ISO IEC 20000 2 PT BR Tradução KLEBER Versao

ISO/IEC 20000-2:2005(E)
INTERNACIONAL STANDARD
ISO/IEC 20000-2
Primeira edição
15-12-2005
Tecnologia da Informação - Serviço gestão – Parte 2:
Código de boas práticas
Parte 2: Código de Ética
Aviso Legal PDF

Este arquivo PDF pode conter fontes incorporadas. De acordo com a política de
licenciamento da Adobe, este arquivo pode ser impresso ou visualizado, mas não deve
ser editado a menos que as fontes que estão embutidos são licenciados e instalados no
computador realizando a edição. Em baixar este arquivo, as partes aceitam nele a
responsabilidade de não violar a política de licenciamento da Adobe. A ISO Secretaria
Central não aceita qualquer responsabilidade nesta área.
Adobe é uma marca comercial da Adobe Systems Incorporated.
Detalhes dos produtos de software usado para criar este arquivo em PDF pode
ser encontrada nas Informações Gerais relativo para o arquivo, o PDF-criação
parâmetros foram otimizados para impressão. Todo cuidado foi tomado para garantir
que o arquivo é adequado para utilização pelos organismos membros da ISO. Em o
evento improvável que um problema relacionado com ela é encontrado, por favor,
informar o Secretariado Central, no endereço indicado abaixo.
Todos os direitos reservados. Salvo disposição em contrário, nenhuma parte

desta publicação pode ser reproduzida ou utilizada em qualquer forma ou por qualquer
meio, eletrônico ou mecânico, incluindo fotocópia e microfilme, sem permissão por
escrito pela ISO no endereço abaixo, ou ISO é membro do corpo no país do solicitante.
ISO Escritório de Direitos Autorais

Case Postale 56   CH-1211 Genebra 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
www.iso.org Web
Publicado na Suíça
ISO/IEC 20000-2:2005(E)
Sumário
Parte 2: Código de Ética...........................................................................................................1
Prefácio.......................................................................................................................................5
Introdução..................................................................................................................................6
1 Escopo......................................................................................................................................6
2 Termos e definições...............................................................................................................7
3 O sistema de gestão..............................................................................................................7
3.1 A responsabilidade de gestão........................................................................................8
3.2 Requisitos de Documentação........................................................................................8
3.3 Competência, conscientização e treinamento.............................................................8
3.3.1 Geral..........................................................................................................................8
3.3.2 O desenvolvimento profissional.............................................................................9
3.3.3 Abordagens para ser considerada.........................................................................9
4 Planejamento e gestão de serviços de execução.............................................................10
4.1 Gerenciamento de serviços do Plano (Plano)............................................................10
4.1.1 Âmbito da gestão de serviços..............................................................................10
4.1.2 Abordagens de planejamento..................................................................................10
4.1.3 Eventos a serem considerados.................................................................................10
4.1.4 Âmbito e conteúdo do plano....................................................................................11
4.2 A gestão de serviços Implementar e fornecer os serviços (Do).............................11
4.3 Monitoramento, medição e análise (Check)..............................................................11
4.4 A melhoria contínua (Lei).............................................................................................12
4.4.1 Política.....................................................................................................................12
4.4.2 Planejamento para a melhoria dos serviços.......................................................12
5 Planejamento e implementação de serviços novos ou alterados...................................12
5.1 Tópicos para análise.....................................................................................................12
5.2 Alterar registros.............................................................................................................13
6.1 Gerenciamento de nível de serviço.............................................................................13
6.1.1 Catálogo de serviço...............................................................................................13
6.1.2 Acordos de nível de serviço (SLAs)......................................................................13
6.1.3 Nível de serviço de gestão de processos (SLM).................................................14
6.1.4 Apoiar acordos de serviços...................................................................................15
6.2 Relatórios de serviço.....................................................................................................15
6.2.1 Política.....................................................................................................................15
ISO/IEC 20000-2:2005(E)
6.2.2 Finalidade e controlo de qualidade sobre os relatórios de serviço..................15

6.2.3 Relatórios de serviço.............................................................................................16
6.3 A continuidade de serviço e gerenciamento de disponibilidade..............................16
6.3.1 Geral........................................................................................................................16
6.3.2 Monitoramento de disponibilidade e atividades.................................................17
6.3.3 Estratégia de continuidade de serviço................................................................17
6.3.4 Continuidade do serviço de planejamento e testes...........................................17
6.4 Orçamento e contabilidade de serviços de TI...........................................................18
6.4.1 Geral........................................................................................................................18
6.4.2 Política.....................................................................................................................18
6.4.3 Orçamento..............................................................................................................19
6.4.4 Contabilidade..........................................................................................................19
6.5 A gestão da capacidade...............................................................................................19
6.6 Gestão de segurança da informação..........................................................................20
6.6.1 Geral........................................................................................................................20
6.6.2 Identificar e classificar os ativos de informação................................................20
6.6.3 A avaliação de segurança de práticas de risco..................................................20
6.6.4 Os riscos para ativos de informação....................................................................20
6.6.5 Segurança e Disponibilidade da informação.......................................................21
6.6.6 Controles.................................................................................................................21
6.6.7 Os documentos e registos....................................................................................21
7 processos de relacionamento..............................................................................................22
7.1 Generalidades................................................................................................................22
7.2 Gestão do relacionamento de negócios.....................................................................23
7.2.1 Serviço de opiniões................................................................................................23
7.2.2 Serviço de queixas.................................................................................................23
7.2.3 Medição da satisfação do cliente.........................................................................23
7.3 Gestão de Fornecedores...............................................................................................24
7.3.1 Introdução..............................................................................................................24
7.3.2 Gestão de Contratos..............................................................................................24
7.3.3 Definição de serviço...............................................................................................24
7.3.4 Gerenciamento de múltiplos fornecedores.........................................................25
7.3.5 Gestão de conflitos contratuais............................................................................25
7.3.6 Final do contrato....................................................................................................25
ISO/IEC 20000-2:2005(E)
8 processos de resolução........................................................................................................25
8.1 Fundo..............................................................................................................................25
8.1.1 Estabelecimento de prioridades...........................................................................25
8.1.2 Soluções..................................................................................................................26
8.2 A gestão de incidentes.................................................................................................26
8.2.1 Geral........................................................................................................................26
8.2.2 Grandes incidentes................................................................................................27
8.3 Gerenciamento de Problemas......................................................................................27
8.3.1 Âmbito da gestão de problemas..........................................................................27
8.3.2 Início do gerenciamento de problemas...............................................................27
8.3.3 Erros Conhecidos...................................................................................................27
8.3.4 Resolução de Problemas.......................................................................................28
8.3.5 Comunicação..........................................................................................................28
8.3.6 Acompanhamento e escalada...............................................................................28
8.3.7 Incidentes e encerramento registro de problema.............................................28
8.3.8 Problema opiniões..................................................................................................28
8.3.9 Tópicos para revisões............................................................................................29
8.3.10 prevenção de problemas.....................................................................................29
9 processos de controle..........................................................................................................29
9.1 Gerenciamento de configuração..................................................................................29
9.1.1 Planejamento de gestão de configuração e implementação............................30
9.1.2 Identificação da configuração..............................................................................30
9.1.3 Controle de configuração......................................................................................31
9.1.4 Relato da situação da configuração e relatórios................................................32
9.1.5 Configuração de verificação e de auditoria........................................................32
9.2 Gerenciamento de Mudança........................................................................................33
9.2.1 Planejamento e execução.....................................................................................33
9.2.2 Encerramento e analisar a solicitação de mudança..........................................34
9.2.3 Mudanças de emergência.....................................................................................34
9.2.4 A gestão da mudança relatórios, análises e ações............................................34
10 Processo de liberação........................................................................................................34
10.1 Processo de gerenciamento de lançamento............................................................34
10.1.1 Geral......................................................................................................................34
10.1.2 Política de publicação..........................................................................................35
ISO/IEC 20000-2:2005(E)
10.1.3 Lançamento e planejamento de implantação..................................................35

10.1.4 Desenvolver ou adquirir software......................................................................35
10.1.5 Projetar, construir e configurar liberação.........................................................36
10.1.6 Verificação de lançamento e aceitação.............................................................36
10.1.7 Documentação.....................................................................................................36
10.1.8 Roll-out, distribuição e instalação......................................................................37
10.1.9 Liberação Correios e roll-out..............................................................................38
Bibliography...............................................................................................................................38
Prefácio
A ISO (International Organization for Standardization) e IEC (International
Electrotechnical Commission) formam o sistema especializado para padronização
mundial. Entidades nacionais que são membros da ISO ou IEC participam do
desenvolvimento de Padrões Internacionais através de comitês técnicos estabelecidos
pela respectiva organização para lidar com campos específicos de atividade técnica.
ISO e IEC comissões técnicas colaboram em campos de interesse mútuo. Outras
organizações internacionais, governamentais e não-governamentais, em ligação com a
ISO e IEC, também participam do trabalho. No campo da tecnologia da informação, a
ISO e a IEC estabeleceram um comitê técnico conjunto, ISO/IEC JTC 1.
Normas Internacionais são preparadas de acordo com as regras estabelecidas
nas Diretivas ISO/IEC, Parte 2.
A principal tarefa da comissão técnica conjunta é preparar as Normas
Internacionais. Projeto Internacional
Normas aprovadas pelo comitê técnico conjunto são circulados nos órgãos
nacionais para votação. A publicação como Norma Internacional requer aprovação de
pelo menos 75% dos organismos nacionais com direito a voto.
Atenção para a possibilidade de que alguns dos elementos deste documento
podem ser objeto de direitos de patente. ISO e IEC não serão responsabilizados pela
identificação de quaisquer direitos de patentes.
ISO/IEC 20000-2 foi elaborada pela BSI (como BS 15000-2) e foi aprovada, no
âmbito de um especial "procedimento acelerado", pelo Comitê Técnico ISO/IEC JTC 1,
Tecnologia da Informação, em paralelo com a sua aprovação pelo órgãos nacionais da
ISO e IEC.
ISO/IEC 20000 é composta das seguintes partes, sob o título geral de
tecnologia da informação.
Gerenciamento de serviços:
 ⎯ Parte 1: Especificação
⎯  Parte 2: Código de prática
ISO/IEC 20000-2:2005(E)
Introdução
Como um código de conduta, esta parte da ISO/IEC 20000 tem a forma de
orientações e recomendações. Não deve ser citado como se fosse uma especificação e
um cuidado especial deve ser tomado para garantir que as alegações de conformidade
não são enganosas.
Esta parte da NBR ISO/IEC 20000 deve ser utilizado em conjunto com a
ISO/IEC 20000-1, a especificação associado a este código de conduta.
Supõe-se que a execução das disposições desta parte da ISO/IEC 20000 é
confiada a pessoas devidamente qualificadas e competentes. Uma Norma Internacional
não pretende incluir todas as disposições necessárias de um contrato. Usuários das
Normas Internacionais são responsáveis pela sua correta aplicação.
O cumprimento de uma norma internacional, não por si só confere imunidade
de obrigações legais.
Esta parte da NBR ISO/IEC 20000 descreve as melhores práticas para
gerenciamento de serviços de processos no âmbito da ISO/IEC 20000-1.
A prestação de serviços cresce em importância, como os clientes exigem cada
vez mais avançadas instalações (custo mínimo) para atender suas necessidades de
negócio. Ele também reconhece que os serviços e gestão de serviços são essenciais
para ajudar as organizações a gerar receita e uma boa relação custo-benefício.
ISO/IEC 20000-1 é uma especificação para gerenciamento de serviços e devem
ser lidas em conjunto com esta parte da NBR ISO/IEC 20000.
A ISO/IEC 20000 série permite que os provedores de serviço para entender
como melhorar a qualidade do serviço prestado aos seus clientes, tanto internos como
externos.
Com a crescente dependência dos serviços de apoio ea grande variedade de
tecnologias disponíveis, prestadores de serviços podem ter dificuldades em manter
altos níveis de serviço ao cliente. Trabalhar de forma reativa gasta muito pouco tempo
de planejamento, treinamento, revisão, investigando e trabalhando com os clientes. O
resultado é a falta de aplicação estruturada, proativa as práticas de trabalho.
Esses mesmos fornecedores de serviços estão sendo feitas para melhorar a
qualidade, menores custos, maior flexibilidade e rapidez de resposta aos clientes.
gerenciamento de serviços eficazes oferece elevados níveis de serviço ao cliente e
satisfação do cliente.
A ISO/IEC 20000 série faz uma distinção entre as melhores práticas de
processos, que são independentes da forma de organização ou o tamanho e os nomes
e estruturas organizacionais. A ISO/IEC 20000 série aplica-se tanto os prestadores de
serviços grandes e pequenos, e os requisitos para as melhores práticas de processos
de gerenciamento de serviços não mudam de acordo com a forma de organização que
fornece o quadro de gestão em que os processos sejam seguidos.
Padrão Internacional ISO/IEC 20000-2:2005 (E)
1 Escopo
Esta parte da NBR ISO/IEC 20000 representa um consenso da indústria sobre
as normas de qualidade para os processos de gerenciamento de serviços. Estes
processos de Gerenciamento de entregar o melhor serviço possível para atender
empresas de um cliente necessita de recursos dentro dos níveis acordados, ou seja,
serviço que é profissional, rentável e com os riscos que são entendidas e gerenciadas.
A variedade de termos utilizados para o mesmo processo, e entre os processos
e os grupos funcionais (e de emprego títulos) pode tornar o tema da gestão de
ISO/IEC 20000-2:2005(E)
serviços confuso para o novo gerente. A falha em entender a terminologia pode ser um
obstáculo à criação de processos eficazes. O entendimento da terminologia é um
benefício tangível e significativa da ISO/IEC 20000. Esta parte da NBR ISO/IEC 20000
recomenda que os prestadores de serviços devem adoptar uma terminologia comum e
uma abordagem mais consistente para gestão do serviço. Ele dá uma base comum
para a melhoria dos serviços. Ele também fornece um quadro para o uso pelos
fornecedores de ferramentas de gerenciamento de serviços.
Como padrão de processo com base neste código de prática não se destina a
avaliação do produto. No entanto, as organizações que desenvolvem ferramentas de
gerenciamento de serviços, produtos e sistemas podem utilizar tanto a especificação e
o código de prática para ajudá-los a desenvolver ferramentas, produtos e sistemas que
suportam melhor prática de gestão de serviços.
Esta parte da NBR ISO/IEC 20000 fornece orientações para os auditores e

oferece assistência aos prestadores de serviços de planejamento de melhorias no
serviço ou a ser auditada segundo a ISO/IEC 20000-1.
ISO/IEC 20000-1 especifica uma série de processos de gerenciamento de
serviços relacionados, como mostrado na Figura 1.
Figura 1 - Gestão de Serviço de processos
2 Termos e definições
Para efeitos do presente documento, os termos e definições dados na ISO/IEC
20000-1 aplicar.
3 O sistema de gestão
Objetivo: Proporcionar um sistema de gestão, incluindo políticas e um quadro
que permita uma gestão eficaz e implementação de todos os serviços de TI.
ISO/IEC 20000-2:2005(E)
3.1 A responsabilidade de gestão

O papel da gestão para garantir a melhor prática são adotados processos e
sustentado é fundamental para qualquer prestador de serviços para atender aos
requisitos da norma ISO/IEC 20000-1.
Para garantir um compromisso do proprietário de nível superior devem ser
identificados como sendo responsáveis pelos planos de gestão de serviços. Este
proprietário alto responsável devem prestar contas para a entrega total do plano de
gerenciamento de serviços.
O papel do dirigente, proprietário deveria abranger de recursos para qualquer
projeto contínuo ou atividades de melhoria da base de serviços.
O proprietário alto responsável deve ser apoiado por um grupo de tomada de
decisão com autoridade suficiente para definir a política e fazer valer suas decisões.
3.2 Requisitos de Documentação

O proprietário alto responsável deve assegurar que as provas estão disponíveis
para uma auditoria de políticas de gerenciamento de serviços, planos e procedimentos,
bem como quaisquer atividades relacionadas a estas.
Grande parte das evidências de planejamento de serviços de gestão e as
operações devem existir na forma de documentos, que pode ser de qualquer tipo,
forma ou meio adequado para o seu propósito.
Os seguintes documentos são normalmente considerados adequados como
evidência de planejamento de gestão de serviços.
a) Políticas e planos;
b) A documentação de serviço;
c) procedimentos;
d) Processos;
e) os registros de controle de processo.
Deve haver um processo para a criação e gestão de documentos para ajudar a

garantir que as características descritas sejam cumpridas.
A documentação deverá ser protegida contra danos devido, por exemplo, às
precárias condições ambientais e desastres computador.
3.3 Competência, conscientização e treinamento
3.3.1 Geral
O pessoal que executa dentro da gestão de serviços deve ser competente com
base numa adequada educação, formação, competências e experiência.
O prestador do serviço deverá:
a) Determinar as competências necessárias para cada função na gestão dos

serviços;
b) Assegurar que o pessoal está consciente quanto à pertinência e importância de
suas atividades dentro do contexto mais amplo de negócios e como elas
contribuem para a consecução dos objetivos de qualidade;
c) Manter registros apropriados de educação, formação, competências e
experiência;
d) Fornecer treinamento ou tomar outras ações para satisfazer essas
necessidades;
e) Avaliar a eficácia das ações tomadas.
ISO/IEC 20000-2:2005(E)
3.3.2 O desenvolvimento profissional

O prestador de serviços deve desenvolver e aprimorar a competência
profissional dos seus trabalhadores. Entre as medidas tomadas para alcançar este
objetivo, o prestador de serviços deverá abordar os seguintes:
a) Recrutamento: com o objetivo de verificar a validade de candidatos a emprego

"detalhes (incluindo as suas qualificações profissionais) e identificar os
candidatos" pontos fortes, fracos e capacidades potenciais, contra uma
descrição de cargo/perfil, objetivos de gestão de serviço e objetivos de
qualidade global do serviço;
b) Planejamento: com o objetivo de pessoal dos serviços novos ou expandidos
(serviços também contratação), utilizando as novas tecnologias, a afetação de
pessoal de gerenciamento de serviços para as equipes de desenvolvimento de
projetos, planejamento de sucessão e preencher as lacunas de outras, devido à
rotatividade de pessoal previsto;
c) Formação e desenvolvimento: com o objetivo de identificar necessidades de
treinamento e desenvolvimento como um plano de treinamento e
desenvolvimento e que prevê a entrega atempada e eficaz.
Os funcionários devem ser treinados nos aspectos relevantes da gestão de

serviços (por exemplo, através de cursos de formação, auto estudo, orientação e
treinamento on the job) e sua equipe de trabalho e habilidades de liderança deve ser
desenvolvida. Um registro cronológico da formação deve ser mantida para cada
indivíduo, juntamente com as descrições da formação ministrada.
3.3.3 Abordagens para ser considerada

A fim de atingir as equipes de funcionários com níveis adequados de
competência do prestador de serviços deve decidir sobre a mistura ótima de curto
prazo e permanente recrutas. O prestador de serviços também deve decidir sobre a
melhor combinação de novos agentes com as qualificações exigidas e re-treinamento
do pessoal existente.
NOTA: O equilíbrio ideal de recrutas curto prazo e permanente é especialmente
importante quando o prestador de serviços é o planejamento de como prestar um
serviço durante e após grandes mudanças no número e qualificação da equipe de
apoio.
Fatores que devem ser considerados ao estabelecer a combinação mais
adequada de abordagens incluem:
a) A natureza de curto ou longo prazo de novas competências ou alterados;

b) Taxa de variação em habilidades e competências;
c) os picos e depressões esperado no mix de carga de trabalho e as habilidades
necessárias, com base na gestão de serviços e planejamento de melhoria dos
serviços;
d) Disponibilidade de pessoal devidamente competente;
e) As taxas de rotatividade de pessoal;
f) Planos de formação.
Para todos os funcionários, o prestador de serviço deve analisar o desempenho

de cada indivíduo, pelo menos anualmente e tomar as medidas adequadas.
ISO/IEC 20000-2:2005(E)
4 Planejamento e gestão de serviços de execução
4.1 Gerenciamento de serviços do Plano (Plano)

Objetivo: planejar a execução e entrega da gestão do serviço.
4.1.1 Âmbito da gestão de serviços

O escopo do gerenciamento de serviços deve ser definida como parte do plano
de gerenciamento de serviços.
Por exemplo, pode ser definido pela:
a) Organização;
b) Localização;
c) Service.
A administração deve definir o âmbito de aplicação, como parte das suas

responsabilidades de gestão (e como parte do plano de gestão de serviços). O seu
âmbito deve ser verificado para adequação sob a norma ISO / IEC 20000-1.
NOTA Planejamento para mudanças operacionais é descrito em 9.2.
4.1.2 Abordagens de planejamento

Vários planos de gestão de serviços pode ser usado no lugar de um grande
plano ou programador. Se for este o caso dos processos de gestão de base de serviços
devem ser coerentes entre si. Também deve ser possível demonstrar como cada
requisito de planejamento é gerenciado por vinculá-la aos correspondentes funções,
responsabilidades e procedimentos.
Serviço de planeamento da gestão deve fazer parte do processo de traduzir as
exigências dos clientes e as intenções da alta administração em serviços, e para
fornecer um mapa de rota para dirigir o progresso.
Um plano de gerenciamento de serviços deverá abranger:
a) A aplicação de gestão de serviço (ou parte da gestão do serviço);

b) A entrega dos processos de gestão de serviços;
c) Alterações ao serviço de processos de gestão;
d) A melhoria do serviço processos de gestão;
e) os novos serviços (à medida em que afetam os processos no âmbito da gestão
dos serviços acordados).
4.1.3 Eventos a serem considerados

O plano de gerenciamento de serviços deve responder por processo de
gerenciamento de serviços e de serviço alterações desencadeadas por eventos tais
como:
a) A melhoria de serviço;
b) As alterações de serviço;
c) Padronização de infraestrutura;
d) As mudanças na legislação;
e) Mudanças regulatórias, por exemplo, alterações na taxa de imposto local;
f) A desregulamentação ou regulamentação de indústrias;
g) As fusões e aquisições.
ISO/IEC 20000-2:2005(E)
4.1.4 Âmbito e conteúdo do plano

Um plano de gerenciamento de serviços devem definir:
a) O âmbito da gestão do prestador de serviços;

b) Os objetivos e requisitos que devem ser alcançados pela gestão dos serviços;
c) Os recursos, instalações e orçamentos necessários para atingir os objetivos
definidos;
d) O quadro de cargos de gestão e responsabilidades, incluindo o proprietário
altos responsáveis, donos de processos e gestão de fornecedores;
e) As interfaces entre os processos de gerenciamento de serviços e na forma em
que as atividades e / ou processos estão a ser coordenadas;
f) O método a ser adotado na identificação, avaliação e gerenciamento de
problemas e riscos para a concretização dos objetivos definidos;
g) Um cronograma de recursos expressos em termos de datas em que os fundos,
as habilidades e os recursos devem estar disponíveis;
h) A abordagem à mudança do plano e do serviço definido pelo plano;
i) Como o prestador de serviços irá demonstrar contínuo controle de qualidade
(por exemplo, auditorias provisórias);
j) Os processos que estão a ser executado;
k) Como ferramentas adequadas para apoiar os processos.
4.2 A gestão de serviços Implementar e fornecer os serviços

(Do)
Objetivo: implementar os objetivos do serviço de gestão e plano.
Obtenção de melhores práticas de gestão de serviços de processos capazes de
satisfazer os requisitos da ISO / IEC 20000 não será alcançado se os serviços originais
não cumprem os requisitos definidos para a implementação da norma ISO / IEC
20000-1.
Uma vez implementados os processos de gerenciamento de serviços e de
serviço devem ser mantidas.
As resenhas devem ter lugar em conformidade com 4,3.
NOTA a pessoa que é apropriado para o planejamento e implementação inicial
pode não ser adequado para a operação em andamento.
4.3 Monitoramento, medição e análise (Check)

Objetivo: quantificar, acompanhar e analisar que os objetivos e o plano de
gerenciamento de serviços estão sendo alcançados.
O prestador do serviço deve planejar e implementar o monitoramento,
medição, análise e revisão dos serviços, os processos de gerenciamento de serviços e
sistemas associados. Os itens que devem ser monitorados, medidos e analisados
incluem:
a) Conquista contra alvos de serviço definidos;

b) A satisfação do cliente;
c) A utilização de recursos;
d) Tendências;
e) Principais não conformidades.
Os resultados da análise devem contribuir para um plano para melhorar o

serviço.
ISO/IEC 20000-2:2005(E)
Como atividades de serviços bem como a gestão na medição e análise de

gestão sênior pode precisar fazer uso de auditorias internas e outras verificações. Ao
decidir a frequência das auditorias internas, e verifica o grau de risco envolvido em um
processo, a sua frequência de operação e seu passado histórico de problemas estão
entre os fatores que devem ser tidas em conta. Auditorias internas e controlos devem
ser planeado, realizado com competência e gravadas.
4.4 A melhoria contínua (Lei)

Objetivo: melhorar a eficácia e a eficiência da prestação de serviços e gestão.
4.4.1 Política
Os prestadores de serviços devem reconhecer que existe sempre a
possibilidade de fazer a entrega de serviços mais eficaz e eficiente. Deve haver uma
política publicada na qualidade dos serviços e melhoria.
Todos os envolvidos na gestão dos serviços ea melhoria dos serviços deve estar
ciente da política de qualidade de serviço e sua contribuição pessoal para a realização
dos objetivos definidos no âmbito desta política.
Em particular, todos os funcionários do prestador de serviços envolvidos na
gestão do serviço deve ter um conhecimento detalhado das implicações deste sobre os
processos de gestão de serviços.
Deve haver uma articulação eficaz dentro da estrutura do prestador de serviços
de gestão própria, clientes e fornecedores do prestador de serviços sobre questões que
afetam a qualidade de serviço e requisitos do cliente.
4.4.2 Planejamento para a melhoria dos serviços

Prestadores de serviços devem adoptar uma abordagem metódica e
coordenada de melhoria de serviço para atender às exigências da política, dos seus e
da perspectiva de seus clientes.
Antes de implementar um plano para melhorar o serviço de qualidade, serviço e
níveis devem ser contabilizadas como uma linha de base contra a qual as melhorias
reais podem ser comparados. A melhoria real deve ser comparado com a melhora
prevista para avaliar a eficácia da mudança.
NOTA 1: requisitos de melhoria de serviço pode vir de todos os processos.
Os prestadores de serviços devem incentivar seus funcionários e clientes para
sugerir formas de melhorar os serviços.
NOTA 2: Isso pode ser feito usando sistemas de sugestões, círculos de qualidade,
grupos de usuários e reuniões de ligação.
Metas de melhoria de serviços devem ser mensuráveis, vinculada aos objetivos
do negócio e documentadas em um plano.
Melhoria de serviços devem ser geridos ativamente e de progresso deve ser
monitorado com objetivos formalmente acordados.
5 Planejamento e implementação de serviços novos ou

alterados
Objetivo: garantir que os novos serviços e mudanças nos serviços de entrega e será
administrável ao custo e qualidade de serviço acordado.
5.1 Tópicos para análise

Planejamento para serviços novos ou alterados, deve incluir a revisão:
ISO/IEC 20000-2:2005(E)
a) Orçamentos;
b) Os recursos humanos;
c) Os níveis de serviço,
d) SLAs e outras metas ou compromissos de serviço;
e) Os processos existentes de gerenciamento de serviços, procedimentos e
documentação;
f) O âmbito da gestão de serviços, incluindo a implementação de processos de
gerenciamento de serviços anteriormente excluídos do âmbito de aplicação.
5.2 Alterar registros

Todas as alterações de serviço deve ser refletida nos registros de Change
Management.
Isso inclui planos para:
a) O recrutamento de pessoal / reciclagem;

b) transferência;
c) Formação dos utilizadores;
d) As comunicações sobre as mudanças;
e) Alterações à natureza da tecnologia de suporte;
f) O encerramento formal de serviços.
Seis processos de prestação de serviço
6.1 Gerenciamento de nível de serviço

Objetivo: Definir concordo, registrar e gerenciar níveis de serviço.
6.1.1 Catálogo de serviço

Um catálogo de serviços devem definir todos os serviços. Ele pode ser
referenciado a partir do SLA e deve ser usado para armazenar o material considerado
volátil para o SLA em si.
O catálogo de serviços deve ser e mantido up-to-date.
NOTA: O catálogo de serviços podem incluir informações genéricas, tais como:
a) O nome do serviço;
b) As metas, por exemplo, tempo para responder ou instalar uma impressora, um
tempo para restabelecer o serviço após uma falha grave;
c) Os pontos de contato;
d) O horário de serviço e exceções;
e) As medidas de segurança.
O catálogo de serviços é um documento fundamental para a definição

expectativa do cliente e deve ser facilmente acessível e amplamente disponível para os
clientes e pessoal de apoio.
6.1.2 Acordos de nível de serviço (SLAs)

O serviço deve ser formalmente documentado em um acordo de nível de
serviço (SLA). O SLA deve ser formalmente autorizados pelo cliente sênior e
representantes fornecedor de serviços. O SLA deve ser sujeita a mudança de gestão,
como é o serviço que ele descreve.
As necessidades do negócio do cliente e do orçamento deveria ser a força
determinante para o conteúdo, estrutura e metas do SLA. Os alvos, contra a qual o
ISO/IEC 20000-2:2005(E)
serviço prestado deve ser medido, devem ser definidos a partir de uma perspectiva do
cliente.
Os SLAs devem incluir apenas um subconjunto adequado de um dos objetivos
chamar a atenção para os aspectos mais importantes do serviço.
NOTA 1: Too muitos alvos podem criar confusão e provocar despesas excessivas.
O conteúdo mínimo que deve estar em um SLA ou que possam ser diretamente
referenciados a partir de um SLA é:
a) Breve descrição do serviço;

b) Prazo de validade e/ou SLA mecanismo de controle de mudança;
c) Detalhes de autorização;
d) Descrição detalhada das comunicações, incluindo a comunicação;
e) Os contatos de pessoas autorizadas a atuar em situações de emergência, para
participar de incidentes e correção dos problemas, a recuperação ou solução;
f) horas de serviço, por exemplo, 09:00 h às 17:00 h, as exceções data (fins de
semana, por exemplo, feriados), os períodos críticos de negócios e fora das
horas de cobertura;
g) As interrupções programadas e acordadas, incluindo a pré-aviso, o número por
período;
h) Responsabilidades do cliente, por exemplo, segurança;
i) Responsabilidade do provedor de serviço e obrigações, por exemplo,
segurança;
j) Impacto e orientações prioritárias;
k) Escalação e o processo de notificação;
l) Procedimento para reclamações;
m) os objetivos de serviço;
n) Limites Carga de trabalho (superior e inferior), por exemplo, a capacidade do
serviço de apoio ao número acordado de usuários / volume de trabalho, a
vazão do sistema;
o) Alto nível de gestão financeira detalhes, por exemplo, códigos de carga etc;
p) A ação a tomar em caso de interrupção do serviço;
q) Os procedimentos de limpeza;
r) Glossário de termos;
s) Apoiar e serviços correlatos;
t) Quaisquer exceções aos termos indicados no SLA.
NOTA 2: informação volátil, ou informação comum a muitos SLAs (tais como detalhes
de contato) pode ser referenciada a partir do SLA, sem afetar a qualidade dos
processos de SLM, desde que os documentos referenciados também estão sob o
controle do processo de gestão da mudança.
NOTA 3: Plano de Continuidade e detalhes de contabilidade e orçamento
normalmente são referenciados a partir do SLA.
NOTA 4: Um glossário de termos normalmente é realizada em um lugar e é comum a
todos os documentos, incluindo o catálogo de serviços.
6.1.3 Nível de serviço de gestão de processos (SLM)

Principais mudanças nos negócios, devido, por exemplo, para o crescimento,
reorganizações e fusões de negócios e requisitos dos clientes, podem exigir níveis de
serviço a ser ajustado, seja redefinido ou ainda que temporariamente suspensa.
ISO/IEC 20000-2:2005(E)
O processo de SLM deve ser flexível para acomodar estas mudanças. O

processo de SLM deve assegurar que o prestador de serviço continua a ser orientada
para o cliente em todo o planejamento, implementação e gerenciamento contínuo dos
serviços prestados.
O prestador de serviços deve ser dado informação adequada que lhes permitam
compreender os seus drivers de negócio do cliente e requisitos.
O processo de SLM deverá gerir e coordenar as contribuições dos níveis de
serviço, incluindo:
a) Acordo dos requisitos de serviço e características do serviço esperado carga de

trabalho;
b) O acordo de metas de serviço;
c) A medição e o registo dos níveis de serviço alcançados, as cargas de trabalho e
uma explicação, se as metas acordadas não forem cumpridas (ver 6.2);
d) Início da ação corretiva;
e) Entrada de um plano para melhorar o serviço.
O processo deve incentivar o prestador do serviço eo cliente para desenvolver

uma atitude proativa garantindo que eles têm uma responsabilidade conjunta para o
serviço.
Satisfação do cliente é uma parte importante do gerenciamento de nível de
serviço, mas ele deve ser reconhecido como uma medida subjetiva, enquanto que as
metas de serviços dentro de um SLA devem ser medidas objetivas. O processo de SLM
deve trabalhar em estreita colaboração com a relação de negócios e processos de
gestão de fornecedores.
6.1.4 Apoiar acordos de serviços

Os serviços de apoio em que o serviço prestado depende devem ser
documentadas e acordadas com cada fornecedor. Isso inclui grupos internos
fornecendo parte dos serviços do prestador de serviços.
6.2 Relatórios de serviço

Objetivo: Para produzir acordado oportuna, confiável e relatórios precisos para
tomada de decisão informada e comunicação eficaz.
NOTA: O sucesso de todos os processos de gerenciamento de serviços é dependente

do uso das informações fornecidas nos relatórios de serviço.
6.2.1 Política
Os requisitos para a notificação de serviço devem ser aprovados e registrados
para os clientes e gestão interna.
Serviço de monitorização e comunicação englobam todos os aspectos
mensuráveis do serviço, fornecendo a análise atual e histórica.
Onde há vários fornecedores, prestadores de chumbo e subfornecedores
contratados, os relatórios devem refletir as relações entre os fornecedores. Por
exemplo, um fornecedor deve levar um relatório sobre a totalidade do serviço que
prestam, incluindo todos os serviços subcontratados por fornecedores que gerem como
parte do serviço do cliente.
6.2.2 Finalidade e controlo de qualidade sobre os relatórios de serviço

Relatórios de serviços devem ser atual, clara, confiável e concisa.
ISO/IEC 20000-2:2005(E)
Eles devem ser adequados às necessidades do destinatário e de precisão

suficiente para ser usado como uma ferramenta de apoio à decisão.
A apresentação deve auxiliar a compreensão dos relatórios de modo que eles
são fáceis de assimilar, por exemplo, utilização de gráficos.
Vários tipos de relatório devem ser elaborados:
a) Relatórios reativam que demonstram o que aconteceu;

b) os relatórios proativa, que dão aviso antecipado de eventos significativos,
permitindo assim medidas preventivas a serem tomadas previamente (por
exemplo, relatórios de violações iminentes em SLAs);
c) Encaminhar relatórios agendados mostrando atividades planejadas.
6.2.3 Relatórios de serviço

O prestador do serviço deve elaborar relatórios para clientes e cobertura de
gestão:
a) Desempenho em relação aos objetivos de nível de serviço, por exemplo,

relatórios de interrupção, as conquistas;
b) O incumprimento das normas;
c) Características e informações sobre o volume de carga de trabalho, por
exemplo, incidentes, problemas, mudanças e tarefas, classificação, localização,
clientes, tendências sazonais, mistura de prioridades, o número de pedidos de
ajuda;
d) O relatório de desempenho após grandes eventos, por exemplo, mudança, e
lançamentos; e) Tendência informações por período (por exemplo, dia,
semana, mês, período);
e) Os relatórios que incluem informações de cada processo, por exemplo, o
número de incidentes e as perguntas mais frequentes, os componentes da
infraestrutura confiável de recursos, com um custo de tarefas intensivas;
f) Relatórios para destacar as cargas de trabalho futuras e programada.
6.3 A continuidade de serviço e gerenciamento de

disponibilidade
Objetivo: garantir que os compromissos acordados continuidade de serviço e
disponibilidade aos clientes podem ser atendidos em todas as circunstâncias.
NOTA: Principais falhas de serviço ou desastres podem ocorrer por muitas razões,
incluindo a negação de serviço, ataque, grande epidemia de vírus, acesso aos locais
não permitidos ou de uma catástrofe natural.
6.3.1 Geral
Exigências de continuidade do serviço e disponibilidade devem ser identificadas
com base nas prioridades dos clientes de negócios, acordos de nível de serviço e de
riscos avaliados. O prestador de serviços deverá manter capacidade de serviço
suficiente, juntamente com planos viáveis destinadas a assegurar que os requisitos
acordados podem ser cumpridos em todas as circunstâncias do normal até uma grande
perda de serviço. O prestador do serviço deve planejar de dados conhecidos ou
usuário aumenta ou diminui o volume, os picos esperados e baixos na carga de
trabalho e qualquer outro conhecido mudança futuram. Os requisitos devem incluir os
direitos de acesso e tempos de resposta, bem como o fim-de-final da disponibilidade
de componentes do sistema.
Serviço de disponibilidade e gerenciamento da continuidade do serviço deve
trabalhar em conjunto com o objetivo de garantir que os níveis de serviço acordados
ISO/IEC 20000-2:2005(E)
sejam mantidos. Estes requisitos devem ter uma grande influência sobre as ações,
esforços e recursos alocados à correspondência entre a disponibilidade dos serviços
que lhes dão suporte.
Processos para garantir a disponibilidade necessária à manutenção devem
incluir os elementos da prestação de serviços que estão sob o controle do cliente ou
outros prestadores de serviços.
6.3.2 Monitoramento de disponibilidade e atividades

Disponibilidade de gestão deve:
a) Acompanhar e disponibilidade do serviço de registro

b) Manter a precisão dos dados históricos;
c) Faça comparações com os requisitos definidos em SLAs para identificar não
conformidades com as metas de disponibilidade acordados;
d) Documento de revisão e não conformidade;
e) Prever a futura disponibilidade;
f) Sempre que possível, os problemas potenciais devem ser previstas e medidas
preventivas tomadas.
Ele deve garantir a disponibilidade de todos os componentes do serviço, com

ações corretivas registradas e cumpridas.
6.3.3 Estratégia de continuidade de serviço

O prestador de serviços deve desenvolver e manter uma estratégia que define
a abordagem geral a ser tomadas para cumprimento das obrigações de continuidade
de serviço. Isto deve incluir a avaliação dos riscos e levar em conta o horário de
serviço acordados e os períodos críticos de negócio. O prestador de serviços deve
acordar para cada grupo de clientes e de serviço:
a) Prazo máximo aceitável contínuo do serviço perdido;

b) Prazos máximos aceitáveis de serviço degradadas;
c) Os níveis de serviço aceitáveis degradadas durante um período de recuperação
do serviço.
A estratégia de continuidade deve ser revista em intervalos acordado, pelo

menos anualmente.
Qualquer mudança para a estratégia deve ser formalmente acordada.
6.3.4 Continuidade do serviço de planejamento e testes

O prestador do serviço deverá garantir que:
a) Os planos de continuidade levar em conta as dependências entre componentes

de serviço e do sistema;
b) Os planos de continuidade de serviço e outros documentos necessários para
apoiar a continuidade de serviço são registrados e mantidos;
c) A responsabilidade de planos de continuidade de invocação é claramente
atribuída e os planos claramente atribuir a responsabilidade de tomar medidas
contra cada objetivo;
d) Os backups dos dados, documentos e software, e qualquer equipamento e
pessoal necessário para a restauração do serviço são rapidamente disponíveis
após uma falha do serviço ou acidente grave;
ISO/IEC 20000-2:2005(E)
e) Pelo menos uma cópia de todos os documentos que a continuidade do serviço

deve ser armazenada e mantida em um local seguro, remoto, juntamente com
qualquer equipamento que é necessário para permitir a sua utilização;
f) Funcionários compreender o seu papel na invocação e/ou execução dos planos
e são capazes de acessar os documentos a continuidade do serviço.
Planos de continuidade de serviço e documentos relacionados (contratos, por

exemplo) devem ser associados ao processo de gestão da mudança e do processo de
gestão de contratos.
Planos de continuidade de serviço e documentos relacionados (contratos, por
exemplo) devem ser avaliados para prévio de impacto para o sistema e as mudanças
de serviço a ser aprovado, e antes de importantes exigências de cliente novo ou
alterado, a ser acordado.
O ensaio deve ser realizado com uma frequência suficiente para obter a
garantia de que os planos de continuidade são eficazes, e permanecem assim em face
da mudança de sistemas, processos, pessoas e necessidades empresariais. O ensaio
deve ser uma participação conjunta entre cliente e prestador de serviços baseado num
conjunto de objetivos. Falhas de teste devem ser documentadas e analisadas para a
entrada de um plano para melhorar o serviço.
6.4 Orçamento e contabilidade de serviços de TI

Objetivo: orçamentários e de conta para o custo da prestação do serviço.
6.4.1 Geral
Esta seção aborda o orçamento e a contabilidade de serviços de TI. Na prática,
muitos prestadores de serviços estarão envolvidos na cobrança de tais serviços. No
entanto, desde o carregamento é uma atividade opcional, não é abrangido pela norma.
Os prestadores de serviços que são recomendados quando a carga estiver em uso, o
mecanismo para fazer isso é totalmente definido e compreendido por todas as partes.
A responsabilidade por muitas das decisões financeiras estão fora do âmbito da
área de gestão de serviços e os requisitos para que as informações financeiras devem
ser fornecidas, de que forma e em que frequências pode ser ditada de fora. As
disposições desta seção são focalizadas sobre as práticas que devem ser seguidas para
satisfazer os requisitos da norma. Contudo, as necessidades mais vastas deverá
também ser tidas em conta como eles terão impacto sobre algumas das políticas e
procedimentos definidos. Todas as práticas contábeis utilizadas devem ser alinhadas
com as práticas de contabilidade geral de toda a organização do prestador de serviços.
6.4.2 Política
Deve haver uma política sobre a gestão financeira dos serviços. A política deve
definir os objetivos a serem cumpridas pelo orçamento e contabilidade.
A política deve também definir os detalhes para que o orçamento ea
contabilidade seja realizadas, levando em consideração a:
a) Os tipos de custos a serem contabilizados;

b) Repartição das despesas de funcionamento, por exemplo, taxa fixa, o
percentual fixo, ou com base no tamanho do elemento variável;
c) Granularidade de negócio do cliente, por exemplo, unidade de negócio como
uma unidade, divididas em departamentos, ou locais;
d) As regras que regem o tratamento dos desvios em relação a orçamentos, por
exemplo, tamanho da variância que será encaminhado para a gerência sênior;
e) Ligações para o serviço de gerenciamento de nível.
ISO/IEC 20000-2:2005(E)
O nível de investimento em processos de orçamento e contabilidade devem ser

baseadas nas necessidades dos clientes, prestador de serviços e fornecedores para o
detalhe financeiras como definido na apólice.
NOTA: Os prestadores de serviços que operam em um ambiente comercial pode

precisar investir muito mais tempo e esforço na sua gestão financeira. Por outro lado,
para os prestadores de serviço, quando a simples identificação dos custos é suficiente
a gestão financeira pode ser muito mais simples.
Orçamento e contabilidade devem ser realizados por todos os prestadores de

serviço, independentemente das suas outras políticas sobre a gestão financeira.
6.4.3 Orçamento
Orçamento deve levar em conta as alterações previstas para os serviços
durante o período de orçamento e onde as exigências orçamentais excederem os
fundos disponíveis, o plano para a gestão de deficiências.
Orçamento pode ter em conta fatores como as variações sazonais e de curto
prazo alterações previstas para os custos dos serviços e encargos.
Controlo de custos em relação ao orçamento deve garantir um alerta precoce
de desvios em relação a orçamentos.
Deve haver um processo que gerencia as implicações das variações em relação
ao orçamento.
Orçamentação e controlo de custos deverá apoiar o planejamento de operar e
mudar os serviços para que os níveis de serviço pode ser mantida durante todo o ano.
6.4.4 Contabilidade
Processos de contas deve ser usado para controlar os custos a um certo nível
de detalhe durante um período de tempo acordado.
As decisões sobre a prestação de serviços deve ser baseada em comparações
de custo-eficácia.
6.5 A gestão da capacidade

Objetivo: garantir que o prestador de serviços, em todos os momentos, capacidade
suficiente para atender as demandas atuais e futuras do negócio acordado
necessidades do cliente.
Os requisitos de negócios atuais e esperados para os serviços devem ser
entendidas em termos daquilo que a empresa terá que habilitá-lo para entregar aos
seus clientes.
Previsões de negócios e as estimativas de carga de trabalho devem ser
traduzidas em necessidades específicas e documentadas.
O resultado de variações na carga de trabalho ou ambiente deve ser previsível,
e os dados sobre componente atual e anteriores e utilização de recursos a um nível
adequado devem ser capturados e analisados para apoiar o processo.
Capacidade de gestão deve ser o ponto focal para todos os problemas de
desempenho e capacidade.
O processo deve fornecer apoio direto ao desenvolvimento de serviços novos e
modificados através de dimensionamento e modelagem de serviços.
Um plano de capacidade de documentar o desempenho real da infraestrutura e
os requisitos exigidos, devem ser produzidos em uma frequência adequada tendo em
conta a taxa de variação do volume de serviços e de serviços, informações contidas
nos relatórios de gestão e de mudança de negócio do cliente.
ISO/IEC 20000-2:2005(E)
Deve ser feito pelo menos anualmente. Este documento deve opções
orçamentados para o cumprimento dos requisitos de negócio e recomendar soluções
para garantir o cumprimento dos níveis de serviço acordados objetivos definidos no
SLA.
A infraestrutura técnica e os seus atuais e previstos recursos devem ser bem
compreendidos.
6.6 Gestão de segurança da informação

Objetivo: Gerenciar a segurança da informação de forma eficaz em todas as
atividades de serviços.
6.6.1 Geral
A segurança da informação é o resultado de um sistema de políticas e
procedimentos destinados a identificar, controlar e proteger as informações e os
equipamentos utilizados em ligação com o seu armazenamento, transmissão e
tratamento.
O pessoal do prestador de serviços com funções de especialista em segurança
da informação devem estar familiarizados com
ISO/IEC 17799, Tecnologia da informação - Técnicas de segurança - Código de
prática para a gestão de segurança da informação.
6.6.2 Identificar e classificar os ativos de informação

O prestador do serviço deverá:
a) Manter um inventário dos ativos de informação (por exemplo, computadores,

comunicações, equipamento ambiental, documentos e outras informações) que
são necessários para a prestação de serviços;
b) Classificar cada ativo de acordo com sua criticidade para o serviço e o nível de
proteção que estes requerem, e nomear um proprietário para ser responsável
pelo fornecimento dessa proteção;
c) A responsabilidade pela proteção do recurso, caberá ao proprietário do ativo,
embora possam delegar hoje dia responsabilidades de gestão de segurança.
6.6.3 A avaliação de segurança de práticas de risco

Segurança avaliação dos riscos deve:
a) Ser realizados em intervalos acordados;

b) Ser registrada;
c) Ser mantida durante as mudanças (de necessidades de negócio, processos e
configurações);
d) Auxiliar na compreensão do que pode impactar um serviço gerenciado;
e) Informar as decisões quanto aos tipos de controle a ser operado.
6.6.4 Os riscos para ativos de informação

Os riscos para ativos de informação deve ser avaliada por referência:
a) a sua natureza (por exemplo, mau funcionamento de software, erros de

operação, falha de comunicação;
b) Risco;
c) impacto potencial;
d) A experiência do passado.
ISO/IEC 20000-2:2005(E)
6.6.5 Segurança e Disponibilidade da informação

Na avaliação dos riscos, tendo em conta deve ser paga ao seguinte:
a) A divulgação de informações confidenciais para terceiros não autorizados;

b) Imprecisos, incompletos ou inválido (por exemplo, fraudulenta) de informação;
c) Informação sendo indisponíveis para utilização (por exemplo, devido à falha de
energia);
d) O dano físico ou destruição de equipamentos necessários à prestação de
serviços.
Deverá também ser tida em objetivos de política de segurança de informação, a

necessidade de cumprir exigências de clientes segurança especificado (por exemplo, os
níveis de disponibilidade), e os requisitos legais ou regulamentares aplicáveis.
6.6.6 Controles
Além de outros controles que podem ser justificadas e conselhos contidos
noutros pontos da presente parte do ISO/IEC 20000 (por exemplo, sobre a
continuidade do serviço), prestadores de serviços devem funcionar os seguintes
comandos como uma questão de boa prática de gestão de segurança da informação:
a) Gestão sénior deve definir sua política de segurança da informação, comunicá-

la aos funcionários e clientes, e agir para garantir a sua efetiva implementação;
b) As funções de segurança da informação de gestão e responsabilidades devem
ser definidas e atribuídas aos titulares de cargo;
c) Um representante do grupo de gestão (o papel pode ser realizada pelo
proprietário sênior responsável) deverá monitorar e manter a eficácia da
Política de Segurança da Informação;
d) O pessoal com funções de segurança importantes devem receber treinamento
de segurança da informação;
e) Todos os funcionários devem estar cientes da política de segurança da
informação;
f) Ajuda especializada em avaliação de riscos e de controlo da aplicação deve
estar disponível;
g) As alterações não devem comprometer o funcionamento eficaz dos controlos;
h) Os incidentes de segurança da informação devem ser comunicadas em
conformidade com os procedimentos de gerenciamento de incidentes e uma
resposta iniciada.
6.6.7 Os documentos e registos

Os registros devem ser analisados periodicamente para fornecer uma gestão
com informações sobre:
a) Eficácia da política de segurança da informação;

b) As tendências emergentes em incidentes de segurança da informação;
c) Entrada de um plano para a melhoria do serviço;
d) O controle sobre o acesso à informação, bens e sistemas.
As informações do sistema de gestão de segurança deve ser documentado de

forma confiável.
ISO/IEC 20000-2:2005(E)
7 processos de relacionamento
7.1 Generalidades
Relação de processos descreverem os dois aspectos relacionados com a Gestão de
Fornecedores e Relacionamento Gestão Empresarial. Esta norma aborda o papel de
prestador de serviços, que logicamente ele ocupa um papel entre os fornecedores,
fornecendo bens ou serviços ao prestador do serviço eo cliente que recebe serviços.
Tanto os fornecedores e clientes podem ser internos ou externos à organização do
prestador de serviços. Relações externas serão formalizadas através de um contrato.
As relações internas será formalizado através de um serviço interno ou sub-pinning
acordo muitas vezes referida como um acordo de nível operacional.
A Figura 2 mostra uma representação simplificada das relações.
Figura 2 - Relação de processos
Como a Figura 2 mostra, o prestador do serviço preenche um papel dentro de

uma cadeia de suprimentos, onde cada etapa da cadeia deve ser a adição de benefício,
com o prestador de serviço de recebimento de serviços ou de mercadorias do
fornecedor e entregando um serviço melhor ao cliente.
Para esclarecimento, nesta seção o prestador do serviço "é sempre usada para
descrever a organização dirigida por este documento, independentemente do papel, ou
a direção da cadeia, que levam no processo que está sendo descrito.
Na prática, as relações raramente será tão simples, mas incluem vários
jogadores, levando papéis, tanto como fornecedores e clientes e com ligações
comerciais entre muitos deles diretamente, bem como através do provedor de serviço.
Os processos de relacionamento devem assegurar que todas as partes
a) Compreender e satisfazer as necessidades de negócios;

b) Compreender as capacidades e limitações;
c) Compreender as responsabilidades e obrigações.
ISO/IEC 20000-2:2005(E)
Eles também devem assegurar que os níveis de satisfação do cliente são

adequados e que as necessidades de negócios futuros são comunicadas e
compreendidas.
O escopo, os papéis e responsabilidades das relações de negócio e
relacionamento com o fornecedor devem ser definidos e acordados. Isto deve incluir a
identificação das partes interessadas, os contatos e as linhas e frequência de
comunicação.
7.2 Gestão do relacionamento de negócios

Objetivo: estabelecer e manter um bom relacionamento entre o prestador eo cliente,
com base no entendimento do cliente e seus drivers de negócio.
7.2.1 Serviço de opiniões

O prestador do serviço e o cliente (s) devem realizar avaliações de serviço, pelo
menos anualmente e antes e depois de grandes mudanças. A revisão deve considerar
o desempenho passado, discutir as necessidades de negócio atuais e projetados e
propor eventuais alterações no escopo do serviço e SLAs. Outras partes interessadas,
por exemplo, subempreiteiros, clientes, grupos de usuários ou outras entidades
representativas poderão ser convidados a participar nas reuniões de revisão.
O prestador do serviço e o cliente (s) também devem concordar sobre
procedimentos de revisão intercalar para discutir o progresso, as conquistas e
problemas. Essas reuniões devem ser agendadas e comunicadas às partes
interessadas.
O prestador de serviços deve planear e gravar todas as reuniões formais, os
registros de emissão e acompanhamento das ações acordadas.
O prestador de serviços deve estabelecer um relacionamento com seus clientes
de tal ordem que seria de esperar para estar ciente das necessidades empresariais e
de grandes mudanças e capaz de se preparar para responder a essa necessidade.
7.2.2 Serviço de queixas

O prestador do serviço e o cliente (s) devem concordar com um procedimento
de queixa formal, para que não haja nenhuma ambiguidade sobre o que constitui uma
denúncia e como ela deve ser tratada. O prestador de serviços deverá operar um
processo de adopção de medidas adequadas para resolver problemas.
O processo deve identificar o prestador de serviços para manter contato com
queixas formais.
O prestador do serviço deve registrar investigar, agir, comunicar e encerrar
formalmente todas as queixas do serviço.
Queixas pendentes devem ser regularmente revisto e encaminhado à alta
gerência se não for resolvido dentro de prazos de tempo acordado com o cliente (s).
Os prestadores de serviços deve analisar periodicamente o registro de
reclamações para identificar tendências e análise deste relatório aos clientes.
Os resultados dessa análise devem ser utilizados quando necessário para
informar um plano para melhorar o serviço.
7.2.3 Medição da satisfação do cliente

A satisfação do cliente deve ser medida para que o prestador de serviços para
comparar o desempenho com as metas de satisfação do cliente e em levantamentos
anteriores. A abrangência e a complexidade da pesquisa devem ser projetados para
que os clientes possam responder com facilidade e sem excesso de tempo que seja
necessário concluir o inquérito com precisão.
ISO/IEC 20000-2:2005(E)
variações significativas nos níveis de satisfação devem ser investigados e as

razões compreendidas. Tendências ou outras comparações devem ser feitas apenas
sobre questões de satisfação e comparáveis entre os métodos de amostragem
comparáveis.
Os resultados e conclusões das pesquisas de satisfação do cliente devem ser
discutidos com o cliente. Um plano de ação deverá ser acordado, a entrada de um
plano para melhorar o serviço e os progressos comunicados ao cliente.
Elogios sobre o serviço devem ser documentados e comunicados para a equipe
de prestação de serviços.
7.3 Gestão de Fornecedores

Objetivo: Gerenciar fornecedores para garantir o fornecimento de uniforme, serviços
de qualidade.
7.3.1 Introdução
Procedimentos de gestão do fornecedor devem garantir que:
a) O fornecedor compreende as suas obrigações para com o prestador de

serviços;
b) as exigências legítimas e acordadas sejam cumpridas dentro de níveis de
serviço acordados e escopo;
c) As mudanças são controladas;
d) As transações de negócios entre todos os partidos são registrados;
e) informação sobre o desempenho de todos os fornecedores podem ser
observadas e cumpridas.
7.3.2 Gestão de Contratos

O prestador de serviços deverá designar um gerente responsável pelos
contratos e acordos com os fornecedores.
Sempre que um número de funcionários está envolvido nesta tarefa, deve
haver um processo comum para garantir que as informações sobre o desempenho do
fornecedor é observado e executado.
Deve haver um contato definidas no âmbito do prestador de serviços
responsável pelo relacionamento com cada fornecedor.
Todos os contratos de fornecimento devem conter um cronograma de revisão
para avaliar se os objetivos de negócios para fornecimento de um serviço permanecem
válidos.
Deve haver um processo claramente definido para o gerenciamento de cada
contrato. O processo de alteração do contrato deve ser claramente definido. Quaisquer
alterações a este procedimento deverá ser formalmente comunicada a todos os
fornecedores afetados.
Uma lista de pontos de contato no âmbito das organizações respectivas
(fornecedores e prestador de serviços) deve ser mantida. Se o contrato inclui
penalidades ou bônus, sua base deve ser claramente indicada e de conformidade com
os requisitos divulgados.
7.3.3 Definição de serviço

Para cada serviço e fornecedor, prestador de serviços deverá manter:
a) A definição dos serviços, funções e responsabilidades;

b) O âmbito de serviço;
ISO/IEC 20000-2:2005(E)
c) Contrato de processo de gestão, os níveis de autorização e um plano de sair do

contrato;
d) As condições de pagamento se forem o caso;
e) Aprovada parâmetros de relatórios e registros de desempenho.
7.3.4 Gerenciamento de múltiplos fornecedores

Deve ficar claro se o prestador de serviço é lidar com todos os fornecedores
diretamente ou a um fornecedor levar a assumir a responsabilidade para a
subfornecedores contratados.
O fornecedor deve levar registrar os nomes, as responsabilidades e as relações
entre todos os fornecedores subcontratados, e que porá à disposição do prestador de
serviços, se necessário.
O prestador de serviços deve obter provas de que os fornecedores de chumbo
são formalmente gestão subcontratados prestadores de serviços, orientada, se for caso
disso, pelos requisitos da norma ISO/IEC 20000-1.
7.3.5 Gestão de conflitos contratuais

Tanto o prestador de serviço e o fornecedor deverá operar um processo de
gestão de conflitos, e isso deve ser definido ou previsto no contrato.
Uma rota de escalada deve estar disponível para as disputas que não podem
ser resolvidos pela via normal.
O processo deve garantir que as disputas são registradas, investigadas,
tratadas e formalmente fechadas.
7.3.6 Final do contrato

O processo de gestão do contrato deve incluir uma provisão para o fim do
contrato - ou final esperado, ou terminar mais cedo. Também deve prever a
transferência do serviço a outra organização.
8 processos de resolução
8.1 Fundo
Gestão de incidentes e problemas são processos distintos, embora sejam
intimamente ligadas. Ofertas de Incidentes com a restauração do serviço para os
usuários, enquanto problema diz respeito à identificação e eliminação das causas dos
incidentes.
8.1.1 Estabelecimento de prioridades

Metas para a resolução deveria ser baseada em prioridade. A prioridade deve
ser baseada no impacto e urgência. Impacto deve ser baseada na escala de dano real
ou potencial para o negócio do cliente. Urgência deve ser baseado no tempo entre o
problema ou incidente ser detectado eo tempo que o negócio do cliente é impactado.
O agendamento de incidente ou de resolução de problemas deve levar em
conta, pelo menos, o seguinte:
a) Prioridade;
b) As competências disponíveis;
c) Competir requisitos de recursos;
d) Esforço de custo / fornecer o método de resolução;
e) O tempo decorrido para fornecer um método de resolução
ISO/IEC 20000-2:2005(E)
Observação: A prioridade é usada em todo gerenciamento de serviços, mas é

fundamental para o gerenciamento de incidentes e problemas.
8.1.2 Soluções
Quando a gestão problema apropriado, devem desenvolver e manter soluções
alternativas para permitir o gerenciamento de incidentes para ajudar a restauração do
serviço pelos usuários do pessoal.
Um erro conhecido deve ser fechado somente quando uma mudança corretiva
tem sido aplicada com sucesso, ou o erro já não é aplicável, por exemplo, porque o
serviço não é mais usado.
Problema de gestão deve ter acesso a informações sobre as áreas de negócio
afetadas pelos problemas.
Informações sobre soluções armazenadas na base de conhecimento, a sua
aplicabilidade e eficácia devem ser armazenados e mantidos.
8.2 A gestão de incidentes

Objetivo: Para restaurar o serviço acordado para o negócio o mais rapidamente
possível, ou para responder às solicitações de serviço
8.2.1 Geral
NOTA 1: O processo de gerenciamento de incidentes podem ser entregues por um
posto de serviço, que funciona como o contato do dia-a-dia com os usuários.
NOTA 2: gerenciamento de incidentes devem ser:
a) Tanto o processo proativo e reativo, respondendo a incidentes que afetam, ou

podem vir a afetar o serviço;
b) Preocupado com o restabelecimento do serviço aos clientes, não com a
determinação da causa de incidentes.
O processo de gerenciamento de incidentes deve incluir o seguinte:
a) Recepção de chamadas, gravação de atribuição de prioridades, a classificação;

b) A resolução de primeira linha ou encaminhamento;
c) Apreciação de assuntos de segurança;
d) Incidente de rastreamento e gerenciamento de ciclo de vida;
e) A verificação e fechamento de Incidentes;
f) de ligação ao cliente de primeira linha;
g) Escalonamento.
Incidentes podem ser relatados através de chamadas telefónicas, mensagens

de voz, visitas, cartas, faxes ou e-mails, ou podem ser registrados diretamente pelos
usuários com acesso ao sistema de registro de incidentes, ou por software de
monitorização automática.
Todos os incidentes devem ser registrados de uma forma que permite que as
informações relevantes que devem ser recuperados e analisados.
Progresso (ou falta dela) na resolução de incidentes devem ser comunicados às
efetiva ou potencialmente afetados.
Todas as ações devem ser registradas no registro de incidentes.
Incidente pessoal de gestão devem ter acesso a um up-to-date base de
conhecimento que tenham informações sobre especialistas técnicos, incidentes
anteriores, problemas relacionados e erros conhecidos, soluções e listas de verificação
que vai ajudar no restabelecimento do serviço ao negócio.
ISO/IEC 20000-2:2005(E)
Sempre que possível, o cliente deverá ser dotado de meios para continuar o
negócio, mesmo que apenas com um serviço degradado, por exemplo, desabilitando
uma característica defeituosa. O motivo é minimizar o impacto sobre as atividades de
negócio do cliente. Quando a causa não é diagnosticada, mas uma solução é criada, os
detalhes devem ser registrados para o uso durante o diagnóstico do problema
continua, e quando ocorrer incidentes semelhantes.
Encerramento definitivo de um incidente deve ocorrer apenas quando o usuário
iniciante tem sido dada a oportunidade para confirmar que o incidente já está resolvido
e o serviço restabelecido.
8.2.2 Grandes incidentes

Deve haver uma definição clara do que constitui um incidente grave e que está
habilitado a invocar alterações no funcionamento normal do incidente de processo /
problema.
Todos os incidentes importantes devem ter um gestor responsável claramente
definido em todos os momentos.
Nomeação como gerente de um incidente grave deve dar ao nível das
entidades individuais que são adequados para a função de coordenar e controlar todos
os aspectos para a resolução. Isto deve incluir a responsabilidade pela escalada e
comunicação eficazes em todas as áreas envolvidas na resolução, e para os clientes
afetados pelo incidente grave.
NOTA: Este nível de autoridade pode ser temporária, e aplicam-se apenas durante o
incidente mais grave.
O processo de um incidente grave deve incluir uma revisão que irá informar um
plano para melhorar o serviço.
8.3 Gerenciamento de Problemas

Objetivo: minimizar a interrupção nos negócios através da identificação proativa e
análise das causas dos incidentes e gestão de problemas até o encerramento.
8.3.1 Âmbito da gestão de problemas

O processo de gerenciamento de problemas deve investigar as causas dos
incidentes.
Problema de gestão pró-ativa deve prevenir a recorrência ou a replicação de
incidentes ou erros conhecidos de acordo com os requisitos de negócio.
8.3.2 Início do gerenciamento de problemas

Os incidentes devem ser classificados para ajudar a determinar as causas dos
problemas. A classificação pode fazer referência a problemas existentes e mudanças.
NOTA: Na primeira categorização de incidentes de registo será influenciada por outros

fatores, incluindo também serviços, área de negócios afetados e os sintomas
apresentados.
8.3.3 Erros Conhecidos

Quando a investigação de gerenciamento de problemas tem identificado a
causa raiz de um incidente e um método de resolver o incidente, o problema deve ser
classificado como um erro conhecido.
Todos os erros conhecidos deverão ser registradas contra os serviços atuais e
potencialmente afetados, além do item de configuração suspeitos de estarem em falta.
ISO/IEC 20000-2:2005(E)
Informações sobre erros conhecidos em serviços que estão sendo introduzidos

no ambiente real devem ser passados para o serviço de gestão e deve ser registada na
base de conhecimento, juntamente com as soluções.
Um erro conhecido não deve ser fechado após a resolução bem sucedida.
NOTA: O cliente ou fornecedor de serviços pode decidir que a resolução não é muito
caro ou um benefício para o negócio.
Se este for o caso, devem ser claramente documentados. O registro de erro

conhecido deve permanecer aberto no entanto, uma vez que incidentes consequenciais
são susceptíveis de ocorrer e pode exigir soluções alternativas e/ou exigir a reavaliação
da decisão de resolver.
8.3.4 Resolução de Problemas

Quando a causa tenha sido identificada, e uma decisão para resolvê-lo tem sido
feito, a resolução deve ser avançado através do processo de gestão da mudança.
8.3.5 Comunicação
Informações sobre soluções alternativas, as correções permanentes ou
progresso de problemas deve ser comunicada aos afetados ou necessários para apoiar
os serviços afetados.
8.3.6 Acompanhamento e escalada

O progresso de todos os problemas devem ser rastreados.
Todas as questões devem ser escalados para as partes apropriadas. O processo
deverá abranger:
a) alterações da gravação para a identidade dos responsáveis pela resolução de

problemas durante o ciclo de vida de cada problema;
b) Identificação dos incidentes que a violação metas de nível de serviço;
c) A informação em cascata para os clientes e colegas para que eles possam
tomar as medidas adequadas para minimizar o impacto do problema por
resolver;
d) Definição dos pontos de escalada;
e) A gravação dos recursos utilizados e as ações tomadas.
8.3.7 Incidentes e encerramento registro de problema

O processo de encerramento de registro deve incluir a verificação para garantir
que:
a) detalhes da resolução foram corretamente registrados;

b) A causa é categorizada para facilitar a análise;
c) Se for caso disso, o cliente eo pessoal de apoio estão conscientes da resolução;
d) O cliente concorda que a resolução tenha sido alcançada;
e) Se a resolução não pode ser alcançado ou não possível, o cliente é informado.
8.3.8 Problema opiniões

Comentários problema deve ser realizada em investigação sobre problemas não
resolvidos, incomuns ou de alto impacto justificar. Sua finalidade é buscar melhorias
para o processo e para evitar a recorrência de incidentes ou erros.
Problema opiniões é normalmente:
ISO/IEC 20000-2:2005(E)
a) revisão dos níveis de incidente individual e status de problema em relação aos

níveis de serviço;
b) A Administração revisa para destacar os problemas que exigem ação imediata;
c) Gestão de revisão para determinar e analisar as tendências e fornecer
informações para outros processos, tais como a educação do usuário e da
formação.
8.3.9 Tópicos para revisões

Os comentários devem incluir a identificação de:
a) Trends, por exemplo, problemas recorrentes e incidentes, erros conhecidos,

etc.;
b) Os problemas recorrentes de um componente de classificação ou local;
c) As deficiências causadas pela formação de recursos ou de documentação;
d) Não conformidades, por exemplo, contra as normas, políticas e legislação;
e) Erros conhecidos em liberações planejadas;
f) O compromisso dos funcionários de recursos na resolução de incidentes e
problemas;
g) Recorrência de incidentes ou problemas resolvidos.
Melhorias para o serviço ou o processo de gestão de problema devem ser registradas e

enviadas a um plano para melhorar o serviço.
As informações devem ser adicionadas à base de conhecimento problema de
gestão.
Toda a documentação relevante deve ser atualizada, por exemplo, guias do
usuário e documentação do sistema.
8.3.10 prevenção de problemas

Proativa de gerenciamento de problemas deve levar a uma redução dos
incidentes e problemas. Deve incluir uma referência à informação que assiste a análise,
tais como:
a) Ativos e configuração;
b) A gestão da mudança;
c) Publicada erro conhecido, informações solução dos fornecedores;
d) As informações históricas sobre problemas semelhantes.
Prevenção de problemas deve variar de prevenção de incidentes individuais,

tais como dificuldades repetidas com uma característica particular de um sistema,
através de decisões estratégicas. Este último pode exigir grandes despesas para a
execução como o investimento em uma rede melhor, a este nível de gestão proativa
de problemas se funde com gerenciamento de disponibilidade.
Problema de prevenção também inclui informação que está sendo dada aos
clientes que significa que eles não precisam pedir ajuda no futuro, por exemplo,
prevenção de incidentes causados pela falta de conhecimento do usuário ou de
formação.
ISO/IEC 20000-2:2005(E)
9 processos de controle
9.1 Gerenciamento de configuração

Objetivo: definir e controlar os componentes do serviço e infraestrutura e manter
informações de configuração exata.
9.1.1 Planejamento de gestão de configuração e implementação

O gerenciamento de configuração deve ser planejado e implementado com a
gestão de mudança e libertação para garantir que o prestador de serviços pode
gerenciar seus ativos de TI e as configurações de forma eficaz.
Precisas informações de configuração devem estar disponíveis para apoiar o
planejamento e controle de mudanças como novos serviços e sistemas atualizados e
são liberados e distribuídos. O resultado deve ser um eficiente sistema que integra os
processos do fornecedor de serviços de configuração e as informações de seus clientes
e fornecedores, se for caso disso.
Todos os principais ativos e configurações devem ser contabilizados e tem um
gerente responsável, que garante que uma proteção adequada e controle são
mantidos, por exemplo, mudanças são autorizados antes da implementação.
A responsabilidade pela implementação dos controles pode ser delegada, mas a
responsabilidade deve permanecer com o gestor responsável. O gerente responsável
deve ser fornecido com as informações necessárias para cumprir com essa
responsabilidade, por exemplo, a pessoa que autoriza a alteração pode exigir
informações sobre o custo, os riscos, o impacto da mudança e os recursos para a
implementação.
A infraestrutura e/ou serviços devem ter plano de gerenciamento de up-to-date
de configuração (s) que pode ser autônomo ou fazer parte de outros documentos de
planejamento. Devem incluir ou descrever:
a) Âmbito, objetivos, políticas, normas funções e responsabilidades;

b) Os processos de gerenciamento de configuração para definir os itens de
configuração no serviço (s) e infraestrutura, mudanças de controle das
configurações, gravação e informando o status dos itens de configuração e
verificar a integralidade e exatidão dos itens de configuração;
c) Os requisitos para a responsabilização, a rastreabilidade, audibilidade, por
exemplo, para fins de segurança, legal, regulamentar ou de negócios;
d) Configuração de controle (de acesso, proteção, versão, construir, controla a
liberação);
e) Processo de controle de interface para identificar, registrar e gerenciar os itens
de configuração e informações na fronteira comum de duas ou mais
organizações, por exemplo, interfaces do sistema, lançamentos;
f) Planejamento e estabelece os recursos para trazer recursos e configurações sob
controle e manutenção do sistema de gerenciamento de configuração, por
exemplo, formação;
g) A gestão de fornecedores e subcontratantes na execução do gerenciamento de
configuração.
NOTA: Um nível adequado de automação devem ser implementadas para assegurar

que os processos não se transformem em um ou outro erro, ineficiente propenso ou
não ser seguido em todos.
ISO/IEC 20000-2:2005(E)
9.1.2 Identificação da configuração

Todos os itens de configuração devem ser identificados de forma exclusiva e
definida por atributos que descrevem suas características físicas e funcionais. As
informações devem ser relevantes e passíveis de auditoria.
devidas marcações, ou outros métodos de identificação, devem ser utilizadas e
registradas no banco de dados de gerenciamento de configuração.
Os itens a serem gerenciados devem ser identificadas com base em critérios de
seleção estabelecidos e devem incluir:
a) Todas as questões e lançamentos de sistemas de informação e de software

(incluindo software de terceiros) e os documentos relacionados ao sistema, por
exemplo, requisitos especificações, projetos, relatórios de ensaio, liberação de
documentação;
b) Linhas de base de configuração ou compilação de declarações para cada
ambiente aplicavam, hardware padrão constrói e libertação;
c) Mestre em papel e eletrônicos de bibliotecas, por exemplo, biblioteca de
software definitiva;
d) A configuração do pacote de gestão ou instrumentos utilizados;
e) Licenças;
f) Os componentes de segurança, por exemplo, firewalls;
g) Os ativos físicos que precisam ser controladas por razões financeiras, gestão de
ativos ou de negócios, por exemplo, garantir meios magnéticos, equipamentos;
h) Documentação do Serviço relacionado, por exemplo, SLAs, procedimentos;
i) Instalações de serviço de apoio, por exemplo, poder de sala de informática;
j) Relacionamentos e dependências entre os itens de configuração.
NOTA outros itens que podem ser considerados como itens de configuração incluem:
a) Documentação Outros;
b) Outros ativos;
c) Outras instalações, por exemplo, site;
d) As unidades de negócios;
e) Pessoas.
Relações adequadas e dependências entre os itens de configuração devem ser

identificados para fornecer o nível necessário de controle.
Quando a rastreabilidade é necessário que o processo deva assegurar que os
itens de configuração podem ser rastreados através do ciclo de vida completos, de
documentos de requisitos até a liberação de registros, por exemplo, usando uma
matriz de rastreabilidade.
9.1.3 Controle de configuração

O processo deve garantir que apenas pessoas autorizadas e itens de
configuração de identificação são aceites e registadas a partir do recebimento até o
descarte.
Nenhum item de configuração deve ser adicionado, modificado, substituído ou
removido/cancelado, sem controle de documentação adequada, por exemplo,
solicitação de alteração aprovada, informações atualizadas de lançamento.
Para proteger a integridade dos sistemas, serviços e infraestrutura, os itens de
configuração devem ser realizados em um ambiente adequado e seguro que:
ISO/IEC 20000-2:2005(E)
a) Protege contra acesso não autorizado, alteração ou corrupção, por exemplo,

vírus;
b) Fornece um meio para recuperação de desastres;
c) Permitir a recuperação controlada de uma cópia do capitão controlada, por
exemplo, software.
9.1.4 Relato da situação da configuração e relatórios

Registros de configuração atual e exata devem ser mantido para refletir
mudanças no status de local, e as versões dos itens de configuração.
Status de contabilidade deve fornecer informações sobre os dados atuais e
históricos relacionados a cada item de configuração ao longo do seu ciclo de vida.
Deve permitir alterações nos itens de configuração a ser controladas pelos estados
diferentes, por exemplo, ordenada, recebeu, em teste de aceitação, ao vivo, sob a
mudança, retirados, eliminados.
As informações de configuração devem ser mantidas atualizadas e disponíveis
para o planejamento, a tomada de decisão e gestão de alterações nas configurações
definidas.
Quando necessário, as informações de configuração deve ser acessível para os
usuários, clientes, fornecedores e parceiros para ajudá-los no planejamento e tomada
de decisão. Por exemplo, um prestador de serviços pode tornar acessível as
informações de configuração para o cliente e outros partidos para apoiar a gestão de
serviços de outros processos para o fim-de-final do serviço.
Relatórios de gestão de configuração devem estar disponível para todas as
partes interessadas. Os relatórios devem incluir a identificação e estado dos itens de
configuração, suas versões e documentação associada.
Os relatórios devem incluir:
a) Últimas versões do item de configuração;

b) Localização do item de configuração e software para a localização das versões
mestre;
c) As interdependências;
d) Histórico de versões;
e) Estatuto dos itens de configuração que juntas constituem:
1. De configuração do serviço ou do sistema;

2. Uma mudança de base, construir ou libertação;
3. Versão ou variante.
9.1.5 Configuração de verificação e de auditoria

Configuração de verificação e de auditoria de processos, tanto física quanto
funcional, deve ser agendada e realizada uma verificação para garantir que os
processos e os recursos adequados estejam em vigor para:
a) Proteger as configurações físicas e do capital intelectual da organização;

b) Assegurar que o prestador do serviço está no controle de suas configurações,
os originais e as licenças;
c) Prover confiança de que as informações de configuração é preciso, controladas
e visíveis;
d) Garantir que uma mudança, uma libertação, um sistema ou um ambiente em
conformidade com as exigências contratadas ou especificadas e que os
registros de configuração são precisos.
ISO/IEC 20000-2:2005(E)
Auditorias de configuração devem ser realizadas regularmente, antes e depois

da grande mudança, depois de um desastre e em intervalos aleatórios.
Deficiências e não conformidades devem ser registradas, avaliadas e medidas
corretivas iniciadas, executadas e alimentado de volta para as partes relevantes e
planas para melhorar o serviço.
NOTA: Normalmente existem dois tipos de auditorias de configuração:
a) Auditoria de configuração funcional: uma análise formal para verificar se um

item de configuração tem atingido o desempenho e as características funcionais
especificados nos documentos de sua configuração;
b) Auditoria de configuração física: uma análise formal do "as-built/produced"
configuração de um item de configuração para verificar a sua conformidade
com os documentos que a configuração do produto.
9.2 Gerenciamento de Mudança

Objetivo: garantir que todas as mudanças são avaliadas, aprovadas, executadas e
analisadas de uma forma controlada.
9.2.1 Planejamento e execução

Os processos de mudança de gestão e os procedimentos devem garantir que:
a) As alterações têm um escopo claramente definido e documentado;

b) Apenas as alterações que proporcionem benefícios de negócios sejam
aprovadas, por exemplo, comerciais, legais, regulamentares, estatutários;
c) As mudanças são programadas com base na prioridade e risco;
d) As alterações à configuração pode ser verificada durante a implementação da
mudança;
e) O tempo para implementar mudanças é monitorado e melhorado sempre que
necessário
f) Pode ser demonstrado como uma mudança é:
1. Levantados, registrados e classificados (com referências aos documentos que

deram origem à mudança);
2. Avaliar o impacto, urgência, custo, benefício e risco das mudanças no
atendimento ao cliente, e os planos de libertação;
3. Anulada ou remediados se vencida;
4. Documentado, por exemplo, a solicitação de alteração está relacionada com os
itens de configuração afetada com a versão atualizada dos planos de execução
e liberação;
5. Aprovado ou rejeitado por uma autoridade de mudar, dependendo do tipo,
tamanho e risco de alteração;
6. Ser implementado pelo proprietário indicado no seio dos grupos responsáveis
pelos componentes que estão sendo alterados;
7. Testado, verificado e assinado;
8. Fechada e revistas;
9. Previsto, acompanhados e comunicados;
10. Ligados ao incidente, o problema da mudança, outros registros e itens de
configuração quando necessário.
ISO/IEC 20000-2:2005(E)
O estado das alterações e as datas de implementação programada deve ser

utilizado como base para a mudança e programação de lançamento.
Agendamento de informações deve ser disponibilizado para as pessoas afetadas
pela mudança.
Sempre que uma falha pode ser causado durante as horas normais de serviço
as pessoas afetadas devem concordar com a mudança antes da implementação.
9.2.2 Encerramento e analisar a solicitação de mudança

Todas as alterações devem ser revistas para o sucesso ou o fracasso após a
implementação e as melhorias registadas. Uma revisão pós-implementação deve ser
realizada por grandes mudanças para verificar que:
a) A alteração aos seus objetivos;

b) Os clientes estão satisfeitos com os resultados;
c) Não houve efeitos colaterais inesperados.
Qualquer não conformidade deve ser registrada e acionada.

Quaisquer deficiências ou falhas identificadas em uma revisão do processo de
gestão da mudança devem ser alimentadas em planos para melhorar o serviço.
9.2.3 Mudanças de emergência

Mudanças de emergência às vezes são necessários e, se possível o processo de
mudança deve ser seguido, mas alguns detalhes podem ser documentados de forma
retrospectiva. Quando o processo de emergência ignora exigências de gerenciamento
de mudança, a mudança deve obedecer a estes requisitos, logo que possível.
Mudanças de emergência devem ser justificada pelo implementador e revisto
após a mudança para verificar se ele foi uma verdadeira emergência.
9.2.4 A gestão da mudança relatórios, análises e ações

Alterar registros deve ser analisado regularmente para detectar níveis
crescentes de mudanças, muitas vezes tipos recorrentes, as tendências emergentes e
outras informações relevantes. Os resultados e as conclusões extraídas da análise de
mudança devem ser gravados e atuados em cima.
10 Processo de liberação
10.1 Processo de gerenciamento de lançamento

Objetivo: oferecer, distribuir e rastrear uma ou mais alterações no ambiente ao vivo.
10.1.1 Geral
Gerenciamento de liberação deve coordenar as atividades do prestador de
serviços, muitos fornecedores e os negócios para planejar e entregar uma versão em
um ambiente distribuído.
Um bom planejamento e de gestão são essenciais para empacotar e distribuir
um comunicado com sucesso, e para gerir o impacto e os riscos associados ao negócio
e TI. A liberação dos sistemas de informação afetados, infraestrutura, serviços e
documentação devem ser planejados com o negócio.
Todas as atualizações associada a documentação deve ser incluída na versão,
por exemplo, processos de negócio, suporte de documentos e acordos de nível de
serviço.
ISO/IEC 20000-2:2005(E)
O impacto de todos os itens de configuração novos ou modificados necessários

para efetuar as alterações autorizadas deverá ser avaliado.
O prestador do serviço deverá garantir que os aspectos técnicos e não técnicos
da libertação são consideradas em conjunto.
Os itens de liberação devem ser feita e segura de modificação. Apenas
devidamente testado e aprovado lançamentos devem ser aceitos no ambiente ao vivo.
10.1.2 Política de publicação

Deve haver uma política de lançamento que inclui a:
a) Frequência e o tipo de lançamento;

b) Os papéis e responsabilidades pela gestão da libertação;
c) Autoridade para a libertação em teste de aceitação e ambientes de produção;
d) Identificação única e uma descrição de todas as versões;
e) Abordagem às alterações agrupamento em um comunicado;
f) Abordagem para automatizar a compilação, instalação, distribuição de
processos para liberação de ajuda de repetibilidade e eficiência;
g) A verificação e a aceitação de um comunicado.
10.1.3 Lançamento e planejamento de implantação

O prestador de serviços deve trabalhar com a empresa para garantir que os
itens de configuração que devem ser libertados são compatíveis entre si e com os itens
de configuração no ambiente de destino.
Planejamento de lançamento deve garantir que as alterações aos sistemas de
informação afetados, infraestrutura, serviços e documentação sejam aprovadas,
autorizadas, programado, coordenado e controlado.
A liberação and roll deve ser planejada em etapas, como detalhes do
lançamento não poderia ser conhecido inicialmente.
O planejamento para uma música lançada and roll em geral, deve incluir:
a) Datas de lançamento e descrição dos resultados;

b) As alterações relacionadas, os problemas e erros conhecidos fechados ou
resolvidos por esta versão e erros conhecidos que foram identificadas durante o
ensaio da libertação;
c) Os processos relacionados com a implementação de um lançamento em todas
as unidades de negócio e geográficos;
d) A maneira pela qual o lançamento será feito fora ou remediadas, se vencida;
e) Processo de verificação e aceitação;
f) Comunicação, a preparação de documentação e treinamento para clientes e
equipe de apoio;
g) A logística e os processos de aquisição, armazenamento, expedição, contato,
aceitar e alienar bens;
h) Recursos apoio necessário para assegurar níveis de serviço são mantidos;
i) A identificação das dependências, as alterações relacionadas e riscos
associados que podem afetar a transferência suave de uma libertação para o
teste de aceitação e ambientes de produção;
j) Assinar liberação fora;
k) Cronograma de auditorias do ambiente de produção, quando exigidos por
grandes atualizações para garantir que o ambiente é viver no estado esperado
quando o lançamento está instalado.
ISO/IEC 20000-2:2005(E)
10.1.4 Desenvolver ou adquirir software

Sistemas de informação e versões do software de equipes internas, os
construtores de sistemas, integradores de sistemas ou de outras organizações devem
ser verificados no recebimento.
O processo total deve ser documentado no plano de gerenciamento de
configuração.
10.1.5 Projetar, construir e configurar liberação

Lançamento e distribuição devem ser concebidos e implementados para:
a) Estar em conformidade com a arquitetura do provedor de serviços de sistemas,

gestão de serviço e normas de infraestrutura;
b) Assegurar a integridade é mantido durante a construção, instalação, manuseio,
embalagem e entrega;
c) Utilizar as bibliotecas e repositórios de software relacionados para gerenciar e
controlar os componentes durante o processo de criação e libertação;
d) Os riscos são claramente identificados e ações corretivas podem ser tomadas,
se necessário;
e) Permitir a verificação de que a plataforma de destino satisfaz os pré-requisitos
antes da instalação;
f) Permitir a verificação de que uma nova versão está completa quando se chega
ao destino.
As saídas desse processo devem incluir notas de lançamento, as instruções de

instalação, software e hardware instalados com base de configuração relacionados.
As saídas da libertação devem ser entregue ao grupo responsável pelo ensaio.
Construir, a instalação de lançamento, e os processos de distribuição pode ser
automatizado para reduzir os erros, garantir que o processo é repetitivo e que novas
versões podem ser lançadas rapidamente.
10.1.6 Verificação de lançamento e aceitação

O resultado final deve ser um sinal-off na abrangência do pacote de
lançamento por completo em relação aos requisitos.
Os processos de verificação e aceitação devem:
a) Verificar se o ambiente de teste controlado aceitação corresponda aos

requisitos do ambiente de produção de destino;
b) Assegurar que a liberação é criada a partir de versões no âmbito da gestão de
configuração e instalada no ambiente de teste de aceitação com o processo de
produção prevista;
c) Verificar que o nível adequado de testes foi concluído, por exemplo, testes
funcionais e não funcionais testes de aceitação de negócios, na avaliação da
construção, lançamento, distribuição e procedimentos de instalação;
d) Garantir que a divulgação é testada para a satisfação dos clientes de negócios
e pessoal prestador de serviços;
e) Garantir que os sinais de liberação adequada autoridade fora de cada fase de
testes de aceitação;
f) Verificar que a plataforma de destino satisfaz os requisitos de hardware e
software antes da instalação;
g) Verificar que uma nova versão está completa quando se chega ao destino.
ISO/IEC 20000-2:2005(E)
10.1.7 Documentação
Documentação apropriada deve estar disponível após a conclusão e
armazenados sob a gerência de configuração contra o item de configuração liberada.
Essa documentação deve incluir:
a) Documentação de apoio por exemplo, acordos de nível de serviço;

b) Documentação de suporte, por exemplo, sistema de visão geral, instalação e
suporte aos processos de meios auxiliares de diagnóstico, as instruções de
operação e administração;
c) Construção, instalação da versão, e os processos de distribuição;
d) Os planos de contingência e de recuperação;
e) Cronograma de treinamento para gerenciamento de serviços, pessoal de apoio
e clientes;
f) Uma linha de base de configuração para o lançamento, incluindo itens de
configuração associados, tais como documentação do sistema, ambientes de
teste, documentação de teste, as versões de construção e ferramentas de
desenvolvimento;
g) Alterações relacionadas, os problemas e erros conhecidos;
h) Provas da autorização de liberação e elementos relacionados com a verificação
e a aceitação.
Um sistema ou serviço que não é totalmente conforme aos seus requisitos

especificados devem ser identificados e registrados através de uma gestão de
configuração e gerenciamento de problemas antes de ir ao vivo.
Informações sobre erros conhecidos devem ser comunicados ao gerenciamento
de incidentes.
Se o lançamento for rejeitado, atrasado ou cancelado, gerenciamento de
mudanças deve ser informado.
10.1.8 Roll-out, distribuição e instalação

A implantação de plano deverá ser revisto e detalhes adicionais, conforme
necessário para garantir que todas as atividades necessárias serão realizadas.
É importante que o lançamento seja entregue com segurança ao seu destino,
no seu estado esperado. O roll-out, distribuição e processos de instalação devem
assegurar que:
a) Todas as áreas de armazenamento de hardware e software são seguras;

b) Existência de procedimentos adequados para o armazenamento envia recepção
e descarga de mercadorias;
c) A instalação, ambiental, elétrica e instalações de cheques são planejadas e
concluídas;
d) Que as empresas e o pessoal prestador de serviços são notificados de novos
lançamentos;
e) Os produtos redundantes, serviços e licenças são desativados.
Após a distribuição de software através de uma rede é essencial para verificar

se a versão é completa e operacional quando se chega ao destino.
Após uma instalação bem-sucedida da gestão de ativos e registros de
configuração deve ser atualizada com a localização e o proprietário do hardware e
software.
Uma aceitação do cliente de instalação e questionário de satisfação pode ser
usado para registrar o sucesso ou fracasso.
ISO/IEC 20000-2:2005(E)
Resultados dos inquéritos ao cliente devem ser alimentados de volta para

gestão de relacionamento de negócios.
10.1.9 Liberação Correios e roll-out

O número de incidentes relacionados com a liberação no período
imediatamente após o roll-out devem ser medidos e analisados para avaliar seu
impacto sobre os negócios, operações e recursos de pessoal de apoio.
O processo de gestão da mudança deve incluir uma revisão pós-
implementação.
As recomendações devem ser integrados em um plano para melhorar o serviço.
Bibliography
[1] ISO/IEC 20000-1, Information technology — Service management — Part 1: Specification
[2] ISO/IEC 17799, Information technology — Security techniques — Code of practice for
information security management
[3] ISO/IEC 12207, Information technology — Software life cycle processes
[4] ISO/IEC TR 15271, Information technology — Guide for ISO/IEC 12207 (Software life cycle
processes)
[5] ISO/IEC TR 16326, Software engineering — Guide for the application of ISO/IEC 12207 to
project management
[6] ISO/IEC 15288, Systems engineering — System life cycle processes
[7] ISO/IEC TR 19760, Systems engineering — A guide for the application of ISO/IEC 15288
(System life cycle processes)
[8] ISO/IEC 15504-1, Information technology — Process assessment — Part 1: Concepts and
vocabulary
[9] ISO/IEC 15504-2, Information technology — Process assessment — Part 2: Performing an
assessment
[10] ISO/IEC 15504-3, Information technology — Process assessment — Part 3: Guidance on
performing an assessment
[11] ISO/IEC 15504-4, Information technology — Process assessment — Part 4: Guidance on
use for process improvement and process capability determination
[12] ISO/IEC 15504-5, Information technology — Process assessment — Part 5: An exemplar
Process Assessment Model
[13] ISO 10007, Quality management systems — Guidelines for configuration management
[14] ISO 9000, Quality management systems — Fundamentals and vocabulary
ISO/IEC 20000-2:2005(E)
[15] ISO 9001, Quality management systems — Requirements

[16] ISO/IEC 90003, Software engineering — Guidelines for the application of ISO 9001:2000 to
computer software

ISO IEC 20000 2 PT BR Tradução KLEBER Versao

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

ISO IEC 20000 2 PT BR Tradução KLEBER Versao

Enviado por

Direitos autorais:

Formatos disponíveis

ISO/IEC 20000-2:2005(E)

Parte 2: Código de Ética

Aviso Legal PDF

Todos os direitos reservados. Salvo disposição em contrário, nenhuma parte

ISO Escritório de Direitos Autorais

6.2.2 Finalidade e controlo de qualidade sobre os relatórios de serviço..................15

10.1.3 Lançamento e planejamento de implantação..................................................35

Esta parte da NBR ISO/IEC 20000 fornece orientações para os auditores e

Figura 1 - Gestão de Serviço de processos

3.1 A responsabilidade de gestão

3.2 Requisitos de Documentação

Deve haver um processo para a criação e gestão de documentos para ajudar a

3.3 Competência, conscientização e treinamento

a) Determinar as competências necessárias para cada função na gestão dos

3.3.2 O desenvolvimento profissional

a) Recrutamento: com o objetivo de verificar a validade de candidatos a emprego

Os funcionários devem ser treinados nos aspectos relevantes da gestão de

3.3.3 Abordagens para ser considerada

a) A natureza de curto ou longo prazo de novas competências ou alterados;

Para todos os funcionários, o prestador de serviço deve analisar o desempenho

4 Planejamento e gestão de serviços de execução

4.1 Gerenciamento de serviços do Plano (Plano)

4.1.1 Âmbito da gestão de serviços

A administração deve definir o âmbito de aplicação, como parte das suas

4.1.2 Abordagens de planejamento

a) A aplicação de gestão de serviço (ou parte da gestão do serviço);

4.1.3 Eventos a serem considerados

4.1.4 Âmbito e conteúdo do plano

a) O âmbito da gestão do prestador de serviços;

4.2 A gestão de serviços Implementar e fornecer os serviços

4.3 Monitoramento, medição e análise (Check)

a) Conquista contra alvos de serviço definidos;

Os resultados da análise devem contribuir para um plano para melhorar o

Como atividades de serviços bem como a gestão na medição e análise de

4.4 A melhoria contínua (Lei)

4.4.2 Planejamento para a melhoria dos serviços

5 Planejamento e implementação de serviços novos ou

5.1 Tópicos para análise

5.2 Alterar registros

a) O recrutamento de pessoal / reciclagem;

Seis processos de prestação de serviço

6.1 Gerenciamento de nível de serviço

6.1.1 Catálogo de serviço

O catálogo de serviços é um documento fundamental para a definição

6.1.2 Acordos de nível de serviço (SLAs)

a) Breve descrição do serviço;

6.1.3 Nível de serviço de gestão de processos (SLM)

O processo de SLM deve ser flexível para acomodar estas mudanças. O

a) Acordo dos requisitos de serviço e características do serviço esperado carga de

O processo deve incentivar o prestador do serviço eo cliente para desenvolver

6.1.4 Apoiar acordos de serviços

6.2 Relatórios de serviço

NOTA: O sucesso de todos os processos de gerenciamento de serviços é dependente

6.2.2 Finalidade e controlo de qualidade sobre os relatórios de serviço

Eles devem ser adequados às necessidades do destinatário e de precisão

a) Relatórios reativam que demonstram o que aconteceu;

6.2.3 Relatórios de serviço

a) Desempenho em relação aos objetivos de nível de serviço, por exemplo,

6.3 A continuidade de serviço e gerenciamento de

6.3.2 Monitoramento de disponibilidade e atividades

a) Acompanhar e disponibilidade do serviço de registro

Ele deve garantir a disponibilidade de todos os componentes do serviço, com

6.3.3 Estratégia de continuidade de serviço