ISO/IEC 20000-3:2019

NORME ISO/IEC
INTERNATIONALE 20000-3
Deuxième édition
2019-08
Technologies de l'information —
Gestion des services —
Partie 3:
Recommandations pour la
détermination du périmètre et
l'applicabilité de l'ISO/IEC 20000-1
Information technology — Service management —
Part 3: Guidance on scope definition and applicability of ISO/IEC
20000-1
Numéro de référence
©
ISO/IEC 2019
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO/IEC 2019
Tous droits réservés. Sauf prescription différente ou nécessité dans le contexte de sa mise en œuvre, aucune partie de cette
publication ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique,
y compris la photocopie, ou la diffusion sur l’internet ou sur un intranet, sans autorisation écrite préalable. Une autorisation peut
être demandée à l’ISO à l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Case postale 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Genève
Tél.: +41 22 749 01 11
Fax: +41 22 749 09 47
E-mail: copyright@iso.org
Web: www.iso.org
Publié en Suisse
ii © ISO/IEC 2019 – Tous droits réservés

Sommaire Page
Avant-propos .iv
Introduction .v
1 Domaine d'application . 1
2 Références normatives . 1
3 Termes et définitions . 1
4 Respect des exigences spécifiées dans l'ISO/IEC 20000-1 . 2
4.1 Structure du SMS . 2
4.2 Démonstration de la conformité . 3
4.3 Autorités et responsabilités au sein de la chaîne d'approvisionnement des services . 3
5 Applicabilité de l'ISO/IEC 20000-1 . 3
5.1 Principes d'applicabilité . 3
5.1.1 Applicabilité . 3
5.1.2 Organisme . 4
5.1.3 Statut commercial . 4
5.1.4 Domaine d'application . 4
5.1.5 Exigences . 4
5.1.6 Autorités et responsabilités . 4
5.2 Parties impliquées dans un SMS . 4
5.2.1 Types de fournisseurs . 4
5.2.2 Améliorations du SMS et des services . 5
5.2.3 Évaluation et choix des autres parties . 6
5.3 Contrôle des autres parties . 6
5.3.1 Processus, services et composants de services fournis ou exploités par
d'autres parties . 6
5.3.2 Responsabilité . 6
5.3.3 Intégration, interfaces et coordination . 6
5.3.4 Définition des contrôles pour la mesure et l'évaluation des autres parties . 7
5.3.5 Gestion de la chaîne d'approvisionnement des services . 7
6 Principes généraux pour la détermination du périmètre d'un SMS .8
6.1 Introduction . 8
6.2 Le périmètre du SMS . 8
6.2.1 Détermination du périmètre . 8
6.2.2 Détermination du périmètre et évaluation . 9
6.2.3 Limites du périmètre . . . 9
6.2.4 Aspects commerciaux . 9
6.3 Accords entre les clients et l'organisme .10
6.4 Paramètres de détermination du périmètre .10
6.4.1 Paramètres de détermination du périmètre du SMS .10
6.4.2 Autres paramètres .10
6.5 Validité de la détermination du périmètre .11
6.6 Modification du périmètre .12
6.7 Chaînes d'approvisionnement des services et périmètre du SMS .12
6.7.1 Confiance dans les autres parties .12
6.7.2 Démonstration de la conformité tout au long de la chaîne
d'approvisionnement des services .12
6.8 Intégration avec d'autres systèmes de management .13
Annexe A (informative) Détermination du périmètre pour différents scénarios .14
Bibliographie .29
© ISO/IEC 2019 – Tous droits réservés iii

Avant-propos
L'ISO (Organisation internationale de normalisation) et l’IEC (Commission électrotechnique
internationale) forment le système spécialisé de la normalisation mondiale. Les organismes
nationaux membres de l'ISO ou de l’IEC participent au développement de Normes internationales
par l'intermédiaire des comités techniques créés par l'organisation concernée afin de s'occuper des
domaines particuliers de l'activité technique. Les comités techniques de l'ISO et de l’IEC collaborent
dans des domaines d'intérêt commun. D'autres organisations internationales, gouvernementales et non
gouvernementales, en liaison avec l'ISO et l’IEC, participent également aux travaux.
Les procédures utilisées pour élaborer le présent document et celles destinées à sa mise à jour sont
décrites dans les Directives ISO/IEC, Partie 1. Il convient, en particulier de prendre note des différents
critères d'approbation requis pour les différents types de documents ISO. Le présent document a été
rédigé conformément aux règles de rédaction données dans les Directives ISO/IEC, Partie 2 (voir www
.iso .org/directives).
L'attention est attirée sur le fait que certains des éléments du présent document peuvent faire l'objet
de droits de propriété intellectuelle ou de droits analogues. L'ISO et l’IEC ne sauraient être tenues pour
responsables de ne pas avoir identifié de tels droits de propriété et averti de leur existence. Les détails
concernant les références aux droits de propriété intellectuelle ou autres droits analogues identifiés
lors de l'élaboration du document sont indiqués dans l'Introduction et/ou dans la liste des déclarations
de brevets reçues par l'ISO (voir www .iso .org/brevets) ou dans la liste des déclarations de brevets
reçues par l'IEC (voir http: //patents .iec .ch).
Les appellations commerciales éventuellement mentionnées dans le présent document sont données
pour information, par souci de commodité, à l’intention des utilisateurs et ne sauraient constituer un
engagement.
Pour une explication de la nature volontaire des normes, la signification des termes et expressions
spécifiques de l'ISO liés à l'évaluation de la conformité, ou pour toute information au sujet de l'adhésion
de l'ISO aux principes de l’Organisation mondiale du commerce (OMC) concernant les obstacles
techniques au commerce (OTC), voir: www .iso .org/iso/avant -propos.
Le présent document a été élaboré par le comité technique mixte ISO/IEC JTC 1, Technologies de
l'information, sous-comité SC 40, Gestion des services IT et gouvernance IT.
Cette deuxième édition annule et remplace la première édition (ISO/IEC 20000-3:2012), qui fait l'objet
d'une révision technique.
Les principales modifications par rapport à l'édition précédente sont les suivantes:
a) le présent document a été aligné sur la troisième édition de l'ISO/IEC 20000-1;
b) les exemples de scénarios dans l'Annexe A ont été mis à jour afin de refléter les environnements
de gestion de services contemporains, y compris des chaînes d'approvisionnement des services
complexes.
Une liste de toutes les parties de la série ISO/IEC 20000 se trouve sur le site web de l'ISO.
Il convient que l'utilisateur adresse tout retour d'information ou toute question concernant le présent
document à l'organisme national de normalisation de son pays. Une liste exhaustive desdits organismes
se trouve à l'adresse www .iso .org/fr/members .html.
iv © ISO/IEC 2019 – Tous droits réservés

Introduction
Le présent document fournit des recommandations pour la détermination du périmètre et
l'applicabilité de l'ISO/IEC 20000-1. Le présent document n'ajoute aucune exigence à celles spécifiées
dans l'ISO/IEC 20000-1.
Les organismes, de toute taille, de tout type ou de tout domaine opérationnel, peuvent fournir une
grande diversité de services à différents types de clients, internes ou externes, et s'appuyer sur des
chaînes d'approvisionnement des services complexes.
NOTE Le terme «chaîne d'approvisionnement des services», tel qu'utilisé dans le présent document, désigne
la façon dont les services sont coordonnés entre les fournisseurs internes et externes. Il ne vise pas à limiter
l'applicabilité du présent document à un secteur ou à une industrie en particulier.
Le fonctionnement d'un système de management des services (SMS) peut impliquer de nombreuses
parties dépendantes de différentes juridictions, de différentes frontières nationales et de différents
fuseaux horaires. Il convient que le SMS comprenne les contrôles appropriés pour faciliter la
coordination de toutes les parties impliquées dans le cycle de vie des services.
Le présent document se présente sous la forme d'exemples, de guides et de recommandations. Il
convient de ne pas l'envisager comme une spécification d'exigences.
© ISO/IEC 2019 – Tous droits réservés v

NORME INTERNATIONALE ISO/IEC 20000-3:2019(F)
Technologies de l'information — Gestion des services —
Partie 3:
Recommandations pour la détermination du périmètre et
l'applicabilité de l'ISO/IEC 20000-1
1 Domaine d'application
Le présent document contient des recommandations pour la détermination du périmètre et
l'applicabilité aux exigences spécifiées dans l'ISO/IEC 20000-1.
Le présent document peut aider l'organisme à déterminer si l'ISO/IEC 20000-1 est applicable à sa
situation. Il illustre la façon dont le périmètre d'application d'un SMS peut être défini, quelle que soit
l'expérience de l'organisme en matière de définition du périmètre d'application d'autres systèmes de
management.
Les recommandations fournies dans le présent document peuvent aider un organisme à planifier et
préparer une évaluation de la conformité à l'ISO/IEC 20000-1.
L'Annexe A contient des exemples de déclarations de périmètre possibles pour un SMS. Les exemples
donnés s'appuient sur une série de scénarios pour les organismes, allant de chaînes d'approvisionnement
des services très simples à des chaînes d'approvisionnement des services plus complexes.
Le présent document peut être utilisé par le personnel responsable de la planification de la mise
en œuvre d'un SMS, de même que par des évaluateurs et des consultants. Il vient compléter les
recommandations pour l'application d'un SMS contenues dans l'ISO/IEC 20000-2.
Les exigences applicables aux organes chargés d'assurer l'audit et la certification d'un SMS peuvent être
trouvées dans l'ISO/IEC 20000-6, qui recommande l'utilisation du présent document.
2 Références normatives
Les documents suivants sont cités dans le texte de sorte qu’ils constituent, pour tout ou partie de leur
contenu, des exigences du présent document. Pour les références datées, seule l’édition citée s’applique.
Pour les références non datées, la dernière édition du document de référence s'applique (y compris les
éventuels amendements).
ISO/IEC 20000-10, Technologies de l'information — Gestion des services — Partie 10: Concepts et
vocabulaire
3 Termes et définitions
Pour les besoins du présent document, les termes et définitions de l'ISO/IEC 20000-10 s'appliquent.
L'ISO et l'IEC tiennent à jour des bases de données terminologiques destinées à être utilisées en
normalisation, consultables aux adresses suivantes:
— ISO Online browsing platform: disponible à l'adresse http: //www .iso .org/obp
— IEC Electropedia: disponible à l'adresse http: //www .electropedia .org/
© ISO/IEC 2019 – Tous droits réservés 1

4 Respect des exigences spécifiées dans l'ISO/IEC 20000-1
4.1 Structure du SMS
La Figure 1 représente un SMS montrant le contenu de l'ISO/IEC 20000-1. Elle ne représente pas une
hiérarchie structurelle, une séquence ou des niveaux d'autorité. Elle montre que les exigences de
l'ISO/IEC 20000-1:2018, Article 8, Fonctionnement du SMS, ont été décomposées en paragraphes pour
refléter le cycle de vie des services. Les paragraphes sont communément appelés les processus de
gestion des services. Les processus de gestion des services et les relations entre ces processus peuvent
être mis en œuvre de différentes façons par les organismes. Les relations entre chaque organisme et
ses clients, utilisateurs et autres parties intéressées influencent la façon dont les processus de gestion
des services sont mis en œuvre.
Figure 1 — Système de management des services
La structure des articles et paragraphes de l'ISO/IEC 20000-1 est destinée à fournir une présentation
cohérente des exigences plutôt qu'un modèle pour la documentation des politiques, des objectifs et
des processus d'un organisme. Les noms des processus peuvent être différents de ceux utilisés dans
l'ISO/IEC 20000-1, pour autant que l'ensemble des exigences soient satisfaites. Les processus peuvent
être combinés ou scindés différemment de la structure indiquée dans l'ISO/IEC 20000-1.
Il n'est pas exigé que les termes utilisés par un organisme soient remplacés par les termes utilisés dans
le présent document. Les organismes peuvent choisir librement les termes correspondant le mieux aux
opérations liées à leur activité. Par exemple, la gestion des changements et la gestion des déploiements
et des mises en production peuvent être combinées en un même processus.
La mise en correspondance des noms de processus de l'organisme avec les exigences de l'ISO/IEC 20000-1
peut aider un auditeur à comprendre les conditions dans lesquelles ces exigences sont satisfaites.
Un SMS tel qu'il est désigné par un organisme qui revendique sa conformité avec l'ISO/IEC 20000-1 ne
peut exclure aucune des exigences spécifiées dans l'ISO/IEC 20000-1.
2 © ISO/IEC 2019 – Tous droits réservés

4.2 Démonstration de la conformité
Un organisme peut revendiquer sa conformité uniquement en satisfaisant à l'ensemble des exigences
spécifiées dans l'ISO/IEC 20000-1. La conformité aux exigences spécifiées dans l'ISO/IEC 20000-1 peut
être démontrée par un organisme qui apporte la preuve:
a) qu'il satisfait lui-même aux exigences;
b) qu'il applique des contrôles pour les autres parties impliquées dans l'exécution d'activités à
l'appui du SMS.
Les exigences des Articles 6 à 10 de l'ISO/IEC 20000-1:2018 peuvent être totalement ou partiellement
satisfaites par d'autres parties à condition que l'organisme puisse démontrer qu'il contrôle ces
dernières. Par exemple, d'autres parties peuvent être utilisées pour effectuer des audits internes.
Il convient que les exigences des Articles 4 et 5 de l'ISO/IEC 20000-1:2018 soient satisfaites par
l'organisme lui-même. Cependant, une autre partie peut agir pour le compte de l'organisme, par exemple
dans la préparation du plan de gestion des services.
Un organisme peut également, par exemple, apporter la preuve des contrôles exercés sur les processus
exploités par d'autres parties ou sur les services externalisés. Il est important que l'organisme
comprenne quelles activités sont destinées à être effectuées par d'autres parties à l'appui du SMS.
4.3 Autorités et responsabilités au sein de la chaîne d'approvisionnement des services
Il est important que l'organisme définisse clairement les autorités et responsabilités pour l'ensemble
des parties impliquées dans la chaîne d'approvisionnement des services.
Il convient que l'organisme conserve le contrôle opérationnel et la responsabilité des services entrant
dans le périmètre du SMS, comme décrit dans le paragraphe 5.1 de l'ISO/IEC 20000-1:2018, mais qu'il
puisse faire appel à d'autres parties afin de satisfaire à ces exigences.
L'organisme est dans l'obligation de démontrer que la direction satisfait aux exigences stipulées dans
l'Article 5 de l'ISO/IEC 20000-1:2018. Il convient que l'organisme démontre que les services contribuent
à atteindre les objectifs de gestion des services.
Il est important que l'organisme veille à ce que les autorités et responsabilités des services et des
composants de services, ainsi que des processus ou parties de processus, fournis ou exploités par
l'ensemble des parties, soient clairement établies. Cela concerne notamment la définition, dans les
contrats ou les accords documentés, des responsabilités associées au respect des exigences de services.
Il convient que l'organisme:
a) identifie et documente tous les services, composants de services, processus ou parties de processus
s'inscrivant dans le périmètre du SMS, y compris ceux qui sont fournis par d'autres parties;
b) identifie quelles parties exploitent quels services, composants de services, processus ou parties de
processus;
c) démontre les contrôles exercés sur les autres parties identifiées en a) et b) (voir
l'ISO/IEC 20000-1:2018, 8.2.3).
5 Applicabilité de l'ISO/IEC 20000-1
5.1 Principes d'applicabilité
5.1.1 Applicabilité
Toutes les exigences de l'ISO/IEC 20000-1 sont génériques et prévues pour s'appliquer à tout organisme,
quels que soient son type ou sa taille, ou la nature des services fournis. L'ISO/IEC 20000-1 est issue des
© ISO/IEC 2019 – Tous droits réservés 3

technologies de l'information et est prévue pour la gestion des services qui utilisent les technologies et
l'information numérique. Les exemples donnés dans le présent document illustrent diverses utilisations
de l'ISO/IEC 20000-1.
Le paragraphe 1.2 de l'ISO/IEC 20000-1:2018 décrit l'application de la norme.
5.1.2 Organisme
Il est nécessaire d'identifier correctement l'organisme s'inscrivant dans le périmètre du SMS.
Un certificat de l'ISO/IEC 20000-1 est normalement délivré à une seule entité juridique, et non à un
groupe de différentes entités juridiques sans lien entre elles. Voir également le paragraphe 6.2.4 du
présent document.
5.1.3 Statut commercial
Les services peuvent être fournis selon des conditions commerciales ou non commerciales. La condition
commerciale ou non de la fourniture du service est sans rapport avec l'applicabilité de l'ISO/IEC 20000-1
ou avec le périmètre du SMS.
Il n'est pas nécessaire que l'organisme soit propriétaire des actifs utilisés pour la fourniture des
services.
5.1.4 Domaine d'application
Il convient de mentionner dans la détermination du périmètre ce qui a été inclus dans le périmètre.
Si nécessaire, pour davantage de clarté, il peut être utile de mentionner également ce qui est exclu du
périmètre.
Il convient que le périmètre du SMS soit visible pour le personnel, les clients et les clients potentiels sur
simple demande. Il est donc nécessaire de le définir sans équivoque en donnant une indication claire
des services et de l'organisme inclus dans le périmètre.
5.1.5 Exigences
Il convient que l'organisme satisfasse à toutes les exigences spécifiées dans l'ISO/IEC 20000-1
pour le périmètre du SMS. Les exigences des Articles 6 à 10 de l'ISO/IEC 20000-1:2018 peuvent être
totalement ou partiellement satisfaites par d'autres parties à condition que l'organisme puisse
démontrer qu'il contrôle ces dernières. Il convient cependant que les exigences des Articles 4 et 5 de
l'ISO/IEC 20000-1:2018 soient satisfaites par l'organisme lui-même, mais il peut être aidé par d'autres
parties.
5.1.6 Autorités et responsabilités
Il convient que l'organisme soit sensibilisé à l'importance de clarifier les autorités et responsabilités
de l'organisme lui-même ainsi que des autres parties impliquées dans le cycle de vie des services. Il
convient que l'organisme conserve la responsabilité pour toutes les exigences de l'ISO/IEC 20000-1, mais
il peut solliciter d'autres parties pour l'assister. Lorsque d'autres parties sont impliquées, il convient
d'exercer des contrôles pour démontrer la performance et l'efficacité de leur implication, conformément
au paragraphe 8.2.3 de l'ISO/IEC 20000-1:2018.
5.2 Parties impliquées dans un SMS
5.2.1 Types de fournisseurs
Les organismes peuvent faire appel à tout type de combinaison de fournisseurs pour soutenir un SMS
conforme à l'ISO/IEC 20000-1.
4 © ISO/IEC 2019 – Tous droits réservés

L'organisme peut satisfaire à la totalité des exigences des Articles 6 à 10 de l'ISO/IEC 20000-1:2018 par
une gestion directe ou en sollicitant d'autres parties. Les autres parties qui fournissent ou exploitent
des services, des composants de services ou des processus peuvent être:
a) les fournisseurs internes;
b) les fournisseurs externes;
c) des clients agissant en tant que fournisseurs.
Un fournisseur interne peut avoir le même organe de gouvernance que l'organisme s'inscrivant dans le
périmètre du SMS, mais être extérieur au périmètre du SMS, par exemple les ressources humaines ou
l'approvisionnement. Il convient qu'un fournisseur interne ait un accord documenté avec l'organisme
inclus dans le périmètre du SMS, spécifiant la contribution du fournisseur interne vis-à-vis du SMS et
des services.
Un fournisseur externe est un organisme ou une partie d'un organisme externe à l'organisme
s'inscrivant dans le périmètre du SMS. Si l'organisme inclus dans le périmètre d'application du SMS fait
partie d'un organisme plus grand, le fournisseur externe est externe à cet organisme plus grand. Un
fournisseur externe peut conclure un contrat avec l'organisme afin de contribuer à la planification, à
la conception, à la transition, à la fourniture et à l'amélioration des services. Puisque l'organisme peut
signer des contrats avec des fournisseurs principaux, mais pas avec des fournisseurs sous-traitants, il
convient que les fournisseurs principaux gèrent leurs fournisseurs sous-traitants qui concernent le SMS.
Un client peut contribuer au fonctionnement du SMS et à la fourniture de services, autant qu'il reçoit des
services. Par exemple, un client peut gérer un centre de services et exploiter une partie du processus
de gestion des incidents. Il convient que la contribution apportée par le client agissant en tant que
fournisseur soit soumise aux conditions d'un accord documenté entre l'organisme et le client. Il convient
que cet accord identifie clairement le rôle du client en sa qualité de fournisseur et qu'il soit distinct de
tout accord passé entre l'organisme et le client concernant la fourniture des services. L'accord relatif à
la fourniture de services peut dépendre de l'accord conclu en qualité de client. Par exemple, un client
peut fournir un centre de services en qualité de fournisseur, mais spécifier dans un accord qu'il cessera
de fournir ce centre de services s'il n'intervient plus également en tant que client.
Lorsque tout client agit en tant que fournisseur, il convient de conclure deux accords avec le client.
Il convient que le premier accord spécifie les services à fournir à un client qui reçoit des services. Il
convient que le deuxième accord spécifie les conditions et les contrôles imposés par l'organisme vis-à-
vis du client agissant en tant que fournisseur.
Un risque associé à un client externe agissant en tant que fournisseur est que le service fourni peut
être conditionné par l'accord du client, par exemple si l'accord du client prend fin, l'accord relatif
à la fourniture des activités du client agissant en qualité de fournisseur peut également prendre fin.
Si les activités fournies affectent d'autres clients ou parties intéressées, cela peut compromettre la
conformité du SMS. Les bonnes pratiques consistent à inclure des accords transitoires dans l'accord
avec le fournisseur si une telle situation se produit.
Il convient que l'organisme applique des contrôles pour tous les processus, services et composants de
services entrant dans le périmètre du SMS, même lorsque d'autres parties sont impliquées. Cet aspect
est décrit au paragraphe 5.3 du présent document. L'organisme ne peut démontrer sa conformité que
s'il est en mesure de démontrer les contrôles mis en place pour l'ensemble des parties.
5.2.2 Améliorations du SMS et des services
L'identification des opportunités d'amélioration peut être réalisée par l'organisme ou par d'autres
parties. Ces opportunités sont évaluées et gérées comme indiqué dans le paragraphe 10.2 de
l'ISO/IEC 20000-1:2018.
EXEMPLE 1 L'organisme demande à une autre partie d'améliorer ses performances afin d'atteindre les
objectifs de service convenus.
© ISO/IEC 2019 – Tous droits réservés 5

EXEMPLE 2 L'autre partie identifie des améliorations de processus qui renforceront l'efficacité. Ces points
sont débattus et convenus avec l'organisme.
5.2.3 Évaluation et choix des autres parties
L'ISO/IEC 20000-1:2018, 8.2.3.1 stipule que l'organisme détermine et applique des critères pour évaluer
et sélectionner les autres parties impliquées dans le cycle de vie des services. L'évaluation et le choix des
autres parties peuvent être associés à certaines capacités et à certains critères génériques. La stabilité
financière, l'expérience passée autour de l'exécution du même type de travail, le coût et la capacité à
engager les travaux dans les délais exigés sont des exemples de critères.
Pour une détermination complète des critères d'évaluation, il est nécessaire d'avoir établi un périmètre
clair pour le SMS et de planifier les services, les composants de services ou les processus destinés à être
affectés à chaque autre partie.
Il peut être nécessaire de coordonner les critères et la sélection des autres parties avec les équipes
d'approvisionnement et les équipes responsables du marché de l'organisme.
5.3 Contrôle des autres parties
5.3.1 Processus, services et composants de services fournis ou exploités par d'autres parties
Lorsque l'organisme sollicite d'autres parties pour exécuter des activités à l'appui du SMS ou de
la fourniture de services entrant dans le périmètre du SMS, il convient que l'organisme définisse et
applique les contrôles et mesures nécessaires pour garantir des résultats appropriés, tels que définis
par la direction.
Il convient que l'organisme identifie les processus ou parties de processus, services et composants de
services exploités ou fournis par d'autres parties. Il convient que l'organisme veille à ce que les contrats
ou accords documentés reflètent les contrôles appliqués pour la gestion de l'ensemble des parties et la
gestion des fournisseurs, conformément au paragraphe 8.3.4 de l'ISO/IEC 20000-1:2018. L'importance
de ces contrôles est spécifiée dans l'ISO/IEC 20000-1:2018, 8.2.3.
5.3.2 Responsabilité
L'organisme a la responsabilité de satisfaire à toutes les exigences spécifiées dans l'ISO/IEC 20000-1
pour l'ensemble des services inclus dans le périmètre du SMS. Il convient que cela comprenne la
responsabilité de mesurer et évaluer à la fois les performances des processus et l'efficacité des services
et composants de services fournis ou exploités par d'autres parties.
À titre d'exemple, une autre partie est responsable de la résolution d'un incident qui affecte le service
du client. L'organisme s'inscrivant dans le périmètre du SMS demeure responsable de la résolution de
l'incident vis-à-vis du client. Le SMS comprend l'application de contrôles sur l'autre partie.
Il convient que l'organisme veille à ce que les contrats et accords conclus avec d'autres parties produisent
les processus et les informations d'entrée et de sortie, et les informations nécessaires à l'appui du SMS.
Il convient également que l'organisme soit capable de démontrer que la direction est engagée à mettre
en œuvre, maintenir et exploiter le SMS. Il convient que cela inclue les contrôles pour les autres parties
impliquées dans le cycle de vie des services.
5.3.3 Intégration, interfaces et coordination
Il convient que l'organisme garantisse la clarté quant au périmètre des services entre:
a) l'organisme et ses clients;
b) l'organisme et sa chaîne d'approvisionnement des services.
6 © ISO/IEC 2019 – Tous droits réservés

Il convient que cela comprenne les autorités et responsabilités ainsi que les méthodes d'engagement
entre l'organisme et toutes les parties concernées.
Il convient que l'organisme intègre de manière appropriée les services, composants de services
et processus fournis ou exploités par l'organisme lui-même et par d'autres parties. Par exemple,
lorsque des processus comportent des interfaces entre l'organisme et d'autres parties, il convient que
l'organisme démontre l'intégration de sorte que tous les services fonctionnent de manière à atteindre
les résultats recherchés. De la même manière, lorsque des services supposent de soutenir des services
ou des composants de services d'autres parties, il convient que la responsabilité de l'intégration des
services soit confiée à l'organisme afin de s'assurer que toutes les parties des services satisfont aux
exigences de services.
«L'intégration des services» est parfois connue sous le nom d'intégration et gestion des services. Elle
favorise une gestion des services de bout en bout, en particulier dans les chaînes d'approvisionnement
des services complexes. Le terme «intégrateur de services» est utilisé pour l'organisme ou la partie
d'un organisme qui assume le rôle clé de gérer l'intégration et la coordination de services, composants
de services ou processus fournis par plusieurs fournisseurs. Le rôle d'intégrateur de services peut être
exercé par l'organisme ou par l'un de ses fournisseurs. Une structure d'intégration de services fournit
la gouvernance, la gestion, l'intégration, l'assurance et la coordination nécessaires pour s'assurer que
l'organisme client obtienne de ses fournisseurs une valeur optimale.
Il convient que l'organisme démontre clairement la manière dont il mesure et évalue ces interactions
avec les autres parties (et les résultats obtenus). Cela peut inclure les interactions entre différents
processus ainsi qu'entre les parties du processus fourni par d'autres parties soutenant le SMS de
l'organisme. Il convient que la définition des interactions tienne compte des déclencheurs de processus,
de la méthode d'interaction, des informations échangées et des niveaux de service associés (tels que le
temps de réponse).
Par exemple, dans le cas du processus de gestion des incidents, les bonnes pratiques peuvent inclure:
— le mode de transfert des informations relatives à l'incident entre l'organisme et une autre partie;
— ce qu'il convient d'inclure dans l'enregistrement d'un incident;
— quelle partie est responsable de l'incident à chaque phase du cycle de vie, y compris la fréquence et
les critères de mise à jour des informations par chaque partie.
5.3.4 Définition des contrôles pour la mesure et l'évaluation des autres parties
Le paragraphe 8.2.3.2 de l'ISO/IEC 20000-1:2018 stipule que l'organisme applique des contrôles pour
les processus, les services et les composants de services fournis ou exploités par d'autres parties. Ces
contrôles concernent les performances des processus et l'efficacité des services ou des composants de
services.
Il convient également que l'organisme fasse appliquer les critères de performance convenus par les
autres parties en mesurant et en évaluant les résultats produits par ces parties.
EXEMPLE 1 Définition des critères pour les performances de services, tels que la mesure de la satisfaction du
client ou l'atteinte des résultats recherchés pour les services, comme stipulé dans le catalogue de services.
EXEMPLE 2 Évaluer les performances du processus de gestion des incidents en mesurant et en évaluant le
respect des niveaux de service convenus.
5.3.5 Gestion de la chaîne d'approvisionnement des services
Lorsqu'un fournisseur interne ou externe est impliqué dans le cycle de vie des services, il convient
que l'organisme gère le fournisseur par le biais du processus de gestion des fournisseurs (voir
l'ISO/IEC 20000-1:2018, 8.3.4). Le processus de gestion des fournisseurs s'applique également aux
clients de l'organisme lorsqu'ils agissent en qualité de fournisseurs, même s'ils sont considérés comme
des clients s'ils sont eux-mêmes consommateurs des services.
© ISO/IEC 2019 – Tous droits réservés 7

Il convient que l'organisme inclue les exigences en matière de sécurité de l'information pour les
fournisseurs dans les contrats ou les accords documentés. Des contrôles peuvent également être
instaurés pour les clients ou d'autres parties avant qu'ils n'aient accès aux informations de l'organisme
ou aux services ou ne puissent les utiliser ou les gérer. Voir l'ISO/IEC 20000-1:2018, 8.7.3.2. Il convient
que cette condition soit remplie avant de les autoriser à accéder aux informations de l'organisme ou
aux services, à les utiliser ou à les gérer. Si les contrôles ne sont pas exécutés, il convient d'exclure de la
détermination du périmètre toute contribution des autres parties.
Voir le paragraphe 6.7 pour plus d'informations.
6 Principes généraux pour la détermination du périmètre d'un SMS
6.1 Introduction
Le paragraphe 4.3 de l'ISO/IEC 20000-1:2018 fournit les exigences applicables à la détermination du
périmètre du SMS.
Il convient que la direction veille à ce que le périmètre du SMS soit clairement défini et convenu. Il peut
être nécessaire d'impliquer dans cette décision tout organe de gouvernance compétent. Il convient que
la direction garantisse que le périmètre soit revu afin d'en maintenir constamment la validité lorsque
l'organisme et les services subissent des modifications. Il convient également d'examiner le périmètre à
intervalles réguliers pour vérifier qu'il est cohérent avec les besoins métier.
NOTE L'organe de gouvernance est défini dans l'ISO/IEC 20000-10 comme un «groupe ou organe qui détient
la responsabilité et l'autorité ultimes des activités, de la gouvernance et des politiques d'un organisme, à qui
la direction rend compte de ses décisions et par lequel celle-ci est tenue responsable». Tous les organismes,
particulièrement les petits organismes, ne disposeront pas d'un organe de gouvernance distinct de la direction.
Un périmètre clairement défini est important pour un organisme qui cherche à démontrer sa conformité
à l'ISO/IEC 20000-1. Il définit les frontières à l'intérieur desquelles la conformité peut être évaluée.
Dans le périmètre d'application du SMS, l'organisme peut faire partie d'un organisme plus grand,
comme ce peut être le cas, par exemple, d'un département au sein d'une grande société.
Il convient que la détermination du périmètre du SMS soit visible pour le personnel, les clients et
les clients potentiels sur simple demande. Il est donc nécessaire que cette détermination soit sans
équivoque et donne une indication claire des services et de l'organisme inclus dans le périmètre.
Voir l'Annexe A du présent document pour des exemples de détermination du périmètre.
6.2 Le périmètre du SMS
6.2.1 Détermination du périmètre
Il convient de mentionner dans la détermination du périmètre ce qui a été inclus dans le périmètre
du SMS. Le périmètre définit l'organisme ou une partie de l'organisme et les services inclus dans le
périmètre du SMS.
Il convient que la détermination du périmètre du SMS:
a) soit aussi simple et concise que possible;
b) soit compréhensible sans nécessiter des connaissances approfondies de l'organisme;
c) comprenne suffisamment d'informations dans l'optique d'une évaluation de la conformité;
d) soit formulée de sorte que toutes les exclusions soient claires;
e) ne fasse référence à aucun document se trouvant hors du périmètre du SMS.
8 © ISO/IEC 2019 – Tous droits réservés

Les déclarations relatives aux exclusions ne sont pas comprises dans la détermination du périmètre,
mais elles peuvent contribuer à clarifier la détermination du périmètre. Lorsque la détermination du
périmètre comporte des exclusions, il convient de les répertorier dans la détermination du périmètre
ou au moyen d'une déclaration d'exclusion associée. Il convient de prendre des précautions lorsque le
périmètre est défini à partir de déclarations d'exclusion.
EXEMPLE 1 Si de nouveaux services sont mis en œuvre et ne figurent pas explicitement dans l'exclusion du
périmètre, ils seront supposés inclus dans le périmètre du SMS.
EXEMPLE 2 Si le périmètre est limité à tous les emplacements sauf , lorsqu'un
nouvel emplacement est ajouté, il est supposé inclus dans le périmètre, ce qui peut affecter la capacité de
démonstration de la conformité.
Il est possible de modifier la détermination du périmètre selon d'autres paramètres tels que les clients
ou les localisations qui sont ajoutés ou supprimés. Il convient de définir le périmètre de manière à
prendre en compte l'intégralité du contexte de l'organisme (voir Scénario 8 de A.5.3 par exemple). Il
convient que le périmètre soit aussi simple que possible afin d'éviter des révisions fréquentes en cas de
changements mineurs de services ou de clients.
6.2.2 Détermination du périmètre et évaluation
Il convient de convenir de la déclaration du périmètre du SMS lors de la planification de la démonstration
de conformité à l'ISO/IEC 20000-1. Cela peut éviter de fausses attentes vis-à-vis du SMS au sein de
l'organisme.
Il convient que l'organisme confirme le périmètre du SMS avec l'évaluateur tiers avant toute évaluation
externe par rapport aux exigences spécifiées dans l'ISO/IEC 20000-1.
Au cours de toute évaluation, il convient de ne prendre en compte que les preuves pertinentes du point
de vue du périmètre du SMS.
6.2.3 Limites du périmètre
Lorsque le périmètre du SMS couvre tous les services pour l'organisme dans son ensemble, il peut être
simple de définir le périmètre d'un SMS. Par exemple, «Le SMS de qui fournit services>».
Si l'organisme n'inclut qu'une partie de ses services dans le périmètre du SMS, il convient de définir le
périmètre de manière à éviter toute ambiguïté. Le périmètre peut être limité aux services fournis à un
seul client, aux services fournis depuis un site donné ou uniquement à un type de service.
Un organisme peut avoir des clients internes et externes, et fournir de nombreux services et types de
services. Par conséquent, le périmètre du SMS peut inclure les services proposés à plusieurs clients
internes et externes. Lorsque ce cas se présente, il convient que les processus entrant dans le périmètre
du SMS soient cohérents entre les différents clients, bien que les procédures employées pour chaque
client ou pour des types de services différents puissent varier dans le détail.
6.2.4 Aspects commerciaux
Un certificat de l'ISO/IEC 20000-1 est normalement délivré à une seule entité juridique, et non à un
groupe de différentes entités juridiques sans lien entre elles.
NOTE Se référer à un organisme de certification pour plus de détails.
Un certificat délivré pour une seule entité juridique peut couvrir les filiales d'une entité principale
inscrite dans le périmètre, comme un organisme utilisant plusieurs appellations commerciales. Des
entités liées utilisent souvent des processus communs. Pour que des
...