ISO/IEC TR 20000-10:2013
(Main)Information technology — Service management — Part 10: Concepts and terminology
Information technology — Service management — Part 10: Concepts and terminology
ISO/IEC TR 20000-10:2013 provides an overview of the concepts and the terminology of ISO/IEC 20000. It establishes a common framework for helping organizations to understand the purpose of all the parts of ISO/IEC 20000 and the relationships between the parts. ISO/IEC TR 20000-10:2013 is intended to become the authoritative source for definitions used in all the parts of ISO/IEC 20000. Terms defined in ISO/IEC TR 20000-10:2013 will be removed from other published parts of ISO/IEC 20000 as they are updated. ISO/IEC TR 20000-10:2013 identifies other documents that have relationships with ISO/IEC 20000-1:2011 and identifies common areas with related International Standards to aid the use and integration of multiple International Standards in organizations. ISO/IEC TR 20000-10:2013 can be used by any organization or individual involved in the planning, design, transition, delivery and improvement of services using ISO/IEC 20000. More specifically, it: defines the terms used in ISO/IEC 20000; promotes cohesion between the parts of ISO/IEC 20000 by explaining the concepts and terminology used across all parts; contributes to the understanding of ISO/IEC 20000 by clarifying the relationships between all the parts; clarifies the possible interfaces and integration between the service provider's SMS and other management systems; provides an overview of other International Standards which can be used in combination with ISO/IEC 20000; identifies common areas between ISO/IEC 20000-1 and other International Standards. ISO/IEC TR 20000-10:2013 describes the core concepts of ISO/IEC 20000, identifying how the different parts interact to support ISO/IEC 20000-1:2011. It also describes the relationships between ISO/IEC 20000 and other International Standards and Technical Reports. ISO/IEC TR 20000-10:2013 also explains the terminology used in ISO/IEC 20000, so that organizations and individuals can interpret the concepts correctly.
Technologies de l'information — Gestion des services — Partie 10: Concepts et terminologie
ISO/CEI TR 20000-10:2013 expose les concepts principaux de l'ISO/CEI 20000, identifie la façon dont les différentes parties viennent à l'appui de l'ISO/CEI 20000‑1:2011 et décrit les relations entre l'ISO/CEI 20000 et d'autres Normes internationales et Rapports techniques. La présente partie de l'ISO/CEI 20000 explique aussi la terminologie utilisée dans l'ISO/CEI 20000 afin que les organismes et les individus puissent en interpréter correctement les concepts. La présente partie de l'ISO/CEI 20000 s'adresse aux: a) fournisseurs de services qui envisagent d'utiliser une partie de l'ISO/CEI 20000 et qui recherchent des recommandations concernant la manière d'utiliser les différentes parties de l'ISO/CEI 20000 pour atteindre leur objectif; b) fournisseurs de services qui souhaitent comprendre comment l'ISO/CEI 20000 peut être utilisée avec d'autres Normes internationales; c) professionnels, auditeurs et autres parties qui souhaitent mieux comprendre l'ISO/CEI 20000.
General Information
Relations
Buy Standard
Standards Content (Sample)
TECHNICAL ISO/IEC
REPORT TR
20000-10
First edition
2013-11-01
Information technology — Service
management —
Part 10:
Concepts and terminology
Technologies de l’information — Gestion des services —
Partie 10: Concepts et terminologie
Reference number
ISO/IEC TR 20000-10:2013(E)
©
ISO/IEC 2013
---------------------- Page: 1 ----------------------
ISO/IEC TR 20000-10:2013(E)
COPYRIGHT PROTECTED DOCUMENT
© ISO/IEC 2013
All rights reserved. Unless otherwise specified, no part of this publication may be reproduced or utilized otherwise in any form
or by any means, electronic or mechanical, including photocopying, or posting on the internet or an intranet, without prior
written permission. Permission can be requested from either ISO at the address below or ISO’s member body in the country of
the requester.
ISO copyright office
Case postale 56 • CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Published in Switzerland
ii © ISO/IEC 2013 – All rights reserved
---------------------- Page: 2 ----------------------
ISO/IEC TR 20000-10:2013(E)
Contents Page
Foreword .iv
Introduction .v
1 Scope . 1
2 Terms and definitions . 1
3 Terminology used in ISO/IEC 20000 . 6
4 Service management systems . 7
4.1 General . 7
4.2 What is an SMS . 7
4.3 The integrated process approach . 8
4.4 Continual improvement . 8
4.5 What constitutes an effective SMS . 9
4.6 Benefits of an SMS . 9
5 ISO/IEC 20000 .10
5.1 General .10
5.2 ISO/IEC 20000-1:2011 Service management system requirements .11
5.3 ISO/IEC 20000-2:2012 Guidance on application of service management systems .12
5.4 ISO/IEC 20000-3:2012 Guidance on scope definition and applicability of ISO/
IEC 20000-1 .12
5.5 ISO/IEC TR 20000-4:2010 Process reference model .13
5.6 ISO/IEC TR 20000-5 Exemplar implementation plan for ISO/IEC 20000-1 .13
6 Other related International Standards and Technical Reports .14
6.1 Closely related International Standards and Technical Reports .14
6.2 ISO/IEC TS 15504-8:2012 .15
6.3 ISO/IEC 27013:2012 .15
6.4 ISO/IEC TR 90006 .16
6.5 Supporting International Standards .16
Bibliography .20
© ISO/IEC 2013 – All rights reserved iii
---------------------- Page: 3 ----------------------
ISO/IEC TR 20000-10:2013(E)
Foreword
ISO (the International Organization for Standardization) and IEC (the International Electrotechnical
Commission) form the specialized system for worldwide standardization. National bodies that are
members of ISO or IEC participate in the development of International Standards through technical
committees established by the respective organization to deal with particular fields of technical
activity. ISO and IEC technical committees collaborate in fields of mutual interest. Other international
organizations, governmental and non-governmental, in liaison with ISO and IEC, also take part in the
work. In the field of information technology, ISO and IEC have established a joint technical committee,
ISO/IEC JTC 1.
International Standards are drafted in accordance with the rules given in the ISO/IEC Directives, Part 2.
The main task of the joint technical committee is to prepare International Standards. Draft International
Standards adopted by the joint technical committee are circulated to national bodies for voting.
Publication as an International Standard requires approval by at least 75 % of the national bodies
casting a vote.
In exceptional circumstances, when the joint technical committee has collected data of a different kind
from that which is normally published as an International Standard (“state of the art”, for example), it
may decide to publish a Technical Report. A Technical Report is entirely informative in nature and shall
be subject to review every five years in the same manner as an International Standard.
Attention is drawn to the possibility that some of the elements of this document may be the subject of
patent rights. ISO and IEC shall not be held responsible for identifying any or all such patent rights.
ISO/IEC TR 20000-10 was prepared by Joint Technical Committee ISO/IEC JTC 1, Information technology,
Subcommittee SC 7, Software and systems engineering.
ISO/IEC 20000 consists of the following parts, under the general title Information technology —
Service management:
— Part 1: Service management system requirements
— Part 2: Guidance on the application of service management systems
— Part 3: Guidance on scope definition and applicability of ISO/IEC 20000‑1
— Part 4: Process reference model [Technical Report]
— Part 5: Exemplar implementation plan for ISO/IEC 20000‑1 [Technical Report]
The following parts are under preparation:
— Part 6: Requirements for bodies providing audit and certification of service management systems
— Part 8: Guidance on the application of service management systems for smaller organizations
— Part 9: Guidance on the application of ISO/IEC 20000‑1 to the cloud
— Part 10: Concepts and terminology
— Part 11: Guidance on the relationship between ISO/IEC 20000‑1:2011 and service management frameworks
iv © ISO/IEC 2013 – All rights reserved
---------------------- Page: 4 ----------------------
ISO/IEC TR 20000-10:2013(E)
Introduction
This part of ISO/IEC 20000 provides an overview of the concepts and the terminology of ISO/IEC 20000. It
establishes a common framework for helping organizations to understand the purpose of all the parts of
ISO/IEC 20000 and the relationships between the parts. This part of ISO/IEC 20000 is intended to become
the authoritative source for definitions used in all the parts of ISO/IEC 20000. Terms defined in this part
of ISO/IEC 20000 will be removed from other published parts of ISO/IEC 20000 as they are updated.
This part of ISO/IEC 20000 identifies other documents that have relationships with ISO/IEC 20000-1:2011
and identifies common areas with related International Standards to aid the use and integration of
multiple International Standards in organizations.
This part of ISO/IEC 20000 can be used by any organization or individual involved in the planning,
design, transition, delivery and improvement of services using ISO/IEC 20000-1:2011. It can also be used
for those involved in the assessment or audit of service management systems (SMS), providing details
of all parts of ISO/IEC 20000 and how they can be used. More specifically, this part of ISO/IEC 20000:
a) defines the terms used in ISO/IEC 20000;
b) promotes cohesion between the parts of ISO/IEC 20000 by explaining the concepts and terminology
used across all parts;
c) contributes to the understanding of ISO/IEC 20000 by clarifying the relationships between all the parts;
d) clarifies the possible interfaces and integration between the service provider’s SMS and other
management systems;
e) provides an overview of other International Standards which can be used in combination with
ISO/IEC 20000;
f) identifies common areas between ISO/IEC 20000-1 and other International Standards.
Figure 1 represents an overview of the relationships between the parts of ISO/IEC 20000 as well as
frameworks and other external influences.
© ISO/IEC 2013 – All rights reserved v
---------------------- Page: 5 ----------------------
ISO/IEC TR 20000-10:2013(E)
Figure 1 — Overview of parts of ISO/IEC 20000 addressed in ISO/IEC TR 20000-10
vi © ISO/IEC 2013 – All rights reserved
---------------------- Page: 6 ----------------------
TECHNICAL REPORT ISO/IEC TR 20000-10:2013(E)
Information technology — Service management —
Part 10:
Concepts and terminology
1 Scope
This part of ISO/IEC 20000 describes the core concepts of ISO/IEC 20000, identifying how the different
parts support ISO/IEC 20000-1:2011 as well as the relationships between ISO/IEC 20000 and other
International Standards and Technical Reports. This part of ISO/IEC 20000 also explains the terminology
used in ISO/IEC 20000, so that organizations and individuals can interpret the concepts correctly.
This part of ISO/IEC 20000 is for:
a) service providers considering using any part of ISO/IEC 20000 and looking for guidance on how to
use the different parts of ISO/IEC 20000 to achieve their goal;
b) service providers that wish to understand how ISO/IEC 20000 can be used in combination with
other International Standards;
c) practitioners, auditors and other parties who wish to gain an understanding of ISO/IEC 20000.
2 Terms and definitions
For the purposes of this document, the following terms and definitions apply.
NOTE Terms and definitions used in ISO/IEC 20000 but not included in this part can be found in standard
English dictionaries.
2.1
availability
ability of a service or service component to perform its required function at an agreed instant or over
an agreed period of time
Note 1 to entry: Availability is normally expressed as a ratio or percentage of the time that the service or service
component is actually available for use by the customer to the agreed time that the service should be available.
2.2
configuration baseline
configuration information formally designated at a specific time during a service or service component’s life
Note 1 to entry: Configuration baselines, plus approved changes from those baselines, constitute the current
configuration information.
Note 2 to entry: Adapted from ISO/IEC/IEEE 24765:2010.
2.3
configuration item
CI
element that needs to be controlled in order to deliver a service or services
© ISO/IEC 2013 – All rights reserved 1
---------------------- Page: 7 ----------------------
ISO/IEC TR 20000-10:2013(E)
2.4
configuration management database
CMDB
data store used to record attributes of configuration items, and the relationships between configuration
items, throughout their lifecycle
2.5
continual improvement
recurring activity to increase the ability to fulfil service requirements
Note 1 to entry: Adapted from ISO 9000:2005.
2.6
corrective action
action to eliminate the cause or reduce the likelihood of recurrence of a detected nonconformity or
other undesirable situation
Note 1 to entry: Adapted from ISO 9000:2005.
2.7
customer
organization or part of an organization that receives a service or services
Note 1 to entry: A customer can be internal or external to the service provider’s organization.
Note 2 to entry: Adapted from ISO 9000:2005.
2.8
document
information and its supporting medium
[SOURCE: ISO 9000:2005]
EXAMPLE Policies, plans, process descriptions, procedures, service level agreements, contracts or records.
Note 1 to entry: The documentation can be in any form or type of medium.
Note 2 to entry: In ISO/IEC 20000, documents, except for records, state the intent to be achieved.
2.9
effectiveness
extent to which planned activities are realized and planned results achieved
[SOURCE: ISO 9000:2005]
2.10
incident
unplanned interruption to a service, a reduction in the quality of a service or an event that has not yet
impacted the services to the customer
2.11
information security
preservation of confidentiality, integrity and accessibility of information
Note 1 to entry: In addition, other properties such as authenticity, accountability, non-repudiation and reliability
can also be involved.
Note 2 to entry: The term “availability” has not been used in this definition because it is a defined term in this part
of ISO/IEC 20000 which would not be appropriate for this definition.
Note 3 to entry: Adapted from ISO/IEC 27000:2009.
2 © ISO/IEC 2013 – All rights reserved
---------------------- Page: 8 ----------------------
ISO/IEC TR 20000-10:2013(E)
2.12
information security incident
single or a series of unwanted or unexpected information security events that have a significant
probability of compromising business operations and threatening information security
[SOURCE: ISO/IEC 27000:2009]
2.13
interested party
person or group having a specific interest in the performance or success of the service provider’s activity
or activities
EXAMPLE Customers, owners, management, people in the service provider’s organization, suppliers,
bankers, unions or partners.
Note 1 to entry: A group can comprise an organization, a part thereof, or more than one organization.
Note 2 to entry: Adapted from ISO 9000:2005.
2.14
internal group
part of the service provider’s organization that enters into a documented agreement with the service
provider to contribute to the design, transition, delivery and improvement of a service or services
Note 1 to entry: The internal group is outside the scope of the service provider’s SMS.
2.15
known error
problem that has an identified root cause or a method of reducing or eliminating its impact on the
services by working around it
2.16
nonconformity
non-fulfilment of a requirement
[SOURCE: ISO 9000:2005]
2.17
organization
group of people and facilities with an arrangement of responsibilities, authorities and relationships
EXAMPLE Company, corporation, firm, enterprise, institution, charity, sole trader, association, or parts or
combination thereof.
Note 1 to entry: The arrangement is generally orderly.
Note 2 to entry: An organization can be public or private.
[SOURCE: ISO 9000:2005]
2.18
preventive action
action to avoid or eliminate the causes, or reduce the likelihood, of occurrence of a potential nonconformity
or other potential undesirable situation
Note 1 to entry: Adapted from ISO 9000:2005.
2.19
problem
root cause of one or more incidents
Note 1 to entry: The root cause is not usually known at the time a problem record is created and the problem
management process is responsible for further investigation.
© ISO/IEC 2013 – All rights reserved 3
---------------------- Page: 9 ----------------------
ISO/IEC TR 20000-10:2013(E)
2.20
procedure
specified way to carry out an activity or a process
[SOURCE: ISO 9000:2005]
Note 1 to entry: Procedures can be documented or not.
2.21
process
set of interrelated or interacting activities which transforms inputs into outputs
[SOURCE: ISO 9000:2005]
2.22
record
document stating results achieved or providing evidence of activities performed
[SOURCE: ISO 9000:2005]
EXAMPLE Audit reports, incident reports, training records or minutes of meetings.
2.23
release
collection of one or more new or changed configuration items deployed into the live environment as a
result of one or more changes
2.24
request for change
proposal for a change to be made to a service, service component or the SMS
Note 1 to entry: A change to a service includes the provision of a new service or the removal of a service which is
no longer required.
2.25
risk
effect of uncertainty on objectives
Note 1 to entry: An effect is a deviation from the expected — positive and/or negative.
Note 2 to entry: Objectives can have different aspects (such as financial, health and safety, and environmental
goals) and can apply at different levels (such as strategic, organization-wide, project, product and process).
Note 3 to entry: Risk is often characterized by reference to potential events and consequences, or a
combination of these.
Note 4 to entry: Risk is often expressed in terms of a combination of the consequences of an event (including
changes in circumstances) and the associated likelihood of occurrence.
[SOURCE: ISO 31000:2009]
2.26
service
means of delivering value for the customer by facilitating results the customer wants to achieve
Note 1 to entry: Service is generally intangible.
Note 2 to entry: A service can also be delivered to the service provider by a supplier, an internal group or a
customer acting as a supplier.
4 © ISO/IEC 2013 – All rights reserved
---------------------- Page: 10 ----------------------
ISO/IEC TR 20000-10:2013(E)
2.27
service component
single unit of a service that when combined with other units will deliver a complete service
EXAMPLE Hardware, software, tools, applications, documentation, information, processes or supporting
services
Note 1 to entry: A service component can consist of one or more configuration items.
2.28
service continuity
capability to manage risks and events that could have serious impact on a service or services in order to
continually deliver services at agreed levels
2.29
service level agreement
SLA
documented agreement between the service provider and customer that identifies services and
service targets
Note 1 to entry: A service level agreement can also be established between the service provider and a supplier or
an internal group or a customer acting as a supplier.
Note 2 to entry: A service level agreement can be included in a contract or another type of documented agreement.
2.30
service management
set of capabilities and processes to direct and control the service provider’s activities and resources for
the design, transition, delivery and improvement of services to fulfil the service requirements
2.31
service management system
SMS
management system to direct and control the service management activities of the service provider
Note 1 to entry: A management system is a set of interrelated or interacting elements to establish policy and
objectives and to achieve those objectives.
Note 2 to entry: The SMS includes all service management policies, objectives, plans, processes, documentation and
resources required for the design, transition, delivery and improvement of services and to fulfil the requirements
specified in ISO/IEC 20000-1:2011.
Note 3 to entry: Adapted from the definition of “quality management system” in ISO 9000:2005.
2.32
service provider
organization or part of an organization that manages and delivers a service or services to the customer
Note 1 to entry: A customer can be internal or external to the service provider’s organization.
2.33
service request
request for information, advice, access to a service or a pre-approved change
2.34
service requirement
needs of the customer and the users of the service, including service level requirements, and the needs
of the service provider
© ISO/IEC 2013 – All rights reserved 5
---------------------- Page: 11 ----------------------
ISO/IEC TR 20000-10:2013(E)
2.35
supplier
organization or part of an organization that is external to the service provider’s organization and
enters into a contract with the service provider to contribute to the design, transition, delivery and
improvement of a service or services or processes
Note 1 to entry: Suppliers include designated lead suppliers but not their sub-contracted suppliers.
2.36
top management
person or group of people who direct and control the service provider at the highest level
Note 1 to entry: Adapted from ISO 9000:2005
2.37
transition
activities involved in moving a new or changed service to or from the live environment
3 Terminology used in ISO/IEC 20000
The service provider should be aware that most terms in ISO/IEC 20000 use the definitions found in
commonly available English language dictionaries and in some cases use some special defined terms.
These special defined terms are taken from other management system standards or are specifically
defined for ISO/IEC 20000, e.g. ‘document’, ‘effectiveness’ and ‘top management’ from ISO 9000,
‘information security’ from ISO/IEC 27000, ‘service’ specifically defined for ISO/IEC 20000.
The special defined term ‘top management’, which is important to ISO/IEC 20000, has been adapted
to suit the circumstances under which ISO/IEC 20000 is used. The term ‘top management’ is used in
ISO 9000 for those responsible for the organization. In ISO/IEC 20000 ‘top management’ is responsible
for that part of the organization relevant to the service provider’s SMS.
Other terms defined in ISO 9000 are used in ISO/IEC 20000-1:2011. Generally these terms are closely
linked to management systems (e.g. process, procedure, document, record, corrective action, preventive
action). In some cases the definitions in ISO 9000:2005 have been adapted to apply to services, because
ISO/IEC 20000-1:2011 was developed specifically for SMS and services.
ISO/IEC 20000-1:2011 includes service management definitions that are not part of ISO 9000 (e.g.
configuration item, request for change).
Another example is the use in ISO/IEC 20000 of the term ‘governance’. The term is used only in the
context of ‘governance of processes operated by other parties’.
For ISO/IEC 27001:2005, ‘information assets’ are defined as “knowledge or data that has value to the
organization”, regardless of the media used (printed, electronic, etc.).
ISO/IEC 20000-1:2011 recognizes that data, information, knowledge, the related processes, technology
and people are important ‘assets’ for achieving the service provider’s objectives. Asset is not a defined
term in ISO/IEC 20000-1:2011, so it is used in its normal English language sense of something of value.
In some clauses of ISO/IEC 20000-1:2011 the use of assets is related to financial assets, such as software
licences. In other clauses assets are referred to as information assets, as in ISO/IEC 27001:2005. In the
context of ISO/IEC 20000-1:2011, an information asset can be used by, or form part of, a service.
ISO/IEC 20000-1:2011 uses a defined term, configuration item (CI), as an element that should be
controlled in order to deliver a service or services. The service provider should therefore define what
should be controlled as a CI to support business objectives and service requirements specific to its
organization. ‘Information asset’ can be included in this definition. Some but not necessarily all ‘assets’
can be considered CIs, for example a policy or a service level agreement (SLA) are assets that are also
CIs. Records can be information assets but not CIs.
6 © ISO/IEC 2013 – All rights reserved
---------------------- Page: 12 ----------------------
ISO/IEC TR 20000-10:2013(E)
In ISO/IEC 27001:2005, although the wording of the definition of ‘information security incident’ used in
ISO/IEC 20000 was taken from ISO/IEC 27000:2009, the way ‘incident’ is used is different.
In ISO/IEC 27001:2005, information security incident is the term used for all unwanted events of interest.
ISO/IEC 27001:2005 describes a single process to deal with information security incidents.
In contrast, in ISO/IEC 20000-1:2011 there are several terms for unwanted events of interest: incident,
information security incident, problem, known error, and major incident. These can all be information
security incidents according to ISO/IEC 27001:2005, depending on their characteristics.
ISO/IEC 20000-1:2011 also has a variety of mechanisms to manage these events, such as incident and
service request management, major incident procedure and problem management. An unwanted event
can be managed by more than one of these processes and procedures during its lifecycle.
The service provider should be aware that to keep all parts of ISO/IEC 20000 aligned, defined terms,
words and phrases are used consistently across all parts. For example, the phrase ‘fulfil requirements‘,
is used, not ‘meet requirements‘. This consistency has also been adopted to assist in the consistent
translation of the parts of ISO/IEC 20000 into other languages.
4 Service management systems
4.1 General
SMS and associated concepts are generic and intended to be applicable to all service providers, regardless
of type, size and the nature of the service delivered.
Organizations:
a) collect, process, store, and transmit large amounts of information;
b) recognize that information, the related processes, technology and people are important assets for
achieving organization objectives;
c) face a range of risks that can affect the functioning of assets.
An SMS can provide service providers with a means of delivering services that are aligned to the business
needs and the customer requirements. The implementation of an SMS can enable top management to
have the visibility and control they require to facilitate the delivery of business value and competitive
advantage. Managing services via an integrated process approach can help to ensure that services are
consistent and that the introduction of new or changed services is planned and coordinated.
4.2 What is an SMS
An SMS is a set of interacting components to direct and control the service delivery and management of
the service provider. It includes policies, objectives, plans, processes, documentation and resources to
achieve the service management objectives of the service provider and to fulfil the service requirements.
An SMS should direct and control the service management activities of the service provider to design,
transition, deliver, manage and improve services to fulfil the business needs and customer requirements
(internal or external).
An SMS for delivering and managing services to the customer, based on ISO/IEC 20000-1:2011, can
provide increased control, greater effectiveness and more opportunities for improvement within the
service provider organization. An SMS can directly contribute to the efficient and effective management
of service components and services, providing value and reducing the potential risk of failure by the
service provider.
The SMS relies on the following principles:
a) focus on the customer’s agreed service requirements;
© ISO/IEC 2013 – All rights reserved 7
---------------------- Page: 13 ----------------------
ISO/IEC TR 20000-10:2013(E)
b) strong leadership to support the SMS and communicate its importance to interested parties;
c) end to end management of services involving:
1) the service provider;
2) internal or external customers;
3) suppliers;
4) internal groups;
5) interested parties;
d) integrated process approach;
e) continual improvement using the Plan-Do-Check-Act (PDCA) methodology.
The effectiveness of an SMS depends on the level and quality of implementation of each of these principles.
The design and establishment of an SMS can be influenced by the service requirements and service
management objectives which should be revised over time as the organization evolves. Other factors
can contribute. For example the size and s
...
RAPPORT ISO/CEI
TECHNIQUE TR
20000-10
Première édition
2013-11-01
Technologies de l’information —
Gestion des services —
Partie 10:
Concepts et terminologie
Information technology — Service management —
Part 10: Concepts and terminology
Numéro de référence
ISO/CEI TR 20000-10:2013(F)
©
ISO/IEC 2013
---------------------- Page: 1 ----------------------
ISO/CEI TR 20000-10:2013(F)
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO/CEI 2013
Droits de reproduction réservés. Sauf indication contraire, aucune partie de cette publication ne peut être reproduite ni utilisée
sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique, y compris la photocopie, l’affichage sur
l’internet ou sur un Intranet, sans autorisation écrite préalable. Les demandes d’autorisation peuvent être adressées à l’ISO à
l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Case postale 56 • CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Version française parue en 2014
Publié en Suisse
ii © ISO/CEI 2013 – Tous droits réservés
---------------------- Page: 2 ----------------------
ISO/CEI TR 20000-10:2013(F)
Sommaire Page
Avant-propos .iv
Introduction .v
1 Domaine d’application . 1
2 Termes et définitions . 1
3 Terminologie utilisée dans l’ISO/CEI 20000. 6
4 Systèmes de management des services . 7
4.1 Généralités . 7
4.2 Qu’est-ce qu’un SMS . 8
4.3 L’approche processus intégrée . 8
4.4 Amélioration continue . 9
4.5 Facteurs contribuant à l’efficacité d’un SMS .10
4.6 Avantages d’un SMS .11
5 ISO/CEI 20000 .11
5.1 Généralités .11
5.2 ISO/CEI 20000-1:2011, Exigences du système de management des services .12
5.3 ISO/CEI 20000-2:2012, Guide pour l’application des systèmes de management
des services .13
5.4 ISO/CEI 20000-3:2012, Recommandations pour la détermination du périmètre et
l’applicabilité de l’ISO/CEI 20000-1 .14
5.5 ISO/CEI/TR 20000-4:2010, Modèle de référence de processus .14
5.6 ISO/CEI/TR 20000-5, Exemple de plan de mise en application pour l’ISO/CEI 20000-1 .15
6 Autres Normes internationales et Rapports techniques connexes .16
6.1 Normes internationales et Rapports techniques étroitement liés .16
6.2 ISO/CEI/TS 15504-8:2012 .16
6.3 ISO/CEI 27013:2012 .17
6.4 ISO/CEI/TR 90006 .17
6.5 Normes internationales complémentaires .18
Bibliographie .22
© ISO/CEI 2013 – Tous droits réservés iii
---------------------- Page: 3 ----------------------
ISO/CEI TR 20000-10:2013(F)
Avant-propos
L’ISO (Organisation internationale de normalisation) et la CEI (Commission électrotechnique
internationale) forment le système spécialisé de la normalisation mondiale. Les organismes nationaux
membres de l’ISO ou de la CEI participent au développement de Normes internationales par l’intermédiaire
des comités techniques créés par l’organisation concernée afin de s’occuper des domaines particuliers
de l’activité technique. Les comités techniques de l’ISO et de la CEI collaborent dans des domaines
d’intérêt commun. D’autres organisations internationales, gouvernementales et non gouvernementales,
en liaison avec l’ISO et la CEI, participent également aux travaux. Dans le domaine des technologies de
l’information, l’ISO et la CEI ont créé un comité technique mixte, l’ISO/CEI JTC 1.
Les Normes internationales sont rédigées conformément aux règles données dans les Directives ISO/CEI,
Partie 2.
La tâche principale du comité technique mixte est d’élaborer les Normes internationales. Les projets de
Normes internationales adoptés par le comité technique mixte sont soumis aux organismes nationaux
pour vote. Leur publication comme Normes internationales requiert l’approbation de 75 % au moins des
organismes nationaux votants.
Exceptionnellement, lorsque le comité technique mixte a réuni des données de nature différente de
celles qui sont normalement publiées comme Normes internationales («état de l’art» par exemple), il peut
décider de publier un Rapport technique. Les Rapports techniques sont de nature purement informative
et doivent être révisés tous les cinq ans de la même façon que sont révisées les Normes internationales.
L’attention est appelée sur le fait que certains des éléments du présent document peuvent faire l’objet
de droits de propriété intellectuelle ou de droits analogues. L’ISO et la CEI ne sauraient être tenues pour
responsables de ne pas avoir identifié de tels droits de propriété et averti de leur existence.
L’ISO/CEI/TR 20000-10 a été élaborée par le comité technique mixte ISO/CEI JTC 1, Technologies de
l’information, sous-comité SC 7, Ingénierie du logiciel et des systèmes.
L’ISO/CEI 20000 comprend les parties suivantes, présentées sous le titre général Technologies de
l’information — Gestion des services:
— Partie 1: Exigences du système de management des services
— Partie 2: Guide pour l’application des systèmes de management des services
— Partie 3: Recommandations pour la détermination du périmètre et l’applicabilité de l’ISO/CEI 20000-
1
— Partie 4: Modèle de référence de processus [Rapport technique]
— Partie 5: Exemple de plan de mise en application pour l’ISO/CEI 20000-1 [Rapport technique]
Les parties suivantes sont en cours d’élaboration:
— Partie 6: Exigences pour les organismes procédant à l’audit et à la certification des systèmes de
management des services
— Partie 8: Guide pour l’application des systèmes de management des services dans les petites
organisations
— Partie 9: Guide pour l’application de l’ISO/CEI 20000-1 au cloud computing
— Partie 10: Concepts et terminologie
— Partie 11: Guide pour les relations entre l’ISO/CEI 20000-1:2011 et les référentiels de gestion des
services
iv © ISO/CEI 2013 – Tous droits réservés
---------------------- Page: 4 ----------------------
ISO/CEI TR 20000-10:2013(F)
Introduction
La présente partie de l’ISO/CEI 20000 fournit une vue d’ensemble des concepts et de la terminologie
de l’ISO/CEI 20000. Elle établit un référentiel commun pour aider les organismes à comprendre la
finalité de toutes les parties de l’ISO/CEI 20000, et les relations entre ces parties. La présente partie de
l’ISO/CEI 20000 est destinée à devenir la source de référence pour les définitions utilisées dans toutes
les parties de l’ISO/CEI 20000. Les termes définis dans la présente partie de l’ISO/CEI 20000 seront
retirés des autres parties publiées de l’ISO/CEI 20000 lorsqu’elles seront mises à jour.
La présente partie de l’ISO/CEI 20000 identifie d’autres documents corrélés à l’ISO/CEI 20000-1:2011
et identifie les domaines communs avec les Normes internationales qui lui sont liées afin de faciliter
l’utilisation et l’intégration de multiples Normes internationales dans les organismes.
La présente partie de l’ISO/CEI 20000 peut être utilisée par tout organisme ou individu impliqué
dans la planification, la conception, la transition, la fourniture et l’amélioration des services utilisant
l’ISO/CEI 20000-1:2011. Elle peut également être utilisée par les personnes concernées par l’évaluation
ou l’audit des systèmes de management des services (SMS) car elle fournit des détails sur toutes les
parties de l’ISO/CEI 20000 et sur la façon dont celles-ci peuvent être utilisées. Plus précisément, la
présente partie de l’ISO/CEI 20000:
a) définit les termes utilisés dans l’ISO/CEI 20000;
b) favorise la cohésion entre les parties de l’ISO/CEI 20000 en expliquant les concepts et la terminologie
utilisés par toutes les parties;
c) facilite la compréhension de l’ISO/CEI 20000 en clarifiant les relations entre toutes les parties;
d) clarifie les interfaces possibles et l’intégration entre le SMS du fournisseur de services et les autres
systèmes de management;
e) fournit une vue d’ensemble des autres Normes internationales qui peuvent être utilisées en
combinaison avec l’ISO/CEI 20000;
f) identifie des domaines communs entre l’ISO/CEI 20000-1 et d’autres Normes internationales.
La Figure 1 montre une vue d’ensemble des relations entre les parties de l’ISO/CEI 20000 ainsi que les
influences des référentiels et les autres influences externes.
© ISO/CEI 2013 – Tous droits réservés v
---------------------- Page: 5 ----------------------
ISO/CEI TR 20000-10:2013(F)
Figure 1 — Synoptique des parties de l’ISO/CEI 20000 traitées dans l’ISO/CEI/TR 20000-10
vi © ISO/CEI 2013 – Tous droits réservés
---------------------- Page: 6 ----------------------
RAPPORT TECHNIQUE ISO/CEI TR 20000-10:2013(F)
Technologies de l’information — Gestion des services —
Partie 10:
Concepts et terminologie
1 Domaine d’application
La présente partie de l’ISO/CEI 20000 expose les concepts principaux de l’ISO/CEI 20000, identifie la
façon dont les différentes parties viennent à l’appui de l’ISO/CEI 20000-1:2011 et décrit les relations
entre l’ISO/CEI 20000 et d’autres Normes internationales et Rapports techniques. La présente partie de
l’ISO/CEI 20000 explique aussi la terminologie utilisée dans l’ISO/CEI 20000 afin que les organismes et
les individus puissent en interpréter correctement les concepts.
La présente partie de l’ISO/CEI 20000 s’adresse aux:
a) fournisseurs de services qui envisagent d’utiliser une partie de l’ISO/CEI 20000 et qui recherchent
des recommandations concernant la manière d’utiliser les différentes parties de l’ISO/CEI 20000
pour atteindre leur objectif;
b) fournisseurs de services qui souhaitent comprendre comment l’ISO/CEI 20000 peut être utilisée
avec d’autres Normes internationales;
c) professionnels, auditeurs et autres parties qui souhaitent mieux comprendre l’ISO/CEI 20000.
2 Termes et définitions
Pour les besoins du présent document, les termes et définitions suivants s’appliquent.
NOTE Les termes et définitions utilisés dans l’ISO/CEI 20000 mais ne figurant pas dans la présente partie
peuvent être consultés dans des dictionnaires standard.
2.1
disponibilité
aptitude d’un service ou d’un composant de service à remplir la fonction spécifiée à un instant donné ou
pendant une période de temps définie
Note 1 à l’article: En règle générale, la disponibilité s’exprime par le rapport ou le pourcentage entre, d’une part, la
période pendant laquelle le service ou le composant de service est réellement disponible pour le client et, d’autre
part, la période définie pendant laquelle le service devrait être disponible.
2.2
configuration de référence
informations de configuration formellement identifiées à un moment donné de la durée de vie d’un
service ou d’un composant de service
Note 1 à l’article: Les configurations de référence, accompagnées des changements approuvés sur celles-ci,
constituent les informations de configuration actuelles.
Note 2 à l’article: Adapté de l’ISO/CEI/IEEE 24765:2010.
2.3
élément de configuration
CI
élément qui doit être contrôlé afin de fournir un ou plusieurs services
© ISO/CEI 2013 – Tous droits réservés 1
---------------------- Page: 7 ----------------------
ISO/CEI TR 20000-10:2013(F)
2.4
base de données de gestion des configurations
CMDB
base de données utilisée pour enregistrer les attributs des éléments de configuration ainsi que les
relations entre les éléments de configuration, tout au long de leur cycle de vie
2.5
amélioration continue
activité régulière permettant d’accroître la capacité à satisfaire aux exigences de services
Note 1 à l’article: Adapté de l’ISO 9000:2005.
2.6
action corrective
action visant à éliminer la cause ou à réduire la probabilité de récurrence d’une non-conformité ou d’une
autre situation indésirable détectée
Note 1 à l’article: Adapté de l’ISO 9000:2005.
2.7
client
organisme ou partie d’un organisme qui reçoit un ou plusieurs services
Note 1 à l’article: Un client peut être interne ou externe à l’organisme fournisseur de services.
Note 2 à l’article: Adapté de l’ISO 9000:2005.
2.8
document
support d’information et l’information qu’il contient
[SOURCE: ISO 9000:2005]
EXEMPLE Politiques, plans, descriptions de processus, procédures, accords sur les niveaux de services,
contrats ou enregistrements.
Note 1 à l’article: La documentation peut se présenter sous toute forme et sur tout type de support.
Note 2 à l’article: Dans l’ISO/CEI 20000, les documents, à l’exception des enregistrements, font état de l’objectif à
atteindre.
2.9
efficacité
niveau de réalisation des activités planifiées et d’obtention des résultats escomptés
[SOURCE: ISO 9000:2005]
2.10
incident
interruption non planifiée d’un service, altération de la qualité d’un service ou événement qui n’a pas
encore eu d’impact sur le service au client
2.11
sécurité de l’information
protection de la confidentialité, de l’intégrité et de l’accessibilité de l’information
Note 1 à l’article: En outre, d’autres propriétés telles que l’authenticité, l’imputabilité, la non-répudiation et la
fiabilité peuvent également être concernées.
Note 2 à l’article: Le terme «disponibilité» n’est pas utilisé dans la présente définition car il s’agit d’un terme défini
dans la présente partie de l’ISO/CEI 20000 qui ne serait pas adapté à la présente définition.
Note 3 à l’article: Adapté de l’ISO/CEI 27000:2009.
2 © ISO/CEI 2013 – Tous droits réservés
---------------------- Page: 8 ----------------------
ISO/CEI TR 20000-10:2013(F)
2.12
incident lié à la sécurité de l’information
un ou plusieurs événements liés à la sécurité de l’information indésirables ou inattendus présentant
une probabilité forte de compromettre les opérations liées à l’activité de l’organisation et de menacer la
sécurité de l’information
[SOURCE: ISO/CEI 27000:2009]
2.13
partie intéressée
personne ou groupe de personnes ayant un intérêt particulier dans le fonctionnement ou le succès de
l’activité ou des activités du fournisseur de services
EXEMPLE Clients, propriétaires, direction, personnels de l’organisme fournisseur de services, fournisseurs,
banques, syndicats ou partenaires.
Note 1 à l’article: Un groupe peut être un organisme, une partie de celui-ci ou plusieurs organismes.
Note 2 à l’article: Adapté de l’ISO 9000:2005.
2.14
groupe interne
partie de l’organisme fournisseur de services qui s’engage auprès du fournisseur de services, via un
accord documenté, à contribuer à la conception, la transition, la fourniture et l’amélioration d’un ou de
plusieurs services
Note 1 à l’article: Le groupe interne n’est pas couvert par le domaine d’application du SMS du fournisseur de
services.
2.15
erreur connue
problème dont la cause sous-jacente est identifiée ou qui bénéficie d’une méthode pour limiter ou
éliminer son impact sur un service en le contournant
2.16
non-conformité
non-satisfaction d’une exigence
[SOURCE: ISO 9000:2005]
2.17
organisme
ensemble d’installations et de personnes avec des responsabilités, pouvoirs et relations
EXEMPLE Compagnie, société, firme, entreprise, institution, œuvre de bienfaisance, travailleur indépendant,
association ou parties ou combinaison de ceux-ci.
Note 1 à l’article: Cet ensemble est généralement structuré.
Note 2 à l’article: Un organisme peut être public ou privé.
[SOURCE: ISO 9000:2005]
2.18
action préventive
action visant à éviter ou éliminer les causes d’une non-conformité potentielle ou d’une autre situation
indésirable potentielle, ou à réduire la probabilité de leur survenue
Note 1 à l’article: Adapté de l’ISO 9000:2005.
© ISO/CEI 2013 – Tous droits réservés 3
---------------------- Page: 9 ----------------------
ISO/CEI TR 20000-10:2013(F)
2.19
problème
cause sous-jacente d’un ou de plusieurs incidents
Note 1 à l’article: La cause sous-jacente n’est en général pas connue au moment de l’enregistrement du problème
et le processus de gestion des problèmes est chargé des investigations plus approfondies.
2.20
procédure
manière spécifiée d’effectuer une activité ou un processus
[SOURCE: ISO 9000:2005]
Note 1 à l’article: Les procédures peuvent ou non faire l’objet de documents.
2.21
processus
ensemble d’activités corrélées ou interactives qui transforme des éléments d’entrée en éléments de
sortie
[SOURCE: ISO 9000:2005]
2.22
enregistrement
document faisant état de résultats obtenus ou apportant la preuve de la réalisation d’une activité
[SOURCE: ISO 9000:2005]
EXEMPLE Rapports d’audit, rapports d’incidents, enregistrements de formation ou comptes-rendus de
réunions.
2.23
mise en production
ensemble d’un ou de plusieurs éléments de configuration, nouveaux ou modifiés, déployés dans
l’environnement de production en tant que résultat d’un ou de plusieurs changements
2.24
demande de changement
proposition de changement à apporter à un service, à un composant de service ou au SMS
Note 1 à l’article: Un changement apporté à un service inclut la mise à disposition d’un nouveau service ou la
suppression d’un service qui n’est plus requis.
2.25
risque
effet de l’incertitude sur l’atteinte des objectifs
Note 1 à l’article: Un effet est un écart, positif et/ou négatif, par rapport à une attente.
Note 2 à l’article: Les objectifs peuvent avoir différents aspects (par exemple buts financiers, de santé et de
sécurité, ou environnementaux) et peuvent concerner différents niveaux (niveau stratégique, niveau d’un projet,
d’un produit, d’un processus ou d’un organisme tout entier).
Note 3 à l’article: Un risque est souvent caractérisé en référence à des événements et des conséquences potentiels
ou à une combinaison des deux.
Note 4 à l’article: Un risque est souvent exprimé en termes de combinaison des conséquences d’un événement
(incluant des changements de circonstances) et de sa vraisemblance.
[SOURCE: ISO 31000:2009]
4 © ISO/CEI 2013 – Tous droits réservés
---------------------- Page: 10 ----------------------
ISO/CEI TR 20000-10:2013(F)
2.26
service
moyen visant à fournir de la valeur au client en lui offrant les résultats qu’il souhaite atteindre
Note 1 à l’article: Un service est en général intangible.
Note 2 à l’article: Un service peut également être fourni au fournisseur de services par un fournisseur, un groupe
interne ou un client agissant en tant que fournisseur.
2.27
composant de service
élément simple d’un service qui, lorsqu’il est combiné à d’autres éléments, fournit un service complet
EXEMPLE Matériel, logiciel, outils, applications, documentation, informations, processus ou services de
soutien.
Note 1 à l’article: Un composant de service peut comprendre un ou plusieurs éléments de configuration.
2.28
continuité de service
capacité à gérer les risques et les événements susceptibles d’avoir de graves conséquences sur un ou
plusieurs services afin de fournir sans interruption les services prévus aux accords sur les niveaux de
services
2.29
accord sur les niveaux de services
SLA
accord documenté entre le fournisseur de services et le client qui identifie les services et leurs objectifs
Note 1 à l’article: Un accord sur les niveaux de services peut également être établi entre le fournisseur de services
et un fournisseur, un groupe interne ou un client agissant en tant que fournisseur.
Note 2 à l’article: Un accord sur les niveaux de services peut être inclus dans un contrat ou un autre type d’accord
documenté.
2.30
gestion des services
ensemble d’aptitudes efficientes et de processus permettant de diriger et de contrôler les activités et
ressources du fournisseur de services pour la conception, la transition, la fourniture et l’amélioration
des services afin de satisfaire aux exigences de services
2.31
système de management des services
SMS
système de management permettant d’orienter et de contrôler les activités de gestion des services du
fournisseur de services
Note 1 à l’article: Un système de management est un ensemble d’éléments corrélés ou interdépendants visant à
établir une politique ainsi que des objectifs, et à atteindre ces objectifs.
Note 2 à l’article: Le SMS inclut l’intégralité des politiques de gestion des services, objectifs, plans, processus,
documentations et ressources requis pour la conception, la transition, la fourniture et l’amélioration des services,
et pour satisfaire aux exigences de l’ISO/CEI 20000-1:2011.
Note 3 à l’article: Adapté de la définition du «système de management de la qualité» de l’ISO 9000:2005.
2.32
fournisseur de services
organisme ou partie d’un organisme qui gère et fournit au client un ou plusieurs services
Note 1 à l’article: Un client peut être interne ou externe à l’organisme fournisseur de services.
© ISO/CEI 2013 – Tous droits réservés 5
---------------------- Page: 11 ----------------------
ISO/CEI TR 20000-10:2013(F)
2.33
demande de service
demande d’informations, de conseils, d’accès à un service ou à un changement préalablement approuvé
2.34
exigence de service
besoins du client et des utilisateurs du service, comprenant les exigences de niveaux de services, et
besoins du fournisseur de services
2.35
fournisseur
organisme ou partie d’un organisme qui est externe à l’organisme fournisseur de services et qui conclut
un contrat avec le fournisseur de services pour contribuer à la conception, la transition, la fourniture et
l’amélioration d’un ou de plusieurs services ou processus
Note 1 à l’article: Le terme «fournisseurs» inclut les principaux fournisseurs désignés, mais pas leurs sous-
traitants.
2.36
direction
personne ou groupe de personnes qui oriente et contrôle le fournisseur de services au plus haut niveau
Note 1 à l’article: Adapté de l’ISO 9000:2005.
2.37
transition
activités impliquées dans le déploiement d’un service nouveau ou modifié vers l’environnement de
production, ou dans le retrait d’un service de l’environnement de production
3 Terminologie utilisée dans l’ISO/CEI 20000
Il convient que le fournisseur de services soit conscient du fait que la plupart des termes de l’ISO/CEI 20000
utilisent les définitions contenues dans des dictionnaires courants et, dans certains cas, spécifiquement
définis pour le contexte. Ces termes spéciaux sont repris d’autres normes de système de management ou
sont spécifiquement définis pour l’ISO/CEI 20000; par exemple, «document», «efficacité» et «direction»
proviennent de l’ISO 9000, «sécurité de l’information» de l’ISO/CEI 27000, et «service» est spécifiquement
défini pour l’ISO/CEI 20000.
Le terme spécifique «direction», qui est important pour l’ISO/CEI 20000, a été adapté pour convenir au
contexte dans lequel l’ISO/CEI 20000 est utilisée. Le terme «direction» est utilisé dans l’ISO 9000 pour
désigner les personnes responsables de l’organisme. Dans l’ISO/CEI 20000, la «direction» est la partie de
l’organisme responsable du SMS du fournisseur de services.
D’autres termes définis dans l’ISO 9000 sont utilisés dans l’ISO/CEI 20000-1:2011. En règle générale,
ces termes sont étroitement liés aux systèmes de management (par exemple, processus, procédure,
document, enregistrement, action corrective, action préventive). Dans certains cas, les définitions de
l’ISO 9000:2005 ont été adaptées pour s’appliquer aux services car l’ISO/CEI 20000-1:2011 a été élaborée
spécifiquement pour le SMS et les services.
L’ISO/CEI 20000-1:2011 inclut des définitions de gestion des services qui ne font pas partie de l’ISO 9000
(par exemple, élément de configuration ou demande de changement).
L’utilisation du terme «gouvernance» dans l’ISO/CEI 20000 en est un autre exemple. Ce terme est utilisé
uniquement dans le contexte de la «gouvernance de processus opérés par d’autres parties».
Pour l’ISO/CEI 27001:2005, les «actifs d’information» sont définis comme étant des «connaissances ou
données représentant de la valeur pour l’organisation», quels que soient les supports utilisés (imprimés,
électroniques, etc.).
6 © ISO/CEI 2013 – Tous droits réservés
---------------------- Page: 12 ----------------------
ISO/CEI TR 20000-10:2013(F)
L’ISO/CEI 20000-1:2011 reconnaît que les données, les informations, les connaissances, les processus
associés, les technologies et les personnes sont des «actifs» importants pour la réalisation des objectifs
du fournisseur de services. Le terme «actif» n’est pas défini dans l’ISO/CEI 20000-1:2011, si bien qu’il est
utilisé dans le sens normal de quelque chose ayant de la valeur. Dans certains articles de l’ISO/CEI 20000-
1:2011, le terme «actifs» se réfère à des actifs financiers tels que les licences de logiciels. Dans d’autres
articles, les actifs représentent des actifs d’information, comme dans l’ISO/CEI 27001:2005. Dans le
contexte de l’ISO/CEI 20000-1:2011, un actif d’information peut être utilisé par un service ou faire partie
d’un service.
L’ISO/CEI 20000-1:2011 utilise un terme défini, le terme «élément de configuration (CI)», pour désigner
un élément qu’il convient de contrôler pour fournir un ou plusieurs services. Il est donc recommandé au
fournisseur de services de définir ce qu’il convient de contrôler en tant que CI pour soutenir les objectifs
métier et les exigences de services spécifiques à son organisme. Le terme «actif d’information» peut être
inclus dans cette définition. Certains «actifs», mais pas nécessairement tous, peuvent être considérés
comme des CI, par exemple une politique ou un accord sur les niveaux de services (SLA) sont des actifs
qui sont également des CI. Les enregistrements peuvent être des actifs d’information mais ne sont pas
des CI.
Dans l’ISO/CEI 27001:2005, bien que la définition du terme «incident lié à la sécurité de l’information»
utilisée dans l’ISO/CEI 20000 ait été reprise de l’ISO/CEI 27000:2009, la manière dont est utilisé le
terme «incident» est différente.
Dans l’ISO/CEI 27001:2005, «incident lié à la sécurité de l’information» est le terme utilisé pour tous
les événements indésirables présentant un intérêt. L’ISO/CEI 27001:2005 décrit un seul processus pour
traiter des incidents liés à la sécurité de l’information.
À l’inverse, l’ISO/CEI 20000-1:2011 utilise plusieurs termes pour les événements indésirables présentant
un intérêt: incident, incident lié à la sécurité de l’information, problème, erreur connue et incident
majeur. Tous peuvent être des incidents liés à la sécurité de l’information selon l’ISO/CEI 27001:2005, en
fonction de leurs caractéristiques.
L’ISO/CEI 20000-1:2011 dispose également de divers mécanismes pour gérer ces événements, tels que
la gestion des incidents et des demandes de services, la
...
Questions, Comments and Discussion
Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.