ISO/IEC 20000-2:2019
(Main)Information technology - Service management - Part 2: Guidance on the application of service management systems
Information technology - Service management - Part 2: Guidance on the application of service management systems
This document provides guidance on the application of a service management system (SMS) based on ISO/IEC 20000-1. It provides examples and recommendations to enable organizations to interpret and apply ISO/IEC 20000-1, including references to other parts of ISO/IEC 20000 and other relevant standards.
Technologies de l'information — Gestion des services — Partie 2: Directives relatives à l'application des systèmes de management des services
Le présent document fournit des lignes directrices concernant l'application d'un système de management des services (SMS) basé sur l'ISO/IEC 20000‑1. Il fournit des exemples et des recommandations pour permettre aux organismes d'interpréter et d'appliquer l'ISO/IEC 20000‑1, y compris des références à d'autres parties de l'ISO/IEC 20000 et à d'autres normes appropriées.
General Information
- Status
- Published
- Publication Date
- 18-Aug-2019
- Technical Committee
- ISO/IEC JTC 1/SC 40 - IT service management and IT governance
- Drafting Committee
- ISO/IEC JTC 1/SC 40/WG 2 - Service management – Information technology
- Current Stage
- 9093 - International Standard confirmed
- Start Date
- 11-Dec-2024
- Completion Date
- 30-Oct-2025
Relations
- Effective Date
- 10-Jul-2021
- Effective Date
- 06-Aug-2016
Overview
ISO/IEC 20000-2:2019 - "Information technology - Service management - Part 2: Guidance on the application of service management systems" is guidance for organizations implementing a service management system (SMS) aligned with ISO/IEC 20000-1. Rather than specifying requirements, this third-edition document offers examples, explanations and recommendations to help interpret and apply the requirements in ISO/IEC 20000-1. It also references other parts of the ISO/IEC 20000 series and related standards to support practical SMS implementation.
Key topics and requirements covered
The standard organizes guidance against the main SMS lifecycle and ISO-style clauses. Important technical topics include:
- Context of the organization: understanding business context, interested parties and defining SMS scope.
- Leadership: top management commitment, policy and organizational roles, responsibilities and authorities.
- Planning: addressing risks and opportunities, service management objectives and SMS planning.
- Support: resources, competence, awareness, communication, documented information and knowledge management.
- Operation: operational planning and control, service portfolio governance (service delivery, service planning, service catalogue).
- Service lifecycle controls: asset and configuration management, relationship and agreement management (business relationship, service level, supplier management).
- Supply and demand: budgeting/accounting for services, demand management and capacity planning.
- Service design, build and transition: change management, service design and transition activities, and release and deployment management.
The publishing format of each clause includes required activities, explanatory text and other information, giving practical interpretation for implementers and auditors.
Practical applications
ISO/IEC 20000-2:2019 is useful to organizations for:
- Translating ISO/IEC 20000-1 requirements into actionable SMS practices.
- Developing or improving operational processes such as service catalogue management, configuration or change management.
- Preparing for certification or internal audits by clarifying expected activities and controls.
- Aligning IT service management with business needs, supplier governance and budgeting.
Who should use this standard
- IT service managers and process owners
- CIOs and IT leadership planning SMS adoption
- Consultants and implementation teams
- Internal auditors and certification bodies (as guidance)
- Service providers and suppliers integrating SMS practices
Related standards
- ISO/IEC 20000-1 (requirements for a service management system) - primary normative reference
- Other parts of the ISO/IEC 20000 series and complementary ITSM standards (referenced within the document)
Keywords: ISO/IEC 20000-2:2019, service management system, SMS guidance, ISO/IEC 20000-1, IT service management, service catalogue, change management, configuration management, supplier management.
ISO/IEC 20000-2:2019 - Information technology — Service management — Part 2: Guidance on the application of service management systems Released:8/19/2019
ISO/IEC 20000-2:2019 - Technologies de l'information — Gestion des services — Partie 2: Directives relatives à l'application des systèmes de management des services Released:8/19/2019
Frequently Asked Questions
ISO/IEC 20000-2:2019 is a standard published by the International Organization for Standardization (ISO). Its full title is "Information technology - Service management - Part 2: Guidance on the application of service management systems". This standard covers: This document provides guidance on the application of a service management system (SMS) based on ISO/IEC 20000-1. It provides examples and recommendations to enable organizations to interpret and apply ISO/IEC 20000-1, including references to other parts of ISO/IEC 20000 and other relevant standards.
This document provides guidance on the application of a service management system (SMS) based on ISO/IEC 20000-1. It provides examples and recommendations to enable organizations to interpret and apply ISO/IEC 20000-1, including references to other parts of ISO/IEC 20000 and other relevant standards.
ISO/IEC 20000-2:2019 is classified under the following ICS (International Classification for Standards) categories: 03.080.99 - Other services; 35.020 - Information technology (IT) in general. The ICS classification helps identify the subject area and facilitates finding related standards.
ISO/IEC 20000-2:2019 has the following relationships with other standards: It is inter standard links to ISO/IEC 20000-2:2019/Amd 1:2020, ISO/IEC 20000-2:2012. Understanding these relationships helps ensure you are using the most current and applicable version of the standard.
You can purchase ISO/IEC 20000-2:2019 directly from iTeh Standards. The document is available in PDF format and is delivered instantly after payment. Add the standard to your cart and complete the secure checkout process. iTeh Standards is an authorized distributor of ISO standards.
Standards Content (Sample)
INTERNATIONAL ISO/IEC
STANDARD 20000-2
Third edition
2019-08
Information technology — Service
management —
Part 2:
Guidance on the application of service
management systems
Technologies de l'information — Gestion des services —
Partie 2: Directives relatives à l'application des systèmes de
management des services
Reference number
©
ISO/IEC 2019
© ISO/IEC 2019
All rights reserved. Unless otherwise specified, or required in the context of its implementation, no part of this publication may
be reproduced or utilized otherwise in any form or by any means, electronic or mechanical, including photocopying, or posting
on the internet or an intranet, without prior written permission. Permission can be requested from either ISO at the address
below or ISO’s member body in the country of the requester.
ISO copyright office
CP 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Geneva
Phone: +41 22 749 01 11
Fax: +41 22 749 09 47
Email: copyright@iso.org
Website: www.iso.org
Published in Switzerland
ii © ISO/IEC 2019 – All rights reserved
Contents Page
Foreword .vi
Introduction .vii
1 Scope . 1
1.1 General . 1
1.2 Application . 2
1.3 Structure . 2
2 Normative references . 3
3 Terms and definitions . 3
4 Context of the organization . 3
4.1 Understanding the organization and its context . 3
4.1.1 Required activities . 3
4.1.2 Explanation . 3
4.1.3 Other information . 4
4.2 Understanding the needs and expectations of interested parties . 4
4.2.1 Required activities . 4
4.2.2 Explanation . 4
4.2.3 Other information . 4
4.3 Determining the scope of the service management system . 5
4.3.1 Required activities . 5
4.3.2 Explanation . 5
4.3.3 Other information . 5
4.4 Service management system. 5
4.4.1 Required activities . 5
4.4.2 Explanation . 5
4.4.3 Other information . 6
5 Leadership . 6
5.1 Leadership and commitment . 6
5.1.1 Required activities . 6
5.1.2 Explanation . 6
5.1.3 Other information . 7
5.2 Policy . 8
5.2.1 Required activities . 8
5.2.2 Explanation . 8
5.2.3 Other information . 9
5.3 Organizational roles, responsibilities, and authorities . 9
5.3.1 Required activities . 9
5.3.2 Explanation . 9
5.3.3 Other information . 9
6 Planning .10
6.1 Actions to address risks and opportunities .10
6.1.1 Required activities .10
6.1.2 Explanation .10
6.1.3 Other information .11
6.2 Service management objectives and planning to achieve them .11
6.2.1 Required activities .11
6.2.2 Explanation .11
6.2.3 Other information .11
6.3 Plan the service management system .12
6.3.1 Required activities .12
6.3.2 Explanation .12
6.3.3 Other information .13
7 Support of the service management system .13
© ISO/IEC 2019 – All rights reserved iii
7.1 Resources .13
7.1.1 Required activities .13
7.1.2 Explanation .13
7.1.3 Other information .14
7.2 Competence .14
7.2.1 Required activities .14
7.2.2 Explanation .14
7.2.3 Other information .15
7.3 Awareness .15
7.3.1 Required activities .15
7.3.2 Explanation .15
7.3.3 Other information .15
7.4 Communication .16
7.4.1 Required activities .16
7.4.2 Explanation .16
7.4.3 Other information .16
7.5 Documented information .17
7.5.1 General.17
7.5.2 Creating and updating documented information .17
7.5.3 Control of documented information .18
7.5.4 Service management system documented information .19
7.6 Knowledge .20
7.6.1 Required activities .20
7.6.2 Explanation .20
7.6.3 Other information .21
8 Operation of the service management system .21
8.1 Operational planning and control .21
8.1.1 Required activities .21
8.1.2 Explanation .21
8.1.3 Other information .22
8.2 Service portfolio .22
8.2.1 Service delivery .22
8.2.2 Plan the services .23
8.2.3 Control of parties involved in the service lifecycle .24
8.2.4 Service catalogue management .25
8.2.5 Asset management .27
8.2.6 Configuration management .28
8.3 Relationship and agreement .29
8.3.1 General.29
8.3.2 Business relationship management .30
8.3.3 Service level management .32
8.3.4 Supplier management .33
8.4 Supply and demand .35
8.4.1 Budgeting and accounting for services .35
8.4.2 Demand management .36
8.4.3 Capacity management .37
8.5 Service design, build and transition .38
8.5.1 Change management .38
8.5.2 Service design and transition .41
8.5.3 Release and deployment management .44
8.6 Resolution and fulfilment .46
8.6.1 Incident management . .46
8.6.2 Service request management . .47
8.6.3 Problem management .48
8.7 Service assurance .49
8.7.1 Service availability management .49
8.7.2 Service continuity management .50
8.7.3 Information security management .51
iv © ISO/IEC 2019 – All rights reserved
9 Performance evaluation .53
9.1 Monitoring, measurement, analysis, and evaluation.53
9.1.1 Required activities .53
9.1.2 Explanation .53
9.1.3 Other information .53
9.2 Internal audit .53
9.2.1 Required activities .53
9.2.2 Explanation .53
9.2.3 Other information .54
9.3 Management review .54
9.3.1 Required activities .54
9.3.2 Explanation .54
9.3.3 Other information .55
9.4 Service reporting .55
9.4.1 Required activities .55
9.4.2 Explanation .55
9.4.3 Other information .55
10 Improvement .56
10.1 Nonconformity and corrective action .56
10.1.1 Required activities .56
10.1.2 Explanation .56
10.1.3 Other information .56
10.2 Continual improvement .56
10.2.1 Required activities .56
10.2.2 Explanation .57
10.2.3 Other information .57
Annex A (informative) Mandatory documented information in ISO/IEC 20000-1:2018 .58
Bibliography .63
© ISO/IEC 2019 – All rights reserved v
Foreword
ISO (the International Organization for Standardization) and IEC (the International Electrotechnical
Commission) form the specialized system for worldwide standardization. National bodies that
are members of ISO or IEC participate in the development of International Standards through
technical committees established by the respective organization to deal with particular fields of
technical activity. ISO and IEC technical committees collaborate in fields of mutual interest. Other
international organizations, governmental and non-governmental, in liaison with ISO and IEC, also
take part in the work.
The procedures used to develop this document and those intended for its further maintenance are
described in the ISO/IEC Directives, Part 1. In particular, the different approval criteria needed for
the different types of document should be noted. This document was drafted in accordance with the
editorial rules of the ISO/IEC Directives, Part 2 (see www .iso .org/directives).
Attention is drawn to the possibility that some of the elements of this document may be the subject
of patent rights. ISO and IEC shall not be held responsible for identifying any or all such patent
rights. Details of any patent rights identified during the development of the document will be in the
Introduction and/or on the ISO list of patent declarations received (see www .iso .org/patents) or the IEC
list of patent declarations received (see http: //patents .iec .ch).
Any trade name used in this document is information given for the convenience of users and does not
constitute an endorsement.
For an explanation of the voluntary nature of standards, the meaning of ISO specific terms and
expressions related to conformity assessment, as well as information about ISO's adherence to the
World Trade Organization (WTO) principles in the Technical Barriers to Trade (TBT) see www .iso
.org/iso/foreword .html.
This document was prepared by Joint Technical Committee ISO/IEC JTC 1, Information technology,
Subcommittee SC 40, IT Service Management and IT Governance.
This third edition cancels and replaces the second edition (ISO/IEC 20000-2:2012), which has been
technically revised.
The main changes from the previous edition are as follows:
a) updated to align with ISO/IEC 20000-1:2018;
b) improved consistency and clarity of guidance for each clause with these consistent elements:
Required activities, Explanation (which includes purpose statement), and Other information (which
includes guidance on documented information and roles and authorities);
c) added an Annex (Annex A) that compiles all of the mandatory documented information called for in
ISO/IEC 20000-1.
A list of all parts in the ISO/IEC 20000 series can be found on the ISO website.
Any feedback or questions on this document should be directed to the user’s national standards body. A
complete listing of these bodies can be found at www .iso .org/members .html.
vi © ISO/IEC 2019 – All rights reserved
Introduction
This document provides guidance for establishing, implementing, maintaining, and continually
improving a service management system (SMS). An SMS supports the management of the service
lifecycle, including the planning, design, transition, delivery, and improvement of services, which
fulfil agreed requirements and deliver value for customers, users, and the organization delivering the
services.
The adoption of an SMS is a strategic decision for an organization and is influenced by the organization’s
objectives, the governing body, other parties involved in the service lifecycle and the need for effective
and resilient services. The guidance in this document aligns with ISO/IEC 20000-1:2018. This document
(ISO/IEC 20000-2) is intentionally independent of guidance for the management of any specific type
of service. The organization can use a combination of generally accepted frameworks and its own
experience. Improvement for service management can use common improvement methodologies
and apply them to the SMS and the services. Appropriate tools for service management can be used
to support the SMS. Implementation and operation of an SMS provides ongoing visibility, control of
services, and continual improvement, leading to greater effectiveness and efficiency. Improvement for
service management applies to the SMS and the services.
The clause structure in this document (i.e. clause numbering and sequence) aligns with
ISO/IEC 20000-1:2018 and the terms used in this document align with ISO/IEC 20000-1:2018 and
ISO/IEC 20000-10:2018.
© ISO/IEC 2019 – All rights reserved vii
INTERNATIONAL STANDARD ISO/IEC 20000-2:2019(E)
Information technology — Service management —
Part 2:
Guidance on the application of service management systems
1 Scope
1.1 General
This document provides guidance on the application of a service management system (SMS) based
on ISO/IEC 20000-1. It provides examples and recommendations to enable organizations to interpret
and apply ISO/IEC 20000-1, including references to other parts of ISO/IEC 20000 and other relevant
standards.
Figure 1 illustrates an SMS with the clause content of ISO/IEC 20000-1. It does not represent a structural
hierarchy, sequence, or authority levels.
Figure 1 — Service management system
The structure of clauses is intended to provide a coherent presentation of requirements, rather than
a model for documenting an organization’s policies, objectives, and processes. Each organization can
choose how to combine the requirements into processes. The relationship between each organization
and its customers, users, and other interested parties influences how the processes are implemented.
However, an SMS as designed by an organization cannot exclude any of the requirements specified in
ISO/IEC 20000-1.
© ISO/IEC 2019 – All rights reserved 1
The term ‘service’ as used in this document refers to the services in the scope of the SMS. The term
‘organization’ as used in this document refers to the organization in the scope of the SMS. The
organization in the scope of the SMS can be part of a larger organization, for example an IT department
of a large corporation. The organization manages and delivers services to customers and can also
be referred to as a service provider. Any use of the terms ‘service’ or ’organization’ with a different
intent is distinguished clearly in this document. The term ‘delivered’, as used in this document, can be
interpreted as all of the service lifecycle activities that are performed in addition to daily operational
activities. Service lifecycle activities include planning, design, transition, delivery, and improvement.
1.2 Application
The guidance in this document is generic and is intended to be applicable to any organization applying
an SMS, regardless of the organization's type or size, or the nature of the services delivered. While
it can be used ‘regardless of the organization’s type or size, or the nature of the services delivered’,
ISO/IEC 20000-1 has its roots in IT. It is intended for service management of services using
technology and digital information. The examples given in this document illustrate a variety of uses of
ISO/IEC 20000-1.
The service provider is accountable for the SMS and therefore cannot ask another party to fulfil the
requirements of ISO/IEC 20000-1:2018, Clauses 4 and 5. For example, the organization cannot ask
another party to provide the top management and demonstrate top management commitment or to
demonstrate the control of parties involved in the service lifecycle.
Some activities in ISO/IEC 20000-1:2018, Clauses 4 and 5 can be performed by another party under
the management of the organization. For example, an organization can ask another party to create the
initial service management plan as a key document for the SMS. The plan, once created and agreed, is
the direct responsibility of and is maintained by the organization. In these examples, the organization
is using other parties for specific short-term activities. The organization has accountability, authorities,
and responsibility for the SMS. The organization can therefore demonstrate evidence of fulfilling all of
the requirements of ISO/IEC 20000-1:2018, Clauses 4 and 5.
For ISO/IEC 20000-1:2018, Clauses 6 to 10, an organization can show evidence of meeting all of the
requirements itself. Alternatively, an organization can show evidence of retaining accountability for the
requirements when other parties are involved in meeting the requirements in ISO/IEC 20000-1:2018,
Clauses 6 to 10. Control of other parties involved in the service lifecycle can be demonstrated by the
organization (see 8.2.3). For example, the organization can demonstrate evidence of controls for another
party who is providing infrastructure service components or operating the service desk including the
incident management process.
The organization cannot demonstrate conformity to the requirements in ISO/IEC 20000-1 if other
parties are used to provide or operate all services, service components, or processes within the scope of
the SMS. However, if other parties provide or operate only some of the services, service components, or
processes, the organization can normally demonstrate evidence of meeting the requirements specified
in ISO/IEC 20000-1.
The scope of this document excludes the specification of products or tools. However, ISO/IEC 20000-1
and this document can be used to help with the development or acquisition of products or tools that
support the operation of an SMS.
1.3 Structure
This document follows the clauses in ISO/IEC 20000-1 and, from Clause 4 onwards, provides three
sections per clause or sub-clause:
a) Required activities: a summary of the activities required by this clause in ISO/IEC 20000-1 Note
that this summary does not replicate the requirement statements in ISO/IEC 20000-1 or add new
requirements, but simply describes the activities;
2 © ISO/IEC 2019 – All rights reserved
b) Explanation: an explanation of the purpose of the clause and practical guidance on clause
contents, including examples and recommendations on how to implement the requirements
of ISO/IEC 20000-1. When relevant, it refers to other parts of ISO/IEC 20000 and other relevant
standards;
c) Other information: guidance on roles and responsibilities and on documented information
supporting the implementation of an SMS. Further relevant information can also be included.
2 Normative references
The following documents are referred to in the text in such a way that some or all of their content
constitutes requirements of this document. For dated references, only the edition cited applies. For
undated references, the latest edition of the referenced document (including any amendments) applies.
ISO/IEC 20000-10, Information technology — Service management — Part 10: Concepts and vocabulary
3 Terms and definitions
For the purposes of this document, the terms and definitions given in ISO/IEC 20000-10 apply.
ISO and IEC maintain terminological databases for use in standardization at the following addresses:
— IEC Electropedia: available at http: //www .electropedia .org/
— ISO Online browsing platform: available at http: //www .iso .org/obp
4 Context of the organization
4.1 Understanding the organization and its context
4.1.1 Required activities
The organization determines external and internal issues relevant to its purpose and affecting its
ability to achieve the intended outcomes of the SMS.
4.1.2 Explanation
The purpose of this required activity is to set the context by determining those issues that are relevant
to the organization’s purpose and influence its ability to achieve the intended outcomes of the SMS.
These outcomes include the delivery of value to its customers. Issues can vary, e.g. internal or external,
positive or negative. All issues taken together provide the basic context in which the organization
establishes its SMS.
NOTE The word ‘issue’ in this context can be factors or attributes that have a positive or negative impact.
These are important topics, factors, or attributes for the organization in the context of its ability to deliver
services of an agreed quality to its customers.
To implement an SMS successfully, the organization identifies and documents its internal and
external context. Context includes the nature of the organization itself, the needs and expectations
of other interested parties that have a stake in the SMS, and the scope of the SMS itself. Based on an
understanding of these issues, the SMS can be established.
Early in the planning stage, the organization should establish how ISO/IEC 20000-1 is applicable to the
organization’s context, so that the initial scope of the SMS can be documented. Failing to identify the
context, interested parties, and scope can lead to an unsuccessful or inefficient SMS.
© ISO/IEC 2019 – All rights reserved 3
Because external and internal issues can change, the organization can review its context at planned
intervals and through management review.
EXAMPLE Internal issues can include policies, resources, capabilities, people, skills and knowledge,
organizational structure, governance, culture, internal customer demands, and finance. External issues can
include market, political, economic, and environmental influences, competition, laws and regulations, external
customer demands, and the likelihood of events that could affect the services.
4.1.3 Other information
A list of internal and external issues affecting the SMS is developed and should be documented.
Establishing the context of the organization is completed at the top management level, who may have
the assistance of technical and business analysts.
4.2 Understanding the needs and expectations of interested parties
4.2.1 Required activities
The organization determines interested parties relevant to the SMS and the services and their
requirements.
4.2.2 Explanation
The purpose of this required activity is to ensure that the organization identifies requirements of
relevant interested parties to support the SMS to deliver services. An interested party is a person or
group that can affect or can be affected by a decision or activity related to the SMS. They can be internal
or external to the organization. An interested party can also be known as a stakeholder.
EXAMPLE Interested parties can include customers and customer representatives, top executives,
management representatives, account management, personnel, support functions within the organization
(e.g. technology support, human resources, facilities, legal, recruitment, procurement), suppliers, partners,
regulators, auditors, trade and professional associations, and competitors.
The organization identifies the interested parties and their relevance to the achievement of service
management objectives or to the delivery of services, including their requirements for the SMS or the
services. An interested party can affect the performance and effectiveness of the SMS and the services,
influence the market, or create and mitigate risks.
Interested parties' requirements can include the following:
a) service requirements such as service level targets, capacity, performance, service level
requirements, service continuity, information security, or availability requirements;
b) legal and regulatory requirements imposed by external authorities, such as national or regional
laws and regulations;
c) contractual obligations to partners, customers, or suppliers.
4.2.3 Other information
The organization documents a list of interested parties with their specific interests and their
requirements for the SMS and the services.
Identifying interested parties is completed at the top management level, who may have the assistance
of technical and business analysts.
4 © ISO/IEC 2019 – All rights reserved
4.3 Determining the scope of the service management system
4.3.1 Required activities
The organization determines the boundaries and applicability of the SMS to establish its scope.
4.3.2 Explanation
The purpose of this required activity is to use the information gathered about the issues and
requirements of interested parties to define exactly what part of the organization and what services
are to be included within the SMS. Establishing the scope is therefore a key activity that determines the
necessary foundation for all other activities in the implementation of the SMS.
The organization takes into account the following inputs when documenting the scope of the SMS:
a) the internal and external issues;
b) the needs and expectations of internal and external interested parties;
c) what services or types of services are offered to customers, e.g.
— a single service, group of services, or all services;
— IT services, cloud services;
— technology services to support facilities management, business process outsourcing;
— technology services to support any sector’s business such as telecommunications, finance,
retail, tourism, utilities;
d) the number and type of customers, e.g. a single customer, a specific customer sector, external or
internal customers;
e) the locations from which the services are to be delivered.
The services considered at c) can be all or some of the services that are agreed to be in the scope of the
SMS. The services in the scope of the SMS can be all or some of the services delivered by the organization.
The services in the scope of the SMS can be listed individually or grouped. The name of the organization
that manages and provides the services is included; however, the scope statement should not include
the names of other parties contributing to the deliv
...
NORME ISO/IEC
INTERNATIONALE 20000-2
Troisième édition
2019-08
Technologies de l'information —
Gestion des services —
Partie 2:
Directives relatives à l'application des
systèmes de management des services
Information technology — Service management —
Part 2: Guidance on the application of service management systems
Numéro de référence
©
ISO/IEC 2019
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO/IEC 2019
Tous droits réservés. Sauf prescription différente ou nécessité dans le contexte de sa mise en œuvre, aucune partie de cette
publication ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique,
y compris la photocopie, ou la diffusion sur l’internet ou sur un intranet, sans autorisation écrite préalable. Une autorisation peut
être demandée à l’ISO à l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Case postale 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Genève
Tél.: +41 22 749 01 11
Fax: +41 22 749 09 47
E-mail: copyright@iso.org
Web: www.iso.org
Publié en Suisse
ii © ISO/IEC 2019 – Tous droits réservés
Sommaire Page
Avant-propos .vi
Introduction .vii
1 Domaine d'application . 1
1.1 Généralités . 1
1.2 Application . 2
1.3 Structure . 3
2 Références normatives . 3
3 Termes et définitions . 3
4 Contexte de l'organisme. 3
4.1 Compréhension de l'organisme et de son contexte . 3
4.1.1 Activités requises . 3
4.1.2 Explication . 3
4.1.3 Informations supplémentaires . 4
4.2 Compréhension des besoins et attentes des parties intéressées . 4
4.2.1 Activités requises . 4
4.2.2 Explication . 4
4.2.3 Informations supplémentaires . 5
4.3 Détermination du périmètre du système de management des services . 5
4.3.1 Activités requises . 5
4.3.2 Explication . 5
4.3.3 Informations supplémentaires . 6
4.4 Système de management des services. 6
4.4.1 Activités requises . 6
4.4.2 Explication . 6
4.4.3 Informations supplémentaires . 6
5 Leadership . 6
5.1 Leadership et engagement. 6
5.1.1 Activités requises . 6
5.1.2 Explication . 6
5.1.3 Informations supplémentaires . 7
5.2 Politique . 8
5.2.1 Activités requises . 8
5.2.2 Explication . 8
5.2.3 Informations supplémentaires . 9
5.3 Rôles, responsabilités et autorités au sein de l'organisme . 9
5.3.1 Activités requises . 9
5.3.2 Explication . 9
5.3.3 Informations supplémentaires .10
6 Planification .10
6.1 Actions relatives aux risques et opportunités.10
6.1.1 Activités requises .10
6.1.2 Explication .10
6.1.3 Informations supplémentaires .11
6.2 Objectifs de la gestion des services et planification des actions pour les atteindre .12
6.2.1 Activités requises .12
6.2.2 Explication .12
6.2.3 Informations supplémentaires .12
6.3 Planification du système de management des services .12
6.3.1 Activités requises .12
6.3.2 Explication .12
6.3.3 Informations supplémentaires .14
7 Support du système de management des services.14
© ISO/IEC 2019 – Tous droits réservés iii
7.1 Ressources .14
7.1.1 Activités requises .14
7.1.2 Explication .14
7.1.3 Informations supplémentaires .14
7.2 Compétences .15
7.2.1 Activités requises .15
7.2.2 Explication .15
7.2.3 Informations supplémentaires .16
7.3 Sensibilisation .16
7.3.1 Activités requises .16
7.3.2 Explication .16
7.3.3 Informations supplémentaires .16
7.4 Communication .17
7.4.1 Activités requises .17
7.4.2 Explication .17
7.4.3 Informations supplémentaires .18
7.5 Informations documentées .18
7.5.1 Généralités .18
7.5.2 Création et mise à jour des informations documentées .19
7.5.3 Contrôle des informations documentées .20
7.5.4 Informations documentées du système de management des services .21
7.6 Connaissances.22
7.6.1 Activités requises .22
7.6.2 Explication .22
7.6.3 Informations supplémentaires .22
8 Fonctionnement du système de management des services .23
8.1 Planification et contrôle opérationnels .23
8.1.1 Activités requises .23
8.1.2 Explication .23
8.1.3 Informations supplémentaires .23
8.2 Portefeuille des services .24
8.2.1 Fourniture des services .24
8.2.2 Planification des services .25
8.2.3 Contrôle des parties impliquées dans le cycle de vie du service .26
8.2.4 Gestion du catalogue de services .28
8.2.5 Gestion des actifs .29
8.2.6 Gestion de configuration .30
8.3 Relations et accords .32
8.3.1 Généralités .32
8.3.2 Gestion des relations commerciales .33
8.3.3 Gestion des niveaux de service .35
8.3.4 Gestion des fournisseurs.36
8.4 Offre et demande .38
8.4.1 Budgétisation et comptabilité des services .38
8.4.2 Gestion de la demande . .40
8.4.3 Gestion de la capacité .41
8.5 Conception, construction et transition du service .42
8.5.1 Gestion des changements .42
8.5.2 Conception et transition du service .46
8.5.3 Gestion des déploiements et des mises en production.50
8.6 Résolution et satisfaction .51
8.6.1 Gestion des incidents .51
8.6.2 Gestion des demandes de services .53
8.6.3 Gestion des problèmes .54
8.7 Garantie de services .55
8.7.1 Gestion de la disponibilité de service .55
8.7.2 Gestion de la continuité de service .56
8.7.3 Management de la sécurité de l'information .57
iv © ISO/IEC 2019 – Tous droits réservés
9 Évaluation des performances .59
9.1 Surveillance, mesure, analyse et évaluation .59
9.1.1 Activités requises .59
9.1.2 Explication .60
9.1.3 Informations supplémentaires .60
9.2 Audit interne .60
9.2.1 Activités requises .60
9.2.2 Explication .60
9.2.3 Informations supplémentaires .61
9.3 Revue de direction .61
9.3.1 Activités requises .61
9.3.2 Explication .61
9.3.3 Informations supplémentaires .62
9.4 Établissement de rapports de services .62
9.4.1 Activités requises .62
9.4.2 Explication .62
9.4.3 Informations supplémentaires .62
10 Amélioration .63
10.1 Non-conformités et actions correctives .63
10.1.1 Activités requises .63
10.1.2 Explication .63
10.1.3 Informations supplémentaires .63
10.2 Amélioration continue .63
10.2.1 Activités requises .63
10.2.2 Explication .64
10.2.3 Informations supplémentaires .64
Annexe A (informative) Informations documentées obligatoires spécifiées dans
l'ISO/IEC 20000-1:2018 .65
Bibliographie .70
© ISO/IEC 2019 – Tous droits réservés v
Avant-propos
L'ISO (Organisation internationale de normalisation) et l’IEC (Commission électrotechnique
internationale) forment le système spécialisé de la normalisation mondiale. Les organismes
nationaux membres de l'ISO ou de l’IEC participent au développement de Normes internationales
par l'intermédiaire des comités techniques créés par l'organisation concernée afin de s'occuper des
domaines particuliers de l'activité technique. Les comités techniques de l'ISO et de l’IEC collaborent
dans des domaines d'intérêt commun. D'autres organisations internationales, gouvernementales et non
gouvernementales, en liaison avec l'ISO et l’IEC, participent également aux travaux.
Les procédures utilisées pour élaborer le présent document et celles destinées à sa mise à jour sont
décrites dans les Directives ISO/IEC, Partie 1. Il convient, en particulier de prendre note des différents
critères d'approbation requis pour les différents types de documents ISO. Le présent document a été
rédigé conformément aux règles de rédaction données dans les Directives ISO/IEC, Partie 2 (voir www
.iso .org/directives).
L'attention est attirée sur le fait que certains des éléments du présent document peuvent faire l'objet
de droits de propriété intellectuelle ou de droits analogues. L'ISO et l’IEC ne sauraient être tenues pour
responsables de ne pas avoir identifié de tels droits de propriété et averti de leur existence. Les détails
concernant les références aux droits de propriété intellectuelle ou autres droits analogues identifiés
lors de l'élaboration du document sont indiqués dans l'Introduction et/ou dans la liste des déclarations
de brevets reçues par l'ISO (voir www .iso .org/brevets) ou dans la liste des déclarations de brevets
reçues par l'IEC (voir http: //patents .iec .ch).
Les appellations commerciales éventuellement mentionnées dans le présent document sont données
pour information, par souci de commodité, à l’intention des utilisateurs et ne sauraient constituer un
engagement.
Pour une explication de la nature volontaire des normes, la signification des termes et expressions
spécifiques de l'ISO liés à l'évaluation de la conformité, ou pour toute information au sujet de l'adhésion
de l'ISO aux principes de l’Organisation mondiale du commerce (OMC) concernant les obstacles
techniques au commerce (OTC), voir: www .iso .org/iso/avant -propos.
Le présent document a été élaboré par le comité technique mixte ISO/IEC JTC 1, Technologies de
l'information, sous-comité SC 40, Gestion des services IT et gouvernance IT.
Cette troisième édition annule et remplace la deuxième édition (ISO/IEC 20000-2:2012) qui a fait l'objet
d'une révision technique.
Les principales modifications par rapport à l'édition précédente sont les suivantes:
a) mise à jour visant à garantir un meilleur alignement sur l'ISO/IEC 20000-1:2018;
b) amélioration de la cohérence et clarification des recommandations données dans chaque article
avec les sections communes suivantes: Activités requises, Explication (comprenant un énoncé de
l'objet) et Informations supplémentaires (comprenant des recommandations sur les informations
documentées ainsi que sur les rôles et autorités);
c) ajout d'une annexe (Annexe A) condensant toutes les informations documentées référencées dans
l'ISO/IEC 20000-1 qui ont un caractère obligatoire.
Une liste de toutes les parties de la série ISO/IEC 20000 se trouve sur le site web de l'ISO.
Il convient que l'utilisateur adresse tout retour d'information ou toute question concernant le présent
document à l'organisme national de normalisation de son pays. Une liste exhaustive desdits organismes
se trouve à l'adresse www .iso .org/fr/members .html.
vi © ISO/IEC 2019 – Tous droits réservés
Introduction
Le présent document fournit des lignes directrices en vue de l'établissement, de la mise en œuvre,
de la tenue à jour et de l'amélioration continue d'un système de management des services (SMS). Un
SMS est une aide à la gestion du cycle de vie des services, comprenant la planification, la conception, la
transition, la fourniture et l'amélioration des services, pour satisfaire aux exigences convenues et créer
de la valeur pour les clients, les utilisateurs et l'organisme fournisseur des services.
L'adoption d'un SMS constitue une décision stratégique pour un organisme et est généralement
influencée par les objectifs de l'organisme, l'organe de gouvernance, les autres parties impliquées dans
le cycle de vie du service et la nécessité d'obtenir des services efficaces et faisant preuve de résilience.
Les lignes directrices données dans le présent document sont conformes à l'ISO/IEC 20000-1:2018.
Le présent document exclut volontairement toute ligne directrice pour la gestion de tout type de
service spécifique. L'organisme peut utiliser une combinaison de référentiels généralement admis et
sa propre expérience. L'amélioration de la gestion des services peut s'appuyer sur des méthodologies
d'optimisation communes et les appliquer au SMS et aux services. Des outils appropriés de gestion des
services peuvent être utilisés pour accompagner le SMS. La mise en œuvre et le fonctionnement d'un
SMS apportent une visibilité des opérations, un contrôle des services et une amélioration continue
conduisant à une meilleure efficience et à une plus grande efficacité. L'amélioration du management des
services s'applique aux SMS et aux services.
La structure des articles et paragraphes du présent document (c'est-à-dire leur numérotation et leur
séquence) suit celle de l'ISO/IEC 20000-1:2018 et la terminologie employée dans le présent document
est conforme à celle de l'ISO/IEC 20000-1:2018 et de l'ISO/IEC 20000-10:2018.
© ISO/IEC 2019 – Tous droits réservés vii
NORME INTERNATIONALE ISO/IEC 20000-2:2019(F)
Technologies de l'information — Gestion des services —
Partie 2:
Directives relatives à l'application des systèmes de
management des services
1 Domaine d'application
1.1 Généralités
Le présent document fournit des lignes directrices concernant l'application d'un système de management
des services (SMS) basé sur l'ISO/IEC 20000-1. Il fournit des exemples et des recommandations pour
permettre aux organismes d'interpréter et d'appliquer l'ISO/IEC 20000-1, y compris des références à
d'autres parties de l'ISO/IEC 20000 et à d'autres normes appropriées.
La Figure 1 représente un SMS montrant le contenu de l'ISO/IEC 20000-1. Elle ne représente pas une
hiérarchie structurelle, une séquence ou des niveaux d'autorité.
Figure 1 — Système de management des services
© ISO/IEC 2019 – Tous droits réservés 1
La structure est destinée à fournir une présentation cohérente des exigences plutôt qu'un modèle pour
la documentation des politiques, des objectifs et des processus d'un organisme. Chaque organisme peut
choisir comment combiner les exigences au sein des processus. Les relations entre chaque organisme et
ses clients, utilisateurs et autres parties intéressées ont une influence sur le mode de mise en œuvre des
processus. Un SMS tel qu'il est désigné par un organisme ne peut toutefois exclure aucune des exigences
spécifiées dans l'ISO/IEC 20000-1.
Le terme «service» tel qu'il est utilisé dans le présent document se réfère aux services compris dans
le périmètre du SMS. Le terme «organisme» tel qu'il est utilisé dans le présent document se rapporte
à l'organisme inclus dans le périmètre d'application du SMS. Dans le périmètre d'application du SMS,
l'organisme peut faire partie d'un organisme plus grand, comme ce peut être le cas, par exemple, d'un
département informatique au sein d'une grande société. L'organisme gère et fournit des services aux
clients et peut également être qualifié de fournisseur de services. Toute utilisation différente des
termes «service» et «organisme» est clairement distinguée dans le présent document. Le terme «fourni»,
tel qu'il est utilisé dans le présent document, peut être interprété comme couvrant l'ensemble des
activités du cycle de vie du service qui sont réalisées en complément des activités opérationnelles
quotidiennes. Les activités du cycle de vie d'un service englobent la planification, la conception, la
transition, la fourniture et l'amélioration.
1.2 Application
Les recommandations données dans le présent document sont génériques et prévues pour s'appliquer à
tout organisme qui emploie un SMS, quel que soit son type ou sa taille, ou la nature des services fournis.
Bien que pouvant s'appliquer "à tout organisme, quels que soient son type ou sa taille, ou la nature des
services fournis", l'ISO/IEC 20000-1 est issue des technologies de l'information. Elle est prévue pour
la gestion des services qui utilisent les technologies et l'information numérique. Les exemples donnés
dans le présent document illustrent diverses utilisations de l'ISO/IEC 20000-1.
Le fournisseur de services est responsable du SMS et par conséquent ne peut pas demander à un tiers de
satisfaire aux exigences des Articles 4 et 5 de l'ISO/IEC 20000-1:2018. Par exemple, l'organisme ne peut
pas demander à un tiers de jouer le rôle de la direction et de démontrer l'engagement de la direction ou
de démontrer le contrôle des parties impliquées dans le cycle de vie du service.
Certaines activités des Articles 4 et 5 de l'ISO/IEC 20000-1:2018 peuvent être exécutées par un tiers
sous la responsabilité de l'organisme. Par exemple, un organisme peut demander à un tiers de créer
le plan de gestion des services initial, qui constitue un document essentiel d'un SMS. Le plan, une fois
créé et ayant fait l'objet d'un accord, relève de la responsabilité directe de l'organisme et est tenu à
jour par ce dernier. Dans ces exemples, l'organisme utilise des tiers pour des activités spécifiques à
court terme. L'organisme a la responsabilité et l'autorité vis-à-vis du SMS. L'organisme peut par
conséquent démontrer les preuves d'une satisfaction à toutes les exigences des Articles 4 et 5 de
l'ISO/IEC 20000-1:2018.
Pour les Articles 6 à 10 de l'ISO/IEC 20000-1:2018, un organisme peut apporter lui-même la preuve qu'il
satisfait à toutes les exigences. Toutefois, un organisme peut aussi apporter la preuve qu'il conserve la
responsabilité des exigences lorsque d'autres parties contribuent également à satisfaire aux exigences
prévues aux Articles 6 à 10 de l'ISO/IEC 20000-1:2018. L'organisme peut démontrer le contrôle des
autres parties impliquées dans le cycle de vie du service (voir 8.2.3). À titre d'exemple, l'organisme
peut apporter la preuve des contrôles sur une autre partie qui fournit les composants de services
d'infrastructure ou qui opère le centre de services comprenant le processus de gestion des incidents.
L'organisme ne peut pas démontrer sa conformité aux exigences de l'ISO/IEC 20000-1 si d'autres parties
sont utilisées pour fournir ou opérer tous les services, les composants de services ou les processus dans
le périmètre du SMS. Cependant, si d'autres parties fournissent ou exploitent seulement une partie des
services, des composants du service ou des processus, l'organisme doit pouvoir apporter la preuve qu'il
satisfait aux exigences spécifiées dans l'ISO/IEC 20000-1.
Le domaine d'application du présent document ne couvre pas la spécification de produits ou d'outils.
L'ISO/IEC 20000-1 et le présent document peuvent toutefois être utilisés pour permettre l'élaboration
ou l'acquisition de produits ou d'outils participant au fonctionnement d'un SMS.
2 © ISO/IEC 2019 – Tous droits réservés
1.3 Structure
Le présent document suit les articles de l'ISO/IEC 20000-1 et, à partir de l'Article 4, comprend trois
sections par article ou paragraphe:
a) Activités requises: synthèse des activités exigées par l'article concerné de l'ISO/IEC 20000-1. Noter
que cette section ne réplique pas l'énoncé des exigences donné dans l'ISO/IEC 20000-1 ni n'ajoute
de nouvelles exigences, mais consiste simplement à décrire les activités;
b) Explication: explication de l'objet de l'article et des recommandations pratiques concernant son
contenu; cette section comprend des exemples et des recommandations pour décrire la manière
d'implémenter les exigences de l'ISO/IEC 20000-1. Le cas échéant, elle fait référence à d'autres
parties de l'ISO/IEC 20000 et à d'autres normes appropriées;
c) Informations supplémentaires: recommandations sur les rôles et responsabilités ainsi que sur
les informations documentées qui viennent à l'appui de la mise en œuvre d'un SMS. D'autres
informations pertinentes peuvent également y être ajoutées.
2 Références normatives
Les documents suivants sont cités dans le texte de sorte qu’ils constituent, pour tout ou partie de leur
contenu, des exigences du présent document. Pour les références datées, seule l’édition citée s’applique.
Pour les références non datées, la dernière édition du document de référence s'applique (y compris les
éventuels amendements).
ISO/IEC 20000-10, Technologies de l'information — Gestion des services — Partie 10: Concepts et
vocabulaire
3 Termes et définitions
Pour les besoins du présent document, les termes et définitions de l'ISO/IEC 20000-10 s'appliquent.
L'ISO et l'IEC tiennent à jour des bases de données terminologiques destinées à être utilisées en
normalisation, consultables aux adresses suivantes:
— ISO Online browsing platform: disponible à l'adresse
— IEC Electropedia: disponible à l'adresse http: //www .electropedia .org/
4 Contexte de l'organisme
4.1 Compréhension de l'organisme et de son contexte
4.1.1 Activités requises
L'organisme détermine les facteurs externes et internes pertinents par rapport à sa finalité et qui
influent sur sa capacité à atteindre les résultats attendus du SMS.
4.1.2 Explication
Cette activité requise vise à définir le contexte, en déterminant les facteurs qui concernent la finalité
de l'organisme et qui influent sur sa capacité à atteindre les résultats attendus du SMS. Ces résultats
incluent l'apport d'une valeur ajoutée pour ses clients. Ces facteurs peuvent varier et peuvent être, par
© ISO/IEC 2019 – Tous droits réservés 3
exemple, internes ou internes, positifs ou négatifs. L'ensemble des facteurs fournissent collectivement
le contexte fondamental dans lequel l'organisme instaure son SMS.
NOTE Le mot «facteur» dans ce contexte peut désigner des facteurs ou des attributs qui ont un impact positif
ou négatif. Ce sont là des sujets, des facteurs ou des attributs importants pour l'organisme dans le contexte de sa
capacité à fournir à ses clients des services ayant la qualité convenue.
Pour mener à bien la mise en œuvre d'un SMS, l'organisme identifie et documente ses contextes interne
et externe. Le contexte inclut la nature de l'organisme lui-même, les besoins et attentes des autres
parties intéressées qui ont un intérêt dans le SMS, ainsi que le périmètre du SMS proprement dit. Le
SMS peut être établi sur la base d'une compréhension de ces facteurs.
Dès le début de la phase de planification, il convient que l'organisme détermine dans quelle mesure
l'ISO/IEC 20000-1 s'applique à son propre contexte afin de pouvoir documenter le périmètre initial
du SMS. Faute d'identifier le contexte, les parties intéressées et le périmètre, le SMS produit peut
échouer ou se révéler inefficace.
Étant donné que les facteurs internes et externes peuvent changer, l'organisme peut réexaminer son
contexte à intervalles réguliers et au travers d'une revue de direction.
EXEMPLE Les facteurs internes peuvent inclure les politiques, les ressources, les aptitudes, les personnes,
les compétences et les connaissances, la structure organisationnelle, la gouvernance, la culture, les exigences
client et les aspects financiers. Les facteurs externes peuvent comprendre les influences du marché, politiques,
économiques et environnementales, ainsi que la concurrence, la législation et la réglementation, les exigences
des clients externes et la probabilité que surviennent des événements pouvant affecter les services.
4.1.3 Informations supplémentaires
Une liste des facteurs internes et externes qui influencent le SMS est élaborée et il convient de la
documenter.
Le contexte de l'organisme est établi au niveau de la direction, qui peut solliciter l'assistance d'analystes
techniques et métier.
4.2 Compréhension des besoins et attentes des parties intéressées
4.2.1 Activités requises
L'organisme identifie les parties intéressées du SMS et des services, et détermine leurs exigences.
4.2.2 Explication
Cette activité requise vise à s'assurer que l'organisme identifie les exigences des parties intéressées,
afin de permettre au SMS de fournir les services appropriés. Une partie intéressée désigne une personne
ou un groupe pouvant affecter ou être affecté(e) par une décision ou une activité en lien avec le SMS.
Une partie intéressée peut être interne ou externe à l'organisme. Une partie intéressée peut également
être appelée une partie prenante.
EXEMPLE Les clients et leurs représentants, les hauts dirigeants, les représentants de la direction, les
chargés de compte, les membres du personnel, les fonctions d'assistance internes à l'organisme (par exemple,
assistance technologique, ressources humaines, services des équipements, service juridique, recrutement,
achats), les fournisseurs, les partenaires, les législateurs, les auditeurs, les associations professionnelles et les
concurrents sont des exemples de parties intéressées.
L'organisme identifie les parties intéressées ainsi que leur apport du point de vue de la réalisation des
objectifs de gestion des services ou de la fourniture des services, y compris leurs exigences vis-à-vis
du SMS ou des services. Une partie intéressée peut avoir une incidence sur la performance et l'efficacité
du SMS et des services, influer sur le marché, ou créer et réduire des risques.
4 © ISO/IEC 2019 – Tous droits réservés
Les exigences des parties intéressées peuvent inclure:
a) les exigences de services, telles que les objectifs de niveaux de service, les capacités, les
performances, les exigences de niveau de service, la continuité de service, la sécurité de
l'information ou les exigences de disponibilité;
b) les exigences légales et réglementaires imposées par des autorités externes,
...
Questions, Comments and Discussion
Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.
Loading comments...