Escolar Documentos
Profissional Documentos
Cultura Documentos
BRASILEIRA ISO/IEC
20000-2
Segunda edição
20.08.2013
Exemplar para uso exclusivo - Easy Net Comercio de Equipamentos de Informatica Ltda - ME - 06.733.460/0001-05 (Pedido 735517 Impresso: 22/04/2020)
Válida a partir de
20.09.2013
Número de referência
ABNT NBR ISO/IEC 20000-2:2013
106 páginas
© ISO/IEC 2012
Todos os direitos reservados. A menos que especificado de outro modo, nenhuma parte desta publicação pode ser
reproduzida ou utilizada por qualquer meio, eletrônico ou mecânico, incluindo fotocópia e microfilme, sem permissão por
escrito da ABNT, único representante da ISO/IEC no território brasileiro.
© ABNT 2013
Todos os direitos reservados. A menos que especificado de outro modo, nenhuma parte desta publicação pode ser
reproduzida ou utilizada por qualquer meio, eletrônico ou mecânico, incluindo fotocópia e microfilme, sem permissão por
escrito da ABNT.
ABNT
Av.Treze de Maio, 13 - 28º andar
20031-901 - Rio de Janeiro - RJ
Tel.: + 55 21 3974-2300
Fax: + 55 21 3974-2346
abnt@abnt.org.br
www.abnt.org.br
Sumário Página
Anexo
Anexo A (informativo) Interfaces entre processos e integração de processos com SGS ...........93
Figuras
Figura 1 – Metodologia PDCA aplicada ao gerenciamento de serviços .......................................xi
Figura 2 – Sistema de gestão de serviços ........................................................................................1
Figura 3 – Exemplo de relacionamento entre fornecedor-líder e fornecedor subcontratado ....70
Tabelas
Tabela 1 – Matriz-exemplo de resolução de incidentes resolvidos nos prazos baseada
em prioridades..................................................................................................................72
Tabela A.1 – Interfaces e integração entre desenho e transição de serviços novos
ou modificados .................................................................................................................93
Tabela A.2 − Interfaces e integração para GNS ..............................................................................94
Tabela A.3 – Interfaces e integração para relatos de serviço .......................................................94
Tabela A.4 – Interfaces e integração para gerenciamento de disponibilidade e continuidade
do serviço .........................................................................................................................95
Tabela A.5 – Interfaces e integração para serviços de contabilidade e orçamento ....................96
Tabela A.6 – Interfaces e integração entre gerenciamento da capacidade e o resto do SGS ...97
Tabela A.7 – Interfaces e integração para GSI ................................................................................98
Tabela A.8 – Interfaces e integração para GRN ..............................................................................99
Tabela A.9 – Interfaces e integração para gerenciamento de fornecedores................................99
Tabela A.10 – Interfaces e integração para gerenciamento de requisição de serviço
e incidente.......................................................................................................................100
Tabela A.11 – Interfaces e integração para gerenciamento de problemas ................................101
Tabela A.12 – Interfaces e integração para gerenciamento de configuração ............................102
Tabela A.13 – Interfaces e integração para gerenciamento de mudanças.................................103
Tabela A.14 – Interfaces e integração para gerenciamento de liberação e implementação ....104
Prefácio Nacional
elaboradas por Comissões de Estudo (CE), formadas por representantes dos setores envolvidos,
delas fazendo parte: produtores, consumidores e neutros (universidades, laboratórios e outros).
Os Documentos Técnicos ABNT são elaborados conforme as regras da Diretiva ABNT, Parte 2.
A Associação Brasileira de Normas Técnicas (ABNT) chama atenção para a possibilidade de que
alguns dos elementos deste documento podem ser objeto de direito de patente. A ABNT não deve ser
considerada responsável pela identificação de quaisquer direitos de patentes.
A ABNT NBR ISO/IEC 20000-2 foi elaborada no Comitê Brasileiro de Computadores e Processamento
de Dados (ABNT/CB-21), pela Comissão de Estudo de Operações de Tecnologia da Iinformação
(CE-21:007.25). O Projeto circulou em Consulta Nacional conforme Edital nº 05, de 06.06.2013
a 08.07.2013, com o número de Projeto ABNT NBR ISO/IEC 20000-2.
Esta segunda edição cancela e substitui a edição anterior (ABNT NBR 20000-2:2008), a qual foi
tecnicamente revisada. As principais diferenças são como se segue:
— maior alinhamento com a ABNT NBR ISO 9001 e ABNT NBR ISO/IEC 27001;
— novo guia sobre a governança dos processos operados por outras partes;
A ABNT NBR ISO/IEC 20000, sob o título geral “Tecnologia da informação – Gerenciamento
de serviços”, tem previsão de conter as seguintes partes:
Scope
General
Exemplar para uso exclusivo - Easy Net Comercio de Equipamentos de Informatica Ltda - ME - 06.733.460/0001-05 (Pedido 735517 Impresso: 22/04/2020)
This part of ABNT NBR ISO/IEC 20000 provides guidance on the application of an SMS based
on ABNT NBR ISO/IEC 20000-1. This part of ABNT NBR ISO/IEC 20000 provides examples and
suggestions to enable organizations to interpret and apply ABNT NBR ISO/IEC 20000-1, including
references to other parts of ABNT NBR ISO/IEC 20000 and other relevant standards. This part
of ABNT NBR ISO/IEC 20000 is independent of specific best practice frameworks and the service
provider can apply a combination of generally accepted guidance and their own techniques.
Control processes
Configuration management
Change management
Release and deployment
management
Figure 2 shows the processes from Clauses 6 to 9 in the central box. The Clause 5 design and transition
of new or changed services process surrounds the Clause 6 to 9 processes. This shows that the new
or changed services are operated by the processes in the central box. When there are no new
or changed services to which Clause 5 applies, all services can be delivered directly by Clauses 6 to 9.
The interfaces between the service management processes and the relationships between different
components of the SMS may be implemented differently by different service providers. The nature
of the relationship between the service provider and the customer can also influence how the SMS
is implemented to fulfil the requirements of ABNT NBR ISO/IEC 20000-1. For these reasons the
interfaces between processes are not represented in Figure 2.
Application
The service provider is accountable for the SMS and therefore cannot ask another party to fulfil
the requirements of Clause 4 of ABNT NBR ISO/IEC 20000-1:2011. For example, the service
provider cannot ask another party to provide the top management and demonstrate top management
commitment or to demonstrate the governance of processes operated by other parties.
Some activities in Clause 4 may be performed by another party under the management of the service
provider. For example, service providers can engage other parties to conduct internal audits on their
behalf. Another example is where a service provider asks another party to create the initial service
management plan. The plan, once created and agreed, is the direct responsibility of and is maintained
by the service provider. In these examples, the service provider is using other parties for specific
short-term activities. The service provider has accountability, authorities and responsibilities for the
Exemplar para uso exclusivo - Easy Net Comercio de Equipamentos de Informatica Ltda - ME - 06.733.460/0001-05 (Pedido 735517 Impresso: 22/04/2020)
SMS. The service provider can therefore demonstrate evidence of fulfilling all of the requirements
of Clause 4 of ABNT NBR ISO/IEC 20000-1:2011.
The service provider can show evidence of fulfilling all requirements directly or can show evidence
of fulfilling most of the requirements directly as well as the governance of processes operated by other
parties. If the service provider relies on other parties for operation of the majority of the processes
in Clauses 5 to 9, the service provider is unlikely to be able to demonstrate governance of the processes.
However, if other parties operate only a minority of the processes, the service provider can normally
fulfil the requirements specified in ABNT NBR ISO/IEC 20000-1.
The defined, agreed and documented accountability, authorities and responsibilities for the SMS are
readily accessible to both the service provider and other relevant parties. To fulfil the requirements
of ABNT NBR ISO/IEC 20000-1 the service provider can agree changes to the terms of existing
contracts or other documented agreements.
ABNT NBR ISO/IEC 20000 excludes the specification of, or specific guidance about, any product
or tool. However, organizations can use this part of ABNT NBR ISO/IEC 20000 to help them use
or develop products or tools that support operation of the SMS.
Introdução
Esta parte da ABNT NBR ISO/IEC 20000 fornece orientação sobre a aplicação do sistema
de gerenciamento de serviços (SGS) com base na ABNT NBR ISO/IEC 20000-1. Esta parte da
ABNT NBR ISO/IEC 20000 não adiciona nenhum requisito aos mencionados
Exemplar para uso exclusivo - Easy Net Comercio de Equipamentos de Informatica Ltda - ME - 06.733.460/0001-05 (Pedido 735517 Impresso: 22/04/2020)
na ABNT NBR ISO/IEC 20000-1 e não explicita como a evidência pode ser fornecida a um avaliador
ou auditor. A intenção desta parte da ABNT NBR ISO/IEC 20000 é permitir que organizações e indivíduos
interpretem a ABNT NBR ISO/IEC 20000-1 com mais precisão e, portanto, a usem de forma mais eficaz.
Um SGS é definido na ABNT NBR ISO/IEC 20000-1 como um sistema de gestão para direcionar,
monitorar e controlar as atividades de gerenciamento de serviços do provedor de serviços. Convém
que o SGS inclua o que é necessário para o planejamento, o desenho, a transição, a entrega
e a melhoria dos serviços. Isto inclui, no mínimo, políticas de gerenciamento de serviços, objetivos,
planos, processos, interfaces de processos, documentação e recursos. O SGS engloba todos
os processos como um sistema de gestão mais abrangente, com os processos de gerenciamento
de serviços como parte do SGS.
Esta parte da ABNT NBR ISO/IEC 20000 fornece exemplos e sugestões para que as organizações
interpretem e apliquem a ABNT NBR ISO/IEC 20000-1, incluindo referências a outras partes
da ABNT BR ISO/IEC 20000 e a outras normas pertinentes.
Usuários de normas são responsáveis pela sua correta aplicação. É importante para as organizações
e indivíduos que usam a ABNT NBR ISO/IEC 20000 entender os pontos listados abaixo.
— A ABNT NBR ISO/IEC 20000-1 não pretende incluir todos os requisitos estatutários
e regulatórios necessários, ou todas as obrigações contratuais do provedor de serviços.
Conformidade com a ABNT NBR ISO/IEC 20000-1 por si só não confere imunidade
em obrigações estatutárias.
— A ABNT NBR ISO/IEC 20000-1 é aplicável aos provedores de serviços internos e externos,
grandes e pequenos, comerciais e não comerciais.
— A ABNT NBR ISO/IEC 20000-1 promove a adoção de uma abordagem de processos integrados
ao planejar, estabelecer, implementar, operar, monitorar, medir, analisar criticamente, manter
e melhorar um SGS para o planejamento, o desenho, a transição, a melhoria e a entrega
de serviços que satisfaçam os requisitos de serviço.
A ABNT NBR ISO/IEC 20000 promove a aplicação da metodologia conhecida como “Plan-Do-
Check-Act” (PDCA) para o SGS e os serviços. A metodologia PDCA, mostrada na Figura 1, pode ser
brevemente descrita como segue:
Fazer: implementar e operar o SGS para o desenho, transição, entrega e melhoria dos serviços.
Verificar: monitorar, medir e analisar criticamente o SGS e os serviços contra os planos, políticas,
objetivos, requisitos e relatos dos resultados.
Agir: tomar ações para melhorar continuamente o desempenho do SGS. Isso inclui os processos
Exemplar para uso exclusivo - Easy Net Comercio de Equipamentos de Informatica Ltda - ME - 06.733.460/0001-05 (Pedido 735517 Impresso: 22/04/2020)
Quando usado dentro de um SGS, os aspectos mais importantes de uma abordagem de processo
integrado e da metodologia PDCA são os seguintes:
c) desenhar e entrega de serviços com base no SGS que adicione valor para o cliente;
Onde outros sistemas de gestão estão presentes, a implementação de um SGS, com a adoção
de uma abordagem de processo e da metodologia PDCA, permite ao provedor de serviços alinhar
ou integrar plenamente os sistemas de gestão da organização. Por exemplo, é possível integrar
a ABNT NBR ISO/IEC 20000 com um sistema de gestão da qualidade baseado
na ABNT NBR ISO 9001 e/ou um sistema de gestão de segurança da informação baseadona
ABNT NBR ISO/IEC 27001. Uma abordagem de sistema de gestão integrada aumenta a eficiência,
estabelece uma responsabilidade e rastreabilidade clara e melhora o planejamento organizacional,
a comunicação e o controle.
Planejar
Sistema de
gerenciamento
de serviços
Processos de
gerenciamento
Fazer de serviços Agir
Serviços
Checar
a) uma organização que busca serviços, de provedores de serviços e exige garantia de que suas
necessidades de serviço serão cumpridas;
Exemplar para uso exclusivo - Easy Net Comercio de Equipamentos de Informatica Ltda - ME - 06.733.460/0001-05 (Pedido 735517 Impresso: 22/04/2020)
b) uma organização que exige uma abordagem consistente de todos os seus provedores
de serviços, incluindo aqueles em uma cadeia de suprimentos;
e) um provedor de serviços para melhorar o desenho, transição, entrega e melhoria dos serviços
por meio da efetiva implementação e operação do SGS; um consultor, como critério para
a avaliação da conformidade do SGS de um provedor de serviços, com os requisitos desta
parte da ABNT NBR ISO/IEC 20000”
Esta parte da ABNT NBR ISO/IEC 20000 pode ser usada por uma organização em busca de orientação
sobre como melhorar o gerenciamento de serviços, se não está interessada em buscar a certificação.
1 Escopo
Exemplar para uso exclusivo - Easy Net Comercio de Equipamentos de Informatica Ltda - ME - 06.733.460/0001-05 (Pedido 735517 Impresso: 22/04/2020)
1.1 Geral
Esta parte da ABNT NBR ISO/IEC 20000 fornece orientações sobre a aplicação de um SGS,
com base na ABNT NBR ISO/IEC 20000-1. Esta parte da ABNT NBR ISO/IEC 20000 fornece exemplos
e sugestões para permitir que as organizações interpretem e apliquem a ABNT NBR ISO/IEC 20000-1,
incluindo referências a outras partes da ABNT NBR ISO/IEC 20000 e outras normas pertinentes.
Esta parte da ABNT NBR ISO/IEC 20000 é independente de estruturas específicas de boas práticas
e o prestador de serviço pode aplicar uma combinação de orientações aceitas de forma geral
e as suas próprias técnicas.
Processos de controle
Gerenciamento de configuração
Gerenciamento de mudanças
Gerenciamento de liberação e
implementação
1.2 Aplicação
O provedor de serviços é responsável pelo SGS e, portanto, não está apto a pedir à outra parte para
cumprir os requisitos da Seção 4 da ABNT NBR ISO/IEC 20000-1. Por exemplo, o provedor de serviço
não está apto a pedir à outra parte para proporcionar a alta direção e demonstrar o comprometimento
de alta direção ou a demonstrar a governança de processos operados por outras partes.
Exemplar para uso exclusivo - Easy Net Comercio de Equipamentos de Informatica Ltda - ME - 06.733.460/0001-05 (Pedido 735517 Impresso: 22/04/2020)
Algumas atividades na Seção 4 podem ser realizadas por outra parte sob a gestão do provedor
de serviços. Por exemplo, provedores de serviço podem envolver outras partes para conduzir
auditorias internas em seu nome. Outro exemplo é quando um provedor de serviço pede à outra
parte para criar o plano inicial de gerenciamento do serviço. O plano, uma vez criado e acordado,
é de responsabilidade direta e mantido pelo provedor de serviços. Nestes exemplos, o provedor
de serviços está usando outras partes para atividades específicas de curto prazo. O provedor
de serviços tem a autoridade, responsabilidade e faz a prestação de contas com o SGS. O provedor
de serviços pode, portanto, demonstrar evidência de cumprimento de todos os requisitos da Seção 4
da ABNT NBR ISO/IEC 20000-1:2011.
A ABNT NBR ISO/IEC 20000 exclui a especificação de, ou orientação específica sobre,
qualquer produto ou ferramenta. No entanto, as organizações podem usar esta parte da
ABNT NBR ISO/IEC 20000 para ajudá-los a utilizar ou desenvolver produtos ou ferramentas que
suportem a operação do SGS
2 Referência normativa
O documento relacionado a seguir é indispensável para a aplicação deste documento. Para referências
datadas, somente a edição citada se aplica. Para referências não datadas, a última edição do referido
documento (incluindo emendas) se aplica.
3 Termos e definições
Para os fins deste documento, os termos e definições dados na ABNT NBR ISO/IEC 20000-1
se aplicam.
Convém que a alta direção seja a gestão que direcione, monitore e controle o provedor de serviços
no mais alto nível.
Convém que a alta direção esteja ciente de que o cumprimento dos requisitos da
ABNT NBR ISO/IEC 20000-1 inclui:
a) demonstrar seu comprometimento de estar envolvida em todas as fases dos SGS, começando
com o planejamento e estabelecimento do SGS e continuando com a operação, monitoração,
medição, análise crítica, manutenção e melhoria contínua do SGS;
c) assegurar que os requisitos de serviço, escopo do SGS, política e objetivos de gestão de serviços
sejam compreendidos e reconhecidos por todas as partes interessadas do SGS;
d) assegurar que o plano de gerenciamento de serviço seja criado, implementado, mantido e alinhado
com os objetivos de negócio;
f) garantir que o desempenho do SGS seja relatado para o nível da alta direção;
h) assegurar que os riscos para os serviços sejam minimizados, por exemplo, pela avaliação
dos riscos associados às mudanças e ações tomadas.
Convém que a alta direção também assegure que todas as fases do ciclo de vida do serviço sejam
fornecidas em níveis acordados, conforme definido nos requisitos de serviço. O ciclo de vida do serviço
inclui o planejamento, implementação, operação, monitoração, medição, análise crítica, manutenção
e melhoria contínua. O ciclo de vida do serviço também inclui a transferência do serviço para
um cliente, ou uma parte diferente, ou eventual remoção do serviço.
Convém que a alta direção esteja ciente de que eles são responsáveis por garantir que o SGS
e os serviços fornecidos pelo SGS sejam avaliados e analisados criticamente. Convém que
as avaliações incluam análises críticas do próprio provedor de serviço e auditorias internas, bem
como auditorias externas. Mais informações sobre análises críticas da direção podem ser encontradas
em 4.5 desta parte da ABNT NBR ISO/IEC 20000.
Sem o comprometimento da alta direção, é possível que possam ser tomadas decisões de gestão
que conflitem com os requisitos de um SGS eficaz. Exemplos incluem a realocação de recursos
para outros projetos, a falta de comunicação sobre o SGS e os conflitos não resolvidos no processo
de desenho.
Convém que haja evidência do comprometimento e prestação de contas da alta direção disponível
para análise por um avaliador. Convém que a alta direção seja capaz de fornecer evidências com base
em registros de seu envolvimento em:
a) reuniões regulares sobre o SGS, como, por exemplo, presidindo as reuniões de planejamento
para que o SGS continue alinhado com as necessidades de negócio e requisitos de serviços
Exemplar para uso exclusivo - Easy Net Comercio de Equipamentos de Informatica Ltda - ME - 06.733.460/0001-05 (Pedido 735517 Impresso: 22/04/2020)
novos ou modificados;
b) assegurar que o SGS inclui uma definição do escopo, a política de gerenciamento de serviços,
os objetivos de gerenciamento de serviços e o plano de gerenciamento de serviços;
O alinhamento entre as políticas, processos e procedimentos permite que as diretrizes da alta direção
sejam disseminadas para todo o pessoal do provedor de serviços. Convém que as decisões da direção
sejam alinhadas com a maneira como o pessoal do provedor de serviços opera no dia a dia.
a) mudanças organizacionais, políticas, normas, visão e missão, bem como os objetivos de negócio;
b) necessidades do negócio, por exemplo, a relação entre o SGS e os serviços fornecidos e também
como estes suportam as metas e objetivos organizacionais definidos;
c) como o estabelecimento do SGS está alinhado com os objetivos de negócio e expectativas dos
clientes;
e) os requisitos do cliente, por exemplo, metas de serviço, capacidade prevista com base na demanda
prevista, segurança da informação e continuidade de serviços para apoiar a continuidade
dos negócios;
f) os requisitos legais, como horas de trabalho, saúde e segurança e proteção de dados, que variam
em cada país;
g) os requisitos regulatórios, por exemplo, que os registros sejam mantidos por um período de tempo
específico;
Exemplar para uso exclusivo - Easy Net Comercio de Equipamentos de Informatica Ltda - ME - 06.733.460/0001-05 (Pedido 735517 Impresso: 22/04/2020)
h) requisitos contratuais, por exemplo, a exigência de assinar um acordo de não divulgação antes
de ter acesso à informação do provedor de serviços;
j) análises regulares de dados recolhidos por meio da medição do SGS e componentes, por exemplo,
medições de processo.
Além disso, as comunicações podem ser uma oportunidade para o provedor de serviços motivar a sua
própria organização.
Um programa de comunicação é importante para o sucesso dos SGS porque o pessoal que compreende
a finalidade e importância do SGS é menos propenso a resistir às mudanças devido ao medo ou falta
de conhecimento.
Convém que as comunicações gerem uma apreciação da importância do SGS tanto pela direção
quanto pelo pessoal, reduzindo o risco ou a probabilidade de que decisões sejam tomadas ou soluções
fornecidas em contradição com o SGS.
Convém que o resultado dessas atividades de comunicação faça com que as pessoas compreendam
o seu papel no gerenciamento de serviços e como elas contribuem para o cumprimento dos requisitos
de serviço e cumprimento dos objetivos de gestão de serviços.
Convém que a alta direção defina os objetivos acordados para o gerenciamento de serviços. Convém
que os objetivos estejam alinhados com os objetivos de negócio e com a política de gerenciamento
de serviços.
a) permitir o aumento da agilidade dos negócios por meio de uma entrega mais rápida de serviços
novos ou modificados;
Convém que os objetivos de gerenciamento de serviços reais sejam definidos de modo que
as realizações possam ser medidas contra os objetivos com precisão. Convém que a medição também
permita que as oportunidades de melhoria sejam priorizadas.
Convém que os objetivos sejam entradas-chave para o plano de gerenciamento de serviços. Convém
que o plano identifique as ações para a realização dos objetivos e alinhamento com os outros
componentes do SGS.
Convém que o provedor de serviços assegure que a eficácia de cada componente do SGS seja
medida para avaliar a eficácia do apoio aos objetivos de gerenciamento de serviços. Por exemplo,
a medição da eficácia do suporte aos objetivos por um processo específico. Convém que as medições
Exemplar para uso exclusivo - Easy Net Comercio de Equipamentos de Informatica Ltda - ME - 06.733.460/0001-05 (Pedido 735517 Impresso: 22/04/2020)
O provedor de serviços pode achar útil medir as contribuições individuais para a realização
dos objetivos. Isso irá facilitar ao pessoal que suporta o SGS trabalhar de forma integrada para
os mesmos objetivos.
O plano pode ser um poderoso mecanismo para permitir visibilidade e controle do início ao fim. Convém
também evitar que iniciativas incompatíveis sejam aprovadas ou implementadas. Convém que o plano
permita que a utilização de recursos e capacidades seja a mais eficiente e eficaz possível.
Convém que o plano seja comunicado a todas as partes interessadas. Isso garantiria um entendimento
comum do escopo das iniciativas, as tarefas, prazos e responsabilidades atribuídas. Convém que
as responsabilidades atribuídas sejam incluídas nas medições de desempenho de todos os envolvidos
no SGS, incluindo aqueles envolvidos em iniciativas do plano de gerenciamento de serviços.
Convém que o plano não seja considerado concluído quando o SGS for implementado. Convém que
o plano exista de forma permanente e seja alterado para acomodar as necessidades de mudanças
de negócio, requisitos de clientes ou prioridades do provedor de serviços.
Convém que o provedor de serviços esteja sempre ciente da necessidade de manter todas as mudanças
implementadas localmente, sob a gestão global do plano de gerenciamento de serviços. Por exemplo,
uma melhoria de um processo pode ser realizada localmente, sob o controle do responsável local pelo
processo, mas é incluída no programa de gestão centralizada global.
Planos para uma finalidade específica, por exemplo, para o processo de gerenciamento da continuidade
e disponibilidade do serviço, podem ser referenciados a partir do plano global de gerenciamento
de serviços em vez de nele incluído. Convém que os planos especializados e seu alinhamento com
o plano global sejam analisados criticamente a uma frequência que seja adequada à taxa de mudanças.
Convém que isso seja feito pelo menos anualmente.
Convém que quaisquer mudanças resultantes de análises críticas ou mudanças nos requisitos
do serviço ou planos individuais sejam documentadas no plano de gerenciamento de serviços global.
Por exemplo, mudanças no horário de expediente para 24 horas de operação, atualizações tecnológicas
ou mudanças de competências.
a) uma introdução;
e) medidas de desempenho;
Exemplar para uso exclusivo - Easy Net Comercio de Equipamentos de Informatica Ltda - ME - 06.733.460/0001-05 (Pedido 735517 Impresso: 22/04/2020)
f) metas de serviço;
g) planos de projeto;
h) tarefas e dependências;
Convém que os riscos para o plano de gerenciamento de serviços sejam identificados, avaliados
gerenciados inicialmente e como parte da metodologia PDCA (Plan-Do-Check-Act). Convém que
a avaliação de riscos abranja as entradas, saídas, atividades, responsabilidades e prestação de
contas para a mitigação dos riscos. Convém também que o plano seja desenhado para assegurar que
os objetivos acordados e exigências de serviço sejam alcançados.
Convém que os recursos necessários para atingir os objetivos de gerenciamento de serviços sejam
documentados no plano de gerenciamento de serviços. Convém que o seguinte seja considerado:
b) os recursos técnicos, por exemplo, infraestrutura e capacidade, de apoio aos processos da SGS;
e) os dados e informações, por exemplo, detalhes dos requisitos de clientes, planos de negócio
do cliente, necessidades empresariais do provedor de serviços, políticas de gerenciamento
de serviços, medições de desempenho e outros relatórios;
A seção 3.34 da ABNT NBR ISO/IEC 20000-1:2011 inclui as necessidades do negócio, o cliente
e os usuários do serviço e as necessidades do provedor de serviços na definição de requisitos
de serviço. Convém que a alta direção seja responsável por garantir que os serviços fornecidos
cumpram os requisitos de serviço acordados.
d) os requisitos de disponibilidade;
e) os requisitos regulatórios;
À alta direção convém assegurar que os requisitos de serviço sejam definidos em termos de:
a) resultados desejados, esperados pelos clientes, por exemplo, eficácia, eficiência, satisfação;
e) garantia de que o serviço e os produtos serão fornecidos ou que irão atender a determinadas
especificações acordadas, frequentemente referida como garantia.
Uma característica típica de garantia é que ela é definida em termos de continuidade, disponibilidade,
de capacidade e de segurança do serviço. Por exemplo, a garantia assegura que o serviço continuará
a ser adequado ao seu propósito, mesmo em níveis de serviço degradados devido a grandes rupturas
ou catástrofes. Convém que a garantia também assegure segurança para os serviços.
Convém que as necessidades dos usuários do serviço sejam definidas dentro do contexto das
necessidades do cliente. Convém que se descreva o benefício que um usuário vai ganhar com o uso
do serviço como parte do desempenho das suas atividades de trabalho.
Exemplo 1: Remover restrições. Mudança desejável para um serviço. Pode permitir que os usuários tenham
acesso ao serviço remotamente, em vez de apenas a partir de locais fixos.
Exemplo 3: Desempenho. Um usuário pode precisar processar uma transação de compras por minuto
e 50 transações em uma hora.
Convém, do ponto de vista do provedor de serviços, que os requisitos de serviço incluam os listados
abaixo:
a) Requisitos para garantir a entrega das necessidades do negócio e os interesses mais amplos
da organização que possui a organização de prestação de serviço. Por exemplo, os requisitos para
cumprir as políticas, normas, requisitos estatutários e regulatórios e as obrigações contratuais.
d) Requisitos para a medição, auditoria, relatórios e melhoria dos serviços prestados contra
os objetivos de negócio definidos.
Se o provedor de serviços estabelece que ocorreu um conflito em requisitos, convém que uma ação
seja tomada. Exemplos de conflitos nos requisitos incluem o seguinte:
a) Se houver conflitos entre requisitos do cliente e necessidades de negócio dos clientes, convém
que o conflito seja resolvido pelo cliente, por exemplo, uma exigência do cliente que está
em conflito com a direção estratégica do negócio. Alternativamente, o provedor de serviços pode
analisar as diferenças e propor requisitos de serviço revistos.
Convém que o provedor de serviços assegure que os riscos decorrentes de conflitos são avaliados
e quantificados de modo a identificar métodos de minimização de riscos. Convém que a avaliação
inclua o risco para a satisfação do cliente e a capacidade de atender às necessidades dos clientes
e objetivos.
Convém que conflitos e seu impacto potencial possam ser documentados e discutidos com o cliente
para que eles possam ser resolvidos. Convém que, se um conflito for identificado após o projeto
do serviço, seja acordado que o conflito venha a ser resolvido como uma ação corretiva ou como uma
oportunidade de melhoria.
Convém que a alta direção assegure que os riscos para o SGS e os serviços sejam identificados,
documentados e avaliados. Os riscos para um serviço podem incluir a incapacidade de cumprir
os requisitos regulatórios e estatutários ou obrigações contratuais. Por exemplo, a incapacidade
de atender às exigências de licença de software ou a falta de prova de idoneidade financeira.
Convém que a alta direção assegure que todos os riscos identificados sejam gerenciados, inclusive
assegurando que:
NOTA O provedor de serviços vai achar úteis os requisitos e recomendações da ABNT NBR ISO 31000
para a gestão de riscos.
Convém que a política se baseie no escopo acordado do SGS e, portanto, dê apoio aos objetivos
do provedor de serviços de gerenciamento de serviços e ao plano de gerenciamento de serviços.
Convém que a política represente a alta direção e o compromisso de cumprir as exigências de serviço.
Convém também que a política assegure o cumprimento dos requisitos para a concepção e transição
do processo de serviços novos ou modificados da Seção 5 da ABNT NBR ISO/IEC 20000-1:2011.
Convém que a política dê uma orientação clara da alta direção para gestores de provedores de serviços
e colaboradores.
Exemplo 2: Mudanças nos processos ou procedimentos só são feitas mediante processo de gerenciamento
das mudanças.
Convém que a política de gerenciamento de serviços seja estruturada de forma que possa ser
usada para avaliar se os objetivos do provedor de serviços de gerenciamento de serviços estão
sendo cumpridos. Convém, por exemplo, que seja possível demonstrar uma ligação entre a política
de gerenciamento de serviços e o que está sendo feito para alcançar os objetivos de serviço
do provedor. Convém que a política de gerenciamento de serviços seja estruturada para permitir
a medição da aderência à política.
Convém também que o provedor de serviços seja capaz de demonstrar que esta conexão entre
Exemplar para uso exclusivo - Easy Net Comercio de Equipamentos de Informatica Ltda - ME - 06.733.460/0001-05 (Pedido 735517 Impresso: 22/04/2020)
os objetivos do provedor de serviços e a política de gerenciamento de serviços tem sido eficaz desde
que a política de gerenciamento de serviço foi inicialmente acordada.
Convém que a alta direção seja também responsável por assegurar que a política de gerenciamento
de serviços seja analisada criticamente em intervalos adequados, no mínimo, anualmente. Convém
que isso identifique eventuais deficiências, garantindo o alinhamento contínuo com as necessidades
do negócio e requisitos do cliente. Convém que os critérios de qualidade aplicados durante a revisão
da política de gerenciamento de serviços levem em consideração o seguinte:
Após uma revisão da política de gerenciamento de serviço, se uma deficiência for encontrada, convém
que a alta direção assegure que ela seja corrigida. Convém que as deficiências sejam corrigidas,
como uma alteração na política, nos objetivos de gerenciamento de serviços, no plano, nos processos
ou nos procedimentos.
Convém também que a política seja atualizada para refletir quaisquer alterações nos objetivos
de gerenciamento de serviços ou no escopo do SGS.
Convém que o provedor de serviços assegure que as autoridades e responsabilidades para todos
os aspectos do SGS sejam definidas. Convém que as descrições de cargo sejam acordadas, alocadas
aos indivíduos, comunicadas a todos os funcionários e mantida atualizada por meio de um procedimento
de gestão de documentos. Convém que o provedor de serviços assegure que todos os funcionários
são encorajados a se estabelecerem e se manterem conscientes de como suas atividades podem
contribuir para a realização dos objetivos de gerenciamento de serviços.
Convém que a alta direção seja responsável por garantir que os procedimentos de comunicação sejam
projetados, passem pela transição e sejam implementados e utilizados. A alta direção pode delegar
o projeto atual dos procedimentos. No entanto, convém aprová-los antes da aplicação e fazer cumprir
o seu uso. Convém que a alta direção esteja ativamente envolvida nos processos de comunicação.
Convém que a alta direção compreenda o valor da conscientização, motivação e participação do pessoal
na gestão eficaz de serviços e melhoria contínua. Convém que os procedimentos de comunicação
encorajem a motivação pessoal. Por exemplo, a comunicação de resultados positivos de participação
de funcionários em atividades de melhoria pode ter um efeito motivacional significativo.
a) o método de entrega;
b) a periodicidade e frequência;
d) mecanismos de escalação;
g) métodos de comunicação;
i) horários e responsabilidades.
Métodos de comunicação da alta direção pode incluir material de orientação pessoal, palestras
e workshops, publicações internas com os funcionários, e-mail, mídia social ou fóruns de realimentação
de colaboradores.
Convém que o representante da direção seja um membro da equipe de gestão do provedor de serviços
que tem autoridade para garantir que o SGS seja estabelecido, utilizado, melhorado ao longo do tempo
e alinhado com as necessidades mutáveis do negócio. Convém que esta autoridade inclua a garantia
de que os processos de gerenciamento de serviços que têm interfaces adequadas entre si estejam
integrados com o resto dos SGS.
Convém que o provedor de serviços assegure que está claro quem é o representante da direção e que
os níveis de responsabilidade e autoridade dele sejam compreendidas pelos:
d) grupos internos;
f) o cliente.
4.1.4.2 Responsabilidades
Convém que o representante da direção seja responsável por garantir que sejam obtidos os itens
a seguir:
a) todos os aspectos das responsabilidades de gestão especificados na ABNT NBR ISO/IEC 20000-1
sejam realizados, incluindo as exigências da alta direção;
d) o escopo e os detalhes do SGS sejam verificados em intervalos adequados para assegurar que
os requisitos de serviço continuem a ser preenchidos, por exemplo, se as necessidades do cliente
mudam, é possível que o SGS ou o escopo da SGS também tenha que mudar;
e) a política de gerenciamento de serviço e os objetivos sejam usados como base para as decisões
durante o planejamento inicial dos processos, para o desenho dos processos e operação
e melhoria dos processos;
f) o desenho dos processos comece com a identificação das entradas e saídas e quaisquer
atividades realizadas como parte dos processos;
i) a metodologia PDCA seja aplicada e utilizada para a melhoria contínua dos SGS e serviços;
Convém que a alta direção esteja ciente de que a ABNT NBR ISO/IEC 20000-1 requer que todos
os bens utilizados para entregar os serviços sejam geridos de acordo com requisitos legais, regulatórios
e financeiros e obrigações contratuais pertinentes. Convém que os ativos sejam geridos por meio
de procedimentos eficazes.
Exemplos de bens, que convém serem administrados, incluem licenças de software, dispositivos
móveis, componentes de infraestrutura, pessoas, contratos, procedimentos e outros documentos.
Convém que os provedores de serviços sejam capazes de identificar com precisão a localização,
situação e outros detalhes pertinentes aos ativos.
Convém que a alta direção esteja ciente de que a gestão de ativos requer um banco de dados
de configuração preciso (BDGC), ou meios equivalentes de manutenção de registros, a serem
estabelecidos e utilizados de forma eficaz. Convém que as informações no BDGC sejam mantidas
atualizadas por meio de processos eficazes de gerenciamento de serviços, como por exemplo,
alterações na BDGC aprovadas por meio do processo de gerenciamento de mudança.
Requisitos legais podem incluir as leis de privacidade e proteção de dados, bem como propriedade
intelectual e leis de direitos autorais. Outros requisitos legais podem se relacionar com a proteção
dos ativos de informações de clientes ou a proteção de informações financeiras.
Requisitos regulatórios e obrigações contratuais podem incluir a garantia de que ativos estejam
conforme com os requisitos comerciais de licença e as normas, por exemplo, padrões de segurança
para criptografia de informações sensíveis em laptops.
NOTA O provedor de serviços vai achar a série ISO/IEC 19770 para gerenciamento de ativos de
software útil.
Convém que relatos para a alta direção incluam, mas não se limitem a os temas na Seção 4.1.4.2.
Convém, por exemplo, que os relatos identifiquem oportunidades de melhoria contínua obtidas
utilizando a metodologia PDCA. Convém que isto seja baseado em relatórios de desempenho dos
SGS e dos serviços.
Convém que a frequência e o nível de detalhe dos relatos sejam adequados para o nível de atividade,
categorias de mudanças e seriedade de todos os problemas e riscos identificados pelo representante
Convém que relatos para a alta direção articulem claramente o valor entregue pelo SGS em apoio aos
objetivos de negócio.
Exemplar para uso exclusivo - Easy Net Comercio de Equipamentos de Informatica Ltda - ME - 06.733.460/0001-05 (Pedido 735517 Impresso: 22/04/2020)
Convém que o provedor de serviços tenha ciência de que pode atender aos requisitos
da ABNT NBR ISO/IEC 20000-1 demonstrando governança de processos operados por outras
partes, para uma minoria dos processos.
Convém que o provedor de serviços seja capaz de identificar todos os processos de gerenciamento
de serviços ou partes de processos que são operados por outras partes. Convém que o provedor de
serviços tenha visibilidade, do princípio ao fim, do desempenho de outras partes operando qualquer
um dos processos das seções 5 a 9.
Convém que o provedor de serviços seja capaz de demonstrar o controle de todas as partes operando
processos do SGS e convém que isso seja suportado por todos os contratos e outros documentos
acordados.
a) grupos internos que são unidades organizacionais da mesma organização do provedor de serviço,
mas não diretamente controladas pelo provedor de serviço, como, por exemplo, um data center
ou uma equipe especializada em segurança;
b) um cliente atuando como fornecedor, como, por exemplo, um cliente que executa algumas
atividades do gerenciamento de incidentes e solicitações de serviço;
c) fornecedores, como, por exemplo, terceirização dos testes efetuados como parte do processo
de gerenciamento de liberação e implementação.
Fornecedores podem ser fornecedores líderes com responsabilidades por gerenciar fornecedores
subcontratados.
a) O provedor de serviços é quem presta contas pela eficácia dos processos de gerenciamento
de serviço operados pelo provedor de serviços ou por outra parte, como, por exemplo, a matriz
de tomada de decisões, evidência dos níveis de autorização dentro da própria organização
do provedor de serviço.
b) Que o provedor de serviço tem o poder de exigir aderência a um processo. Por exemplo,
estabelecendo a política de segurança da informação, usando controles, detectando violações
e iniciando ações corretivas. Outro exemplo inclui o fornecimento de evidências de que práticas
foram modificadas a pedido do provedor de serviço.
c) Análise de registros do processo, incluindo medições pelo provedor de serviço. Por exemplo,
considerando um conjunto completo de registros de incidentes ou um relatório de incidentes
e tomando decisões baseadas no conteúdo, mesmo que os registros de incidentes sejam
fornecidos por outra parte que opere o processo de gerenciamento de incidentes.
das Seções 5 a 9 operados por outras partes. Isso inclui as interfaces entre cada processo.
Por exemplo, documentando, acordando e operando as interfaces e dependências do processo
de gerenciamento das mudanças com o processo de gerenciamento da configuração. Detalhe
adicional encontra-se na Seção 4.2.4.
O provedor de serviços pode solicitar a outras partes para que operem processos desenhados
e documentados pelo provedor de serviço. Alternativamente, o provedor de serviços pode aprovar
os processos que outras partes desenhem, documentem e operem.
Convém que o provedor de serviços esteja ciente de que se ele confia em outras partes para
a operação da maioria de seus processos, é pouco provável que seja possível demonstrar governança
adequada dos processos.
NOTA A governança dos processos operados por outras partes está descrita na
ABNT ISO/IEC TR 20000-3:2009.
NOTA BRASILEIRA A ISO revisou o ISO/IEC TR 20000-3, e o publicou como Norma (ISO/IEC 20000-3),
em 2012, desta forma a ABNT está em processo de adoção da referida Norma.
Convém que o provedor do serviço assegure que cada processo descrito nas seções 5 a 9 entreguem
os resultados desejados e contribuam para atingir os objetivos do gerenciamento de serviços.
Convém que a governança dos processos operados por outras partes inclua uma definição
do processo, incluindo:
a) identificação do dono do processo, como, por exemplo, que grupo ou gerente da organização
do provedor de serviço é responsável pelo processo;
b) responsabilidade pela operação, como, por exemplo, que grupo ou gerente é responsável pela
operação;
f) definição das interfaces entre processos e outros componentes do SGS, como, por exemplo, entre
os processos e as políticas e objetivos do gerenciamento de serviço;
g) a frequência e o método pelo qual a informação é transferida de cada processo e para cada
processo;
Exemplar para uso exclusivo - Easy Net Comercio de Equipamentos de Informatica Ltda - ME - 06.733.460/0001-05 (Pedido 735517 Impresso: 22/04/2020)
h) documentos e registros exigidos pelo provedor de serviço para governança dos processos
operados por outras partes e quem os gera;
Convém que a definição de interfaces entre os componentes do SGS inclua métodos pelos quais
os processos de gerenciamento de serviços são estabelecidos e continuamente melhorados para
suportar as políticas e objetivos do gerenciamento de serviços e as mudanças das necessidades
do negócio. Por exemplo, como convém que os componentes do SGS, incluindo processos, sejam
medidos em relação ao seu alinhamento e apoio à política de gerenciamento de serviços.
Convém que o provedor de serviços garanta que todos os processos sejam eficazes:
d) definindo as obrigações das outras partes nas atividades de análise crítica de processo;
f) analisando as interfaces entre processos ou parte de processos operados por outras partes
e outros processos, assim como as políticas e planos;
g) analisando o alinhamento entre processos ou partes de processos operados por outras partes
e os objetivos do gerenciamento de serviços;
Convém que o provedor de serviços seja capaz de demonstrar que controla a prioridade dada
à melhoria de processos, incluindo aqueles operados por outras partes.
Exemplo 1 Uma proposta de melhoria para o processo de gerenciamento de mudanças pode ser
considerada como tendo maior benefício para a organização do que uma proposta de melhoria no processo
de liberação e implementação. Convém que a priorização das melhorias de processo seja alinhada com os
objetivos de negócio e com os requisitos de serviço.
Exemplo 2 Convém que uma melhoria no processo de gerenciamento de incidentes operado por outra
parte seja dirigida pelos objetivos de negócio e requisitos de serviço do provedor de serviço e de sua
organização.
Convém que o provedor de serviços assegure que a evidência esteja disponível para qualquer auditoria
do SGS. Convém que a maior parte das evidências esteja na forma de documentos. Os documentos
podem ser de qualquer tipo, formato ou meio adequados para a sua finalidade, por exemplo, em papel,
arquivos eletrônicos, em um banco de dados ou processador de texto.
Os seguintes documentos podem ser considerados como evidência para uma auditoria do SGS:
c) catálogo de serviços;
g) documentos que descrevem ou que estejam associados a uma mudança em particular, como
as atividades de planejamento de mudanças;
Convém que o provedor de serviços esteja ciente de que alguns documentos, como políticas,
são requeridos pela ABNT NBR ISO/IEC 20000-1 para cumprir os requisitos de processos
específicos. Uma organização pode utilizar documentos adicionais, incluindo políticas, para proporcionar
maior clareza ou assegurar o funcionamento efetivo ou a melhoria do SGS e da entrega de serviços.
Registros são um tipo especial de documento e convém que estejam disponíveis como evidência.
Convém que o provedor de serviços compreenda que um procedimento eficaz é essencial para
a produção de documentos, incluindo registros. Isso inclui a utilização de um sistema de numeração
e de nomenclatura que se alinhe com o objetivo e a revisão do histórico dos documentos. O uso
de modelos e formatos padronizados pode reduzir o esforço de criação, acesso, atualização e utilização
do conteúdo.
Convém que o provedor de serviços também compreenda que os documentos, como ANS, políticas
e planos podem ser interdependentes, por exemplo, uma política de segurança da informação
definindo qual informação pode ser armazenada em equipamentos móveis, ou um servidor que suporta
a entrega de um serviço de correio eletrônico. Convém que estas interdependências sejam entendidas
e gerenciadas quando mudanças forem realizadas nos documentos.
Registros que mostram o que, de fato, foi realizado ou o que ocorreu, nem sempre requerem
um procedimento de aceitação, como, por exemplo, um registro de incidente. Convém que um registro
de incidente seja atualizado à medida que o incidente progrida até o seu encerramento. Seguir
um procedimento de aceitação a cada vez que um registro de incidente é atualizado poderia causar
atrasos inaceitáveis na resolução de incidentes.
Exemplar para uso exclusivo - Easy Net Comercio de Equipamentos de Informatica Ltda - ME - 06.733.460/0001-05 (Pedido 735517 Impresso: 22/04/2020)
NOTA Documentos e registros não precisam ser únicos para o SGS. Uma vez que atendam aos
requisitos da ABNT NBR ISO/IEC 20000-1, eles podem, também, abranger os requisitos de normas como
a ABNT NBR ISO 9001 ou ABNT NBR ISO/IEC 27001.
Convém que o controle de documentos seja reconhecido como essencial. Convém que o controle
de documentos inclua análise crítica periódica com atualização ou arquivamento, se necessários.
Convém que a análise crítica ocorra no mínimo anualmente. Convém que documentos sejam protegidos
contra danos, como, por exemplo, aqueles causados por condições ambientais inadequadas e mau
funcionamento de hardware.
Controle pode prover visibilidade dos impactos de mudanças, como, por exemplo, uma alteração
em um ANS que impacta contratos com outras partes ou os requisitos de disponibilidade. Convém que
o provedor de serviço assegure que os documentos são controlados pela utilização de:
c) registros de mudança que indicam a data, autor, aprovação da mudança e natureza das revisões;
i) um procedimento para assegurar que documentos de origem externa definidos pelo provedor
de serviço e considerados necessários para o planejamento e a operação do SGS sejam
identificados e sua distribuição controlada;
j) um procedimento para assegurar que documentos sejam descartados de acordo com a política
de segurança da informação e com requisitos legais e regulatórios;
Convém que o provedor de serviços identifique os documentos que estão sujeitos aos procedimentos de
controle de documentos. Isso pode incluir documentos de origem externa, como normas, regulamentos
ou documentos de clientes. Convém que o provedor do serviço distinga entre os diferentes tipos
de controle a serem aplicados a diferentes tipos de itens como, por exemplo, entre aqueles de origem
interna e externa ou de documentos que requerem níveis de segurança diferenciados devido à natureza
de seu conteúdo.
Convém que os documentos controlados incluam todos os listados na Seção 4.3.1.1. Muitos documentos
Exemplar para uso exclusivo - Easy Net Comercio de Equipamentos de Informatica Ltda - ME - 06.733.460/0001-05 (Pedido 735517 Impresso: 22/04/2020)
são classificados como IC, que, consequentemente, também são controlados pelo processo
de gerenciamento da configuração. Nos casos em que o controle de documentos é realizado
por meios eletrônicos, convém que atenção especial seja dada para assegurar a aprovação adequada,
acesso, distribuição, mídia e procedimentos de arquivamento.
NOTA 2 Para maiores informações, ver a Seção 5.10 da ISO/IEC TR 20000-4:2010, processo
de gerenciamento de item de informação.
Convém que quaisquer conflitos entre requisitos legais e regulatórios ou obrigações contratuais
e os requisitos da ABNT NBR ISO/IEC 20000-1 sejam resolvidos. Isto se aplica a todos os registros
que são criados e usados como parte do SGS e inclui, mas não se limita a, documentação, logs
e registros de bancos de dados, registros de erros conhecidos, IC, registros de incidentes e registros
de requisição de mudança.
Convém que registros definidos para comprovar evidências da conformidade com requisitos
e a efetividade da operação do SGS sejam controlados. Convém que a organização estabeleça
um procedimento documentado para definir os controles necessários para identificação,
armazenamento, proteção, recuperação, retenção e descarte dos registros. Convém que os registros
permaneçam legíveis, prontamente identificáveis e recuperáveis.
NOTA Maiores informações sobre gerenciamento de registros podem ser encontradas na ISO/IEC 15489-1.
Convém que o provedor de serviços disponibilize todos os recursos acordados no plano para
estabelecer, implementar, manter e melhorar o SGS e os serviços acordados. Os recursos incluem
pelo menos os seguintes:
a) recursos humanos, como, por exemplo, pessoas para desenhar, implementar e operar o SGS, alta
direção e pessoas envolvidas no gerenciamento do SGS e serviços;
b) recursos técnicos, como, por exemplo, capacidade de infraestrutura suficiente para atender aos
requisitos de serviço, ferramentas para suportar os processos do SGS, instalações e ambientes
de escritório e instalações para assegurar a continuidade dos serviços;
c) informação, como, por exemplo, detalhes dos requisitos dos clientes, planos e necessidades
do negócio, políticas de gerenciamento de serviços, medições e demais relatórios;
d) recursos financeiros, incluindo tanto os fundos para projetos como aqueles para manter o SGS
em operação.
Exemplar para uso exclusivo - Easy Net Comercio de Equipamentos de Informatica Ltda - ME - 06.733.460/0001-05 (Pedido 735517 Impresso: 22/04/2020)
Convém que existam procedimentos para aprovar o uso dos recursos acordados, como pessoas,
infraestrutura, ferramentas e fundos. Isso inclui:
f) ferramentas para gerenciamento de serviços que podem incluir ferramentas para monitoramento
ou medição e geração de relatórios de serviço ou suporte a processos específicos.
EXEMPLO Procedimentos para obtenção de recursos podem ser suportados por ferramentas para
modelagem de capacidade ou por informações extraídas de um BDGC. Embora as ferramentas não
sejam um requisito para a ABNT NBR ISO/IEC 20000-1, elas podem tornar os processos mais eficazes
e eficientes. As ferramentas podem auxiliar, fornecendo evidências da conformidade com os requisitos
da ABNT NBR ISO/IEC 20000-1.
4.4.2.1 Geral
Convém que o provedor de serviços compreenda os riscos decorrentes da incerteza sobre quais
papéis e, portanto, quais indivíduos têm determinados níveis e tipos de autoridade, responsabilidade
e de prestação de contas. Quando os níveis de autoridade, de prestação de contas e de responsabilidade
para cada papel forem definidos, convém que estas informações façam parte integrante do SGS.
O provedor de serviços pode achar útil adotar uma matriz de responsabilidade, como, por exemplo,
uma matriz RACI, para documentar autoridade, prestação de contas e responsabilidade. Uma vez
que essa informação venha a ser um componente do SGS, convém que ela seja incluída nas análises
críticas periódicas do SMS.
Convém que os recursos incluam a alta direção, que possui a responsabilidade geral e presta contas
pelo SGS e serviços fornecidos pelo SGS. Convém que o requisito de recursos seja definido de forma
Exemplar para uso exclusivo - Easy Net Comercio de Equipamentos de Informatica Ltda - ME - 06.733.460/0001-05 (Pedido 735517 Impresso: 22/04/2020)
1) desenho do processo;
b) um gerente do processo, responsável pela operação do processo e pela gestão dos recursos
dos processos de gerenciamento de serviços;
Outros papéis que são específicos a um determinado processo de gerenciamento de serviços estão
descritos nas Seções 5 e 9 desta parte da ABNT NBR ISO/IEC 20000.
NOTA É uma prática aceitável para um indivíduo ter mais de um papel de gerente de serviços,
particularmente em organizações menores.
Convém que a competência requerida para um papel seja baseada na análise de características
específicas e dos requisitos para aquele papel. Convém que isso inclua, mas não se limite a: instrução,
treinamento, habilidades e experiência.
Convém que a competência requerida para cada papel relevante para o cumprimento da Seção 4.4.2
da ABNT NBR ISO/IEC 20000-1:2011 seja identificada. Convém que o nível e o tipo de responsabilidade
e autoridade de um papel também sejam considerados. Isso inclui os papéis da alta direção.
Convém que o provedor de serviços também leve em consideração a carga de trabalho envolvida
em cada papel e como ela muda ao longo do tempo. Convém que a atribuição de papéis
e responsabilidades para os indivíduos leve em conta os aspectos do papel na ocasião da sua alocação.
Convém que o provedor de serviços aloque papéis a indivíduos que atendam ao critério de capacitação
para que aquele papel seja executado com sucesso.
Convém que a decisão sobre a aptidão de um indivíduo para um papel seja baseada na comparação
entre a competência real e a competência requerida para aquele papel. Onde houver disparidade
entre os requisitos acordados para a competência e as competências do indivíduo a ser considerado
para, ou já no papel, convém que o provedor de serviço assegure que a disparidade seja corrigida.
Disparidades podem ser corrigidas por meio de vários métodos como, por exemplo, proporcionando
ao indivíduo a instrução e o treinamento necessários para corrigir a disparidade. Alternativamente,
o provedor de serviços pode permitir que as habilidades, ou a experiência, que faltam possam
ser transferidas por uma pessoa que trabalha com outra e que possua as habilidades corretas
e a experiência necessária. Depois que essa ação corretiva tenha sido tomada, convém que o provedor
de serviços reavalie a competência do indivíduo ou indivíduos para checar se as ações tomadas
Exemplar para uso exclusivo - Easy Net Comercio de Equipamentos de Informatica Ltda - ME - 06.733.460/0001-05 (Pedido 735517 Impresso: 22/04/2020)
corrigiram a disparidade.
Convém que provedores de serviços alinhem os indicadores-chave de desempenho (KPI) e/ou
as áreas-chave de pessoal para realizar os objetivos do gerenciamento de serviços. Ao fazer isso,
o pessoal não só terá ciência de suas obrigações como terá um melhor entendimento de como pode
contribuir para os resultados de serviço desejados.
Convém que o provedor de serviços estabeleça e mantenha registros atualizados de competência,
incluindo instrução, treinamento, habilidades e experiência. Convém que o provedor de serviços
assegure que seu pessoal está consciente de como contribuir para a realização dos objetivos
relacionados ao gerenciamento de serviços.
Convém que haja um procedimento documentado para assegurar que os registros de pessoal são
mantidos atualizados.
NOTA BRASILEIRA A ISO revisou o ISO/IEC TR 20000-3, e o publicou como Norma (ISO/IEC 20000-3),
em 2012, desta forma a ABNT está em processo de adoção da referida Norma.
Convém que o planejamento para o SGS cubra todos os aspectos do gerenciamento e da entrega
de serviços e inclua, mas não se limite a, os aspectos relacionados a seguir:
Exemplar para uso exclusivo - Easy Net Comercio de Equipamentos de Informatica Ltda - ME - 06.733.460/0001-05 (Pedido 735517 Impresso: 22/04/2020)
b) O plano de gerenciamento de serviços. Convém que, quando possível, o plano seja subdivido
em estágios, com benefícios identificados para cada estágio.
e) Limitações conhecidas que podem impactar o SGS. Por exemplo, o pessoal do provedor de serviços
com habilidades insuficientes em implementar e gerenciar o SGS. Convém que o plano identifique
as ações apropriadas, como o fornecimento de treinamento e conscientização, contratação
de pessoal novo com as habilidades e experiências relevantes e o uso da expertise de outras
partes para orientação de pessoal.
Convém que o plano de gerenciamento de serviços inclua o acordo e a documentação dos requisitos
de serviço. Convém que as metas de serviço sejam documentadas, tanto no plano como nos acordos
entre o provedor de serviços e grupos relevantes. Convém que os acordos levem em consideração os
aspectos relacionados a seguir:
a) Cliente, como, por exemplo, ANS, e requisitos de serviços novos ou modificados. Convém que
isso seja considerado mesmo que um acordo documentado com um cliente não seja juridicamente
válido.
b) Grupos internos, como, por exemplo, acordos de nível operacional com um grupo responsável
pelas instalações físicas, grupo de desenvolvimento de sistemas, grupo de recursos humanos ou
grupo financeiro. Não é permitido que isso seja um contrato juridicamente válido porque o provedor
de serviços e os grupos internos são parte da mesma entidade legal. No entanto, os grupos
internos podem não fazer parte da mesma estrutura de gestão (ou unidade, ou departamento)
do provedor de serviços. Grupos internos podem ser um aspecto importante para definição do
escopo do SGS, tendo em vista que eles podem contribuir com uma parte significativa do serviço
global.
d) Outras normas, requisitos regulatórios ou legais, como, por exemplo, os específicos de segmentos
industriais, como médico, automotivo, telecomunicações ou conformidade com as leis para
licenciamento de software de cada país.
Convém que as autoridades e responsabilidades para os papéis no SGS sejam checadas para
garantir que não há conflitos de interesse, como, por exemplo, o mesmo papel, propondo e também
aprovando uma mudança. Convém que a definição da estrutura de autoridades, responsabilidades
e papéis em processo no plano inclua os detalhes de qual papel presta contas e é responsável
por todos os componentes do SGS.
Convém que a informação das interfaces entre processos inclua o tipo, método e frequência
de informações passadas de um processo a outro processo. Convém que o provedor de serviços
esteja ciente de que isso é uma parte importante da definição do processo e garante que o processo
e o SGS irão operar com eficiência e eficácia.
A Seção 5 da ABNT NBR ISO/IEC 20000-1:2011 inclui requisitos para interfaces entre os processos
das Seções 6 a 9 e o desenho e a transição de serviços novos ou modificados.
Requisitos para serviços novos ou modificados incluem o estágio do projeto em que os requisitos
do serviço são definidos e quando o serviço é desenhado e passa pela transição. Convém que
o provedor de serviços esteja ciente de que uma gestão efetiva do projeto é importante para gerenciar
certas interfaces. Convém que a interface entre o SGS e quaisquer projetos seja definida, acordada
e registrada no plano.
Convém que os componentes integrados do SGS, incluindo processos, políticas, objetivos e planos,
sejam medidos para que a eficiência do SGS e os serviços possam ser identificados, gerenciados
e melhorados.
Convém que o prestador de serviços esteja ciente de que a gestão global e coordenação do SGS é
particularmente importante quando se está sendo melhorado ou alterado por qualquer outra razão.
Convém que as mudanças nos processos que fazem parte do SGS só sejam realizadas depois
do impacto nos outros processos ou na capacidade de entrega de serviços pela organização.
da informação.
Convém que o provedor de serviços implemente e opere o SGS em alinhamento com o plano
de gerenciamento de serviços e como meio de alcançar os objetivos do gerenciamento de serviços.
Convém que o provedor de serviços esteja ciente dos benefícios em assegurar que as autoridades
e responsabilidades, tanto do provedor de serviços como do cliente, estão documentadas e acordadas
para as atividades que impactam ambas as partes.
Convém que o provedor de serviços esteja ciente de que a pessoa aproriada para o planejamento
e implementação inicial nem sempre é a adequada para a operação do SGS. São requeridas diferentes
habilidades para o planejamento, implementação e operação.
4.5.4.1 Geral
Convém que o provedor de serviços monitore, meça e analise criticamente os objetivos do gerenciamento
de serviços e planeje as atividades necessárias para assegurar que eles estão sendo alcançados.
Convém que a alta direção esteja ciente dos resultados das análises críticas. Se mudanças no plano
e nos objetivos do gerenciamento de serviços forem consideradas necessárias, convém que estas
mudanças sejam aprovadas de acordo com o processo de gerenciamento de mudanças.
Convém que, de acordo com a metodologia PDCA, o provedor de serviços, periodicamente, identifique,
colete, analise e reporte informações sobre os processos e serviços entregues. Convém que estas
atividades suportem o gerenciamento efetivo do SGS e dos serviços e convém que viabilizem
a capacidade de demonstrar, objetivamente, a qualidade e o valor do serviços entregues.
NOTA Consultar a ISO/IEC 15939 para demais informações sobre medição, a ABNT NBR ISO/IEC
15504 sobre avaliação de processo e avaliação de desempenho, ISO/IEC 14598 para avaliação de produto
e ISO/IEC 9126 Partes 2 e 3, para exemplos de métricas em produtos de software.
Convém que o provedor de serviços assegure que auditorias internas são executadas de acordo
com procedimentos documentados que incluem autoridades e responsabilidades para as auditorias.
Convém que os responsáveis pela realização de auditorias internas tenham o conhecimento adequado
e independente das áreas que estão sendo auditadas. Por exemplo, convém que eles não auditem
o seu próprio trabalho. Eles podem incluir um gerente de projeto, o patrocinador, o comitê diretivo,
outras partes interessadas e os auditores independentes.
Convém que haja um programa interno de auditoria identificando quando cada serviço e quais
seções da ABNT NBR ISO/IEC 20000-1 devem ser auditados. Convém que haja uma justificativa para
as decisões de planejamento, incluindo porque serviços ou seções da ABNT NBR ISO/IEC 20000-1
são incluídos ou excluídos em cada auditoria interna. Convém que fatores a serem levados em conta
incluam o grau de risco envolvido em um processo, sua frequência de operação e seu histórico.
Exemplar para uso exclusivo - Easy Net Comercio de Equipamentos de Informatica Ltda - ME - 06.733.460/0001-05 (Pedido 735517 Impresso: 22/04/2020)
Convém que as auditorias internas ocorram em intervalos planejados e não somente executadas
quando há riscos conhecidos ou outros problemas. Convém que o internvalo definido leve em conta
a taxa da mudança de:
Convém que a gerência assegure que as auditorias sejam concluídas conforme o plano, a não ser que
sejam remarcadas por razões documentadas.
Convém que as auditorias internas do SGS incluam uma avaliação do escopo do SGS e que o SGS
ainda seja efetivo para a entrega dos serviços acordados com o cliente. Convém que isto inclua
a verificação de que a política de gerenciamento de serviço ainda fornece a orientação correta
de gestão e que os objetivos são alcançados dentro dos prazos separados. Convém que a auditoria
interna analise os planos e relatórios em relação ao desempenho do SGS.
Convém que, usando um calendário compatível com a frequência das auditorias, os auditores
internos forneçam detalhes sobre as não conformidades. Convém que o provedor de serviços utilize
os resultados da auditoria interna para identificar e priorizar ações.
Convém que não conformidades sejam analisadas para determinar qualquer causa-raiz. Convém que
as ações resultantes das auditorias incluam ações preventivas em relação a quaisquer causas-raiz
identificadas. Convém que as ações tenham proprietários e prazos claros e acordados para ajudar
a garantir que elas sejam concluídas de forma efetiva e no prazo. Convém que o acompanhamento
das atividades das não conformidades identificadas incluam a verificação de ações que foram tomadas.
Convém que os resultantes das ações tomadas sejam reportados à alta direção.
Convém que o SGS seja analisado criticamente a intervalos planejados, para verificar se o SGS
continua a permitir o cumprimento de novas necessidades de negócio e requisitos de serviço. Convém
que isso seja feito pelo menos anualmente. No entanto, alguns provedores de serviços operam em
ambientes que se encontram em rápida mutação e convém que avaliem o SGS com maior frequencia.
Convém que a análise crítica inclua o escopo vigente em relação ao escopo definido do SGS
e a adequação dos planos atuais comparados às necessidades atuais do cliente do negócio.
NOTA Consultar a ABNT NBR ISO/IEC 15504, Partes 2 e 3, para requisitos e guias para avaliação
de processos.
4.5.5.1 Geral
Convém que a abordagem estrtégica para a melhoria dos serviços seja feita estabelecendo-se uma
política de melhoria contínua do SGS e dos serviços. Convém que a política inclua uma definição dos
critérios de avaliação acordados para aceitar e priorizar oportunidades de melhoria.
Convém que toda não conformidade identificada por meio das avaliações, auditorias e outros meios seja
direcionada e que medidas sejam tomadas para eliminar as causas de ambas as não conformidades
identificadas e potenciais.
Melhoria contínua é um dos conceitos centrais da ABNT NBR ISO/IEC 20000. Convém que
um procedimento documentado identificando as autoridades e responsabilidades para todas as
atividades de melhoria seja usado. Convém que este procedimento assegure que oportunidades para
melhoria sejam identificadas, avaliadas, aprovadas, gerenciadas e medidas efetivamente.
b) causas-raiz identificadas como resultados de auditorias e análises, tanto do SGS como de serviços
individuais;
d) registros de problemas;
g) utilização de recursos otimizados ou redução de risco, como, por exemplo, oportunidades para
aumento na eficiência ou melhoria na automação.
5.1.2 Conceitos
Convém que este processo forneça mecanismos para o gerenciamento do desenho e transição
de serviços novos ou modificados. O processo opera em sincronia com o processo de gerenciamento
de mudanças. Convém que IC desenvolvidos ou modificados pelo processo sejam controlados pelo
processo de gerenciamento de configuração por meio do processo de gerenciamento de mudanças.
Convém que o serviço novo ou modificado seja implantado pelo processo de liberação e implementação.
Convém que requisitos dos serviços novos ou modificados sejam identificados pelos clientes ou partes
interessadas no serviço, de forma a atender a uma necessidade de negócio ou obter uma melhoria
na forma como o serviço é entregue ao cliente. Convém que o provedor de serviço decida quando
usar este processo, seguindo as políticas de gerenciamento de mudanças onde os critérios de uso
do processo estão especificados. Cada provedor de serviço pode ter políticas distintas e uso
de diferentes critérios para determinar a quais mudanças a Seção 5 pode ser aplicada. Convém que
a remoção, transferências e introdução de serviços novos ou mudanças que apresentem um alto
potencial de causar impacto significativo sejam gerenciados pelos processos de desenho e transição
de serviços novos ou modificados. Convém que o provedor de serviços entenda os riscos associados
a cada proposta de serviço novo ou modificado. Convém que riscos levem em consideração
as circunstâncias levantadas pelo provedor de serviços e o cliente, incluindo as atividades de negócio
do cliente. Convém que ações sejam tomadas de forma a minimizar riscos associados a serviços
novos ou modificados.
Para cada provedor de serviços, os critérios usados para determinar que tipos de mudança são
suscetíveis a serem gerenciadas por meio do desenho e da transição de serviços novos ou modificados
são, provavelmente, distintos. Por exemplo, o critério pode incluir uma mudança em um serviço que
impacte mais de um número específico de usuários ou localidades. Outro exemplo pode incluir qualquer
mudança que possa colocar o provedor de serviços em risco de ser penalizado pela legislação
de proteção aos dados.
A necessidade de serviços novos ou a mudança em um serviço pode ser originada pelo cliente,
o provedor de serviços, grupos internos ou fornecedores. O propósito de um serviço novo ou modificado
pode ser o de satisfazer necessidades de negócio e requisitos de clientes ou melhorar a efetividade
de um serviço.
Convém que este processo seja aplicado àquelas mudanças que tenham potencial de causar impacto
significativo em serviços e, consequentemente, no cliente. Tais mudanças em serviços demandam
atividades adicionais providas pela aplicação da Seção 5, para reduzir o risco associado à mudança.
Uma mudança em que o impacto em serviços ou no cliente seja suficientemente baixo pode ser
gerenciada apenas por meio dos processos de controle. Convém que a maioria das mudanças
coordenadas pelos provedores de serviços se encaixe nesta última categoria.
Convém que as mudanças que estejam no escopo da Seção 5 sejam identificadas usando a política
de gerenciamento de mudanças desenvolvida como parte do processo de gerenciamento
de mudanças. Convém que a política inclua critérios para identificação de mudanças de alto risco que
tenham o potencial de causar impacto significativo nos serviços ou no cliente. Convém que a política
seja baseada nas necessidades específicas do provedor de serviços e em uma avaliação dos riscos
em seus serviços. Convém que tais políticas levem em consideração que a proposição para um serviço
novo ou modificado possa ter sido originada a partir de diversas fontes e por uma variedade de razões.
Convém que a política seja documentada e acordada pela alta direção e os donos do processo mais
diretamente envolvidos no processo de serviços novos ou modificados.
Convém que o critério na política de gerenciamento de mudanças sempre inclua tanto a remoção
de um serviço existente quanto a transferência de um serviço a ser provido por outra parte. Para cada
provedor de serviços, outros critérios podem ser provavelmente diferentes.
Exemplar para uso exclusivo - Easy Net Comercio de Equipamentos de Informatica Ltda - ME - 06.733.460/0001-05 (Pedido 735517 Impresso: 22/04/2020)
b) uma mudança que possa colocar o provedor de serviços em risco de ser penalizado pela legislação
de proteção de dados;
d) uma diferença significativa em como convém que o serviço seja provido ou entregue, por exemplo,
localização, plataforma de hardware;
Convém que o provedor de serviços leve em consideração, também, mudanças que possam ser
requeridas pelo SGS, incluindo mudanças no escopo do SGS como resultado de serviços novos
ou modificados. Por exemplo, identificação de riscos associados a metas de serviços acordadas com
clientes, mudanças em procedimentos de gerenciamento de fornecedores ou acordos documentados
com outras partes que tenham um impacto nos serviços existentes ou planejados.
Convém que quaisquer serviços novos ou modificados em que se aplica a Seção 5 sejam gerenciados
como um projeto devido ao tamanho, riscos e escopo das mudanças. Convém que o provedor
de serviços considere os potenciais impactos financeiros, organizacionais e técnicos do serviço novo
ou modificado mais o impacto potencial no SGS.
Convém que o provedor de serviços garanta uma forte coordenação entre o processo de gerenciamento
de mudanças e os papéis e autoridades do gerenciamento de projeto, se possível desde as primeiras
fases do projeto.
c) acordos de suporte com fornecedores, contratos e acordos documentados com outras partes que
possam ser afetadas pelas mudanças ou inclusões em serviço;
d) requisitos do cliente do serviço existente, incluindo resultados como os relatórios que podem
ser afetados pelas mudanças ou inclusões ao serviço;
Outra parte pode prover componentes de serviço para serviços novos ou modificados. Um serviço
novo ou modificado pode envolver a aquisição de software, infraestrutura, habilidades especializadas
ou outros componentes de serviços.
Exemplar para uso exclusivo - Easy Net Comercio de Equipamentos de Informatica Ltda - ME - 06.733.460/0001-05 (Pedido 735517 Impresso: 22/04/2020)
Quando outra parte é envolvida em um serviço novo ou modificado, convém que o provedor de serviços
execute uma revisão completa. Convém que a revisão avalie a capacidade de outra parte em cumprir
com seus compromissos, incluindo os requisitos de serviço acordados. Convém que a revisão avalie
também o risco aos serviços existentes e o ambiente de suporte.
Convém que o provedor de serviços esteja ciente da importância de avaliar riscos, questões e
esforços de mitigação no estágio inicial do processo e, então, em cada um dos estágios do processo,
do planejamento à aceitação no ambiente de produção.
Convém que os resultados das avaliações de risco sejam usados para desenvolver critérios
de aceitação durante a fase de planejamento.
a) requisitos do provedor de serviços a serem cumpridos para que o provedor de serviços aceite
os serviços novos ou modificados resultantes do projeto;
b) uma lista de verificação para passagem de serviços novos ou modificados, por exemplo,
transferência de conhecimento, documentação, capacidade, disponibilidade, continuidade
e segurança requeridos ao suporte do serviço novo ou modificado;
Convém que um serviço novo ou modificado seja rejeitado onde riscos a um serviço, SGS
ou às atividades de negócio do cliente sejam inaceitáveis ou não possam ser mitigados.
Se houver um serviço a ser removido, convém que isso seja planejado e documentado em um plano
de remoção de serviço. Convém que o plano inclua:
d) papéis e responsabilidades para todas as partes interessadas, por exemplo, clientes, fornecedores,
grupos internos;
f) marcos e entregáveis;
i) a data de quando o serviço não estará mais disponível aos usuários e a data de remoção
do serviço;
j) como as interfaces entre o serviço a ser removido e os demais serviços prestados serão tratadas
pelos outros serviços;
Convém que o provedor de serviços garanta que os detalhes marcantes de incidentes, problemas,
solicitações de usuários e solicitações de mudanças tenham sido negociados com os clientes. Convém
que este acordo com o cliente inclua todas as ações resultantes.
Convém que quaisquer modificações dos documentos exigidos como resultado da remoção de
serviço também sejam identificadas e essas modificações realizadas pelo processo de gerenciamento
de mudanças.
Quando da transferência total ou parcial de um serviço à outra parte, convém que o objetivo seja
a continuidade dos serviços ao usuário sem interrupção desnecessária. Convém que o provedor
de serviços trabalhe com o cliente e a outra parte para identificar previamente quaisquer riscos que
a transferência ofereça a continuidade ou qualidade do serviço. Convém que o provedor de serviços
emita uma lista de atividades com os passos requeridos, seguida por uma avaliação documentada
do resultado.
Convém que o provedor de serviços seja envolvido desde o início no projeto que irá entregar
serviços novos ou modificados. O envolvimento desde o início pode evitar decisões de desenho que
resultem em serviços que apresentem funções e funcionalidades que não sejam apropriadas quando
entrarem em operação. Convém que o envolvimento, desde o início, do provedor de serviços garanta
que os requisitos acordados com o cliente incluam critérios de qualidade para os serviços novos
ou modificados, incluindo, pelo menos:
c) controles de segurança;
e) critérios de custo-benefício para mudanças ou para uma nova versão a ser liberada e implantada;
f) facilidade de uso.
Convém que, durante a fase de desenho, o provedor de serviços considere os resultados da avaliação
de risco inicial, feita durante a fase de planejamento. Convém que o desenho seja influenciado pelos
riscos identificados naquela análise. Convém que, durante a fase de desenho, o provedor de serviços
considere quais dos riscos identificados serão aceitáveis quando o serviço novo ou modificado
for transferido para o ambiente de produção. Convém que isto leve em consideração o impacto potencial
de um risco em particular, incluindo:
Quando uma não conformidade potencial na qualidade acordada e nos requisitos funcionais do serviço
é identificada, convém que o provedor de serviços mitigue o risco. Por exemplo, pela modificação
no desenho ou garantindo que os riscos são compreendidos e aceitos por todas as partes interessadas.
Exemplo 1 Corrija agora: um atraso na transição para o ambiente operacional para permitir correções
nas deficiências.
Exemplo 2: Corrija depois: aceitação com ressalvas de forma que as correções das deficiências sejam
executadas posteriormente em prazo acordado.
Exemplo 3: Não corrija: aceitação em conjunto com mudanças em outros serviços para acomodar
as deficiências do serviço novo ou modificado.
Exemplo 4: Não é possível ser corrigido: aceitação, mediante acordo, de que as deficiências não precisam
ser corrigidas ou não é possível que sejam corrigidas.
NOTA Consultar a ABNT NBR ISO 31000 para mais informações sobre gerenciamento de risco.
Convém que o desenho de um serviço novo ou modificado também seja planejado, levando
em consideração o seguinte:
Exemplar para uso exclusivo - Easy Net Comercio de Equipamentos de Informatica Ltda - ME - 06.733.460/0001-05 (Pedido 735517 Impresso: 22/04/2020)
a) foco no cumprimento das necessidades de negócio e requisitos do cliente acordados, que convém
que estejam documentados como parte dos requisitos constantes no escopo do projeto;
b) convém que seja vinculado ao processo de gerenciamento de mudanças para garantir que
os planos sejam comunicados e aprovados pelas partes interessadas e que quaisquer impactos
em IC sejam compreendidos e aceitos;
d) garantir que os prazos para o projeto sejam levados em consideração pela programação
de mudanças;
g) garantir que o desenho de serviço faça o melhor uso da organização e das tecnologias existentes
e cause a mínima interrupção nas disposições comerciais existentes;
h) ser executado de forma que o desenho habilite os níveis de serviços acordados para o serviço
novo ou modificado, de forma que possa ser gerenciado pela organização do provedor de serviços;
i) analisar a adequação do serviço novo ou modificado aos processos existentes em uso pela
organização do provedor de serviços para o gerenciamento, medição e relato de níveis de serviço.
Convém que o plano do provedor de serviços para um serviço novo ou modificado inclua
as dependências, tempos e limitações de recursos que possam afetar alguma das atividades
requeridas. Quando o provedor de serviços depende de atividades a serem executadas por partes
externas, convém que o plano observe estas dependências. Atividades que possam ser executadas
como dependentes incluem testes e validação. Convém que os planos também forneçam contingências
nos casos em que os prazos não são cumpridos.
Convém que o provedor de serviços garanta que os recursos humanos, técnicos, de informação,
financeiros e as competências de gerenciamento de serviços requeridas para conduzir todas
as atividades previstas estejam identificados e possam ser fornecidos. Quando estes recursos
e competências não existirem na organização do provedor de serviços, convém que se entenda quais
passos são necessários para provê-los, incluindo os tempos de processamento para sua entrega.
Convém que o escopo do planejamento inclua o desenho inicial e as atividades de desenvolvimento
e transição para entrega do serviço novo ou modificado.
Convém que o desenho do serviço seja acordado entre todas as partes afetadas ou interessadas antes
do início do desenvolvimento. Convém que tais partes incluam aquelas responsáveis pelo provimento
dos serviços existentes que possam ser impactados, e aquelas responsáveis por prover quaisquer
dos recursos requeridos.
Durante o andamento do projeto, se quaisquer mudanças forem acordadas, convém que o desenho
seja atualizado e aprovado. Anteriormente à entrada em operação, convém que o serviço seja testado
em relação a cada requisito da especificação, e os resultados registrados.
e) a programação, identificando:
3) dependências associadas;
4) metas do cronograma;
k) métodos de controle para software e hardware usados para apoiar o desenvolvimento do serviço;
Convém que o planejamento seja revisado periodicamente e quaisquer planos alterados, se for o caso.
Convém que a transição de um serviço novo ou modificado seja coordenada com o processo
de gerenciamento de mudanças, o processo de gerenciamento de liberações e implementação
e o processo de gerenciamento de configuração. Convém que, adotando esta abordagem, assegure-se
que o controle de mudanças se aplica à transição dos serviços novos ou modificados.
Convém que a transição de serviços inclua a construção, teste e aceitação de serviços novos
ou modificados, e que, em seguida, os serviços novos ou modificados operacionais sejam feitos
por meio do processo de liberação e implementação.
Convém que a transição seja revisada com o cliente e as partes interessadas para verificar se está
pronta para a operação. Convém que a decisão resultante seja registrada, em conjunto com a aceitação
do cliente para os serviços novos ou modificados para a operação em produção. Convém que
a transição continue até que toda e qualquer atividade remanescente faça parte da operação normal.
Convém que, seguindo a finalização da transição, o provedor de serviços reporte às partes interessadas
os resultados atingidos pelos serviços novos ou modificados frente aos resultados planejados.
Convém que os critérios de aceitação sejam revistos pelo provedor de serviços e pelas outras
partes interessadas. Onde houver um critério de aceitação importante e que não foi cumprido antes
da transição do serviço, convém que seja decidido se a ausência deste critério representa um risco
significativo para o serviço. Onde o risco for significativo, convém que a transição seja postergada.
Entretanto, onde houver mitigação do risco ou o risco não seja significativo, convém que seja decidida
a continuação da transição. Nesta instância, convém que a ação resultante e seus proprietários sejam
registrados na declaração do critério e convém que sejam dados passos para assegurar que estas
ações sejam cumpridas.
Convém que o provedor de serviços registre a aceitação pelo cliente e pela parte interessada
do serviço novo ou modificado frente ao critério de aceitação combinado.
e) um relatório de avaliação das outras partes que contribuem para os serviços novos ou modificados;
É crítico que o processo tenha acesso à política de serviços novos ou modificados no escopo
da Seção 5, desenvolvida e mantida como parte do processo de gerenciamento de mudanças.
b) um grupo que possa avaliar o impacto da proposta para os serviços novos ou modificados
no sistema de gerenciamento de serviços sob múltiplas perspectivas, incluindo políticas, objetivos
e processos;
c) um grupo, podendo ser o mesmo do item anterior, que possa ser envolvido no planejamento dos
requisitos para todos os serviços novos ou modificados e a aceitação da entrega dos serviços
novos ou modificados;
Convém que o processo de GNS assegure que o serviço acordado seja fornecido e que as metas
de serviço sejam atendidas. Convém que metas específicas e mensuráveis sejam desenvolvidas para
todos os serviços. O processo de GNS garante que os serviços acordados e as metas de serviço
sejam documentados de forma que possam ser facilmente compreendidos pelo cliente.
6.1.2 Conceitos
Convém que o processo de GNS defina, acorde, documente, monitore, reporte e analise criticamente
os serviços entregues. A fim de garantir que a entrega dos serviços seja alcançável, gerenciada
e alinhada com os requisitos do cliente e as necessidades do negócio, o processo de GNS opera
em estreita colaboração com o processo (GRN) – “Gerenciamento de relacionamento com o negócio”
Exemplar para uso exclusivo - Easy Net Comercio de Equipamentos de Informatica Ltda - ME - 06.733.460/0001-05 (Pedido 735517 Impresso: 22/04/2020)
Convém que o processo de GNS permita a integração entre o processo de gestão de fornecedores
entregando serviços para o provedor de serviços, e o processo GRN.
Convém que o processo de gestão de fornecedores garanta que as metas de serviço acordadas
com os fornecedores estejam alinhadas com o processo GNS, bem como com outras informações
de gerenciamento, para garantir que as revisões de serviço possam ser realizadas.
Convém que o processo de GNS forneça ao processo de GRN as metas de serviços acordadas para
atender às necessidades dos clientes, bem como outras informações gerenciais necessárias para
garantir que as revisões de serviço ao cliente possam ser realizadas.
Convém que o processo GNS negocie, acorde e documente requisitos para serviços novos
ou modificados por meio de documentos de requisitos de nível de serviços, e convém que,
então, gerencie-os e revise-os por meio do ciclo de vida do serviço, criando acordos de nível
de serviços (ANS) assinados para os serviços em operação.
NOTA Exemplos de interfaces entre o processo de GNS e outros processos no SGS estão descritos
no Anexo A desta parte da ABNT NBR ISO/IEC 20000.
ANS podem precisar ser apoiados por acordos com fornecedores externos à organização do provedor
de serviços ou com grupos internos. Estes acordos de apoio com fornecedores podem ser denominados
contratos de apoio.
Acordos de apoio com grupos internos podem ser conhecidos como acordos de nível operacional.
Estes não podem ser vinculados legalmente entre ambas as partes, mas podem ser tratados como
se fossem. Convém que seja considerada a combinação das restrições de todos os acordos de apoio
a um ANS antes que o ANS seja finalizado.
Convém que o provedor de serviços defina todos os serviços em um catálogo, usando termos que
estejam alinhados com a visão do cliente dos serviços e seja compreensível por aqueles sem uma
compreensão técnica detalhada. Convém que o catálogo de serviços detalhe e apresente todas
as definições do serviço. Convém que o escopo de cada serviço definido seja relevante para
as atividades de negócio do cliente. Convém que o catálogo contenha informações comuns a todos
os serviços, a fim de simplificar os ANS, conforme descrito na Seção 6.1.3.4 desta parte
da ABNT NBR ISO/IEC 20000. Convém que o catálogo do serviço inclua uma variedade
de informações, como:
b) metas do serviço, por exemplo, tempo para atender a uma requisição de serviço, tempo para criar
um serviço para um novo usuário, tempo para restabelecer o serviço após uma falha crítica;
c) pontos de contato;
e) acordos de segurança;
f) serviços atuais;
g) dependência entre o serviço e os componentes dos serviços. Por exemplo, o serviço de suporte
a um usuário de laptop inclui suporte a aplicações, suporte de acesso à internet e suporte
a hardware, cada um deles pode ser provido por diferentes fornecedores ou grupos internos.
Convém que o provedor de serviços assegure que o catálogo de serviços é desenvolvido de modo que
as informações sejam fáceis de serem mantidas. O agrupamento lógico e eficiente das informações
é particularmente importante para a informação que é sujeita à mudança relativamente rápida. Isso
minimiza a sobrecarga do processo de gerenciamento de mudanças conforme descrito na Seção
6.1.3.4 desta parte da ABNT NBR ISO/IEC 20000.
Convém que o catálogo de serviços também mostre as dependências entre os serviços de apoio.
Por exemplo, quando um serviço de negócio é dependente de uma série de serviços de apoio, como
e-mail, segurança ou serviços de rede. Outros exemplos incluem um serviço que é dependente
de componentes de serviço que são providenciados por fornecedores ou grupos internos fora
do controle direto do provedor do serviço.
Convém que o cliente e o provedor de serviços concordem sobre os termos e metas para o serviço
a ser entregue, documentando estes termos em um ANS (Acordo de Nível de Serviços). O ANS
é um documento que descreve o serviço e suas metas. Um ANS também especifica as responsabilidades
do provedor de serviços e do cliente. Um ANS simples pode cobrir múltiplos serviços ou múltiplos
clientes. Convém que ANS cubram todos os componentes requeridos para entregar o serviço.
as metas, frente aos quais o serviço seja mensurado, sejam definidas na perspectiva do cliente.
Convém que o provedor de serviços esteja ciente de que muitas metas em um ANS podem criar
confusão e levar a gastos excessivos sem alcançar os benefícios esperados. Convém que os ANS
incluam apenas o subconjunto apropriado de metas, focando os aspectos mais importantes do serviço
para o negócio e para o cliente.
e) horários dos serviços, por exemplo, 09:00 h até 17:00 h, data de exceções, por exemplo, fim
de semana, feriados públicos, períodos críticos de negócio e coberturas fora do horário comercial;
f) interrupções programadas e acordadas nos serviços, incluindo pré-aviso e números por período;
g) responsabilidades dos clientes, por exemplo, uso correto de sistemas, aderência às políticas
de segurança da informação;
l) metas do serviço;
m) limites superiores e inferiores de carga de trabalho, por exemplo, a capacidade do serviço para
suportar o número de usuários, o volume de trabalho, rendimento do sistema;
o) ações a serem tomadas quando do evento de uma interrupção do serviço, incluindo incidentes
e desastres, são normalmente referenciadas em um ANS;
p) glossário de termos;
Informações que mudam frequentemente ou informações comuns a muitos ANS podem ser fornecidas
via referência no ANS para documentos como número de telefone, relação de e-mails e diagramas
da estrutura organizacional. Isto simplifica o gerenciamento das mudanças dos ANS sem impactar
a qualidade do processo de GNS. Convém que um glossário de termos, normalmente guardados
em um único lugar, seja comum a todos os documentos, incluindo o catálogo do serviço. Isto somente
é viável se os documentos referenciados estão também sob o controle do gerenciamento de mudanças.
Exemplar para uso exclusivo - Easy Net Comercio de Equipamentos de Informatica Ltda - ME - 06.733.460/0001-05 (Pedido 735517 Impresso: 22/04/2020)
Convém que ambos os ANS e cada um dos serviços que o ANS descreve estejam sujeitos ao processo
de gerenciamento de mudanças.
Convém que o provedor de serviços tenha um procedimento para tornar o catálogo de serviços
disponível para aqueles que necessitam dele para desempenhar suas funções de forma eficaz.
Convém que o procedimento também garanta que o catálogo seja mantido atualizado e de fácil
manutenção, sem a necessidade de conhecimentos especializados fora do escopo do pessoal que
usa o catálogo. Convém que verificações regulares sejam efetuadas na veracidade das informações
contidas no catálogo.
Mudanças importantes nos negócios, como, por exemplo, devido ao crescimento, reorganizações
ou fusões empresariais, ou mudanças nos requisitos dos clientes, podem requerer que os níveis
de serviços sejam ajustados, refinados, ou mesmo temporariamente suspensos.
Convém que mudanças no catálogo de serviços ou nos ANS sejam iniciadas e gerenciadas por meio
do processo de gerenciamento de mudanças, para assegurar que mudanças sejam implantadas sem
o gerenciamento de seu impacto.
Convém que o processo de GNS gerencie e coordene os contribuintes dos níveis de serviços para
identificar:
d) análise crítica do desempenho do serviço com o cliente para confirmar o desempenho relatado
e a satisfação do cliente;
g) análise crítica para a adequação e o alinhamento dos níveis de serviço e o catálogo de serviços
com os requisitos do negócio em consonância com o plano de atividades, no mínimo anualmente.
Convém que o processo incentive tanto o provedor de serviços como o cliente a desenvolver em
uma atitude proativa para a melhoria dos serviços e garanta que eles tenham uma responsabilidade
conjunta pelo serviço.
do serviço dentro do ANS sejam medidas objetivas. Convém que o processo de GNS se alinhe com
o relacionamento do negócio e o processo de gerenciamento de fornecedores, visando gerenciar
a satisfação do cliente e atingir os objetivos do serviço.
Convém que o catálogo de serviço e o ANS sejam revistos com o cliente de acordo com as atividades
de planejamento acordadas.
Convém que o provedor de serviços reconheça que o cliente pode agir tanto como fornecedor
quanto como cliente. Por exemplo, um grupo de especialistas na organização do cliente pode prover
um componente do serviço, mas também pode receber um serviço do provedor de serviços. Se este
for o caso, convém que o provedor de serviços utilize um processo de GNS para gerenciar o cliente
agindo como um provedor de serviços.
Similarmente, convém que um grupo interno que não está incluso no SGS seja gerenciado como
um provedor de serviços usando os processos de GNS.
Convém que documentos a serem produzidos e utilizados pelos clientes, provedores de serviços
e partes interessadas incluam:
a) catálogo de serviços;
Convém que o processo de relato de serviço garanta a produção de relatos acordados, em tempo
hábil, confiáveis e precisos, para facilitar a tomada de decisão informada e a comunicação efetiva.
6.2.2 Conceitos
Convém que os relatos de serviços sejam apropriados para a necessidade da audiência e convém
que sejam de precisão suficiente para serem usados como uma ferramenta de suporte à decisão.
Convém que o idioma e a apresentação auxiliem a compreensão dos relatos, de modo que sejam
fáceis de assimilar, por exempo, o uso de gráficos.
Convém que os requisitos para relatos de serviço sejam acordados e registrados para os clientes
e para a gestão interna. Convém que vários tipos de relatos sejam produzidos. Isso inclui relatos
reativos e proaativos. Relatos reativos mostram o que aconteceu depois de acontecer. Relatos
proativos dão um aviso sobre eventos significativos, assim habilitam ações preventivas a serem
tomadas antecipadamente, como, por exemplo, um relato que identifica a necessidade de uma
grande redundância para um serviço crítico do negócio, para prevenir que clientes sejam impactados
pela ocorrência de incidentes. Outros tipos de relatos incluem agendas e relatos de previsão. Esses
mostram as atividades planejadas.
Convém que o provedor de serviços produza relatos para os clientes e para a gestão, incluindo
no mínimo:
a) desempenho contra metas de serviços, por exemplo, exceções ou quase exceções contra metas,
relatos de interrupção e realizações;
c) não conformidades com a ABNT NBR ISO/IEC 20000-1 identificadas durante as auditorias
internas;
d) relatos de desempenho de ações corretivas e preventivas, lições aprendidas logo após eventos,
críticos, por exemplo, incidentes críticos, desenho, transição e liberação de serviços novos
ou modificados e interrupções da continuidade de serviço ou testes e atividades de melhoria;
Exemplar para uso exclusivo - Easy Net Comercio de Equipamentos de Informatica Ltda - ME - 06.733.460/0001-05 (Pedido 735517 Impresso: 22/04/2020)
f) rastreabilidade da resolução até a satisfação do cliente para ações corretivas ou preventivas para
resolver reclamações, feedbacks negativos de medições de satisfação e suas causas-raiz;
g) previsões e planos, por exemplo, projeções financeiras, planos de carga de trabalho, agenda
de mudanças planejadas.
Convém que decisões relacionadas ao serviço, incluindo aquelas feitas pela alta direção e as ações
resultantes de cada um, sejam baseadas nas constatações contidas nos relatos de serviço. Convém
que o SGS inclua um procedimento que rotineiramente verifique que as decisões estão sendo
validadas pelas informações do relato de serviço. Por exemplo, priorizar relatos de disponibilidade
ou desempenho usados como base em investimentos no aumento da capacidade. Nem todas
as decisões relacionadas ao serviço conseguem ser baseadas nos relatos de serviço. Exemplos
de exceções incluem mudanças legais e regulatórias, estudos de mercados externos, mudanças
na estrutura do negócio ou avanços tecnológicos.
Convém que o provedor de serviços garanta que os relatos e resultados de cada processo estejam
sendo comunicados para todas as partes interessadas, incluindo a alta direção, donos de processo,
fornecedores e fornecedores-líderes, quando relevante.
Convém que, em adição ao dono do processo, o gerente do processo e o pessoal que executa
os procedimentos descritos na Seção 4.4.2.1, autoridades e responsabilidades requeridas pelo
processo de relato de serviço sejam incluídos:
a) pessoal responsável pela produção e distribuição em tempo hábil e preciso dos relatos de serviço
para os recipientes relevantes;
b) pessoal responsável pela definição do conteúdo de cada relato, incluindo seu formato, conteúdo,
estilo e frequência;
6.3.2 Conceitos
Convém que o provedor de serviços desenvolva planos efetivos que garantam que os requisitos
acordados possam ser alcançados. Esses requisitos incluem requisitos para disponibilidade
e continuidade, ambos em circunstâncias normais e também após grandes perdas de serviço. Convém
que os planos incluam soluções para melhorias ou reduções nos níveis de serviço, picos esperados
de atividades e um entendimento dos requisitos para serviços novos ou modificados para resolver
futuras necessidades do negócio relativas à continuidade e disponibilidade do serviço.
Convém garantir que os níveis de serviço sejam mantidos após uma grande interrupção do serviço
e que levem em consideração os elementos da operação ao vivo do serviço que estão sob o controle
de outras partes, como o cliente ou fornecedores.
Convém que a continuidade de serviço e requisitos de disponibilidade para o serviço normal, e após
uma grande interrupção do serviço, incluam pelo menos o seguinte:
a) direitos de acesso, por exemplo, quem pode ter direitos de acesso em condições normais e quem
pode ter a mais alta prioridade de acesso a um serviço limitado após uma grande interrupção
do serviço;
b) tempos de resposta, por exemplo, tempos de resposta em circunstâncias normais e também após
uma grande interrupção do serviço. Convém que seja definido e acordado com o cliente, qual
é o tempo de resposta aceitável para diferentes serviços e quais ações convém serem tomadas
para assegurar que os tempos de resposta acordados sejam alcançados;
c) disponibilidade de serviços de ponta a ponta. Por exemplo, para o serviço normal, qual
é a disponibilidade necessária de componentes necessários para fornecer um serviço completo.
Convém que, após uma grande interrupção do serviço, seja dada prioridade ao retorno de cada
serviço específico ao desempenho normal.
Pode ser útil ao provedor de serviços desenvolver e manter uma política que define a abordagem
geral para cumprimento das obrigações de continuidade de serviço. Convém que o escopo da política
de continuidade do serviço seja coerente com o escopo do SGS.
Convém que a política defina um método consistente para determinar a resiliência necessária versus
a real, para cada serviço, e priorizar efetivamente as oportunidades de melhoria em alinhamento
com a importância do negócio de serviços.
Convém que a política aborde os papéis, atividades e responsabilidades exigidas para atender
às exigências de serviço acordadas.
Convém que a política leve em conta as horas de serviço acordadas e os períodos críticos de negócio.
Convém que o provedor de serviços identifique os requisitos separadamente para cada grupo
de clientes e serviços, incluindo:
Convém que as horas de serviço acordadas e os períodos críticos de negócio sejam definidos em
relação aos ciclos de negócio específicos e sua criticidade associada. Por exemplo, final do mês, final
de ano, períodos de férias.
Se o provedor de serviços se baseia em uma política de continuidade de serviço para dirigir o processo,
convém que a política de continuidade do serviço seja revista em intervalos acordados, pelo menos
anualmente. Convém que quaisquer alterações à política seja formalmente acordada entre o provedor
de serviços e o cliente.
Se uma política de continuidade de serviço está aplicada, o provedor de serviços pode alinhar
a política com uma estratégia de continuidade de serviço. Convém que esta seja apropriada à criticidade
dos serviços com base na análise de impacto nos negócios dos serviços. Convém que o provedor
de serviços também colete informação relevante de outros processos de gerenciamento de serviços
como entrada para estratégia de continuidade de serviço.
Uma vez que a estratégia é definida, convém que uma análise de risco seja realizada para identificar
riscos de continuidade que conflitem com a estratégia e, onde o nível de risco é inaceitável, definir
controles para gerenciá-los ou instigar ações mitigadoras.
Convém que o provedor de serviços mantenha capacidade de serviço suficiente em conjunto com
planos viáveis destinados a assegurar que os requisitos acordados podem ser cumpridos.
Exemplar para uso exclusivo - Easy Net Comercio de Equipamentos de Informatica Ltda - ME - 06.733.460/0001-05 (Pedido 735517 Impresso: 22/04/2020)
Convém que o plano de continuidade de serviço seja com base nos requisitos definidos na política
de continuidade de serviço, na análise de impacto do negócio e avaliações de risco.
Convém que os planos de continuidade de serviço e documentos relacionados, por exemplo, contratos,
sejam avaliados antes que sistemas ou mudanças sejam aprovadas e antes que requisitos novos
ou modificados do cliente sejam aprovados. Convém também que os planos de continuidade de serviço
e documentos relacionados sejam revisados e testados pelo menos anualmente.
Convém que um plano de disponibilidade seja desenvolvido e publicado. Convém que o plano
de disponibilidade identifique as necessidades de negócio e requisitos do cliente, requisitos
de projeto, especificações técnicas e atividades de planejamento de projetos necessários para
atender aos requisitos de disponibilidade de negócios, atuais e futuros. Convém que as previsões
sobre a disponibilidade futura, documentada no plano de disponibilidade, incluam propostas de ações
preventivas para minimizar a probabilidade de não disponibilidade não planejada. Convém que o plano
Exemplar para uso exclusivo - Easy Net Comercio de Equipamentos de Informatica Ltda - ME - 06.733.460/0001-05 (Pedido 735517 Impresso: 22/04/2020)
de disponibilidade seja analisado e revisto regularmente, pelo menos anualmente e após qualquer
alteração importante.
Convém que todas as não disponibilidades dos serviços e componentes de serviço sejam registradas,
investigadas e ações apropriadas sejam tomadas para reduzir o impacto e/ou a probabilidade
de qualquer acontecimento futuro.
Convém que os testes de continuidade do serviço sejam realizados após cada mudança de negócios
e mudança no ambiente do serviço. Convém que a frequência seja com base nas circunstâncias
do provedor de serviços. Convém que a frequência seja suficiente para obter a certeza de que
os planos de continuidade de serviço são eficazes, e que permaneçam assim por meio da evolução
das mudanças dos sistemas, processos, pessoal e necessidades comerciais. Convém que o escopo
dos testes de continuidade do serviço inclua o retorno da operação do serviço à normalidade,
após uma interrupção.
Convém que seja realizada uma revisão após um teste de continuidade do serviço, para avaliar
a realização das metas e objetivos do teste e para identificar eventuais áreas de fraqueza
ou oportunidades de melhoria.
c) fazer comparações com os requisitos definidos em ANS para identificar qualquer não conformidade
com as metas de disponibilidade acordadas;
Convém que um cronograma de testes regulares de disponibilidade confirme que a disponibilidade das
soluções são realizáveis e adequadamente resilientes. Convém que mecanismos de confiabilidade,
disponibilidade e resiliência sejam revisados e testados após qualquer grande mudança.
Convém que, sempre que possível, potenciais problemas sejam previstos e medidas preventivas sejam
tomadas. Convém que a continuidade de serviço e gerenciamento de disponibilidade se esforcem
Exemplar para uso exclusivo - Easy Net Comercio de Equipamentos de Informatica Ltda - ME - 06.733.460/0001-05 (Pedido 735517 Impresso: 22/04/2020)
para atingir e melhorar os níveis definidos de confiabilidade para todos os componentes do serviço,
com ações preventivas e corretivas identificadas, registradas e implementadas.
Convém que a avaliação dos riscos identifique funções vitais do negócio, requisitos de disponibilidade
e os riscos acordados com o negócio.
Convém que a gestão de riscos produza soluções para permitir a entrega de níveis necessários
de disponibilidade e para mitigar os riscos identificados, pela implementação de contramedidas
de custos justificáveis, sempre que possível. Não é aconselhável exceder aos requisitos por meio
de grandes investimentos financeiros que custam muito mais do que os benefícios de melhoria
na disponibilidade.
Convém que a avaliação de solicitações de mudanças para todos os serviços novos ou modificados
levem em consideração os impactos potenciais de riscos para metas acordadas de disponibilidade.
Convém que mecanismos de confiabilidade, disponibilidade e resistência sejam regularmente revistos
e testados após qualquer alteração importante.
Convém que a revisão seja realizada após a invocação do plano de continuidade de serviço para:
Convém que os documentos e registros que sejam produzidos e retidos para continuidade de serviço
e processo de gerenciamento de disponibilidade incluam, mas não se limitem a:
Convém que o pessoal compreenda o seu papel na invocação e/ou execução dos planos e seja capaz
de rapidamente acessar documentos de continuidade de serviço.
Convém que planos de continuidade de serviço e documentos relacionados com, por exemplo,
contratos, sejam avaliados para o potencial impacto como parte do processo de gestão da mudança,
do processo GNS e do processo de gestão de fornecedores. Por exemplo, antes de aceitar serviços
novos ou modificados ou acordar requisitos de serviço.
Convém que, além do dono do processo, do gestor do processo e do pessoal que executa os
procedimentos do processo, como descrito na Seção 4.4.2.1, as autoridades e responsabilidades
necessárias relativas à continuidade de serviço e do processo de gestão de disponibilidade incluam:
f) previsões, orçamentos e custos são revistos regularmente para garantir que o processo
e procedimentos permaneçam eficazes.
6.4.2 Conceitos
A responsabilidade por muitas das decisões financeiras pode estar fora do alcance do SGS.
Os requisitos quanto ao nível de detalhe das informações financeiras a prestar, em que forma e
em quais frequências podem ser ditadas por entidades externas ao provedor de serviços. Convém
que requisitos específicos de outros reguladores ou organizações sejam também levados em conta
no que diz respeito a como eles vão afetar algumas das políticas e procedimentos definidos. Convém
que todas as práticas contábeis utilizadas estejam alinhadas com as práticas contábeis mais amplas
da organização do provedor de serviços.
Convém que o processo de orçamento e contabilização de serviços seja feito pelo provedor de serviços,
independentemente de outros aspectos da gestão financeira que sejam realizadas por outras partes
6.4.3.1 Política
Exemplar para uso exclusivo - Easy Net Comercio de Equipamentos de Informatica Ltda - ME - 06.733.460/0001-05 (Pedido 735517 Impresso: 22/04/2020)
Convém que o provedor de serviços tenha uma política documentada e procedimentos para a gestão
financeira dos serviços. Convém que a política defina os objetivos a serem cumpridos pelo processo
de orçamento e contabilização de serviços. Convém também que a política defina os detalhes
necessários para assegurar que os objetivos sejam cumpridos. Para fazer isso, convém que a política
inclua os tipos de custo utilizados no orçamento para alocação de custos e uma explicação de como
os custos indiretos são distribuídos.
Convém que os critérios sejam definidos para permitir uma análise do orçamento e contabilização
para cada serviço. Quando definido, esses critérios podem ser aplicados para os itens do orçamento
e lançamentos contábeis para garantir que algum acompanhamento periódico e visibilidade estejam
disponíveis sobre os custos dos serviços. Isto pode ser usado para controlar os custos de um serviço
e permitir a comparação com os custos de aquisição do mesmo serviço em outro mercado.
Convém que o provedor de serviços selecione as categorias para as entradas de custo no orçamento
que são úteis para o gerenciamento de serviços. Por exemplo, convém que provedores de serviços
definam modelos de custos alinhados com os serviços e seus componentes, como definido
no catálogo de serviços, Seção 6.1. Convém que um tipo de custo seja atribuído a cada custo que faz
parte de um serviço. Modelos de custos são úteis porque permitem ao provedor de serviços prever,
com mais precisão, o custo/benefício de diferentes níveis de qualidade do serviço, ou de opções
de serviços diferentes. Convém que modelos de custos sejam capazes de demonstrar o custo total
da prestação de cada serviço.
b) recursos compartilhados, como uma central de serviço, também conhecidas como suporte de
nível 1;
Ao identificar os tipos de custos adequados, convém que exista um equilíbrio entre os benefícios
da informação contábil detalhada derivada de tipos de custos e os desafios de coleta e a gestão
dos grandes volumes de informação necessários. Convém que os tipos de custos sejam baseados
em categorias que podem ser medidas facilmente e de forma confiável. Os exemplos incluem
os custos de hardware, custos de manutenção de software e custos de pessoal.
O rateio das despesas gerais pode ser baseado em uma variedade de mecanismos, como uma taxa
fixa de custo, uma porcentagem fixa, ou com base no tamanho acordado de um elemento variável
de serviços prestados.
Exemplar para uso exclusivo - Easy Net Comercio de Equipamentos de Informatica Ltda - ME - 06.733.460/0001-05 (Pedido 735517 Impresso: 22/04/2020)
Convém que o provedor de serviços utilize métodos de rateio das despesas gerais e alocação
de custos diretos que são apropriados para a sua organização, equilibrando o custo do gerenciamento
do rateio com o benefício de ser capaz de repartir os custos em detalhes. Outros fatores que podem
ser considerados incluem:
b) granularidade da organização do cliente, por exemplo, uma unidade de negócios como uma
unidade, subdivididas em departamentos, ou por locais;
6.4.3.4 Orçamento
Convém que a previsão de custos e receitas para o orçamento leve em conta as alterações previstas
para os serviços durante o período orçamental. Quando aplicável, convém que variações sazonais
e mudanças de curto prazo planejadas para os custos de serviços e encargos sejam entendidas
e incluídas dentro dos orçamentos previstos. Convém que o orçamento e controle de custos apoiem
o planejamento para operar e melhorar os serviços para que os níveis de serviço possam ser mantidos
durante todo o ano. Convém que haja previsão de despesas suficiente para cobrir os recursos
necessários para suportar os níveis de serviço acordados para o período acordado. Convém que
um procedimento para identificar e gerenciar as variações do real frente a despesas orçadas também
seja estabelecido.
6.4.3.5 Contabilidade
Convém que as atividades contábeis sejam usadas para controlar os custos a um nível acordado
de detalhe ao longo de um período de tempo acordado. Convém que as decisões sobre a prestação
de serviços sejam baseadas em comparações de custo-efetividade. Convém que os modelos
de custos sejam capazes de demonstrar os custos totais de prestação de serviços.
6.4.3.6 Cobrança
A cobrança não está incluída na ABNT NBR ISO/IEC 20000-1, mas recomenda-se que, quando
a cobrança estiver em utilização, o mecanismo de cobrança esteja definido e compreendido por todas
as partes.
Exemplar para uso exclusivo - Easy Net Comercio de Equipamentos de Informatica Ltda - ME - 06.733.460/0001-05 (Pedido 735517 Impresso: 22/04/2020)
Documentos e registros a serem produzidos e utilizados pelo cliente, provedor de serviços e as partes
interessadas incluem:
b) orçamentos históricos, projeto de orçamento para o próximo ano e orçamento real para o ano
em curso;
e) relatórios financeiros que comprovem despesas e receitas para cada período de tempo
no exercício orçamental, com todas as variações;
h) os modelos de custos que mostram como os elementos de custo são utilizados para prestação
de serviços e criação de valor;
Convém que, além do dono do processo, gerente de processo e pessoal que executa os procedimentos
do processo, conforme descrito na Seção 4.4.2.1, autoridades e responsabilidades exigidas dentro
do orçamento e contabilização incluam o seguinte:
Convém que o processo de gerenciamento da capacidade assegure que capacidade suficiente seja
fornecida para atender aos requisitos atuais acordados de capacidade e desempenho. Convém que
o provedor de serviços crie e implemente um plano de capacidade que atenda aos requisitos futuros
de capacidade e desempenho acordados.
6.5.2 Conceitos
Convém que o processo de gerenciamento da capacidade inclua tanto atividades reativas como
Exemplar para uso exclusivo - Easy Net Comercio de Equipamentos de Informatica Ltda - ME - 06.733.460/0001-05 (Pedido 735517 Impresso: 22/04/2020)
proativas. Convém que as atividades reativas tenham enfoque no monitoramento constante, ajustes,
análises e melhoria da capacidade operacional. Convém que o aspecto proativo do processo tenha
enfoque no planejamento para cumprir demandas futuras acordadas.
Convém que sejam desenvolvidos planos durante o processo de gerenciamento da capacidade para
assegurar que os requisitos acordados relativos à capacidade possam ser acordados, previstos
e cumpridos. Convém que estes planos transformem as previsões de negócios e estimativas de
carga de trabalho em requisitos específicos de capacidade. Convém que isto seja facilitado por meio
da incorporação das seguintes três áreas de enfoque do processo de gerenciamento da capacidade:
c) Convém que o processo de gerenciamento de capacidade seja envolvido nos projetos de serviços
novos ou modificados e que faça recomendações para a aquisição de componentes e recursos,
onde estes são fatores para desempenho e/ou capacidade. Convém que, no interesse de equilibrar
custo e capacidade, o processo de gerenciamento da capacidade obtenha custos de propostas
e soluções alternativas e recomende a solução mais adequada de custo-benefício.
d) Convém que as atividades relacionadas a novos requisitos sejam baseadas nas entradas para
planejamento, equipes de suporte e grupos de negócio. Convém que isto inclua o planejamento
da implementação da infraestrutura de projetos novos e previsão de substituição dos componentes
da infraestrutura antigos.
e) Definir, monitorar e usar os limites de capacidade, avisos e alarmes para gerenciar e melhorar
automaticamente a utilização dos componentes e o desempenho dos serviços.
Os dados e informações contidos no banco de dados de capacidade são analisados por todas
as atividades de gerenciamento de capacidade e convém que inclua negócios, serviços, recursos
ou utilização e dados financeiros de todas as áreas de tecnologia, conforme abaixo:
2) Dados do serviço, incluindo, mas não limitado a: tempos de resposta da transação, taxas de
transação e volumes de carga de trabalho.
3) Dados de utilização do componente: convém que limitações dos componentes sobre o nível em
que eles são utilizados sejam documentadas. Se passar desse nível de utilização, o recurso
será sobrecarregado e o desempenho dos serviços que utilizam o recurso será prejudicado.
3) Também convém que sejam produzidos relatórios de exceção, que mostram, para as áreas de
gerenciamento e pessoal técnico, quando a capacidade e o desempenho de um determinado
componente ou serviço se tornaram inaceitáveis. Convém que, em particular, relatórios
de exceção sejam de interesse do processo de Gerenciamento de Níveis de Serviço – GNS
para determinar se as metas em ANS foram alcançadas ou violadas. Os processos de
gerenciamento de incidente, de requisições de serviço e de gerenciamento de problemas
podem, então, usar os relatórios de exceção na resolução de incidentes e problemas.
b) uso atual e previsto de recursos e de desempenho, incluindo o entendimento sobre que recursos
apoiam quais serviços;
d) escalas de tempo, limites e custos de atualização da capacidade de serviço, por exemplo, datas
necessárias e custos para a entrega de um aumento da capacidade de serviço como resultado
de uma fusão de negócios;
g) detalhes dos métodos, hipóteses e informações utilizadas no cálculo dos detalhes do plano
da capacidade;
i) dados e procedimentos para capacitar análise preditiva, como, por exemplo, técnicas de
modelagem.
j) impacto potencial dos requisitos legais, regulatórios, contratuais e organizacionais, por exemplo,
um plano para sustentar armazenamento suficiente, com capacidade extra para registros médicos
eletrônicos, para satisfazer a regulamentação.
a) plano de capacidade;
h) avaliações de eficácia;
Convém que, além do dono do processo, do gerente do processo e do pessoal que executa
os procedimentos do processo, conforme descrito na Seção 4.4.2.1, as autoridades e responsabilidades
exigidas no processo de gerenciamento de capacidade incluam o seguinte.
6.6.2 Conceitos
Convém que o provedor de serviços e o cliente categorizem os ativos de informação de acordo com
seu valor, a confidencialidade ou impacto nos negócios. Convém que, para cada categoria, o provedor
de serviços e o cliente definam e concordem com um nível aceitável de risco.
Exemplar para uso exclusivo - Easy Net Comercio de Equipamentos de Informatica Ltda - ME - 06.733.460/0001-05 (Pedido 735517 Impresso: 22/04/2020)
Convém que o escopo da política de segurança da informação inclua, mas não seja limitado por,
controles físicos, administrativos e técnicos exigidos para assegurar a confidencialidade, integridade
e acessibilidade de ativos da informação no escopo do SGS. O escopo da política de segurança
da informação pode exceder o escopo do SGS para acomodar as necessidades do negócio.
Convém que a direção assegure que funcionários, clientes, fornecedores e grupos internos têm
tanto a compreensão adequada do conteúdo da política como uma apreciação sobre a importância
de aderir a ela.
Convém que a direção garanta também que a diretriz de segurança da informação seja usada como
parte das avaliações de risco e durante as auditorias de segurança da informação.
Convém que a política forneça orientações sobre os critérios para a aceitação de riscos e a abordagem
de gestão para os riscos de segurança da informação identificados, por exemplo, gerenciamento
de senhas.
Convém que a política garanta que as auditorias internas de segurança da informação sejam
conduzidas em intervalos regulares, por exemplo, após uma violação de segurança da informação,
ou após a implementação de um serviço novo ou modificado.
Convém que a política garanta que os resultados de auditoria de segurança da informação sejam
periodicamente revistos e usados para identificar oportunidades de melhoria na segurança
da informação. Por exemplo, corrigindo vulnerabilidades identificadas durante uma auditoria
de segurança da informação.
NOTA Pode ser útil ao pessoal com funções de segurança de informação especializada familiarizar-se
com a ABNT NBR ISO/IEC 27002, Tecnologia da Informação – Técnicas de segurança – Código de prática
para gestão de segurança da informação. Esta Norma inclui orientação sobre o conteúdo de uma política
de segurança.
Convém que o provedor de serviços assegure que os controles estão documentados, descrevendo
seus riscos e a estratégia de mitigação de risco. Convém também que o provedor de serviços defina
as autoridades e responsabilidades para analisar criticamente os controles e a frequência de realização
da análise crítica.
Convém que o provedor de serviços também defina controles de segurança da informação para
Exemplar para uso exclusivo - Easy Net Comercio de Equipamentos de Informatica Ltda - ME - 06.733.460/0001-05 (Pedido 735517 Impresso: 22/04/2020)
gerenciar outras organizações externas e indivíduos que precisam acessar, usar ou gerenciar
informações ou serviços da organização.
Convém que o processo de GSI realize avaliações de risco regulares para identificar riscos
de segurança da informação para o ambiente de produção e, em seguida, documentar e colocar
controles em lugares específicos para evitar ou minimizar o impacto dos riscos identificados.
Adicionalmente, convém que o processo de GSI execute ou certifique-se de que avaliações de risco
adequadas foram executadas como parte do desenho e transição de serviços novos ou modificados.
Convém que a política de segurança da informação garanta que avaliações de risco de segurança
da informação:
Convém que riscos para ativos de informações sejam avaliados de acordo com a natureza do risco
e o impacto potencial nos negócios.
NOTA Pode ser útil ao pessoal com responsabilidades de segurança de informação especializada
familiarizar-se com a ABNT NBR ISO/IEC 27005, Tecnologia da informação – Técnicas de segurança –
Gestão de riscos de segurança da informação.
Convém que os controles de segurança da informação garantam que o provedor de serviço é capaz
de alcançar os objetivos de gestão de serviço e os requisitos da diretriz de segurança. Convém
também que os controles permitam ao provedor de serviços gerenciar todos os riscos de segurança
da informação identificados.
c) convém que a eficácia da política de segurança da informação seja monitorada, medida e avaliada;
d) convém que o pessoal com funções de segurança da informação significativas receba treinamento
de segurança da informação;
disponível;
h) convém que um incidente de segurança da informação seja escalado para o pessoal com
autorização adequada para resolvê-lo, dependendo da prioridade e do nível de autorização
necessário para acessar o registro do incidente de segurança;
j) convém que as avaliações de risco regulares sejam completadas de forma a identificar mudanças
à prontidão para tolerar o risco da organização;
k) convém que auditorias regulares sejam realizadas para garantir a conformidade das diretrizes
de segurança da informação estabelecidas e controles;
l) convém que linhas de base de segurança da informação sejam definidas e aplicadas de forma
efetiva;
Convém que as solicitações de mudanças sejam avaliadas para identificar os riscos de segurança
da informação novas ou modificadas como resultado da mudança proposta. Convém que o pedido
de mudança também seja avaliado frente a qualquer impacto potencial sobre serviços existentes,
processos, políticas ou controles de segurança da informação existentes.
Convém que documentos e registros que sejam produzidos e mantidos pelo processo do GSI incluam:
Convém que os documentos e registros sejam analisados periodicamente para fornecer à direção
informações sobre a eficácia da política de segurança da informação. Outras características
interessantes incluem tendências de incidentes de segurança da informação, entradas para o plano
de melhoria do serviço e controle sobre o acesso aos ativos da informação e sistemas.
Convém que, além do dono do processo, gerente do processo e pessoal desempenhando procedimentos
do processo conforme descrito na Seção 4.4.2.1, autoridades e responsabilidades para o processo
de gerenciamento da segurança da informação incluam:
a) cliente, pessoal do provedor de serviços e partes interessadas que requerem acesso aos IC
e dados do gerenciamento da segurança da informação;
7 Processo de relacionamento
7.1 Processo de gerenciamento de relacionamento do negócio
7.1.1 Intenção dos requisitos
Convém que o processo de GRN assegure que mecanismos sejam estabelecidos para gerenciar
o relacionamento entre o provedor de serviços e o(s) cliente(s). Convém que o resultado do processo
seja a melhoria da satisfação do cliente e entrega de valor agregado por meio de resultados alcançáveis.
Convém que as responsabilidades tanto do cliente como do provedor de serviços para a identificação
e priorização dos requisitos do serviço sejam claramente definidas. Convém que procedimentos sejam
definidos e seguidos para gerenciar o relacionamento contínuo entre o cliente e o provedor de serviços.
Convém que os mecanismos para gerenciar o relacionamento entre o provedor de serviços e o cliente
incluam:
b) comunicações regulares com o cliente para permitir que o provedor de serviços compreenda
o ambiente, as necessidades e as prioridades do negócio, e os requisitos para serviços novos
ou modificados;
7.1.2 Conceitos
Convém que exista uma conexão forte entre o processo de GRN e o processo de GNS. Convém que
o processo de GNS defina e use métricas para avaliar o desempenho do nível de serviço. Convém que
o processo de GNS gerencie serviços entregues no momento e níveis de serviço no nível operacional.
Convém, por outro lado, que o processo de GRN procure trabalhar de forma aproximada com o cliente
para entender objetivos e direção futuros do cliente. Convém que, ao fazer isso, o processo de GRN
assegure que mudanças nos serviços sejam planejadas antes da necessidade do cliente. Convém que
uma boa compreensão dos objetivos do cliente permita também que o provedor de serviços ofereça
soluções alinhadas com a necessidade do negócio.
Quando grandes serviços comerciais são entregues para muitos clientes, pode ser difícil ter
um relacionamento individual com cada cliente. Por exemplo, serviços de internet usados por famílias
individuais. Neste caso, convém dar atenção à maneira que o provedor de serviço interage com vários
clientes. Pode ser usada a medição da satisfação do cliente para garantir que os serviços planejados
e entregues estejam alinhados aos requisitos do cliente.
7.1.3.1 Geral
Convém que o provedor de serviços identifique e documente seus clientes, outras partes interessadas,
fornecedores-líderes e fornecedores subcontratados de forma a compreender as dependências entre
os serviços. Por exemplo, um serviço baseado na internet é dependente de um serviço de fornecimento
seguro de um portal web com capacidade de criptografia. As partes interessadas podem incluir grupos
de usuários e unidades de negócio.
Convém que o provedor de serviços classifique seus clientes de acordo com o tipo de serviço entregue.
Clientes com características similares podem ser agrupados de forma semelhante para melhorar
eficiência e eficácia. Os processos definidos pelo provedor de serviços podem ser diferentes para
cada tipo de cliente no nível detalhado.
Convém que o provedor de serviços identifique e nomeie um indivíduo, como ponto único de contato,
responsável pelo gerenciamento do relacionamento e satisfação de cada cliente. Este indivíduo pode
ser escolhido para gerenciar o relacionamento com o cliente de forma integral ou pode ter esta função
combinada com outra função, se apropriado.
dos dois papéis: o processo de GRN é estratégico enquanto o processo de GNS é tático. Convém que
os riscos de ter uma pessoa desempenhando dois papéis, com perspectivas tão diferentes, sejam
também gerenciados.
Convém que os mecanismos de comunicação estabelecidos com o cliente incluam reuniões ad hoc
e informais, além de reuniões formalizadas e documentadas. Convém que estas comunicações criem
Exemplar para uso exclusivo - Easy Net Comercio de Equipamentos de Informatica Ltda - ME - 06.733.460/0001-05 (Pedido 735517 Impresso: 22/04/2020)
Convém que o provedor de serviços mantenha reuniões formais com o cliente para analisar sua
satisfação, direção estratégica e exceções importantes para o desempenho dos serviços. Convém
que estas reuniões incluam revisões dos ANS e desempenho, mudanças na organização do provedor
de serviços e mudanças na organização do cliente.
Convém que estejam presentes nas reuniões representantes de todas as partes. Convém que
as reuniões sejam agendadas com antecedência e realizadas regularmente, pelo menos anualmente.
Convém que a frequência real seja influenciada pela taxa de mudança de requisitos de serviço, grandes
projetos, como os novos serviços e a qualidade do serviço entregue. Convém que as reuniões sejam
mais frequentes do que o mínimo anual quando o provedor de serviços e o cliente estão gerenciando
uma alta taxa de mudanças ou quando existem preocupações sobre a qualidade dos serviços.
Por exemplo, um ritmo rápido de mudanças de requisitos de serviço, grandes projetos, como
os serviços novos ou modificados. Realizar reuniões de avaliação do cliente por mais de quatro
vezes por ano pode ser contraproducente quando há conteúdo suficiente para a reunião para
os representantes de gerenciamento envolvidos.
Os resultados das análises do cliente podem resultar na identificação de novos serviços ou mudanças
necessárias para os serviços existentes ou níveis de serviço. Convém que o provedor de serviços garanta
que as alterações nos ANS e contatos sejam gerenciados por meio do processo de gerenciamento
de mudança, e que sigam o processo GNS estabelecido.
Convém que seja estabelecida a rastreabilidade das exigências do cliente para mudanças de serviço.
Convém que o provedor de serviços estabeleça um mecanismo formal para registrar a satisfação
do cliente. Convém que a frequência e escala de qualquer medição seja acordada com o cliente
antecipadamente, e convém incluir uma amostra de usuários a serem pesquisados. Tais atividades
muitas vezes podem ser conduzidas pela central de serviço, também conhecida como suporte
de nível 1, que acompanha a solução de incidente/problema. Entretanto, para medir a satisfação
do cliente, convém que uma medida mais abrangente seja adotada, que inclua, por exemplo, número
e tipo de requisição de serviços, custo real, valor percebido e valor dos serviços entregues ao negócio.
Convém que os resultados sejam identificados, analisados e revisados, para identificar oportunidades
de melhoria.
Convém que os resultados da pesquisa de satisfação sejam medidos ao longo do tempo, de modo que
as tendências de satisfação possam ser rastreadas e quaisquer problemas ou melhorias identificados.
Convém que o provedor de serviço entenda, defina e acorde com o cliente sobre o que constitui
uma reclamação formal de serviço. Uma reclamação formal de serviço é normalmente muito séria
e apresentada por escrito, em vez de verbalmente. Convém que uma reclamação formal de serviço
seja enviada por um gerente do cliente para um gerente do provedor de serviço. Um incidente,
ou problema, pode ser a causa de reclamações, mas não ser propriamente a reclamação.
Convém que o resultado da revisão de uma reclamação seja resumida e transmitida ao cliente,
de modo que possam ver que sua opinião foi levada a sério e ações foram tomadas.
Convém que além do dono do processo, gerente do processo e pessoal que desempenha
os procedimentos do processo, como descrito na Seção 4.4.2.1, as autoridades e responsabilidades
requeridas dentro do processo GRN incluam:
5) assegurar que quaisquer mudanças nas exigências do cliente se reflitam nos ANS
Exemplar para uso exclusivo - Easy Net Comercio de Equipamentos de Informatica Ltda - ME - 06.733.460/0001-05 (Pedido 735517 Impresso: 22/04/2020)
7) gerenciamento de reclamações formais de serviço, para garantir que sejam resolvidas para
a satisfação do cliente;
10) assegurar que quaisquer escaladas do cliente sejam tratadas de uma maneira oportuna
e eficaz;
O nome desse papel pode variar, apesar de Gerente de Relacionamento com o Negócio ser comum.
Outros possíveis títulos são gerente de relações com o cliente ou gerente de conta. Convém que
o provedor de serviços esteja ciente de que esse papel pode se fundir com outro, ou ser desempenhado
por toda uma equipe, dependendo das circunstâncias.
A fim de desempenhar esse papel de forma eficaz, convém que o provedor de serviços reconheça
a necessidade de expertise no seu próprio negócio de provedor de serviço, na tecnologia e nos
requisitos e prioridades do negócio do cliente. Convém que essa expertise também seja usada
para comunicar as exigências do cliente aos especialistas em tecnologia do provedor de serviço.
A complexidade desse papel significa atenção para detalhar e habilidade para unir múltiplas partes
e convém que sejam reconhecidas como um importante aspecto do papel. Convém que o provedor
de serviços também reconheça que essas responsabilidades estão além das capacidades de uma
posição junior no nível de admissão.
7.2.2 Conceitos
b) as exigências acordadas sejam alcançadas dentro dos níveis de serviço e escopo acordados;
f) os ANS do provedor de serviços com o cliente estejam alinhados com os contratos do fornecedor.
Convém que o provedor de serviços designe uma pessoa de contato responsável pelo relacionamento
com cada fornecedor. Convém que também sejam designados contatos entre fornecedores onde
serviços ou componentes de serviços tenham dependências.
Convém que o contrato inclua as exigências e os níveis de serviço exigidos do fornecedor. Convém
que as metas de serviço acordadas no contrato do fornecedor sejam articuladas para garantir que
os ANS do provedor de serviços com o cliente sejam cumpridos. Se os níveis do provedor de serviços
não estiverem alinhados com os ANS, convém que isso seja gerenciado como um risco, com planos
desenvolvidos para resolver o risco em tempo hábil.
Convém que haja um processo claramente definido para gerenciamento de cada contrato. Convém que
o processo para alteração de contrato esteja também bem definido. Convém que quaisquer mudanças
nesses procedimentos sejam formalmente notificadas para todos os fornecedores afetados.
Se um contrato inclui penalidades ou bônus, convém que suas bases estejam claramente estabelecidas,
e o cumprimento das exigências e metas de serviço medido e registrado.
Quando um fornecedor está para prover parte de um serviço, convém que o provedor de serviços
garanta que o contrato com o fornecedor inclui tudo que é necessário para capacitar o cumprimento
das exigências relevantes do cliente. Convém que isso seja assegurado e documentado, antes
de assumir o compromisso com o cliente. Convém que o fornecedor também aceite que o provedor
de serviços tenha a governança dos processos de gerenciamento de serviço operados pelo fornecedor,
como descrito na Seção 4.2.
Convém que o provedor de serviços, em intervalos planejados, obtenha evidência de que o fornecedor
está cumprindo todas as exigências do contrato e de que tem processos de qualidade que efetivamente
garantem que essas exigências serão cumpridas consistentemente. Isso pode ser alcançado por meio
de auditoria do fornecedor, feita pelo provedor de serviço.
Convém que todos os resultados de reuniões, revisões e auditorias, relativos a serviço subcontratado,
sejam revisados, para identificar oportunidades de melhoria. Onde mudanças são requeridas, convém
que essas sejam controladas usando o processo de gerenciamento de mudança.
Convém que o provedor de serviços mantenha o seguinte, para cada serviço e fornecedor, mesmo
se essa informação não estiver incluída no contrato:
Convém que fique claro se o provedor de serviços está lidando, diretamente, com todos os fornecedores,
ou com os fornecedores principais, cada um assumindo a responsabilidade pelos fornecedores
subcontratados.
Convém que o provedor de serviços obtenha evidencia dos fornecedores principais de que esses
estão gerenciando os fornecedores subcontratados. Convém que essa relação seja orientada pelos
requisitos da ABNT NBBR ISO/IEC 20000-1. Convém que o fornecedor principal registre os nomes
de todos os fornecedores subcontratados, suas responsabilidades e relacionamentos. Convém
que essa informação esteja disponível para o provedor de serviços, se necessário. Um exemplo
de fornecedores e fornecedores subcontratados que forneçam parte de um serviço está demonstrado
na Figura 3, tirada da ABNT ISO/IEC TR 20000-3.
NOTA BRASILEIRA A ISO revisou o ISO/IEC TR 20000-3, e o publicou como Norma (ISO/IEC 20000-3),
em 2012, desta forma a ABNT está em processo de adoção da referida Norma.
Organização X Organização X
Cliente A Cliente B
Exemplar para uso exclusivo - Easy Net Comercio de Equipamentos de Informatica Ltda - ME - 06.733.460/0001-05 (Pedido 735517 Impresso: 22/04/2020)
Convém que uma cópia aprovada de todos os contratos do fornecedor seja mantida pelo provedor de
serviços e pelo fornecedor. Convém que os contratos incluam ou mencionem uma definição do serviço
e identifiquem os processos de gerenciamento de serviço que cobrem todos os serviços entregues pelo
fornecedor. Convém que a interface entre processos operados por múltiplas partes seja documentada.
8 Processos de resolução
8.1 Gerenciamento de incidente e requisição de serviço
8.1.2 Conceitos
Um incidente é considerado uma interrupção do serviço não planejada, uma redução na qualidade
de um serviço, ou uma falha de um item de configuração que não tinha ainda causado impacto
no serviço. Exemplos de requisições de serviço podem incluir mudanças-padrão, isto é, mudanças
de baixo risco, bem definidas e pré-aprovadas, pedidos de informação, pedidos de orientação
ou pedidos de acesso a serviços-padrão.
d) as ações necessárias para atualizar e fechar incidente e registros de requisição de serviço, quando
da confirmação do usuário de que o incidente foi resolvido ou a requisição de serviço cumprida;
Impacto
Urgência Crítico Alto Médio Baixo
P1: Resolução P2: Resolução P3: Resolução P4: Resolução
Alta
em 2 horas em 4 horas em 1 dia em 2 dias
P2: Resolução P3: Resolução P4: Resolução P5: Resolução
Média
em 4 horas 1 dia 2 dias em 3 dias
P3: Resolução P4: Resolução P5: Resolução P6: Resolução
Baixa
em 1 dia em 2 dias em 3 dias em 5 dias
A Tabela 1 é para incidentes, porém requisições de serviço podem ter prazos diferentes e exigir uma
tabela separada.
Convém que o que se segue seja definido como parte do processo de gerenciamento de incidente
Exemplar para uso exclusivo - Easy Net Comercio de Equipamentos de Informatica Ltda - ME - 06.733.460/0001-05 (Pedido 735517 Impresso: 22/04/2020)
e requisição de serviço:
c) uso de fontes de informação apropriadas, por exemplo, o BDGC, um banco de dados de erros
conhecidos, o catálogo de serviços ou outros documentos e registros relevantes;
Sem confirmação da recuperação efetiva, pelo usuário ou cliente, o provedor de serviços pode fazer
uma suposição inadequada de que o incidente foi resolvido ou que a requisição de serviço foi cumprida.
b) quem tem autoridade para declarar que se trata de um incidente crítico e como será declarado;
f) qual o formato, prazo e participantes necessários para uma revisão de incidente crítico, após
a resolução;
Convém que os documentos e registros que sejam produzidos e retidos pelo processo de gerenciamento
de incidente e requisição de serviço incluam:
b) registros de incidente;
h) relatos de exceções para incidentes e requisições de serviço manejados de forma incorreta, onde
fatores de qualidade podem incluir categorias como as classificadas incorretamente, ajustes de
prioridades, escalonamentos, reabertura de incidentes e registros de requisição de serviço com
dados incorretos;
j) quaisquer possíveis melhorias que tenham sido identificadas, ou onde uma ação tenha sido
tomada.
Convém que além do dono do processo, gerente do processo e do pessoal que desempenha
os procedimentos do processo, como descrito na Seção 4.4.2.1, autoridades e responsabilidades
necessárias dentro do processo de gerenciamento de incidente e requisição de serviço incluam
as listadas abaixo:
b) Suporte de nível 1, que atua no papel de comunicador, para reunir dados do sintoma inicial,
e das comunicações contínuas com o usuário final;
c) Grupos de resolução, que podem ser designados como suporte de nível 2 e nível 3. Para esses
grupos seriam designados os incidentes escalados para diagnóstico e resolução, e tipicamente
teriam capacidade técnica e experiência superior a do pessoal de suporte nível 1;
d) Grupos de fornecimento de serviços, para os quais podem ser designadas tarefas que ajudem
na conclusão de cada requisição de serviço;
8.2.2 Conceitos
Convém que o processo de gerenciamento de problema tenha um escopo definido e que determine
os métodos do gerenciamento de problema usados. Pode ser útil ter uma política de gerenciamento
de problema que possa definir os critérios para a priorização e investigação de problemas.
Uma vez que o ambiente tenha ficado mais confiável como resultado das atividades do gerenciamento
de problemas, pode ser possível que o pessoal gaste mais tempo no gerenciamento proativo
de problemas. Convém que as atividades proativas do gerenciamento de problemas foquem
em prevenir incidentes e a sua recorrência, em primeiro lugar. Por exemplo, identificar um ponto único
de falha para um serviço crítico para o negócio e propor uma redundância para prevenir que qualquer
incidente futuro impacte o cliente.
b) Registro de problemas, para assegurar que cada problema é registrado. Convém que os registros
incluam detalhes relevantes do problema, incluindo data e hora, e uma referência cruzada ao(s)
incidente(s) que iniciou(ram) o registro do problema.
1) cada problema seja categorizado para ajudar a determinar sua natureza e para prover
informações significativas, fazendo uso dos mesmos critérios de classificação que são
utilizados nos processos de gerenciamento de incidentes e solicitações de serviço;
Exemplar para uso exclusivo - Easy Net Comercio de Equipamentos de Informatica Ltda - ME - 06.733.460/0001-05 (Pedido 735517 Impresso: 22/04/2020)
2) a cada problema, seja dada uma prioridade para a resolução de acordo com a urgência
e o impacto dos incidentes relacionados;
3) tempo e recursos para investigação do problema e a identificação das melhores opções para
resolução sejam alocados de acordo com a prioridade do problema;
4) para a resolução do problema, tempo e recursos são alocados de acordo com a prioridade do
problema e o benefício de efetuar a mudança de modo que satisfaça os requisitos de serviço.
2) um método de resolução possa ser identificado, o que depende do impacto do(s) incidente(s)
relacionado(s) e potenciais incidentes, se existem ou não soluções temporárias e o custo
estimado da resolução;
4) uma decisão de não resolver o problema seja gerenciada de acordo com a política
de gerenciamento de problemas;
NOTA BRASILEIRA Foi mantida a letra f), que deveria ser e) de forma a manter fidelidade ao documento
original ISO/IEC 20000-2:2012.
g) convém que o escalonamento do problema assegure que todas as dificuldades sejam escaladas
para as partes apropriadas, incluindo:
2) informações progressivas para o cliente, para que eles possam tomar as ações apropriadas
para minimizar o impacto do problema não resolvido;
2) um registro de erro conhecido não seja fechado até que a solução definitiva seja implementada
com sucesso por meio do processo de gerenciamento de mudanças;
3) registros de erros conhecidos estejam disponíveis para todo o pessoal relevante e que estes
sejam regularmente avisados de qualquer registro de erro conhecido novo ou atualizado;
5) todos os erros conhecidos sejam registrados e associados aos serviços atuais, aos
potencialmente afetados e ao item de configuração suspeito de estar em falha.
i) Convém que o fechamento do registro de problemas, quando o erro conhecido tiver sido identificado
e registrado, assegure que:
2) o registro do problema foi comparado com quaisquer incidentes relacionados para facilitar
a análise;
j) Convém que as revisões de problemas críticos realizadas para investigar problemas não resolvidos,
incomuns ou problemas de alto impacto, assegurem que:
2) existe visibilidade de gerenciamento para as causas dos problemas não resolvidos, bem como
seu impacto nos negócios em andamento.
4) medições-chave que demonstrem que o valor para o negócio na gestão proativa de problemas
estão definidas;
5) potenciais pontos únicos de falhas, tendências e riscos emergentes são identificados e opções
são propostas por meio do processo de gerenciamento de mudança.
Convém que os documentos e registros, que são produzidos e retidos pelo gerenciamento de problema,
incluam:
b) registros de problemas;
Uma política de gerenciamento de problema pode ser útil para facilitar e suportar o gerenciamento
de problema.
Convém que, além do dono do processo, gerente do processo e do pessoal que executa
os procedimentos do processo, conforme descrito na Seção 4.4.2.1, autoridades e responsabilidades
requeridas no processo de gerenciamento de problemas incluam:
a) o pessoal que realiza a análise de causa-raiz dos problemas, determina a resolução e/ou solução
temporária e cria o registro de dados do erro conhecido associado;
9 Processos de controle
9.1 Gerenciamento de configuração
9.1.2 Conceitos
Convém que o processo de gerenciamento de configuração forneça um ponto focal para o gerenciamento
e controle dos ativos de serviço envolvidos e configurações, bem como seus relacionamentos. Convém
que inclua atividades para planejar e executar o processo de gerenciamento de configuração.
Informações de configuração são registradas em um BDGC que inclui dados sobre os itens
de configuração, versões, relacionamentos, linhas de base e liberações. Convém que a informação
de cada IC inclua um identificador, descrição, estado, localização, seus relacionamentos e
registros associados, como solicitações de mudanças, incidentes, problemas e registros de erros
conhecidos. Convém que as informações de configuração sejam mantidas por indivíduos autorizados
e disponibilizadas apenas para as partes interessadas autorizadas.
a) cumprir os requisitos acordados com o cliente, usuário, provedor de serviços e outras partes
interessadas;
b) assegurar que os ativos, incluindo licenças, usados para fornecer serviços são gerenciados de
acordo com os requisitos estatutários e regulatórios e as obrigações contratuais;
Convém que o processo de gerenciamento de configuração seja planejado para assegurar que haja
recursos e capacidades suficientes para implementação e manutenção dos registros dos IC envolvidos.
Convém que o escopo da política e do processo de gerenciamento de configuração inclua:
Exemplar para uso exclusivo - Easy Net Comercio de Equipamentos de Informatica Ltda - ME - 06.733.460/0001-05 (Pedido 735517 Impresso: 22/04/2020)
h) planejamento para a remoção, arquivamento, cessão ou transferência de dados relativos aos IC,
em conformidade com os requisitos estatutários e regulatórios e as obrigações contratuais;
i) automação suficiente para garantir um controle eficaz, por exemplo, para reduzir as oportunidades
de erro humano.
Convém que o planejamento inclua a identificação e definição dos tipos de IC que estão sujeitos
ao controle do processo de gerenciamento de configuração. Convém que os IC sejam escolhidos
usando critérios de seleção estabelecidos, agrupados, classificados e identificados de tal maneira que
eles sejam gerenciáveis e rastreáveis em todo o seu ciclo de vida.
Convém que cada serviço seja classificado ou segregado em grupos logicamente relacionados
e subordinados dos componentes constituintes de serviços que permitam:
Convém que IC sejam claramente identificados por identificadores únicos, duráveis ou marcações,
se for o caso. Convém que os identificadores estejam em conformidade com os padrões e convenções
relevantes, de modo que todos os itens de configuração sob o controle do processo de gerenciamento
de configuração sejam rastreáveis, de forma inequívoca, com as suas especificações, ou equivalentes,
descrições documentadas. Convém que haja uma lista dos IC e uma definição da informação a ser
registrada para cada IC. Convém que relacionamentos apropriados e dependências entre os IC sejam
Exemplar para uso exclusivo - Easy Net Comercio de Equipamentos de Informatica Ltda - ME - 06.733.460/0001-05 (Pedido 735517 Impresso: 22/04/2020)
9.1.3.4 Tipos de IC
f) ativos que precisam ser rastreados pelo gerenciamento de ativos financeiros ou em razões
de negócio, por exemplo, mídias magnéticas seguras, equipamentos;
Convém que, para proteger a integridade dos sistemas, serviços e infraestrutura, os registros dos IC
e o BDGC sejam guardados em um ambiente adequado e seguro. Convém que este ambiente os proteja
de acesso não aprovado, mudanças ou corrupção do BDGC. Também convém que haja um meio para
e) assegurar que uma linha de base de configuração seja feita a intervalos regulares e pelo menos
antes da implementação de uma liberação no ambiente de produção;
c) informação atualizada e exata sobre os IC e seus relacionamentos com outros IC, componentes
de serviço e serviços;
Convém que, além do dono do processo, gerente do processo e pessoal que executa os procedimentos
do processo, conforme descrito na Seção 4.4.2.1, as autoridades e responsabilidades requeridas para
o processo de gerenciamento de configuração incluam:
Convém que mudanças com o potencial de causar um grande impacto nos serviços ou no cliente
sejam classificadas de acordo com critérios definidos em uma política de gerenciamento de mudanças.
Convém que essas mudanças sejam gerenciadas usando o processo de desenho e transição
de serviços novos ou modificados e coordenadas com o processo de gerenciamento de mudanças.
Convém que a política de gerenciamento de mudanças defina critérios para determinar quais
Exemplar para uso exclusivo - Easy Net Comercio de Equipamentos de Informatica Ltda - ME - 06.733.460/0001-05 (Pedido 735517 Impresso: 22/04/2020)
mudanças convêm ser gerenciadas por meio do processo de gerenciamento de mudanças e quais
mudanças convêm ser gerenciadas por meio do processo de desenho e transição de serviços novos
ou modificados.
Convém que os critérios utilizados para determinar as mudanças a serem gerenciadas por meio
do processo de desenho e transição de serviços novos ou modificados incluam mudanças para
a remoção de um serviço e mudanças para a transferência de um serviço do provedor de serviços
para outra parte. A outra parte pode ser o cliente ou um fornecedor.
Convém que as atividades necessárias para reverter ou remediar uma mudança mal sucedida sejam
planejadas e testadas. Convém que a mudança seja revertida ou remediada se malsucedida. Convém
que mudanças malsucedidas sejam investigadas e ações adequadas sejam tomadas.
Convém que uma programação de mudanças, com detalhes sobre as mudanças aprovadas para
desenvolvimento e as suas datas propostas para implementação, seja estabelecida e comunicada
às partes interessadas, por exemplo, suporte nível 1; gerenciamento de relacionamento com o negócio,
gerenciamento de fornecedores.
c) uma programação de mudanças, que contenha detalhes das mudanças aprovadas e suas datas
propostas de implementação, seja estabelecida;
Convém que os registros de mudanças associados a cada requisição de mudança sejam registrados
em um log de mudanças. Se a organização tem um BDGC, convém que o registro de mudanças seja
associado ao IC relevante por meio de um link para o registro do IC. Idealmente, convém que esse
link entre o registro de mudança e o IC relevante ou IC seja visível no momento em que a requisição
de mudança é registrada, até sua aprovação e implementação.
Convém que, além do dono do processo, gerente do processo e o pessoal que desempenha
os procedimentos do processo, como descrito na Seção 4.4.2.1 autoridades e responsabilidades
requeridas para o processo de gerenciamento de mudança inclua os listados abaixo.
b) um dono que seja responsável pelo gerenciamento do ciclo de vida de cada requisição
de mudanças, por exemplo, dono do serviço e dono do processo.
c) representantes nomeados para assessorar quanto ao impacto das mudanças. Isso pode ser
o comitê consultivo de mudanças, que tipicamente inclui representantes do provedor de serviços,
clientes e partes interessadas, dependendo do escopo e impacto da mudança nos serviços
e no ambiente de negócios.
Convém que a integridade do ambiente de produção seja protegida e convém que interrupções
sejam minimizadas por meio de planejamento adequado, teste e coordenação com o processo
de gerenciamento de mudança.
9.3.2 Conceitos
Exemplar para uso exclusivo - Easy Net Comercio de Equipamentos de Informatica Ltda - ME - 06.733.460/0001-05 (Pedido 735517 Impresso: 22/04/2020)
Uma liberação pode ser uma ou mais mudanças para um serviço, que são construídas, testadas
e implementadas em conjunto. Mudanças múltiplas podem ser empacotadas e agrpadas em uma
ou mais liberações para ajudar a gerenciar dependências e para eficiência. Convém que um pacote
de liberação inclua um conjunto de IC que sejam implementados em conjunto, como uma
liberação única.
Convém que a implementação seja responsável por distribuir e entregar o serviço e os componentes
de serviço, no tempo e local corretos, no ambiente-alvo.
Quando possível, convém que liberações usem métodos padronizados ou consistentes para assegurar
a integridade dos IC. Liberações podem ser obtidas com custo mais eficaz ao buscar eficiência
em escala por meio do uso de métodos-padrões e, quando possível, ao usar automação.
Convém que o provedor de serviços, em conjunto com o cliente e as partes interessadas, desenvolva
e concorde com uma política de liberação para ajudar a especificar a frequência de liberações
e a abordagem para cada tipo de liberação. Uma política de liberação pode tipicamente incluir:
a) definição de cada tipo de liberação, incluindo uma liberação de emergência. Outros exemplos são:
grande, significativa, menor;
Convém que os planos de liberação e implementação sempre assegurem que todas as mudanças
sejam coordenadas com o processo de gerenciamento de mudanças. Convém que o planejamento
de liberação e implementação inclua uma avaliação do impacto da liberação, riscos associados
e a identificação de quaisquer medidas de mitigação que podem ser empregadas para minimizar
quaisquer riscos inaceitáveis.
Convém que os fatores típicos a serem considerados quando do planejamento de uma liberação
e sua implementação sejam o volume de negócios, técnicos e outras mudanças necessárias para
implementar uma liberação. Por exemplo, novas habilidades, processos novos ou modificados e novas
ferramentas. Outros fatores incluem dependências e o tempo e recursos necessários para construir,
testar e implementar uma liberação.
f) planos para atividades de comunicação que forneçam a informação necessária para usuários
na organização do cliente, do pessoal no provedor de serviços e quaisquer fornecedores
relevantes;
h) planos de teste, inclusive itens, como critérios de aceitação, método de teste, scripts e planilhas
de registro de resultado;
Exemplar para uso exclusivo - Easy Net Comercio de Equipamentos de Informatica Ltda - ME - 06.733.460/0001-05 (Pedido 735517 Impresso: 22/04/2020)
i) abordagem para gerenciar ambientes de teste controlados, quando apropriado, para assegurar que
liberações possam ser suficientemente testadas antes do piloto, experimento e/ou implementação;
k) o critério frente ao qual convém que a liberação e a implementação sejam verificadas, juntamente
com qualquer critério apropriado e com a abordagem aprovada para ser utilizada para reverter
ou remediar liberações falhas;
2) ferramentas que são necessárias para efetivar a liberação, inclusive o uso de ferramentas
e técnicas para instalação remota ou sem supervisão de software;
Convém que cada liberação contenha um conjunto de IC. Convém que o processo de gerenciamento
de liberação e implementação trabalhe junto ao processo de gerenciamento de configuração para
assegurar que os IC estejam corretamente definidos de acordo com:
e) imagens de softwares;
f) instruções de trabalho.
Convém que isto assegure a integridade da informação sobre serviços e componentes de serviços,
durante a implementação.
Convém que o conteúdo de uma liberação assegure a adequação da liberação para implementação.
Convém que o conteúdo de uma liberação defina os ativos e os IC a serem adquiridos e montados como
componentes de liberação. Isto pode incluir licenças master de software que necessitem aquisição
e subsequente armazenagem na biblioteca de software. Pode incluir também a aquisição de itens
de hardware que convém serem mantidos em um depósito de hardware identificado.
Convém que práticas de trabalho consistentes e procedimentos definidos que foram comprovados,
Exemplar para uso exclusivo - Easy Net Comercio de Equipamentos de Informatica Ltda - ME - 06.733.460/0001-05 (Pedido 735517 Impresso: 22/04/2020)
por meio de testes, pilotos e experimentação, sejam utilizados. Exemplos de tais práticas de trabalho
e procedimentos incluem: liberação, construção, teste, distribuição de liberação, instalação de liberação,
verificação e, se necessário, a reversão ou remediação da liberação.
e) registros dos resultados dos testes, incluindo versões, problemas e hora e data em que o problema
foi encontrado;
g) assinatura para a liberação, desde que atenda aos critérios e esteja apta ao seu propósito.
c) verificação de que os serviços e componentes de serviço foram testados de acordo com os testes
de aceitação, produzindo a instalação e relatórios de teste;
Convém que os documentos e registros a serem produzidos e retidos pelo processo de gerenciamento
de liberação e implementação incluam:
a) política de liberação;
Exemplar para uso exclusivo - Easy Net Comercio de Equipamentos de Informatica Ltda - ME - 06.733.460/0001-05 (Pedido 735517 Impresso: 22/04/2020)
b) plano de liberação;
i) plano de comunicação;
2) descrição da libertação;
6) incidentes associados, problemas e erros conhecidos, incluindo aqueles que foram corrigidos
pela liberação.
Convém que, além do dono do processo, gerente do processo e do pessoal que executa os procedimentos
do processo, como descrito na Seção 4.4.2.1, autoridades e responsabilidades necessárias dentro
do processo de gerenciamento de libertação e implementação incluam:
Exemplar para uso exclusivo - Easy Net Comercio de Equipamentos de Informatica Ltda - ME - 06.733.460/0001-05 (Pedido 735517 Impresso: 22/04/2020)
Anexo A
(informativo)
Convém que o processo GNS forneça ANS e acordos incluindo metas acordadas de
gerenciamento de problemas.
Exemplar para uso exclusivo - Easy Net Comercio de Equipamentos de Informatica Ltda - ME - 06.733.460/0001-05 (Pedido 735517 Impresso: 22/04/2020)
— detalhes dos incidentes, para os quais existe um causa-raiz desconhecida, para o gerencia-
mento de problema.
— dados do incidente para gerenciamento de problemas proativo, como a análise de tendência.
Convém que o banco de dados de erros conhecidos esteja em conformidade com procedimentos
e políticas de gerenciamento de documentação.
Convém que o gerenciamento de configuração forneça informações sobre quais IC serão impactados
pelas mudanças propostas.
Convém que o processo de desenho e transição de serviços novos ou modificados forneça detalhes
de todos os planos e desenhos para novos ou modificados, de modo que os impactos nos IC
existentes possam ser avaliados pelas partes interessadas.
Convém que o processo de gerenciamento de problemas forneça uma ligação entre os erros
conhecidos, as soluções temporárias e os itens de configuração.
Convém que o processo de gerenciamento de mudanças forneça detalhes de mudanças nos itens
de configuração e a aprovação para refletir essas mudanças no BDGC.
Convém que todos os processos recebam informações atualizadas e exatas sobre todos os itens
de configuração dentro do escopo do seu processo
A alta direção é responsável por assegurar que todos os ativos, incluindo licenças, usadas para
fornecer serviços, sejam geridos de acordo com os requisitos estatutários e regulatórios, e as
obrigações contratuais. O gerenciamento de configuração é um meio primário pelo qual este
requisito é alcançado.
avaliação de qualquer desenho técnico para assegurar que os serviços continuem a cumprir as
metas de disponibilidade particulares quando a capacidade global puder aumentar. Convém que
a revisão antecipada e a atualização do plano de gerenciamento de continuidade forneçam qualquer
nova e significativa liberação. Convém que a programação de testes e revisões de continuidade,
apropriados, seja realizada antes da liberação e implementação.
Convém que o processo de gerenciamento de capacidade forneça informações e apoio em relação
à compra e instalação de capacidade adicional para apoiar a liberação. Isso pode incluir a reserva
de capacidade para ambientes de desenvolvimento e teste.
Convém que os processos do sistema de gestão de serviços forneçam um plano de segurança
atualizado em conformidade com a adoção de novas políticas, práticas e ferramentas que resultam
da liberação.
Convém que o processo de gerenciamento de fornecedores forneça os contratos e acordos
necessários que estão em vigor ou são atualizados antes da aquisição e suporte dos componentes
técnicos dentro de uma liberação. Isso contribui para a liberação estar em produção.
Convém que o processo de gerenciamento de mudanças forneça a requisição de mudanças
aprovada para o gerenciamento de liberação e implementação.
Convém que o processo de gerenciamento de nível de serviços receba atualizações referentes a
qualquer mudança de serviços ou documentação de nível de serviços e contatos-chaves.
Convém que o processo de gerenciamento de problemas receba avisos e registros de qualquer
defeito e as correspondentes soluções temporárias que serão promovidas para o ambiente de
produção com a liberação.
Convém que o processo de gerenciamento de configuração receba informações refletindo as
mudanças no ambiente de produção após as liberações. Esta informação assegurará a exatidão do
BDGC. Informações adicionais relevantes sobre as liberações para o BDGC irão incluir atualizações
de itens de configuração modificados ou retirados e serviços novos que substituem serviços legados.
Exemplo de integração entre gerenciamento de liberação e implementação e o resto do
SGS inclui:
Convém que o processo de gerenciamento de liberação e implementação leve em conta qualquer
treinamento, contratação ou operação assistida requerida como parte da liberação.
Convém que a alta direção assegure que a quantidade e as habilidades dos recursos de pessoal
contratados ou utilizados pelo provedor de serviço são suficientes para construir, testar e implantar
a liberação, assim como suportar e operar a nova liberação uma vez na produção.
Bibliografia
NOTA BRASILEIRA A ISO revisou o ISO/IEC TR 20000-3, e o publicou como Norma (ISO/IEC 20000-3),
em 2012, desta forma a ABNT está em processo de adoção da referida Norma.
[3] ABNT NBR ISO 9000, Sistemas de gestão da qualidade – Fundamentos e vocabulário
[5] ABNT NBR ISO 9004, Gestão para o sucesso sustentado de uma organização – Uma abordagem
da gestão da qualidade
[6] ABNT NBR ISO 10002, Gestão da qualidade – Satisfação do cliente – Diretrizes para o tratamento
de reclamações nas organizações
[7] ABNT NBR ISO/IEC 12207, Engenharia de sistemas e software – Processos de ciclo de vida
de software
[8] ABNT NBR ISO/IEC 15288, Engenharia de sistemas e software – Processos de ciclo de vida
de sistema
[9] ABNT NBR ISO/IEC 15504-1, Tecnologia da informação – Avaliação de processo – Parte 1:
Conceitos e vocabulário
[10] ABNT NBR ISO/IEC 15504-2, Tecnologia da informação – Avaliação de processo – Parte 2:
Realização de uma avaliação
[11] ABNT NBR ISO/IEC 15504-3, Tecnologia da informação – Avaliação de processo – Parte 3:
Orientações para realização de uma avaliação
[12] ABNT NBR ISO/IEC 15504-4, Tecnologia da informação – Avaliação de processo – Parte 4:
Orientação no uso para melhoria do processo e determinação da potencialidade do processo
[13] ABNT NBR ISO/IEC 15939, Engenharia de sistemas e de software – Processo de medição
[14] ABNT NBR ISO 19011, Diretrizes para auditoria de sistemas de gestão
[15] ABNT NBR ISO/IEC 27001, Tecnologia da informação – Técnicas de segurança – Sistemas
de gestão de segurança da informação – Requisitos
[18] ISO/IEC TR 20000-4, Information technology – Service management – Part 4: Process reference
model
[19] ISO/IEC TR 9126-2, Software engineering – Product quality – Part 2: External metrIC
Exemplar para uso exclusivo - Easy Net Comercio de Equipamentos de Informatica Ltda - ME - 06.733.460/0001-05 (Pedido 735517 Impresso: 22/04/2020)
[20] ISO/IEC TR 9126-3, Software engineering – Product quality – Part 3: Internal metrIC
[21] ISO 10007, Sistemas de gestão da qualidade – Diretrizes para gestão de configuração
[23] ISO/IEC 15504-5, Information technology – Process assessment – Part 5: An exemplar Process
Assessment Model
[25] ISO/IEC TR 24748-2, Systems and software engineering – Life cycle management – Part 2: Guide
to the application of ISO/IEC 15288 (System life cycle processes)
[26] ISO/IEC TR 24748-3, Systems and software engineering – Life cycle management – Part 3: Guide
to the application of ISO/IEC 12207 (Software life cycle processes)
[27] ISO/IEC 27002, Information technology – Security techniques – Code of practice for information
security management
[28] ISO/IEC 27005, Information technology – Security techniques – Information security risk
management
[29] ISO/IEC 90003, Software engineering – Guidelines for the application of ISO 9001:2000
to computer software