ISO/IEC 20000-3:2012
(Main)Information technology - Service management - Part 3: Guidance on scope definition and applicability of ISO/IEC 20000-1
Information technology - Service management - Part 3: Guidance on scope definition and applicability of ISO/IEC 20000-1
ISO/IEC 20000-3:2012 is useful for service providers, consultants and assessors. It includes practical guidance on scope definition, applicability and demonstration of conformity to the requirements in ISO/IEC 20000-1. Guidance on the different types of conformity assessment and assessment standards is included. Although the requirements in ISO/IEC 20000-1 do not change with organizational structure, technology or service, operating the processes in a particular service environment will result in specific skill, tool and information requirements. Service management processes can cross many organizational, legal and national boundaries as well as different time zones. Service providers can provide a range of services to several different types of customers, both internal and external. Service providers can also depend on a complex supply chain for the delivery of services. This dependency can make the agreement and application of scope a complex stage in the service provider's use of ISO/IEC 20000-1. ISO/IEC 20000-3:2012 will assist in establishing if ISO/IEC 20000-1 is applicable to a service provider's circumstances. It illustrates how the scope of an SMS can be defined, irrespective of whether the reader has experience of defining the scope of other management systems. The guidance takes the form of practical examples, typical scenarios and recommendations. ISO/IEC 20000-3:2012 also assists in planning service improvements and in preparation for a conformity assessment against ISO/IEC 20000-1. It supplements the guidance on the application of ISO/IEC 20000-1 given in ISO/IEC 20000-2.
Technologies de l'information — Gestion des services — Partie 3: Recommandations pour la détermination du périmetre et l'applicabilité de l'ISO/CEI 20000-1
L'ISO/CEI 20000-3:2012 fournit des recommandations pour la détermination du périmètre, l'applicabilité et la démonstration de la conformité aux exigences spécifiées dans l'ISO/CEI 20000‑1. Les conseils délivrés dans l'ISO/CEI 20000-3:2012 aideront le fournisseur de services à planifier les améliorations sur ses services et/ou à préparer une évaluation de la conformité à l'ISO/CEI 20000‑1. L'ISO/CEI 20000-3:2012 aidera également le fournisseur de services à déterminer si l'ISO/CEI 20000‑1 est applicable à ce dernier. Elle illustre la façon de définir le périmètre d'un SMS, quel que soit le niveau d'expérience du fournisseur de services dans la définition du périmètre pour d'autres systèmes de management. Des recommandations sur les différents types d'évaluation de la conformité et les différentes normes d'évaluation sont incluses. Les scénarios et exemples présentés couvrent un ensemble de circonstances pratiques communément rencontrées par les fournisseurs de services. L'ISO/CEI 20000-3:2012 sera utile pour les consultants et les évaluateurs. Elle vient compléter les recommandations pour l'application de l'ISO/CEI 20000‑1 contenues dans l'ISO/CEI 20000‑2.
General Information
Relations
Frequently Asked Questions
ISO/IEC 20000-3:2012 is a standard published by the International Organization for Standardization (ISO). Its full title is "Information technology - Service management - Part 3: Guidance on scope definition and applicability of ISO/IEC 20000-1". This standard covers: ISO/IEC 20000-3:2012 is useful for service providers, consultants and assessors. It includes practical guidance on scope definition, applicability and demonstration of conformity to the requirements in ISO/IEC 20000-1. Guidance on the different types of conformity assessment and assessment standards is included. Although the requirements in ISO/IEC 20000-1 do not change with organizational structure, technology or service, operating the processes in a particular service environment will result in specific skill, tool and information requirements. Service management processes can cross many organizational, legal and national boundaries as well as different time zones. Service providers can provide a range of services to several different types of customers, both internal and external. Service providers can also depend on a complex supply chain for the delivery of services. This dependency can make the agreement and application of scope a complex stage in the service provider's use of ISO/IEC 20000-1. ISO/IEC 20000-3:2012 will assist in establishing if ISO/IEC 20000-1 is applicable to a service provider's circumstances. It illustrates how the scope of an SMS can be defined, irrespective of whether the reader has experience of defining the scope of other management systems. The guidance takes the form of practical examples, typical scenarios and recommendations. ISO/IEC 20000-3:2012 also assists in planning service improvements and in preparation for a conformity assessment against ISO/IEC 20000-1. It supplements the guidance on the application of ISO/IEC 20000-1 given in ISO/IEC 20000-2.
ISO/IEC 20000-3:2012 is useful for service providers, consultants and assessors. It includes practical guidance on scope definition, applicability and demonstration of conformity to the requirements in ISO/IEC 20000-1. Guidance on the different types of conformity assessment and assessment standards is included. Although the requirements in ISO/IEC 20000-1 do not change with organizational structure, technology or service, operating the processes in a particular service environment will result in specific skill, tool and information requirements. Service management processes can cross many organizational, legal and national boundaries as well as different time zones. Service providers can provide a range of services to several different types of customers, both internal and external. Service providers can also depend on a complex supply chain for the delivery of services. This dependency can make the agreement and application of scope a complex stage in the service provider's use of ISO/IEC 20000-1. ISO/IEC 20000-3:2012 will assist in establishing if ISO/IEC 20000-1 is applicable to a service provider's circumstances. It illustrates how the scope of an SMS can be defined, irrespective of whether the reader has experience of defining the scope of other management systems. The guidance takes the form of practical examples, typical scenarios and recommendations. ISO/IEC 20000-3:2012 also assists in planning service improvements and in preparation for a conformity assessment against ISO/IEC 20000-1. It supplements the guidance on the application of ISO/IEC 20000-1 given in ISO/IEC 20000-2.
ISO/IEC 20000-3:2012 is classified under the following ICS (International Classification for Standards) categories: 03.080.99 - Other services; 35.020 - Information technology (IT) in general. The ICS classification helps identify the subject area and facilitates finding related standards.
ISO/IEC 20000-3:2012 has the following relationships with other standards: It is inter standard links to ISO/IEC 20000-3:2019, ISO/IEC TR 20000-3:2009. Understanding these relationships helps ensure you are using the most current and applicable version of the standard.
You can purchase ISO/IEC 20000-3:2012 directly from iTeh Standards. The document is available in PDF format and is delivered instantly after payment. Add the standard to your cart and complete the secure checkout process. iTeh Standards is an authorized distributor of ISO standards.
Standards Content (Sample)
INTERNATIONAL ISO/IEC
STANDARD 20000-3
First edition
2012-08-15
Information technology — Service
management —
Part 3:
Guidance on scope definition and
applicability of ISO/IEC 20000-1
Technologies de l'information — Gestion des services —
Partie 3: Recommandations pour la détermination du périmetre et
l'applicabilité de l'ISO/CEI 20000-1
Reference number
©
ISO/IEC 2012
© ISO/IEC 2012
All rights reserved. Unless otherwise specified, no part of this publication may be reproduced or utilized in any form or by any means,
electronic or mechanical, including photocopying and microfilm, without permission in writing from either ISO at the address below or
ISO's member body in the country of the requester.
ISO copyright office
Case postale 56 CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Published in Switzerland
ii © ISO/IEC 2012 – All rights reserved
Contents Page
Foreword . iv
Introduction . v
1 Scope . 1
2 Normative references . 1
3 Terms and definitions . 1
4 Fulfilling the requirements specified in ISO/IEC 20000-1 . 2
5 Applicability of ISO/IEC 20000-1 . 2
5.1 Who can use ISO/IEC 20000-1? . 2
5.2 Governance of processes operated by other parties . 3
5.3 The extent of technology used to deliver services . 4
6 General principles for the scope of an SMS . 4
6.1 Introduction . 4
6.2 The scope of the SMS . 5
6.3 Agreements between customers and the service provider . 5
6.4 Scope definition parameters . 6
6.5 Validity of scope definition . 6
6.6 Changing the scope . 7
6.7 Supply chains and SMS scope . 7
6.8 Integrating or aligning with other management systems . 8
Annex A (informative) Main points on scope of the SMS, applicability and conformity to
ISO/IEC 20000-1 . 9
Annex B (informative) Scenario based scope definitions . 11
Annex C (informative) Types of conformity assessments . 25
Bibliography . 26
Figures
Figure B.1 — Scenarios 1 and 2: Relationship with suppliers . 12
Figure B.2 — Scenario 3: Relationship with lead suppliers and sub-contracted suppliers . 12
Figure B.3 — Scenario 4: Scope definition . 13
Figure B.4 — Scenario 5: Scope definition . 14
Figure B.5 — Scenario 6: Scope definition . 15
Figure B.6 — Scenario 7: Scope definition . 17
Figure B.7 — Scenario 8: Scope definition . 18
Figure B.8 —Scenario 8: Redrawn to show Supplier 4, part of Organization V . 19
Figure B.9 — Scenario 9: Scope definition 9 . 20
Figure B.10 — Scenario 10: Scope definition . 21
Figure B.11 — Scenario 11: Scope definition . 22
© ISO/IEC 2012 – All rights reserved iii
Foreword
ISO (the International Organization for Standardization) and IEC (the International Electrotechnical
Commission) form the specialized system for worldwide standardization. National bodies that are members of
ISO or IEC participate in the development of International Standards through technical committees
established by the respective organization to deal with particular fields of technical activity. ISO and IEC
technical committees collaborate in fields of mutual interest. Other international organizations, governmental
and non-governmental, in liaison with ISO and IEC, also take part in the work. In the field of information
technology, ISO and IEC have established a joint technical committee, ISO/IEC JTC 1.
International Standards are drafted in accordance with the rules given in the ISO/IEC Directives, Part 2.
The main task of the joint technical committee is to prepare International Standards. Draft International
Standards adopted by the joint technical committee are circulated to national bodies for voting. Publication as
an International Standard requires approval by at least 75 % of the national bodies casting a vote.
Attention is drawn to the possibility that some of the elements of this document may be the subject of patent
rights. ISO and IEC shall not be held responsible for identifying any or all such patent rights.
Subcommittee SC 7, Software and systems engineering.
This first edition of ISO/IEC 20000-3 cancels and replaces the first edition of ISO/IEC TR 20000-3:2009, which
has been technically revised to align with ISO/IEC 20000-1:2011.
ISO/IEC 20000 consists of the following parts, under the general title Information technology — Service
management:
Part 1: Service management system requirements
Part 2: Guidance on the application of service management systems
Part 3: Guidance on scope definition and applicability of ISO/IEC 20000-1
Part 4: Process reference model [Technical Report]
Part 5: Exemplar implementation plan for ISO/IEC 20000-1 [Technical Report]
Part 7: Guidance on the application of ISO/IEC 20000-1 to the cloud
Part 10:Concepts and terminology [Technical Report] ®
Part 11: Guidance on the relationship between ISO/IEC 20000-1:2012 and related frameworks: ITIL
[Technical Report]
Under review as a second edition Technical Report.
Under development. ®
ITIL is a Registered Trade Mark of the Cabinet Office.
iv © ISO/IEC 2012 – All rights reserved
Introduction
ISO/IEC 20000-1 specifies requirements for a service management system (SMS). Operating the processes
in a particular system or service environment will result in specific skill, tool and information requirements,
even though the process attributes are unchanged. There are no requirements in ISO/IEC 20000-1 that relate
to organizational structure, size and type of organization. The requirements in ISO/IEC 20000-1 do not change
with organizational structure, technology or service.
Service management processes can cross many organizational, legal and national boundaries as well as
different time zones. Service providers can rely on a complex supply chain for the delivery of services. Service
providers can also provide a range of services to several different types of customers, both internal and
external. A complex supply chain can make the agreement and application of scope a complex stage in the
service provider’s use of ISO/IEC 20000-1.
This part of ISO/IEC 20000 takes the form of examples, guidance and recommendations. It should not be
quoted as if it were a specification of requirements. Particular care should be taken to ensure that declarations
of conformity are not misleading.
© ISO/IEC 2012 – All rights reserved v
INTERNATIONAL STANDARD ISO/IEC 20000-3:2012(E)
Information technology — Service management —
Part 3:
Guidance on scope definition and applicability of
ISO/IEC 20000-1
1 Scope
This part of ISO/IEC 20000 includes guidance on scope definition, applicability and demonstration of
conformity to the requirements specified in ISO/IEC 20000-1.
The guidance in this part of ISO/IEC 20000 will assist the service provider to plan service improvements
and/or prepare for a conformity assessment against ISO/IEC 20000-1.
This part of ISO/IEC 20000 will assist in establishing if ISO/IEC 20000-1 is applicable to a service provider's
circumstances. It illustrates how the scope of an SMS can be defined, irrespective of whether the service
provider has experience of defining the scope of other management systems.
Guidance on types of conformity assessment and assessment standards is included.
The scenarios and examples given use a series of commonly found and practical service provider
circumstances.
This part of ISO/IEC 20000 will be useful for consultants and assessors. It supplements the guidance on the
application of ISO/IEC 20000-1 given in ISO/IEC 20000-2.
2 Normative references
The following documents, in whole or in part, are normatively referenced in this document and are
indispensable for its application. For dated references, only the edition cited applies. For undated references,
the latest edition of the referenced document (including any amendments) applies.
ISO/IEC 20000-1:2011, Information technology — Service management — Part 1: Service management
system requirements
3 Terms and definitions
For the purposes of this document, the terms and definitions given in ISO/IEC 20000-1 apply.
© ISO/IEC 2012 – All rights reserved 1
4 Fulfilling the requirements specified in ISO/IEC 20000-1
The service provider should take into account that demonstrating conformity is only possible by fulfilling all
requirements in ISO/IEC 20000-1. To do this the service provider should demonstrate that:
a) all processes in ISO/IEC 20000-1 are documented;
b) all processes produce the desired outcomes;
c) the outcomes of service management are appropriate to support business needs and customer
requirements;
d) the SMS is managed to fulfil service requirements;
e) the "Plan-Do-Check-Act" (PDCA) methodology is used for the continual improvement of the SMS and
services;
f) the service provider has governance of processes operated by other parties.
5 Applicability of ISO/IEC 20000-1
5.1 Who can use ISO/IEC 20000-1?
ISO/IEC 20000-1:2011, Clause 1.2 describes the application of the standard.
A broad range of service providers can use an SMS based on ISO/IEC 20000-1. ISO/IEC 20000-1 can apply
to internal and external, large and small, commercial and non-commercial service providers. The applicability
of ISO/IEC 20000-1 is independent of how the service is funded.
None of the requirements in ISO/IEC 20000-1:2011, Clauses 4 to 9 can be excluded from an assessment
when a service provider claims conformity to ISO/IEC 20000-1:2011.
The service provider should have overall control of the SMS by fulfilling all the requirements of
ISO/IEC 20000-1, Clause 4. The service provider can use other parties to support part of its fulfilment of
Clause 4 requirements. For example, using a consultancy organization to support the development of the
service management plan or to conduct internal audits.
The service provider can fulfil all requirements in ISO/IEC 20000-1:2011, Clauses 5 to 9 directly or by
involving other parties. Other parties can be:
a) suppliers;
b) internal groups;
c) customers (when acting as suppliers).
In ISO/IEC 20000-1:2011, Definition 3.35, a supplier is an organization or part of an organization that is
external to the service provider's organization. A supplier can enter into a contract with the service provider to
contribute to the design, transition, implementation, delivery, maintenance, improvement and management of
services or processes. In ISO/IEC 20000, suppliers include lead suppliers but not sub-contracted suppliers.
Lead suppliers should manage sub-contracted suppliers on behalf of the service provider, under a formal
arrangement.
An internal group is part of the same organization as the service provider, but not under the direct control of
the service provider. An internal group should have a documented agreement with the service provider,
specifying the internal group's contribution to the services delivered by the service provider.
A customer, when acting as a supplier, is part of an organization that receives a service but also contributes to
the operation of the service provider's SMS. For example, a customer can manage a service desk and
2 © ISO/IEC 2012 – All rights reserved
operate part of the incident and service request management process. The contribution made by the customer
should be under the terms of a documented agreement between the service provider and customer (when
acting as a supplier).
Whenever other parties are involved, the service provider should have governance of all processes within the
scope of the SMS. This is described in Clause 5.2 of this part of ISO/IEC 20000, for processes operated by
other parties. If other parties operate only a minority of the processes, the service provider can normally fulfil
the requirements in ISO/IEC 20000-1. If the service provider relies on other parties for operation of the
majority of the processes, the service provider can have difficulty in fulfilling all the requirements in
ISO/IEC 20000-1.
A service provider that does not fulfil all requirements of ISO/IEC 20000-1:2011, based on service delivery to
external customers, can aim to fulfil those requirements based on service delivery to its own organization.
It can be that ISO/IEC 20000-1 is not appropriate for a service provider and that another standard is more
suitable. For example, ISO 9001, or a standard covering only some aspects of service management.
5.2 Governance of processes operated by other parties
5.2.1 Processes operated by other parties
The service provider should identify processes or parts of processes operated by other parties. The service
provider should then ensure that contracts or documented agreements include its governance of the
processes in the scope of the SMS that are operated by other parties. For example, the service provider is
able to verify that the other party is adhering to agreed processes.
5.2.2 Accountability and adherence
The service provider should demonstrate that it is both accountable and responsible for fulfilling the
requirements of ISO/IEC 20000-1:2011, Clause 4.2, for all processes. This should include the processes
operated by other parties. The service provider should have the authority to enforce adherence to the agreed
processes operated by other parties.
The service provider should also be able to demonstrate that top management are committed to the SMS.
EXAMPLE 1 If another party is responsible for resolution of an incident that impacts the customer's service, the
service provider is still accountable to the customer for resolution of the incident.
EXAMPLE 2 Requiring the other party to use a process established by the service provider and requiring regular audit
by the service provider, of the use of the process.
5.2.3 Process definitions and interfaces
The service provider should control the definition of the processes operated by other parties and interfaces to
other processes in the SMS. Evidence of this includes the following:
EXAMPLE 1 The service provider can demonstrate that it can request other parties to use specific processes. For
example, the same change management process is operated by the service provider and its suppliers, under the terms of
the contract between the service provider and each supplier.
EXAMPLE 2 The service provider controls the processes operated by internal groups under the terms of a
documented agreement.
EXAMPLE 3 The service provider can demonstrate that it worked with other parties to document and approve the
service reporting processes that other parties operate.
EXAMPLE 4 Documenting, agreeing and operating the interfaces and dependencies of the change management
process, operated by the supplier, with the configuration management process, operated by the service provider.
© ISO/IEC 2012 – All rights reserved 3
5.2.4 Process performance
Under the requirements in ISO/IEC 20000-1:2011, Clause 4.2, the service provider should control the criteria
for process performance. The service provider should also enforce adherence to its process requirements by
other parties.
EXAMPLE 1 Setting criteria for process performance, such as availability targets or service request turnaround time.
EXAMPLE 2 Accessing a set of incident records and incident and service request management process performance
measurements for another party, to ensure the other party is adhering to the agreed process.
5.2.5 Process improvements
The service provider should control the planning of process improvements and the priority given to the
improvements being made. Opportunities for improvement can be identified by the service provider or by other
parties.
EXAMPLE 1 Assessing proposed improvements to incident management operated by an internal group and
controlling how the improvements will be made. This includes the coordination of the incident management improvements
to be made by the internal group with other changes to the service provider's SMS.
EXAMPLE 2 The service provider assesses a set of improvements in the capacity management process operated by
another party. The service provider also controls the priority to be given to the allocation of resources needed to meet
expected levels of performance. The service provider is also able to demonstrate that the changes are approved and
implemented to support the fulfilment of service requirements.
5.2.6 Management of other parties
Where a supplier is operating a process or part of a process, the service provider should manage the supplier
through the supplier management process.
Where internal groups or customers (when acting as suppliers) operate processes or parts of processes, the
service provider should manage them through the service level management process.
5.3 The extent of technology used to deliver services
The service provider should be aware that for ISO/IEC 20000-1:
a) applicability is unaffected by the technology used for the delivery of services or the automation of
processes in the SMS;
b) technology used cannot change the requirements in ISO/IEC 20000-1;
c) technology used can have an impact on the tool and data requirements as well as the personnel skills
needed to support the process activities.
6 General principles for the scope of an SMS
6.1 Introduction
ISO/IEC 20000-1:2011, Clause 4.5.1 provides requirements for defining the scope of the SMS.
The service provider should define the scope of the SMS before establishing the SMS.
Top management of the service provider should ensure that the service management plan is created and
includes the scope of the SMS. The SMS and scope definition should be maintained. Top management
should be responsible for reviewing the scope of the SMS to enable continuing effectiveness and validity.
4 © ISO/IEC 2012 – All rights reserved
6.2 The scope of the SMS
6.2.1 Defining the scope
The scope definition should:
a) be as simple as possible;
b) be understandable without detailed knowledge of the service provider’s organization;
c) include enough information for use in conformity assessment;
d) be worded so that any exclusions are clear;
e) be stand-alone and not refer out to other sources.
See Annex B of this part of ISO/IEC 20000 for examples of scope definitions.
6.2.2 Scope definition and assessment
The service provider can discuss the scope of the SMS with its assessor. Reassurance that the proposed
scope is valid, before establishing the SMS, can avoid setting false expectations. An assessor can discuss the
scope of the assessment / audit as part of the audit planning, but should not provide consultancy on the SMS.
The service provider should be able to demonstrate that the scope is valid at the beginning of an assessment
because it is used in the assessor’s planning.
The service provider should be aware that only the evidence based on the scope of the SMS is considered
during an assessment. Activities or services outside the scope of the SMS need not fulfil the requirements
specified in ISO/IEC 20000-1. Exclusions do not have to be referred to in the scope definition but can help to
make the scope definition unambiguous.
6.2.3 Limits to the scope
Where the service provider includes an entire organization or business area in the SMS, defining the scope of
an SMS can be relatively simple. This is because the scope can be defined as all the services delivered by the
service provider.
If the service provider includes only some of its activities in the SMS it can be harder to define the scope in
simple terms or to avoid ambiguity. A demonstration of conformity can be the fulfilment of all requirements in
ISO/IEC 20000-1 for a scope based on a simple service delivered to one customer. This can be a small
proportion of the service provider’s total activities or services.
A service provider can have many customers and deliver many services. Consequently, the scope of the SMS
can include services for several customers. When this is the case, the processes should be consistent but the
procedures used to deliver services for each customer can vary in detail. If a customer is identified in the
scope definition, the organization should fulfil all requirements of ISO/IEC 20000-1 for that customer.
6.3 Agreements between customers and the service provider
The service provider cannot use the terms of a contract or documented agreement with a customer to reduce
its obligations to fulfil all the requirements of ISO/IEC 20000-1. This is the case even if the terms of a contract
or documented agreement limits the services and processes. Also, the terms of a contract or documented
agreement cannot reduce an assessor’s obligations to obtain evidence of conformity to the requirements of
ISO/IEC 20000-1.
© ISO/IEC 2012 – All rights reserved 5
6.4 Scope definition parameters
6.4.1 Parameters required by ISO/IEC 20000-1
The service provider should use parameters to define the scope of the SMS to ensure that there is no
ambiguity about what is included and excluded.
The parameters should include at least:
a) organizational units providing services, e.g. a single department, group of departments or all
departments;
b) services delivered, e.g. a single service, group of services or all services, financial services, retail
services, email services.
EXAMPLE The scope definition can be:
The SMS of that delivers .
In an actual scope definition the should not be simply "The
service provider". This is because many organizations include a service provider and some organizations
include more than one.
6.4.2 Other parameters
The service provider should consider other parameters where additional information can avoid ambiguity in
the scope definition. Use of other parameters is shown in the examples and in Annex B of this part of
ISO/IEC 20000.
EXAMPLE The scope definition can be:
The SMS of that delivers from
location> to at .
The parameters can be used in whatever order the service provider considers suitable. Other parameters can
be used.
The scope definition for an SMS can encompass several customers, without explicitly listing individual
customers. For example, by referring to all services from the data centre at a named location or referring to all
data storage services.
The service provider should not include the names of other parties or external organizations, even if they
contribute to the SMS and services.
6.4.3 Sampling for assessment
If the scope includes many customers, services or locations the assessor can assess a sample, using his/her
professional judgement for selection of the sample. The scope definition should include all customers,
services and locations within the scope of the SMS, not just those sampled.
6.5 Validity of scope definition
The service provider should ensure that the scope of the SMS remains valid after it has been documented.
The service provider should do this by conducting reviews at planned intervals to identify discrepancies. If the
actual scope does not match the defined scope, then the scope definition should be amended. If the
difference is considered significant, a re-assessment can be required.
The service provider should be aware that a substantial change to the services can require a substantial
change to the SMS. The service provider should ensure that an internal audit assesses whether this change
means the SMS no longer fulfils the requirements of ISO/IEC 20000-1. If an SMS is certified to
6 © ISO/IEC 2012 – All rights reserved
ISO/IEC 20000-1, a substantial change to the SMS should be notified to the certification body that awarded
the certificate, because re-assessment can be required.
A major change to the scope of the SMS can mean that the service provider cannot demonstrate conformity to
the requirements in ISO/IEC 20000-1. The scope of the SMS can also decrease when services are removed.
The definition of the scope can also change based on other parameters such as customers or locations being
added or removed.
Some scope definitions refer to a service catalogue. This is not good practice if the service catalogue is
changed and the scope definition is no longer accurate. However, using the service catalogue in the scope
definition can be useful if the scope is complex. If a service catalogue is used there should be evidence that
the services included are justified on the basis of the SMS fulfilling the requirements of ISO/IEC 20000-1.
An example scope definition using a service catalogue is given below.
EXAMPLE The scope definition can be:
The SMS of that delivers all services in to
organizational name and/or name of organizational unit> from .
NOTE The assessors role in verifying evidence, such as a scope definition, is described in ISO/IEC 17021:2011,
Conformity assessment — Requirements for bodies providing audit and certification of management systems.
6.6 Changing the scope
The service provider can decide to demonstrate conformity for only some of its activities, dependent upon its
business need. For example, the service provider can start with an SMS that includes only some services and
then later increase the services in the scope of the SMS. The service provider should then revise both the
SMS and the scope definition to include the additional services.
When the scope is revised it can be necessary to re-assess the SMS. This can be the case even if the SMS
was not due for a planned re-assessment.
A major change to the scope of the SMS should be managed as a project or programme of improvements.
This can minimize the risk to the service and to the service provider’s ability to demonstrate conformity to the
requirements in ISO/IEC 20000-1.
6.7 Supply chains and SMS scope
6.7.1 Reliance on other parties
The service provider should be aware that understanding the supply chain is fundamental to defining an
effective scope for the SMS. Being reliant on other parties for part of the service delivered need not prevent
the service provider demonstrating conformity to ISO/IEC 20000-1. The service provider should take into
account how the scope of the SMS is influenced by the relationships between the organizations in a supply
chain.
6.7.2 Demonstrating conformity across the supply chain
The service provider should have evidence of conformity to the ISO/IEC 20000-1:2011, Clause 4.2
requirements for governance of processes operated by other parties. This is described in Clause 5.2 of this
part of ISO/IEC 20000.
For suppliers, the service provider should have evidence of fulfilment of the supplier management process
requirements in ISO/IEC 20000-1:2011, Clause 7.2. This should include evidence of suitable contracts
between suppliers and the service provider.
© ISO/IEC 2012 – All rights reserved 7
The service provider should have evidence of fulfilment of the requirements for managing internal groups or
customers acting as suppliers in ISO/IEC 20000-1:2011, Clause 6.1. This should include a documented
agreement with the internal groups or customers acting as suppliers.
Other parties in a supply chain need not conform to ISO/IEC 20000-1 for the service provider to demonstrate
conformity.
When the service provider and another party, such as a supplier, are both seeking to demonstrate conformity
to ISO/IEC 20000-1, each can implement an SMS and each can fulfil all the requirements independently.
When the same process is used by two or more organizations, only one can demonstrate governance of that
process. The other organization can aim to demonstrate process governance of a separate usage of the same
process.
The service provider should ensure that there is clarity on the different usages of the same process. This
should include separate documents and records for each usage. This can affect the service provider's SMS
for planning and for the assessment against ISO/IEC 20000-1. This can occur for service providers with more
than one customer. It can also occur for organizations that rely on a complex supply chain of many other
parties, including multiple suppliers, lead suppliers and sub-contracted suppliers.
As well as ISO/IEC 20000-1:2011, Clause 4.2, other requirements influence scope, applicability and the ability
to demonstrate conformity. An organization external to the service provider can have access to, use of, or
have the ability to manage the service provider's information or services. When this is the case, the service
provider and the external organization should implement agreed information security controls, see
ISO/IEC 20000-1:2011, Clause 6.6.2. In these cases if the information security controls are not operated, the
external organization’s contribution should be excluded from the scope of the SMS.
6.8 Integrating or aligning with other management systems
The service provider should be aware that ISO/IEC 20000-1 supports alignment and/or integration of an SMS
with other management systems. The inclusion of the PDCA methodology in ISO/IEC 20000-1 enhances
compatibility with other management system standards.
The service provider should be aware that there can be differences in the scope of the SMS and other
management systems. The service provider should also be aware that each type of management system has
a different purpose. The SMS, ISMS and QMS each include areas of focus that the other two do not.
Those aspects of each management system that are common should be integrated to enable greater
efficiency, effectiveness and consistency. For example, documentation requirements or management
responsibilities.
The service provider can define the scope of its SMS as geographically or organizationally identical to the
scope of other management systems. For example, an information security management system (ISMS)
based on ISO/IEC 27001 or a quality management system (QMS) based on ISO 9001. When a service
provider is defining the scope of an integrated management system conforming to more than one
management system standard, the scope definition is more complex. Requirements for each management
system standard should be taken into account. For example, a management system that conforms to both
ISO/IEC 20000-1 and ISO/IEC 27001 should not start with "The SMS.….".
8 © ISO/IEC 2012 – All rights reserved
Annex A
(informative)
Main points on scope of the SMS, applicability and conformity to ISO/IEC 20000-1
A.1 General
When defining the scope of an SMS, including the scope for an ISO/IEC 20000-1 assessment, the service
provider should consider the points described in this annex.
A.2 Multiple legal entities
Third-party certification bodies can require that an ISO/IEC 20000-1 certificate can only be issued to a single
legal entity, not a consortium of different legal entities.
A.3 Commercial status
The service can be delivered on either a commercial or non-commercial basis. The financial basis of the
service delivery is irrelevant to the applicability of ISO/IEC 20000-1 or the scope of the SMS.
The service provider should have budgeting and accounting policies and procedures for assets used for
service delivery. The service provider need not own the assets.
A.4 Process names
Process names need not be those used in ISO/IEC 20000-1. The requirements in ISO/IEC 20000-1 are
focused on processes, their content, capability, quality and usage.
Processes can be combined or split in different ways than as they are specified in ISO/IEC 20000-1, as long
as all requirements are fulfilled. For example, service continuity and availability management can be two
separate processes, change management and release and deployment management can be combined as
one process.
Mapping of the process names used to those in ISO/IEC 20000-1 can assist the understanding of how the
requirements specified in ISO/IEC 20000-1 are fulfilled.
A.5 Inclusions and exclusions
The scope definition should state what has been included within the scope. To aid clarity, it can be useful to
state what is outside the scope.
The service provider should fulfil all requirements specified in ISO/IEC 20000-1 for activities included in the
scope definition. For example, all the service management processes should be implemented and operated.
A.6 Authorities and responsibilities
The service provider should be aware of the importance of clarity on authorities and responsibilities.
The service provider should retain governance and operational responsibility for ISO/IEC 20000-1:2011,
Clause 4, but can use other parties to support this.
© ISO/IEC 2012 – All rights reserved 9
The service provider should operate the majority of the processes ISO/IEC 20000-1:2011, Clauses 5 to 9.
The service provider should ensure there is clarity on authority and responsibility for processes operated by
other parties.
The service provider should:
a) identify and document all processes or parts of processes in the scope of the SMS, including those that it
does not operate;
b) identify which parties operate which processes or parts of processes;
c) place obligations on the other parties so that the service provider can demonstrate governance of these
processes.
The service provider should require all external organizations to operate information security controls. This
should be a condition for allowing access to, use of, or the ability to manage the service provider's information
or services. If the controls are not operated any contribution made by that external organization should be
excluded from the scope definition.
A.7 Interfaces and process integration
The service provider should ensure there is clarity on boundaries between the service provider and customers
and between the service provider, other parties and external organizations.
The service provider should have appropriate integration of processes, which is fundamental to service
management good practices and is required by ISO/IEC 20000-1.
The service provider should have documentation defining interfaces between processes and to demonstrate
clearly how the interfaces are controlled by the service provider.
A.8 Evidence of conformity
Two organizations cannot both use the same evidence to demonstrate conformity.
A.9 Parameters for scope definition
The service provider should use parameters that unambiguously define the scope of the SMS. The scope
definition should be easy to understand by interested parties that are not part of the service provider’s
organization. The minimum parameters for the scope definition are the name of the service provider and the
services delivered.
A.10 Extending the scope of the SMS
If the scope is increased, the service provider should conform to ISO/IEC 20000-1 for all the new activities in
the revised scope.
10 © ISO/IEC 2012 – All rights reserved
Annex B
(informative)
Scenario based scope definitions
B.1 General
The following examples are illustrations of the types of scope definitions suitable for an SMS that fulfils the
requirements of ISO/IEC 20000-1. In the figures, the arrows indicate that a service flows from the service
provider to its customer(s) as well as from the service provider’s suppliers to the service provider. To simplify
the figures, operational activities are not shown. Each example is a separate situation and each includes
suitable scope definitions. Most examples are based on the service provider – supplier relationship. Similar
logic applies to all other parties.
B.2 Scenarios 1,2 and 3: Supply chains
B.2.1 Scenario 1: Simple supply chain with an external service provider
In Figure B.1, Scenario 1 illustrates a service provider external to its customer’s organization (Customer A).
This is commonly a commercial arrangement where one service provider delivers services to several
customers. For simplicity, Figure B.1 shows only one customer.
In Scenario 1, the external service provider is providing a storage service for document archiving. In order to
achieve conformity with ISO/IEC 20000-1:2011, Clause 4.2, for its own SMS the external service provider
should:
a) have accountability for the service management processes in ISO/IEC 20000-1:2011, Clauses 5 to 9 and
the authority to require adherence to the processes;
b) control the definition of the processes and interfaces to other processes in ISO/IEC 20000-1:2011;
c) control the determination of process performance and compliance;
d) control the planning and prioritization of process improvements.
The contracts between the external service provider and its suppliers should ensure that the external service
provider has control of points a to d.
B.2.2 Scenario 2: Role of a “Direct supplier of services” managed by Customer B
In Figure B.1, Scenario 2 illustrates an internal service provider, part of the same organization as Customer B.
In this second scenario the "Direct supplier of services", shown in the dotted line box, is managed directly by
Customer B and its contract is also with Customer B. The internal service provider cannot also have
governance of the processes operated by the “Direct supplier of services”. As a result, the contribution made
by the “Direct supplier of services” should be excluded from the internal service provider's scope definition.
© ISO/IEC 2012 – All rights reserved 11
Organization X Organization X
Direct supplier of
Customer A Customer B
services
External service provider Internal service provider
Supplier Supplier
Supplier Supplier
Figure B.1 — Scenarios 1 and 2: Relationship with suppliers
B.2.3 Scenario 3: Suppliers, lead suppliers and sub-contracted suppliers
When the service provider has several suppliers, the service provider can appoint one supplier as the lead
supplier. The three-stage supply chain becomes a four-stage supply chain, as illustrated in Figure B.2. The
service provider and lead supplier should have a direct relationship and a contract. This applies to both the
external and internal service providers.
Under the terms of this contract, the lead supplier should manage the sub-contracted suppliers on behalf of
the service provider. The sub-contracted suppliers should have a contract with the lead supplier, not with the
service provider. There should not be a direct relationship between service provider and the sub-contracted
suppliers. There should be clarity on the responsibilities of the lead supplier in order to define the scope of the
service provider’s SMS.
In Scenario 3, Figure B.2, the lead supplier operates some of the processes and the governance of those
processes is performed by the service provider. A service provider cannot conform to ISO/IEC 20000-1:2011,
Clause 4.2, when the contract with a lead supplier prevents the service provider's governance of processes
operated by that lead supplier.
Organization X Organization X
Customer A Customer B
External service provider Internal service provider
Lead supplier Supplier
Lead supplier Supplier
Sub-contracted Sub-contracted Sub-contracted
Sub-contracted Sub-contracted Sub-contracted
supplier supplier supplier
supplier supplier supplier
Figure B.2 — Scenario 3: Relationship with lead suppliers and sub-contracted suppliers
B.2.4 Requirements for complex supply chains
Service providers should be aware that supply chains are often far more complex than the four-level supply
chain illustrated in Figure B.2. The scope of the SMS can be defined if the service provider understands:
a) what is required for governance of each process;
b) which organization operates which part of each process;
c) which organization is its lead supplier.
12 © ISO/IEC 2012 – All rights reserved
...
NORME ISO/CEI
INTERNATIONALE 20000-3
Première édition
2012-08-15
Technologies de l’information —
Gestion des services —
Partie 3:
Recommandations pour la
détermination du périmetre et
l’applicabilité de l’ISO/CEI 20000-1
Information technology — Service management —
Part 3: Guidance on scope definition and applicability of ISO/IEC
20000-1
Numéro de référence
ISO/CEI 20000-3:2012(F)
©
ISO/CEI 2012
ISO/CEI 20000-3:2012(F)
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO/CEI 2012
Droits de reproduction réservés. Sauf indication contraire, aucune partie de cette publication ne peut être reproduite ni utilisée
sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique, y compris la photocopie, l’affichage sur
l’internet ou sur un Intranet, sans autorisation écrite préalable. Les demandes d’autorisation peuvent être adressées à l’ISO à
l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Case postale 56 • CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Version française parue en 2013
Publié en Suisse
ii © ISO/CEI 2012 – Tous droits réservés
ISO/CEI 20000-3:2012(F)
Sommaire Page
Avant-propos .iv
Introduction .v
1 Domaine d’application . 1
2 Références normatives . 1
3 Termes et définitions . 1
4 Respect des exigences spécifiées dans l’ISO/CEI 20000-1 . 1
5 Applicabilité de l’ISO/CEI 20000-1 . 2
5.1 Qui peut utiliser l’ISO/CEI 20000-1? . 2
5.2 Gouvernance des processus opérés par des tierces parties . 3
5.3 Portée de la technologie utilisée pour fournir des services . 4
6 Principes généraux pour la détermination du périmètre d’un SMS .5
6.1 Introduction . 5
6.2 Le périmètre du SMS . 5
6.3 Accords passés entre clients et fournisseur de services . 6
6.4 Paramètres de détermination du périmètre . 6
6.5 Validité de la détermination du périmètre . 7
6.6 Modification du périmètre . 7
6.7 Chaînes logistiques et périmètre du SMS . 8
6.8 Intégration ou alignement avec d’autres systèmes de management . 8
Annexe A (informative) Principaux aspects relatifs au périmètre du SMS, à l’applicabilité et à la
conformité à l’ISO/CEI 20000-1 .10
Annexe B (informative) Détermination du périmètre pour différents scénarios .12
Annexe C (informative) Types d’évaluation de conformité .28
Bibliographie .29
© ISO/CEI 2012 – Tous droits réservés iii
ISO/CEI 20000-3:2012(F)
Avant-propos
L’ISO (Organisation internationale de normalisation) et la CEI (Commission électrotechnique
internationale) forment le système spécialisé de la normalisation mondiale. Les organismes nationaux
membres de l’ISO ou de la CEI participent au développement de Normes internationales par l’intermédiaire
des comités techniques créés par l’organisation concernée afin de s’occuper des domaines particuliers
de l’activité technique. Les comités techniques de l’ISO et de la CEI collaborent dans des domaines
d’intérêt commun. D’autres organisations internationales, gouvernementales et non gouvernementales,
en liaison avec l’ISO et la CEI participent également aux travaux. Dans le domaine des technologies de
l’information, l’ISO et la CEI ont créé un comité technique mixte, l’ISO/CEI JTC 1.
Les Normes internationales sont rédigées conformément aux règles données dans les Directives
ISO/CEI, Partie 2.
La tâche principale du comité technique mixte est d’élaborer les Normes internationales. Les projets de
Normes internationales adoptés par le comité technique mixte sont soumis aux organismes nationaux
pour vote. Leur publication comme Normes internationales requiert l’approbation de 75 % au moins des
organismes nationaux votants.
L’attention est appelée sur le fait que certains des éléments du présent document peuvent faire l’objet
de droits de propriété intellectuelle ou de droits analogues. L’ISO et la CEI ne sauraient être tenues pour
responsables de ne pas avoir identifié de tels droits de propriété et averti de leur existence.
L’ISO/CEI 20000-3:2012 a été élaborée par le comité technique mixte ISO/CEI JTC 1, Technologies de
l’information, sous-comité SC 7, Ingénierie du logiciel et des systèmes.
Cette première édition de l’ISO/CEI 20000-3 annule et remplace la première édition de l’ISO/CEI/TR 20000-
3:2009, dont elle constitue une révision technique pour une harmonisation sur l’ISO/CEI 20000-1:2011.
L’ISO/CEI 20000 comprend les parties suivantes, présentées sous le titre général Technologies de
l’information — Gestion des services:
— Partie 1: Exigences du système de management des services
— Partie 2: Guide pour l’application des systèmes de management des services
— Partie 3: Recommandations pour la détermination du périmètre et l’applicabilité de l’ISO/CEI 20000-1
— Partie 4: Modèle de référence de processus [Rapport technique]
1)
— Partie 5: Exemple de plan de mise en application pour l’ISO/CEI 20000-1 [Rapport technique]
2)
— Partie 7: Guide pour l’application de l’ISO/CEI 20000-1 au cloud computing
— Partie 10: Concepts et terminologie [Rapport technique]
— Partie 11: Guide d’orientation sur la relation entre l’ISO/CEI 20000-1:2012 et les référentiels connexes:
3)
® 2
ITIL [Rapport technique]
1) En cours d’examen en tant que deuxième édition de ce Rapport technique.
2) En cours d’élaboration. ®
3) ITIL est une marque déposée par un service gouvernemental.
iv © ISO/CEI 2012 – Tous droits réservés
ISO/CEI 20000-3:2012(F)
Introduction
L’ISO/CEI 20000-1 spécifie les exigences applicables à un système de management des services (ou SMS,
pour service management system). L’exécution des processus dans un système ou un environnement
de service donné aboutira à des exigences particulières en termes de connaissances, d’outils et
d’informations même si les attributs de processus restent inchangés. L’ISO/CEI 20000-1 ne spécifie pas
d’exigences applicables à la structure organisationnelle, à sa taille et au type d’organisation. Les exigences
de l’ISO/CEI 20000-1 ne dépendent pas de la structure organisationnelle, de la technologie ou du service.
Les processus de gestion des services peuvent s’exécuter en traversant de nombreuses organisations
différentes, des réglementations distinctes et des frontières nationales, et peuvent avoir à franchir
différents fuseaux horaires. Les fournisseurs de services peuvent s’appuyer sur une chaîne logistique
complexe pour la fourniture de services. Les fournisseurs de services peuvent également fournir
un ensemble de services à différents types de clients, qu’ils soient internes ou externes. Une chaîne
logistique complexe peut faire que l’accord sur le périmètre des services à fournir et son application
soit une étape complexe à mettre en œuvre dans le cadre de l’utilisation de l’ISO/CEI 20000-1 par le
fournisseur de services.
La présente partie de l’ISO/CEI 20000 comprend des exemples, des guides et des recommandations. Il
convient de ne pas l’envisager comme une spécification des exigences. Il convient de veiller à ce que les
déclarations de conformité ne soient pas équivoques.
© ISO/CEI 2012 – Tous droits réservés v
NORME INTERNATIONALE ISO/CEI 20000-3:2012(F)
Technologies de l’information — Gestion des services —
Partie 3:
Recommandations pour la détermination du périmetre et
l’applicabilité de l’ISO/CEI 20000-1
1 Domaine d’application
La présente partie de l’ISO/CEI 20000 fournit des recommandations pour la détermination du périmètre,
l’applicabilité et la démonstration de la conformité aux exigences spécifiées dans l’ISO/CEI 20000-1.
Les conseils délivrés dans la présente partie de l’ISO/CEI 20000 aideront le fournisseur de services
à planifier les améliorations sur ses services et/ou à préparer une évaluation de la conformité à
l’ISO/CEI 20000-1.
La présente partie de l’ISO/CEI 20000 aidera également le fournisseur de services à déterminer si
l’ISO/CEI 20000-1 est applicable à ce dernier. Elle illustre la façon de définir le périmètre d’un SMS, quel
que soit le niveau d’expérience du fournisseur de services dans la définition du périmètre pour d’autres
systèmes de management.
Des recommandations sur les différents types d’évaluation de la conformité et les différentes normes
d’évaluation sont incluses.
Les scénarios et exemples présentés couvrent un ensemble de circonstances pratiques communément
rencontrées par les fournisseurs de services.
La présente partie de l’ISO/CEI 20000 sera utile pour les consultants et les évaluateurs. Elle vient compléter
les recommandations pour l’application de l’ISO/CEI 20000-1 contenues dans l’ISO/CEI 20000-2.
2 Références normatives
Les documents ci-après, dans leur intégralité ou non, sont des références normatives indispensables à
l’application du présent document. Pour les références datées, seule l’édition citée s’applique. Pour les
références non datées, la dernière édition du document de référence s’applique (y compris les éventuels
amendements).
ISO/CEI 20000-1:2011, Technologies de l’information — Gestion des services — Partie 1: Exigences du
système de management des services
3 Termes et définitions
Pour les besoins du présent document, les termes et définitions donnés dans l’ISO/CEI 20000-
1 s’appliquent.
4 Respect des exigences spécifiées dans l’ISO/CEI 20000-1
Il convient que le fournisseur de services soit conscient que la démonstration de la conformité n’est
possible qu’en respectant la totalité des exigences spécifiées dans l’ISO/CEI 20000-1. A cette fin, il
convient que le fournisseur de services démontre que:
a) tous les processus mentionnés dans l’ISO/CEI 20000-1 sont documentés,
© ISO/CEI 2012 – Tous droits réservés 1
ISO/CEI 20000-3:2012(F)
b) tous les processus produisent les résultats escomptés,
c) les résultats de la gestion des services sont adaptés pour soutenir les besoins métiers et les
exigences des clients,
d) le SMS est géré de manière à répondre aux exigences de service,
e) la méthodologie appelée «roue de Deming» pour «Planifier-Faire-Vérifier-Agir» (ou méthodologie
PDCA, pour Plan-Do-Check-Act) est utilisée pour mettre en œuvre le processus d’amélioration
continue du SMS et des services,
f) le fournisseur de services assure la gouvernance des processus opérés par des tierces parties.
5 Applicabilité de l’ISO/CEI 20000-1
5.1 Qui peut utiliser l’ISO/CEI 20000-1?
Le Paragraphe 1.2 de l’ISO/CEI 20000-1:2011 décrit l’application de la norme.
Un SMS s’appuyant sur l’ISO/CEI 20000-1 peut être utilisé par des fournisseurs de services aux profils
très variés. L’ISO/CEI 20000-1 peut aussi bien s’appliquer à des fournisseurs de services internes qu’à des
fournisseurs de services externes, à de petits et à de grands fournisseurs, à des fournisseurs de services
commerciaux qu’à des fournisseurs de services non commerciaux. L’applicabilité de l’ISO/CEI 20000-1
est indépendante de la manière dont est fondé le service.
Aucune des exigences mentionnées dans les Articles 4 à 9 de l’ISO/CEI 20000-1:2011 ne peut être exclue
d’une évaluation lorsqu’un fournisseur de services déclare être en conformité avec l’ISO/CEI 20000-1:2011.
Il convient que le fournisseur de services ait un contrôle total du SMS en respectant la totalité des
exigences de l’Article 4 de l’ISO/CEI 20000-1. Le fournisseur de services peut confier à des tierces
parties la responsabilité de respecter les exigences de l’Article 4 de l’ISO/CEI 20000-1. Par exemple, le
fournisseur peut confier à un organisme de conseils la prise en charge du développement du plan de
management des services ou la mise en œuvre d’audits internes.
Le fournisseur de services peut se charger de respecter la totalité des exigences des Articles 5 à 9 de
l’ISO/CEI 20000-1:2011 par une gestion directe, ou d’en confier la gestion à des tierces parties. Les
tierces parties peuvent être:
a) des fournisseurs,
b) des groupes internes,
c) des clients (lorsqu’ils agissent au titre de fournisseurs).
Dans l’ISO/CEI 20000-1:2011, définition 3.35: un fournisseur est défini comme un organisme, ou une
partie d’un organisme, externe à l’organisme du fournisseur de services, qui conclut un contrat avec le
fournisseur de services pour contribuer à la conception, la transition, la mise en œuvre, la fourniture, la
mise à jour, l’amélioration et la gestion d’un ou de plusieurs services ou processus. Dans l’ISO/CEI 20000-
1, le terme «fournisseurs» inclut les principaux fournisseurs désignés, mais pas leurs sous-traitants.
Il convient que les principaux fournisseurs désignés gèrent leurs sous-traitants pour le compte du
fournisseur de services, selon un accord formel.
Un groupe interne est une partie de la même organisation que le fournisseur de services, mais qui n’est
pas sous le contrôle direct du fournisseur de services. Il convient que le fournisseur de services et le
groupe interne aient un accord documenté, spécifiant la contribution du groupe interne aux services
délivrés par le fournisseur de services.
Un client, lorsqu’il agit au titre de fournisseur, est une partie d’un organisme qui reçoit un service, mais
qui contribue également à l’exécution du SMS du fournisseur de services. Par exemple, un client peut
gérer un centre de services et opérer une partie du processus de gestion des incidents et des demandes
2 © ISO/CEI 2012 – Tous droits réservés
ISO/CEI 20000-3:2012(F)
de services. Il convient que la contribution du client soit définie selon les termes d’un accord documenté
passé entre le fournisseur de services et le client (lorsque ce dernier agit au titre de fournisseur).
Chaque fois que des tierces parties sont impliquées, il convient que le fournisseur de services ait la
gouvernance de tous les processus s’inscrivant dans le périmètre du SMS. La présente partie de
l’ISO/CEI 20000 traite de cet aspect en 5.2 pour les processus opérés par des tierces parties. Si la part
de la contribution des tierces parties aux processus n’est que minime, le fournisseur de services ne
rencontrera en principe pas de difficulté à respecter les exigences de l’ISO/CEI 20000-1. Par contre, si
le fournisseur de services confie à des tierces parties la mise en œuvre de la plupart de ses processus, il
peut avoir des difficultés à satisfaire à toutes les exigences de l’ISO/CEI 20000-1.
Un fournisseur de services qui ne respecte pas la totalité des exigences de l’ISO/CEI 20000-1:2011, en
termes de fourniture des services par rapport à des clients externes, peut viser à remplir ces mêmes
exigences en termes de fourniture des services par rapport à sa propre organisation.
Pour un fournisseur de services donné, il peut s’avérer que l’ISO/CEI 20000-1 soit inappropriée et qu’une
autre norme soit plus adaptée. Par exemple, l’ISO 9001 ou une norme ne couvrant que certains aspects
de la gestion des services.
5.2 Gouvernance des processus opérés par des tierces parties
5.2.1 Processus opérés par des tierces parties
Il convient que le fournisseur de services identifie les processus ou parties de processus opérés par des
tierces parties. Il convient que le fournisseur de services garantisse ensuite que les contrats ou accords
documentés comprennent la gouvernance par ce dernier des processus dans le périmètre du SMS qui
sont opérés par des tierces parties. Par exemple, le fournisseur de services est en mesure de vérifier si
une tierce partie suit bien les processus ayant fait l’objet d’un accord.
5.2.2 Responsabilité et adhésion
Il convient que le fournisseur de services démontre qu’il est responsable et participe au respect des
exigences du Paragraphe 4.2 de l’ISO/CEI 20000-1:2011 pour tous les processus. Il convient d’inclure à
cette démonstration tous les processus opérés par des tierces parties. Il convient que le fournisseur de
services ait l’autorité pour améliorer l’adhésion des tierces parties aux processus opérés par des tierces
parties ayant fait l’objet d’un accord.
Il convient que le fournisseur de services soit également en mesure de démontrer l’engagement de la
direction dans le SMS.
EXEMPLE 1 Si un tiers est chargé de résoudre un incident ayant un impact sur le service fourni à un client, le
fournisseur de services reste responsable de la résolution de l’incident auprès du client.
EXEMPLE 2 Imposer à une tierce partie d’utiliser un processus établi par le fournisseur de services et lui imposer
des audits réguliers sur l’utilisation de ce processus, les audits étant effectués par le fournisseur de services.
5.2.3 Définitions des processus et interfaces
Il convient que le fournisseur de services ait le contrôle de la définition des processus opérés par des
tierces parties et des interfaces avec les autres processus dans le SMS. Les preuves d’un tel contrôle
peuvent être les suivantes.
EXEMPLE 1 Le fournisseur de services peut démontrer qu’il peut demander à des tierces parties d’utiliser des
processus particuliers. Par exemple, le fournisseur de services et ses fournisseurs peuvent employer le même
processus de gestion des changements, selon les termes des contrats passés entre le fournisseur de services et
chacun de ses fournisseurs.
EXEMPLE 2 Le fournisseur de services contrôle les processus opérés par des groupes internes selon les termes
d’un accord documenté.
© ISO/CEI 2012 – Tous droits réservés 3
ISO/CEI 20000-3:2012(F)
EXEMPLE 3 Le fournisseur de services peut démontrer qu’il a mené un travail de collaboration avec des
tierces parties pour documenter et approuver les processus de fourniture des rapports de service que les tierces
parties exécutent.
EXEMPLE 4 Documentation, accord et exécution des interfaces et des dépendances du processus de gestion
des changements, opéré par le fournisseur (du fournisseur de services), avec le processus de gestion des
configurations, opéré par le fournisseur de services lui-même.
5.2.4 Performances des processus
Selon les exigences du Paragraphe 4.2 de l’ISO/CEI 20000-1:2011, il convient que le fournisseur de
services contrôle les critères de performances des processus. Il convient que le fournisseur de services
impose également l’adhésion des tierces parties à ses exigences de processus.
EXEMPLE 1 Etablissement des critères de performances des processus, tels que les objectifs de disponibilité
ou le temps nécessaire au traitement d’une demande de service.
EXEMPLE 2 Accès à un ensemble d’enregistrements d’incidents et aux mesures des performances du processus
de gestion des incidents et demandes de services obtenues par un tiers, afin de s’assurer que ce tiers adhère au
processus ayant fait l’objet d’un accord.
5.2.5 Amélioration des processus
Il convient que le fournisseur de services contrôle le plan d’améliorations des processus ainsi que la
priorité donnée aux améliorations en cours. L’identification des opportunités d’amélioration peut être
réalisée par le fournisseur de services ou par une tierce partie.
EXEMPLE 1 Évaluation des propositions d’amélioration pour la gestion des incidents mise en œuvre par un
groupe interne et contrôle de la manière dont ces améliorations seront appliquées. Cela inclut la coordination
entre les améliorations qu’un groupe interne apportera à la gestion des incidents et les autres changements
apportés au SMS du fournisseur de services.
EXEMPLE 2 Le fournisseur de services évalue un ensemble d’améliorations du processus de gestion de la
capacité opéré par un tiers. Le fournisseur de services contrôle également la priorité à accorder à l’allocation
des ressources nécessaires pour atteindre les niveaux escomptés de performances. Le fournisseur de services
est également en mesure de démontrer que les changements ont été approuvés et mis en œuvre pour garantir le
respect des exigences de service.
5.2.6 Gestion des tierces parties
Lorsqu’un fournisseur exécute un processus ou une partie de processus, il convient que le fournisseur
de services gère le fournisseur au moyen du processus de gestion des fournisseurs.
Lorsque des groupes internes ou des clients (lorsqu’ils agissent au titre de fournisseurs) exécutent
des processus ou parties de processus, il convient que le fournisseur de services les gère au moyen du
processus de gestion du niveau de service.
5.3 Portée de la technologie utilisée pour fournir des services
Il convient que le fournisseur de services soit conscient que dans l’ISO/CEI 20000-1:
a) l’applicabilité ne dépend ni de la technologie utilisée pour fournir des services, ni de l’automatisation
des processus du SMS,
b) la technologie utilisée ne modifie pas les exigences de l’ISO/CEI 20000-1,
c) la technologie utilisée peut avoir un impact sur l’outillage et les exigences concernant les données,
aussi bien que sur les compétences du personnel nécessaires pour soutenir les activités des processus.
4 © ISO/CEI 2012 – Tous droits réservés
ISO/CEI 20000-3:2012(F)
6 Principes généraux pour la détermination du périmètre d’un SMS
6.1 Introduction
Le Paragraphe 4.5.1 de l’ISO/CEI 20000-1:2011 fournit les exigences applicables à la détermination du
périmètre du SMS.
Il convient que le fournisseur de services détermine le périmètre du SMS avant de l’établir.
Il convient que la direction du fournisseur de services garantisse que le plan de management des services
est créé et qu’il inclut le périmètre du SMS. Il convient que le SMS et la détermination de son périmètre
soient maintenus à jour. Il convient que la direction soit responsable de l’examen du périmètre du SMS
afin de permettre son efficacité et sa validité continues.
6.2 Le périmètre du SMS
6.2.1 Détermination du périmètre
Il convient que la détermination du périmètre du SMS:
a) soit aussi simple que possible,
b) soit compréhensible sans avoir des connaissances approfondies de l’organisation du fournisseur de
services,
c) comprenne suffisamment d’informations dans l’optique d’une évaluation de la conformité,
d) soit formulée de sorte à ce que toutes les exclusions soient claires,
e) soit indépendante et ne fasse pas référence à d’autres sources.
Voir Annexe B de la présente partie de l’ISO/CEI 20000 pour des exemples de déterminations de périmètre.
6.2.2 Détermination du périmètre et évaluation
Le fournisseur de services peut débattre du périmètre du SMS avec son évaluateur. Le fait de se voir
confirmer que le périmètre proposé est valide, avant d’établir le SMS, peut permettre d’éviter d’établir
de fausses attentes. Un évaluateur peut discuter le périmètre de l’évaluation / de l’audit en tant que
partie du programme d’audit mais il convient qu’il ne délivre pas de conseils portant sur le SMS.
Il convient que le fournisseur de services soit en mesure de démontrer que le périmètre est valide dès le
début d’une évaluation car ce dernier est utilisé dans la planification de l’évaluateur.
Il convient que le fournisseur de services soit conscient que seules les preuves fondées sur le périmètre
du SMS sont prises en considération lors d’une évaluation. Les activités ou services qui ne s’inscrivent
pas dans le périmètre du SMS n’ont pas à satisfaire aux exigences spécifiées dans l’ISO/CEI 20000-1.
Il convient que les exclusions ne soient pas comprises dans la détermination du périmètre mais elles
peuvent contribuer à clarifier la détermination du périmètre.
6.2.3 Limites du périmètre
Lorsque le fournisseur de services inclut une organisation entière ou un périmètre d’activités entier
dans le SMS, la détermination du périmètre peut s’avérer être relativement simple, car le périmètre peut
être déterminé comme englobant la totalité des services offerts par le fournisseur de services.
Si le fournisseur de services n’inclut que certaines de ses activités dans le SMS, il peut s’avérer difficile
de déterminer le périmètre en des termes simples ou d’éviter toute ambiguïté. Une démonstration de la
conformité peut correspondre au respect de toutes les exigences de l’ISO/CEI 20000-1 pour un périmètre
fondé sur un service simple fourni à un seul client. Un tel périmètre ne couvre qu’une petite proportion
de tous les services ou activités proposés par le fournisseur de services.
© ISO/CEI 2012 – Tous droits réservés 5
ISO/CEI 20000-3:2012(F)
Un fournisseur de services peut avoir de nombreux clients et offrir une multitude de services. Par
conséquent, le périmètre du SMS peut inclure les services proposés à plusieurs clients. Si tel est le cas, il
convient que les processus soient cohérents, néanmoins, les procédures utilisées pour fournir les services
à chacun des clients peuvent varier dans les détails. Si un client est identifié dans la détermination du
périmètre, il convient que l’organisation respecte toutes les exigences de l’ISO/CEI 20000-1 pour ce client.
6.3 Accords passés entre clients et fournisseur de services
Le fournisseur de services ne peut pas utiliser les termes d’un contrat ou d’un accord documenté qu’il a
signé/passé avec le client pour restreindre ses obligations à respecter les exigences de l’ISO/CEI 20000-
1. Cette remarque est également valable même si les termes d’un contrat ou d’un accord documenté
limitent les services et processus. De même, les termes d’un contrat ou d’un accord documenté ne peuvent
pas restreindre les obligations d’un évaluateur à obtenir la preuve de la conformité aux exigences de
l’ISO/CEI 20000-1.
6.4 Paramètres de détermination du périmètre
6.4.1 Paramètres requis par l’ISO/CEI 20000-1
Il convient que le fournisseur de services utilise des paramètres pour déterminer le périmètre du SMS
pour lever toute ambiguïté sur ce que le périmètre inclut et exclut.
Il convient que les paramètres incluent au minimum:
a) les unités organisationnelles fournissant des services, par exemple, un seul département, un groupe
de départements ou tous les départements,
b) les services fournis, par exemple, un seul service, un groupe de services ou tous les services, les
services financiers, les services de vente au détail, les services de courrier électronique.
EXEMPLE La détermination du périmètre peut être:
Le SMS de < nom de l’unité organisationnelle du fournisseur de services > qui fournit < les service(s) > .
Il convient de ne pas simplifier le < nom de l’unité organisationnelle du fournisseur de services > dans la
détermination du périmètre par < fournisseur de services > , car de nombreuses organisations incluent
un fournisseur de service et certaines organisations en incluent plusieurs.
6.4.2 Autres paramètres
Il convient que le fournisseur de services prenne en compte d’autres paramètres lorsque des informations
supplémentaires peuvent lever toute ambiguïté dans la détermination du périmètre. L’utilisation de ces
autres paramètres est présentée dans les exemples et à l’Annexe B de la présente partie de l’ISO/CEI 20000.
EXEMPLE La détermination du périmètre peut être:
Le SMS de < nom de l’unité organisationnelle du fournisseur de services > qui fournit < technologie > < service(s) > à
partir de < emplacement du fournisseur de services > à < client > se trouvant < emplacement du client > .
Le fournisseur de services peut utiliser les paramètres dans n’importe quel ordre, qu’il juge approprié.
D’autres paramètres peuvent être utilisés.
La détermination du périmètre d’un SMS peut englober plusieurs clients, sans avoir à les répertorier
explicitement dans une liste, par exemple, en citant tous les services émanant du centre de données se
trouvant à un emplacement désigné ou en citant tous les services de stockage de données.
Il convient que le fournisseur de services n’inclue pas les noms des tierces parties ou des organisations
externes, même si elles contribuent au SMS et aux services.
6 © ISO/CEI 2012 – Tous droits réservés
ISO/CEI 20000-3:2012(F)
6.4.3 Échantillon pour l’évaluation
Si le périmètre inclut plusieurs clients, services ou emplacements, l’évaluateur peut évaluer un échantillon,
qu’il aura sélectionné au vu de son expérience concernant la sélection d’échantillons. Il convient que
la détermination du périmètre inclue tous les clients, services et emplacements s’inscrivant dans le
périmètre du SMS, et non seulement ceux retenus dans l’échantillon.
6.5 Validité de la détermination du périmètre
Il convient que le fournisseur de services s’assure que le périmètre du SMS reste valide après qu’il a
été documenté. Il convient que le fournisseur de services s’assure de cela en menant des examens à
intervalles planifiés pour identifier les divergences. Si le périmètre réel ne correspond au périmètre
déterminé, il convient alors de rectifier la détermination du périmètre. S’il est considéré que la différence
est significative, une réévaluation peut être requise.
Il convient que le fournisseur de services soit conscient qu’une modification importante des services
peut nécessiter une modification importante du SMS. Il convient que le fournisseur de services s’assure
qu’un audit interne évalue si cette modification se traduit ou non par le fait que le SMS ne satisfait plus
aux exigences de l’ISO/CEI 20000-1. Si un SMS est certifié ISO/CEI 20000-1, il convient de notifier à
l’organisme de certification ayant remis le certificat toute modification importante du SMS, car une
réévaluation peut être requise.
Une modification majeure du périmètre du SMS peut signifier que le fournisseur de services ne peut pas
démontrer la conformité aux exigences de l’ISO/CEI 20000-1. Il est également possible de restreindre
le périmètre du SMS en cas de suppression de services. Il est également possible de modifier la
détermination du périmètre selon d’autres paramètres tels que les clients ou les localisations qui sont
ajoutés ou supprimés.
Certaines déterminations de périmètre font référence à un catalogue de services. Cette pratique est
incorrecte si le catalogue de services est modifié et que la détermination du périmètre n’est plus exacte.
Néanmoins, l’utilisation d’un catalogue de services lors de la détermination du périmètre peut s’avérer
utile si le périmètre est complexe. En cas de recours à un catalogue de services, il convient d’apporter
la preuve que les services inclus dans le catalogue sont légitimes dans le cadre du SMS satisfaisant aux
exigences de l’ISO/CEI 20000-1.
Un exemple de détermination de périmètre faisant référence à un catalogue de services est donné ci-dessous.
EXEMPLE La détermination du périmètre peut être:
Le SMS de < nom de l’unité organisationnelle du fournisseur de services > qui fournit tous les services présents
dans < catalogue de services > à < nom organisationnel du client ou nom de l’unité organisationnelle du client > à
partir de < emplacement géographique > .
NOTE Le rôle de l’évaluateur dans le cadre de la recherche de preuves, telles que la détermination du
périmètre, est décrit dans l’ISO/CEI 17021:2011, Évaluation de la conformité — Exigences pour les organismes
procédant à l’audit et à la certification des systèmes de management.
6.6 Modification du périmètre
Le fournisseur de services peut décider de ne démontrer la conformité que pour certaines de ses activités
en fonction de ses besoins métiers. Par exemple, le fournisseur de services peut commencer avec un SMS
qui n’inclut que certains services puis ajouter par la suite d’autres services dans le périmètre du SMS. Il
convient que le fournisseur de services revoit alors aussi bien le SMS que la détermination du périmètre
pour inclure les services supplémentaires.
En cas de révision du périmètre, il peut s’avérer nécessaire de réévaluer le SMS. Tel peut être le cas
même si aucune réévaluation n’avait été planifiée pour le SMS.
Il convient qu’une modification majeure du périmètre du SMS soit gérée comme faisant partie d’un
projet ou d’un programme d’améliorations. Cela peut réduire le risque concernant le service et l’aptitude
du fournisseur de services à démontrer la conformité aux exigences de l’ISO/CEI 20000-1.
© ISO/CEI 2012 – Tous droits réservés 7
ISO/CEI 20000-3:2012(F)
6.7 Chaînes logistiques et périmètre du SMS
6.7.1 Confiance en les tierces parties
Il convient que le fournisseur de services soit conscient que la compréhension de la chaîne logistique
avec ses fournisseurs est fondamentale pour déterminer un périmètre effectif pour le SMS. Le fait d’avoir
confiance en les tierces parties en ce qui concerne la partie du service qu’elles fournissent ne remet pas
en cause la nécessité pour le fournisseur de services de démontrer la conformité à l’ISO/CEI 20000-
1. Il convient que le fournisseur de services tienne compte de la manière dont les relations entre les
organisations dans la chaîne logistique influencent le périmètre du SMS.
6.7.2 Démonstration de la conformité tout au long de la chaîne logistique
Il convient que le fournisseur de services dispose des preuves de la conformité aux exigences du
Paragraphe 4.2 de l’ISO/CEI 20000-1:2011, en ce qui concerne la gouvernance des processus opérés par
des tierces parties. Cette préconisation est décrite en 5.2 de la présente partie de l’ISO/CEI 20000.
Pour les fournisseurs, il convient que le fournisseur de services dispose des preuves de la satisfaction
aux exigences du Paragraphe 7.2 de l’ISO/CEI 20000-1:2011 relatives au processus de gestion des
fournisseurs. Il convient d’inclure comme preuve les contrats correspondants qu’il a passés avec les
fournisseurs.
Il convient que le fournisseur de services dispose des preuves de la conformité aux exigences du
Paragraphe 6.1 de l’ISO/CEI 20000-1:2011 concernant la gestion des groupes internes ou des clients
agissant au titre de fournisseurs. Il convient d’inclure comme preuve l’accord documenté passé avec les
groupes internes ou les clients agissant au titre de fournisseurs.
Il n’est pas nécessaire que les tierces parties de la chaîne logistique soient en conformité avec
l’ISO/CEI 20000-1 pour que le fournisseur de services puisse démontrer la conformité.
Lorsque le fournisseur de services et un tiers, tel qu’un fournisseur, cherchent tous deux à démontrer la
conformité à l’ISO/CEI 20000-1, chacun d’entre eux peut mettre en œuvre son propre SMS et satisfaire
aux exigences de manière indépendante. Lorsque le même processus est utilisé par deux organisations
ou plus, seule une d’entre elles peut démontrer la gouvernance de ce processus. L’autre organisation peut
viser à démontrer la gouvernance du processus pour un usage différent de ce même processus.
Il convient que le fournisseur de services s’assure de l’absence d’ambiguïté concernant les différents
usages du même processus. Il convient que cette vérification passe par des documents et enregistrements
distincts pour chaque usage. Cela peut avoir une influence sur le SMS du fournisseur de services en
termes de planification et d’évaluation au regard de la conformité à l’ISO/CEI 20000-1. Tel peut être le cas
pour les fournisseurs de services ayant plusieurs clients. C’est également le cas pour les organisations
qui reposent sur une chaîne logistique complexe constituée de plusieurs tierces parties, notamment de
plusieurs fournisseurs: fournisseurs principaux désignés et leurs sous-traitants.
Tout comme les exigences du Paragraphe 4.2 de l’ISO/CEI 20000-1:2011, d’autres exigences influencent
le périmètre, l’applicabilité et l’aptitude à démontrer la conformité. Une organisation externe au
fournisseur de services peut avoir accès, utiliser ou gérer des informations ou les services du fournisseur
de services. Dans ce cas, il convient que le fournisseur de services et l’organisation externe mettent en
œuvre les contrôles de sécurité de l’information ayant fait l’objet d’un accord, se référer aux exigences du
Paragraphe 6.6.2 de l’ISO/CEI 20000-1:2011. Dans ce cas, si les contrôles de la sécurité de l’information ne
sont pas exécutés, il convient d’exclure du périmètre du SMS toute contribution de l’organisation externe.
6.8 Intégration ou alignement avec d’autres systèmes de management
Il convient que le fournisseur de services soit conscient que l’ISO/CEI 20000-1 supporte tout alignement et/ou
toute intégration d’un SMS avec d’autres systèmes de management. L’inclusion de la méthodologie PDCA
dans l’ISO/CEI 20000-1 améliore la compatibilité avec d’autres normes sur les systèmes de management.
8 © ISO/CEI 2012 – Tous droits réservés
ISO/CEI 20000-3:2012(F)
Il convient que le fournisseur de services soit conscient qu’il peut y avoir des différences entre le
périmètre du SMS et d’autres systèmes de management. Il convient que le fournisseur de services soit
également conscient que chaque type de système de management a un but différent. Le SMS, l’ISMS et le
QMS traitent chacun d’un domaine d’intérêt non couvert par les deux autres.
Il convient d’intégrer les aspects que les systèmes de management ont en commun pour atteindre de
meilleures efficience, efficacité et cohérence. Par exemple, des exigences relatives à la documentation ou
à des responsabilités de management.
Le fournisseur de services peut déterminer le périmètre de son SMS comme étant géographiquement
ou organisationnellement identique au périmètre d’autres systèmes de management. Par exemple, un
système de management de la sécurité de l’information (ou ISMS, pour Information Security Management
System) fondé sur l’ISO/CEI 27001 ou un système de management de la qualité (ou QMS, pour Quality
Management System) fondé sur l’ISO 9001. Lorsqu’un fournisseur de services détermine le périmètre
d’un système de management intégré conforme à plusieurs normes sur les systèmes de management, la
détermination du périmètre est plus complexe. Il convient de prendre en compte les exigences de chaque
norme de système de management. Par exemple, il convient qu’un système de management conforme à
l’ISO/CEI 20000-1 et à l’ISO/CEI 27001 ne commence pas par «Le SMS…».
© ISO/CEI 2012 – Tous droits réservés 9
ISO/CEI 20000-3:2012(F)
Annexe A
(informative)
Principaux aspects relatifs au périmètre du SMS, à l’applicabilité
et à la conformité à l’ISO/CEI 20000-1
A.1 Généralités
Lors de la détermination du périmètre d’un SMS, notamment du périmètre pour une évaluation
ISO/CEI 20000-1, il convient que le fournisseur de services tienne compte des aspects décrits à la
présente annexe.
A.2 Entités légales multiples
Des organismes tiers de certification peuvent exiger qu’un certificat ISO/CEI 20000-1 ne soit remis qu’à
une seule entité légale, et non à plusieurs entités légales d’un consortium.
A.3 Caractéristiques commerciales
Le service peut être fourni selon des conditions commerciales ou gratuites. La condition commerciale ou non
de la fourniture du service est sans rapport avec l’applicabilité de l’ISO/CEI 20000-1 et le périmètre du SMS.
Il convient que le fournisseur de services ait des politiques et des procédures budgétaires et comptables
pour les actifs utilisés dans le cadre de la fourniture du service. Il n’est pas nécessaire que le fournisseur
de services soit le propriétaire des actifs.
A.4 Noms des processus
Il n’est pas nécessaire d’utiliser les noms de processus donnés dans l’ISO/CEI 20000-1. Les exigences de
l’ISO/CEI 20000-1 ont été centrées sur les processus, leurs contenus, leurs capacités, leurs qualités et
leurs emplois.
Les processus peuvent être combinés ou scindés différemment de ce qui est spécifié dans l’ISO/CEI 20000-
1 à condition que toutes les exigences soient satisfaites. Par exemple, la gestion de la continuité des
services et la gestion de la disponibilité des services peuvent constituer deux processus distincts.
De même, la gestion des changements et la gestion des mises en production et de leurs déploiements
peuvent être combinées pour ne former qu’un même processus.
Le fait d’établir la correspondance entre les noms de processus utilisés et les noms de processus donnés
dans l’ISO/CEI 20000-1 peut faciliter la compréhension des conditions selon lesquelles les exigences
spécifiées dans l’ISO/CEI 20000-1 sont satisfaites.
A.5 Inclusions et exclusions
Il convient de mentionner dans la détermination du périmètre ce qui a été inclus dans le périmètre. Pour
davantage de clarté, il peut être utile de mentionner ce qui est exclu du périmètre.
Il convient que le fournisseur de services satisfasse à toutes les exigences spécifiées dans l’ISO/CEI 20000-
1 pour tout ce qui est inclus dans la détermination du périmètre. Par exemple, il convient de mettre en
œuvre et d’exécuter tous les processus de gestion des services.
10 © ISO/CEI 2012 – Tous droits réservés
ISO/CEI 20000-3:2012(F)
A.6 Autorités et responsabilités
Il convient que le fournisseur de services soit conscient de l’importance d’établir en toute clarté les
autorités et responsabilités.
Il convient que le fournisseur de services conserve la gouvernance et la responsabilité opérationnelle en
ce qui concerne les aspects traités dans l’Article 4 de l’ISO/CEI 20000-1:2011, mais il peut solliciter des
tierces parties pour l’assister.
Il convient que le fournisseur de services opère la majorité des processus définis dans les Articles 5 à 9
de l’ISO/CEI 20000-1:2011.
Il convient que le fournisseur de services s’assure de l’absence d’ambiguïté concernant les autorités et
responsabilités des processus opérés par des tierces
...
Questions, Comments and Discussion
Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.
Loading comments...