие и, насколько применимо:

1) предпринимать действия по его управлению и коррекции;

2) предпринимать действия в отношении последствий;

b) оценивать необходимость действий по устранению причин несоответствия, с тем чтобы избежать его повторного появления или появления в другом месте посредством:

1) анализа несоответствия;

2) определения причин несоответствия;

3) определения наличия аналогичного несоответствия или возможности его возникновения где-либо еще;

c) выполнять все необходимые действия;

d) анализировать результативность каждого предпринятого корректирующего действия;

e) при необходимости вносить изменения в СМС.

Корректирующие действия должны соответствовать последствиям выявленных несоответствий.

10.1.2 Организация должна сохранять документированную информацию как свидетельство:

a) характера выявленных несоответствий и всех последующих предпринятых действий;

b) результатов всех корректирующих действий.

10.2 Постоянное улучшение

Организация должна постоянно улучшать пригодность, адекватность и результативность СМС и сервисов.

Организация должна определить критерии оценки, которые необходимо применять к возможностям для улучшения при принятии решений об их утверждении. Критерии оценки должны включать согласование улучшения с целями менеджмента сервисов.

Возможности для улучшения должны быть документированы. Организация должна управлять деятельностью, связанной с утвержденными улучшениями, которая включает:

a) установление одной или нескольких целей для улучшения в таких областях, как качество, ценность, способность, стоимость, производительность, использование ресурсов и снижение уровня рисков;

b) обеспечение определения приоритетности, планирования и внедрения улучшений;

c) внесение изменений в СМС, если необходимо;

d) измерение внедренных улучшений на соответствие установленным целям и осуществление необходимых действий в случаях, когда цели не достигнуты;

e) предоставление отчетности о внедренных улучшениях.

Примечание - Улучшения могут включать ответные и превентивные действия, такие как коррекции, корректирующие действия, предупреждающие действия, модернизация, инновация и реорганизация.

Библиография

[1]

ISO 9000*

Quality management systems - Fundamentals and vocabulary (Системы менеджмента качества. Основные положения и словарь)

[2]

ISO 9001

Quality management systems - Requirements (Системы менеджмента качества. Требования)

[3]

ISO 19011

Quality management systems - Guidelines for auditing management systems (Системы менеджмента качества. Руководящие указания по аудиту систем менеджмента)

[4]

ISO 22301

Societal security - Business continuity management systems - Requirements (Общественная безопасность. Системы менеджмента непрерывности бизнеса. Требования)

[5]

ISO 31000

Risk management - Guidelines (Менеджмент рисков. Руководство)

[6]

ISO 55001

Asset management - Management systems - Requirements (Менеджмент активов. Системы менеджмента. Требования)

[7]

Руководство ISO 73

Risk management - Vocabulary (Менеджмент рисков. Словарь)

[8]

ISO/IEC 19770-1

Information technology - IT asset management - Part 1: IT asset management systems - Requirements (Информационные технологии. Менеджмент ИТ-активов. Часть 1. Системы менеджмента ИТ-активов. Требования)

[9]

ISO/IEC 19770-5

Information technology - IT asset management - Part 5: Overview and vocabulary (Информационные технологии. Менеджмент ИТ-активов. Часть 5. Общее представление и словарь)

[10]

ISO/IEC 20000-2

Information technology - Service management - Part 2: Guidance on the application of service management systems (Информационные технологии. Менеджмент сервисов. Часть 2. Руководство по применению систем менеджмента сервисов)

[11]

ISO/IEC 20000-3

Information technology - Service management - Part 3: Guidance on scope definition and applicability of ISO/IEC 20000-1 (Информационные технологии. Менеджмент сервисов. Часть 3. Руководство по определению области применения и применимости ISO/IEC 20000-1)

[12]

ISO/IEC/TR 20000-5

Information technology - Service management - Part 5: Exemplar implementation plan for ISO/IEC 20000-1 (Информационные технологии. Менеджмент сервисов. Часть 5. Примерный план внедрения ISO/IEC 20000-1)

[13]

ISO/IEC 20000-6

Information technology - Service management - Part 6: Requirements for bodies providing audit and certification of service management systems (Информационные технологии. Менеджмент сервисов. Часть 6. Требования к органам, осуществляющим аудит и сертификацию систем менеджмента сервисов)

[14]

ISO/IEC 20000-10

Information technology - Service management - Part 10: Concepts and vocabulary (Информационные технологии. Менеджмент сервисов. Частью. Понятия и словарь)

[15]

ISO/IEC/TR 20000-11

Information technology - Service management - Part 11: Guidance on the relationship between ISO/IEC 20000-1:2011 and service management frameworks: ITIL®
(Информационные технологии. Менеджмент сервисов. Часть 11. Руководство по взаимоотношениям между ISO/IEC 20000-1:2011 и основами менеджмента сервисов: ITIL®
)

_________________

ITIL является [зарегистрированной] торговой маркой AXELOS Limited, используемой с разрешения AXELOS Limited. Все права защищены.

[16]

ISO/IEC/TR 20000-12

Information technology - Service management - Part 12: Guidance on the relationship between ISO/IEC 20000-1:2011 and service management frameworks: CMMI-SVC
(Информационные технологии. Менеджмент сервисов. Часть 12. Руководство по взаимоотношениям между ISO/IEC 20000-1:2011 и основами менеджмента сервисов: CMMI-SVC
)

_________________

CMMI-SVC является зарегистрированной торговой маркой Института CMMI.

[17]

ISO/IEC 27000

Information technology - Security techniques - Information security management systems - Overview and vocabulary (Информационные технологии. Методы обеспечения безопасности. Системы менеджмента информационной безопасности. Общее представление и словарь)

[18]

ISO/IEC 27001

Information technology - Security techniques - Information security management systems - Requirements (Информационные технологии. Методы обеспечения безопасности. Системы менеджмента информационной безопасности. Требования)

[19]

ISO/IEC 27013

Information technology - Security techniques - Guidance on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1 (Информационные технологии. Методы обеспечения безопасности. Руководство по интегрированному внедрению ISO/IEC 27001 и ISO/IEC 20000-1)

УДК 004.05:006.354

ОКС 35.020

Ключевые слова: информационная технология, управление сервисами, система управления сервисами