Национальный стандарт РФ ГОСТ Р ИСО/МЭК 20000-1-2013
"Информационная технология. Управление услугами. Часть 1. Требования к системе управления услугами"
(утв. приказом Федерального агентства по техническому регулированию и метрологии от 8 ноября 2013 N 1543-ст)
Information technology - Service management - Part 1: Service management system requirements
Дата введения - 1 января 2015 г.
Введен впервые
Введение
Требования в данной части ИСО/МЭК 20000 включают проектирование, преобразование, предоставление и совершенствование услуг, удовлетворяющих требованиям к услугам и обеспечивающих ценность для заказчика и поставщика услуг. Данная часть ИСО/МЭК 20000 требует применения комплексного процессного подхода при осуществлении поставщиком услуг таких видов деятельности как планирование, создание, внедрение, эксплуатация, мониторинг, анализ, поддержка и совершенствование системы управления услугами (СУУ).
Скоординированная интеграция и внедрение СУУ обеспечивают непрерывный контроль и предоставляют возможности для постоянного совершенствования, большую результативность и эффективность. Функционирование процессов, указанных в данной части ИСО/МЭК 20000, требует хорошей организации и скоординированной работы персонала. Для обеспечения результативности и эффективности процессов может быть использован соответствующий инструментарий.
Для наибольшей результативности поставщикам услуг следует рассматривать влияние на СУУ на протяжении всех стадий жизненного цикла услуги: от стратегии через проектирование, преобразование и эксплуатацию, включая постоянное совершенствование.
Данная часть ИСО/МЭК 20000 требует применения методологии, известной как "Планирование - Выполнение - Проверка - Корректировка" (PDCA), ко всем частям СУУ и услугам. Методология PDCA, используемый в данной части ИСО/МЭК 20000, может быть кратко охарактеризован следующим образом.
Планирование: установление, документирование и согласование СУУ, которая включает политики, цели, планы и процессы для удовлетворения требований к услугам.
Выполнение: внедрение и эксплуатация СУУ для проектирования, преобразования, предоставления и совершенствования услуг.
Проверка: мониторинг, измерение и проверка СУУ и услуг на соответствие политикам, целям, планам и требованиям к услугам, а также предоставление результатов в форме отчетов.
Корректировка: принятие мер по постоянному совершенствованию СУУ и услуг.
Наиболее важными аспектами комплексного процессного подхода и методологии PDCA при использовании с СУУ являются:
понимание и удовлетворение требований к услугам с целью достижения удовлетворенности заказчика;
установление политик и целей управления услугами;
основанное на СУУ осуществление проектирования и предоставления услуг, которые предоставляют ценность заказчику;
мониторинг, измерение и анализ эффективности СУУ и услуг;
постоянное совершенствование СУУ и услуг, основанное на объективных измерениях.
Схема 1 иллюстрирует применение методологии PDCA к СУУ, включая процессы управления услугами, указанные в разделах 5 - 9, и к услугам. Каждый элемент методологии PDCA жизненно необходим для успешного внедрения СУУ. Процесс совершенствования, используемый в данной части ИСО/МЭК 20000, основан на методологии PDCA.
Данная часть ИСО/МЭК 20000 позволяет поставщику услуг интегрировать свои СУУ с другими системами управления в организации поставщика услуг. Принятие комплексного процессного подхода и методологии PDCA позволяет поставщику услуг привести в соответствие между собой или полностью интегрировать несколько стандартов систем управления. Например, СУУ может быть интегрирована с системой управления качеством, основанной на ИСО 9001, или с системой информационной безопасности, основанной на ИСО/МЭК 27001.
ИСО/МЭК 20000 намеренно создан как не зависящий от конкретных указаний стандарт. Поставщик услуг может использовать сочетание общепринятых рекомендаций и собственного опыта.
Пользователи Международного стандарта несут ответственность за его правильное применение. Международный стандарт не ставит своей целью охватить все необходимые законодательные и нормативные требования и договорные обязательства поставщика услуг. Соответствие Международному стандарту само по себе не дает освобождения или каких-либо привилегий в отношении законодательных и регулирующих требований.
Отдельное внимание обращается на то, что некоторые элементы настоящего документа могут быть объектом патентного права. ИСО и МЭК не несут ответственности за определение патентных прав подобного рода.
Стандарт ИСО/МЭК 20000-1 был подготовлен подкомитетом ПК 7 "Программное обеспечение и системотехника" объединенного технического комитета ИСО/МЭК СТК 1 "Информационные технологии".
"Рисунок 1 - Применение методологии PDCA в управлении услугами"
В целях дальнейшего совершенствования и разработки стандартов управления услугами пользователям предлагается высказать свое мнение по ИСО/МЭК 20000-1, а также сформулировать предпочтения по очередности внесения изменений в остальные части стандарта ИСО/МЭК серии 20000.
1 Область применения
1.1 Общие положения
Данная часть ИСО/МЭК 20000 является стандартом Системы управления услугами (СУУ). Здесь представлены требования к поставщику услуг по планированию, созданию, внедрению, эксплуатации, мониторингу, анализу, поддержке и совершенствованию СУУ. Требования охватывают проектирование, преобразование, предоставление и совершенствование услуг для обеспечения соответствия требованиям к услугам.
Данная часть ИСО/МЭК 20000 может использоваться:
организацией, нуждающейся в поставщиках услуг и требующей гарантий обеспечения выполнения соответствующих требований к услугам;
организацией, требующей последовательного и согласованного подхода от всех поставщиков услуг, в том числе в цепочке поставок;
поставщиком услуг, который намерен продемонстрировать свои способности по проектированию, преобразованию, предоставлению и совершенствованию услуг для обеспечения выполнения соответствующих требований к услугам;
поставщиком услуг для мониторинга, измерения и анализа своих процессов управления услугами и услуг;
поставщиком услуг для совершенствования проектирования, преобразования и предоставления услуг за счет использования результативного внедрения и эксплуатации СУУ;
экспертом или аудитором в качестве критерия для оценки соответствия СУУ поставщика услуг требованиям этой части ИСО/МЭК 20000.
На рисунке 2 показана СУУ с учетом процессов управления услугами. Служба управления процессами и связями между процессами может быть реализована по-разному различными поставщиками услуг. Характер отношений между поставщиком услуг и заказчиком будет влиять на реализацию процессов управления услугами.
1.2 Область применения
Все требования в данной части ИСО/МЭК 20000 носят общий характер и предназначены для применения ко всем поставщикам услуг независимо от типа, размера и характера предоставляемых услуг. Исключение любого из требований разделов 4 - 9 неприемлемо, если поставщик услуг заявляет о соответствии данной части ИСО/МЭК 20000, независимо от характера организации поставщика услуг.
Соответствие требованиям раздела 4 может быть продемонстрировано только свидетельствами о выполнении всех требований раздела 4. Для требований раздела 4 поставщик услуг не может полагаться на свидетельства руководства процессами, управляемыми другими сторонами.
Соответствие требованиям разделов 5 - 9 может быть продемонстрировано свидетельствами о выполнении всех требований. В качестве альтернативы поставщик услуг может предоставить свидетельства выполнения большинства требований самостоятельно и свидетельства руководства процессами, управляемыми другими сторонами, для тех процессов или части процессов, которые находятся за рамками контура управления поставщика услуг.
В рамки данной части ИСО/МЭК 20000 не входит спецификация на продукт или инструментарий. Тем не менее организации могут использовать эту часть ИСО/МЭК 20000, чтобы помочь им разрабатывать продукты и инструменты, которые поддерживают работу СУУ.
Примечание - ИСО/МЭК 20000-3 содержит указания по определению области применения и применимости этой части ИСО/МЭК 20000. Этот документ включает в себя дополнительные разъяснения по поводу руководства процессами, управляемыми другими сторонами.
"Рисунок 2 - Система управления услугами"
2 Нормативные ссылки
Следующие документы необходимы для применения настоящего документа. Для датированных ссылок применяют только указанное издание, для недатированных ссылок - последнее издание ссылочного документа (включая любые поправки).
Нормативные ссылки отсутствуют. Этот пункт включен для того, чтобы обеспечить совпадение нумерации разделов с ИСО/МЭК 20000-2: Информационные технологии - Управление услугами. Часть 2: Руководство по применению систем управления услугами.
Примечание - При пользовании настоящим стандартом целесообразно проверить действие ссылочных стандартов в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети "Интернет" или по ежегодному информационному указателю "Национальные стандарты", который опубликован по состоянию на 1 января текущего года, и по выпускам ежемесячного информационного указателя "Национальные стандарты" за текущий год. Если заменен ссылочный стандарт, на который дана недатированная ссылка, то рекомендуется использовать действующую версию этого стандарта с учетом всех внесенных в данную версию изменений. Если заменен ссылочный стандарт, на который дана датированная ссылка, то рекомендуется использовать версию этого стандарта с указанным выше годом утверждения (принятия).Если после утверждения настоящего стандарта в ссылочный стандарт, на который дана датированная ссылка, внесено изменение, затрагивающее положение, на которое дана ссылка, то это положение рекомендуется применять без учета данного изменения. Если ссылочный стандарт отменен без замены, то положение, в котором дана ссылка на него, рекомендуется применять в части, не затрагивающей эту ссылку. Если заменен ссылочный стандарт, на который дана датированная ссылка, то рекомендуется использовать версию этого стандарта с указанным выше годом утверждения (принятия). Если после утверждения настоящего стандарта в ссылочный стандарт, на который дана датированная ссылка, внесено изменение, затрагивающее положение, на которое дана ссылка, то это положение рекомендуется применять без учета данного изменения. Если ссылочный стандарт отменен без замены, то положение, в котором дана ссылка на него, рекомендуется применять в части, не затрагивающей эту ссылку.
3 Термины и определения
В данном документе применяются следующие термины и определения.
3.1 доступность: способность услуги или компонента услуги выполнять требуемые функции в определенный момент или в течение определенного промежутка времени.
Примечание - Доступность, как правило, выражается отношением или процентом времени, в течение которого услуга или компонент услуги действительно доступны заказчику для использования по отношению к согласованному времени доступности.
3.2 базовое состояние конфигурации: формально зафиксированная конфигурационная информация в определенный момент времени жизненного цикла услуги или компонента услуги.
Примечание - Базовые состояния конфигураций, а также подтвержденные изменения данных базовых состояний составляют сведения о текущей конфигурации. Адаптировано из ISO/IEC/IEEE 24765:2010.
3.3 конфигурационная единица КЕ: элемент, требующий управления для того, чтобы предоставлять услугу.
3.4 база данных управления конфигурациями CMDB: хранилище данных, используемое для записи атрибутов конфигурационных единиц и взаимосвязей между конфигурационными единицами на всем протяжении их жизненного цикла.
3.5 постоянное совершенствование: повторяющаяся деятельность, направленная на повышение способности удовлетворения требований к услуге.
Примечание - Адаптировано из ISO 9000:2005.
3.6 корректирующее действие: действие по устранению причины или уменьшению вероятности повторного проявления обнаруженного несоответствия или другой нежелательной ситуации.
Примечание - Адаптировано из ISO 9000:2005.
3.7 заказчик: организация или часть организации, потребляющая услугу или услуги
Примечание - Заказчик может быть внутренним или внешним по отношению к организации поставщика услуг. Адаптировано из ISO 9000:2005.
3.8 документ: информация и содержащий ее носитель.
[ISO 9000:2005]
Примеры: политики, планы, описания процессов, процедуры, соглашения об уровне услуг, контракты или записи.
Примечание - Документация может быть в любой форме или на любом носителе. В ИСО/МЭК 20000 документы, за исключением записей, должны формулировать цели, которые необходимо достичь.
3.9 результативность: степень реализации запланированной деятельности и достижения запланированных результатов.
[ISO 9000:2005]
3.10 инцидент: незапланированное событие, которое привело или может привести к прерыванию предоставления услуги или к снижению ее качества, даже если оно еще не повлияло на услугу для заказчика.
3.11 информационная безопасность: сохранение конфиденциальности, целостности и возможности доступа к информации.
Примечание - Дополнительно могут учитываться другие свойства, такие как подлинность, подотчетность, безотказность и надежность. Термин "доступность" не используется в данном определении, так как определение для данного термина, приведенное в данной части ИСО/МЭК 20000, неприменимо для определения термина "информационная безопасность". Адаптировано из ISO/IEC 27000:2009.
3.12 инцидент информационной безопасности: одно или несколько нежелательных или неожиданных событий информационной безопасности, которые имеют значительную вероятность компрометации бизнес-операций и угроз информационной безопасности.
[ISO/IEC 27000:2009]
3.13 заинтересованная сторона: лицо или группа, имеющая особый интерес в деятельности или успехе деятельности поставщика услуг.
Примеры: заказчики, владельцы, руководство, сотрудники организации поставщика услуг, подрядчики, банкиры, союзы и партнеры.
Примечание - Группа может состоять из организации, ее части или более чем одной организации. Адаптировано из ISO 9000:2005.
3.14 внутренняя группа: часть организации поставщика услуг, которая заключает формальное соглашение с поставщиком услуг, чтобы способствовать проектированию, преобразованию, предоставлению и совершенствованию услуги или услуг.
Примечание - Внутренняя группа не входит в рамки СУУ поставщика услуг.
3.15 известная ошибка: проблема, имеющая выявленную корневую причину или метод снижения или устранения ее влияния на услугу за счет применения обходного решения.
3.16 несоответствие: невыполнение требования.
[ISO 9000:2005]
3.17 организация: группа людей и необходимых средств с распределенными ответственностями, полномочиями и взаимоотношениями.
3.18 превентивное действие: действие, осуществляемое с целью избежать, устранить причину или снизить вероятность возникновения потенциального несоответствия или другой потенциальной нежелательной ситуации.
Примечание - Адаптировано из ISO 9000:2005.
3.19 проблема: корневая причина одного или нескольких инцидентов.
Примечание - Как правило, корневая причина неизвестна на момент создания записи о проблеме, и дальнейшее исследование проводится в рамках процесса управления проблемами.
3.20 процедура: установленный способ осуществления деятельности или процесса.
[ISO 9000:2005]
Примечание - Процедуры могут быть документированными и не документированными.
3.21 процесс: совокупность взаимосвязанных или взаимодействующих видов деятельности, преобразующая входы в выходы.
[ISO 9000:2005]
3.22 запись: документ, содержащий достигнутые результаты или свидетельства осуществленной деятельности.
[ISO 9000:2005]
Примеры: аудиторские отчеты, отчеты об инцидентах, записи об обучении и протоколы совещаний.
3.23 релиз: набор из одной или нескольких новых или измененных конфигурационных единиц, внедренный в производственную среду посредством одного или более изменений.
3.24 запрос на изменение: предложение о внесении изменения в услугу, компонент услуги или систему управления услугами.
Примечание - Изменение услуги включает в себя предоставление новой услуги или прекращение предоставления услуги, которая больше не требуется.
3.25 риск: влияние неопределенности на цели.
Примечание - Влияние - это отклонение от ожидаемого, положительное и/или отрицательное. Цели могут иметь разные аспекты (например, финансовые, экологические, цели здравоохранения и безопасности) и могут применяться на различных уровнях (например, стратегический уровень, организационный уровень, уровень проекта, продукта или процесса). Риск часто характеризуется ссылкой на возможные события и последствия, или их сочетание. Риск часто выражается в терминах совокупности последствий события (в том числе изменения обстоятельств) и вероятности его возникновения. [ISO 31000:2009]
3.26 услуга: способ предоставления ценности заказчику через содействие ему в получении конечных результатов, которых заказчик хочет достичь.
Примечание - Услуга, как правило, нематериальна. Услуга также может предоставляться поставщику услуг подрядчиком, внутренней группой или заказчиком, выступающим в качестве подрядчика.
3.27 компонент услуги: один элемент услуги, который в сочетании с другими элементами, формирует полную услугу.
Примеры: оборудование, программное обеспечение, инструменты, приложения, документация, информация, процессы и вспомогательные услуги.
Примечание - Компонент услуги может состоять из одной или нескольких конфигурационных единиц.
3.28 непрерывность обслуживания: способность управлять рисками и событиями, которые могут иметь серьезное влияние на услугу или услуги, с целью непрерывного предоставления услуг на согласованных уровнях.
3.29 соглашение об уровне услуг SLA: формальное соглашение между поставщиком услуг и заказчиком, которое определяет услуги и цели предоставления услуг.
Примечание - Соглашение об уровне услуг может быть заключено между поставщиком услуг и подрядчиком, внутренней группой или заказчиком, выступающим в качестве подрядчика. Соглашение об уровне услуг может быть включено в контракт или другой вид формального соглашения.
3.30 управление услугами: комплекс организационных возможностей и процессов для осуществления руководства и контроля деятельности и ресурсов поставщика услуг для проектирования, преобразования, предоставления и совершенствования услуг с целью удовлетворения требований к услугам.
3.31 система управления услугами СУУ: система управления для осуществления руководства и контроля деятельности поставщика услуг по управлению услугами.
Примечание - Система управления представляет собой совокупность взаимосвязанных и взаимодействующих элементов для создания политик и целей и достижения этих целей.
СУУ включает в себя все политики управления услугами, цели, планы, процессы, документацию и ресурсы, необходимые для проектирования, преобразования, предоставления и совершенствования услуг и выполнения требований данной части ИСО/МЭК 20000.
Адаптировано из определения термина система менеджмента качества в ISO 9000:2005.
3.32 поставщик услуг: организация или часть организации, управляющая и предоставляющая услугу или услуги заказчику.
Примечание - Заказчик может быть внутренним или внешним по отношению к организации поставщика услуг.
3.33 запрос на обслуживание: запрос о предоставлении информации, консультации, доступа к услуге или запрос на изменение, который предварительно утвержден.
3.34 требования к услуге: потребности заказчика и пользователей услуги, включая требования к уровню услуги, а также потребности поставщика услуг.
3.35 подрядчик: организация или часть организации, которая является внешней по отношению к организации поставщика услуг и заключает договор с поставщиком услуг, чтобы участвовать в проектировании, преобразовании, предоставлении и совершенствовании услуги, услуг или процессов.
Примечание - Подрядчики включают выбранных ведущих подрядчиков, но не включают их субподрядчиков.
3.36 высшее руководство: лицо или группа лиц, которые осуществляют руководство и контроль деятельности поставщика услуг на самом высоком уровне.
Примечание - Адаптировано из ISO 9000:2005.
3.37 преобразование: виды деятельности, связанные с вводом новых или изменяемых услуг в производственную среду или выводом из нее.
4 Общие требования к системе управления услугами
4.1 Ответственность руководства
4.1.1 Обязанности руководства
Высшее руководство должно представить доказательства своей приверженности планированию, созданию, внедрению, эксплуатации, мониторингу, анализу, поддержке и совершенствованию СУУ и услуг с помощью:
создания и доведения до всех вовлеченных лиц охвата, политики и целей управления услугами;
обеспечения создания, внедрения и поддержки плана управления для того, чтобы придерживаться политики, достигать целей управления услугами и выполнять требования к услугам;
доведения важности удовлетворения требований к услугам;
доведения важности удовлетворения законодательных и регулирующих требований, а также договорных обязательств;
обеспечения предоставления ресурсов;
проведения планового анализа со стороны руководства;
обеспечение того, что риски для услуг оцениваются и управляются.
4.1.2 Политика управления услугами
Высшее руководство должно обеспечить, чтобы политика управления услугами:
соответствовала целям поставщика услуг;
включала в себя обязательство выполнить требования к услугам;
включала в себя обязательство постоянно повышать результативность СУУ и услуг, используя политику постоянного совершенствования в 4.5.5.1;
обеспечивала структурированный подход для постановки и анализа целей управления услугами;
была представлена сотрудникам поставщика услуг и понята ими;
анализировалась на постоянную пригодность.
4.1.3 Полномочия, ответственность и связи
Высшее руководство должно обеспечить:
а) определение и поддержку полномочий и ответственности по управлению услугами;
б) разработку и внедрение документированных процедур для обеспечения соответствующих коммуникаций.
4.1.4 Представитель руководства
Высшее руководство должно назначить члена руководства поставщика услуг, который независимо от других обязанностей имеет полномочия и обязанности, которые включают:
обеспечение выполнения действий по выявлению, документированию и выполнению требований к услугам;
определение полномочий и ответственности для обеспечения проектирования, внедрения и совершенствования процессов управления услугами в соответствии с политикой и целями управления услугами;
обеспечение того, что процессы управления услугами интегрированы с другими компонентами СУУ;
обеспечение того, чтобы активы, в том числе лицензии, используемые для предоставления услуг, управляются в соответствии с законодательными и регулирующими требованиями, а также договорными обязательствами;
представление отчетов высшему руководству о функционировании и возможности для совершенствования СУУ и услуг.
4.2 Руководство процессами, выполняемыми другими сторонами
Для процессов в разделах 5 - 9 поставщик услуг должен определить все процессы или части процессов, которые находятся в ведении других сторон. Другими сторонами могут быть внутренние группы, заказчик или подрядчик. Поставщик услуг должен продемонстрировать руководство процессами, выполняемыми другими сторонами путем:
демонстрации ответственности за процессы и права требовать строгого соблюдения процессов;
контроля определения процессов и их взаимосвязей с другими процессами;
определения производительности процесса и соответствия требованиям к процессу;
контроля планирования и определения приоритетов совершенствования процессов.
Когда подрядчик выполняет некоторые части процессов, поставщик услуг должен управлять подрядчиком в рамках процесса управления подрядчиками. Когда внутренняя группа или заказчик выполняют некоторые части процессов, поставщик услуг должен управлять внутренней группой или заказчиком в рамках процесса управления уровнем услуг.
Примечание - ИСО/МЭК 20000-3 содержит указания по определению области применения и применимости этой части ИСО/МЭК 20000. Сюда входят дополнительные разъяснения по поводу руководства процессами, выполняемыми другими сторонами.
4.3 Управление документацией
4.3.1 Разработка и поддержание в актуальном состоянии документов
Поставщик услуг должен разработать и поддерживать в актуальном состоянии документы, включая записи, для обеспечения эффективного планирования, эксплуатации и контроля СУУ. Эти документы должны включать:
документированные политики и цели управления услугами;
документированный план управления услугами;
документированные политики и планы, созданные для конкретных процессов в соответствии с требованиями этой части ИСО/МЭК 20000;
документированный каталог услуг;
документированные соглашения об уровне услуг;
документированные процессы управления услугами;
документированные процедуры и записи, требуемые этой частью ИСО/МЭК 20000;
дополнительные документы, в том числе внешнего происхождения, которые поставщик услуг посчитал необходимыми для обеспечения эффективного функционирования СУУ и оказания услуг.
4.3.2 Управление документами
Документы, требуемые СУУ, должны быть под контролем. Записи являются особым типом документа и должны контролироваться в соответствии с требованиями, изложенными в 4.3.3.
Документированные процедуры, в том числе полномочия и обязанности, устанавливаются для определения средств управления, необходимых для:
создания и утверждения документов до их выпуска;
представления заинтересованным сторонам информации о новых или измененных документах;
поддержания в актуальном состоянии документов и их пересмотра по мере необходимости;
обеспечения определения изменений и текущего статуса пересмотра документов;
обеспечения наличия соответствующих версий применимых документов в местах их использования;
обеспечения узнаваемости и разборчивости документов;
обеспечения выявления документов внешнего происхождения и управления их рассылкой;
предотвращения непреднамеренного использования устаревших документов и применения соответствующей идентификации к ним, если ими продолжают пользоваться.
4.3.3 Управление записями
Записи должны храниться для демонстрации соответствия требованиям и эффективного функционирования СУУ.
Должна быть создана документированная процедура для определения средств управления, необходимых для идентификации, хранения, защиты, восстановления, сохранения и удаления записей. Записи должны быть четкими, легко идентифицируемыми и восстанавливаемыми.
4.4 Управление ресурсами
4.4.1 Предоставление ресурсов
Поставщик услуг должен определить и обеспечить человеческие, технические, информационные и финансовые ресурсы, необходимые для:
разработки, внедрения и поддержки СУУ и услуг, и постоянного повышения их результативности;
повышения удовлетворенности заказчиков, за счет предоставления услуг, которые удовлетворяют требованиям к услугам.
4.4.2 Человеческие ресурсы
Сотрудники поставщика услуг, выполняющие работу, влияющую на соответствие требованиям к услугам, должны быть компетентными: иметь соответствующее образование, подготовку, навыки и опыт. Поставщик услуг обязан:
определять необходимую компетентность персонала;
в случае необходимости, обеспечивать подготовку или предпринимать другие действия для достижения необходимой компетентности;
оценивать эффективность предпринятых действий;
обеспечивать, чтобы персонал знал о том, как они вносят вклад в достижение целей управления услугами и в выполнение требований к услугам;
вести соответствующие записи об образовании, подготовке, навыках и опыте.
4.5 Создание и совершенствование СУУ
4.5.1 Определение области охвата
Поставщик услуг должен определить область охвата СУУ и включить ее в план управления услугами. Указанная область должна быть определена по имени подразделения, предоставляющего услуги, и по услугам, которые будут предоставлены.
Поставщик услуг должен также принимать во внимание другие факторы, влияющие на услуги, которые будут предоставляться, в том числе:
географическое положение, откуда поставщик услуг предоставляет услуги;
заказчики и их расположение;
технология, используемая для предоставления услуг.
Примечание - ИСО/МЭК ТО 20000-3 содержит указания по определению области применения и применимости этой части ИСО/МЭК 20000.
4.5.2 Планирование СУУ (Планирование)
Поставщик услуг должен создать, внедрить и поддерживать план управления услугами. Планирование должно учитывать политику управления услугами, требования к услугам и требования этой части ИСО/МЭК 20000. План управления услугами должен включать или содержать ссылку, по крайней мере, на следующее:
цели управления услугами, которые должны быть достигнуты поставщиком услуг;
требования к услугам;
известные ограничения, которые могут повлиять на СУУ;
политику, стандарты, законодательные и регулирующие требования и договорные обязательства;
структуру полномочий, обязанностей и процессных ролей;
полномочия и ответственность в отношении планов, процессов управления услугами и услуг;
человеческие, технические, информационные и финансовые ресурсы, необходимые для достижения целей управления услугами;
подход, необходимый для осуществления работы с другими сторонами, участвующими в процессе разработки и преобразования новых или изменяемых услуг;
подход, необходимый для осуществления взаимодействия между процессами управления услугами и их интеграции с другими компонентами СУУ;
подход, необходимый для осуществления управления рисками, и критерии для принятия рисков;
технология, используемая для поддержки СУУ;
как проводить оценку, аудит, формировать отчетность и обеспечивать совершенствование эффективности СУУ и услуг.
Планы, созданные для конкретных процессов, должны быть приведены в соответствие с планом управления услугами. План управления услугами и планы, созданные для конкретных процессов, должны рассматриваться в запланированные интервалы времени и, при необходимости, обновляться.
4.5.3 Внедрение и эксплуатация СУУ (Выполнение)
Поставщик услуг должен осуществлять и управлять СУУ для проектирования, преобразования, предоставления и совершенствования услуг в соответствии с планом управления услугами, используя, по крайней мере, следующие виды деятельности:
распределение и управление фондами и бюджетами;
определение полномочий, обязанностей и ролей процессов;
управление человеческими, техническими и информационными ресурсами;
выявление, оценку и управление рисками, связанными с услугами;
управление процессами управления услугами;
мониторинг и отчетность о выполнении мероприятий управления услугами.
4.5.4 Мониторинг и проведение анализа СУУ (Проверка)
4.5.4.1 Общие положения
Поставщик услуг должен использовать подходящие методы мониторинга и измерения СУУ и услуг. Эти методы должны включать внутренние аудиты и анализ со стороны руководства.
Цели всех внутренних аудитов и анализа со стороны руководства должны быть документированы. Внутренние аудиты и анализ со стороны руководства должны демонстрировать способность СУУ и услуг достигать цели управления услугами и выполнять требования к услугам. Несоответствия должны быть выявлены в соответствии с требованиями этой части ИСО/МЭК 20000, требованиями к СУУ, определенными поставщиком услуг или требованиями к услугам.
Результаты внутренних аудитов и анализа со стороны руководства, в том числе несоответствия, проблемы и выявленные меры, должны быть зарегистрированы. Результаты и действия должны быть доведены до заинтересованных сторон.
4.5.4.2 Внутренний аудит
Поставщик услуг должен проводить внутренние аудиты через запланированные интервалы времени, чтобы определить, что СУУ и услуги:
удовлетворяют требованиям этой части ИСО/МЭК 20000;
удовлетворяют требованиям к услугам и требованиям к СУУ, определенным поставщиком услуг;
эффективно внедряются и поддерживаются.
Должна существовать документированная процедура, содержащая формализованные полномочия и ответственность за планирование и проведение аудитов, формирование отчетности о результатах аудита и ведение записей.
Программа аудита должна планироваться. Она должна учитывать статус и важность процессов и участков, подлежащих аудиту, а также результатов предыдущих аудитов. Критерии, область применения, частота и методы должны быть документированы.
Выбор аудиторов и проведение аудитов должны обеспечивать объективность и беспристрастность контроля. Аудиторы не должны проверять свою собственную работу. Несоответствия сообщаются и приоритизируются, выделяется ответственный за корректирующие действия. Руководство, ответственное за проверяемые области деятельности, должно обеспечить, чтобы любые коррекции и корректирующие действия предпринимались без излишней отсрочки для устранения несоответствий и их причин. Последующие действия должны включать проверку предпринятых мер и отчет о результатах.
Примечание - См. ИСО 19011.
4.5.4.3 Анализ со стороны руководства
Высшее руководство должно анализировать СУУ и услуги в запланированные интервалы времени, чтобы обеспечить их постоянную пригодность и результативность. Этот анализ должен включать оценку возможностей совершенствования и необходимость изменений в СУУ, в том числе политики и целей управления услугами.
Входящая информация для проведения анализа со стороны руководства должна включать, как минимум, включать следующую информацию:
обратная связь с клиентами;
производительность и соответствие услуг и процессов;
текущий и прогнозируемый объемы человеческих, технических, информационных и финансовых ресурсов;
текущие и прогнозируемые человеческие и технические возможности;
риски;
результаты проверок и последующие действия;
результаты и последующие действия, вытекающие из предыдущего анализа со стороны руководства;
статус превентивных и корректирующих действий;
изменения, которые могут повлиять на СУУ и на услуги;
возможности для совершенствования.
Записи об анализе со стороны руководства должны поддерживаться в актуальном состоянии и должны включать, по крайней мере, решения и действия, связанные с ресурсами, повышением эффективности СУУ и совершенствованием услуг.
4.5.5 Поддержка и совершенствование СУУ (Корректировка)
4.5.5.1 Общие положения
Должна существовать политика постоянного совершенствования СУУ и услуг. Политика должна включать критерии оценки возможностей для совершенствования. Должна существовать документированная процедура, включающая формализованные полномочия и ответственность за выявление, документирование, оценку, утверждение приоритетов, управление, измерение и отчетность по совершенствованию. Возможности для совершенствования, в том числе корректирующие и превентивные действия, должны быть документированы.
Причины выявленных несоответствий должны быть исправлены. Корректирующие действия должны быть предприняты для устранения указанных причин с целью предотвращения рецидивов. Профилактические мероприятия должны быть приняты в целях устранения причин потенциальных несоответствий с целью предотвращения их возникновения.
Примечание - Дополнительную информацию о корректирующих и превентивных действиях см. в ISO 9001:2008, п. 8.5.
4.5.5.2 Управление совершенствованием
Возможности для улучшения должны быть приоритизированы. Поставщик услуг должен использовать критерии оценки в политике постоянного совершенствования при принятии решения о возможности для совершенствования. Утвержденные улучшения должны быть запланированы. Поставщик услуг должен управлять деятельностью по совершенствованию, которая включает, как минимум:
определение целей для совершенствования по одному или нескольким из следующих аспектов: качество, ценность, способность, стоимость, производительность, использование ресурсов и снижение рисков;
обеспечение внедрения утвержденного совершенствования;
пересмотр политики, планов, процессов и процедур управления услугами (в случае необходимости);
измерение внедренных улучшений в соответствии с набором целей, и где цели не были достигнуты, принятие необходимых мер;
отчет о реализованных улучшениях.
5 Проектирование и преобразование новых и изменяемых услуг
5.1 Общие положения
Поставщик услуг должен использовать этот процесс для всех новых услуг и изменений услуг, способных оказать существенное влияние на услуги, либо на заказчика. Изменения, которые находятся в рамках раздела 5, определяются политиками управления изменениями, согласованными в рамках процесса управления изменениями. Оценка, утверждение, планирование и анализ новых или изменяемых услуг в рамках раздела 5 должны находиться под контролем процесса управления изменениями. Конфигурационные единицы, относящиеся к новым или изменяемым услугам, в рамках раздела 5 должны находиться под контролем процесса управления конфигурациями.
Поставщик услуг должен анализировать результаты мероприятий по планированию и проектированию новых или изменяемых услуг относительно согласованных требований к услугам и соответствующих требований, указанных в 5.2 и 5.3. Основываясь на этом анализе, поставщик услуг должен принять или отклонить результаты. Поставщик услуг должен принять необходимые меры для того, чтобы развитие и преобразование новых или изменяемых услуг могло осуществляться эффективно, используя принятые результаты.
Примечание - Необходимость новой услуги или изменения услуги может исходить от заказчика, от поставщика услуг, от внутренней группы или от подрядчика в целях удовлетворения потребностей бизнеса или для повышения результативности предоставляемых услуг.
5.2 Планирование новых или изменяемых услуг
Поставщик услуг должен определить требования к новым или изменяемым услугам. Новые или изменяемые услуги должны быть запланированы для выполнения требований к услугам. Планирование новых или изменяемых услуг должно быть согласовано с заказчиком и с заинтересованными сторонами.
В качестве входа для планирования поставщик услуг должен принимать во внимание возможное финансовое, организационное и техническое воздействие предоставления новых или изменяемых услуг. Поставщик услуг должен также принимать во внимание потенциальное влияние новых или изменяемых услуг на СУУ.
Планирование новых или изменяемых услуг должно включать или содержать ссылку, по крайней мере, на следующее:
полномочия и ответственность за деятельность по проектированию, разработке и преобразованию;
мероприятия, которые будут выполняться поставщиком услуг и другими сторонами, в том числе деятельность по взаимодействию поставщика услуг с другими сторонами;
взаимодействие с заинтересованными сторонами;
человеческие, технические, информационные и финансовые ресурсы;
сроки запланированных мероприятий;
выявление, оценка и управление рисками;
зависимость от других услуг;
испытания, необходимые для новых или изменяемых услуг;
критерии принятия услуг;
ожидаемые результаты от предоставления новых или изменяемых услуг, выраженные в измеряемых величинах.
Для услуг, которые должны быть удалены, поставщик услуг должен планировать процедуру удаления услуги (услуг). Планирование должно включать дату(-ы) удаления, архивации, утилизации или передачи данных, документации и компонентов услуги. Услуга может включать в себя компоненты инфраструктуры и приложений с соответствующими лицензиями.
Поставщик услуг должен определить другие стороны, которые будут способствовать предоставлению компонентов услуг для новых или изменяемых услуг. Поставщик услуг должен оценить их способность выполнять требования к услугам. Должны быть зарегистрированы результаты оценки и предприняты необходимые действия.
5.3 Проектирование и развитие новых и изменяемых услуг
При проектировании и документировании новых или изменяемых услуг должны быть, по крайней мере, отражены:
полномочия и ответственность за предоставление новых или изменяемых услуг;
мероприятия, которые будут выполняться поставщиком услуг, заказчиком и другими сторонами для предоставления новых или изменяемых услуг;
новые или измененные требования к человеческим ресурсам, включая требования к соответствующему образованию, подготовке, навыкам и опыту;
потребности в финансовых ресурсах для предоставления новых или изменяемых услуг;
новые или измененные технологии для предоставления новых или изменяемых услуг;
новые или измененные планы и политика в соответствии с требованиями этой части ИСО/МЭК 20000;
новые или измененные контракты и другие соглашения для отражения изменений в требованиях к услугам;
изменения в СУУ;
новые или измененные соглашения об уровне услуг;
обновления каталога услуг;
процедуры, меры и информация, которые будут использоваться для предоставления новых или изменяемых услуг.
Поставщик услуг должен обеспечить, чтобы проектирование позволяло новым или изменяемым услугам выполнять требования к услугам. Новые или изменяемые услуги должны быть разработаны в соответствии с документальным проектом.
Примечание - Для получения дополнительной информации о проекте см. процесс проектирования и разработки в ISO 9001:2008, п. 7.3 или архитектурный процесс проектирования в ISO/IEC 15288:2008, п. 6.4.3.
5.4 Преобразование новых и изменяемых услуг
Новые или изменяемые услуги должны быть протестированы для обеспечения гарантии того, что они выполняют требования к услугам и требования проектной документации. Новые или изменяемые услуги должны быть заранее проверены на соответствие согласованному критерию приемки поставщиком услуг и заинтересованными сторонами. Если критерии приемки услуги не выполняются, поставщик услуг и заинтересованные стороны должны принять решение о необходимых действиях и возможности развертывания.
Процесс управления релизами и внедрением должен использоваться при развертывании утвержденных новых или изменяемых услуг в производственную среду.
После завершения деятельности по преобразованию, поставщик услуг должен сообщить заинтересованным сторонам о достигнутых результатах в сравнении с ожидаемыми результатами.
6 Процессы предоставления услуг
6.1 Управление уровнем услуг
Поставщик услуг должен согласовать с заказчиком услуги, которые будут предоставляться.
Поставщик услуг должен согласовать с заказчиком каталог услуг, который должен включать в себя зависимости между услугами и компонентами услуг.
Для каждой предоставляемой услуги поставщик услуг должен согласовать с заказчиком одно или несколько соглашений об уровне услуги. При создании соглашения об уровне услуги поставщик услуг должен учитывать требования к услуге. Соглашение об уровне услуги должно включать согласованные цели предоставления услуги, характеристики рабочей нагрузки и исключения.
Поставщик услуг должен с запланированной периодичностью анализировать услуги и соглашения об уровне услуг совместно с заказчиком.
Изменения в документированных требованиях к услугам, в каталоге услуг, в соглашениях об уровне услуг и в других документированных соглашениях должны контролироваться в рамках процесса управления изменениями. Каталог услуг должен поддерживаться в актуальном состоянии и отражать изменения услуг и соглашений об уровне услуги для обеспечения их взаимного соответствия.
Поставщик услуг должен следить за тенденциями и производительностью относительно целей предоставления услуг с запланированной периодичностью. Результаты должны быть зарегистрированы и проанализированы для выявления причин несоответствий и возможностей для совершенствования.
Для компонентов услуг, предоставляемых внутренними группами или заказчиком, поставщик услуг должен разработать, согласовать, пересматривать и поддерживать в актуальном состоянии документированные соглашения для определения видов деятельности и интерфейсов взаимодействия между двумя сторонами.
Поставщик услуг должен контролировать работу внутренних групп или заказчика на соответствие согласованным целям предоставления услуги и другим согласованным обязательствам с запланированной периодичностью. Результаты должны быть зарегистрированы и проанализированы для выявления причин несоответствий и возможностей для совершенствования.
6.2 Формирование и предоставление отчетности по услугам
Описание каждого отчета по услугам, в том числе суть услуги, цель, аудиторию, частоту и детали исходных данных, должны быть документально оформлены и согласованы с поставщиком услуг и заинтересованными сторонами.
Отчеты по услугам должны быть подготовлены для услуг с использованием информации о предоставлении услуг и о деятельности СУУ, включая процессы управления услугами. Отчеты по услугам, по крайней мере, должны включать:
соответствие деятельности целям предоставления услуг;
информацию о значимых событиях, в том числе, по крайней мере, о серьезных инцидентах, внедрении новых или изменяемых услуг и плана непрерывности;
характеристики рабочей нагрузки, включая объемы и периодические изменения рабочей нагрузки;
обнаруженные несоответствия требованиям этой части ИСО/МЭК 20000, требованиям СУУ или требованиям к услугам с определением причин;
информацию о тенденциях;
измерения удовлетворенности заказчиков, жалобы на предоставление услуг и результаты анализа измерений удовлетворенности и жалоб.
Поставщик услуг должен принимать решения и совершать действия на основе выводов, содержащихся в отчетах по услугам. Согласованные действия доводятся до заинтересованных сторон.
6.3 Управление непрерывностью и доступностью услуг
6.3.1 Требования к непрерывности и доступности услуг
Поставщик услуг должен оценить и документировать риски в отношении непрерывности и доступности услуг. Поставщик услуг должен определить и согласовать с заказчиком и заинтересованными сторонами требования к непрерывности и доступности услуг. Согласованные требования должны учитывать соответствующие бизнес-планы, требования к услугам, соглашения об уровне услуг и риски. Согласованные требования к непрерывности и доступности услуг должны, по крайней мере, включать:
права доступа к услугам;
время отклика услуг;
конечная доступность услуг.
6.3.2 Планы непрерывности и доступности услуг
Поставщик услуг должен создать, внедрить и поддерживать в актуальном состоянии планы непрерывности и доступности. Изменения в этих планах должны находиться под контролем процесса управления изменениями.
План непрерывности должен, по крайней мере, включать:
процедуры, которые будут реализованы в случае значительного прерывания услуг, или ссылки на них;
цели доступности в случае применения плана;
требования к восстановлению;
подход к осуществлению возврата к нормальным рабочим условиям.
В случае прекращения нормального предоставления услуг должны быть доступны план(-ы) непрерывности, списки контактных лиц и База данных управления конфигурациями (CMDB).
План(-ы) доступности должен, по крайней мере, включать требования к доступности и цели доступности.
Поставщик услуг должен оценивать влияние запросов на изменение плана(-ов) непрерывности и плана(-ов) доступности.
Примечание - Планы непрерывности и доступности могут быть объединены в один документ.
6.3.3 Мониторинг и тестирование непрерывности и доступности услуг
Необходимо осуществлять мониторинг доступности услуг, фиксировать результаты и сравнивать их с согласованными целями. Незапланированная недоступность услуг должна быть исследована и должны быть приняты необходимые меры.
Планы непрерывности услуги должны быть протестированы на соответствие требованиям ее непрерывности. Планы доступности должны быть протестированы на соответствие требованиям доступности. После значительных изменений в среде предоставления услуг, в которой функционирует поставщик услуг, планы непрерывности и доступности услуг должны быть протестированы заново.
Результаты тестирования должны быть зафиксированы. Анализ и пересмотр плана должен проводиться после каждого тестирования и после приведения в действие плана непрерывности услуги. В случае выявления недостатков в процессе тестирования поставщик услуг должен принять необходимые меры и сообщить о них.
6.4 Бюджетирование и учет затрат на ИТ-услуги
Должен существовать формализованный интерфейс между процессами бюджетирования и учета затрат на ИТ-услуги и другими процессами финансового управления. Должны существовать политики и документированные процедуры:
по составлению бюджета и учету затрат, по крайней мере, для следующих компонентов услуг:
активы, в том числе лицензии, используемые для предоставления услуг,
общие ресурсы,
накладные расходы,
капитальные и операционные расходы,
услуги, предоставляемые подрядчиком,
персонал,
инженерное обеспечение;
по распределению косвенных расходов и отнесению прямых расходов на услуги, необходимые для обеспечения расчета общей стоимости услуг;
по эффективному финансовому контролю и деятельности по утверждению.
Расходы должны быть включены в бюджет для обеспечения эффективного финансового управления и принятия решений по предоставлению услуг. Поставщик услуг должен осуществлять мониторинг затрат на соответствие бюджету, анализировать финансовые прогнозы и управлять затратами.
Информация должна предоставляться процессу управления изменениями для обеспечения расчета стоимости запросов на изменение.
Примечание - Многие поставщики услуг взимают плату за свои услуги. Охват процесса бюджетирования и учета затрат на ИТ-услуги не включает оплату предоставления услуг.
6.5 Управление мощностями
Поставщик услуг должен определить и согласовать с заказчиком и заинтересованными сторонами требования к мощностям и к производительности. Поставщик услуг должен создать, внедрить и поддерживать план мощностей с учетом человеческих, технических, информационных и финансовых ресурсов. Изменения в плане мощностей должны находиться под контролем процесса управления изменениями. План мощностей должен включать, как минимум:
текущий спрос и прогноз спроса на услуги;
ожидаемый эффект согласованных требований к доступности, к непрерывности и уровню услуг;
временные рамки, пороговые значения и затраты на модернизацию мощностей;
потенциальное влияние законодательных, регулирующих, договорных или организационных изменений;
потенциальное воздействие новых технологий и новых подходов;
процедуры для осуществления упреждающего анализа, или ссылки на них.
Поставщик услуг должен осуществлять мониторинг использования мощностей, анализ объема данных и настройки производительности. Поставщик услуг должен обеспечить достаточные параметры мощности для удовлетворения согласованных требований к мощности и к производительности.
6.6 Управление информационной безопасностью
6.6.1 Политика информационной безопасности
Орган управления с соответствующими полномочиями должен утвердить политику информационной безопасности с учетом требований к услугам, законодательных и регулирующих требований и договорных обязательств. Орган управления должен:
довести политику информационной безопасности и важность следования этой политике соответствующим сотрудникам поставщика услуг, заказчика и подрядчиков;
обеспечить наличие и формализацию целей информационной безопасности;
определить подход к управлению рисками информационной безопасности, а также критерии принятия рисков;
обеспечить проведение оценки рисков информационной безопасности с запланированной периодичностью;
обеспечить проведение внутреннего аудита информационной безопасности;
обеспечить анализ результатов аудита для определения возможностей совершенствования.
6.6.2 Средства контроля информационной безопасности
Поставщик услуг должен реализовать и использовать физические, административные и технические средства контроля информационной безопасности в целях:
сохранения конфиденциальности, целостности и доступности информационных ресурсов;
выполнения требований политики информационной безопасности;
достижения целей управления информационной безопасностью;
управления рисками, связанными с информационной безопасностью.
Эти элементы управления информационной безопасностью должны быть задокументированы и должны описывать связанные с ними риски, их эксплуатацию и техническое обслуживание. Поставщик услуг должен проанализировать эффективность управления информационной безопасностью. Поставщик услуг должен принять необходимые меры и сообщить о них. Поставщик услуг должен определить внешние организации, у которых есть необходимость доступа, использования или управления информацией или услугами поставщика услуг. Поставщик услуг должен документировать, согласовывать и реализовывать средства контроля информационной безопасности с внешними организациями.
6.6.3 Изменения и инциденты информационной безопасности
Запросы на изменения должны оцениваться, чтобы определить:
новые или измененные риски информационной безопасности;
потенциальное воздействие на существующую политику информационной безопасности и средства контроля.
Инциденты информационной безопасности подлежат управлению с использованием процедур управления инцидентами, с приоритетом, соответствующим рискам информационной безопасности. Поставщик услуг должен проанализировать виды, объемы и последствия инцидентов информационной безопасности. Инциденты информационной безопасности должны быть зафиксированы в отчетах и проанализированы с целью определить возможности для совершенствования.
Примечание - Стандарты серии ISO/IEC 27000 определяют требования и дают рекомендации для поддержки внедрения и эксплуатации системы управления информационной безопасностью.
7. Процессы управления взаимоотношениями
7.1 Управление взаимоотношениями с бизнесом
Поставщик услуг должен документально определить заказчиков, пользователей и заинтересованные стороны услуг. Для каждого заказчика поставщик услуг должен иметь назначенного сотрудника, который отвечает за управление взаимоотношениями с заказчиком и удовлетворенностью заказчика.
Поставщик услуг устанавливает механизм коммуникации с заказчиком. Этот механизм должен содействовать пониманию бизнес-среды, в которой эксплуатируются услуги, а также пониманию требований к новым или изменяемым услуг. Указанная информация позволит поставщику услуг соответствовать этим требованиям. Поставщик услуг совместно с заказчиком должен с запланированной периодичностью проводить анализ эффективности предоставления услуг.
Изменения в формализованных требованиях к услугам должны находиться под контролем процесса управления изменениями. Изменения в соглашениях об уровне услуги должны быть согласованы с процессом управления уровнем услуг.
Определение жалобы по услуге должно быть согласовано с заказчиком. Должна существовать документированная процедура для управления жалобами по услуге от заказчика. Поставщик услуг должен осуществлять запись, расследование, решение и закрытие жалоб, а также формировать отчетность по жалобам. В случае, если жалоба по услуге не будет решена обычным способом, должна осуществляться эскалация.
Поставщик услуг должен с запланированной периодичностью на основе репрезентативной выборки заказчиков и пользователей услуг измерять удовлетворенность заказчиков. Результаты должны быть проанализированы и рассмотрены с целью определения возможностей совершенствования.
7.2 Управление подрядчиками
Поставщик услуг может использовать подрядчиков для внедрения и эксплуатации некоторых элементов процессов управления услугами. Пример взаимоотношений в цепочке поставок показан на рисунке 3.
"Рисунок 3 - Пример взаимоотношений в цепочке поставок"
Для каждого подрядчика поставщик услуг должен иметь назначенного сотрудника, который отвечает за управление взаимоотношениями, договорами и производительностью подрядчика. Поставщик услуг и подрядчик должны заключить договор. Договор должен включать или содержать ссылку на:
а) охват услуг, оказываемых подрядчиком;
б) связи и зависимости между услугами, процессами и сторонами;
в) требования, предъявляемые к подрядчику;
г) цели предоставления услуг;
д) интерфейсы взаимодействия между процессами управления услугами, эксплуатируемыми подрядчиком и другими сторонами;
е) интеграцию деятельности подрядчика в СУУ;
ж) характеристики рабочей нагрузки;
з) отклонения от договора и способы их урегулирования;
и) полномочия и ответственность поставщика услуг и подрядчика;
к) отчетность и ее предоставление подрядчиком, способы коммуникации;
л) основание для оплаты;
м) необходимые действия и распределение ответственности в случае ожидаемого или досрочного расторжения договора и передачи услуг другим сторонам.
Поставщик услуг должен согласовать с подрядчиком поддерживаемые уровни услуг и согласовать их с соглашениями об уровне услуг между поставщиком услуг и заказчиком. Поставщик услуг должен обеспечить, чтобы роли и взаимоотношения между ведущими подрядчиками и субподрядчиками были задокументированы. Поставщик услуг должен убедиться, что ведущие подрядчики управляют субподрядчиками в части выполнения теми обязанностей по договорам.
Поставщик услуг должен контролировать работу подрядчиков с запланированной периодичностью. Производительность должна измеряться в соответствии с целями предоставления услуг и с другими договорными обязательствами. Результаты должны быть зарегистрированы и рассмотрены для выявления причин несоответствий и возможностей для совершенствования. Анализ должен также подтверждать, что договор отражает текущие требования.
Изменения в договоре должны находиться под контролем процесса управления изменениями.
Должна существовать документированная процедура для управления договорными спорами между поставщиком услуг и подрядчиком.
Примечание - В область охвата процесса управления подрядчиками не входит выбор подрядчиков и приобретение услуг.
Дополнительные примеры взаимоотношений в цепочке поставок приведены в ИСО/МЭК ТО 20000-3.
8 Процессы разрешения
8.1 Управление инцидентами и запросами на обслуживание
Формализованная процедура должна определять для всех инцидентов следующие шаги:
a) регистрация;
b) приоритизация;
c) классификация;
d) обновление записей;
e) эскалация;
f) решение;
g) закрытие.
Должна существовать документированная процедура по управлению выполнением запросов на обслуживание на этапах от регистрации и до закрытия. Инциденты и запросы на обслуживание должны управляться в соответствии с процедурами.
При приоритизации инцидентов и запросов на обслуживание поставщик услуг должен принимать во внимание влияние и срочность инцидента или запроса на обслуживание.
Поставщик услуг должен обеспечить персоналу, вовлеченному в процесс управления инцидентами и запросами на обслуживание, доступ к соответствующей информации. Эта информация должна включать процедуры управления запросами на обслуживание, информацию об известных ошибках, решения проблем и CMDB. Информация об успехе или неудаче релизов и будущие даты релиза, поступающие из процесса управления релизами и внедрением, должна быть использована в процессе управления инцидентами и запросами на обслуживание.
Поставщик услуг должен информировать заказчика о ходе выполнения инициированного им инцидента или запроса на обслуживание. Если цели предоставления услуги не могут быть достигнуты, поставщик услуг должен проинформировать заказчика и другие заинтересованные стороны и осуществить эскалацию в соответствии с процедурой.
Поставщик услуг должен формализовать и согласовать с заказчиком определение значительного инцидента. Значительные инциденты должны классифицироваться и управляться в соответствии с документированной процедурой. Высшее руководство должно быть проинформировано о значительных инцидентах. Оно должно обеспечить назначение сотрудника, ответственного за управление значительным инцидентом. После восстановления согласованного уровня услуги должен быть проведен анализ значительных инцидентов для выявления возможностей для совершенствования.
8.2 Управление проблемами
Должна существовать документированная процедура для идентификации проблем и сведения к минимуму или исключения влияния инцидентов и проблем. Процедура для проблем должна определять:
идентификацию;
регистрацию;
приоритизацию;
классификацию;
обновление записей;
эскалацию;
решение;
закрытие.
Проблемы должны решаться в соответствии с формализованной процедурой. Поставщик услуг должен анализировать данные и тенденции инцидентов и проблем для выявления их корневых причин и принятия превентивных действий.
Проблемы, требующие изменений в КЕ, должны быть решены путем регистрации запроса на изменение. Если корневая причина была определена, но проблема не была решена окончательно, поставщик услуг должен определить меры по сокращению или устранению влияния проблемы на услуги. Известные ошибки должны быть зарегистрированы.
Эффективность решения проблем должна подвергаться мониторингу, анализу и отчетности.
Актуальная информация об известных ошибках и решениях проблем должна предоставляться процессу управления инцидентами и запросами на обслуживание.
9 Процессы контроля
9.1 Управление конфигурациями
Должен быть документально определен каждый тип КЕ. Информация, учитываемая для каждой КЕ, должна обеспечивать эффективный контроль и включать в себя, по крайней мере:
описание КЕ;
отношения между данной КЕ и другими КЕ;
отношения между КЕ и компонентами услуг;
статус;
версию;
место расположения;
ассоциированные сданной КЕ запросы на изменение;
ассоциированные сданной КЕ проблемы и известные ошибки.
КЕ должны быть однозначно идентифицированы и зарегистрированы в CMDB. Управление CMDB должно обеспечивать надежность и точность, в том числе контроль обновлений. CMDB должна управляться с целью обеспечения ее надежности и точности, в том числе обеспечивая контроль доступа к обновлению информации в ней.
Должна существовать документированная процедура для записи, управления и отслеживания версий КЕ. Степень контроля должна поддерживать целостность услуг и компонентов услуг с учетом требований к услугам и рисков, связанных с КЕ.
Поставщик услуг должен осуществлять проверку записей, хранящихся в CMDB, с запланированной периодичностью. В случае обнаружения недостатков поставщик услуг должен принять необходимые меры и предоставить отчет о выполненных действиях.
Информация из CMDB должна предоставляться процессу управления изменениями для обеспечения проведения оценки запросов на изменение.
Должна существовать возможность отслеживания и проведения аудита изменений КЕ для обеспечения целостности КЕ и данных в CMDB.
Перед развертыванием релиза в производственную среду необходимо создать базовую конфигурацию для тех КЕ, которые изменяются в рамках данного релиза.
Мастер-копии КЕ, записанные в CMDB, должны храниться в безопасных физических или электронных библиотеках, на которые ссылаются записи о КЕ. Такие библиотеки должны включать, по крайней мере, документацию, сведения о лицензиях, программное обеспечение и, где это возможно, эталоны конфигурации аппаратного обеспечения.
Должен существовать формализованный интерфейс между процессом управления конфигурациями и процессом управления финансовыми активами.
Примечание - В область охвата процесса управления конфигурациями не входит управление финансовыми активами.
9.2 Управление изменениями
Должна существовать политика управления изменениями, которая определяет:
а) КЕ, которые находятся под контролем управления изменениями;
б) критерии для определения изменений, которые потенциально могут оказать значительное влияние на услуги или на заказчика.
Удаление услуги должно быть классифицировано как изменение услуги, способное оказать значительное влияние.
Передача услуги от поставщика услуг заказчику или другой стороне должна классифицироваться как изменение, способное оказать значительное влияние.
Должна существовать документированная процедура для регистрации, классификации, оценки и утверждения запросов на изменение.
Поставщик услуг должен формализовать и согласовать с заказчиком определение экстренных изменений. Должна существовать документированная процедура для управления экстренными изменениями.
Все изменения услуги или компонента услуги должны инициироваться посредством использования запроса на изменение. Запросы на изменение должны иметь формализованные границы.
Все запросы на изменения должны быть зарегистрированы и классифицированы. Запросы на изменения, классифицированные как способные оказать значительное влияние на услуги или на заказчика, должны управляться в рамках процесса проектирования и преобразования новых и изменяемых услуг. Все остальные запросы на изменение КЕ, определенные в политике управления изменениями, управляются в рамках процесса управления изменениями.
Запросы на изменения должны оцениваться с использованием информации, поступающей из процесса управления изменениями и из других процессов.
Поставщик услуг и заинтересованные стороны должны принимать решения о принятии запросов на изменение. Процесс принятия решений должен учитывать риски, возможное влияние на услуги и на заказчиков, требования к услугам, выгоды для бизнеса, техническую выполнимость и финансовые последствия.
Утвержденные изменения должны быть разработаны и протестированы.
Должен существовать график изменений, содержащий подробную информацию об утвержденных изменениях и предполагаемых датах их внедрения, который должен доводиться до сведения заинтересованных сторон. График изменений должен использоваться в качестве основы для планирования развертывания релизов. Мероприятия, необходимые для отмены или исправления неуспешных изменений, должны планироваться и, по возможности, тестироваться. Неуспешные изменения должны быть отменены или исправлены. Такие изменения должны быть расследованы и необходимые действия должны быть предприняты.
Записи в CMDB должны быть обновлены после успешного внедрения изменений.
Поставщик услуг должен проанализировать эффективность изменений и принять меры, согласованные с заинтересованными сторонами.
Для выявления тенденций запросы на изменения должны анализироваться с запланированной периодичностью. Результаты и выводы анализа должны быть зарегистрированы и рассмотрены для выявления возможностей совершенствования.
9.3 Управление релизами и внедрением
Поставщик услуг должен разработать и согласовать с заказчиком политику релизов, определяющую частоту и тип выпускаемых релизов.
Поставщик услуг совместно с заказчиком и другими заинтересованными сторонами должен планировать внедрение новых или изменяемых услуг и компонентов услуг в производственную среду. Планирование должно быть согласовано с процессом управления изменениями и содержать ссылки на соответствующие запросы на изменения, известные ошибки и проблемы, которые ликвидируются путем выпуска релиза. Планирование должно включать сроки развертывания каждого релиза, результаты и методы развертывания.
Поставщик услуг должен формализовать и согласовать с заказчиком определение экстренного релиза. Экстренные релизы должны управляться в соответствии с документированной процедурой, которая взаимодействует с процедурой для экстренных изменений.
Релизы должны быть собраны и протестированы перед развертыванием. Должна использоваться контролируемая приемочная тестовая среда для сборки и тестирования релизов.
Критерии приемки релиза должны быть согласованы с заказчиком и другими заинтересованными сторонами. Релиз должен пройти верификацию в отношении согласованных критериев приемки и быть утвержден до развертывания. Если критерии приемки не выполнены, поставщик услуг должен принять решение с заинтересованными сторонами о выполнении необходимых действий и о дальнейшем развертывании релиза.
Релиз должен развертываться в производственную среду таким образом, чтобы целостность компонентов оборудования, программного обеспечения и других компонентов услуг сохранялась в процессе развертывания.
Мероприятия, необходимые для отмены или исправления неудачного развертывания релиза, должны планироваться и, по возможности, тестироваться. Неудачные развертывания релизов должны быть отменены или исправлены.
Неуспешные релизы должны быть расследованы и необходимые действия должны быть предприняты.
Успех или неудача релизов должны контролироваться и анализироваться. Измерения должны включать отслеживание инцидентов, связанных с релизом в период после его развертывания. Анализ должен включать оценку влияния релиза на заказчика. Результаты и выводы анализа должны быть зарегистрированы и рассмотрены для выявления возможностей совершенствования.
Информация об успехе или неудаче релизов и даты будущих релизов должны предоставляться процессу управления изменениями и процессу управления инцидентами и запросами на обслуживание.
Информация должна предоставляться процессу управления изменениями для осуществления оценки влияния запросов на изменение на релизы и на планы развертывания.
Библиография
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Национальный стандарт РФ ГОСТ Р ИСО/МЭК 20000-1-2013 "Информационная технология. Управление услугами. Часть 1. Требования к системе управления услугами" (утв. приказом Федерального агентства по техническому регулированию и метрологии от 8 ноября 2013 г. N 1543-ст)
Текст ГОСТа приводится по официальному изданию Стандартинформ, Москва, 2014 г.
Дата введения - 1 января 2015 г.
1 Подготовлен Закрытым акционерным обществом "ИТ Эксперт" и обществом с ограниченной ответственностью "Информационный аналитический вычислительный центр" (ООО "ИАВЦ") на основе собственного аутентичного перевода на русский язык стандарта, указанного в пункте 4
2 Внесен Техническим комитетом по стандартизации ТК 22 "Информационные технологии"
3 Утвержден и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 08 ноября 2013 N 1543-ст
4 Настоящий стандарт идентичен международному стандарту ИСО/МЭК 20000-1:2011 "Информационные технологии. Управление услугами. Часть 1: Требования к системе управления услугами (ISO/IEC 20000-1:2011 "Information technology - Service management - Part 1: Service management system requirements")
Наименование настоящего стандарта изменено относительно наименования указанного международного стандарта для приведения в соответствие с ГОСТ Р 1.5 (пункт 3.5).
5 Введен впервые
Приказом Росстандарта от 7 декабря 2021 г. N 1718-ст взамен настоящего ГОСТа с 30 апреля 2022 г. введен в действие ГОСТ Р ИСО/МЭК 20000-1-2021