ISO/IEC 20000-1:2005(E)

Padrão Internacional ISO/IEC 20000-1 Primeira Edição15-12-2005Tecnologia da informação - gerenciamento de serviços -Parte 1:EspecificaçãoTecnologias de linformation - Serviços de Gestão

Parte 1: Especificações

AVISO LEGAL PDFEste arquivo PDF pode conter fontes incorporadas. De acordo com a

política de licenciamento da Adobe, este arquivo pode ser impresso ou visualizado, mas não deverá ser editadas, a tipos que estão embutidos são licenciados e instalados no computador realizando a edição. Ao fazer o download deste arquivo, as partes aceitam nele a responsabilidade de não violar a política de licenciamento da Adobe. A ISO Secretariado Central não assume qualquer responsabilidade neste domínio.

Adobe é uma marca comercial da Adobe Systems Incorporated.Detalhes dos produtos de software usado para criar este arquivo em

PDF podem ser encontrados nas Informações gerais relativos aos autos, os parâmetros de criação de PDF foram optimizados para impressão. Todo cuidado foi tomado para garantir que o arquivo é adequado para utilização pelos organismos membros da ISO. No caso improvável de que um problema relacionado com ela é encontrado, por favor, informar o Secretariado Central, no endereço indicado abaixo.

Todos os direitos reservados. Salvo disposição em contrário, nenhuma parte desta publicação pode ser reproduzida ou utilizada em qualquer forma ou por qualquer meio, eletrônico ou mecânico, incluindo fotocópia e microfilme, sem permissão por escrito pela ISO no endereço abaixo, ou ISO é membro do corpo no país do solicitante.

ISO Escritório de Direitos Autorais.Case Postale 56 CH-1211 Genebra 20Tel. + 41 22 749 01 11Fax + 41 22 749 09 47E-mail copyright@iso.orgwww.iso.org WebPublicado na Suíça© ABNT 2005 - Todos os direitos reservados

ISO / IEC 20000-1:2005 (E)© ABNT 2005 - Todos os direitos reservados

1

ISO/IEC 20000-1:2005(E)

Prefácio A ISO (International Organization for Standardization) e IEC

(International Electrotechnical Commission) formam o sistema especializado para padronização mundial. Entidades nacionais que são membros da ISO ou IEC participam do desenvolvimento de Padrões Internacionais através de comitês técnicos estabelecidos pela respectiva organização para lidar com campos específicos de atividade técnica. ISO e IEC comissões técnicas colaboram em campos de interesse mútuo. Outras organizações internacionais, governamentais e não governamentais, em ligação com a ISO e IEC, também participam do trabalho. No campo da tecnologia da informação, a ISO ea IEC estabeleceram um comitê técnico conjunto, ISO/IEC JTC 1. Normas Internacionais são preparadas de acordo com as regras estabelecidas nas Diretivas ISO/IEC, Parte 2.

A principal tarefa da comissão técnica conjunta é preparar as Normas Internacionais. Projeto Padrões Internacionais adotados pelo comitê técnico conjunto são circulados nos órgãos nacionais para votação. A publicação como Norma Internacional requer aprovação de pelo menos 75% dos organismos nacionais com direito a voto.

Atenção para a possibilidade de que alguns dos elementos deste documento podem ser objeto de direitos de patente. ISO e IEC não serão responsabilizados pela identificação de quaisquer direitos de patentes.

ISO/IEC 20000-1 foi elaborada pela BSI (como BS 15000-1) e foi aprovada, no âmbito de um especial "procedimento acelerado", pelo Comitê Técnico ISO/IEC JTC 1, Tecnologia da Informação, em paralelo com a sua aprovação pelos órgãos nacionais da ISO e IEC.

ISO/IEC 20000 é composta das seguintes partes, sob o título geral de

Tecnologia da Informação - Serviço gestão:

⎯ Parte 1: Especificação ⎯ Parte 2: Código de prática

2

ISO/IEC 20000-1:2005(E)

SumárioParte 1: Especificações.................................................................................................................1

Prefácio.....................................................................................................................................2

Introdução................................................................................................................................4

1 Scopo.....................................................................................................................................6

2 Termos e definições..........................................................................................................7

2.1 Disponibilidade............................................................................................................7

2.2 Basal...............................................................................................................................7

2.3 Registro de mudança................................................................................................7

2.4 Configuração (CI).......................................................................................................7

2.5 Configuration Management Database (CMDB)................................................7

2.6 O documento...............................................................................................................7

2.7 Incidente.......................................................................................................................8

2.8 Problema.......................................................................................................................8

2.9 Recorde..........................................................................................................................8

2.10 Liberação....................................................................................................................8

2.11 Pedido de alteração................................................................................................8

2.12 Service desk..............................................................................................................8

2.13 Acordo de nível de serviço (SLA)........................................................................8

2.14 Gerenciamento de serviços.................................................................................8

2.15 Prestador de serviços.............................................................................................8

3 Requisitos para um sistema de gestão......................................................................8

3.1 A responsabilidade de gestão................................................................................9

3.2 Requisitos de Documentação................................................................................9

3.3 Competência, conscientização e treinamento.................................................9

4 Planejamento e gestão de serviços de execução.............................................10

4.1 Gerenciamento de serviços do Plano (Plano).................................................10

4.2 A gestão de serviços Implementar e fornecer os serviços (Do)..............11

4.3 Monitoramento, medição e análise (Check)...................................................11

4.4 A melhoria contínua (Lei)......................................................................................12

4.4.1 Política..................................................................................................................12

4.4.2 Gestão de melhorias.......................................................................................12

4.4.3 Atividades...........................................................................................................12

5 Planejamento e implementação de serviços novos ou alterados...................13

3

ISO/IEC 20000-1:2005(E)

6 processo de prestação de serviço.............................................................................13

6.1 Gerenciamento de nível de serviço...................................................................13

6.2 Relatórios de serviço...............................................................................................14

6.3 A continuidade de serviço e gerenciamento de disponibilidade.............14

6.4 Orçamento e contabilidade de serviços de TI................................................15

6.5 A gestão da capacidade.........................................................................................16

6.6 Gestão de segurança da informação................................................................16

7 processos de relacionamento......................................................................................17

7.1 Generalidades...........................................................................................................17

7.2 Gestão do relacionamento de negócios...........................................................17

7.3 Gestão de Fornecedores........................................................................................18

8 processos de resolução.................................................................................................19

8.1 Fundo............................................................................................................................19

8.2 A gestão de incidentes...........................................................................................19

8.3 Gerenciamento de Problemas.............................................................................19

9 Processos de controle....................................................................................................20

9.1 Gerenciamento de configuração.........................................................................20

Bibliography...............................................................................................................................21

Introdução Esta parte da NBR ISO/IEC 20000 promove a adoção de uma

abordagem de processos integrados para fornecer serviços gerenciados para atender as exigências do negócio e do cliente. Para

4

ISO/IEC 20000-1:2005(E)

uma organização funcionar de forma eficaz, tem que identificar e gerenciar diversas atividades interligadas. Uma atividade que usa recursos e geridas de forma a possibilitar a transformação de entradas em saídas, pode ser considerada como um processo. Muitas vezes, a saída de um processo de uma forma de entrada para outra. Integração coordenada e implementação dos processos de gerenciamento de serviços prevê o controle contínuo, maior eficiência e as oportunidades de melhoria contínua. Realizar as atividades e processos requer que as pessoas no balcão de atendimento, suporte de serviços, prestação de serviços e equipes de operações para ser bem organizada e coordenada. Ferramentas adequadas também são necessárias para assegurar que os processos sejam eficazes e eficientes.

Supõe-se que a execução das disposições desta parte da ISO/IEC 20000 é confiada a pessoas devidamente qualificadas e competentes.

Uma Norma Internacional não pretende incluir todas as disposições necessárias de um contrato.

As Normas Internacionais são responsáveis pela sua correta aplicação.

O cumprimento de uma norma internacional, não por si só confere imunidade de obrigações legais.

5

ISO/IEC 20000-1:2005(E)

1 Scopo Esta parte da NBR ISO/IEC 20000 define os requisitos para um

prestador de serviços para oferecer serviços gerenciados de qualidade aceitável para seus clientes.

Pode ser usado:

a) Pelas empresas que vão a concurso para os seus serviços;b) Por empresas que necessitam de uma abordagem coerente por

todos os prestadores de serviços em uma cadeia de suprimentos;

c) Pelos prestadores de serviços de referência para gerenciamento de serviços de TI;

d) Como base para uma avaliação independente;e) Por uma organização precisa demonstrar a capacidade de

fornecer serviços que atendam às necessidades do cliente, e f) Por uma organização que pretende melhorar o serviço através

da efetiva aplicação dos processos para monitorar e melhorar a qualidade do serviço.

Figura 1 - Gestão de Serviço de processos

Esta parte da NBR ISO/IEC 20000 especifica uma série de processos de perto a gestão dos serviços relacionados, como mostrado na Figura 1.

As relações entre os processos dependem da aplicação dentro de uma organização e são geralmente muito complexa para as relações do modelo e, portanto, entre os processos não são mostradas neste diagrama.

A lista de objetivos e controles contidos nesta parte da ISO/IEC 20000 não é exaustiva, e uma organização pode considerar que os objetivos e controles adicionais são necessários para satisfazer as

6

ISO/IEC 20000-1:2005(E)

suas necessidades de negócios. A natureza da relação profissional entre o prestador de serviços e negócios irão determinar como os requisitos desta parte da NBR ISO/IEC 20000 são implementadas, a fim de atingir o objetivo geral.

Como padrão de processo com base nesta parte da ISO/IEC 20000 não é pretendido para a avaliação do produto.

No entanto, as organizações que desenvolvem ferramentas de gerenciamento de serviços, produtos e sistemas podem utilizar tanto essa parte da norma ISO/IEC 20000 e o código de prática para ajudá-los a desenvolver ferramentas, produtos e sistemas que suportam melhor prática de gestão de serviços.

2 Termos e definiçõesPara efeitos do presente documento, os seguintes termos e

definições.

2.1 DisponibilidadeCapacidade de um componente ou serviço para executar a sua

função em um momento declarado ou durante um período de tempo determinado NOTA: Disponibilidade normalmente é expressa como uma razão entre o tempo que o serviço está realmente disponível para uso pela empresa para as horas de serviço acordados.

2.2 BaselineInstantâneo do estado de um serviço ou itens de configuração

individual em um ponto no tempo (ver 2.4)

2.3 Registro de mudançaRegistro contendo detalhes de quais itens de configuração (ver

2.4) é afetado e como eles são afetados por uma mudança autorizada.

2.4 Configuração (CI)Componente de uma infraestrutura ou um item que é, ou será,

sob o controle do gerenciamento de configuração.NOTA: Itens de configuração pode variar muito em tamanho, complexidade e tipo, que vão desde um sistema completo, incluindo todo o hardware, software e documentação, para um único módulo ou um componente de hardware de menor importância.

2.5 Configuration Management Database (CMDB)Banco de dados contendo todos os detalhes relevantes de cada item de configuração e detalhes importantes das relações entre eles.

2.6 O documentoInformação e seu suporte de apoio:

7

ISO/IEC 20000-1:2005(E)

NOTA 1: Neste padrão, os registros (ver 2.9) distinguem-se dos documentos pelo fato de que eles funcionam como evidências de atividades, ao invés de provas das intenções.NOTA 2: Exemplos de documentos incluem declarações políticas, planos, procedimentos, acordos de nível de serviço e contratos.

2.7 Incidente Qualquer evento que não faz parte da operação padrão de um

serviço e que cause ou possa causar uma interrupção ou redução, a qualidade desse serviço. NOTA: Observação Isso pode incluir questões pedido como "Como fazer...? Chamadas”.

2.8 ProblemaCausa subjacente desconhecida de um ou mais incidentes.

2.9 RecordResultados obtidos que fornece evidências de atividades

realizadas NOTA 1: Neste padrão, os registros são distinguidos dos documentos pelo fato de que eles funcionam como evidências de atividades, ao invés de provas das intenções. NOTA 2: Exemplos de registros incluem relatórios de auditoria, os pedidos de alteração, relatórios de incidentes, registros de treinamento individual e faturas enviadas aos clientes.

2.10 LiberaçãoColeção de itens da nova configuração e/ou alterados que são

testados e introduzidos no ambiente de convivência

2.11 Pedido de alteraçãoFormulário ou tela usada para registrar os detalhes de um

pedido de alteração de qualquer elemento de configuração dentro de um serviço ou infraestrutura

2.12 Service deskGrupo de apoio ao cliente que fazem uma grande proporção do

trabalho de apoio total.

2.13 Acordo de nível de serviço (SLA)Acordo escrito entre um prestador de serviços e um cliente que

os documentos dos serviços e níveis de serviço acordados.

2.14 Gerenciamento de serviçosGestão dos serviços para atender os requisitos de negócio.

2.15 Prestador de serviços A organização com o objetivo de alcançar a norma ISO/IEC

20000

8

ISO/IEC 20000-1:2005(E)

3 Requisitos para um sistema de gestão Objetivo: Proporcionar um sistema de gestão, incluindo políticas e um quadro que permita uma gestão eficaz e implementação de todos os serviços de TI.

3.1 A responsabilidade de gestão Através da liderança e ações, a alta gerência/executivo deve

apresentar provas de seu compromisso de desenvolver, implementar e melhorar a sua capacidade de gestão de serviços no âmbito do negócio da organização e as necessidades dos clientes.

Administração:

a) Estabelecer o serviço de gerenciamento de políticas, objetivos e planos;

b) Comunicar a importância do cumprimento dos objetivos de serviço de gestão e a necessidade de melhoria contínua;

c) Assegurar que os requisitos do cliente são determinados e atendidos com o propósito de melhorar a satisfação do cliente;

d) Designar um membro da gerência responsável pela coordenação e gestão de todos os serviços;

e) Determinar e prover recursos para planejar, implementar, monitorizar, rever e melhorar a prestação de serviços e gestão, por exemplo recrutamento de pessoal adequado, gerenciar a rotatividade de pessoal;

f) Controlar os riscos para a organização de gerenciamento de serviços e serviços e

g) Realizar análises de gestão de serviços, em intervalos planejados, para assegurar a contínua adequação e eficácia.

3.2 Requisitos de Documentação Os prestadores de serviços devem fornecer os documentos e

registros para assegurar o planejamento eficaz, operação e controle de gestão de serviços. Este deve incluir:

a) As políticas de serviços documentadas e planos de gestão; b) Documentadas acordos de nível de serviço; c) Os processos e procedimentos documentados exigidos por esta

norma, e d) Registros requeridos por esta norma.

Procedimentos e responsabilidades devem ser estabelecidos para a criação, revisão, aprovação, manutenção, eliminação e controle dos vários tipos de documentos e registros. Observação: A documentação pode estar em qualquer forma ou tipo de mídia.

3.3 Competência, conscientização e treinamento Todas as funções de gerenciamento de serviços e

responsabilidades devem ser definidos e mantidos juntos com as

9

ISO/IEC 20000-1:2005(E)

competências necessárias para executá-los de forma eficaz. Funcionários competências e necessidades de formação deve ser revista e conseguiu habilitar pessoal para desempenhar seu papel de forma eficaz.

A alta administração deve assegurar que seus empregados estão cientes da relevância e importância de suas atividades e como elas contribuem para a consecução dos objetivos de gestão de serviços.

4 Planejamento e gestão de serviços de execução NOTA: A metodologia conhecida como "Plan-Do-Check-Act" (PDCA) pode ser aplicado a todos os processos. PDCA pode ser descrito da seguinte forma:

a) Plano: estabelecer os objetivos e processos necessários para entregar resultados de acordo com as necessidades do cliente e políticas da organização;

b) Fazer: implementar os processos; c) Verificar: monitorar e medir processos e serviços contra

as políticas, objetivos e requisitos e relatar os resultados; d) Lei: tomar ações para melhorar continuamente o

desempenho do processo.

Figura 2 - Plan-Do-Check-Act metodologia para gerenciamento de serviços de processos

O modelo mostrado na Figura 2 ilustra o processo de articulação e processos apresentados nos capítulos 4-10.

4.1 Gerenciamento de serviços do Plano (Plano)Objetivo: planejar a execução e entrega da gestão do serviço.

O gerenciamento de serviços deve ser planejado. Os planos devem, no mínimo, define:

a) O âmbito da gestão do prestador de serviços;b) Os objetivos e requisitos que devem ser atingidos pela gestão

dos serviços;c) Os processos que estão a ser executado;

10

ISO/IEC 20000-1:2005(E)

d) O quadro de cargos de gestão e responsabilidades, incluindo o proprietário sênior responsável, dono do processo e de gestão dos fornecedores;

e) As interfaces entre os processos de gerenciamento de serviços e na forma em que as atividades devem ser coordenadas;

f) O método a ser adotado na identificação, avaliação e gerenciamento de problemas e riscos para a concretização dos objetivos definidos;

g) A abordagem para interface com projetos que são a criação ou modificação de serviços;

h) Os recursos, instalações e orçamento necessário para atingir os objetivos definidos;

i) Como ferramentas apropriadas para suportar os processos e j) Como a qualidade do serviço serão geridos, controlados e

melhorados.

Haverá direção, gestão e responsabilidades claras documentado para a revisão, autorizando, comunicar, implementar e manter os planos.

Qualquer processo de planos específicos produzidos deve ser compatível com este plano de gerenciamento de serviços.

4.2 A gestão de serviços Implementar e fornecer os serviços (Do)Objetivo: implementar os objetivos do serviço de gestão e plano.

O prestador de serviços devem implementar o plano de gerenciamento de serviços para gerenciar e realizar os serviços, incluindo:

a) Alocação dos fundos e orçamentos;b) A atribuição de papéis e responsabilidades;c) Documentar e manter as políticas, planos, procedimentos e

definições para cada processo ou conjunto de processos;d) Identificação e gestão de riscos para o serviço;e) As equipas de gestão, por exemplo, recrutamento e

desenvolvimento de pessoal adequado e continuidade de gestão de pessoal;

f) Facilidades de gestão e orçamento;g) Gestão das equipas, incluindo serviço de atendimento e

operações;h) Relatório de andamento contra os planos ei) A coordenação dos processos de gestão de serviços.

4.3 Monitoramento, medição e análise (Check)Objetivo: quantificar, acompanhar e analisar que os objetivos e o plano de gerenciamento de serviços estão sendo alcançados.

O prestador de serviços deve aplicar métodos adequados para monitoramento e, onde é aplicável, para medição dos processos de gestão de serviços. Esses métodos devem demonstrar a capacidade dos processos em alcançar os resultados planejados.

11

ISO/IEC 20000-1:2005(E)

Administração deve realizar revisões em intervalos planejados para determinar se os requisitos de gerenciamento de serviços:

a) Estar em conformidade com o plano de gerenciamento de serviços e com os requisitos desta norma, e

b) Sejam efetivamente implementadas e mantidas.

Um programa de auditoria deve ser planejado, levando em consideração a situação e a importância dos processos e áreas a serem auditadas, bem como os resultados de auditorias anteriores. Os critérios da auditoria, escopo, frequência e métodos devem ser definidos em um procedimento. A seleção dos auditores e a execução das auditorias devem assegurar objetividade e imparcialidade do processo de auditoria. Os auditores não devem auditar seu próprio trabalho.

O objetivo do serviço de gestão de opiniões, avaliações e auditorias devem ser registados juntamente com os resultados dessas auditorias e revisões e quaisquer ações corretivas identificadas. Todas as áreas significativas de abandono ou preocupação devem ser comunicadas às partes relevantes.

4.4 A melhoria contínua (Act) Objetivo: melhorar a eficácia e a eficiência da prestação de serviços e gestão.

4.4.1 PolíticaNão deve ser uma política publicado em melhoria dos serviços.

Qualquer não conformidade com as normas ou os planos de gestão de serviço deve ser corrigida. Papéis e responsabilidades para as atividades de melhoria de serviço devem ser claramente definidas.

4.4.2 Gestão de melhoriasTodas as melhorias sugeridas serviço serão avaliadas,

registrados, priorizadas e autorizadas. Um plano deve ser usado para o controle da atividade.

O prestador de serviços deve ter um processo para identificar, medir, relatar e gerenciar as atividades de melhoria em uma base contínua. Este deve incluir:

a) A melhoria de um processo individual que pode ser implementado pelo proprietário do processo com os recursos humanos de costume, por exemplo, desempenho individual de ações corretivas e preventivas, e

b) Melhorias em toda a organização ou em mais de um processo.

4.4.3 Atividades O prestador de serviços deverá realizar atividades para:

12

ISO/IEC 20000-1:2005(E)

a) Recolher e analisar dados de base e referência para a capacidade do provedor de serviços para gerenciar e oferecer serviços e processos de gestão de serviços;

b) Identificar, planejar e implementar melhorias;c) Com todas as partes envolvidas;d) Metas para a melhoria da qualidade, custos e utilização de

recursos;e) Considerar insumos relevantes sobre a melhoria de todos os

processos de gestão de serviços;f) Medir, relatar e comunicar a melhoria dos serviços;g) Revisar as políticas de gerenciamento de serviços, processos,

procedimentos e planos, quando necessária;h) Garantir que todas as ações aprovadas são entregues e que

eles atinjam os objetivos pretendidos.

5 Planejamento e implementação de serviços novos ou alterados Objetivo: garantir que os novos serviços e mudanças nos serviços de entrega e será administrável ao custo e qualidade de serviço acordado.

As propostas de serviços novos ou modificados devem considerar o custo do impacto, organizativas, técnicas e comerciais que poderiam resultar da prestação de serviços e gestão.

A execução dos serviços novos ou modificados, incluindo o encerramento de um serviço, devem ser planeadas e aprovadas através de uma gestão de mudança formal.

O planejamento e a execução incluirá um financiamento adequado e recursos para fazer as mudanças necessárias para a prestação de serviços e gestão.

Os planos devem incluir:

a) Os papéis e responsabilidades para implementar, operar e manter o serviço novo ou modificado, incluindo atividades a serem realizadas por clientes e fornecedores;

b) As alterações ao atual quadro de serviços de gestão e serviços;c) A comunicação com as partes relevantes;d) Os contratos novos ou alterados e acordos para alinhar com as

mudanças na necessidade do negócio;e) Os requisitos de pessoal e recrutamento;f) As habilidades e requisitos de formação, por exemplo, usuários,

suporte técnico;g) Processos, medidas, métodos e ferramentas a serem usadas em

conexão com o serviço novo ou modificado, por exemplo, gestão de capacidade, gestão financeira;

h) Os orçamentos e calendários;i) Serviços de critérios de aceitação e

13

ISO/IEC 20000-1:2005(E)

j) Os resultados esperados de operar o novo serviço expresso em termos mensuráveis.

Mudanças ou serviço novos serão aceitos pelo prestador de serviço antes de serem implementadas no ambiente ao vivo.

O prestador de serviços apresentará um relatório sobre os resultados obtidos pelo serviço novo ou alterado contra aqueles planejados após a sua implementação. Uma avaliação após a implementação comparando os resultados reais contra os prevista deve ser feita através do processo de gestão de mudança.

6 processo de prestação de serviço

6.1 Gerenciamento de nível de serviço Objetivo: Definir, concordar, registrar e gerenciar níveis de serviço.

A gama completa de serviços a serem prestados em conjunto com as metas de nível de serviço correspondente e as características de carga de trabalho deve ser acordado entre as partes e registrado.

Cada serviço prestado deve ser definido, acordadas e documentadas em um ou mais acordos de nível de serviço (SLAs).

SLAs, juntamente com o apoio de acordos de serviço, contratos com fornecedores e os procedimentos correspondentes, devem ser acordadas por todas as partes relevantes e registradas.

Os SLAs devem estar sob o controle do processo de gestão da mudança.

Os SLAs devem ser mantidos por revisões periódicas pelas partes para garantir que eles estão atualizados e permanecer eficaz ao longo do tempo.

Os níveis de serviço devem ser monitorizados e relatados contra alvos, mostrando tanto a informação atual e tendência.

As razões para a não conformidade devem ser comunicados e analisados. Ações de melhoria identificadas durante este processo devem ser registados e fornecer subsídios para um plano para melhorar o serviço.

6.2 Relatórios de serviço Objetivo: Para produzir acordado, oportuna, confiável e relatórios precisos para tomada de decisão informada e comunicação eficaz.

Deve haver uma descrição clara de cada relatório de serviço, incluindo a sua identidade, o propósito de audiência, e os detalhes da fonte de dados.

Relatórios de serviços devem ser produzidos para atender às necessidades identificadas e as necessidades do cliente. Serviço de informação deve incluir:

a) Desempenho contra alvos nível de serviço;b) Não conformidade e questões, por exemplo, contra a violação

de segurança SLA;

14

ISO/IEC 20000-1:2005(E)

c) As características de carga de trabalho, por exemplo, volume, utilização de recursos;

d) Relatórios de desempenho após grandes eventos, por exemplo, maiores incidentes e mudanças;

e) Informações sobre as tendências;f) Análise de satisfação.

As decisões de gestão e as ações corretivas devem tomar em consideração os resultados dos relatórios de serviço e deve ser comunicada às partes relevantes.

6.3 A continuidade de serviço e gerenciamento de disponibilidade Objetivo: garantir que os compromissos acordados, continuidade de serviço e disponibilidade aos clientes podem ser atendidos em todas as circunstâncias.

Disponibilidade de continuidade e de serviço deve ser identificada com base em planos de negócios, SLAs e avaliações de risco. Os requisitos devem incluir os direitos de acesso e tempos de resposta, bem como do princípio ao fim da disponibilidade de componentes do sistema. Planos de continuidade, disponibilidade e de serviço devem ser desenvolvidos e revistos pelo menos anualmente para garantir que os requisitos sejam cumpridos conforme acordado em todas as circunstâncias do normal até uma grande perda de serviço. Estes planos devem ser preservados para garantir que eles reflitam as alterações acordadas exigidas pela empresa.

Os planos de continuidade, disponibilidade e de serviço devem ser re-testadas em cada mudança importante para o ambiente de negócios.

O processo de gerenciamento de mudanças deve avaliar o impacto de qualquer mudança na disponibilidade e plano de continuidade de serviço.

Disponibilidades devem ser medidas e registados. Não planejadas indisponibilidade devem ser investigadas e as ações apropriadas serão tomadas.

OBSERVAÇÃO: Sempre que possíveis problemas potenciais devem ser previstas e medidas preventivas tomadas.

Planos de continuidade de serviço, listas de contato e o banco de dados de gerenciamento de configuração devem estar disponíveis quando o acesso é impedido de escritório normal. O plano de continuidade do serviço deve incluir o retorno ao trabalho normal.

O plano de continuidade de serviço deve ser testado de acordo com as necessidades do negócio.

Todos os testes de continuidade devem ser gravados e falhas nos testes devem ser formuladas em planos de ação.

15

ISO/IEC 20000-1:2005(E)

6.4 Orçamento e contabilidade de serviços de TIObjetivo: orçamentários e de conta para o custo da prestação do serviço.

NOTA: Esta seção cobre o orçamento e a contabilidade de serviços de TI. Na prática, muitos prestadores de serviços estarão envolvidos na cobrança de tais serviços. No entanto, desde o carregamento é uma atividade opcional, não é abrangido pela norma. Os prestadores de serviços que são recomendados quando a carga estiver em uso, o mecanismo para fazer isso é totalmente definido e compreendido por todas as partes. Todas as práticas contábeis em uso devem estar alinhadas com as práticas de contabilidade geral de organização do prestador de serviços.

Haverá políticas e processos claros para:

a) Orçamentação, e contabilização de todos os componentes, incluindo os ativos de TI, recursos compartilhados, as despesas gerais e externamente fornecida serviço, as pessoas, os seguros e licenças;

b) Repartição dos custos indiretos e imputação dos custos diretos para os serviços;

c) O controlo financeiro eficaz e autorização.

Os custos serão orçados em detalhe suficiente para permitir um controlo financeiro eficaz e tomada de decisão.O prestador de serviços deve monitorar e relatar os custos em relação ao orçamento, revisão das previsões financeiras e gerenciar os custos de conformidade.Alterações aos serviços devem ser avaliados e aprovados pelo processo de gestão da mudança.

6.5 A gestão da capacidade Objetivo: garantir que o prestador de serviços, em todos os momentos, capacidade suficiente para atender as demandas atuais e futuras do negócio acordado as necessidades do cliente.O gerenciamento de capacidade é produzir e manter um plano de capacidade.

Capacidade de gestão deve abranger as necessidades da empresa e incluem:

a) Capacidade atual e previsto e os requisitos de desempenho;b) Identificar escalas de tempo, os limiares e os custos para a

atualização de serviços;c) Avaliação dos efeitos de atualizações de serviço esperado, os

pedidos de mudança, novas tecnologias e técnicas sobre a capacidade;

d) Prevê impacto das mudanças externas, por exemplo, legislativa;

16

ISO/IEC 20000-1:2005(E)

e) Os dados e processos para permitir a análise preditiva.

Métodos, procedimentos e técnicas devem ser identificados para acompanhar a capacidade de serviço, o desempenho do serviço sintonia e proporcionem uma capacidade adequada.

6.6 Gestão de segurança da informaçãoObjetivo: Gerenciar a segurança da informação de forma eficaz em todas as atividades de serviços.NOTA: ISO/IEC 17799, Tecnologia da informação - Técnicas de segurança - Código de prática para a gestão da segurança da informação fornece orientação sobre a gestão da segurança da informação.

Gestão com a autoridade competente deve aprovar uma política de segurança da informação que será comunicada a todos os funcionários em causa e os clientes sempre que necessário.

Controles de segurança apropriados devem funcionar para:

a) Cumprir os requisitos da política de segurança da informação;b) Gerenciar os riscos associados ao acesso ao serviço ou

sistemas.c) Os controles de segurança devem ser documentados. A

documentação deve descrever os riscos a que os controles se relacionam e o modo de operação e manutenção dos controles.

O impacto das mudanças nos controles deve ser avaliado antes que as mudanças sejam implementadas.

Acordos que envolvam organismos externos terem acesso aos sistemas e serviços de informação deve ser baseado em um acordo formal que define todos os requisitos de segurança necessários.

Os incidentes de segurança devem ser comunicadas e registradas de acordo com o processo de gerenciamento de incidentes, o mais rapidamente possível. Devem existir procedimentos para assegurar que todos os incidentes são investigados, e as medidas de gestão tomadas.

Mecanismos devem ser criados para permitir que tipos, quantidades e os impactos dos incidentes e falhas a serem quantificados e monitorados. Ações de melhorias identificadas durante este processo devem ser registados e fornecer subsídios para um plano para melhorar o serviço.

7 processos de relacionamento

7.1 Generalidades Relação de processos descreve os dois aspectos relacionados

com a Gestão de Fornecedores e Relacionamento da Gestão Empresarial.

17

ISO/IEC 20000-1:2005(E)

7.2 Gestão do relacionamento de negócios Objetivo: estabelecer e manter um bom relacionamento entre o prestador do serviço e o cliente com base no entendimento do cliente e seus drivers de negócio.

O prestador de serviços deve identificar e documentar os stakeholders e clientes dos serviços. O prestador do serviço e o cliente deve comparecer a uma revisão do serviço para discutir alterações no escopo do serviço, SLA, o contrato (se houver) ou a empresa precisa de pelo menos anualmente e realizar reuniões intercalares a intervalos concordaram em discutir a performance, realizações, questões e planos de ação. Essas reuniões devem ser documentadas.

Outros interessados no serviço podem também ser convidados para as reuniões.

Alterações ao contrato(s), se presente, e SLA(s) deverá seguir a partir destas reuniões. Estas alterações devem ser submetidas ao processo de gestão da mudança.

O prestador de serviços deve permanecer atento às necessidades de negócios e grandes mudanças, a fim de se preparar para responder a essas necessidades.

Deve haver um processo de reclamações. A definição de uma queixa formal de serviço deve ser acordado com o cliente. Todas as queixas formais serviço devem ser registradas pelo prestador de serviços investigados, a ação, relatados e formalmente fechado. Sempre que a queixa não for resolvido através dos canais normais, o escalonamento deve estar disponível para o cliente.

O prestador de serviços deve ter uma pessoa singular ou indivíduos que são responsáveis por gerenciar a satisfação do cliente e todo o processo de relacionamento de negócios. Um processo deve existir para a obtenção de feedback e agir a partir de medições regulares de satisfação do cliente. Ações de melhoria identificadas durante este processo devem ser registadas e entrada em um plano para melhorar o serviço.

7.3 Gestão de Fornecedores Objetivo: Gerenciar fornecedores para garantir o fornecimento de uniforme, serviços de qualidade. NOTA 1: O âmbito de aplicação desta norma exclui a contratação de fornecedores. NOTA 2: Os fornecedores podem ser utilizadas pelo prestador de serviço para a prestação de uma parte do serviço. É o prestador de serviços que precisa para demonstrar a conformidade com esses processos de gestão de fornecedores. As relações complexas podem estar presentes, como demonstrado no diagrama abaixo, que é usado como um exemplo:

18

ISO/IEC 20000-1:2005(E)

Figura 3 - Exemplo de relacionamento entre prestadores de serviços e fornecedores

O prestador de serviços deve ter documentado os processos de gestão do fornecedor e deve nomear um gestor do contrato responsável por cada fornecedor.

Os requisitos, âmbito, nível de serviço e processos de comunicação a ser prestado pelo fornecedor (s) devem ser documentados de SLAs ou outros documentos e aprovada por todas as partes.

SLAs com os fornecedores devem estar alinhados com o SLA (s) com o negócio.

As interfaces entre os processos utilizados por cada uma das partes devem ser documentadas e aprovadas.

Todos os papéis e relações entre lead e fornecedores subcontratados devem ser claramente documentados. Fornecedores de lead devem ser capazes de demonstrar os processos para garantir que os fornecedores subcontratados atendem os requisitos contratuais.

Um processo deve estar no local para uma grande revisão do contrato ou acordo formal, pelo menos anualmente para garantir que as necessidades do negócio e as obrigações contratuais ainda estão sendo cumpridas.

Alterações ao contrato (s), se presente, e SLA (s) deverá seguir a partir dessas avaliações, conforme apropriado, ou em outras vezes, conforme necessário. Quaisquer alterações serão submetidas ao processo de gestão da mudança.

Um processo deve existir para lidar com disputas contratuais.Um processo deve ser posto em prática para lidar com o final

esperado de serviço, terminar mais cedo do serviço ou transferência do serviço para outro partido.

Desempenho em relação aos objetivos de nível de serviço deve ser monitorizada e avaliada. Ações de melhoria identificadas durante este processo devem ser registadas e entrada em um plano para melhorar o serviço.

19

ISO/IEC 20000-1:2005(E)

8 processos de resolução

8.1 Fundo Gestão de incidentes e problemas são processos distintos,

embora estejam intimamente ligados.

8.2 A gestão de incidentes Objetivo: Para restaurar o serviço acordado para o negócio o mais rapidamente possível, ou para responder às solicitações de serviço.

Todos os incidentes devem ser registrados.Serão adoptados procedimentos para gerir o impacto dos

incidentes.Os procedimentos devem definir a gravação, priorização, o

impacto nos negócios, a qualificação, atualização, escalada, resolução e encerramento formal de todos os incidentes.

O cliente será informado sobre o andamento dos seus incidentes comunicado ou pedido de serviço e alertado com antecedência se os seus níveis de serviço não podem ser cumpridas e uma ação acordada.

Todo o pessoal envolvido no gerenciamento de incidentes deve ter acesso a informações relevantes, tais como erros conhecidos, resolução de problemas eo banco de dados de gerenciamento de configuração (CMDB). grandes incidentes serão classificados e geridos de acordo com um processo.

8.3 Gerenciamento de Problemas Objetivo: minimizar a interrupção nos negócios, identificação proativa e análise da causa de incidentes e gestão de problemas até o encerramento.

Todos os problemas identificados devem ser registrados.Os procedimentos devem ser adotados para identificar,

minimizar ou evitar o impacto dos incidentes e problemas. Eles devem definir o registo, classificação, atualização, escalada, resolução e fechamento de todos os problemas.

Medidas preventivas devem ser tomadas para reduzir os problemas potenciais, por exemplo, após análise de tendência dos volumes e tipos de incidentes.

Mudanças necessárias a fim de corrigir a causa subjacente dos problemas devem ser passadas para o processo de gestão da mudança.

A resolução de problemas devem ser monitorados, analisados e relatados em termos de eficácia.

Problema de gestão será responsável por garantir up-to-date informações sobre erros conhecidos e os problemas corrigidos estão disponíveis para gerenciamento de incidentes.

Ações de melhoria identificadas durante este processo devem ser registadas e entrada em um plano para melhorar o serviço.

20

ISO/IEC 20000-1:2005(E)

9 Processos de controle

9.1 Gerenciamento de configuração Objetivo: definir e controlar os componentes do serviço e infraestrutura e manter informações de configuração exata.

Deve haver uma abordagem integrada para a mudança e planejamento de gestão de configuração.

O prestador de serviços deve definir a interface para os processos de contabilidade financeira de ativos.NOTA: contabilidade de ativos financeiros está fora do escopo desta seção.

Deve haver uma política sobre o que é definido como um item de configuração e de seus componentes constituintes.

As informações devem ser registadas para cada item devem ser definidos e devem incluir as relações e documentação necessária para a gestão de serviço efetivo.

O gerenciamento de configuração deve fornecer os mecanismos de identificação, controle e rastreamento de versões dos componentes de identificação do serviço e infraestrutura.

Bibliography[1] ISO/IEC 20000-2, Information technology — Service management — Part 2: Code of practice[2] ISO/IEC 17799, Information technology — Security techniques — Code of practice for information security management[3] ISO/IEC 12207, Information technology — Software life cycle processes

21

ISO/IEC 20000-1:2005(E)

[4] ISO/IEC TR 15271, Information technology — Guide for ISO/IEC 12207 (Software life cycle processes)[5] ISO/IEC TR 16326, Software engineering — Guide for the application of ISO/IEC 12207 to project management[6] ISO/IEC 15288, Systems engineering — System life cycle processes[7] ISO/IEC TR 19760, Systems engineering — A guide for the application of ISO/IEC 15288 (System life cycle processes)[8] ISO/IEC 15504-1, Information technology — Process assessment — Part 1: Concepts and vocabulary[9] ISO/IEC 15504-2, Information technology — Process assessment — Part 2: Performing an assessment[10] ISO/IEC 15504-3, Information technology — Process assessment — Part 3: Guidance on performing an assessment[11] ISO/IEC 15504-4, Information technology — Process assessment — Part 4: Guidance on use for process improvement and process capability determination[12] ISO/IEC 15504-5, Information technology — Process assessment — Part 5: An exemplar ProcessAssessment Model[13] ISO 10007, Quality management systems — Guidelines for configuration management[14] ISO 9000, Quality management systems — Fundamentals and vocabulary[15] ISO 9001, Quality management systems — Requirements[16] ISO/IEC 90003, Software engineering — Guidelines for the application of ISO 9001:2000 to computer software

22