ISO/IEC 20000-10:2018
(Main)Information technology — Service management — Part 10: Concepts and vocabulary
Information technology — Service management — Part 10: Concepts and vocabulary
This document describes the core concepts of ISO/IEC 20000 (all parts), identifying how the different parts support ISO/IEC 20000‑1:2018 as well as the relationships between ISO/IEC 20000-1 and other International Standards and Technical Reports. This document also includes the terminology used in all parts of ISO/IEC 20000, so that organizations and individuals can interpret the concepts correctly. This document can be used by: a) organizations seeking to understand the terms and definitions to support the use of ISO/IEC 20000 (all parts); b) organizations looking for guidance on how to use the different parts of ISO/IEC 20000 to achieve their goal; c) organizations that wish to understand how ISO/IEC 20000 (all parts) can be used in combination with other International Standards; d) practitioners, auditors and other parties who wish to gain an understanding of ISO/IEC 20000 (all parts).
Technologies de l'information — Gestion des services — Partie 10: Concepts et vocabulaire
Le présent document expose les concepts principaux de l'ISO/IEC 20000 (toutes les parties), identifie la façon dont les différentes parties viennent à l'appui de l'ISO/IEC 20000‑1:2018 et décrit les relations entre l'ISO/IEC 20000 (toutes les parties) et d'autres Normes internationales et Rapports techniques. Le présent document inclut également la terminologie utilisée dans toutes les parties de l'ISO/IEC 20000, afin que les organismes et les individus puissent interpréter correctement les concepts. Le présent document peut être utilisé par: a) les organismes qui souhaitent comprendre les termes et définitions pour utiliser l'ISO/IEC 20000 (toutes les parties); b) les organismes qui recherchent des recommandations concernant la manière d'utiliser les différentes parties de l'ISO/IEC 20000 pour atteindre leur objectif; c) les organismes qui souhaitent comprendre comment l'ISO/IEC 20000 (toutes les parties) peut être utilisée avec d'autres Normes internationales; d) les professionnels, auditeurs et autres parties qui souhaitent mieux comprendre l'ISO/IEC 20000 (toutes les parties).
General Information
Relations
Standards Content (Sample)
INTERNATIONAL ISO/IEC
STANDARD 20000-10
First edition
2018-09
Information technology — Service
management —
Part 10:
Concepts and vocabulary
Technologies de l'information — Gestion des services —
Partie 10: Concepts et terminologie
Reference number
©
ISO/IEC 2018
© ISO/IEC 2018
All rights reserved. Unless otherwise specified, or required in the context of its implementation, no part of this publication may
be reproduced or utilized otherwise in any form or by any means, electronic or mechanical, including photocopying, or posting
on the internet or an intranet, without prior written permission. Permission can be requested from either ISO at the address
below or ISO’s member body in the country of the requester.
ISO copyright office
CP 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Geneva
Phone: +41 22 749 01 11
Fax: +41 22 749 09 47
Email: copyright@iso.org
Website: www.iso.org
Published in Switzerland
ii © ISO/IEC 2018 – All rights reserved
Contents Page
Foreword .v
Introduction .vii
1 Scope . 1
2 Normative references . 1
3 Terms and definitions . 1
3.1 Terms specific to management system standards . 1
3.2 Terms specific to service management used in the ISO/IEC 20000 series . 5
3.3 Terms specific to service management used in the ISO/IEC 20000 series but not
used in ISO/IEC 20000-1. 9
4 Terminology used in ISO/IEC 20000 (all parts) . 9
5 Service management systems (SMS) .10
5.1 General .10
5.2 What is an SMS? .10
5.3 The integrated approach .11
5.4 Continual improvement .11
5.5 Benefits of an SMS based on ISO/IEC 20000-1 .11
5.5.1 General benefits of an SMS .11
5.5.2 Benefits from independent assessment of an SMS against ISO/IEC 20000-1 .12
5.5.3 Benefits related to different service management scenarios .12
5.6 Misperceptions about an SMS and ISO/IEC 20000-1 .16
6 Overview of the parts of ISO/IEC 20000 .17
6.1 General .17
6.2 ISO/IEC 20000-1:2018, Service management system requirements .18
6.2.1 Scope .18
6.2.2 Purpose .18
6.3 ISO/IEC 20000-2, Guidance on application of service management systems .19
6.3.1 Scope .19
6.3.2 Purpose .19
6.3.3 Relationship with ISO/IEC 20000-1 .19
6.4 ISO/IEC 20000-3, Guidance on scope definition and applicability of ISO/
IEC 20000-1 .19
6.4.1 Scope .19
6.4.2 Purpose .19
6.4.3 Relationship with ISO/IEC 20000-1 .20
6.5 ISO/IEC TR 20000-5:2013, Exemplar implementation plan for ISO/IEC 20000-1 .20
6.5.1 Scope .20
6.5.2 Purpose .20
6.5.3 Relationship with ISO/IEC 20000-1 .20
6.6 ISO/IEC 20000-6:2017, Requirements for bodies providing audit and
certification of service management systems .20
6.6.1 Scope .20
6.6.2 Purpose .21
6.6.3 Relationship with ISO/IEC 20000-1 .21
6.7 ISO/IEC TR 20000-11:2015, Guidance on the relationship between ISO/
IEC 20000-1:2011 and service management frameworks: ITIL® .21
6.7.1 Scope .21
6.7.2 Purpose .21
6.7.3 Relationship with ISO/IEC 20000-1 .21
6.8 ISO/IEC TR 20000-12:2016, Guidance on the relationship between ISO/
IEC 20000-1:2011 and service management frameworks: CMMI-SVC® .21
6.8.1 Scope .21
6.8.2 Purpose .22
© ISO/IEC 2018 – All rights reserved iii
6.8.3 Relationship with ISO/IEC 20000-1 .22
7 Other related International Standards and Technical Reports .22
7.1 Closely related International Standards and Technical Reports .22
7.2 ISO/IEC 27013:2015, Information technology — Security techniques —
Guideline on the integrated implementation of ISO/IEC 20000-1 and ISO/
IEC 27001 .22
7.2.1 Scope .22
7.2.2 Purpose .22
7.2.3 Relationship with ISO/IEC 20000-1 .22
7.3 Other related International Standards .23
7.3.1 General.23
7.3.2 ISO 9000:2015, Quality management systems — Fundamentals and
vocabulary .23
7.3.3 ISO 9001:2015, Quality management systems — Requirements .23
7.3.4 ISO 10007:2017, Quality management systems — Guidelines for
configuration management .23
7.3.5 ISO/IEC 19770-1:2017, Information technology — IT asset
management — Part 1: IT asset management systems — Requirements .24
7.3.6 ISO 22301:2012, Societal security — Business continuity management
systems — Requirements .24
7.3.7 ISO/IEC 27000:2018, Information technology — Security techniques —
Information security management systems — Overview and vocabulary .24
7.3.8 ISO/IEC 27001:2013, Information technology — Security techniques —
Information security management systems — Requirements .25
7.3.9 ISO/IEC 27031:2011, Information technology — Security techniques —
Guidelines for information and communication technology readiness
for business continuity .25
7.3.10 ISO/IEC 30105-1:2016, Information technology — IT Enabled
Service — Business Process Outsourcing (ITES-BPO) lifecycle processes .25
7.3.11 ISO 31000:2018, Risk management — Principles and guidelines .26
7.3.12 ISO/IEC 38500:2015, Information technology — Governance of IT for
the Organization .26
Bibliography .27
iv © ISO/IEC 2018 – All rights reserved
Foreword
ISO (the International Organization for Standardization) and IEC (the International Electrotechnical
Commission) form the specialized system for worldwide standardization. National bodies that are
members of ISO or IEC participate in the development of International Standards through technical
committees established by the respective organization to deal with particular fields of technical
activity. ISO and IEC technical committees collaborate in fields of mutual interest. Other international
organizations, governmental and nongovernmental, in liaison with ISO and IEC, also take part in the
work. In the field of information technology, ISO and IEC have established a joint technical committee,
ISO/IEC JTC 1.
The procedures used to develop this document and those intended for its further maintenance are
described in the ISO/IEC Directives, Part 1. In particular the different approval criteria needed for the
different types of ISO documents should be noted. This document was drafted in accordance with the
editorial rules of the ISO/IEC Directives, Part 2 (see www .iso .org/directives).
Attention is drawn to the possibility that some of the elements of this document may be the subject of
patent rights. ISO shall not be held responsible for identifying any or all such patent rights. Details of
any patent rights identified during the development of the document will be in the Introduction and/or
on the ISO list of patent declarations received (see www .iso .org/patents).
Any trade name used in this document is information given for the convenience of users and does not
constitute an endorsement. For an explanation on the meaning of ISO specific terms and expressions
related to conformity assessment, as well as information about ISO’s adherence to the World Trade
Organization (WTO) principles in the Technical Barriers to Trade (TBT) see the following URL: www
.iso .org/iso/foreword .html.
The committee responsible for this document is ISO/IEC JTC 1, Information technology, SC 40, IT Service
Management and IT Governance.
This first edition of ISO/IEC 20000-10 cancels and replaces ISO/IEC TR 20000-10:2015, which has been
technically revised.
The main changes from the previous edition are as follows:
a) includes all the terms and definitions of the ISO/IEC 20000 series;
b) inclusion of terms from the ISO/IEC Directives Part 1, Annex SL Appendix 2 high-level structure
for all management system standards. Some of the terms are new, some have updated existing
definitions and some have remained unchanged from previous definitions;
c) the term “internal group” has changed to “internal supplier” and the term “supplier” has changed
to “external supplier”;
d) the definition of “information security” has changed to be aligned with that in ISO/IEC 27000 and
subsequently the term “availability” has been changed to “service availability”;
e) new terms specific to the ISO/IEC 20000 series have been added for “asset”, “governing body”,
“service catalogue”, “service level target”, “user” and “value”;
f) three terms have been deleted: “configuration baseline”, “configuration management database”
and “preventive action”;
g) many definitions have been updated;
h) Figures 1 and 2 have been updated with currently published ISO/IEC 20000 parts;
i) references to ISO/IEC 20000-4, ISO/IEC TR 20000-9 and ISO/IEC TR 90006 have been removed
because the standards have been or will be withdrawn;
© ISO/IEC 2018 – All rights reserved v
j) ISO/IEC 20000 parts in Clause 6 have been updated with new publication dates and details as
appropriate;
k) related standards in Clause 7 now also include ISO 22301 and ISO/IEC 30105.
A list of all parts in the ISO/IEC 20000 series can be found on the ISO website.
Any feedback or questions on this document should be directed to the user’s national standards body. A
complete listing of these bodies can be found at www .iso .org/members .html.
vi © ISO/IEC 2018 – All rights reserved
Introduction
This document provides an overview of the concepts of a service management system (SMS). It
establishes a common framework for helping organizations to understand the purpose of all the parts
of ISO/IEC 20000 and the relationships between the parts. This document is the authoritative source
for definitions used in all the parts of ISO/IEC 20000.
This document also identifies other documents that have relationships with ISO/IEC 20000-1 and
identifies common areas with related International Standards to aid the use and integration of multiple
International Standards in organizations.
This document can be used by any organization or individual involved in the planning, design,
transition, delivery and improvement of services using ISO/IEC 20000-1. It can also be used for those
involved in the assessment or audit of an SMS, providing details of all parts of ISO/IEC 20000 and how
they can be used.
More specifically, this document defines the terms used in all parts of ISO/IEC 20000 and:
a) promotes cohesion between the parts of ISO/IEC 20000 by explaining the concepts and vocabulary
used across all parts;
b) contributes to the understanding of ISO/IEC 20000 (all parts) by explaining the purpose and
clarifying the relationships between all the parts;
c) clarifies the possible interfaces and integration between the organization’s SMS and other
management systems;
d) provides an overview of other International Standards which can be used in combination with ISO/
IEC 20000 (all parts);
e) identifies common areas between ISO/IEC 20000-1 and other International Standards.
The terms and definitions in this document are applicable to ISO/IEC 20000-1:2018 and other updated
parts of ISO/IEC 20000. For those organizations who are working with ISO/IEC 20000-1:2011, the terms
and definitions in Clause 3 of that document remain unchanged. Where this document refers to dated
and undated standards, the ISO/IEC Directives, Part 2 apply. For dated references, only the edition
cited applies. For undated references, the latest edition of the referenced document (including any
amendments) applies. Where it is necessary to clarify that a specific edition applies, the edition is cited.
The terms and definitions in 3.1 and 3.2 of this document are also included in ISO/IEC 20000-1:2018.
The terms and definitions in 3.3 of this document do not relate to ISO/IEC 20000-1 but are used in other
parts of the ISO/IEC 20000 series.
Figure 1 represents an overview of the relationships between the parts of ISO/IEC 20000 as well as
relevant frameworks and other external influences.
© ISO/IEC 2018 – All rights reserved vii
Figure 1 — Overview of parts of ISO/IEC 20000 addressed in ISO/IEC 20000-10
viii © ISO/IEC 2018 – All rights reserved
INTERNATIONAL STANDARD ISO/IEC 20000-10:2018(E)
Information technology — Service management —
Part 10:
Concepts and vocabulary
1 Scope
This document describes the core concepts of ISO/IEC 20000 (all parts), identifying how the different
parts support ISO/IEC 20000-1:2018 as well as the relationships between ISO/IEC 20000-1 and other
International Standards and Technical Reports. This document also includes the terminology used in
all parts of ISO/IEC 20000, so that organizations and individuals can interpret the concepts correctly.
This document can be used by:
a) organizations seeking to understand the terms and definitions to support the use of ISO/IEC 20000
(all parts);
b) organizations looking for guidance on how to use the different parts of ISO/IEC 20000 to achieve
their goal;
c) organizations that wish to understand how ISO/IEC 20000 (all parts) can be used in combination
with other International Standards;
d) practitioners, auditors and other parties who wish to gain an understanding of ISO/IEC 20000
(all parts).
2 Normative references
There are no normative references in this document.
3 Terms and definitions
For the purposes of this document the following terms and definitions apply.
ISO and IEC maintain terminological databases for use in standardization at the following addresses:
— IEC Electropedia: available at http: //www .electropedia .org/
— ISO Online browsing platform: available at https: //www .iso .org/obp
3.1 Terms specific to management system standards
3.1.1
audit
systematic, independent and documented process (3.1.18) for obtaining audit evidence and evaluating it
objectively to determine the extent to which the audit criteria are fulfilled
Note 1 to entry: An audit can be an internal audit (first party) or an external audit (second party or third party),
and it can be a combined audit (combining two or more disciplines).
Note 2 to entry: An internal audit is conducted by the organization (3.1.14) itself, or by an external party on
its behalf.
Note 3 to entry: “Audit evidence” and “audit criteria” are defined in ISO 19011.
© ISO/IEC 2018 – All rights reserved 1
3.1.2
competence
ability to apply knowledge and skills to achieve intended results
3.1.3
conformity
fulfilment of a requirement (3.1.19)
Note 1 to entry: Conformity relates to requirements in ISO/IEC 20000-1 as well as the organization’s SMS
requirements.
Note 2 to entry: The original Annex SL definition has been modified by adding Note 1 to entry.
3.1.4
continual improvement
recurring activity to enhance performance (3.1.16)
3.1.5
corrective action
action to eliminate the cause or reduce the likelihood of recurrence of a detected nonconformity (3.1.12)
or other undesirable situation
Note 1 to entry: The original Annex SL definition has been changed by adding text to the original “action to
eliminate the cause of a nonconformity and to prevent recurrence”.
3.1.6
documented information
information required to be controlled and maintained by an organization (3.1.14) and the medium on
which it is contained
EXAMPLE Policies (3.1.17), plans, process descriptions, procedures (3.2.11), service level agreements (3.2.20)
or contracts.
Note 1 to entry: Documented information can be in any format and media and from any source.
Note 2 to entry: Documented information can refer to:
— the management system (3.1.9), including related processes (3.1.18);
— information created in order for the organization to operate (documentation);
— evidence of results achieved [records (3.2.12)].
Note 3 to entry: The original Annex SL definition has been modified by adding examples.
3.1.7
effectiveness
extent to which planned activities are realized and planned results achieved
3.1.8
interested party
person or organization (3.1.14) that can affect, be affected by, or perceive itself to be affected by a
decision or activity related to the SMS (3.2.23) or the services (3.2.15)
Note 1 to entry: An interested party can be internal or external to the organization.
Note 2 to entry: Interested parties can include parts of the organization outside the scope of the SMS, customers
(3.2.3), users (3.2.28), community, external suppliers (3.2.4), regulators, public sector bodies, nongovernment
organizations, investors or employees.
Note 3 to entry: Where interested parties are specified in the requirements (3.1.19) of ISO/IEC 20000-1, the
interested parties can differ depending on the context of the requirement.
2 © ISO/IEC 2018 – All rights reserved
Note 4 to entry: The original Annex SL definition has been modified by deleting the admitted term “stakeholder”,
adding “related to the SMS or the services” to the definition and by adding Notes 1, 2 and 3 to entry.
3.1.9
management system
set of interrelated or interacting elements of an organization (3.1.14) to establish policies (3.1.17) and
objectives (3.1.13) and processes (3.1.18) to achieve those objectives
Note 1 to entry: A management system can address a single discipline or several disciplines.
Note 2 to entry: The management system elements include the organization’s structure, roles and responsibilities,
planning, operation, policies, objectives, plans, processes and procedures (3.2.11).
Note 3 to entry: The scope of a management system may include the whole of the organization, specific and
identified functions of the organization, specific and identified sections of the organization, or one or more
functions across a group of organizations.
Note 4 to entry: The original Annex SL definition has been modified by clarifying that the system is a management
system and listing further elements in Note 2 to entry.
3.1.10
measurement
process (3.1.18) to determine a value
3.1.11
monitoring
determining the status of a system, a process (3.1.18) or an activity
Note 1 to entry: To determine the status there may be a need to check, supervise or critically observe.
3.1.12
nonconformity
non-fulfilment of a requirement (3.1.19)
Note 1 to entry: Nonconformity relates to requirements in ISO/IEC 20000-1 as well as the organization’s SMS
requirements.
3.1.13
objective
result to be achieved
Note 1 to entry: An objective can be strategic, tactical, or operational.
Note 2 to entry: Objectives can relate to different disciplines [such as financial, health and safety, service
management (3.2.22) and environmental goals] and can apply at different levels [such as strategic, organization-
wide, service (3.2.15), project, product and process (3.1.18)].
Note 3 to entry: An objective can be expressed in other ways, e.g. as an intended outcome, a purpose, an
operational criterion, as a service management objective or by the use of other words with similar meaning (e.g.
aim, goal, or target).
Note 4 to entry: In the context of an SMS (3.2.23), service management objectives are set by the organization,
consistent with the service management policy (3.1.17), to achieve specific results.
Note 5 to entry: The original Annex SL definition has been modified by adding “service management” and
“service” to Note 2 to entry.
© ISO/IEC 2018 – All rights reserved 3
3.1.14
organization
person or group of people that has its own functions with responsibilities, authorities and relationships
to achieve its objectives (3.1.13)
Note 1 to entry: The concept of organization includes, but is not limited to sole-trader, company, corporation, firm,
enterprise, authority, partnership, charity or institution, or part or combination thereof, whether incorporated
or not, public or private.
Note 2 to entry: An organization or part of an organization that manages and delivers a service (3.2.15) or
services to internal or external customers (3.2.3) can be known as a service provider (3.2.24).
Note 3 to entry: If the scope of the SMS (3.2.23) covers only part of an organization, then organization, when used
in ISO/IEC 20000 (all parts), refers to the part of the organization that is within the scope of the SMS. Any use of
the term organization with a different intent is distinguished clearly.
Note 4 to entry: The original Annex SL definition has been modified by adding Notes 2 and 3 to entry.
3.1.15
outsource, verb
make an arrangement where an external organization (3.1.14) performs part of an organization’s
function or process (3.1.18)
Note 1 to entry: An external organization is outside the scope of the SMS (3.2.23), although the outsourced
function or process, is within the scope.
3.1.16
performance
measurable result
Note 1 to entry: Performance can relate either to quantitative or qualitative findings.
Note 2 to entry: Performance can relate to the management of activities, processes (3.1.18), products, services
(3.2.15), systems or organizations (3.1.14).
Note 3 to entry: The original Annex SL definition has been modified by adding “services” to Note 2 to entry.
3.1.17
policy
intentions and direction of an organization (3.1.14) as formally expressed by its top management (3.1.21)
3.1.18
process
set of interrelated or interacting activities that use inputs to deliver an intended result
Note 1 to entry: Whether the “intended result” of a process is called output, product or service (3.2.15) depends
on the context of the reference.
Note 2 to entry: Inputs to a process are generally the outputs of other processes and outputs of a process are
generally the inputs to other processes.
Note 3 to entry: Two or more interrelated and interacting processes in series can also be referred to as a process.
Note 4 to entry: Processes in an organization (3.1.14) are generally planned and carried out under controlled
conditions to add value.
Note 5 to entry: The original Annex SL definition has been changed from “set of interrelated or interacting activities
which transforms inputs into outputs”. The original Annex SL definition has also been modified by adding Notes 1
to 4 to entry. The revised definition and Notes 1 to 4 to entry are sourced from ISO 9000:2015, 3.4.1.
4 © ISO/IEC 2018 – All rights reserved
3.1.19
requirement
need or expectation that is stated, generally implied or obligatory
Note 1 to entry: “Generally implied” means that it is custom or common practice for the organization (3.1.14) and
interested parties (3.1.8) that the need or expectation under consideration is implied.
Note 2 to entry: A specified requirement is one that is stated, for example, in documented information (3.1.6).
Note 3 to entry: In the context of an SMS (3.2.23), service requirements (3.2.26) are documented and agreed rather
than generally implied. There can also be other requirements such as legal and regulatory requirements.
Note 4 to entry: The original Annex SL definition has been modified by adding Note 3 to entry.
3.1.20
risk
effect of uncertainty
Note 1 to entry: An effect is a deviation from the expected — positive or negative.
Note 2 to entry: Uncertainty is the state, even partial, of deficiency of information related to understanding or
knowledge of, an event, its consequence, or likelihood.
Note 3 to entry: Risk is often characterized by reference to potential events (as defined in ISO Guide 73:2009,
3.5.1.3) and consequences (as defined in ISO Guide 73:2009, 3.6.1.3), or a combination of these.
Note 4 to entry: Risk is often expressed in terms of a combination of the consequences of an event (including
changes in circumstances) and the associated likelihood (as defined in ISO Guide 73:2009, 3.6.1.1) of occurrence.
3.1.21
top management
person or group of people who directs and controls an organization (3.1.14) at the highest level
Note 1 to entry: Top management has the power to delegate authority and provide resources within the
organization.
Note 2 to entry: If the scope of the management system (3.1.9) covers only part of an organization then top
management refers to those who direct and control that part of the organization.
3.2 Terms specific to service management used in the ISO/IEC 20000 series
3.2.1
asset
item, thing or entity that has potential or actual value to an organization (3.1.14)
Note 1 to entry: Value can be tangible or intangible, financial or non-financial, and includes consideration of risks
(3.1.20) and liabilities. It can be positive or negative at different stages of the asset life.
Note 2 to entry: Physical assets usually refer to equipment, inventory and properties owned by the organization.
Physical assets are the opposite of intangible assets, which are non-physical assets such as leases, brands, digital
assets, use rights, licences, intellectual property rights, reputation or agreements.
Note 3 to entry: A grouping of assets referred to as an asset system could also be considered as an asset.
Note 4 to entry: An asset can also be a configuration item (3.2.2). Some configuration items are not assets.
[SOURCE: ISO/IEC 19770-5:2015, 3.2, modified — Note 4 to entry contains new content.]
3.2.2
configuration item
CI
element that needs to be controlled in order to deliver a service (3.2.15) or services
© ISO/IEC 2018 – All rights reserved 5
3.2.3
customer
organization (3.1.14) or part of an organization that receives a service (3.2.15) or services
EXAMPLE Consumer, client, beneficiary, sponsor, purchaser.
Note 1 to entry: A customer can be internal or external to the organization delivering the service or services.
Note 2 to entry: A customer can also be a user (3.2.28). A customer can also act as a supplier.
3.2.4
external supplier
another party that is external to the organization that enters into a contract to contribute to the
planning, design, transition (3.2.27), delivery or improvement of a service (3.2.15), service component
(3.2.18) or process (3.1.18)
Note 1 to entry: External suppliers include designated lead suppliers but not their sub-contracted suppliers.
Note 2 to entry: If the organization in the scope of the SMS is part of a larger organization, the other party is
external to the larger organization.
3.2.5
incident
unplanned interruption to a service (3.2.15), a reduction in the quality of a service or an event that has
not yet impacted the service to the customer (3.2.3) or user (3.2.28)
3.2.6
information security
preservation of confidentiality, integrity and availability of information
Note 1 to entry: In addition, other properties such as authenticity, accountability, non-repudiation and reliability
can also be involved.
[SOURCE: ISO/IEC 27000:2018, 3.28]
3.2.7
information security incident
single or a series of unwanted or unexpected information security (3.2.6) events that have a significant
probability of compromising business operations and threatening information security
[SOURCE: ISO/IEC 27000:2018, 3.31]
3.2.8
internal supplier
part of a larger organization (3.1.14) that is outside the scope of the SMS (3.2.23) that enters into a
documented agreement to contribute to the planning, design, transition (3.2.27), delivery or
improvement of a service (3.2.15), service component (3.2.18) or process (3.1.18)
EXAMPLE Procurement, infrastructure, finance, human resources, facilities.
Note 1 to entry: The internal supplier and the organization in the scope of the SMS are both part of the same
larger organization.
3.2.9
known error
problem (3.2.10) that has an identified root cause or a method of reducing or eliminating its impact on a
service (3.2.15)
3.2.10
problem
cause of one or more actual or potential incidents (3.2.5)
6 © ISO/IEC 2018 – All rights reserved
3.2.11
procedure
specified way to carry out an activity or a process (3.1.18)
Note 1 to entry: Procedures can be documented or not.
[SOURCE: ISO 9000:2015, 3.4.5]
3.2.12
record, noun
document stating results achieved or providing evidence of activities performed
EXAMPLE Audit (3.1.1) reports, incident (3.2.5) details, list of training delegates, minutes of meetings.
Note 1 to entry: Records can be used, for example, to formalize traceability and to provide evidence of verification,
preventive action and corrective action (3.1.5).
Note 2 to entry: Generally, records need not be under revision control.
[SOURCE: ISO 9000:2015, 3.8.10, modified — EXAMPLE has been added.]
3.2.13
release, noun
collection of one or more new or changed services (3.2.15) or service components (3.2.18) deployed into
the live environment as a result of one or more changes
3.2.14
request for change
proposal for a change to be made to a service (3.2.15), service component (3.2.18) or the SMS (3.2.23)
Note 1 to entry: A change to a service includes the provision of a new service, transfer of a service or the removal
of a service that is no longer required.
3.2.15
service
means of delivering value for the customer (3.2.3) by facilitating outcomes the customer wants to achieve
Note 1 to entry: Service is generally intangible.
Note 2 to entry: The term service as used in ISO/IEC 20000 (all parts) means the service or services in the scope
of the SMS (3.2.23). Any use of the term service with a different intent is distinguished clearly.
3.2.16
service availability
ability of a service (3.2.15) or service component (3.2.18) to perform its required function at an agreed
time or over an agreed period of time
Note 1 to entry: Service availability can be expressed as a ratio or percentage of the time that the service or
service component is actually available for use compared to the agreed time.
3.2.17
service catalogue
documented information about services that an organization provides to its customers
3.2.18
service component
part of a service (3.2.15) that when combined with other elements will deliver a complete service
EXAMPLE Infrastructure, applications, documentation, licences, information, resources, supporting
services.
Note 1 to entry: A service component can include configuration items (3.2.2), assets (3.2.1) or other elements.
© ISO/IEC 2018 – All rights reserved 7
3.2.19
service continuity
capability to deliver a service (3.2.15) without interruption, or with consistent availability as agreed
Note 1 to entry: Service continuity management can be a subset of business continuity management. ISO 22301 is
a management system standard for business continuity management.
3.2.20
service level agreement
SLA
documented agreement between the organization (3.1.14) and the customer (3.2.3) that identifies
services (3.2.15) and their agreed performance
Note 1 to entry: A service level agreement can also be established between the organization and an external
supplier (3.2.4), an internal supplier (3.2.8) or a customer acting as a supplier.
Note 2 to entry: A service level agreement can be included in a contract or another type of documented agreement.
3.2.21
service level target
specific measurable characteristic of a service (3.2.15) that an organization (3.1.14) commits to
3.2.22
service management
set of capabilities and processes (3.1.18) to direct and control the organization’s (3.1.14) activities and
resources for the planning, design, transition (3.2.27), delivery and improvement of services (3.2.15) to
deliver value (3.2.29)
Note 1 to entry: ISO/IEC 20000-1 provides a set of requirements that are split into clauses and sub-clauses. Each
organization can choose how to combine the requirements into processes. The sub-clauses can be used to define
the processes of the organization’s SMS.
3.2.23
service management system
SMS
management system (3.1.9) to direct and control the service management (3.2.22) activities of the
organization (3.1.14)
Note 1 to entry: An SMS includes service management policies (3.1.17), objectives (3.1.13), plans, processes
(3.1.18), documented information and resources required for the planning, design, transition (3.2.27), delivery
and improvement of services to meet the requirements (3.1.19) specified in ISO/IEC 20000-1.
3.2.24
service provider
organization (3.1.14) that manages and delivers a service (3.2.15) or services to customers (3.2.3)
3.2.25
service request
request for information, advice, access to a service (3.2.15) or a pre-approved change
3.2.26
service requirement
needs of customers (3.2.3), users (3.2.28) and the organization (3.1.14) related to the services (3.2.15)
and the SMS (3.2.23) that are stated or obligatory
Note 1 to entry: In the context of an SMS (3.2.23), service requirements are documented and agreed rather than
generally implied. There can also be other requirements such as legal and regulatory requirements.
3.2.27
transition
activities involved in moving a new or changed service (3.2.15) to or from the live environment
8 © ISO/IEC 2018 – All rights reserved
3.2.28
user
individual or group that interacts with or benefits from a service (3.2.15) or services
Note 1 to entry: Examples of users include a person or community of people. A customer (3.2.3) can also be a user.
3.2.29
value
importance, benefit or usefulness
EXAMPLE Monetary value, achieving service outcomes, achieving service management (3.2.22) objectives
(3.1.13), customer retention, removal of constraints.
Note 1 to entry: The creation of value from services (3.2.15) includes realizing benefits at an optimal resource
level while managing risk (3.1.20). An asset (3.2.1) and a service (3.2.15) are examples that can be assigned a value.
3.3 Terms specific to service management used in the ISO/IEC 20000 series but not
used in ISO/IEC 20000-1
3.3.1
governing body
group or body that has the ultimate responsibility and authority for an organization’s (3.1.14) activities,
governance and policies (3.1.17) and to which top management (3.1.21) reports and by which top
management (3.1.21) is held accountable
Note 1 to entry: Not all organizations, particularly small organizations, will have a governing body separate from
top management.
Note 2 to entry: A governing body can include, but is not limited to, board of directors, committees of the board,
supervisory board, trustees or overseers.
[SOURCE: ISO 37001:2016]
3.3.2
service integrator
entity that manages the integration of services (3.2.15) and service components (3.2.18) delivered by
multiple suppliers
Note 1 to entry: The role of the service integrator supports the promotion of end to end service management
(3.2.22), particularly in complex supply chains by ensuring all parties are aware of, enabled to perform, and are
held accountable for their role in the supply chain.
4 Terminology used in ISO/IEC 20000 (all parts)
Most terms in ISO/IEC 20000 (all parts) use the definitions found in commonly available English
language dictionaries and in some cases, use defined terms. These defined terms are taken from
the ISO/IEC Directives Part 1, Annex SL Appendix 2 high-level structure terminology used in all
management system standards, other International Standards, or are specifically defined for ISO/
IEC 20000 (all parts), e.g. “documented information” from Annex SL, “information security” from ISO/
IEC 27000, “service” specifically defined for ISO/IEC 20000 (all parts).
Some of the ISO/IEC Directives Part 1, Annex SL Appendix 2 high-level structure terms have been
adapted to be specific to service management and therefore can differ from those terms in other
International Standards. For example, “corrective action” has been adapted to “action to eliminate the
cause or reduce the likelihood of recurrence of a detected nonconformity or other undesirable situation”
whe
...
NORME ISO/IEC
INTERNATIONALE 20000-10
Première édition
2018-09
Technologies de l'information —
Gestion des services —
Partie 10:
Concepts et vocabulaire
Information technology — Service management —
Part 10: Concepts and vocabulary
Numéro de référence
©
ISO/IEC 2018
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO/IEC 2018
Tous droits réservés. Sauf prescription différente ou nécessité dans le contexte de sa mise en œuvre, aucune partie de cette
publication ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique,
y compris la photocopie, ou la diffusion sur l’internet ou sur un intranet, sans autorisation écrite préalable. Une autorisation peut
être demandée à l’ISO à l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Case postale 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Genève
Tél.: +41 22 749 01 11
Fax: +41 22 749 09 47
E-mail: copyright@iso.org
Web: www.iso.org
Publié en Suisse
ii © ISO/IEC 2018 – Tous droits réservés
Sommaire Page
Avant-propos .v
Introduction .vii
1 Domaine d'application . 1
2 Références normatives . 1
3 Termes et définitions . 1
3.1 Termes spécifiques aux normes de système de management . 1
3.2 Termes spécifiques à la gestion des services utilisés dans la série ISO/IEC 20000 . 5
3.3 Termes spécifiques à la gestion des services utilisés dans la série ISO/IEC 20000
mais pas employé dans l'ISO/IEC 20000-1 .10
4 Terminologie utilisée dans l'ISO/IEC 20000 (toutes les parties) .10
5 Systèmes de management des services (SMS) .11
5.1 Généralités .11
5.2 Qu'est-ce qu'un SMS? .11
5.3 Approche intégrée .12
5.4 Amélioration continue .12
5.5 Avantages d'un SMS basé sur l'ISO/IEC 20000 (toutes les parties) .12
5.5.1 Avantages d'ordre général d'un SMS .12
5.5.2 Avantages de l'évaluation indépendante d'un SMS au regard de l'ISO/
IEC 20000-1 .13
5.5.3 Avantages liés à différents scénarios de gestion des services .13
5.6 Idées reçues ayant trait au SMS et à l'ISO/IEC 20000-1 .16
6 Vue d'ensemble des parties de l'ISO/IEC 20000 .17
6.1 Généralités .17
6.2 ISO/IEC 20000-1:2018, Exigences du système de management des services .18
6.2.1 Domaine d'application .18
6.2.2 Objet.18
6.3 ISO/IEC 20000-2, Directives relatives à l'application des systèmes de
management des services .19
6.3.1 Domaine d'application .19
6.3.2 Objet.19
6.3.3 Relations avec l'ISO/IEC 20000-1 .19
6.4 ISO/IEC 20000-3, Recommandations pour la détermination du périmètre et
l'applicabilité de l'ISO/IEC 20000-1 .20
6.4.1 Domaine d'application .20
6.4.2 Objet.20
6.4.3 Relations avec l'ISO/IEC 20000-1 .20
6.5 ISO/IEC TR 20000-5:2013, Exemple de plan de mise en application pour l'ISO/
IEC 20000-1 .20
6.5.1 Domaine d'application .20
6.5.2 Objet.20
6.5.3 Relations avec l'ISO/IEC 20000-1 .21
6.6 ISO/IEC 20000-6:2017, Exigences pour les organismes procédant à l'audit et à
la certification des systèmes de management des services .21
6.6.1 Domaine d'application .21
6.6.2 Objet.21
6.6.3 Relations avec l'ISO/IEC 20000-1 .21
6.7 ISO/IEC TR 20000-11:2015, Guide d'orientation sur la relation entre l'ISO/
IEC 20000-1:2011 et les référentiels de gestion des services: ITIL® .21
6.7.1 Domaine d'application .21
6.7.2 Objet.21
6.7.3 Relations avec l'ISO/IEC 20000-1 .22
© ISO/IEC 2018 – Tous droits réservés iii
6.8 ISO/IEC TR 20000-12:2016, Guide d'orientation sur la relation entre l'ISO/
IEC 20000-1:2011 et les référentiels de gestion des services: CMMI-SVC® .22
6.8.1 Domaine d'application .22
6.8.2 Objet.22
6.8.3 Relations avec l'ISO/IEC 20000-1 .22
7 Autres Normes internationales et Rapports techniques connexes .23
7.1 Normes internationales et Rapports techniques étroitement liés .23
7.2 ISO/IEC 27013:2015, Technologies de l'information — Techniques de
sécurité — Guide sur la mise en œuvre intégrée d'ISO/IEC 27001 et ISO/
IEC 20000-1 .23
7.2.1 Domaine d'application .23
7.2.2 Objet.23
7.2.3 Relations avec l'ISO/IEC 20000-1 .23
7.3 Autres Normes internationales connexes .24
7.3.1 Généralités .24
7.3.2 ISO 9000:2015, Systèmes de management de la qualité — Principes
essentiels et vocabulaire .24
7.3.3 ISO 9001:2015, Systèmes de management de la qualité — Exigences .24
7.3.4 ISO 10007:2017, Systèmes de management de la qualité — Lignes
directrices pour la gestion de la configuration .24
7.3.5 ISO/IEC 19770-1:2017, Information technology — IT asset
management — Part 1: IT asset management systems — Requirements .25
7.3.6 ISO 22301:2012, Sécurité sociétale — Systèmes de management de la
continuité d'activité — Exigences .25
7.3.7 ISO/IEC 27000:2018, Technologies de l'information — Techniques de
sécurité — Systèmes de management de la sécurité de l'information —
Vue d'ensemble et vocabulaire .25
7.3.8 ISO/IEC 27001:2013, Technologies de l'information — Techniques de
sécurité — Systèmes de management de la sécurité de l'information
— Exigences .26
7.3.9 ISO/IEC 27031:2011, Technologies de l'information — Techniques de
sécurité — Lignes directrices pour la préparation des technologies de
la communication et de l'information pour la continuité d'activité .26
7.3.10 ISO/IEC 30105-1:2016, Information technology — IT Enabled
Service — Business Process Outsourcing (ITES-BPO) lifecycle processes .26
7.3.11 ISO 31000:2018, Management du risque — Lignes directrices .27
7.3.12 ISO/IEC 38500:2015, Technologies de l'information — Gouvernance
des technologies de l'information pour l'entreprise .27
Bibliographie .28
iv © ISO/IEC 2018 – Tous droits réservés
Avant-propos
L'ISO (Organisation internationale de normalisation) et l'IEC (Commission électrotechnique
internationale) forment le système spécialisé de la normalisation mondiale. Les organismes
nationaux membres de l'ISO ou de l'IEC participent au développement de Normes internationales
par l'intermédiaire des comités techniques créés par l'organisation concernée afin de s'occuper des
domaines particuliers de l'activité technique. Les comités techniques de l'ISO et de l'IEC collaborent
dans des domaines d'intérêt commun. D'autres organisations internationales, gouvernementales et non
gouvernementales, en liaison avec l'ISO et l'IEC participent également aux travaux. Dans le domaine des
technologies de l'information, l'ISO et l'IEC ont créé un comité technique mixte, l'ISO/IEC JTC 1.
Les procédures utilisées pour élaborer le présent document et celles destinées à sa mise à jour sont
décrites dans les Directives ISO/IEC, Partie 1. Il convient, en particulier de prendre note des différents
critères d'approbation requis pour les différents types de documents ISO. Le présent document a été
rédigé conformément aux règles de rédaction données dans les Directives ISO/IEC, Partie 2 (voir www
.iso .org/directives).
L'attention est attirée sur le fait que certains des éléments du présent document peuvent faire l'objet de
droits de propriété intellectuelle ou de droits analogues. L'ISO ne saurait être tenue pour responsable
de ne pas avoir identifié de tels droits de propriété et averti de leur existence. Les détails concernant
les références aux droits de propriété intellectuelle ou autres droits analogues identifiés lors de
l'élaboration du document sont indiqués dans l'Introduction et/ou dans la liste des déclarations de
brevets reçues par l'ISO (voir www .iso .org/brevets).
Les appellations commerciales éventuellement mentionnées dans le présent document sont données
pour information, par souci de commodité, à l'intention des utilisateurs et ne sauraient constituer un
engagement. Pour une explication de la signification des termes et expressions spécifiques de l'ISO liés
à l'évaluation de la conformité, ou pour toute information au sujet de l'adhésion de l'ISO aux principes de
l'Organisation mondiale du commerce (OMC) concernant les obstacles techniques au commerce (OTC),
voir le lien suivant: www .iso .org/iso/fr/avant -propos .html.
Le comité chargé de l'élaboration du présent document est l'ISO/IEC JTC 1, Technologies de l'information,
sous-comité SC 40, IT Service Management and IT Governance (Gestion des services issus des technologies
de l'information et gouvernance des technologies de l'information).
Cette première édition de l'ISO/IEC 20000-10 annule et remplace l'ISO/IEC TR 20000-10:2015.
Une liste de toutes les parties de la série ISO/IEC 20000 peut être consultée sur le site web de l'ISO.
Les principales modifications par rapport à l'édition précédente sont les suivantes:
a) tous les termes et définitions de la série ISO/IEC 20000 ont été ajoutés;
b) les termes issus de la structure de niveau supérieur des Directives ISO/IEC Partie 1, Annexe SL
Appendice 2 pour toutes les normes de système de management ont été ajoutés. Certains termes
sont nouveaux; pour d'autres, la définition a été mise à jour et pour d'autres encore, la définition est
identique à la précédente;
c) le terme «groupe interne» a été remplacé par «fournisseur interne», et le terme «fournisseur» par
«fournisseur externe»;
d) la définition du terme «sécurité de l'information» a été modifiée de sorte à s'aligner sur celle de
l'ISO/IEC 27000 puis le terme «disponibilité» a été remplacé par «disponibilité de service»;
e) de nouveaux termes spécifiques à la série ISO/IEC 20000, «actif», «organe de gouvernance»,
«catalogue de services», «objectif de niveau de service», «utilisateur» et «valeur», ont été ajoutés;
f) trois termes ont été supprimés: «configuration de référence», «base de données de gestion des
configurations» et «action préventive»;
g) de nombreuses définitions ont été mises à jour;
© ISO/IEC 2018 – Tous droits réservés v
h) les Figures 1 et 2 ont été mises à jour pour inclure les parties de l'ISO/IEC 20000 actuellement
publiées;
i) les références à l'ISO/IEC 20000-4, à l'ISO/IEC TR 20000-9 et à l'ISO/IEC TR 90006 ont été
supprimées, car ces normes ont été annulées ou vont l'être;
j) les dates et les détails de publication des parties de l'ISO/IEC 20000 présentées à l'Article 6 ont été
mis à jour, le cas échéant;
k) les normes apparentées citées à l'Article 7 incluent désormais l'ISO 22301 et l'ISO/IEC 30105.
Il convient que l'utilisateur adresse tout retour d'information ou toute question concernant le présent
document à l'organisme national de normalisation de son pays. Une liste exhaustive desdits organismes
se trouve à l'adresse www .iso .org/fr/members .html.
vi © ISO/IEC 2018 – Tous droits réservés
Introduction
Le présent document fournit une vue d'ensemble des concepts d'un système de management des
services (SMS). Il établit un référentiel commun pour aider les organismes à comprendre la finalité de
toutes les parties de l'ISO/IEC 20000, et les relations entre ces parties. Le présent document représente
la source de référence pour les définitions utilisées dans toutes les parties de l'ISO/IEC 20000.
Le présent document identifie également d'autres documents corrélés à l'ISO/IEC 20000-1 et identifie
des domaines communs avec les Normes internationales qui lui sont liées afin de faciliter l'utilisation et
l'intégration de multiples Normes internationales dans les organismes.
Le présent document peut être utilisé par tout organisme ou individu impliqué dans la planification, la
conception, la transition, la fourniture et l'amélioration des services utilisant l'ISO/IEC 20000-1. Il peut
également être utilisé par les personnes concernées par l'évaluation ou l'audit d'un SMS car il fournit
des détails sur toutes les parties de l'ISO/IEC 20000 et sur la façon dont celles-ci peuvent être utilisées.
Plus précisément, le présent document définit les termes utilisés dans toutes les parties de l'ISO/
IEC 20000 et:
a) favorise la cohésion entre les parties de l'ISO/IEC 20000 en expliquant les concepts et le vocabulaire
utilisés dans toutes les parties;
b) facilite la compréhension de l'ISO/IEC 20000 (toutes les parties) en expliquant la finalité et en
clarifiant les relations entre toutes les parties;
c) clarifie les interfaces possibles et l'intégration entre le SMS de l'organisme et les autres systèmes de
management;
d) fournit une vue d'ensemble des autres Normes internationales qui peuvent être utilisées avec l'ISO/
IEC 20000 (toutes les parties);
e) identifie des domaines communs entre l'ISO/IEC 20000-1 et d'autres Normes internationales.
Les termes et définitions donnés dans le présent document s'appliquent à l'ISO/IEC 20000-1:2018 et
aux autres parties mises à jour de l'ISO/IEC 20000. Pour les organismes qui utilisent l'ISO/IEC 20000-
1:2011, les termes et définitions cités à l'Article 3 de ce document restent inchangés. Lorsque le présent
document se réfère à des normes datées et non datées, les Directives ISO/IEC, Partie 2 s'appliquent.
Pour les références datées, seule l'édition citée s'applique. Pour les références non datées, la dernière
édition du document de référence s'applique (y compris les éventuels amendements). Lorsqu'il est
nécessaire de préciser qu'une édition spécifique s'applique, l'édition est citée.
Les termes et définitions en 3.1 et 3.2 du présent document sont également inclus dans l'ISO/IEC 20000-
1:2018. Les termes et définitions en 3.3 du présent document ne sont pas liés à l'ISO/IEC 20000-1 mais
sont utilisés dans d'autres parties de la série ISO/IEC 20000.
La Figure 1 montre une vue d'ensemble des relations entre les parties de l'ISO/IEC 20000, ainsi que les
influences des référentiels pertinents et des autres sources externes.
© ISO/IEC 2018 – Tous droits réservés vii
Figure 1 — Synoptique des parties de l'ISO/IEC 20000 traitées dans l'ISO/IEC 20000-10
viii © ISO/IEC 2018 – Tous droits réservés
NORME INTERNATIONALE ISO/IEC 20000-10:2018(F)
Technologies de l'information — Gestion des services —
Partie 10:
Concepts et vocabulaire
1 Domaine d'application
Le présent document expose les concepts principaux de l'ISO/IEC 20000 (toutes les parties), identifie
la façon dont les différentes parties viennent à l'appui de l'ISO/IEC 20000-1:2018 et décrit les relations
entre l'ISO/IEC 20000 (toutes les parties) et d'autres Normes internationales et Rapports techniques. Le
présent document inclut également la terminologie utilisée dans toutes les parties de l'ISO/IEC 20000,
afin que les organismes et les individus puissent interpréter correctement les concepts.
Le présent document peut être utilisé par:
a) les organismes qui souhaitent comprendre les termes et définitions pour utiliser l'ISO/IEC 20000
(toutes les parties);
b) les organismes qui recherchent des recommandations concernant la manière d'utiliser les
différentes parties de l'ISO/IEC 20000 pour atteindre leur objectif;
c) les organismes qui souhaitent comprendre comment l'ISO/IEC 20000 (toutes les parties) peut être
utilisée avec d'autres Normes internationales;
d) les professionnels, auditeurs et autres parties qui souhaitent mieux comprendre l'ISO/IEC 20000
(toutes les parties).
2 Références normatives
Le présent document ne contient aucune référence normative.
3 Termes et définitions
Pour les besoins du présent document, les termes et définitions suivants s'appliquent.
L'ISO et l'IEC tiennent à jour des bases de données terminologiques destinées à être utilisées en
normalisation, consultables aux adresses suivantes:
— IEC Electropedia: disponible à l'adresse http: //www .electropedia .org/
— ISO Online browsing platform: disponible à l'adresse https: //www .iso .org/obp
3.1 Termes spécifiques aux normes de système de management
3.1.1
audit
processus (3.1.18) méthodique, indépendant et documenté, permettant d'obtenir des preuves d'audit
et de les évaluer de manière objective pour déterminer dans quelle mesure les critères d'audit sont
satisfaits
Note 1 à l'article: Un audit peut être interne (audit de première partie), externe (audit de seconde ou de tierce
partie) ou combiné (associant deux disciplines ou plus).
© ISO/IEC 2018 – Tous droits réservés 1
Note 2 à l'article: Un audit interne est réalisé par l'organisme (3.1.14) lui-même ou par une partie externe pour le
compte de celui-ci.
Note 3 à l'article: Les termes «preuves d'audit» et «critères d'audit» sont définis dans l'ISO 19011.
3.1.2
compétence
capacité à appliquer des connaissances et des aptitudes pour obtenir les résultats escomptés
3.1.3
conformité
satisfaction d'une exigence (3.1.19)
Note 1 à l'article: La conformité concerne les exigences du présent document ainsi que les exigences du SMS de
l'organisme.
Note 2 à l'article: La définition initiale de l'Annexe SL a été modifiée par l'ajout de la Note 1 à l'article.
3.1.4
amélioration continue
activité régulière destinée à améliorer les performances (3.1.16)
3.1.5
action corrective
action visant à éliminer la cause ou à réduire la probabilité de récurrence d'une non-conformité (3.1.12)
ou d'une autre situation indésirable détectée
Note 1 à l'article: La définition initiale de l'Annexe SL a été modifiée par l'ajout de texte à «action visant à éliminer
la cause d'une non-conformité et à éviter qu'elle ne réapparaisse».
3.1.6
information documentée
information devant être maîtrisée et tenue à jour par un organisme (3.1.14) ainsi que le support sur
lequel elle figure
EXEMPLE politiques (3.1.17), plans, descriptions de processus, procédures (3.2.11), accords sur les niveaux de
services (3.2.20) ou contrats.
Note 1 à l'article: Les informations documentées peuvent se présenter sous n'importe quel format et sur tous
supports et peuvent provenir de toute source.
Note 2 à l'article: Les informations documentées peuvent se rapporter:
— au système de management (3.1.9), y compris les processus (3.1.18) connexes;
— aux informations créées en vue du fonctionnement de l'organisme (documentation);
— aux preuves des résultats obtenus [enregistrements (3.2.12)].
Note 3 à l'article: La définition initiale de l'Annexe SL a été modifiée par l'ajout d'exemples.
3.1.7
efficacité
niveau de réalisation des activités planifiées et d'obtention des résultats escomptés
3.1.8
partie intéressée
personne ou organisme (3.1.14) qui peut soit influer sur une décision ou une activité, soit être influencé
ou s'estimer influencé par une décision ou une activité liée au SMS (3.2.23) ou aux services (3.2.15)
Note 1 à l'article: La partie intéressée peut être interne ou externe à l'organisme.
2 © ISO/IEC 2018 – Tous droits réservés
Note 2 à l'article: Les parties intéressées peuvent comprendre des parties de l'organisme qui ne sont pas incluses
dans le périmètre d'application du SMS, des clients (3.2.3), des utilisateurs (3.2.28), une communauté, des
fournisseurs externes (3.2.4), des autorités réglementaires, des organismes du secteur public, des organismes non
gouvernementaux, des investisseurs ou des employés.
Note 3 à l'article: Lorsque les parties intéressées sont spécifiées dans les exigences (3.1.19) du présent document,
elles peuvent être différentes selon le contexte de l'exigence.
Note 4 à l'article: La définition initiale de l'Annexe SL a été modifiée par la suppression du terme admis «partie
prenante», l'ajout de «liée au SMS ou aux services» à la définition et l'ajout des Notes 1, 2 et 3 à l'article.
3.1.9
système de management
ensemble d'éléments corrélés ou en interaction d'un organisme (3.1.14), utilisés pour établir des
politiques (3.1.17), des objectifs (3.1.13) et des processus (3.1.18) de façon à atteindre lesdits objectifs
Note 1 à l'article: Un système de management peut traiter d'un seul ou de plusieurs domaines.
Note 2 à l'article: Les éléments du système de management comprennent la structure, les rôles et responsabilités,
la planification, le fonctionnement, les politiques, les objectifs, les plans, les processus et les procédures (3.2.11)
de l'organisme.
Note 3 à l'article: Le périmètre d'application d'un système de management peut comprendre l'ensemble de
l'organisme, des fonctions ou des sections spécifiques et identifiées de l'organisme, ou une ou plusieurs fonctions
dans un groupe d'organismes.
Note 4 à l'article: La définition initiale de l'Annexe SL a été modifiée par le remaniement de la Note 2 à l'article qui,
désormais, indique clairement que le système est un système de management et répertorie d'autres éléments.
3.1.10
mesure
processus (3.1.18) visant à déterminer une valeur
3.1.11
surveillance
détermination de l'état d'un système, d'un processus (3.1.18) ou d'une activité
Note 1 à l'article: Pour déterminer cet état, il peut être nécessaire de vérifier, de superviser ou d'observer d'un
point de vue critique.
3.1.12
non-conformité
non-satisfaction d'une exigence (3.1.19)
Note 1 à l'article: La non-conformité se rapporte aux exigences du présent document ainsi qu'à celles du SMS de
l'organisme.
3.1.13
objectif
résultat à atteindre
Note 1 à l'article: Un objectif peut être stratégique, tactique ou opérationnel.
Note 2 à l'article: Les objectifs peuvent se rapporter à différents domaines [tels que finance, santé et sécurité,
gestion des services (3.2.22) et environnement] et peuvent s'appliquer à divers niveaux [au niveau stratégique,
à un niveau concernant l'organisme dans son ensemble, au niveau du service (3.2.15) ou afférant à un projet, un
produit ou un processus (3.1.18)].
Note 3 à l'article: Un objectif peut être exprimé de différentes manières, par exemple par un résultat escompté,
un but, un critère opérationnel, en tant qu'objectif de gestion des services ou par l'utilisation d'autres termes
ayant la même signification (par exemple finalité, but ou cible).
Note 4 à l'article: Dans le contexte d'un SMS (3.2.23), les objectifs de gestion des services sont fixés par l'organisme,
en cohérence avec la politique (3.1.17) de gestion des services, en vue d'obtenir des résultats spécifiques.
© ISO/IEC 2018 – Tous droits réservés 3
Note 5 à l'article: La définition initiale de l'Annexe SL a été modifiée par l'ajout de «gestion des services» et
«service» dans la Note 2 à l'article.
3.1.14
organisme
personne ou groupe de personnes ayant un rôle avec les responsabilités, l'autorité et les relations lui
permettant d'atteindre ses objectifs (3.1.13)
Note 1 à l'article: Le concept d'organisme englobe sans s'y limiter, les travailleurs indépendants, les compagnies,
les sociétés, les firmes, les entreprises, les administrations, les partenariats, les organisations caritatives ou les
institutions, ou bien une partie ou une combinaison des entités précédentes, à responsabilité limitée ou ayant un
autre statut, de droit public ou privé.
Note 2 à l'article: Un organisme ou une partie d'un organisme qui gère et fournit un ou plusieurs services (3.2.15)
à des clients (3.2.3) internes ou externes peut être appelé fournisseur de services (3.2.24).
Note 3 à l'article: Si le périmètre d'application du SMS (3.2.23) ne couvre qu'une partie d'un organisme, le
terme «organisme», lorsqu'il est utilisé dans le présent document, se réfère à la partie de l'organisme qui est
incluse dans le périmètre d'application du SMS. Toute utilisation différente du terme «organisme» est clairement
indiquée dans le présent document.
Note 4 à l'article: La définition initiale de l'Annexe SL a été modifiée par l'ajout des Notes 2 et 3 à l'article.
3.1.15
externaliser
passer un accord selon lequel un organisme (3.1.14) externe assure une partie de la fonction ou met en
œuvre une partie du processus (3.1.18) d'un organisme
Note 1 à l'article: L'organisme externe n'est pas inclus dans le périmètre d'application du SMS (3.2.23),
contrairement à la fonction ou au processus externalisé qui en font partie intégrante.
3.1.16
performance
résultat mesurable
Note 1 à l'article: Les performances peuvent être liées à des résultats quantitatifs ou qualitatifs.
Note 2 à l'article: Les performances peuvent concerner le management d'activités, de processus (3.1.18), de
produits, de services (3.2.15), de systèmes ou d'organismes (3.1.14).
Note 3 à l'article: La définition initiale de l'Annexe SL a été modifiée par l'ajout de «services» dans la Note 2 à
l'article.
3.1.17
politique
intentions et orientations d'un organisme (3.1.14), telles qu'elles sont officiellement formulées par sa
direction (3.1.21)
3.1.18
processus
ensemble d'activités corrélées ou en interaction qui utilise des éléments d'entrée pour produire un
résultat escompté
Note 1 à l'article: La désignation du «résultat escompté» d'un processus par élément de sortie, produit ou service
(3.2.15) dépend du contexte de la référence.
Note 2 à l'article: Les éléments d'entrée d'un processus sont généralement les éléments de sortie d'autres
processus et les éléments de sortie d'un processus sont généralement les éléments d'entrée d'autres processus.
Note 3 à l'article: Deux processus, ou plus, corrélés et en interaction en série peuvent également être qualifiés de
processus.
Note 4 à l'article: Les processus d'un organisme (3.1.14) sont généralement planifiés et mis en œuvre dans des
conditions maîtrisées afin d'apporter une valeur ajoutée.
4 © ISO/IEC 2018 – Tous droits réservés
Note 5 à l'article: La définition initiale de l'Annexe SL, «ensemble d'activités corrélées ou en interaction qui
transforme des éléments d'entrée en éléments de sortie», a été modifiée. Les Notes 1 à 4 à l'article ont également été
ajoutées à cette définition. La définition révisée et les Notes 1 à 4 à l'article proviennent de l'ISO 9000:2015, 3.4.1.
3.1.19
exigence
besoin ou attente formulé, généralement implicite ou obligatoire
Note 1 à l'article: «Généralement implicite» signifie qu'il est habituel ou courant, pour l'organisme (3.1.14) et les
parties intéressées (3.1.8), que le besoin ou l'attente en question soit implicite.
Note 2 à l'article: Une exigence spécifiée est une exigence formulée, par exemple une information documentée
(3.1.6).
Note 3 à l'article: Dans le contexte d'un SMS (3.2.23), les exigences de services (3.2.26) sont documentées et ont
fait l'objet d'un accord et ne sont généralement pas implicites. Il peut également exister d'autres exigences comme
des exigences légales et réglementaires.
Note 4 à l'article: La définition initiale de l'Annexe SL a été modifiée par l'ajout de la Note 3 à l'article.
3.1.20
risque
effet de l'incertitude
Note 1 à l'article: Un effet est un écart, positif ou négatif, par rapport à une attente.
Note 2 à l'article: L'incertitude est l'état, même partiel, de manque d'information qui entrave la compréhension ou
la connaissance d'un événement, de ses conséquences ou de sa vraisemblance.
Note 3 à l'article: Un risque est souvent caractérisé par référence à des événements potentiels (tels que définis
dans le Guide ISO 73:2009, 3.5.1.3) et à des conséquences également potentielles (telles que définies dans le
Guide ISO 73:2009, 3.6.1.3), ou par référence à une combinaison des deux.
Note 4 à l'article: Un risque est souvent exprimé en termes de combinaison des conséquences d'un événement
(y compris des changements de circonstances) et de la vraisemblance de son occurrence (telle que définie dans le
Guide ISO 73:2009, 3.6.1.1).
3.1.21
direction
personne ou groupe de personnes qui oriente et dirige un organisme (3.1.14) au plus haut niveau
Note 1 à l'article: La direction a le pouvoir de déléguer son autorité et de fournir des ressources au sein de
l'organisme.
Note 2 à l'article: Si le périmètre d'application du système de management (3.1.9) ne couvre qu'une partie de
l'organisme, alors la direction s'adresse à ceux qui orientent et dirigent cette partie de l'organisme.
3.2 Termes spécifiques à la gestion des services utilisés dans la série ISO/IEC 20000
3.2.1
actif
élément, chose ou entité qui a une valeur potentielle ou réelle pour un organisme (3.1.14)
Note 1 à l'article: Sa valeur peut être matérielle ou immatérielle, financière ou non financière, et elle tient compte
des risques (3.1.20) et des responsabilités. Elle peut être positive ou négative à différentes étapes de la vie de
l'actif.
Note 2 à l'article: Les actifs physiques correspondent généralement aux équipements, au stock et aux biens
détenus par l'organisme. Les actifs physiques sont l'inverse des actifs immatériels, qui sont des actifs non
physiques tels que les locations, les marques, les actifs numériques, les droits d'utilisation, les licences, les droits
de propriété intellectuelle, la réputation et les accords.
Note 3 à l'article: Un regroupement d'actifs appelé système d'actifs pourrait également être considéré comme
un actif.
© ISO/IEC 2018 – Tous droits réservés 5
Note 4 à l'article: Un actif peut également être un élément de configuration (3.2.2), mais certains éléments de
configuration ne sont pas des actifs.
[SOURCE: ISO/IEC 19770-5:2015, 3.2, modifiée — La Note 4 à l'article a un nouveau contenu.]
3.2.2
élément de configuration
CI
élément qui doit être contrôlé afin de fournir un ou plusieurs services (3.2.15)
3.2.3
client
organisme (3.1.14) ou partie d'un organisme qui reçoit un ou plusieurs services (3.2.15)
EXEMPLE consommateur, bénéficiaire, sponsor, acheteur.
Note 1 à l'article: Le client peut être interne ou externe à l'organisme qui fournit le ou les services.
Note 2 à l'article: Le client peut également être un utilisateur (3.2.28). Il peut aussi agir en tant que fournisseur.
3.2.4
fournisseur externe
autre partie, externe à l'organisme, qui conclut un contrat pour contribuer à la planification, à la
conception, à la transition (3.2.27), à la fourniture ou à l'amélioration d'un service (3.2.15), d'un
composant de service (3.2.18) ou d'un processus (3.1.18)
Note 1 à l'article: Le terme «fournisseur externe» inclut les principaux fournisseurs désignés, mais pas leurs
sous-traitants.
Note 2 à l'article: Si l'organisme inclus dans le périmètre d'application du SMS fait partie d'un organisme plus
grand, l'autre partie est externe à cet organisme plus grand.
3.2.5
incident
interruption non planifiée d'un service (3.2.15), altération de la qualité d'un service ou événement qui
n'a pas encore eu d'impact sur le service au client (3.2.3) ou à l'utilisateur (3.2.28)
3.2.6
sécurité de l'information
protection de la confidentialité, de l'intégrité et de la disponibilité de l'information
EXEMPLE En outre, d'autres propriétés, telles que l'authenticité, l'imputabilité, la non-répudiation et la
fiabilité peuvent également être concernées.
[SOURCE: ISO/IEC 27000:2018, 3.28]
3.2.7
incident lié à la sécurité de l'information
un ou plusieurs événements liés à la sécurité de l'information (3.2.6), indésirables ou inattendus,
présentant une probabilité forte de compromettre les opérations liées à l'activité de l'organisme et de
menacer la sécurité de l'information
[SOURCE: ISO/IEC 27000:2018, 3.31]
3.2.8
fournisseur interne
partie d'un organisme (3.1.14) plus grand qui n'est pas inclus dans le périmètre d'application du SMS
(3.2.23), qui conclut un accord documenté pour contribuer à la planification, à la conception, à la
transition (3.2.27), à la fourniture ou à l'amélioration d'un service (3.2.15), d'un composant de service
(3.2.18) ou d'un processus (3.1.18)
EXEMPLE approvisionnement, infrastructure, finance, ressources humaine, installations.
6 © ISO/IEC 2018 – Tous droits réservés
Note 1 à l'article: Le fournisseur interne et l'organisme inclus dans le périmètre d'application du SMS font tous les
deux partie du même organisme plus grand.
3.2.9
erreur connue
problème (3.2.10) dont la cause sous-jacente est identifiée ou qui bénéficie d'une méthode pour limiter
ou éliminer son impact sur un service (3.2.15)
3.2.10
problème
cause d'un ou de plusieurs incidents (3.2.5) réels ou potentiels
3.2.11
procédure
manière spécifiée de réaliser une activité ou un processus (3.1.18)
Note 1 à l'article: Les procédures peuvent ou non faire l'objet de documents.
[SOURCE: ISO 9000:2015, 3.4.5]
3.2.12
enregistrement
document faisant état de résultats obtenus ou apportant la preuve de la réalisation d'une activité
EXEMPLE rapports d'audit (3.1.1), détails d'un incident (3.2.5), liste de personnes en charge des formations,
comptes-rendus de réunions.
Note 1 à l'article: Les enregistrements peuvent, par exemple, formaliser la traçabilité et apporter la preuve que la
vérification, les actions préventives et les actions correctives (3.1.5) ont été réalisées.
Note 2 à l'article: En général, les enregistrements ne nécessitent pas de maîtrise des révisions.
[SOURCE: ISO 9000:2015, 3.8.10, modifiée — L'EXEMPLE a été ajouté.]
3.2.13
mise en production
ensemble d'un ou de plusieurs services (3.2.15) ou composants de services (3.2.18), nouveaux ou modifiés,
déployés dans l'environnement de production en tant que résultat d'un ou de plusieurs changements
3.2.14
demande de changement
proposition de changement à apporter à un service (3.2.15), à un composant de service (3.2.18) ou au
SMS (3.2.23)
Note 1 à l'article: Un changement apporté à un service inclut la mise à disposition d'un nouveau service, le
transfert d'un service ou la suppression d'un service qui n'est plus requis.
3.2.15
service
moyen visant à fournir de la valeur au client (3.2.3) en lui offrant les résultats qu'il souhaite atteindre
Note 1 à l'article: Un service est en général immatériel.
Note 2 à l'article: Le terme «service» tel qu'il est utilisé dans le présent document se rapporte au service ou aux
services inclus dans le périmètre d'application du SMS (3.2.23). Toute utilisation différente du terme «service»
est clairement indiquée dans le présent document.
© ISO/IEC 2018 – Tous droits réservés 7
3.2.16
disponibilité de service
aptitude d'un service (3.2.15) ou d'un composant de service (3.2.18) à remplir la fonction spécifiée à un
instant donné ou pendant une période de temps définie
Note 1 à l'article: La disponibilité de service peut être exprimée par le rapport ou le pourcentage entre, d'une
part, la période pendant laquelle le service ou le composant de service est réellement disponible et, d'autre part,
la période définie.
3.2.17
catalogue de services
informations documentées relatives aux services qu'un organisme fournit à ses clients
3.2.18
composant de service
partie d'un service (3.2.15) qui, lorsqu'elle est combinée à d'autres éléments, fournit un service complet
EXEMPLE infrastructure, applications, documentation, licences, informations, ressources, services de
soutien.
Note 1 à l'article: Un composant de service peut comprendre des éléments de configuration (3.2.2), des actifs
(3.2.1) ou d'autres éléments.
3.2.19
continuité de service
capacité à fournir un service (3.2.15) sans interruption ou avec une disponibilité conforme à ce qui a
été convenu
Note 1 à l'article: La gestion de la continuité de service peut être un sous-ensemble de la gestion de la continuité
d'activité. L'ISO 22301 est une norme de système de management relative à la gestion de la continuité d'activité.
3.2.20
accord sur les niveaux de services
SLA
accord documenté entre l'organisme (3.1.14) et le client (3.2.3) qui identifie les services (3.2.15) et les
performances convenues les concernant
Note 1 à l'article: Un accord sur les niveaux de services peut également être établi entre l'organisme et un
fournisseur externe (3.2.4), un fournisseur interne (3.2.8) ou un client agissant en tant que fournisseur.
Note 2 à l'article: Un accord sur les niveaux de services peut être inclus dans un contrat ou un autre type d'accord
documenté.
3.2.21
objectif de niveau de service
caractéristique spécifique mesurable d'un service (3.2.15) qu'un
...
Questions, Comments and Discussion
Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.
Loading comments...