Information technology -- Service management

This document includes guidance on the scope definition and applicability to the requirements specified in ISO/IEC 20000-1. This document can assist in establishing whether ISO/IEC 20000-1 is applicable to an organization's circumstances. It illustrates how the scope of an SMS can be defined, irrespective of whether the organization has experience of defining the scope of other management systems. The guidance in this document can assist an organization in planning and preparing for a conformity assessment against ISO/IEC 20000-1. Annex A contains examples of possible scope statements for an SMS. The examples given use a series of scenarios for organizations ranging from very simple to complex service supply chains. This document can be used by personnel responsible for planning the implementation of an SMS, as well as assessors and consultants. It supplements the guidance on the application of an SMS given in ISO/IEC 20000-2. Requirements for bodies providing audit and certification of an SMS can be found in ISO/IEC 20000-6 which recommends the use of this document.

Technologies de l'information -- Gestion des services

Le présent document contient des recommandations pour la détermination du périmčtre et l'applicabilité aux exigences spécifiées dans l'ISO/IEC 20000-1. Le présent document peut aider l'organisme ŕ déterminer si l'ISO/IEC 20000-1 est applicable ŕ sa situation. Il illustre la façon dont le périmčtre d'application d'un SMS peut ętre défini, quelle que soit l'expérience de l'organisme en matičre de définition du périmčtre d'application d'autres systčmes de management. Les recommandations fournies dans le présent document peuvent aider un organisme ŕ planifier et préparer une évaluation de la conformité ŕ l'ISO/IEC 20000-1. L'Annexe A contient des exemples de déclarations de périmčtre possibles pour un SMS. Les exemples donnés s'appuient sur une série de scénarios pour les organismes, allant de chaînes d'approvisionnement des services trčs simples ŕ des chaînes d'approvisionnement des services plus complexes. Le présent document peut ętre utilisé par le personnel responsable de la planification de la mise en œuvre d'un SMS, de męme que par des évaluateurs et des consultants. Il vient compléter les recommandations pour l'application d'un SMS contenues dans l'ISO/IEC 20000-2. Les exigences applicables aux organes chargés d'assurer l'audit et la certification d'un SMS peuvent ętre trouvées dans l'ISO/IEC 20000-6, qui recommande l'utilisation du présent document.

General Information

Status
Published
Publication Date
18-Aug-2019
Current Stage
6060 - International Standard published
Start Date
06-Jul-2019
Completion Date
19-Aug-2019
Ref Project

RELATIONS

Buy Standard

Standard
ISO/IEC 20000-3:2019 - Information technology -- Service management
English language
28 pages
sale 15% off
Preview
sale 15% off
Preview
Standard
ISO/IEC 20000-3:2019 - Technologies de l'information -- Gestion des services
French language
29 pages
sale 15% off
Preview
sale 15% off
Preview

Standards Content (sample)

INTERNATIONAL ISO/IEC
STANDARD 20000-3
Second edition
2019-08
Information technology — Service
management —
Part 3:
Guidance on scope definition and
applicability of ISO/IEC 20000-1
Technologies de l'information — Gestion des services —
Partie 3: Recommandations pour la détermination du périmètre et
l'applicabilité de l'ISO/IEC 20000-1
Reference number
ISO/IEC 20000-3:2019(E)
ISO/IEC 2019
---------------------- Page: 1 ----------------------
ISO/IEC 20000-3:2019(E)
COPYRIGHT PROTECTED DOCUMENT
© ISO/IEC 2019

All rights reserved. Unless otherwise specified, or required in the context of its implementation, no part of this publication may

be reproduced or utilized otherwise in any form or by any means, electronic or mechanical, including photocopying, or posting

on the internet or an intranet, without prior written permission. Permission can be requested from either ISO at the address

below or ISO’s member body in the country of the requester.
ISO copyright office
CP 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Geneva
Phone: +41 22 749 01 11
Fax: +41 22 749 09 47
Email: copyright@iso.org
Website: www.iso.org
Published in Switzerland
ii © ISO/IEC 2019 – All rights reserved
---------------------- Page: 2 ----------------------
ISO/IEC 20000-3:2019(E)
Contents Page

Foreword ........................................................................................................................................................................................................................................iv

Introduction ..................................................................................................................................................................................................................................v

1 Scope ................................................................................................................................................................................................................................. 1

2 Normative references ...................................................................................................................................................................................... 1

3 Terms and definitions ..................................................................................................................................................................................... 1

4 Fulfilling the requirements specified in ISO/IEC 20000-1 ........................................................................................ 1

4.1 Structure of the SMS ........................................................................................................................................................................... 1

4.2 Demonstrating conformity ........................................................................................................................................................... 2

4.3 Authorities and responsibilities across the service supply chain ............................................................... 3

5 Applicability of ISO/IEC 20000-1 ....................................................................................................................................................... 3

5.1 Principles of applicability .............................................................................................................................................................. 3

5.1.1 Applicability ......................................................................................................................................................................... 3

5.1.2 Organization ........................................................................................................................................................................ 3

5.1.3 Commercial status .......................................................................................................................................................... 4

5.1.4 Scope .......................................................................................................................................................................................... 4

5.1.5 Requirements ..................................................................................................................................................................... 4

5.1.6 Authorities and responsibilities ......................................................................................................................... 4

5.2 Parties involved in an SMS ............................................................................................................................................................ 4

5.2.1 Types of suppliers ........................................................................................................................................................... 4

5.2.2 Improvements to the SMS and services ....................................................................................................... 5

5.2.3 Evaluation and selection of other parties ................................................................................................... 5

5.3 Control of other parties ................................................................................................................................................................... 5

5.3.1 Processes, services and service components provided or operated by

other parties ........................................................................................................................................................................ 5

5.3.2 Accountability .................................................................................................................................................................... 6

5.3.3 Integration, interfaces and co-ordination .................................................................................................. 6

5.3.4 Definition of controls for measuring and evaluating other parties ..................................... 7

5.3.5 Management of the service supply chain ................................................................................................... 7

6 General principles for the scope of an SMS ............................................................................................................................... 7

6.1 Introduction .............................................................................................................................................................................................. 7

6.2 The scope of the SMS ......................................................................................................................................................................... 8

6.2.1 Defining the scope .......................................................................................................................................................... 8

6.2.2 Scope definition and assessment ....................................................................................................................... 8

6.2.3 Limits to the scope ......................................................................................................................................................... 8

6.2.4 Commercial considerations .................................................................................................................................... 9

6.3 Agreements between customers and the organization ....................................................................................... 9

6.4 Scope definition parameters ....................................................................................................................................................... 9

6.4.1 Parameters to define the scope of the SMS ............................................................................................... 9

6.4.2 Other parameters .........................................................................................................................................................10

6.5 Validity of scope definition ........................................................................................................................................................10

6.6 Changing the scope...........................................................................................................................................................................11

6.7 Service supply chains and SMS scope ..............................................................................................................................11

6.7.1 Reliance on other parties.......................................................................................................................................11

6.7.2 Demonstrating conformity across the service supply chain ...................................................11

6.8 Integrating with other management systems ...........................................................................................................12

Annex A (informative) Scenario based scope definitions ............................................................................................................13

Bibliography .............................................................................................................................................................................................................................28

© ISO/IEC 2019 – All rights reserved iii
---------------------- Page: 3 ----------------------
ISO/IEC 20000-3:2019(E)
Foreword

ISO (the International Organization for Standardization) and IEC (the International Electrotechnical

Commission) form the specialized system for worldwide standardization. National bodies that

are members of ISO or IEC participate in the development of International Standards through

technical committees established by the respective organization to deal with particular fields of

technical activity. ISO and IEC technical committees collaborate in fields of mutual interest. Other

international organizations, governmental and non-governmental, in liaison with ISO and IEC, also

take part in the work.

The procedures used to develop this document and those intended for its further maintenance are

described in the ISO/IEC Directives, Part 1. In particular, the different approval criteria needed for

the different types of document should be noted. This document was drafted in accordance with the

editorial rules of the ISO/IEC Directives, Part 2 (see www .iso .org/directives).

Attention is drawn to the possibility that some of the elements of this document may be the subject

of patent rights. ISO and IEC shall not be held responsible for identifying any or all such patent

rights. Details of any patent rights identified during the development of the document will be in the

Introduction and/or on the ISO list of patent declarations received (see www .iso .org/patents) or the IEC

list of patent declarations received (see http: //patents .iec .ch).

Any trade name used in this document is information given for the convenience of users and does not

constitute an endorsement.

For an explanation of the voluntary nature of standards, the meaning of ISO specific terms and

expressions related to conformity assessment, as well as information about ISO's adherence to the

World Trade Organization (WTO) principles in the Technical Barriers to Trade (TBT) see www .iso

.org/iso/foreword .html.

This document was prepared by Joint Technical Committee ISO/IEC JTC 1, Information technology,

Subcommittee SC 40, IT Service Management and IT Governance.

This second edition cancels and replaces the first edition (ISO/IEC 20000-3:2012), which has been

technically revised.
The main changes from the previous edition are as follows:
a) this document has been aligned with the third edition of ISO/IEC 20000-1;

b) example scenarios in Annex A have been updated to reflect contemporary service management

environments, including complex service supply chains.
A list of all parts in the ISO/IEC 20000 series can be found on the ISO website.

Any feedback or questions on this document should be directed to the user’s national standards body. A

complete listing of these bodies can be found at www .iso .org/members .html.
iv © ISO/IEC 2019 – All rights reserved
---------------------- Page: 4 ----------------------
ISO/IEC 20000-3:2019(E)
Introduction

This document provides guidance on scope definition and applicability of ISO/IEC 20000-1. This

document does not add any requirements to those stated in ISO/IEC 20000-1.

Organizations, of any size, type, or area of operations, can provide a range of services to different types

of customers, internal and external, and rely on complex service supply chains.

NOTE The term “service supply chain”, as used in this document, refers to the way services are coordinated

across internal and external suppliers. It is not intended to limit the applicability of this document to any specific

sector or industry.

The operation of a service management system (SMS) may involve many parties across legal

jurisdictions, national boundaries and time zones. The SMS should include the appropriate controls to

facilitate the coordination of all parties participating in the service lifecycle.

This document takes the form of examples, guidance and recommendations. It should not be quoted as

if it were a specification of requirements.
© ISO/IEC 2019 – All rights reserved v
---------------------- Page: 5 ----------------------
INTERNATIONAL STANDARD ISO/IEC 20000-3:2019(E)
Information technology — Service management —
Part 3:
Guidance on scope definition and applicability of ISO/
IEC 20000-1
1 Scope

This document includes guidance on the scope definition and applicability to the requirements specified

in ISO/IEC 20000-1.

This document can assist in establishing whether ISO/IEC 20000-1 is applicable to an organization’s

circumstances. It illustrates how the scope of an SMS can be defined, irrespective of whether the

organization has experience of defining the scope of other management systems.

The guidance in this document can assist an organization in planning and preparing for a conformity

assessment against ISO/IEC 20000-1.

Annex A contains examples of possible scope statements for an SMS. The examples given use a series of

scenarios for organizations ranging from very simple to complex service supply chains.

This document can be used by personnel responsible for planning the implementation of an SMS, as

well as assessors and consultants. It supplements the guidance on the application of an SMS given in

ISO/IEC 20000-2.

Requirements for bodies providing audit and certification of an SMS can be found in ISO/IEC 20000-6

which recommends the use of this document.
2 Normative references

The following documents are referred to in the text in such a way that some or all of their content

constitutes requirements of this document. For dated references, only the edition cited applies. For

undated references, the latest edition of the referenced document (including any amendments) applies.

ISO/IEC 20000-10, Information technology — Service management — Part 10: Concepts and vocabulary

3 Terms and definitions

For the purposes of this document, the terms and definitions given in ISO/IEC 20000-10 apply.

ISO and IEC maintain terminological databases for use in standardization at the following addresses:

— IEC Electropedia: available at http: //www .electropedia .org/
— ISO Online browsing platform: available at http: //www .iso .org/obp
4 Fulfilling the requirements specified in ISO/IEC 20000-1
4.1 Structure of the SMS

Figure 1 illustrates an SMS showing the clause content of ISO/IEC 20000-1. It does not represent

a structural hierarchy, sequence, or authority levels. It shows that the requirements in

© ISO/IEC 2019 – All rights reserved 1
---------------------- Page: 6 ----------------------
ISO/IEC 20000-3:2019(E)

ISO/IEC 20000-1:2018, Clause 8, Operation of the SMS, have been split into subclauses to reflect the

service lifecycle. The subclauses are commonly referred to as the service management processes. The

service management processes and the relationships between the processes can be implemented in

different ways by organizations. The relationships between each organization and its customers, users

and other interested parties influence how the service management processes are implemented.

Figure 1 — Service management system

The structure of clauses in ISO/IEC 20000-1 is intended to provide a coherent presentation of

requirements, rather than a model for documenting an organization’s policies, objectives and processes.

Process names can be different from those used in ISO/IEC 20000-1 provided all the requirements

are fulfilled. Processes can be combined or split in different ways from the clause structure listed in

ISO/IEC 20000-1.

There is no requirement for the terms used by an organization to be replaced by the terms used in

this document. Organizations can choose to use terms that suit their operations. For example, change

management and release and deployment management can be combined as one process.

Mapping an organization’s process names against the requirements in ISO/IEC 20000-1 can assist an

auditor in understanding how those requirements are fulfilled. An SMS as designed by an organization

claiming conformity with ISO/IEC 20000-1, cannot exclude any of the requirements specified in

ISO/IEC 20000-1.
4.2 Demonstrating conformity

An organization can only claim conformity by fulfilling all requirements specified in ISO/IEC 20000-1.

Conformity to the requirements specified in ISO/IEC 20000-1 can be demonstrated by an organization

showing evidence of:
a) fulfilling the requirements itself;
2 © ISO/IEC 2019 – All rights reserved
---------------------- Page: 7 ----------------------
ISO/IEC 20000-3:2019(E)

b) controls for other parties that are involved in performing activities to support the SMS.

Some or all of the requirements of ISO/IEC 20000-1:2018, Clauses 6 to 10, can be fulfilled by other

parties, provided the organization can demonstrate controls for those other parties. For example, other

parties can be used to conduct internal audits.

ISO/IEC 20000-1:2018, Clauses 4 to 5 should be fulfilled by the organization itself. However, another

party can act on behalf of the organization, e.g. in preparation of the service management plan.

As another example, an organization can demonstrate evidence of controls for the processes operated

by other parties or services that are outsourced. It is important that the organization understand which

activities are to be performed by other parties to support the SMS.
4.3 Authorities and responsibilities across the service supply chain

It is important that the organization has clearly defined authorities and responsibilities for all parties

in the service supply chain.

The organization should retain operational control of, and accountability for the services in scope of the

SMS as described in ISO/IEC 20000-1:2018, 5.1, but can use other parties to support these requirements.

The organization is required to demonstrate that top management fulfils the requirements specified

in ISO/IEC 20000-1:2018, Clause 5. The organization should demonstrate that the services support the

fulfilment of the service management objectives.

It is important that the organization ensures that there is clarity regarding authority and responsibility

for services and service components, and processes or parts of processes, provided or operated by all

parties. This includes defining in contracts or documented agreements, the responsibilities for fulfilling

service requirements.
The organization should:

a) identify and document all services, service components, processes or parts of processes in the

scope of the SMS, including those that are provided by other parties;

b) identify which parties operate what services, service components, processes or parts of processes;

c) demonstrate controls for the other parties identified in a) and b) (see ISO/IEC 20000-1:2018, 8.2.3).

5 Applicability of ISO/IEC 20000-1
5.1 Principles of applicability
5.1.1 Applicability

All requirements in ISO/IEC 20000-1 are generic and are intended to be applicable to all organizations,

regardless of the organization’s type or size, or the nature of the services delivered. ISO/IEC 20000-1

has its roots in IT and is intended for service management of services using technology and digital

information. The examples given in this document illustrate a variety of uses of ISO/IEC 20000-1.

ISO/IEC 20000-1:2018, 1.2 describes the application of the standard.
5.1.2 Organization
The organization in scope of the SMS needs to be correctly identified.

An ISO/IEC 20000-1 certificate would normally be issued to a single legal entity, rather than a group of

different unrelated legal entities. See also 6.2.4 of this document.
© ISO/IEC 2019 – All rights reserved 3
---------------------- Page: 8 ----------------------
ISO/IEC 20000-3:2019(E)
5.1.3 Commercial status

Services can be delivered on either a commercial or non-commercial basis. The financial basis of service

delivery is irrelevant to the applicability of ISO/IEC 20000-1 or the scope of the SMS.

The organization does not need to own the assets used to deliver the services.
5.1.4 Scope

The scope definition should state what has been included within the scope. If required, to aid clarity, it

can also be useful to state what is outside the scope.

The scope of the SMS should be visible to staff, customers and prospective customers on request. It

therefore needs to be unambiguous giving a clear indication of the services and the organization in scope.

5.1.5 Requirements

The organization should fulfil all requirements specified in ISO/IEC 20000-1 for the scope of the

SMS. Some or all of the requirements of ISO/IEC 20000-1:2018, Clauses 6 to 10, can be fulfilled by

other parties provided the organization can demonstrate controls for those other parties. However,

ISO/IEC 20000-1:2018, Clauses 4 and 5 should be fulfilled by the organization itself but can be supported

by other parties.
5.1.6 Authorities and responsibilities

The organization should be aware of the importance of clarity about authorities and responsibilities of

the organization itself and other parties involved in the service lifecycle. The organization should retain

accountability for all requirements in ISO/IEC 20000-1 but can use other parties to support this. Where

other parties are involved, control should be demonstrated of the performance and effectiveness of

their involvement according to ISO/IEC 20000-1:2018, 8.2.3.
5.2 Parties involved in an SMS
5.2.1 Types of suppliers

Organizations can use any type of combination of suppliers to support an SMS based on ISO/IEC 20000-1.

The organization can fulfil all requirements specified in ISO/IEC 20000-1:2018, Clauses 6 to 10 directly

or by involving other parties. Other parties who provide or operate services, service components or

processes can be:
a) internal suppliers;
b) external suppliers;
c) customers acting as suppliers.

An internal supplier may have the same governing body as the organization in the scope of the SMS but

is external to the scope of the SMS, e.g. human resources or procurement. An internal supplier should

have a documented agreement with the organization in the scope of the SMS, specifying the internal

supplier's contribution to the SMS and services.

An external supplier is an organization or part of an organization that is external to the organization

within the scope of the SMS. If the organization in the scope of the SMS is part of a larger organization,

the external supplier is external to the larger organization. An external supplier can enter into a contract

with the organization to contribute to the planning, design, transition, delivery and improvement

of services. Because the organization can have contracts with lead suppliers but not sub-contracted

suppliers, lead suppliers should manage sub-contracted suppliers that are relevant to the SMS.

4 © ISO/IEC 2019 – All rights reserved
---------------------- Page: 9 ----------------------
ISO/IEC 20000-3:2019(E)

A customer can contribute to the operation of the SMS and the delivery of services, as well as receiving

services. For example, a customer can manage a service desk and operate part of the incident

management process. The contribution made by the customer when acting as a supplier should be under

the terms of a documented agreement between the organization and the customer. This agreement

should clearly identify the customer’s role as a supplier and be distinct from any agreement between

the organization and the customer for the provision of services. The agreement related to the supply

of services can depend on the agreement as a customer. For example, a customer can provide a service

desk as a supplier but specify in an agreement that they would cease to provide the service desk if they

were not also a customer.

Where any customer acts as a supplier, there should be two agreements with the customer. The first

agreement should specify the services to be delivered for a customer receiving service(s). The second

agreement should specify the organization’s conditions and controls for the customer acting as a

supplier.

A risk with an external customer acting as a supplier is that the service provided can be contingent on

the customer agreement, e.g. if the customer agreement is terminated, the agreement to provide the

activities of the customer acting as a supplier may also be terminated. If the activities supplied impact

other customers or interested parties, this can lead to the SMS no longer being conformant. It is good

practice for transitional agreements to be included in the supplier agreement in case this should happen.

The organization should apply controls for all processes, services and service components within the

scope of the SMS, even when other parties are involved. This is described in 5.3 of this document. Unless

the organization can demonstrate controls for all parties, they cannot demonstrate conformity.

5.2.2 Improvements to the SMS and services

Opportunities for improvement can be identified by the organization or by other parties. These

opportunities are evaluated and managed as specified in ISO/IEC 20000-1:2018, 10.2.

EXAMPLE 1 The organization requests another party to make performance improvements to achieve the

agreed service objectives.

EXAMPLE 2 The other party identifies process improvements which will increase efficiency. These are

discussed and agreed with the organization.
5.2.3 Evaluation and selection of other parties

ISO/IEC 20000-1:2018, 8.2.3.1 specifies that the organization determines and applies criteria for the

evaluation and selection of other parties involved in the service lifecycle. There may be some generic

capabilities and criteria for evaluation and selection of other parties. Examples of criteria are financial

stability, previous experience of undertaking the same type of work, cost and ability to start in the

required timescale.

For a complete determination of the evaluation criteria, it is necessary to have established a clear scope

for the SMS and plan services, service components or processes to be assigned to each other party.

It may be necessary to coordinate criteria and selection of other parties with procurement or contract

teams in the organization.
5.3 Control of other parties

5.3.1 Processes, services and service components provided or operated by other parties

Where the organization uses other parties to perform activities to support the SMS or the delivery of

services within the scope of the SMS, the organization should define and apply the necessary controls

and measurements to ensure the appropriate outcomes as defined by top management are met.

The organization should identify processes or parts of processes, services and service components

operated or provided by other parties. The organization should ensure that contracts or documented

© ISO/IEC 2019 – All rights reserved 5
---------------------- Page: 10 ----------------------
ISO/IEC 20000-3:2019(E)

agreements include controls that are applied for management of all parties and apply supplier

management according to ISO/IEC 20000-1:2018, 8.3.4. The importance of these controls is specified in

ISO/IEC 20000-1:2018, 8.2.3.
5.3.2 Accountability

The organization is accountable for fulfilling the requirements specified in ISO/IEC 20000-1 for all

services in scope of the SMS. This should include the accountability for measurement and evaluation of

both process performance, and effectiveness of services and service components provided or operated

by other parties.

For example, another party is responsible for resolution of an incident that impacts the customer's

service. The organization in scope of the SMS retains accountability to the customer for resolution of

the incident. The SMS includes applying controls for the other party.

The organization should ensure that contracts and agreements with other parties provide process and

information inputs and outputs, and information required to support the SMS.

The organization should also be able to demonstrate that top management is committed to the

implementation, maintenance and operation of the SMS. This should include controls for other parties

involved in the service lifecycle.
5.3.3 Integration, interfaces and co-ordination
The organization should ensure there is clarity on the scope of services
...

NORME ISO/IEC
INTERNATIONALE 20000-3
Deuxième édition
2019-08
Technologies de l'information —
Gestion des services —
Partie 3:
Recommandations pour la
détermination du périmètre et
l'applicabilité de l'ISO/IEC 20000-1
Information technology — Service management —
Part 3: Guidance on scope definition and applicability of ISO/IEC
20000-1
Numéro de référence
ISO/IEC 20000-3:2019(F)
ISO/IEC 2019
---------------------- Page: 1 ----------------------
ISO/IEC 20000-3:2019(F)
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO/IEC 2019

Tous droits réservés. Sauf prescription différente ou nécessité dans le contexte de sa mise en œuvre, aucune partie de cette

publication ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique,

y compris la photocopie, ou la diffusion sur l’internet ou sur un intranet, sans autorisation écrite préalable. Une autorisation peut

être demandée à l’ISO à l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.

ISO copyright office
Case postale 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Genève
Tél.: +41 22 749 01 11
Fax: +41 22 749 09 47
E-mail: copyright@iso.org
Web: www.iso.org
Publié en Suisse
ii © ISO/IEC 2019 – Tous droits réservés
---------------------- Page: 2 ----------------------
ISO/IEC 20000-3:2019(F)
Sommaire Page

Avant-propos ..............................................................................................................................................................................................................................iv

Introduction ..................................................................................................................................................................................................................................v

1 Domaine d'application ................................................................................................................................................................................... 1

2 Références normatives ................................................................................................................................................................................... 1

3 Termes et définitions ....................................................................................................................................................................................... 1

4 Respect des exigences spécifiées dans l'ISO/IEC 20000-1 ........................................................................................ 2

4.1 Structure du SMS ................................................................................................................................................................................... 2

4.2 Démonstration de la conformité .............................................................................................................................................. 3

4.3 Autorités et responsabilités au sein de la chaîne d'approvisionnement des services .............. 3

5 Applicabilité de l'ISO/IEC 20000-1 .................................................................................................................................................... 3

5.1 Principes d'applicabilité ................................................................................................................................................................. 3

5.1.1 Applicabilité ......................................................................................................................................................................... 3

5.1.2 Organisme .............................................................................................................................................................................. 4

5.1.3 Statut commercial ........................................................................................................................................................... 4

5.1.4 Domaine d'application ................................................................................................................................................ 4

5.1.5 Exigences ................................................................................................................................................................................ 4

5.1.6 Autorités et responsabilités ................................................................................................................................... 4

5.2 Parties impliquées dans un SMS .............................................................................................................................................. 4

5.2.1 Types de fournisseurs ................................................................................................................................................. 4

5.2.2 Améliorations du SMS et des services ........................................................................................................... 5

5.2.3 Évaluation et choix des autres parties .......................................................................................................... 6

5.3 Contrôle des autres parties .......................................................................................................................................................... 6

5.3.1 Processus, services et composants de services fournis ou exploités par

d'autres parties ................................................................................................................................................................. 6

5.3.2 Responsabilité .................................................................................................................................................................... 6

5.3.3 Intégration, interfaces et coordination ......................................................................................................... 6

5.3.4 Définition des contrôles pour la mesure et l'évaluation des autres parties ................. 7

5.3.5 Gestion de la chaîne d'approvisionnement des services ............................................................... 7

6 Principes généraux pour la détermination du périmètre d'un SMS ...............................................................8

6.1 Introduction .............................................................................................................................................................................................. 8

6.2 Le périmètre du SMS .......................................................................................................................................................................... 8

6.2.1 Détermination du périmètre ................................................................................................................................. 8

6.2.2 Détermination du périmètre et évaluation ............................................................................................... 9

6.2.3 Limites du périmètre .................. ......................................................................................................................... ......... 9

6.2.4 Aspects commerciaux .................................................................................................................................................. 9

6.3 Accords entre les clients et l'organisme .........................................................................................................................10

6.4 Paramètres de détermination du périmètre ..............................................................................................................10

6.4.1 Paramètres de détermination du périmètre du SMS .....................................................................10

6.4.2 Autres paramètres .......................................................................................................................................................10

6.5 Validité de la détermination du périmètre ..................................................................................................................11

6.6 Modification du périmètre .........................................................................................................................................................12

6.7 Chaînes d'approvisionnement des services et périmètre du SMS ...........................................................12

6.7.1 Confiance dans les autres parties ...................................................................................................................12

6.7.2 Démonstration de la conformité tout au long de la chaîne

d'approvisionnement des services ................................................................................................................12

6.8 Intégration avec d'autres systèmes de management ..........................................................................................13

Annexe A (informative) Détermination du périmètre pour différents scénarios ..............................................14

Bibliographie ...........................................................................................................................................................................................................................29

© ISO/IEC 2019 – Tous droits réservés iii
---------------------- Page: 3 ----------------------
ISO/IEC 20000-3:2019(F)
Avant-propos

L'ISO (Organisation internationale de normalisation) et l’IEC (Commission électrotechnique

internationale) forment le système spécialisé de la normalisation mondiale. Les organismes

nationaux membres de l'ISO ou de l’IEC participent au développement de Normes internationales

par l'intermédiaire des comités techniques créés par l'organisation concernée afin de s'occuper des

domaines particuliers de l'activité technique. Les comités techniques de l'ISO et de l’IEC collaborent

dans des domaines d'intérêt commun. D'autres organisations internationales, gouvernementales et non

gouvernementales, en liaison avec l'ISO et l’IEC, participent également aux travaux.

Les procédures utilisées pour élaborer le présent document et celles destinées à sa mise à jour sont

décrites dans les Directives ISO/IEC, Partie 1. Il convient, en particulier de prendre note des différents

critères d'approbation requis pour les différents types de documents ISO. Le présent document a été

rédigé conformément aux règles de rédaction données dans les Directives ISO/IEC, Partie 2 (voir www

.iso .org/directives).

L'attention est attirée sur le fait que certains des éléments du présent document peuvent faire l'objet

de droits de propriété intellectuelle ou de droits analogues. L'ISO et l’IEC ne sauraient être tenues pour

responsables de ne pas avoir identifié de tels droits de propriété et averti de leur existence. Les détails

concernant les références aux droits de propriété intellectuelle ou autres droits analogues identifiés

lors de l'élaboration du document sont indiqués dans l'Introduction et/ou dans la liste des déclarations

de brevets reçues par l'ISO (voir www .iso .org/brevets) ou dans la liste des déclarations de brevets

reçues par l'IEC (voir http: //patents .iec .ch).

Les appellations commerciales éventuellement mentionnées dans le présent document sont données

pour information, par souci de commodité, à l’intention des utilisateurs et ne sauraient constituer un

engagement.

Pour une explication de la nature volontaire des normes, la signification des termes et expressions

spécifiques de l'ISO liés à l'évaluation de la conformité, ou pour toute information au sujet de l'adhésion

de l'ISO aux principes de l’Organisation mondiale du commerce (OMC) concernant les obstacles

techniques au commerce (OTC), voir: www .iso .org/iso/avant -propos.

Le présent document a été élaboré par le comité technique mixte ISO/IEC JTC 1, Technologies de

l'information, sous-comité SC 40, Gestion des services IT et gouvernance IT.

Cette deuxième édition annule et remplace la première édition (ISO/IEC 20000-3:2012), qui fait l'objet

d'une révision technique.

Les principales modifications par rapport à l'édition précédente sont les suivantes:

a) le présent document a été aligné sur la troisième édition de l'ISO/IEC 20000-1;

b) les exemples de scénarios dans l'Annexe A ont été mis à jour afin de refléter les environnements

de gestion de services contemporains, y compris des chaînes d'approvisionnement des services

complexes.

Une liste de toutes les parties de la série ISO/IEC 20000 se trouve sur le site web de l'ISO.

Il convient que l'utilisateur adresse tout retour d'information ou toute question concernant le présent

document à l'organisme national de normalisation de son pays. Une liste exhaustive desdits organismes

se trouve à l'adresse www .iso .org/fr/members .html.
iv © ISO/IEC 2019 – Tous droits réservés
---------------------- Page: 4 ----------------------
ISO/IEC 20000-3:2019(F)
Introduction

Le présent document fournit des recommandations pour la détermination du périmètre et

l'applicabilité de l'ISO/IEC 20000-1. Le présent document n'ajoute aucune exigence à celles spécifiées

dans l'ISO/IEC 20000-1.

Les organismes, de toute taille, de tout type ou de tout domaine opérationnel, peuvent fournir une

grande diversité de services à différents types de clients, internes ou externes, et s'appuyer sur des

chaînes d'approvisionnement des services complexes.

NOTE Le terme «chaîne d'approvisionnement des services», tel qu'utilisé dans le présent document, désigne

la façon dont les services sont coordonnés entre les fournisseurs internes et externes. Il ne vise pas à limiter

l'applicabilité du présent document à un secteur ou à une industrie en particulier.

Le fonctionnement d'un système de management des services (SMS) peut impliquer de nombreuses

parties dépendantes de différentes juridictions, de différentes frontières nationales et de différents

fuseaux horaires. Il convient que le SMS comprenne les contrôles appropriés pour faciliter la

coordination de toutes les parties impliquées dans le cycle de vie des services.

Le présent document se présente sous la forme d'exemples, de guides et de recommandations. Il

convient de ne pas l'envisager comme une spécification d'exigences.
© ISO/IEC 2019 – Tous droits réservés v
---------------------- Page: 5 ----------------------
NORME INTERNATIONALE ISO/IEC 20000-3:2019(F)
Technologies de l'information — Gestion des services —
Partie 3:
Recommandations pour la détermination du périmètre et
l'applicabilité de l'ISO/IEC 20000-1
1 Domaine d'application

Le présent document contient des recommandations pour la détermination du périmètre et

l'applicabilité aux exigences spécifiées dans l'ISO/IEC 20000-1.

Le présent document peut aider l'organisme à déterminer si l'ISO/IEC 20000-1 est applicable à sa

situation. Il illustre la façon dont le périmètre d'application d'un SMS peut être défini, quelle que soit

l'expérience de l'organisme en matière de définition du périmètre d'application d'autres systèmes de

management.

Les recommandations fournies dans le présent document peuvent aider un organisme à planifier et

préparer une évaluation de la conformité à l'ISO/IEC 20000-1.

L'Annexe A contient des exemples de déclarations de périmètre possibles pour un SMS. Les exemples

donnés s'appuient sur une série de scénarios pour les organismes, allant de chaînes d'approvisionnement

des services très simples à des chaînes d'approvisionnement des services plus complexes.

Le présent document peut être utilisé par le personnel responsable de la planification de la mise

en œuvre d'un SMS, de même que par des évaluateurs et des consultants. Il vient compléter les

recommandations pour l'application d'un SMS contenues dans l'ISO/IEC 20000-2.

Les exigences applicables aux organes chargés d'assurer l'audit et la certification d'un SMS peuvent être

trouvées dans l'ISO/IEC 20000-6, qui recommande l'utilisation du présent document.

2 Références normatives

Les documents suivants sont cités dans le texte de sorte qu’ils constituent, pour tout ou partie de leur

contenu, des exigences du présent document. Pour les références datées, seule l’édition citée s’applique.

Pour les références non datées, la dernière édition du document de référence s'applique (y compris les

éventuels amendements).

ISO/IEC 20000-10, Technologies de l'information — Gestion des services — Partie 10: Concepts et

vocabulaire
3 Termes et définitions

Pour les besoins du présent document, les termes et définitions de l'ISO/IEC 20000-10 s'appliquent.

L'ISO et l'IEC tiennent à jour des bases de données terminologiques destinées à être utilisées en

normalisation, consultables aux adresses suivantes:
— ISO Online browsing platform: disponible à l'adresse http: //www .iso .org/obp
— IEC Electropedia: disponible à l'adresse http: //www .electropedia .org/
© ISO/IEC 2019 – Tous droits réservés 1
---------------------- Page: 6 ----------------------
ISO/IEC 20000-3:2019(F)
4 Respect des exigences spécifiées dans l'ISO/IEC 20000-1
4.1 Structure du SMS

La Figure 1 représente un SMS montrant le contenu de l'ISO/IEC 20000-1. Elle ne représente pas une

hiérarchie structurelle, une séquence ou des niveaux d'autorité. Elle montre que les exigences de

l'ISO/IEC 20000-1:2018, Article 8, Fonctionnement du SMS, ont été décomposées en paragraphes pour

refléter le cycle de vie des services. Les paragraphes sont communément appelés les processus de

gestion des services. Les processus de gestion des services et les relations entre ces processus peuvent

être mis en œuvre de différentes façons par les organismes. Les relations entre chaque organisme et

ses clients, utilisateurs et autres parties intéressées influencent la façon dont les processus de gestion

des services sont mis en œuvre.
Figure 1 — Système de management des services

La structure des articles et paragraphes de l'ISO/IEC 20000-1 est destinée à fournir une présentation

cohérente des exigences plutôt qu'un modèle pour la documentation des politiques, des objectifs et

des processus d'un organisme. Les noms des processus peuvent être différents de ceux utilisés dans

l'ISO/IEC 20000-1, pour autant que l'ensemble des exigences soient satisfaites. Les processus peuvent

être combinés ou scindés différemment de la structure indiquée dans l'ISO/IEC 20000-1.

Il n'est pas exigé que les termes utilisés par un organisme soient remplacés par les termes utilisés dans

le présent document. Les organismes peuvent choisir librement les termes correspondant le mieux aux

opérations liées à leur activité. Par exemple, la gestion des changements et la gestion des déploiements

et des mises en production peuvent être combinées en un même processus.

La mise en correspondance des noms de processus de l'organisme avec les exigences de l'ISO/IEC 20000-1

peut aider un auditeur à comprendre les conditions dans lesquelles ces exigences sont satisfaites.

Un SMS tel qu'il est désigné par un organisme qui revendique sa conformité avec l'ISO/IEC 20000-1 ne

peut exclure aucune des exigences spécifiées dans l'ISO/IEC 20000-1.
2 © ISO/IEC 2019 – Tous droits réservés
---------------------- Page: 7 ----------------------
ISO/IEC 20000-3:2019(F)
4.2 Démonstration de la conformité

Un organisme peut revendiquer sa conformité uniquement en satisfaisant à l'ensemble des exigences

spécifiées dans l'ISO/IEC 20000-1. La conformité aux exigences spécifiées dans l'ISO/IEC 20000-1 peut

être démontrée par un organisme qui apporte la preuve:
a) qu'il satisfait lui-même aux exigences;

b) qu'il applique des contrôles pour les autres parties impliquées dans l'exécution d'activités à

l'appui du SMS.

Les exigences des Articles 6 à 10 de l'ISO/IEC 20000-1:2018 peuvent être totalement ou partiellement

satisfaites par d'autres parties à condition que l'organisme puisse démontrer qu'il contrôle ces

dernières. Par exemple, d'autres parties peuvent être utilisées pour effectuer des audits internes.

Il convient que les exigences des Articles 4 et 5 de l'ISO/IEC 20000-1:2018 soient satisfaites par

l'organisme lui-même. Cependant, une autre partie peut agir pour le compte de l'organisme, par exemple

dans la préparation du plan de gestion des services.

Un organisme peut également, par exemple, apporter la preuve des contrôles exercés sur les processus

exploités par d'autres parties ou sur les services externalisés. Il est important que l'organisme

comprenne quelles activités sont destinées à être effectuées par d'autres parties à l'appui du SMS.

4.3 Autorités et responsabilités au sein de la chaîne d'approvisionnement des services

Il est important que l'organisme définisse clairement les autorités et responsabilités pour l'ensemble

des parties impliquées dans la chaîne d'approvisionnement des services.

Il convient que l'organisme conserve le contrôle opérationnel et la responsabilité des services entrant

dans le périmètre du SMS, comme décrit dans le paragraphe 5.1 de l'ISO/IEC 20000-1:2018, mais qu'il

puisse faire appel à d'autres parties afin de satisfaire à ces exigences.

L'organisme est dans l'obligation de démontrer que la direction satisfait aux exigences stipulées dans

l'Article 5 de l'ISO/IEC 20000-1:2018. Il convient que l'organisme démontre que les services contribuent

à atteindre les objectifs de gestion des services.

Il est important que l'organisme veille à ce que les autorités et responsabilités des services et des

composants de services, ainsi que des processus ou parties de processus, fournis ou exploités par

l'ensemble des parties, soient clairement établies. Cela concerne notamment la définition, dans les

contrats ou les accords documentés, des responsabilités associées au respect des exigences de services.

Il convient que l'organisme:

a) identifie et documente tous les services, composants de services, processus ou parties de processus

s'inscrivant dans le périmètre du SMS, y compris ceux qui sont fournis par d'autres parties;

b) identifie quelles parties exploitent quels services, composants de services, processus ou parties de

processus;

c) démontre les contrôles exercés sur les autres parties identifiées en a) et b) (voir

l'ISO/IEC 20000-1:2018, 8.2.3).
5 Applicabilité de l'ISO/IEC 20000-1
5.1 Principes d'applicabilité
5.1.1 Applicabilité

Toutes les exigences de l'ISO/IEC 20000-1 sont génériques et prévues pour s'appliquer à tout organisme,

quels que soient son type ou sa taille, ou la nature des services fournis. L'ISO/IEC 20000-1 est issue des

© ISO/IEC 2019 – Tous droits réservés 3
---------------------- Page: 8 ----------------------
ISO/IEC 20000-3:2019(F)

technologies de l'information et est prévue pour la gestion des services qui utilisent les technologies et

l'information numérique. Les exemples donnés dans le présent document illustrent diverses utilisations

de l'ISO/IEC 20000-1.
Le paragraphe 1.2 de l'ISO/IEC 20000-1:2018 décrit l'application de la norme.
5.1.2 Organisme

Il est nécessaire d'identifier correctement l'organisme s'inscrivant dans le périmètre du SMS.

Un certificat de l'ISO/IEC 20000-1 est normalement délivré à une seule entité juridique, et non à un

groupe de différentes entités juridiques sans lien entre elles. Voir également le paragraphe 6.2.4 du

présent document.
5.1.3 Statut commercial

Les services peuvent être fournis selon des conditions commerciales ou non commerciales. La condition

commerciale ou non de la fourniture du service est sans rapport avec l'applicabilité de l'ISO/IEC 20000-1

ou avec le périmètre du SMS.

Il n'est pas nécessaire que l'organisme soit propriétaire des actifs utilisés pour la fourniture des

services.
5.1.4 Domaine d'application

Il convient de mentionner dans la détermination du périmètre ce qui a été inclus dans le périmètre.

Si nécessaire, pour davantage de clarté, il peut être utile de mentionner également ce qui est exclu du

périmètre.

Il convient que le périmètre du SMS soit visible pour le personnel, les clients et les clients potentiels sur

simple demande. Il est donc nécessaire de le définir sans équivoque en donnant une indication claire

des services et de l'organisme inclus dans le périmètre.
5.1.5 Exigences

Il convient que l'organisme satisfasse à toutes les exigences spécifiées dans l'ISO/IEC 20000-1

pour le périmètre du SMS. Les exigences des Articles 6 à 10 de l'ISO/IEC 20000-1:2018 peuvent être

totalement ou partiellement satisfaites par d'autres parties à condition que l'organisme puisse

démontrer qu'il contrôle ces dernières. Il convient cependant que les exigences des Articles 4 et 5 de

l'ISO/IEC 20000-1:2018 soient satisfaites par l'organisme lui-même, mais il peut être aidé par d'autres

parties.
5.1.6 Autorités et responsabilités

Il convient que l'organisme soit sensibilisé à l'importance de clarifier les autorités et responsabilités

de l'organisme lui-même ainsi que des autres parties impliquées dans le cycle de vie des services. Il

convient que l'organisme conserve la responsabilité pour toutes les exigences de l'ISO/IEC 20000-1, mais

il peut solliciter d'autres parties pour l'assister. Lorsque d'autres parties sont impliquées, il convient

d'exercer des contrôles pour démontrer la performance et l'efficacité de leur implication, conformément

au paragraphe 8.2.3 de l'ISO/IEC 20000-1:2018.
5.2 Parties impliquées dans un SMS
5.2.1 Types de fournisseurs

Les organismes peuvent faire appel à tout type de combinaison de fournisseurs pour soutenir un SMS

conforme à l'ISO/IEC 20000-1.
4 © ISO/IEC 2019 – Tous droits réservés
---------------------- Page: 9 ----------------------
ISO/IEC 20000-3:2019(F)

L'organisme peut satisfaire à la totalité des exigences des Articles 6 à 10 de l'ISO/IEC 20000-1:2018 par

une gestion directe ou en sollicitant d'autres parties. Les autres parties qui fournissent ou exploitent

des services, des composants de services ou des processus peuvent être:
a) les fournisseurs internes;
b) les fournisseurs externes;
c) des clients agissant en tant que fournisseurs.

Un fournisseur interne peut avoir le même organe de gouvernance que l'organisme s'inscrivant dans le

périmètre du SMS, mais être extérieur au périmètre du SMS, par exemple les ressources humaines ou

l'approvisionnement. Il convient qu'un fournisseur interne ait un accord documenté avec l'organisme

inclus dans le périmètre du SMS, spécifiant la contribution du fournisseur interne vis-à-vis du SMS et

des services.

Un fournisseur externe est un organisme ou une partie d'un organisme externe à l'organisme

s'inscrivant dans le périmètre du SMS. Si l'organisme inclus dans le périmètre d'application du SMS fait

partie d'un organisme plus grand, le fournisseur externe est externe à cet organisme plus grand. Un

fournisseur externe peut conclure un contrat avec l'organisme afin de contribuer à la planification, à

la conception, à la transition, à la fourniture et à l'amélioration des services. Puisque l'organisme peut

signer des contrats avec des fournisseurs principaux, mais pas avec des fournisseurs sous-traitants, il

convient que les fournisseurs principaux gèrent leurs fournisseurs sous-traitants qui concernent le SMS.

Un client peut contribuer au fonctionnement du SMS et à la fourniture de services, autant qu'il reçoit des

services. Par exemple, un client peut gérer un centre de services et exploiter une partie du processus

de gestion des incidents. Il convient que la contribution apportée par le client agissant en tant que

fournisseur soit soumise aux conditions d'un accord documenté entre l'organisme et le client. Il convient

que cet accord identifie clairement le rôle du client en sa qualité de fournisseur et qu'il soit distinct de

tout accord passé entre l'organisme et le client concernant la fourniture des services. L'accord relatif à

la fourniture de services peut dépendre de l'accord conclu en qualité de client. Par exemple, un client

peut fournir un centre de services en qualité de fournisseur, mais spécifier dans un accord qu'il cessera

de fournir ce centre de services s'il n'intervient plus également en tant que client.

Lorsque tout client agit en tant que fournisseur, il convient de conclure deux accords avec le client.

Il convient que le premier accord spécifie les services à fournir à un client qui reçoit des services. Il

convient que le deuxième accord spécifie les conditions et les contrôles imposés par l'organisme vis-à-

vis du client agissant en tant que fournisseur.

Un risque associé à un client externe agissant en tant que fournisseur est que le service fourni peut

être conditionné par l'accord du client, par exemple si l'accord du client prend fin, l'accord relatif

à la fourniture des activités du client agissant en qualité de fournisseur peut également prendre fin.

Si les activités fournies affectent d'autres clients ou parties intéressées, cela peut compromettre la

conformité du SMS. Les bonnes pratiques consistent à inclure des accords transitoires dans l'accord

avec le fournisseur si une telle situation se produit.

Il convient que l'organisme applique des contrôles pour tous les processus, services et composants de

services entrant dans le périmètre du SMS, même lorsque d'autres parties sont impliquées. Cet aspect

est décrit au paragraphe 5.3 du présent document. L'organisme ne peut démontrer sa conformité que

s'il est en mesure de démontrer les contrôles mis en place pour l'ensemble des parties.

5.2.2 Améliorations du SMS et des services

L'identification des opportunités d'amélioration peut être réalisée par l'organisme ou par d'autres

parties. Ces opportunités sont évaluées et gérées comme indiqué dans le paragraphe 10.2 de

l'ISO/IEC 20000-1:2018.

EXEMPLE 1 L'organisme demande à une autre partie d'améliorer ses performances afin d'atteindre les

obj
...

Questions, Comments and Discussion

Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.