ISO/IEC 20000-2:2012
(Main)Information technology — Service management — Part 2: Guidance on the application of service management systems
Information technology — Service management — Part 2: Guidance on the application of service management systems
ISO/IEC 20000-2:2012 provides guidance on the application of service management systems (SMS) based on the requirements in ISO/IEC 20000-1. ISO/IEC 20000-2:2012 enables organizations and individuals to interpret ISO/IEC 20000-1 more accurately, and therefore to use it more effectively. The guidance includes examples and suggestions to enable organizations to interpret and apply ISO/IEC 20000-1, including references to other parts of ISO/IEC 20000 and other relevant standards. This includes guidance on the use of an SMS for the planning, design, transition, delivery and improvement of the SMS and services. At a minimum this includes service management policies, objectives, plans, service management processes, process interfaces, documentation and resources. The SMS provides ongoing control, greater effectiveness, efficiency and opportunities for continual improvement of service management and of services. It enables an organization to work effectively with a shared vision.
Technologies de l'information — Gestion des services — Partie 2: Guide pour l'application des systèmes de management des services
L'ISO/CEI 20000-2:2012 fournit un guide concernant l'application des systèmes de management de services (SMS) sur la base de l'ISO/CEI 20000-1. L'ISO/CEI 20000-2:2012 fournit des exemples et des suggestions pour permettre aux organisations d'interpréter et d'appliquer l'ISO/CEI 20000-1, notamment des références à d'autres parties de l'ISO/CEI 20000 et à d'autres normes appropriées. Cela inclut un guide concernant l'utilisation d'un SMS pour la planification, la conception, la transition, la fourniture et l'amélioration du SMS et des services. Au minimum, cela inclut les politiques, les objectifs, les plans, les processus, les interfaces de processus, la documentation et les ressources concernant le management des services. L'intégration et l'implémentation coordonnées d'un SMS présentent l'avantage d'offrir un contrôle continu, une plus grande efficacité, une efficience ainsi que des opportunités d'amélioration continue. Elle permet à une organisation de travailler efficacement avec une vision partagée.
General Information
Relations
Buy Standard
Standards Content (Sample)
INTERNATIONAL ISO/IEC
STANDARD 20000-2
Second edition
2012-02-15
Information technology — Service
management —
Part 2:
Guidance on the application of service
management systems
Technologies de l'information — Gestion des services —
Partie 2: Directives relatives à l'application des systèmes de
management des services
Reference number
ISO/IEC 20000-2:2012(E)
©
ISO/IEC 2012
---------------------- Page: 1 ----------------------
ISO/IEC 20000-2:2012(E)
COPYRIGHT PROTECTED DOCUMENT
© ISO/IEC 2012
All rights reserved. Unless otherwise specified, no part of this publication may be reproduced or utilized in any form or by any means,
electronic or mechanical, including photocopying and microfilm, without permission in writing from either ISO at the address below or
ISO's member body in the country of the requester.
ISO copyright office
Case postale 56 CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Published in Switzerland
ii © ISO/IEC 2012 – All rights reserved
---------------------- Page: 2 ----------------------
ISO/IEC 20000-2:2012(E)
Contents Page
Foreword . v
Introduction . vi
1 Scope . 1
1.1 General . 1
1.2 Application . 2
2 Normative references . 2
3 Terms and definitions . 2
4 Service management system general requirements . 2
4.1 Management responsibility . 2
4.2 Governance of processes operated by other parties . 13
4.3 Documentation management . 15
4.4 Resource management . 17
4.5 Establish and improve the SMS . 19
5 Design and transition of new or changed services . 24
5.1 General . 24
5.2 Plan new or changed services . 25
5.3 Design and development of new or changed services . 28
5.4 Transition of new or changed services . 31
5.5 Documents and records . 31
5.6 Authorities and responsibilities . 32
6 Service delivery processes . 32
6.1 Service level management . 32
6.2 Service reporting . 37
6.3 Service continuity and availability management . 38
6.4 Budgeting and accounting for services . 43
6.5 Capacity management . 46
6.6 Information security management . 49
7 Relationship processes . 53
7.1 Business relationship management . 53
7.2 Supplier management . 56
8 Resolution processes . 59
8.1 Incident and service request management . 59
8.2 Problem management . 62
9 Control processes . 65
9.1 Configuration management . 65
9.2 Change management . 69
9.3 Release and deployment management . 72
Annex A (informative) Interfaces between processes and integration of processes with SMS . 77
Bibliography . 84
Figures and Tables
Figure 1 — PDCA methodology applied to service management . vii
Figure 2 — Service management system . 1
Figure 3 — Example of relationship with lead suppliers and sub-contracted suppliers . 58
© ISO/IEC 2012 – All rights reserved iii
---------------------- Page: 3 ----------------------
ISO/IEC 20000-2:2012(E)
Table 1 — Example matrix of incident resolution target times based on priorities .60
Table A.1 — Interfaces and integration for design and transition of new or changed services .77
Table A.2 — Interfaces and integration for SLM .77
Table A.3 — Interfaces and integration for service reporting .78
Table A.4 — Interfaces and integration for service continuity and availability management .78
Table A.5 — Interfaces and integration for budgeting and accounting for services .79
Table A.6 — Interfaces and integration for capacity management .79
Table A.7 — Interfaces and integration for ISM .80
Table A.8 — Interfaces and integration for BRM .80
Table A.9 — Interfaces and integration for supplier management .81
Table A.10 — Interfaces and integration for incident and service request management .81
Table A.11 — Interfaces and integration for problem management .82
Table A.12 — Interfaces and integration for configuration management .82
Table A.13 — Interfaces and integration for change management .83
Table A.14 — Interfaces and integration for release and deployment management .83
iv © ISO/IEC 2012 – All rights reserved
---------------------- Page: 4 ----------------------
ISO/IEC 20000-2:2012(E)
Foreword
ISO (the International Organization for Standardization) and IEC (the International Electrotechnical
Commission) form the specialized system for worldwide standardization. National bodies that are members of
ISO or IEC participate in the development of International Standards through technical committees
established by the respective organization to deal with particular fields of technical activity. ISO and IEC
technical committees collaborate in fields of mutual interest. Other international organizations, governmental
and non-governmental, in liaison with ISO and IEC, also take part in the work. In the field of information
technology, ISO and IEC have established a joint technical committee, ISO/IEC JTC 1.
International Standards are drafted in accordance with the rules given in the ISO/IEC Directives, Part 2.
The main task of the joint technical committee is to prepare International Standards. Draft International
Standards adopted by the joint technical committee are circulated to national bodies for voting. Publication as
an International Standard requires approval by at least 75 % of the national bodies casting a vote.
Attention is drawn to the possibility that some of the elements of this document may be the subject of patent
rights. ISO and IEC shall not be held responsible for identifying any or all such patent rights.
ISO/IEC 20000-2 was prepared by Joint Technical Committee ISO/IEC JTC 1, Information technology,
Subcommittee SC 7, Software and systems engineering.
This second edition cancels and replaces the first edition (ISO/IEC 20000-2:2005), which has been technically
revised. The major differences are as follows:
closer alignment to ISO 9001 and ISO/IEC 27001;
changes in terminology to reflect international usage;
new guidance on governance of processes operated by other parties;
more guidance on defining the scope of the SMS;
more guidance on continual improvement of the SMS and services;
more guidance on the design and transition of new or changed services.
ISO/IEC 20000 consists of the following parts, under the general title Information technology — Service
management:
Part 1: Service management system requirements
Part 2: Guidance on the application of service management systems
Part 3: Guidance on scope definition and applicability of ISO/IEC 20000-1 [Technical Report]
Part 4: Process reference model [Technical Report]
Part 5: Exemplar implementation plan for ISO/IEC 20000-1 [Technical Report]
© ISO/IEC 2012 – All rights reserved v
---------------------- Page: 5 ----------------------
ISO/IEC 20000-2:2012(E)
Introduction
This part of ISO/IEC 20000 provides guidance on the application of service management systems (SMS)
based on ISO/IEC 20000-1. This part of ISO/IEC 20000 does not add any requirements to those stated in
ISO/IEC 20000-1 and does not state explicitly how evidence can be provided to an assessor or auditor. The
intent of this part of ISO/IEC 20000 is to enable organizations and individuals to interpret ISO/IEC 20000-1
more accurately, and therefore use it more effectively.
An SMS is defined in ISO/IEC 20000-1 as a management system to direct, monitor and control the service
management activities of the service provider. The SMS should include what is required for the planning,
design, transition, delivery and improvement of services. At a minimum this includes service management
policies, objectives, plans, processes, process interfaces, documentation and resources. The SMS
encompasses all the processes as an over-arching management system, with the service management
processes as part of the SMS.
Coordinated integration and implementation of an SMS provides ongoing control, greater effectiveness,
efficiency and opportunities for continual improvement. It enables an organization to work effectively with a
shared vision. The operation of processes as specified in Clauses 5 to 9 requires personnel to be well
organized and coordinated. Appropriate tools may be used to enable the service management processes to
be effective and efficient. The most effectual organizations consider the impact of the SMS through all stages
of the service lifecycle, from planning and design to transition and operation, including continual improvement.
This part of ISO/IEC 20000 provides examples and suggestions to enable organizations to interpret and apply
ISO/IEC 20000-1, including references to other parts of ISO/IEC 20000 and other relevant standards.
Users of International Standards are responsible for their correct application. It is important for organizations
and individuals using ISO/IEC 20000 to understand the points listed below.
ISO/IEC 20000-1 does not purport to include all necessary statutory and regulatory requirements, or all
contractual obligations of the service provider. Conformity to ISO/IEC 20000-1 does not of itself confer
immunity from statutory obligations.
ISO/IEC 20000-1 is applicable to internal and external, large and small, and commercial and non-
commercial service providers.
ISO/IEC 20000-1 promotes the adoption of an integrated process approach when planning, establishing,
implementing, operating, monitoring, measuring, reviewing, maintaining and improving an SMS for the
design, transition, improvement and delivery of services that fulfil service requirements.
ISO/IEC 20000 promotes the application of the methodology known as “Plan-Do-Check-Act” (PDCA) to the
SMS and the services. The PDCA methodology, shown in Figure 1, can be briefly described as follows:
Plan: establishing, documenting and agreeing the SMS including the policies, objectives, plans and processes
necessary to design and deliver services in accordance with business needs, customer requirements and the
service provider's policies.
Do: implementing and operating the SMS for the design, transition, delivery and improvement of the services.
Check: monitoring, measuring and reviewing the SMS and the services against the plans, policies, objectives
and requirements and reporting the results.
Act: taking actions to continually improve performance of the SMS. This includes the service management
processes and the services.
vi © ISO/IEC 2012 – All rights reserved
---------------------- Page: 6 ----------------------
ISO/IEC 20000-2:2012(E)
When used within an SMS, the following are the most important aspects of an integrated process approach
and the PDCA methodology:
a) understanding and fulfilling the service requirements to achieve customer satisfaction;
b) establishing the policy and objectives for service management;
c) designing and delivering services based on the SMS that add value for the customer;
d) monitoring, measuring and reviewing performance of the SMS and the services;
e) continually improving the SMS and the services based on objective measurements.
Where other management systems are present, the implementation of an SMS, with the adoption of a process
approach and the PDCA methodology, enables the service provider to align or fully integrate the
organization’s management systems. For example, it is possible to integrate ISO/IEC 20000 with a quality
management system based upon ISO 9001 and/or an information security management system based upon
ISO/IEC 27001. An integrated management system approach increases efficiency, establishes clear
accountability and traceability and enhances organizational planning, communication and control.
Plan
Service
Management
System
Service
Management
Act
Processes
Do
Services
Check
Figure 1 — PDCA methodology applied to service management
As stated in ISO/IEC 20000-1:
“ISO/IEC 20000 can be used by:
a) an organization seeking services from service providers and requiring assurance that their service
requirements will be fulfilled;
b) an organization that requires a consistent approach by all their service providers, including those in a
supply chain;
c) the service provider that intends to demonstrate its capability for the design, transition, delivery and
improvement of services that fulfil service requirements;
d) a service provider to monitor, measure and review its service management processes and services;
e) a service provider to improve the design, transition, delivery and improvement of services through the
effective implementation and operation of the SMS;
f) an assessor as the criteria for a conformity assessment of a service provider’s SMS to the requirements in
this part of ISO/IEC 20000.”
© ISO/IEC 2012 – All rights reserved vii
---------------------- Page: 7 ----------------------
ISO/IEC 20000-2:2012(E)
This part of ISO/IEC 20000 can be used by an organization looking for guidance on how to improve service
management, whether or not it is interested in seeking certification.
viii © ISO/IEC 2012 – All rights reserved
---------------------- Page: 8 ----------------------
INTERNATIONAL STANDARD ISO/IEC 20000-2:2012(E)
Information technology — Service management —
Part 2:
Guidance on the application of service management systems
1 Scope
1.1 General
This part of ISO/IEC 20000 provides guidance on the application of an SMS based on ISO/IEC 20000-1. This
part of ISO/IEC 20000 provides examples and suggestions to enable organizations to interpret and apply
ISO/IEC 20000-1, including references to other parts of ISO/IEC 20000 and other relevant standards. This
part of ISO/IEC 20000 is independent of specific best practice frameworks and the service provider can apply
a combination of generally accepted guidance and their own techniques.
Service Management System (SMS)
Customers Customers
(and other Governance of processes (and other
Management responsibility
operated by other parties
interested interested
Establish the SMS
Documentation management
parties) parties)
Resource management
Design and transition of new or changed services
Service Services
Requirements
Service delivery processes
Capacity management Service level management Information security
management
Service continuity & Service reporting Budgeting &
availability management accounting for services
Control processes
Configuration management
Change management
Release and deployment
management
Relationship processes
Resolution processes
Incident and service request
Business relationship
management management
Problem management
Supplier management
Figure 2 — Service management system
Figure 2 shows the processes from Clauses 6 to 9 in the central box. The Clause 5 design and transition of
new or changed services process surrounds the Clause 6 to 9 processes. This shows that the new or
changed services are operated by the processes in the central box. When there are no new or changed
services to which Clause 5 applies, all services can be delivered directly by Clauses 6 to 9.
The interfaces between the service management processes and the relationships between different
components of the SMS may be implemented differently by different service providers. The nature of the
relationship between the service provider and the customer can also influence how the SMS is implemented
to fulfil the requirements of ISO/IEC 20000-1. For these reasons the interfaces between processes are not
represented in Figure 2.
© ISO/IEC 2012 – All rights reserved 1
---------------------- Page: 9 ----------------------
ISO/IEC 20000-2:2012(E)
1.2 Application
The service provider is accountable for the SMS and therefore cannot ask another party to fulfil the
requirements of Clause 4 of ISO/IEC 20000-1:2011. For example, the service provider cannot ask another
party to provide the top management and demonstrate top management commitment or to demonstrate the
governance of processes operated by other parties.
Some activities in Clause 4 may be performed by another party under the management of the service
provider. For example, service providers can engage other parties to conduct internal audits on their behalf.
Another example is where a service provider asks another party to create the initial service management plan.
The plan, once created and agreed, is the direct responsibility of and is maintained by the service provider. In
these examples, the service provider is using other parties for specific short-term activities. The service
provider has accountability, authorities and responsibilities for the SMS. The service provider can therefore
demonstrate evidence of fulfilling all of the requirements of Clause 4 of ISO/IEC 20000-1:2011.
The service provider can show evidence of fulfilling all requirements directly or can show evidence of fulfilling
most of the requirements directly as well as the governance of processes operated by other parties. If the
service provider relies on other parties for operation of the majority of the processes in Clauses 5 to 9, the
service provider is unlikely to be able to demonstrate governance of the processes. However, if other parties
operate only a minority of the processes, the service provider can normally fulfil the requirements specified in
ISO/IEC 20000-1.
The defined, agreed and documented accountability, authorities and responsibilities for the SMS are readily
accessible to both the service provider and other relevant parties. To fulfil the requirements of
ISO/IEC 20000-1 the service provider can agree changes to the terms of existing contracts or other
documented agreements.
ISO/IEC 20000 excludes the specification of, or specific guidance about, any product or tool. However,
organizations can use this part of ISO/IEC 20000 to help them use or develop products or tools that support
operation of the SMS.
2 Normative references
The following documents are indispensable for the application of this document. For dated references, only
the edition cited applies. For undated references, the latest edition of the referenced document (including any
amendments) applies.
ISO/IEC 20000-1, Information technology — Service management — Part 1: Service management system
requirements
3 Terms and definitions
For the purposes of this document, the terms and definitions given in ISO/IEC 20000-1 apply.
4 Service management system general requirements
4.1 Management responsibility
4.1.1 Management commitment
4.1.1.1 Top management responsibilities
Top management should be the management who direct, monitor and control the service provider at the
highest level.
2 © ISO/IEC 2012 – All rights reserved
---------------------- Page: 10 ----------------------
ISO/IEC 20000-2:2012(E)
Top management should be aware that fulfilling the requirements of ISO/IEC 20000-1 includes:
a) demonstrating their commitment to be involved at all stages of the SMS, starting with the planning and
establishment of the SMS and continuing through the operation, monitoring, measurement, review,
maintenance and continual improvement of the SMS;
b) demonstrating their accountabilities and responsibilities for the SMS;
c) ensuring that the service requirements, scope of the SMS, service management policy and objectives are
understood and acknowledged by all interested parties of the SMS;
d) ensuring that the service management plan is created, implemented, maintained and aligned with
business objectives;
e) ensuring the provision of adequate resources to fulfil the service management objectives and to adhere to
the service management policy;
f) ensuring that the performance of the SMS is reported to the top management level;
g) achieving the objectives of service management, including when these vary due to changing business
needs or service requirements;
h) ensuring that risks to services are minimised, e.g. by assessing risks associated with changes and taking
action.
Top management should also ensure that all service lifecyle stages are delivered to the agreed levels, as
defined in the service requirements. The service lifecycle includes planning, implementation, operation,
monitoring, measurement, review, maintenance and continual improvement. The service lifecycle also
includes transfer of the service to a customer or a different party or eventual removal of the service.
Top management should be aware that they are accountable for ensuring that the SMS and the services
delivered by the SMS are assessed and reviewed. Assessments should include the service provider’s own
reviews and internal audits, as well as external audits. Further information about management reviews can be
found in Clause 4.5 of this part of ISO/IEC 20000.
4.1.1.2 Evidence of top management commitment
Without management commitment, it is possible that management decisions can be made that conflict with
requirements for an effective SMS. Examples can include reallocation of resources to other projects, lack of
communication about the SMS and unresolved conflicts in process design.
There should be evidence of management commitment and accountability available for review by an
assessor. Top management should be able to provide evidence based on records of their involvement in:
a) regular meetings about the SMS, e.g. chairing planning meetings so that the SMS remains aligned with
business needs and new or changed service requirements;
b) ensuring the SMS includes a definition of the scope, the service management policy, service management
objectives and the service management plan;
c) approval of the service management policy, service management objectives and of the service
management plan;
d) approval of processes and procedures consistent with, and supportive of, the SMS policies.
Top management approval of the service management plan is important because the plan can have
implications for commitments to the customer, planning activities for suppliers and the allocation of resources
for improvements and other changes.
© ISO/IEC 2012 – All rights reserved 3
---------------------- Page: 11 ----------------------
ISO/IEC 20000-2:2012(E)
The alignment between policies, processes and procedures enables top management direction to be
cascaded to all service provider personnel. This should align management decisions with the way the service
provider's personnel operate on a day to day basis.
4.1.1.3 Top management communications
Top management should be actively involved in an ongoing programme of communications. Communications
should be directed by approved communications procedures as described in Clause 4.1.3.2.
Top management should be actively involved in an ongoing programme of communications to explain how the
established SMS is aligned with business objectives and customer expectations. This is important to the
success of the SMS because personnel who understand the purpose and importance of the SMS are less
likely to resist changes due to fear or lack of knowledge. Top management communications about the SMS
can be an opportunity for the service provider to motivate their own organization. Additionally, an appreciation
of the importance of the SMS by both management and personnel, should reduce the risk or likelihood that
decisions will be made or solutions delivered that are in contradiction with the SMS.
The programme of communications should explain the following:
a) organizational changes, policies, standards, vision and mission as well as business targets;
b) business needs, e.g. the relationship between the SMS and the services delivered, as well as how these
support the defined organizational goals and objectives;
c) how the established SMS is aligned with business objectives and customer expectations;
d) how the service management policy, service management objectives and service management plan
support fulfilment of service requirements;
e) customer requirements, e.g. service targets, predicted capacity based upon predicted demand,
information security and service continuity to support business continuity;
f) statutory requirements, such as working hours, health and safety and data protection, which vary by
country;
g) regulatory requirements, e.g. that records are kept for a specific period of time;
h) contractual requirements, e.g. a requirement to sign a non-disclosure agreement before having access to
the service provider's information;
i) documented agreements with the customer;
j) regular analysis of data gathered through measurement of the SMS and components, e.g. process
measurements.
Additionally, communications can be an opportunity for the service provider t
...
NORME ISO/CEI
INTERNATIONALE 20000-2
Deuxième édition
2012-02-15
Technologies de l’information — Gestion
des services —
Partie 2:
Guide pour l’application des systèmes de
management des services
Information technology — Service management — Part 2: Guidance on
the application of service management systems
Numéro de référence
ISO/CEI 20000-2:2012(F)
©
ISO/CEI 2012
---------------------- Page: 1 ----------------------
ISO/CEI 20000-2:2012(F)
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO/CEI 2012
Droits de reproduction réservés. Sauf prescription différente, aucune partie de cette publication ne peut être reproduite ni utilisée sous
quelque forme que ce soit et par aucun procédé, électronique ou mécanique, y compris la photocopie et les microfilms, sans l’accord écrit
de l’ISO à l’adresse ci-après ou du comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Case postale 56 • CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Publié en Suisse
ii © ISO/CEI 2012 – Tous droits réservés
---------------------- Page: 2 ----------------------
ISO/CEI 20000-2:2012(F)
Sommaire Page
Avant-propos .iv
Introduction . v
1 Domaine d’application . 1
1.1 Généralités . 1
1.2 Application . 2
2 Références normatives . 2
3 Termes et définitions . 2
4 Exigences générales liées au système de management des services . 3
4.1 Responsabilités de la direction . 3
4.2 Gouvernance des processus opérés par des tierces parties .13
4.3 Gestion de la documentation .16
4.4 Gestion des ressources .18
4.5 Etablir et améliorer le SMS .21
5 Conception et transition de services nouveaux ou modifiés .26
5.1 Généralités .26
5.2 Planification des services nouveaux ou modifiés .27
5.3 Conception et développement des services nouveaux ou modifiés .30
5.4 Transition de services nouveaux ou modifiés .33
5.5 Documents et enregistrements .34
5.6 Autorités et responsabilités .34
6 Processus de fourniture des services .34
6.1 Gestion des niveaux de services .34
6.2 Etablissement de rapports de services .39
6.3 Gestion de la continuité et de la disponibilité des services .41
6.4 Budgétisation et comptabilisation pour les services .46
6.5 Gestion de la capacité .50
6.6 Gestion de la sécurité des informations .53
7 Processus de gestion des relations .56
7.1 Gestion des relations métiers .56
7.2 Gestion des fournisseurs .60
8 Processus de résolution .63
8.1 Gestion des incidents et des demandes de services .63
8.2 Gestion des problèmes .67
9 Processus de contrôle .70
9.1 Gestion des configurations .70
9.2 Gestion des changements .74
9.3 Gestion des déploiements et des mises en production .77
Annexe A (informative) Interfaces entre les processus et intégration des processus avec le SMS .83
Bibliographie .92
© ISO/CEI 2012 – Tous droits réservés iii
---------------------- Page: 3 ----------------------
ISO/CEI 20000-2:2012(F)
Avant-propos
L’ISO (Organisation internationale de normalisation) est une fédération mondiale d’organismes nationaux de
normalisation (comités membres de l’ISO). L’élaboration des Normes internationales est en général confiée aux
comités techniques de l’ISO. Chaque comité membre intéressé par une étude a le droit de faire partie du comité
technique créé à cet effet. Les organisations internationales, gouvernementales et non gouvernementales,
en liaison avec l’ISO participent également aux travaux. L’ISO collabore étroitement avec la Commission
électrotechnique internationale (CEI) en ce qui concerne la normalisation électrotechnique.
Les Normes internationales sont rédigées conformément aux règles données dans les Directives ISO/CEI, Partie 2.
La tâche principale des comités techniques est d’élaborer les Normes internationales. Les projets de Normes
internationales adoptés par les comités techniques sont soumis aux comités membres pour vote. Leur publication
comme Normes internationales requiert l’approbation de 75 % au moins des comités membres votants.
L’attention est appelée sur le fait que certains des éléments du présent document peuvent faire l’objet de droits
de propriété intellectuelle ou de droits analogues. L’ISO ne saurait être tenue pour responsable de ne pas avoir
identifié de tels droits de propriété et averti de leur existence.
L’ISO/CEI 20000-2 a été élaborée par le comité technique ISO/CEI JTC1, Technologies de l’information,
sous-comité SC 7, Ingénierie du logiciel et des systèmes.
Cette deuxième édition annule et remplace la première édition (ISO/CEI 20000-2:2005), qui fait l’objet d’une
révision technique. Les différences principales sont les suivantes:
— alignement plus proche avec l’ISO 9001 et l’ISO/CEI 27001;
— changements dans la terminologie pour refléter l’usage international;
— nouvelles lignes directrices concernant la gouvernance des processus opérés par d’autres parties;
— plus de lignes directrices pour définir le domaine d’application du SMS;
— plus de lignes directrices pour l’amélioration continue du SMS et des services;
— plus de lignes directrices pour la conception et la transition de services nouveaux ou modifiés.
L’ISO/CEI 20000 comprend les parties suivantes, présentées sous le titre général Technologies de
l’information — Gestion des services:
— Partie 1: Exigences du système de management des services
— Partie 2 : Guide pour l’application des systèmes de management des services
— Partie 3 : Directives pour la définition du domaine d’application et l’applicabilité de l’ISO/CEI 20000-1
[Rapport Technique]
— Partie 4: Modèle de référence de processus [Rapport Technique]
— Partie 5: Exemple de plan de mise en application de l’ISO/CEI 20000-1 [Rapport Technique]
iv © ISO/CEI 2012 – Tous droits réservés
---------------------- Page: 4 ----------------------
ISO/CEI 20000-2:2012(F)
Introduction
La présente partie de l’ISO/CEI 20000 fournit un guide concernant l’application des systèmes de management
de services (SMS) sur la base de l’ISO/CEI 20000-1. La présente partie de l’ISO/CEI 20000 n’ajoute aucune
exigence à celles établies dans l’ISO/CEI 20000-1 et n’établit pas de manière explicite comment des preuves
peuvent être apportées à un évaluateur ou un auditeur. L’intention de ce document est de permettre aux
organismes et aux individus d’interpréter l’ISO/CEI 20000-1 avec plus de précisions et par conséquent de
l’utiliser plus efficacement.
Un SMS est défini dans ISO/CEI 20000-1 en tant que système de management pour diriger, surveiller et
contrôler des activités de management des services du fournisseur de services. Il convient que le SMS
comprenne ce qui est exigé pour la planification, la conception, la transition, la fourniture et l‘amélioration
des services. Au minimum, ceci inclut les politiques, les objectifs, les plans, les processus, les interfaces
de processus, la documentation et les ressources concernant le management des services. Le SMS réunit
l’ensemble des processus dans un système de management global, les processus de management de services
étant partie intégrante du SMS.
L’intégration et l’implémentation coordonnées d’un SMS présentent l’avantage d’offrir un contrôle continu, une
plus grande efficacité, une efficience ainsi que des opportunités d’amélioration continue. Elle permet à une
organisation de travailler efficacement avec une vision partagée. La mise en œuvre et l’exécution des processus
spécifiés dans les Articles 5 à 9, les processus de management des services, nécessite que le personnel soit
bien organisé et coordonné. Des outils appropriés peuvent être utilisés pour permettre l’efficacité et l’efficience
des processus de management des services. Les organisations les plus efficaces prennent en compte l’impact
du SMS tout le long des étapes du cycle de vie d’un service, de la planification et la conception à la transition
et l’exploitation des services, en passant par l’amélioration continue des services.
La présente partie de l’ISO/CEI 20000 fournit des exemples et des suggestions pour permettre aux
organisations d’interpréter et d’appliquer l’ISO/CEI 20000-1, comprenant des références à d’autres parties de
l’ISO/CEI 20000 et à d’autres normes appropriées.
Les utilisateurs des normes internationales sont responsables de leur application correcte. Il est important
que les organisations et les individus utilisant l’ISO/CEI 20000 comprennent les points énumérés ci-dessous.
— L’ISO/CEI 20000-1 ne prétend ni couvrir toutes les exigences légales et réglementaires nécessaires ni
toutes les obligations contractuelles du fournisseur de services. La conformité à l’ISO/CEI 20000-1 ne
dispense pas du respect des obligations légales.
— L’ISO/CEI 20000-1 est applicable aux fournisseurs de services internes et externes, grands et petits,
métiers et non métiers.
— L’ISO/CEI 20000-1 promeut l’adoption d’une approche de processus intégrés lors d’une planification,
d’un établissement, d’une mise en œuvre, d’une exploitation, d’une surveillance, d’une mesure, d’une
revue, d’un maintien et d’une amélioration d’un SMS lors de la conception, la transition, l’amélioration et la
fourniture de services qui satisfont aux exigences des services.
L’ISO/CEI 20000 promeut l’application de la méthodologie connue comme étant « Planifier-Faire-Vérifier-
Agir » (PDCA) aux SMS et aux services. La méthodologie PDCA, représentée au sein de la Figure 1, peut être
brièvement décrite comme suit :
Planifier (Plan) : établir, documenter et s’accorder sur le SMS, y compris les politiques, les objectifs, les plans,
et les processus nécessaires pour concevoir et fournir des services conformément aux besoins métiers, aux
exigences des clients et aux politiques du fournisseur de services.
Faire (Do) : implémenter et exploiter le SMS pour la conception, la transition, la fourniture et l’amélioration
des services.
Vérifier (Check) : surveiller, mesurer et passer en revue le SMS ainsi que les services en les comparant aux
plans, politiques, objectifs et exigences, puis établir des rapports des résultats.
Agir (Act) : mettre en œuvre les actions pour l’amélioration continue des performances du SMS. Ceci comprend
les processus de management des services ainsi que les services.
© ISO/CEI 2012 – Tous droits réservés v
---------------------- Page: 5 ----------------------
ISO/CEI 20000-2:2012(F)
Lorsqu’ils sont utilisés dans le cadre d’un SMS, les aspects les plus importants d’une approche de processus
intégrés et de la méthodologie PDCA sont les suivants :
a) comprendre et satisfaire aux exigences de services afin d’obtenir la satisfaction du client,
b) établir la politique et les objectifs de management des services,
c) concevoir et fournir les services en s’aidant du SMS qui apporte de la valeur pour le client,
d) surveiller, mesurer et passer en revue les performances et l’efficacité du SMS ainsi que des services,
e) assurer l’amélioration continue du SMS et des services sur la base de mesures objectives.
Lorsque d’autres systèmes de management sont présents, l’implémentation d’un SMS, avec l’adoption
d’une approche de processus et la méthodologie PDCA, permet aux fournisseurs de services d’aligner ou
d’intégrer totalement les systèmes de management d’une organisation. Par exemple, il est possible d’intégrer
l’ISO/CEI 20000 avec un système de management de la qualité basé sur l’ISO 9001 et/ou un système de
gestion de la sécurité des informations basé sur l’ISO/CEI 27001. Une approche de systèmes de management
intégrés accroît l’efficacité, établit une comptabilité et une traçabilité claires et améliore la planification
organisationnelle, la communication et le contrôle.
Figure 1 — Méthodologie PDCA appliquée à la gestion des services
Comme mentionné dans l’ISO/CEI 20000-1 :
« L’ISO/CEI 20000 peut être utilisée par :
vi © ISO/CEI 2012 – Tous droits réservés
---------------------- Page: 6 ----------------------
ISO/CEI 20000-2:2012(F)
a) Un organisme attendant des services de la part de fournisseurs de services et exigeant d’avoir la
garantie que les exigences de services de ces derniers seront satisfaites,
b) Un organisme qui exige une approche cohérente de la part de tous ses fournisseurs de services, y
compris ceux qui sont compris dans une chaîne logistique,
c) un fournisseur de services qui souhaite démontrer son efficience dans la conception, la transition, la
fourniture et l’amélioration des services qui satisfont aux exigences de services,
d) un fournisseur de services pour surveiller, mesurer et passer en revue ses processus de gestion des
services ainsi que ses services,
e) un fournisseur de services pour améliorer la conception, la transition, la fourniture et l’amélioration des
services par l’implémentation et le fonctionnement effectifs d’un SMS,
f) un évaluateur comme critère d’évaluation de conformité du SMS d’un fournisseur de services par rapport
aux exigences figurant dans la présente partie de l’ISO/CEI 20000. »
La présente partie de l’ISO/CEI 20000 peut être utilisée par une organisation recherchant de recommandations
concernant la manière d’améliorer le management des services, qu’elle soit ou non intéressée par la recherche
d’une certification.
© ISO/CEI 2012 – Tous droits réservés vii
---------------------- Page: 7 ----------------------
NORME INTERNATIONALE ISO/CEI 20000-2:2012(F)
Technologies de l’information — Gestion des services —
Partie 2:
Guide pour l’application des systèmes
de management des services
1 Domaine d’application
1.1 Généralités
La présente partie de l’ISO/CEI 20000 fournit un guide concernant l’application d’un SMS basé sur
l’ISO/CEI 20000-1. La présente partie de l’ISO/CEI 20000 fournit des exemples et des suggestions pour
permettre aux organisations d’interpréter et d’appliquer l’ISO/CEI 20000-1, notamment des références à
d’autres parties de l’ISO/CEI 20000 et à d’autres normes appropriées. La présente partie de l’ISO/CEI 20000
est indépendante des cadres de meilleures pratiques spécifiques et le fournisseur de services peut appliquer
une combinaison des recommandations généralement admises et de ses propres techniques.
Figure 2 — Système de management des services
La Figure 2 présente les processus des Articles 6 à 9 dans la case centrale. Le processus de conception
et de transition des services nouveaux ou modifiés à l’Article 5 entoure les processus des Articles 6 à 9.
Ceci démontre que les services nouveaux ou modifiés sont opérés par les processus dans la case centrale.
© ISO/CEI 2012 – Tous droits réservés 1
---------------------- Page: 8 ----------------------
ISO/CEI 20000-2:2012(F)
Lorsqu’il n’existe aucun service nouveau ou modifié auquel l’Article 5 s’applique, tous les services peuvent être
fournis directement par les Articles 6 à 9.
Les interfaces entre les processus de management des services et les relations entre différents composants
du SMS peuvent être mises en œuvre de manière différente par différents fournisseurs de services. La nature
de la relation entre le fournisseur de services et le client peut également influer sur la manière dont le SMS est
mis en œuvre pour satisfaire aux exigences de l’ISO/CEI 20000-1. Pour ces raisons, les interfaces entre les
processus ne sont pas représentées sur la Figure 2.
1.2 Application
Le fournisseur de services est responsable du SMS et par conséquent ne peut pas demander à un tiers de
satisfaire aux exigences de l’Article 4 de l’SO/CEI 20000-1. Par exemple, le fournisseur de services ne peut
pas demander à un tiers de jouer le rôle de la direction et de démontrer l’engagement de la direction ou de
démontrer la gouvernance des processus opérés par des tiers.
Certaines activités dans l’Article 4 peuvent être exécutées par un tiers sous la responsabilité du fournisseur de
services. Par exemple, les fournisseurs de services peuvent engager des tiers pour mener des audits internes
en leur nom ou demander à un tiers de créer le plan initial de management des services. Le plan, une fois créé et
fait l’objet d’un accord, est de la responsabilité directe du fournisseur de services et est maintenu par ce dernier.
Dans ces exemples, le fournisseur de services utilise des tiers pour des activités spécifiques à court terme. Le
fournisseur de services a la responsabilité et l’autorité vis-à-vis du SMS. Le fournisseur de services peut par
conséquent démontrer les preuves d’une satisfaction à toutes les exigences de l’Article 4 de l’ISO/CEI 20000-1.
Le fournisseur de services peut apporter la preuve d’une satisfaction à toutes les exigences directement ou peut
présenter la preuve d’une satisfaction à la plupart des exigences directement, de même que la gouvernance
des processus opérés par des tiers. Si le fournisseur de services s’appuie sur des tiers pour la réalisation de
la majorité des processus aux Articles 5 à 9, il est peu probable que le fournisseur de services soit capable
de démontrer une gouvernance des processus. Cependant, si des tiers réalisent uniquement une minorité
des processus, le fournisseur de services peut satisfaire normalement aux exigences spécifiées au sein de
l’ISO/CEI 20000-1.
Les autorités et responsabilités définies, convenues et documentées concernant le SMS sont facilement
accessibles à la fois aux fournisseurs de services et à des tiers appropriés. Pour satisfaire aux exigences
de l’ISO/CEI 20000-1, le fournisseur de services peut convenir de changements des termes des contrats
existants ou d’autres accords documentés.
L’ISO/CEI 20000 exclut la spécification de tout produit ou outil ou bien de guides spécifiques les concernant.
Cependant, des organisations peuvent utiliser la présente Norme internationale pour les aider à utiliser ou à
développer des produits ou des outils qui aident au fonctionnement du SMS.
2 Références normatives
Les documents suivants, en intégralité ou en partie, sont référencés de façon normative dans le présent
document et sont indispensables à son application. Pour les références datées, seule l’édition citée est
applicable. Pour les références non datées, la dernière édition du document référencé s’applique (y compris
tout amendement).
ISO/CEI 20000-1: Technologies de l’information — Gestion des services — Partie 1: Exigences du système de
management des services.
3 Termes et définitions
Pour les besoins du présent document, les termes et définitions donnés dans l’ISO/CEI 20000-1 s’appliquent.
2 © ISO/CEI 2012 – Tous droits réservés
---------------------- Page: 9 ----------------------
ISO/CEI 20000-2:2012(F)
4 Exigences générales liées au système de management des services
4.1 Responsabilités de la direction
4.1.1 Engagement de la direction
4.1.1.1 Responsabilités de la direction
Il convient que la direction dirige, surveille et contrôle le fournisseur de services au niveau le plus élevé.
Il convient que la direction soit consciente que satisfaire aux exigences ISO/CEI 20000-1 comprend :
a) la démonstration de leur engagement à être impliqués à tous les stades du SMS, en commençant avec la
planification et l’établissement du SMS et en continuant avec l’exploitation, la surveillance, la mesure, la
revue, la maintenance et l’amélioration continue du SMS,
b) la démonstration de leurs responsabilités envers le SMS,
c) la garantie que les exigences des services, le périmètre du SMS, la politique de management des services
et les objectifs sont compris et reconnus par toutes les parties concernées du SMS,
d) la garantie que le plan de management de services est créé, mis en œuvre, maintenu et aligné sur les
objectifs métiers,
e) la garantie de la fourniture de ressources adéquates pour satisfaire aux objectifs de management de
services et pour adhérer à la politique de management de services,
f) la garantie que les performances du SMS sont rapportées au niveau de la direction,
g) la réalisation des objectifs d’une gestion des services, y compris lorsque ces objectifs changent en raison
des besoins liés à l’évolution du métier ou des exigences des services,
h) la garantie que les risques concernant les services sont minimisés, par exemple par l’évaluation des
risques associés à des changements et par l’entreprise d’actions.
Il convient que la direction assure également que toutes les étapes du cycle de vie d’un service sont fournies
aux niveaux convenus, comme spécifié au sein des exigences des services. Le cycle de vie d’un service
comprend la planification, la mise en œuvre, l’exploitation, la surveillance, la mesure, la revue, la maintenance
et l’amélioration continue. Le cycle de vie d’un service comprend également un transfert du service à un client
ou à une partie différente ou bien un retrait éventuel du service.
Il convient que la direction soit consciente du fait qu’elle est responsable de garantir que le SMS et les services
fournis par le SMS fassent l’objet d’une évaluation et d’une revue. Il convient que les évaluations comprennent
les propres revues et audits internes du fournisseur de services, de même que les évaluations de conformité
indépendantes sous la forme d’audits externes. D’autres informations concernant des revues du management
se trouvent dans le Paragraphe 4.5 de la présente partie de l’ISO/CEI 20000.
4.1.1.2 Preuve d’un engagement de la direction
Sans engagement de la direction, il est possible que les décisions relatives au management soient prises en
contradiction avec les exigences d’un SMS efficace. Des exemples peuvent comprendre une réallocation des
ressources vers d’autres projets, un défaut de communication concernant le SMS et des conflits non résolus
dans la conception d’un processus.
Il convient de faire preuve d’un engagement et d’une responsabilité de la direction pouvant être revus par un
évaluateur. Il convient que la direction soit capable de fournir les preuves sur la base d’enregistrements de son
implication dans :
a) des réunions régulières concernant le SMS, par exemple la présidence de réunions relatives à la
planification de sorte que le SMS reste aligné avec les besoins métiers et les exigences de services
nouveaux ou modifiés,
© ISO/CEI 2012 – Tous droits réservés 3
---------------------- Page: 10 ----------------------
ISO/CEI 20000-2:2012(F)
b) la garantie que le SMS comprend une définition du périmètre, de la politique de management des services,
des objectifs de management des services et du plan de management des services,
c) l’approbation de la politique des objectifs et du plan de management des services,
d) l’approbation des processus et des procédures conformes aux politiques du SMS et à l’appui de celles-ci.
L’approbation du plan de management des services de la part de la direction est importante du fait que le
plan peut avoir des implications concernant les engagements vis-à-vis du client, les activités de planification
destinées aux fournisseurs et l’allocation de ressources pour des améliorations et d’autres changements.
L’alignement entre les politiques, les processus et les procédures permet une organisation en cascade de la
direction à destination de tout le personnel du fournisseur de services. Il convient d’aligner les décisions de
management sur la manière dont le personnel du fournisseur de services fonctionne quotidiennement.
4.1.1.3 Communication de la direction
Il convient que la direction soit activement impliquée dans un programme continu de communications. Il
convient que les communications soient dirigées par des procédures de communications approuvées comme
décrit dans le Paragraphe 4.1.3.2.
Il convient que la direction soit activement impliquée dans un programme continu de communications afin
d’expliquer la manière dont le SMS établi est aligné sur les objectifs métiers et les attentes des clients. Ceci
est important pour la réussite du SMS du fait que le personnel qui comprend l’objectif et l’importance du SMS
est moins sujet à résister au changement en raison d’une crainte ou d’un manque de connaissances. Les
communications de la direction concernant le SMS peuvent être l’occasion pour le fournisseur de services de
motiver sa propre organisation. De plus, une appréciation de l’importance du SMS par, à la fois, la direction
et le personnel, devrait diminuer le risque ou la probabilité que des décisions soient prises ou des solutions
fournies qui soient en contradiction avec le SMS.
Il convient que le programme de communications explique les éléments suivants :
a) les objectifs métiers, les changements en termes d’organisation, les politiques et normes en termes
d’organisation, la vision et la mission en termes d’organisation,
b) les besoins métiers, par exemple la relation entre le SMS et les services délivrés, de même que la manière
dont ces derniers soutiennent les buts et objectifs organisationnels définis,
c) la manière dont est aligné le SMS établi sur les objectifs métiers et les attentes des clients,
d) la manière dont la politique de management des services, les objectifs et le plan de management des
services soutiennent la satisfaction des exigences des services,
e) les exigences des clients, par exemple les objectifs des services, la capacité prévue sur la base de la
demande prévue, la sécurité des informations et la continuité des services afin de soutenir la continuité
des activités,
f) les exigences légales telles que les heures de travail, la santé et la sécurité, la protection des données,
qui varient selon les pays,
g) les exigences réglementaires, par exemple que les enregistrements sont conservés pendant une
durée spécifique,
h) les exigences contractuelles, par exemple l’exigence de signer un accord de non-divulgation avant d’avoir
accès aux informations du fournisseur de services,
i) les
...
Questions, Comments and Discussion
Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.