Escolar Documentos
Profissional Documentos
Cultura Documentos
INTERNACIONAL STANDARD
ISO/IEC 20000-2
Primeira edição
15-12-2005
Tecnologia da Informação - Serviço gestão – Parte 2:
Código de boas práticas
Sumário
Parte 2: Código de Ética...........................................................................................................1
Prefácio.......................................................................................................................................5
Introdução..................................................................................................................................6
1 Escopo......................................................................................................................................6
2 Termos e definições...............................................................................................................7
3 O sistema de gestão..............................................................................................................7
3.1 A responsabilidade de gestão........................................................................................8
3.2 Requisitos de Documentação........................................................................................8
3.3 Competência, conscientização e treinamento.............................................................8
3.3.1 Geral..........................................................................................................................8
3.3.2 O desenvolvimento profissional.............................................................................9
3.3.3 Abordagens para ser considerada.........................................................................9
4 Planejamento e gestão de serviços de execução.............................................................10
4.1 Gerenciamento de serviços do Plano (Plano)............................................................10
4.1.1 Âmbito da gestão de serviços..............................................................................10
4.1.2 Abordagens de planejamento..................................................................................10
4.1.3 Eventos a serem considerados.................................................................................10
4.1.4 Âmbito e conteúdo do plano....................................................................................11
4.2 A gestão de serviços Implementar e fornecer os serviços (Do).............................11
4.3 Monitoramento, medição e análise (Check)..............................................................11
4.4 A melhoria contínua (Lei).............................................................................................12
4.4.1 Política.....................................................................................................................12
4.4.2 Planejamento para a melhoria dos serviços.......................................................12
5 Planejamento e implementação de serviços novos ou alterados...................................12
5.1 Tópicos para análise.....................................................................................................12
5.2 Alterar registros.............................................................................................................13
6.1 Gerenciamento de nível de serviço.............................................................................13
6.1.1 Catálogo de serviço...............................................................................................13
6.1.2 Acordos de nível de serviço (SLAs)......................................................................13
6.1.3 Nível de serviço de gestão de processos (SLM).................................................14
6.1.4 Apoiar acordos de serviços...................................................................................15
6.2 Relatórios de serviço.....................................................................................................15
6.2.1 Política.....................................................................................................................15
ISO/IEC 20000-2:2005(E)
8 processos de resolução........................................................................................................25
8.1 Fundo..............................................................................................................................25
8.1.1 Estabelecimento de prioridades...........................................................................25
8.1.2 Soluções..................................................................................................................26
8.2 A gestão de incidentes.................................................................................................26
8.2.1 Geral........................................................................................................................26
8.2.2 Grandes incidentes................................................................................................27
8.3 Gerenciamento de Problemas......................................................................................27
8.3.1 Âmbito da gestão de problemas..........................................................................27
8.3.2 Início do gerenciamento de problemas...............................................................27
8.3.3 Erros Conhecidos...................................................................................................27
8.3.4 Resolução de Problemas.......................................................................................28
8.3.5 Comunicação..........................................................................................................28
8.3.6 Acompanhamento e escalada...............................................................................28
8.3.7 Incidentes e encerramento registro de problema.............................................28
8.3.8 Problema opiniões..................................................................................................28
8.3.9 Tópicos para revisões............................................................................................29
8.3.10 prevenção de problemas.....................................................................................29
9 processos de controle..........................................................................................................29
9.1 Gerenciamento de configuração..................................................................................29
9.1.1 Planejamento de gestão de configuração e implementação............................30
9.1.2 Identificação da configuração..............................................................................30
9.1.3 Controle de configuração......................................................................................31
9.1.4 Relato da situação da configuração e relatórios................................................32
9.1.5 Configuração de verificação e de auditoria........................................................32
9.2 Gerenciamento de Mudança........................................................................................33
9.2.1 Planejamento e execução.....................................................................................33
9.2.2 Encerramento e analisar a solicitação de mudança..........................................34
9.2.3 Mudanças de emergência.....................................................................................34
9.2.4 A gestão da mudança relatórios, análises e ações............................................34
10 Processo de liberação........................................................................................................34
10.1 Processo de gerenciamento de lançamento............................................................34
10.1.1 Geral......................................................................................................................34
10.1.2 Política de publicação..........................................................................................35
ISO/IEC 20000-2:2005(E)
Prefácio
A ISO (International Organization for Standardization) e IEC (International
Electrotechnical Commission) formam o sistema especializado para padronização
mundial. Entidades nacionais que são membros da ISO ou IEC participam do
desenvolvimento de Padrões Internacionais através de comitês técnicos estabelecidos
pela respectiva organização para lidar com campos específicos de atividade técnica.
ISO e IEC comissões técnicas colaboram em campos de interesse mútuo. Outras
organizações internacionais, governamentais e não-governamentais, em ligação com a
ISO e IEC, também participam do trabalho. No campo da tecnologia da informação, a
ISO e a IEC estabeleceram um comitê técnico conjunto, ISO/IEC JTC 1.
Normas Internacionais são preparadas de acordo com as regras estabelecidas
nas Diretivas ISO/IEC, Parte 2.
A principal tarefa da comissão técnica conjunta é preparar as Normas
Internacionais. Projeto Internacional
Normas aprovadas pelo comitê técnico conjunto são circulados nos órgãos
nacionais para votação. A publicação como Norma Internacional requer aprovação de
pelo menos 75% dos organismos nacionais com direito a voto.
Atenção para a possibilidade de que alguns dos elementos deste documento
podem ser objeto de direitos de patente. ISO e IEC não serão responsabilizados pela
identificação de quaisquer direitos de patentes.
ISO/IEC 20000-2 foi elaborada pela BSI (como BS 15000-2) e foi aprovada, no
âmbito de um especial "procedimento acelerado", pelo Comitê Técnico ISO/IEC JTC 1,
Tecnologia da Informação, em paralelo com a sua aprovação pelo órgãos nacionais da
ISO e IEC.
ISO/IEC 20000 é composta das seguintes partes, sob o título geral de
tecnologia da informação.
Gerenciamento de serviços:
⎯ Parte 1: Especificação
⎯ Parte 2: Código de prática
ISO/IEC 20000-2:2005(E)
Introdução
Como um código de conduta, esta parte da ISO/IEC 20000 tem a forma de
orientações e recomendações. Não deve ser citado como se fosse uma especificação e
um cuidado especial deve ser tomado para garantir que as alegações de conformidade
não são enganosas.
Esta parte da NBR ISO/IEC 20000 deve ser utilizado em conjunto com a
ISO/IEC 20000-1, a especificação associado a este código de conduta.
Supõe-se que a execução das disposições desta parte da ISO/IEC 20000 é
confiada a pessoas devidamente qualificadas e competentes. Uma Norma Internacional
não pretende incluir todas as disposições necessárias de um contrato. Usuários das
Normas Internacionais são responsáveis pela sua correta aplicação.
O cumprimento de uma norma internacional, não por si só confere imunidade
de obrigações legais.
Esta parte da NBR ISO/IEC 20000 descreve as melhores práticas para
gerenciamento de serviços de processos no âmbito da ISO/IEC 20000-1.
A prestação de serviços cresce em importância, como os clientes exigem cada
vez mais avançadas instalações (custo mínimo) para atender suas necessidades de
negócio. Ele também reconhece que os serviços e gestão de serviços são essenciais
para ajudar as organizações a gerar receita e uma boa relação custo-benefício.
ISO/IEC 20000-1 é uma especificação para gerenciamento de serviços e devem
ser lidas em conjunto com esta parte da NBR ISO/IEC 20000.
A ISO/IEC 20000 série permite que os provedores de serviço para entender
como melhorar a qualidade do serviço prestado aos seus clientes, tanto internos como
externos.
Com a crescente dependência dos serviços de apoio ea grande variedade de
tecnologias disponíveis, prestadores de serviços podem ter dificuldades em manter
altos níveis de serviço ao cliente. Trabalhar de forma reativa gasta muito pouco tempo
de planejamento, treinamento, revisão, investigando e trabalhando com os clientes. O
resultado é a falta de aplicação estruturada, proativa as práticas de trabalho.
Esses mesmos fornecedores de serviços estão sendo feitas para melhorar a
qualidade, menores custos, maior flexibilidade e rapidez de resposta aos clientes.
gerenciamento de serviços eficazes oferece elevados níveis de serviço ao cliente e
satisfação do cliente.
A ISO/IEC 20000 série faz uma distinção entre as melhores práticas de
processos, que são independentes da forma de organização ou o tamanho e os nomes
e estruturas organizacionais. A ISO/IEC 20000 série aplica-se tanto os prestadores de
serviços grandes e pequenos, e os requisitos para as melhores práticas de processos
de gerenciamento de serviços não mudam de acordo com a forma de organização que
fornece o quadro de gestão em que os processos sejam seguidos.
Padrão Internacional ISO/IEC 20000-2:2005 (E)
1 Escopo
Esta parte da NBR ISO/IEC 20000 representa um consenso da indústria sobre
as normas de qualidade para os processos de gerenciamento de serviços. Estes
processos de Gerenciamento de entregar o melhor serviço possível para atender
empresas de um cliente necessita de recursos dentro dos níveis acordados, ou seja,
serviço que é profissional, rentável e com os riscos que são entendidas e gerenciadas.
A variedade de termos utilizados para o mesmo processo, e entre os processos
e os grupos funcionais (e de emprego títulos) pode tornar o tema da gestão de
ISO/IEC 20000-2:2005(E)
serviços confuso para o novo gerente. A falha em entender a terminologia pode ser um
obstáculo à criação de processos eficazes. O entendimento da terminologia é um
benefício tangível e significativa da ISO/IEC 20000. Esta parte da NBR ISO/IEC 20000
recomenda que os prestadores de serviços devem adoptar uma terminologia comum e
uma abordagem mais consistente para gestão do serviço. Ele dá uma base comum
para a melhoria dos serviços. Ele também fornece um quadro para o uso pelos
fornecedores de ferramentas de gerenciamento de serviços.
Como padrão de processo com base neste código de prática não se destina a
avaliação do produto. No entanto, as organizações que desenvolvem ferramentas de
gerenciamento de serviços, produtos e sistemas podem utilizar tanto a especificação e
o código de prática para ajudá-los a desenvolver ferramentas, produtos e sistemas que
suportam melhor prática de gestão de serviços.
2 Termos e definições
Para efeitos do presente documento, os termos e definições dados na ISO/IEC
20000-1 aplicar.
3 O sistema de gestão
Objetivo: Proporcionar um sistema de gestão, incluindo políticas e um quadro
que permita uma gestão eficaz e implementação de todos os serviços de TI.
ISO/IEC 20000-2:2005(E)
a) Políticas e planos;
b) A documentação de serviço;
c) procedimentos;
d) Processos;
e) os registros de controle de processo.
3.3.1 Geral
O pessoal que executa dentro da gestão de serviços deve ser competente com
base numa adequada educação, formação, competências e experiência.
O prestador do serviço deverá:
a) Organização;
b) Localização;
c) Service.
a) A melhoria de serviço;
b) As alterações de serviço;
c) Padronização de infraestrutura;
d) As mudanças na legislação;
e) Mudanças regulatórias, por exemplo, alterações na taxa de imposto local;
f) A desregulamentação ou regulamentação de indústrias;
g) As fusões e aquisições.
ISO/IEC 20000-2:2005(E)
4.4.1 Política
Os prestadores de serviços devem reconhecer que existe sempre a
possibilidade de fazer a entrega de serviços mais eficaz e eficiente. Deve haver uma
política publicada na qualidade dos serviços e melhoria.
Todos os envolvidos na gestão dos serviços ea melhoria dos serviços deve estar
ciente da política de qualidade de serviço e sua contribuição pessoal para a realização
dos objetivos definidos no âmbito desta política.
Em particular, todos os funcionários do prestador de serviços envolvidos na
gestão do serviço deve ter um conhecimento detalhado das implicações deste sobre os
processos de gestão de serviços.
Deve haver uma articulação eficaz dentro da estrutura do prestador de serviços
de gestão própria, clientes e fornecedores do prestador de serviços sobre questões que
afetam a qualidade de serviço e requisitos do cliente.
a) Orçamentos;
b) Os recursos humanos;
c) Os níveis de serviço,
d) SLAs e outras metas ou compromissos de serviço;
e) Os processos existentes de gerenciamento de serviços, procedimentos e
documentação;
f) O âmbito da gestão de serviços, incluindo a implementação de processos de
gerenciamento de serviços anteriormente excluídos do âmbito de aplicação.
a) O nome do serviço;
b) As metas, por exemplo, tempo para responder ou instalar uma impressora, um
tempo para restabelecer o serviço após uma falha grave;
c) Os pontos de contato;
d) O horário de serviço e exceções;
e) As medidas de segurança.
serviço prestado deve ser medido, devem ser definidos a partir de uma perspectiva do
cliente.
Os SLAs devem incluir apenas um subconjunto adequado de um dos objetivos
chamar a atenção para os aspectos mais importantes do serviço.
NOTA 1: Too muitos alvos podem criar confusão e provocar despesas excessivas.
O conteúdo mínimo que deve estar em um SLA ou que possam ser diretamente
referenciados a partir de um SLA é:
NOTA 2: informação volátil, ou informação comum a muitos SLAs (tais como detalhes
de contato) pode ser referenciada a partir do SLA, sem afetar a qualidade dos
processos de SLM, desde que os documentos referenciados também estão sob o
controle do processo de gestão da mudança.
NOTA 3: Plano de Continuidade e detalhes de contabilidade e orçamento
normalmente são referenciados a partir do SLA.
NOTA 4: Um glossário de termos normalmente é realizada em um lugar e é comum a
todos os documentos, incluindo o catálogo de serviços.
6.2.1 Política
Os requisitos para a notificação de serviço devem ser aprovados e registrados
para os clientes e gestão interna.
Serviço de monitorização e comunicação englobam todos os aspectos
mensuráveis do serviço, fornecendo a análise atual e histórica.
Onde há vários fornecedores, prestadores de chumbo e subfornecedores
contratados, os relatórios devem refletir as relações entre os fornecedores. Por
exemplo, um fornecedor deve levar um relatório sobre a totalidade do serviço que
prestam, incluindo todos os serviços subcontratados por fornecedores que gerem como
parte do serviço do cliente.
6.3.1 Geral
Exigências de continuidade do serviço e disponibilidade devem ser identificadas
com base nas prioridades dos clientes de negócios, acordos de nível de serviço e de
riscos avaliados. O prestador de serviços deverá manter capacidade de serviço
suficiente, juntamente com planos viáveis destinadas a assegurar que os requisitos
acordados podem ser cumpridos em todas as circunstâncias do normal até uma grande
perda de serviço. O prestador do serviço deve planejar de dados conhecidos ou
usuário aumenta ou diminui o volume, os picos esperados e baixos na carga de
trabalho e qualquer outro conhecido mudança futuram. Os requisitos devem incluir os
direitos de acesso e tempos de resposta, bem como o fim-de-final da disponibilidade
de componentes do sistema.
Serviço de disponibilidade e gerenciamento da continuidade do serviço deve
trabalhar em conjunto com o objetivo de garantir que os níveis de serviço acordados
ISO/IEC 20000-2:2005(E)
sejam mantidos. Estes requisitos devem ter uma grande influência sobre as ações,
esforços e recursos alocados à correspondência entre a disponibilidade dos serviços
que lhes dão suporte.
Processos para garantir a disponibilidade necessária à manutenção devem
incluir os elementos da prestação de serviços que estão sob o controle do cliente ou
outros prestadores de serviços.
6.4.1 Geral
Esta seção aborda o orçamento e a contabilidade de serviços de TI. Na prática,
muitos prestadores de serviços estarão envolvidos na cobrança de tais serviços. No
entanto, desde o carregamento é uma atividade opcional, não é abrangido pela norma.
Os prestadores de serviços que são recomendados quando a carga estiver em uso, o
mecanismo para fazer isso é totalmente definido e compreendido por todas as partes.
A responsabilidade por muitas das decisões financeiras estão fora do âmbito da
área de gestão de serviços e os requisitos para que as informações financeiras devem
ser fornecidas, de que forma e em que frequências pode ser ditada de fora. As
disposições desta seção são focalizadas sobre as práticas que devem ser seguidas para
satisfazer os requisitos da norma. Contudo, as necessidades mais vastas deverá
também ser tidas em conta como eles terão impacto sobre algumas das políticas e
procedimentos definidos. Todas as práticas contábeis utilizadas devem ser alinhadas
com as práticas de contabilidade geral de toda a organização do prestador de serviços.
6.4.2 Política
Deve haver uma política sobre a gestão financeira dos serviços. A política deve
definir os objetivos a serem cumpridas pelo orçamento e contabilidade.
A política deve também definir os detalhes para que o orçamento ea
contabilidade seja realizadas, levando em consideração a:
6.4.3 Orçamento
Orçamento deve levar em conta as alterações previstas para os serviços
durante o período de orçamento e onde as exigências orçamentais excederem os
fundos disponíveis, o plano para a gestão de deficiências.
Orçamento pode ter em conta fatores como as variações sazonais e de curto
prazo alterações previstas para os custos dos serviços e encargos.
Controlo de custos em relação ao orçamento deve garantir um alerta precoce
de desvios em relação a orçamentos.
Deve haver um processo que gerencia as implicações das variações em relação
ao orçamento.
Orçamentação e controlo de custos deverá apoiar o planejamento de operar e
mudar os serviços para que os níveis de serviço pode ser mantida durante todo o ano.
6.4.4 Contabilidade
Processos de contas deve ser usado para controlar os custos a um certo nível
de detalhe durante um período de tempo acordado.
As decisões sobre a prestação de serviços deve ser baseada em comparações
de custo-eficácia.
Deve ser feito pelo menos anualmente. Este documento deve opções
orçamentados para o cumprimento dos requisitos de negócio e recomendar soluções
para garantir o cumprimento dos níveis de serviço acordados objetivos definidos no
SLA.
A infraestrutura técnica e os seus atuais e previstos recursos devem ser bem
compreendidos.
6.6.1 Geral
A segurança da informação é o resultado de um sistema de políticas e
procedimentos destinados a identificar, controlar e proteger as informações e os
equipamentos utilizados em ligação com o seu armazenamento, transmissão e
tratamento.
O pessoal do prestador de serviços com funções de especialista em segurança
da informação devem estar familiarizados com
ISO/IEC 17799, Tecnologia da informação - Técnicas de segurança - Código de
prática para a gestão de segurança da informação.
6.6.6 Controles
Além de outros controles que podem ser justificadas e conselhos contidos
noutros pontos da presente parte do ISO/IEC 20000 (por exemplo, sobre a
continuidade do serviço), prestadores de serviços devem funcionar os seguintes
comandos como uma questão de boa prática de gestão de segurança da informação:
7 processos de relacionamento
7.1 Generalidades
Relação de processos descreverem os dois aspectos relacionados com a Gestão de
Fornecedores e Relacionamento Gestão Empresarial. Esta norma aborda o papel de
prestador de serviços, que logicamente ele ocupa um papel entre os fornecedores,
fornecendo bens ou serviços ao prestador do serviço eo cliente que recebe serviços.
Tanto os fornecedores e clientes podem ser internos ou externos à organização do
prestador de serviços. Relações externas serão formalizadas através de um contrato.
As relações internas será formalizado através de um serviço interno ou sub-pinning
acordo muitas vezes referida como um acordo de nível operacional.
7.3.1 Introdução
Procedimentos de gestão do fornecedor devem garantir que:
8 processos de resolução
8.1 Fundo
Gestão de incidentes e problemas são processos distintos, embora sejam
intimamente ligadas. Ofertas de Incidentes com a restauração do serviço para os
usuários, enquanto problema diz respeito à identificação e eliminação das causas dos
incidentes.
a) Prioridade;
b) As competências disponíveis;
c) Competir requisitos de recursos;
d) Esforço de custo / fornecer o método de resolução;
e) O tempo decorrido para fornecer um método de resolução
ISO/IEC 20000-2:2005(E)
8.1.2 Soluções
Quando a gestão problema apropriado, devem desenvolver e manter soluções
alternativas para permitir o gerenciamento de incidentes para ajudar a restauração do
serviço pelos usuários do pessoal.
Um erro conhecido deve ser fechado somente quando uma mudança corretiva
tem sido aplicada com sucesso, ou o erro já não é aplicável, por exemplo, porque o
serviço não é mais usado.
Problema de gestão deve ter acesso a informações sobre as áreas de negócio
afetadas pelos problemas.
Informações sobre soluções armazenadas na base de conhecimento, a sua
aplicabilidade e eficácia devem ser armazenados e mantidos.
8.2.1 Geral
NOTA 1: O processo de gerenciamento de incidentes podem ser entregues por um
posto de serviço, que funciona como o contato do dia-a-dia com os usuários.
NOTA 2: gerenciamento de incidentes devem ser:
Sempre que possível, o cliente deverá ser dotado de meios para continuar o
negócio, mesmo que apenas com um serviço degradado, por exemplo, desabilitando
uma característica defeituosa. O motivo é minimizar o impacto sobre as atividades de
negócio do cliente. Quando a causa não é diagnosticada, mas uma solução é criada, os
detalhes devem ser registrados para o uso durante o diagnóstico do problema
continua, e quando ocorrer incidentes semelhantes.
Encerramento definitivo de um incidente deve ocorrer apenas quando o usuário
iniciante tem sido dada a oportunidade para confirmar que o incidente já está resolvido
e o serviço restabelecido.
NOTA: O cliente ou fornecedor de serviços pode decidir que a resolução não é muito
caro ou um benefício para o negócio.
8.3.5 Comunicação
Informações sobre soluções alternativas, as correções permanentes ou
progresso de problemas deve ser comunicada aos afetados ou necessários para apoiar
os serviços afetados.
a) Ativos e configuração;
b) A gestão da mudança;
c) Publicada erro conhecido, informações solução dos fornecedores;
d) As informações históricas sobre problemas semelhantes.
9 processos de controle
NOTA outros itens que podem ser considerados como itens de configuração incluem:
a) Documentação Outros;
b) Outros ativos;
c) Outras instalações, por exemplo, site;
d) As unidades de negócios;
e) Pessoas.
10 Processo de liberação
10.1.1 Geral
Gerenciamento de liberação deve coordenar as atividades do prestador de
serviços, muitos fornecedores e os negócios para planejar e entregar uma versão em
um ambiente distribuído.
Um bom planejamento e de gestão são essenciais para empacotar e distribuir
um comunicado com sucesso, e para gerir o impacto e os riscos associados ao negócio
e TI. A liberação dos sistemas de informação afetados, infraestrutura, serviços e
documentação devem ser planejados com o negócio.
Todas as atualizações associada a documentação deve ser incluída na versão,
por exemplo, processos de negócio, suporte de documentos e acordos de nível de
serviço.
ISO/IEC 20000-2:2005(E)
10.1.7 Documentação
Documentação apropriada deve estar disponível após a conclusão e
armazenados sob a gerência de configuração contra o item de configuração liberada.
Essa documentação deve incluir:
Bibliography
[1] ISO/IEC 20000-1, Information technology — Service management — Part 1: Specification
[2] ISO/IEC 17799, Information technology — Security techniques — Code of practice for
information security management
[3] ISO/IEC 12207, Information technology — Software life cycle processes
[4] ISO/IEC TR 15271, Information technology — Guide for ISO/IEC 12207 (Software life cycle
processes)
[5] ISO/IEC TR 16326, Software engineering — Guide for the application of ISO/IEC 12207 to
project management
[6] ISO/IEC 15288, Systems engineering — System life cycle processes
[7] ISO/IEC TR 19760, Systems engineering — A guide for the application of ISO/IEC 15288
(System life cycle processes)
[8] ISO/IEC 15504-1, Information technology — Process assessment — Part 1: Concepts and
vocabulary
[9] ISO/IEC 15504-2, Information technology — Process assessment — Part 2: Performing an
assessment
[10] ISO/IEC 15504-3, Information technology — Process assessment — Part 3: Guidance on
performing an assessment
[11] ISO/IEC 15504-4, Information technology — Process assessment — Part 4: Guidance on
use for process improvement and process capability determination
[12] ISO/IEC 15504-5, Information technology — Process assessment — Part 5: An exemplar
Process Assessment Model
[13] ISO 10007, Quality management systems — Guidelines for configuration management
[14] ISO 9000, Quality management systems — Fundamentals and vocabulary
ISO/IEC 20000-2:2005(E)