ISO/IEC 20000-2:2005(E)

INTERNACIONAL STANDARD ISO/IEC 20000-2Primeira edição 15-12-2005Tecnologia da Informação - Serviço gestão – Parte 2: Código de boas práticas

Parte 2: Código de Ética

Aviso Legal PDF Este arquivo PDF pode conter fontes incorporadas. De acordo com a

política de licenciamento da Adobe, este arquivo pode ser impresso ou visualizado, mas não deve ser editado a menos que as fontes que estão embutidos são licenciados e instalados no computador realizando a edição. Em baixar este arquivo, as partes aceitam nele a responsabilidade de não violar a política de licenciamento da Adobe. A ISO Secretaria Central não aceita qualquer responsabilidade nesta área.

Adobe é uma marca comercial da Adobe Systems Incorporated. Detalhes dos produtos de software usado para criar este arquivo em

PDF pode ser encontrada nas Informações Gerais relativo para o arquivo, o PDF-criação parâmetros foram otimizados para impressão. Todo cuidado foi tomado para garantir que o arquivo é adequado para utilização pelos organismos membros da ISO. Em o evento improvável que um problema relacionado com ela é encontrado, por favor, informar o Secretariado Central, no endereço indicado abaixo.

Todos os direitos reservados. Salvo disposição em contrário, nenhuma parte desta publicação pode ser reproduzida ou utilizada em qualquer forma ou por qualquer meio, eletrônico ou mecânico, incluindo fotocópia e microfilme, sem permissão por escrito pela ISO no endereço abaixo, ou ISO é membro do corpo no país do solicitante.

ISO Escritório de Direitos Autorais Case Postale 56 CH-1211 Genebra 20 Tel. + 41 22 749 01 11 Fax + 41 22 749 09 47 E-mail copyright@iso.org www.iso.org Web Publicado na Suíça

ISO/IEC 20000-2:2005(E)

SumárioParte 2: Código de Ética......................................................................................................1

Prefácio.....................................................................................................................................5

Introdução................................................................................................................................6

1 Escopo...................................................................................................................................6

2 Termos e definições..........................................................................................................7

3 O sistema de gestão.........................................................................................................7

3.1 A responsabilidade de gestão................................................................................8

3.2 Requisitos de Documentação................................................................................8

3.3 Competência, conscientização e treinamento.................................................8

3.3.1 Geral........................................................................................................................8

3.3.2 O desenvolvimento profissional....................................................................9

3.3.3 Abordagens para ser considerada................................................................9

4 Planejamento e gestão de serviços de execução.................................................10

4.1 Gerenciamento de serviços do Plano (Plano).................................................10

4.1.1 Âmbito da gestão de serviços......................................................................10

4.1.2 Abordagens de planejamento..........................................................................10

4.1.3 Eventos a serem considerados........................................................................10

4.1.4 Âmbito e conteúdo do plano............................................................................11

4.2 A gestão de serviços Implementar e fornecer os serviços (Do)..............11

4.3 Monitoramento, medição e análise (Check)...................................................11

4.4 A melhoria contínua (Lei)......................................................................................12

4.4.1 Política..................................................................................................................12

4.4.2 Planejamento para a melhoria dos serviços...........................................12

5 Planejamento e implementação de serviços novos ou alterados...................12

5.1 Tópicos para análise...............................................................................................12

5.2 Alterar registros........................................................................................................13

6.1 Gerenciamento de nível de serviço...................................................................13

6.1.1 Catálogo de serviço.........................................................................................13

6.1.2 Acordos de nível de serviço (SLAs)............................................................13

6.1.3 Nível de serviço de gestão de processos (SLM).....................................14

6.1.4 Apoiar acordos de serviços...........................................................................15

ISO/IEC 20000-2:2005(E)

6.2 Relatórios de serviço...............................................................................................15

6.2.1 Política..................................................................................................................15

6.2.2 Finalidade e controlo de qualidade sobre os relatórios de serviço.15

6.2.3 Relatórios de serviço.......................................................................................16

6.3 A continuidade de serviço e gerenciamento de disponibilidade.............16

6.3.1 Geral......................................................................................................................16

6.3.2 Monitoramento de disponibilidade e atividades....................................17

6.3.3 Estratégia de continuidade de serviço......................................................17

6.3.4 Continuidade do serviço de planejamento e testes.............................17

6.4 Orçamento e contabilidade de serviços de TI................................................18

6.4.1 Geral......................................................................................................................18

6.4.2 Política..................................................................................................................18

6.4.3 Orçamento..........................................................................................................19

6.4.4 Contabilidade.....................................................................................................19

6.5 A gestão da capacidade.........................................................................................19

6.6 Gestão de segurança da informação................................................................20

6.6.1 Geral......................................................................................................................20

6.6.2 Identificar e classificar os ativos de informação...................................20

6.6.3 A avaliação de segurança de práticas de risco......................................20

6.6.4 Os riscos para ativos de informação.........................................................20

6.6.5 Segurança e Disponibilidade da informação..........................................21

6.6.6 Controles.............................................................................................................21

6.6.7 Os documentos e registos.............................................................................21

7 processos de relacionamento......................................................................................22

7.1 Generalidades...........................................................................................................22

7.2 Gestão do relacionamento de negócios...........................................................23

7.2.1 Serviço de opiniões..........................................................................................23

7.2.2 Serviço de queixas...........................................................................................23

7.2.3 Medição da satisfação do cliente................................................................23

7.3 Gestão de Fornecedores........................................................................................24

7.3.1 Introdução...........................................................................................................24

7.3.2 Gestão de Contratos........................................................................................24

7.3.3 Definição de serviço........................................................................................24

7.3.4 Gerenciamento de múltiplos fornecedores.............................................25

ISO/IEC 20000-2:2005(E)

7.3.5 Gestão de conflitos contratuais...................................................................25

7.3.6 Final do contrato...............................................................................................25

8 processos de resolução.................................................................................................25

8.1 Fundo............................................................................................................................25

8.1.1 Estabelecimento de prioridades..................................................................25

8.1.2 Soluções...............................................................................................................26

8.2 A gestão de incidentes...........................................................................................26

8.2.1 Geral......................................................................................................................26

8.2.2 Grandes incidentes..........................................................................................27

8.3 Gerenciamento de Problemas.............................................................................27

8.3.1 Âmbito da gestão de problemas.................................................................27

8.3.2 Início do gerenciamento de problemas....................................................27

8.3.3 Erros Conhecidos..............................................................................................27

8.3.4 Resolução de Problemas................................................................................28

8.3.5 Comunicação......................................................................................................28

8.3.6 Acompanhamento e escalada......................................................................28

8.3.7 Incidentes e encerramento registro de problema................................28

8.3.8 Problema opiniões............................................................................................28

8.3.9 Tópicos para revisões.....................................................................................29

8.3.10 prevenção de problemas.............................................................................29

9 processos de controle....................................................................................................29

9.1 Gerenciamento de configuração.........................................................................29

9.1.1 Planejamento de gestão de configuração e implementação............30

9.1.2 Identificação da configuração......................................................................30

9.1.3 Controle de configuração..............................................................................31

9.1.4 Relato da situação da configuração e relatórios...................................32

9.1.5 Configuração de verificação e de auditoria.............................................32

9.2 Gerenciamento de Mudança................................................................................33

9.2.1 Planejamento e execução.............................................................................33

9.2.2 Encerramento e analisar a solicitação de mudança............................34

9.2.3 Mudanças de emergência.............................................................................34

9.2.4 A gestão da mudança relatórios, análises e ações..............................34

10 Processo de liberação..................................................................................................34

10.1 Processo de gerenciamento de lançamento................................................34

ISO/IEC 20000-2:2005(E)

10.1.1 Geral...................................................................................................................34

10.1.2 Política de publicação...................................................................................35

10.1.3 Lançamento e planejamento de implantação......................................35

10.1.4 Desenvolver ou adquirir software............................................................35

10.1.5 Projetar, construir e configurar liberação..............................................36

10.1.6 Verificação de lançamento e aceitação.................................................36

10.1.7 Documentação................................................................................................36

10.1.8 Roll-out, distribuição e instalação............................................................37

10.1.9 Liberação Correios e roll-out......................................................................38

Bibliography...............................................................................................................................38

Prefácio A ISO (International Organization for Standardization) e IEC

(International Electrotechnical Commission) formam o sistema especializado para padronização mundial. Entidades nacionais que são membros da ISO ou IEC participam do desenvolvimento de Padrões Internacionais através de comitês técnicos estabelecidos pela respectiva organização para lidar com campos específicos de atividade técnica. ISO e IEC comissões técnicas colaboram em campos de interesse mútuo. Outras organizações internacionais, governamentais e não-governamentais, em ligação com a ISO e IEC, também participam do trabalho. No campo da tecnologia da informação, a ISO e a IEC estabeleceram um comitê técnico conjunto, ISO/IEC JTC 1.

Normas Internacionais são preparadas de acordo com as regras estabelecidas nas Diretivas ISO/IEC, Parte 2.

A principal tarefa da comissão técnica conjunta é preparar as Normas Internacionais. Projeto Internacional

Normas aprovadas pelo comitê técnico conjunto são circulados nos órgãos nacionais para votação. A publicação como Norma Internacional requer aprovação de pelo menos 75% dos organismos nacionais com direito a voto.

Atenção para a possibilidade de que alguns dos elementos deste documento podem ser objeto de direitos de patente. ISO e IEC não serão responsabilizados pela identificação de quaisquer direitos de patentes.

ISO/IEC 20000-2 foi elaborada pela BSI (como BS 15000-2) e foi aprovada, no âmbito de um especial "procedimento acelerado", pelo Comitê Técnico ISO/IEC JTC 1, Tecnologia da Informação, em paralelo com a sua aprovação pelo órgãos nacionais da ISO e IEC.

ISO/IEC 20000 é composta das seguintes partes, sob o título geral de tecnologia da informação.

Gerenciamento de serviços:

⎯ Parte 1: Especificação ⎯ Parte 2: Código de prática

ISO/IEC 20000-2:2005(E)

Introdução Como um código de conduta, esta parte da ISO/IEC 20000 tem a

forma de orientações e recomendações. Não deve ser citado como se fosse uma especificação e um cuidado especial deve ser tomado para garantir que as alegações de conformidade não são enganosas.

Esta parte da NBR ISO/IEC 20000 deve ser utilizado em conjunto com a ISO/IEC 20000-1, a especificação associado a este código de conduta.

Supõe-se que a execução das disposições desta parte da ISO/IEC 20000 é confiada a pessoas devidamente qualificadas e competentes. Uma Norma Internacional não pretende incluir todas as disposições necessárias de um contrato. Usuários das Normas Internacionais são responsáveis pela sua correta aplicação.

O cumprimento de uma norma internacional, não por si só confere imunidade de obrigações legais.

Esta parte da NBR ISO/IEC 20000 descreve as melhores práticas para gerenciamento de serviços de processos no âmbito da ISO/IEC 20000-1.

A prestação de serviços cresce em importância, como os clientes exigem cada vez mais avançadas instalações (custo mínimo) para atender suas necessidades de negócio. Ele também reconhece que os serviços e gestão de serviços são essenciais para ajudar as organizações a gerar receita e uma boa relação custo-benefício.

ISO/IEC 20000-1 é uma especificação para gerenciamento de serviços e devem ser lidas em conjunto com esta parte da NBR ISO/IEC 20000.

A ISO/IEC 20000 série permite que os provedores de serviço para entender como melhorar a qualidade do serviço prestado aos seus clientes, tanto internos como externos.

Com a crescente dependência dos serviços de apoio ea grande variedade de tecnologias disponíveis, prestadores de serviços podem ter dificuldades em manter altos níveis de serviço ao cliente. Trabalhar de forma reativa gasta muito pouco tempo de planejamento, treinamento, revisão, investigando e trabalhando com os clientes. O resultado é a falta de aplicação estruturada, proativa as práticas de trabalho.

Esses mesmos fornecedores de serviços estão sendo feitas para melhorar a qualidade, menores custos, maior flexibilidade e rapidez de resposta aos clientes. gerenciamento de serviços eficazes oferece elevados níveis de serviço ao cliente e satisfação do cliente.

A ISO/IEC 20000 série faz uma distinção entre as melhores práticas de processos, que são independentes da forma de organização ou o tamanho e os nomes e estruturas organizacionais. A ISO/IEC 20000 série aplica-se tanto os prestadores de serviços grandes e pequenos, e os requisitos para as melhores práticas de processos de gerenciamento de serviços não mudam de acordo com a forma de organização que fornece o quadro de gestão em que os processos sejam seguidos.

Padrão Internacional ISO/IEC 20000-2:2005 (E)

1 Escopo Esta parte da NBR ISO/IEC 20000 representa um consenso da

indústria sobre as normas de qualidade para os processos de gerenciamento de serviços. Estes processos de Gerenciamento de entregar

ISO/IEC 20000-2:2005(E)

o melhor serviço possível para atender empresas de um cliente necessita de recursos dentro dos níveis acordados, ou seja, serviço que é profissional, rentável e com os riscos que são entendidas e gerenciadas.

A variedade de termos utilizados para o mesmo processo, e entre os processos e os grupos funcionais (e de emprego títulos) pode tornar o tema da gestão de serviços confuso para o novo gerente. A falha em entender a terminologia pode ser um obstáculo à criação de processos eficazes. O entendimento da terminologia é um benefício tangível e significativa da ISO/IEC 20000. Esta parte da NBR ISO/IEC 20000 recomenda que os prestadores de serviços devem adoptar uma terminologia comum e uma abordagem mais consistente para gestão do serviço. Ele dá uma base comum para a melhoria dos serviços. Ele também fornece um quadro para o uso pelos fornecedores de ferramentas de gerenciamento de serviços.

Como padrão de processo com base neste código de prática não se destina a avaliação do produto. No entanto, as organizações que desenvolvem ferramentas de gerenciamento de serviços, produtos e sistemas podem utilizar tanto a especificação e o código de prática para ajudá-los a desenvolver ferramentas, produtos e sistemas que suportam melhor prática de gestão de serviços.

Esta parte da NBR ISO/IEC 20000 fornece orientações para os auditores e oferece assistência aos prestadores de serviços de planejamento de melhorias no serviço ou a ser auditada segundo a ISO/IEC 20000-1.

ISO/IEC 20000-1 especifica uma série de processos de gerenciamento de serviços relacionados, como mostrado na Figura 1.

Figura 1 - Gestão de Serviço de processos

ISO/IEC 20000-2:2005(E)

2 Termos e definições Para efeitos do presente documento, os termos e definições dados na

ISO/IEC 20000-1 aplicar.

3 O sistema de gestão Objetivo: Proporcionar um sistema de gestão, incluindo políticas e um

quadro que permita uma gestão eficaz e implementação de todos os serviços de TI.

3.1 A responsabilidade de gestão O papel da gestão para garantir a melhor prática são adotados

processos e sustentado é fundamental para qualquer prestador de serviços para atender aos requisitos da norma ISO/IEC 20000-1.

Para garantir um compromisso do proprietário de nível superior devem ser identificados como sendo responsáveis pelos planos de gestão de serviços. Este proprietário alto responsável devem prestar contas para a entrega total do plano de gerenciamento de serviços.

O papel do dirigente, proprietário deveria abranger de recursos para qualquer projeto contínuo ou atividades de melhoria da base de serviços.

O proprietário alto responsável deve ser apoiado por um grupo de tomada de decisão com autoridade suficiente para definir a política e fazer valer suas decisões.

3.2 Requisitos de Documentação O proprietário alto responsável deve assegurar que as provas estão

disponíveis para uma auditoria de políticas de gerenciamento de serviços, planos e procedimentos, bem como quaisquer atividades relacionadas a estas.

Grande parte das evidências de planejamento de serviços de gestão e as operações devem existir na forma de documentos, que pode ser de qualquer tipo, forma ou meio adequado para o seu propósito.

Os seguintes documentos são normalmente considerados adequados como evidência de planejamento de gestão de serviços.

a) Políticas e planos; b) A documentação de serviço; c) procedimentos; d) Processos; e) os registros de controle de processo.

Deve haver um processo para a criação e gestão de documentos para ajudar a garantir que as características descritas sejam cumpridas.

A documentação deverá ser protegida contra danos devido, por exemplo, às precárias condições ambientais e desastres computador.

3.3 Competência, conscientização e treinamento

3.3.1 Geral O pessoal que executa dentro da gestão de serviços deve ser

competente com base numa adequada educação, formação, competências e experiência.

O prestador do serviço deverá:

ISO/IEC 20000-2:2005(E)

a) Determinar as competências necessárias para cada função na gestão dos serviços;

b) Assegurar que o pessoal está consciente quanto à pertinência e importância de suas atividades dentro do contexto mais amplo de negócios e como elas contribuem para a consecução dos objetivos de qualidade;

c) Manter registros apropriados de educação, formação, competências e experiência;

d) Fornecer treinamento ou tomar outras ações para satisfazer essas necessidades;

e) Avaliar a eficácia das ações tomadas.

3.3.2 O desenvolvimento profissional O prestador de serviços deve desenvolver e aprimorar a competência

profissional dos seus trabalhadores. Entre as medidas tomadas para alcançar este objetivo, o prestador de serviços deverá abordar os seguintes:

a) Recrutamento: com o objetivo de verificar a validade de candidatos a emprego "detalhes (incluindo as suas qualificações profissionais) e identificar os candidatos" pontos fortes, fracos e capacidades potenciais, contra uma descrição de cargo/perfil, objetivos de gestão de serviço e objetivos de qualidade global do serviço;

b) Planejamento: com o objetivo de pessoal dos serviços novos ou expandidos (serviços também contratação), utilizando as novas tecnologias, a afetação de pessoal de gerenciamento de serviços para as equipes de desenvolvimento de projetos, planejamento de sucessão e preencher as lacunas de outras, devido à rotatividade de pessoal previsto;

c) Formação e desenvolvimento: com o objetivo de identificar necessidades de treinamento e desenvolvimento como um plano de treinamento e desenvolvimento e que prevê a entrega atempada e eficaz.

Os funcionários devem ser treinados nos aspectos relevantes da gestão de serviços (por exemplo, através de cursos de formação, auto estudo, orientação e treinamento on the job) e sua equipe de trabalho e habilidades de liderança deve ser desenvolvida. Um registro cronológico da formação deve ser mantida para cada indivíduo, juntamente com as descrições da formação ministrada.

3.3.3 Abordagens para ser considerada A fim de atingir as equipes de funcionários com níveis adequados de

competência do prestador de serviços deve decidir sobre a mistura ótima de curto prazo e permanente recrutas. O prestador de serviços também deve decidir sobre a melhor combinação de novos agentes com as qualificações exigidas e re-treinamento do pessoal existente. NOTA: O equilíbrio ideal de recrutas curto prazo e permanente é especialmente importante quando o prestador de serviços é o planejamento de como prestar um serviço durante e após grandes mudanças no número e qualificação da equipe de apoio.

Fatores que devem ser considerados ao estabelecer a combinação mais adequada de abordagens incluem:

ISO/IEC 20000-2:2005(E)

a) A natureza de curto ou longo prazo de novas competências ou alterados;

b) Taxa de variação em habilidades e competências; c) os picos e depressões esperado no mix de carga de trabalho e as

habilidades necessárias, com base na gestão de serviços e planejamento de melhoria dos serviços;

d) Disponibilidade de pessoal devidamente competente; e) As taxas de rotatividade de pessoal; f) Planos de formação.

Para todos os funcionários, o prestador de serviço deve analisar o desempenho de cada indivíduo, pelo menos anualmente e tomar as medidas adequadas.

4 Planejamento e gestão de serviços de execução

4.1 Gerenciamento de serviços do Plano (Plano) Objetivo: planejar a execução e entrega da gestão do serviço.

4.1.1 Âmbito da gestão de serviços O escopo do gerenciamento de serviços deve ser definida como parte

do plano de gerenciamento de serviços. Por exemplo, pode ser definido pela:

a) Organização; b) Localização; c) Service.

A administração deve definir o âmbito de aplicação, como parte das suas responsabilidades de gestão (e como parte do plano de gestão de serviços). O seu âmbito deve ser verificado para adequação sob a norma ISO / IEC 20000-1.

NOTA Planejamento para mudanças operacionais é descrito em 9.2.

4.1.2 Abordagens de planejamento Vários planos de gestão de serviços pode ser usado no lugar de um

grande plano ou programador. Se for este o caso dos processos de gestão de base de serviços devem ser coerentes entre si. Também deve ser possível demonstrar como cada requisito de planejamento é gerenciado por vinculá-la aos correspondentes funções, responsabilidades e procedimentos.

Serviço de planeamento da gestão deve fazer parte do processo de traduzir as exigências dos clientes e as intenções da alta administração em serviços, e para fornecer um mapa de rota para dirigir o progresso.

Um plano de gerenciamento de serviços deverá abranger:

a) A aplicação de gestão de serviço (ou parte da gestão do serviço); b) A entrega dos processos de gestão de serviços; c) Alterações ao serviço de processos de gestão; d) A melhoria do serviço processos de gestão; e) os novos serviços (à medida em que afetam os processos no âmbito

da gestão dos serviços acordados).

ISO/IEC 20000-2:2005(E)

4.1.3 Eventos a serem considerados O plano de gerenciamento de serviços deve responder por processo

de gerenciamento de serviços e de serviço alterações desencadeadas por eventos tais como:

a) A melhoria de serviço; b) As alterações de serviço; c) Padronização de infraestrutura; d) As mudanças na legislação; e) Mudanças regulatórias, por exemplo, alterações na taxa de imposto

local; f) A desregulamentação ou regulamentação de indústrias; g) As fusões e aquisições.

4.1.4 Âmbito e conteúdo do plano Um plano de gerenciamento de serviços devem definir:

a) O âmbito da gestão do prestador de serviços; b) Os objetivos e requisitos que devem ser alcançados pela gestão dos

serviços; c) Os recursos, instalações e orçamentos necessários para atingir os

objetivos definidos; d) O quadro de cargos de gestão e responsabilidades, incluindo o

proprietário altos responsáveis, donos de processos e gestão de fornecedores;

e) As interfaces entre os processos de gerenciamento de serviços e na forma em que as atividades e / ou processos estão a ser coordenadas;

f) O método a ser adotado na identificação, avaliação e gerenciamento de problemas e riscos para a concretização dos objetivos definidos;

g) Um cronograma de recursos expressos em termos de datas em que os fundos, as habilidades e os recursos devem estar disponíveis;

h) A abordagem à mudança do plano e do serviço definido pelo plano; i) Como o prestador de serviços irá demonstrar contínuo controle de

qualidade (por exemplo, auditorias provisórias); j) Os processos que estão a ser executado; k) Como ferramentas adequadas para apoiar os processos.

4.2 A gestão de serviços Implementar e fornecer os serviços (Do)

Objetivo: implementar os objetivos do serviço de gestão e plano. Obtenção de melhores práticas de gestão de serviços de processos

capazes de satisfazer os requisitos da ISO / IEC 20000 não será alcançado se os serviços originais não cumprem os requisitos definidos para a implementação da norma ISO / IEC 20000-1.

Uma vez implementados os processos de gerenciamento de serviços e de serviço devem ser mantidas.

As resenhas devem ter lugar em conformidade com 4,3. NOTA a pessoa que é apropriado para o planejamento e

implementação inicial pode não ser adequado para a operação em andamento.

ISO/IEC 20000-2:2005(E)

4.3 Monitoramento, medição e análise (Check) Objetivo: quantificar, acompanhar e analisar que os objetivos e o

plano de gerenciamento de serviços estão sendo alcançados. O prestador do serviço deve planejar e implementar o

monitoramento, medição, análise e revisão dos serviços, os processos de gerenciamento de serviços e sistemas associados. Os itens que devem ser monitorados, medidos e analisados incluem:

a) Conquista contra alvos de serviço definidos; b) A satisfação do cliente; c) A utilização de recursos; d) Tendências; e) Principais não conformidades.

Os resultados da análise devem contribuir para um plano para melhorar o serviço.

Como atividades de serviços bem como a gestão na medição e análise de gestão sênior pode precisar fazer uso de auditorias internas e outras verificações. Ao decidir a frequência das auditorias internas, e verifica o grau de risco envolvido em um processo, a sua frequência de operação e seu passado histórico de problemas estão entre os fatores que devem ser tidas em conta. Auditorias internas e controlos devem ser planeado, realizado com competência e gravadas.

4.4 A melhoria contínua (Lei) Objetivo: melhorar a eficácia e a eficiência da prestação de serviços e gestão.

4.4.1 Política Os prestadores de serviços devem reconhecer que existe sempre a

possibilidade de fazer a entrega de serviços mais eficaz e eficiente. Deve haver uma política publicada na qualidade dos serviços e melhoria.

Todos os envolvidos na gestão dos serviços ea melhoria dos serviços deve estar ciente da política de qualidade de serviço e sua contribuição pessoal para a realização dos objetivos definidos no âmbito desta política.

Em particular, todos os funcionários do prestador de serviços envolvidos na gestão do serviço deve ter um conhecimento detalhado das implicações deste sobre os processos de gestão de serviços.

Deve haver uma articulação eficaz dentro da estrutura do prestador de serviços de gestão própria, clientes e fornecedores do prestador de serviços sobre questões que afetam a qualidade de serviço e requisitos do cliente.

4.4.2 Planejamento para a melhoria dos serviços Prestadores de serviços devem adoptar uma abordagem metódica e

coordenada de melhoria de serviço para atender às exigências da política, dos seus e da perspectiva de seus clientes.

Antes de implementar um plano para melhorar o serviço de qualidade, serviço e níveis devem ser contabilizadas como uma linha de base contra a qual as melhorias reais podem ser comparados. A melhoria real deve ser comparado com a melhora prevista para avaliar a eficácia da mudança. NOTA 1: requisitos de melhoria de serviço pode vir de todos os processos.

ISO/IEC 20000-2:2005(E)

Os prestadores de serviços devem incentivar seus funcionários e clientes para sugerir formas de melhorar os serviços. NOTA 2: Isso pode ser feito usando sistemas de sugestões, círculos de qualidade, grupos de usuários e reuniões de ligação.

Metas de melhoria de serviços devem ser mensuráveis, vinculada aos objetivos do negócio e documentadas em um plano.

Melhoria de serviços devem ser geridos ativamente e de progresso deve ser monitorado com objetivos formalmente acordados.

5 Planejamento e implementação de serviços novos ou alterados Objetivo: garantir que os novos serviços e mudanças nos serviços de entrega e será administrável ao custo e qualidade de serviço acordado.

5.1 Tópicos para análise Planejamento para serviços novos ou alterados, deve incluir a revisão:

a) Orçamentos; b) Os recursos humanos; c) Os níveis de serviço, d) SLAs e outras metas ou compromissos de serviço; e) Os processos existentes de gerenciamento de serviços,

procedimentos e documentação; f) O âmbito da gestão de serviços, incluindo a implementação de

processos de gerenciamento de serviços anteriormente excluídos do âmbito de aplicação.

5.2 Alterar registros Todas as alterações de serviço deve ser refletida nos registros de

Change Management. Isso inclui planos para:

a) O recrutamento de pessoal / reciclagem; b) transferência; c) Formação dos utilizadores; d) As comunicações sobre as mudanças; e) Alterações à natureza da tecnologia de suporte; f) O encerramento formal de serviços.

Seis processos de prestação de serviço

6.1 Gerenciamento de nível de serviço Objetivo: Definir concordo, registrar e gerenciar níveis de serviço.

6.1.1 Catálogo de serviço Um catálogo de serviços devem definir todos os serviços. Ele pode ser

referenciado a partir do SLA e deve ser usado para armazenar o material considerado volátil para o SLA em si.

O catálogo de serviços deve ser e mantido up-to-date. NOTA: O catálogo de serviços podem incluir informações genéricas, tais como:

ISO/IEC 20000-2:2005(E)

a) O nome do serviço; b) As metas, por exemplo, tempo para responder ou instalar uma

impressora, um tempo para restabelecer o serviço após uma falha grave;

c) Os pontos de contato; d) O horário de serviço e exceções; e) As medidas de segurança.

O catálogo de serviços é um documento fundamental para a definição expectativa do cliente e deve ser facilmente acessível e amplamente disponível para os clientes e pessoal de apoio.

6.1.2 Acordos de nível de serviço (SLAs) O serviço deve ser formalmente documentado em um acordo de nível

de serviço (SLA). O SLA deve ser formalmente autorizados pelo cliente sênior e representantes fornecedor de serviços. O SLA deve ser sujeita a mudança de gestão, como é o serviço que ele descreve.

As necessidades do negócio do cliente e do orçamento deveria ser a força determinante para o conteúdo, estrutura e metas do SLA. Os alvos, contra a qual o serviço prestado deve ser medido, devem ser definidos a partir de uma perspectiva do cliente.

Os SLAs devem incluir apenas um subconjunto adequado de um dos objetivos chamar a atenção para os aspectos mais importantes do serviço.

NOTA 1: Too muitos alvos podem criar confusão e provocar despesas excessivas.

O conteúdo mínimo que deve estar em um SLA ou que possam ser diretamente referenciados a partir de um SLA é:

a) Breve descrição do serviço; b) Prazo de validade e/ou SLA mecanismo de controle de mudança; c) Detalhes de autorização; d) Descrição detalhada das comunicações, incluindo a comunicação; e) Os contatos de pessoas autorizadas a atuar em situações de

emergência, para participar de incidentes e correção dos problemas, a recuperação ou solução;

f) horas de serviço, por exemplo, 09:00 h às 17:00 h, as exceções data (fins de semana, por exemplo, feriados), os períodos críticos de negócios e fora das horas de cobertura;

g) As interrupções programadas e acordadas, incluindo a pré-aviso, o número por período;

h) Responsabilidades do cliente, por exemplo, segurança; i) Responsabilidade do provedor de serviço e obrigações, por exemplo,

segurança; j) Impacto e orientações prioritárias; k) Escalação e o processo de notificação; l) Procedimento para reclamações; m) os objetivos de serviço; n) Limites Carga de trabalho (superior e inferior), por exemplo, a

capacidade do serviço de apoio ao número acordado de usuários / volume de trabalho, a vazão do sistema;

o) Alto nível de gestão financeira detalhes, por exemplo, códigos de carga etc;

ISO/IEC 20000-2:2005(E)

p) A ação a tomar em caso de interrupção do serviço; q) Os procedimentos de limpeza; r) Glossário de termos; s) Apoiar e serviços correlatos; t) Quaisquer exceções aos termos indicados no SLA.

NOTA 2: informação volátil, ou informação comum a muitos SLAs (tais como detalhes de contato) pode ser referenciada a partir do SLA, sem afetar a qualidade dos processos de SLM, desde que os documentos referenciados também estão sob o controle do processo de gestão da mudança. NOTA 3: Plano de Continuidade e detalhes de contabilidade e orçamento normalmente são referenciados a partir do SLA. NOTA 4: Um glossário de termos normalmente é realizada em um lugar e é comum a todos os documentos, incluindo o catálogo de serviços.

6.1.3 Nível de serviço de gestão de processos (SLM) Principais mudanças nos negócios, devido, por exemplo, para o

crescimento, reorganizações e fusões de negócios e requisitos dos clientes, podem exigir níveis de serviço a ser ajustado, seja redefinido ou ainda que temporariamente suspensa.

O processo de SLM deve ser flexível para acomodar estas mudanças. O processo de SLM deve assegurar que o prestador de serviço continua a ser orientada para o cliente em todo o planejamento, implementação e gerenciamento contínuo dos serviços prestados.

O prestador de serviços deve ser dado informação adequada que lhes permitam compreender os seus drivers de negócio do cliente e requisitos.

O processo de SLM deverá gerir e coordenar as contribuições dos níveis de serviço, incluindo:

a) Acordo dos requisitos de serviço e características do serviço esperado carga de trabalho;

b) O acordo de metas de serviço; c) A medição e o registo dos níveis de serviço alcançados, as cargas de

trabalho e uma explicação, se as metas acordadas não forem cumpridas (ver 6.2);

d) Início da ação corretiva; e) Entrada de um plano para melhorar o serviço.

O processo deve incentivar o prestador do serviço eo cliente para desenvolver uma atitude proativa garantindo que eles têm uma responsabilidade conjunta para o serviço.

Satisfação do cliente é uma parte importante do gerenciamento de nível de serviço, mas ele deve ser reconhecido como uma medida subjetiva, enquanto que as metas de serviços dentro de um SLA devem ser medidas objetivas. O processo de SLM deve trabalhar em estreita colaboração com a relação de negócios e processos de gestão de fornecedores.

6.1.4 Apoiar acordos de serviços Os serviços de apoio em que o serviço prestado depende devem ser

documentadas e acordadas com cada fornecedor. Isso inclui grupos internos fornecendo parte dos serviços do prestador de serviços.

ISO/IEC 20000-2:2005(E)

6.2 Relatórios de serviço Objetivo: Para produzir acordado oportuna, confiável e relatórios precisos para tomada de decisão informada e comunicação eficaz. NOTA: O sucesso de todos os processos de gerenciamento de serviços é dependente do uso das informações fornecidas nos relatórios de serviço.

6.2.1 Política Os requisitos para a notificação de serviço devem ser aprovados e

registrados para os clientes e gestão interna. Serviço de monitorização e comunicação englobam todos os aspectos

mensuráveis do serviço, fornecendo a análise atual e histórica. Onde há vários fornecedores, prestadores de chumbo e

subfornecedores contratados, os relatórios devem refletir as relações entre os fornecedores. Por exemplo, um fornecedor deve levar um relatório sobre a totalidade do serviço que prestam, incluindo todos os serviços subcontratados por fornecedores que gerem como parte do serviço do cliente.

6.2.2 Finalidade e controlo de qualidade sobre os relatórios de serviço

Relatórios de serviços devem ser atual, clara, confiável e concisa. Eles devem ser adequados às necessidades do destinatário e de

precisão suficiente para ser usado como uma ferramenta de apoio à decisão.

A apresentação deve auxiliar a compreensão dos relatórios de modo que eles são fáceis de assimilar, por exemplo, utilização de gráficos.

Vários tipos de relatório devem ser elaborados:

a) Relatórios reativam que demonstram o que aconteceu; b) os relatórios proativa, que dão aviso antecipado de eventos

significativos, permitindo assim medidas preventivas a serem tomadas previamente (por exemplo, relatórios de violações iminentes em SLAs);

c) Encaminhar relatórios agendados mostrando atividades planejadas.

6.2.3 Relatórios de serviço O prestador do serviço deve elaborar relatórios para clientes e

cobertura de gestão:

a) Desempenho em relação aos objetivos de nível de serviço, por exemplo, relatórios de interrupção, as conquistas;

b) O incumprimento das normas; c) Características e informações sobre o volume de carga de trabalho,

por exemplo, incidentes, problemas, mudanças e tarefas, classificação, localização, clientes, tendências sazonais, mistura de prioridades, o número de pedidos de ajuda;

d) O relatório de desempenho após grandes eventos, por exemplo, mudança, e lançamentos; e) Tendência informações por período (por exemplo, dia, semana, mês, período);

e) Os relatórios que incluem informações de cada processo, por exemplo, o número de incidentes e as perguntas mais frequentes, os componentes da infraestrutura confiável de recursos, com um custo de tarefas intensivas;

ISO/IEC 20000-2:2005(E)

f) Relatórios para destacar as cargas de trabalho futuras e programada.

6.3 A continuidade de serviço e gerenciamento de disponibilidade Objetivo: garantir que os compromissos acordados continuidade de serviço e disponibilidade aos clientes podem ser atendidos em todas as circunstâncias. NOTA: Principais falhas de serviço ou desastres podem ocorrer por muitas razões, incluindo a negação de serviço, ataque, grande epidemia de vírus, acesso aos locais não permitidos ou de uma catástrofe natural.

6.3.1 Geral Exigências de continuidade do serviço e disponibilidade devem ser

identificadas com base nas prioridades dos clientes de negócios, acordos de nível de serviço e de riscos avaliados. O prestador de serviços deverá manter capacidade de serviço suficiente, juntamente com planos viáveis destinadas a assegurar que os requisitos acordados podem ser cumpridos em todas as circunstâncias do normal até uma grande perda de serviço. O prestador do serviço deve planejar de dados conhecidos ou usuário aumenta ou diminui o volume, os picos esperados e baixos na carga de trabalho e qualquer outro conhecido mudança futuram. Os requisitos devem incluir os direitos de acesso e tempos de resposta, bem como o fim-de-final da disponibilidade de componentes do sistema.

Serviço de disponibilidade e gerenciamento da continuidade do serviço deve trabalhar em conjunto com o objetivo de garantir que os níveis de serviço acordados sejam mantidos. Estes requisitos devem ter uma grande influência sobre as ações, esforços e recursos alocados à correspondência entre a disponibilidade dos serviços que lhes dão suporte.

Processos para garantir a disponibilidade necessária à manutenção devem incluir os elementos da prestação de serviços que estão sob o controle do cliente ou outros prestadores de serviços.

6.3.2 Monitoramento de disponibilidade e atividades Disponibilidade de gestão deve:

a) Acompanhar e disponibilidade do serviço de registro b) Manter a precisão dos dados históricos; c) Faça comparações com os requisitos definidos em SLAs para

identificar não conformidades com as metas de disponibilidade acordados;

d) Documento de revisão e não conformidade; e) Prever a futura disponibilidade; f) Sempre que possível, os problemas potenciais devem ser previstas e

medidas preventivas tomadas.

Ele deve garantir a disponibilidade de todos os componentes do serviço, com ações corretivas registradas e cumpridas.

6.3.3 Estratégia de continuidade de serviço O prestador de serviços deve desenvolver e manter uma estratégia

que define a abordagem geral a ser tomadas para cumprimento das obrigações de continuidade de serviço. Isto deve incluir a avaliação dos riscos e levar em conta o horário de serviço acordados e os períodos críticos

ISO/IEC 20000-2:2005(E)

de negócio. O prestador de serviços deve acordar para cada grupo de clientes e de serviço:

a) Prazo máximo aceitável contínuo do serviço perdido; b) Prazos máximos aceitáveis de serviço degradadas; c) Os níveis de serviço aceitáveis degradadas durante um período de

recuperação do serviço.

A estratégia de continuidade deve ser revista em intervalos acordado, pelo menos anualmente.

Qualquer mudança para a estratégia deve ser formalmente acordada.

6.3.4 Continuidade do serviço de planejamento e testes O prestador do serviço deverá garantir que:

a) Os planos de continuidade levar em conta as dependências entre componentes de serviço e do sistema;

b) Os planos de continuidade de serviço e outros documentos necessários para apoiar a continuidade de serviço são registrados e mantidos;

c) A responsabilidade de planos de continuidade de invocação é claramente atribuída e os planos claramente atribuir a responsabilidade de tomar medidas contra cada objetivo;

d) Os backups dos dados, documentos e software, e qualquer equipamento e pessoal necessário para a restauração do serviço são rapidamente disponíveis após uma falha do serviço ou acidente grave;

e) Pelo menos uma cópia de todos os documentos que a continuidade do serviço deve ser armazenada e mantida em um local seguro, remoto, juntamente com qualquer equipamento que é necessário para permitir a sua utilização;

f) Funcionários compreender o seu papel na invocação e/ou execução dos planos e são capazes de acessar os documentos a continuidade do serviço.

Planos de continuidade de serviço e documentos relacionados (contratos, por exemplo) devem ser associados ao processo de gestão da mudança e do processo de gestão de contratos.

Planos de continuidade de serviço e documentos relacionados (contratos, por exemplo) devem ser avaliados para prévio de impacto para o sistema e as mudanças de serviço a ser aprovado, e antes de importantes exigências de cliente novo ou alterado, a ser acordado.

O ensaio deve ser realizado com uma frequência suficiente para obter a garantia de que os planos de continuidade são eficazes, e permanecem assim em face da mudança de sistemas, processos, pessoas e necessidades empresariais. O ensaio deve ser uma participação conjunta entre cliente e prestador de serviços baseado num conjunto de objetivos. Falhas de teste devem ser documentadas e analisadas para a entrada de um plano para melhorar o serviço.

6.4 Orçamento e contabilidade de serviços de TI Objetivo: orçamentários e de conta para o custo da prestação do serviço.

ISO/IEC 20000-2:2005(E)

6.4.1 Geral Esta seção aborda o orçamento e a contabilidade de serviços de TI.

Na prática, muitos prestadores de serviços estarão envolvidos na cobrança de tais serviços. No entanto, desde o carregamento é uma atividade opcional, não é abrangido pela norma. Os prestadores de serviços que são recomendados quando a carga estiver em uso, o mecanismo para fazer isso é totalmente definido e compreendido por todas as partes.

A responsabilidade por muitas das decisões financeiras estão fora do âmbito da área de gestão de serviços e os requisitos para que as informações financeiras devem ser fornecidas, de que forma e em que frequências pode ser ditada de fora. As disposições desta seção são focalizadas sobre as práticas que devem ser seguidas para satisfazer os requisitos da norma. Contudo, as necessidades mais vastas deverá também ser tidas em conta como eles terão impacto sobre algumas das políticas e procedimentos definidos. Todas as práticas contábeis utilizadas devem ser alinhadas com as práticas de contabilidade geral de toda a organização do prestador de serviços.

6.4.2 Política Deve haver uma política sobre a gestão financeira dos serviços. A

política deve definir os objetivos a serem cumpridas pelo orçamento e contabilidade.

A política deve também definir os detalhes para que o orçamento ea contabilidade seja realizadas, levando em consideração a:

a) Os tipos de custos a serem contabilizados; b) Repartição das despesas de funcionamento, por exemplo, taxa fixa, o

percentual fixo, ou com base no tamanho do elemento variável; c) Granularidade de negócio do cliente, por exemplo, unidade de

negócio como uma unidade, divididas em departamentos, ou locais; d) As regras que regem o tratamento dos desvios em relação a

orçamentos, por exemplo, tamanho da variância que será encaminhado para a gerência sênior;

e) Ligações para o serviço de gerenciamento de nível.

O nível de investimento em processos de orçamento e contabilidade devem ser baseadas nas necessidades dos clientes, prestador de serviços e fornecedores para o detalhe financeiras como definido na apólice.

NOTA: Os prestadores de serviços que operam em um ambiente comercial pode precisar investir muito mais tempo e esforço na sua gestão financeira. Por outro lado, para os prestadores de serviço, quando a simples identificação dos custos é suficiente a gestão financeira pode ser muito mais simples.

Orçamento e contabilidade devem ser realizados por todos os prestadores de serviço, independentemente das suas outras políticas sobre a gestão financeira.

6.4.3 Orçamento Orçamento deve levar em conta as alterações previstas para os

serviços durante o período de orçamento e onde as exigências orçamentais excederem os fundos disponíveis, o plano para a gestão de deficiências.

ISO/IEC 20000-2:2005(E)

Orçamento pode ter em conta fatores como as variações sazonais e de curto prazo alterações previstas para os custos dos serviços e encargos.

Controlo de custos em relação ao orçamento deve garantir um alerta precoce de desvios em relação a orçamentos.

Deve haver um processo que gerencia as implicações das variações em relação ao orçamento.

Orçamentação e controlo de custos deverá apoiar o planejamento de operar e mudar os serviços para que os níveis de serviço pode ser mantida durante todo o ano.

6.4.4 Contabilidade Processos de contas deve ser usado para controlar os custos a um

certo nível de detalhe durante um período de tempo acordado. As decisões sobre a prestação de serviços deve ser baseada em

comparações de custo-eficácia.

6.5 A gestão da capacidade Objetivo: garantir que o prestador de serviços, em todos os momentos, capacidade suficiente para atender as demandas atuais e futuras do negócio acordado necessidades do cliente.

Os requisitos de negócios atuais e esperados para os serviços devem ser entendidas em termos daquilo que a empresa terá que habilitá-lo para entregar aos seus clientes.

Previsões de negócios e as estimativas de carga de trabalho devem ser traduzidas em necessidades específicas e documentadas.

O resultado de variações na carga de trabalho ou ambiente deve ser previsível, e os dados sobre componente atual e anteriores e utilização de recursos a um nível adequado devem ser capturados e analisados para apoiar o processo.

Capacidade de gestão deve ser o ponto focal para todos os problemas de desempenho e capacidade.

O processo deve fornecer apoio direto ao desenvolvimento de serviços novos e modificados através de dimensionamento e modelagem de serviços.

Um plano de capacidade de documentar o desempenho real da infraestrutura e os requisitos exigidos, devem ser produzidos em uma frequência adequada tendo em conta a taxa de variação do volume de serviços e de serviços, informações contidas nos relatórios de gestão e de mudança de negócio do cliente.

Deve ser feito pelo menos anualmente. Este documento deve opções orçamentados para o cumprimento dos requisitos de negócio e recomendar soluções para garantir o cumprimento dos níveis de serviço acordados objetivos definidos no SLA.

A infraestrutura técnica e os seus atuais e previstos recursos devem ser bem compreendidos.

6.6 Gestão de segurança da informação Objetivo: Gerenciar a segurança da informação de forma eficaz em todas as atividades de serviços.

6.6.1 Geral A segurança da informação é o resultado de um sistema de políticas e

procedimentos destinados a identificar, controlar e proteger as informações

ISO/IEC 20000-2:2005(E)

e os equipamentos utilizados em ligação com o seu armazenamento, transmissão e tratamento.

O pessoal do prestador de serviços com funções de especialista em segurança da informação devem estar familiarizados com

ISO/IEC 17799, Tecnologia da informação - Técnicas de segurança - Código de prática para a gestão de segurança da informação.

6.6.2 Identificar e classificar os ativos de informação O prestador do serviço deverá:

a) Manter um inventário dos ativos de informação (por exemplo, computadores, comunicações, equipamento ambiental, documentos e outras informações) que são necessários para a prestação de serviços;

b) Classificar cada ativo de acordo com sua criticidade para o serviço e o nível de proteção que estes requerem, e nomear um proprietário para ser responsável pelo fornecimento dessa proteção;

c) A responsabilidade pela proteção do recurso, caberá ao proprietário do ativo, embora possam delegar hoje dia responsabilidades de gestão de segurança.

6.6.3 A avaliação de segurança de práticas de risco Segurança avaliação dos riscos deve:

a) Ser realizados em intervalos acordados; b) Ser registrada; c) Ser mantida durante as mudanças (de necessidades de negócio,

processos e configurações); d) Auxiliar na compreensão do que pode impactar um serviço

gerenciado; e) Informar as decisões quanto aos tipos de controle a ser operado.

6.6.4 Os riscos para ativos de informação Os riscos para ativos de informação deve ser avaliada por referência:

a) a sua natureza (por exemplo, mau funcionamento de software, erros de operação, falha de comunicação;

b) Risco; c) impacto potencial; d) A experiência do passado.

6.6.5 Segurança e Disponibilidade da informação Na avaliação dos riscos, tendo em conta deve ser paga ao seguinte:

a) A divulgação de informações confidenciais para terceiros não autorizados;

b) Imprecisos, incompletos ou inválido (por exemplo, fraudulenta) de informação;

c) Informação sendo indisponíveis para utilização (por exemplo, devido à falha de energia);

d) O dano físico ou destruição de equipamentos necessários à prestação de serviços.

ISO/IEC 20000-2:2005(E)

Deverá também ser tida em objetivos de política de segurança de informação, a necessidade de cumprir exigências de clientes segurança especificado (por exemplo, os níveis de disponibilidade), e os requisitos legais ou regulamentares aplicáveis.

6.6.6 Controles Além de outros controles que podem ser justificadas e conselhos

contidos noutros pontos da presente parte do ISO/IEC 20000 (por exemplo, sobre a continuidade do serviço), prestadores de serviços devem funcionar os seguintes comandos como uma questão de boa prática de gestão de segurança da informação:

a) Gestão sénior deve definir sua política de segurança da informação, comunicá-la aos funcionários e clientes, e agir para garantir a sua efetiva implementação;

b) As funções de segurança da informação de gestão e responsabilidades devem ser definidas e atribuídas aos titulares de cargo;

c) Um representante do grupo de gestão (o papel pode ser realizada pelo proprietário sênior responsável) deverá monitorar e manter a eficácia da Política de Segurança da Informação;

d) O pessoal com funções de segurança importantes devem receber treinamento de segurança da informação;

e) Todos os funcionários devem estar cientes da política de segurança da informação;

f) Ajuda especializada em avaliação de riscos e de controlo da aplicação deve estar disponível;

g) As alterações não devem comprometer o funcionamento eficaz dos controlos;

h) Os incidentes de segurança da informação devem ser comunicadas em conformidade com os procedimentos de gerenciamento de incidentes e uma resposta iniciada.

6.6.7 Os documentos e registos Os registros devem ser analisados periodicamente para fornecer uma

gestão com informações sobre:

a) Eficácia da política de segurança da informação; b) As tendências emergentes em incidentes de segurança da

informação; c) Entrada de um plano para a melhoria do serviço; d) O controle sobre o acesso à informação, bens e sistemas.

As informações do sistema de gestão de segurança deve ser documentado de forma confiável.

7 processos de relacionamento

7.1 Generalidades Relação de processos descreverem os dois aspectos relacionados com a Gestão de Fornecedores e Relacionamento Gestão Empresarial. Esta norma aborda o papel de prestador de serviços, que logicamente ele ocupa um

ISO/IEC 20000-2:2005(E)

papel entre os fornecedores, fornecendo bens ou serviços ao prestador do serviço eo cliente que recebe serviços. Tanto os fornecedores e clientes podem ser internos ou externos à organização do prestador de serviços. Relações externas serão formalizadas através de um contrato. As relações internas será formalizado através de um serviço interno ou sub-pinning acordo muitas vezes referida como um acordo de nível operacional.

A Figura 2 mostra uma representação simplificada das relações.

Figura 2 - Relação de processos

Como a Figura 2 mostra, o prestador do serviço preenche um papel dentro de uma cadeia de suprimentos, onde cada etapa da cadeia deve ser a adição de benefício, com o prestador de serviço de recebimento de serviços ou de mercadorias do fornecedor e entregando um serviço melhor ao cliente.

Para esclarecimento, nesta seção o prestador do serviço "é sempre usada para descrever a organização dirigida por este documento, independentemente do papel, ou a direção da cadeia, que levam no processo que está sendo descrito.

Na prática, as relações raramente será tão simples, mas incluem vários jogadores, levando papéis, tanto como fornecedores e clientes e com ligações comerciais entre muitos deles diretamente, bem como através do provedor de serviço.

Os processos de relacionamento devem assegurar que todas as partes

a) Compreender e satisfazer as necessidades de negócios; b) Compreender as capacidades e limitações; c) Compreender as responsabilidades e obrigações.

ISO/IEC 20000-2:2005(E)

Eles também devem assegurar que os níveis de satisfação do cliente são adequados e que as necessidades de negócios futuros são comunicadas e compreendidas.

O escopo, os papéis e responsabilidades das relações de negócio e relacionamento com o fornecedor devem ser definidos e acordados. Isto deve incluir a identificação das partes interessadas, os contatos e as linhas e frequência de comunicação.

7.2 Gestão do relacionamento de negócios Objetivo: estabelecer e manter um bom relacionamento entre o prestador eo cliente, com base no entendimento do cliente e seus drivers de negócio.

7.2.1 Serviço de opiniões O prestador do serviço e o cliente (s) devem realizar avaliações de

serviço, pelo menos anualmente e antes e depois de grandes mudanças. A revisão deve considerar o desempenho passado, discutir as necessidades de negócio atuais e projetados e propor eventuais alterações no escopo do serviço e SLAs. Outras partes interessadas, por exemplo, subempreiteiros, clientes, grupos de usuários ou outras entidades representativas poderão ser convidados a participar nas reuniões de revisão.

O prestador do serviço e o cliente (s) também devem concordar sobre procedimentos de revisão intercalar para discutir o progresso, as conquistas e problemas. Essas reuniões devem ser agendadas e comunicadas às partes interessadas.

O prestador de serviços deve planear e gravar todas as reuniões formais, os registros de emissão e acompanhamento das ações acordadas.

O prestador de serviços deve estabelecer um relacionamento com seus clientes de tal ordem que seria de esperar para estar ciente das necessidades empresariais e de grandes mudanças e capaz de se preparar para responder a essa necessidade.

7.2.2 Serviço de queixas O prestador do serviço e o cliente (s) devem concordar com um

procedimento de queixa formal, para que não haja nenhuma ambiguidade sobre o que constitui uma denúncia e como ela deve ser tratada. O prestador de serviços deverá operar um processo de adopção de medidas adequadas para resolver problemas.

O processo deve identificar o prestador de serviços para manter contato com queixas formais.

O prestador do serviço deve registrar investigar, agir, comunicar e encerrar formalmente todas as queixas do serviço.

Queixas pendentes devem ser regularmente revisto e encaminhado à alta gerência se não for resolvido dentro de prazos de tempo acordado com o cliente (s).

Os prestadores de serviços deve analisar periodicamente o registro de reclamações para identificar tendências e análise deste relatório aos clientes.

Os resultados dessa análise devem ser utilizados quando necessário para informar um plano para melhorar o serviço.

7.2.3 Medição da satisfação do cliente A satisfação do cliente deve ser medida para que o prestador de

serviços para comparar o desempenho com as metas de satisfação do cliente e em levantamentos anteriores. A abrangência e a complexidade da

ISO/IEC 20000-2:2005(E)

pesquisa devem ser projetados para que os clientes possam responder com facilidade e sem excesso de tempo que seja necessário concluir o inquérito com precisão.

variações significativas nos níveis de satisfação devem ser investigados e as razões compreendidas. Tendências ou outras comparações devem ser feitas apenas sobre questões de satisfação e comparáveis entre os métodos de amostragem comparáveis.

Os resultados e conclusões das pesquisas de satisfação do cliente devem ser discutidos com o cliente. Um plano de ação deverá ser acordado, a entrada de um plano para melhorar o serviço e os progressos comunicados ao cliente.

Elogios sobre o serviço devem ser documentados e comunicados para a equipe de prestação de serviços.

7.3 Gestão de Fornecedores Objetivo: Gerenciar fornecedores para garantir o fornecimento de uniforme, serviços de qualidade.

7.3.1 Introdução Procedimentos de gestão do fornecedor devem garantir que:

a) O fornecedor compreende as suas obrigações para com o prestador de serviços;

b) as exigências legítimas e acordadas sejam cumpridas dentro de níveis de serviço acordados e escopo;

c) As mudanças são controladas; d) As transações de negócios entre todos os partidos são registrados; e) informação sobre o desempenho de todos os fornecedores podem ser

observadas e cumpridas.

7.3.2 Gestão de Contratos O prestador de serviços deverá designar um gerente responsável

pelos contratos e acordos com os fornecedores. Sempre que um número de funcionários está envolvido nesta tarefa,

deve haver um processo comum para garantir que as informações sobre o desempenho do fornecedor é observado e executado.

Deve haver um contato definidas no âmbito do prestador de serviços responsável pelo relacionamento com cada fornecedor.

Todos os contratos de fornecimento devem conter um cronograma de revisão para avaliar se os objetivos de negócios para fornecimento de um serviço permanecem válidos.

Deve haver um processo claramente definido para o gerenciamento de cada contrato. O processo de alteração do contrato deve ser claramente definido. Quaisquer alterações a este procedimento deverá ser formalmente comunicada a todos os fornecedores afetados.

Uma lista de pontos de contato no âmbito das organizações respectivas (fornecedores e prestador de serviços) deve ser mantida. Se o contrato inclui penalidades ou bônus, sua base deve ser claramente indicada e de conformidade com os requisitos divulgados.

7.3.3 Definição de serviço Para cada serviço e fornecedor, prestador de serviços deverá manter:

a) A definição dos serviços, funções e responsabilidades;

ISO/IEC 20000-2:2005(E)

b) O âmbito de serviço; c) Contrato de processo de gestão, os níveis de autorização e um plano

de sair do contrato; d) As condições de pagamento se forem o caso; e) Aprovada parâmetros de relatórios e registros de desempenho.

7.3.4 Gerenciamento de múltiplos fornecedores Deve ficar claro se o prestador de serviço é lidar com todos os

fornecedores diretamente ou a um fornecedor levar a assumir a responsabilidade para a subfornecedores contratados.

O fornecedor deve levar registrar os nomes, as responsabilidades e as relações entre todos os fornecedores subcontratados, e que porá à disposição do prestador de serviços, se necessário.

O prestador de serviços deve obter provas de que os fornecedores de chumbo são formalmente gestão subcontratados prestadores de serviços, orientada, se for caso disso, pelos requisitos da norma ISO/IEC 20000-1.

7.3.5 Gestão de conflitos contratuais Tanto o prestador de serviço e o fornecedor deverá operar um

processo de gestão de conflitos, e isso deve ser definido ou previsto no contrato.

Uma rota de escalada deve estar disponível para as disputas que não podem ser resolvidos pela via normal.

O processo deve garantir que as disputas são registradas, investigadas, tratadas e formalmente fechadas.

7.3.6 Final do contrato O processo de gestão do contrato deve incluir uma provisão para o

fim do contrato - ou final esperado, ou terminar mais cedo. Também deve prever a transferência do serviço a outra organização.

8 processos de resolução

8.1 Fundo Gestão de incidentes e problemas são processos distintos, embora

sejam intimamente ligadas. Ofertas de Incidentes com a restauração do serviço para os usuários, enquanto problema diz respeito à identificação e eliminação das causas dos incidentes.

8.1.1 Estabelecimento de prioridades Metas para a resolução deveria ser baseada em prioridade. A

prioridade deve ser baseada no impacto e urgência. Impacto deve ser baseada na escala de dano real ou potencial para o negócio do cliente. Urgência deve ser baseado no tempo entre o problema ou incidente ser detectado eo tempo que o negócio do cliente é impactado.

O agendamento de incidente ou de resolução de problemas deve levar em conta, pelo menos, o seguinte:

a) Prioridade; b) As competências disponíveis; c) Competir requisitos de recursos; d) Esforço de custo / fornecer o método de resolução; e) O tempo decorrido para fornecer um método de resolução

ISO/IEC 20000-2:2005(E)

Observação: A prioridade é usada em todo gerenciamento de serviços, mas é fundamental para o gerenciamento de incidentes e problemas.

8.1.2 Soluções Quando a gestão problema apropriado, devem desenvolver e manter

soluções alternativas para permitir o gerenciamento de incidentes para ajudar a restauração do serviço pelos usuários do pessoal.

Um erro conhecido deve ser fechado somente quando uma mudança corretiva tem sido aplicada com sucesso, ou o erro já não é aplicável, por exemplo, porque o serviço não é mais usado.

Problema de gestão deve ter acesso a informações sobre as áreas de negócio afetadas pelos problemas.

Informações sobre soluções armazenadas na base de conhecimento, a sua aplicabilidade e eficácia devem ser armazenados e mantidos.

8.2 A gestão de incidentes Objetivo: Para restaurar o serviço acordado para o negócio o mais rapidamente possível, ou para responder às solicitações de serviço

8.2.1 Geral NOTA 1: O processo de gerenciamento de incidentes podem ser entregues por um posto de serviço, que funciona como o contato do dia-a-dia com os usuários. NOTA 2: gerenciamento de incidentes devem ser:

a) Tanto o processo proativo e reativo, respondendo a incidentes que afetam, ou podem vir a afetar o serviço; b) Preocupado com o restabelecimento do serviço aos clientes, não com a determinação da causa de incidentes.

O processo de gerenciamento de incidentes deve incluir o seguinte:

a) Recepção de chamadas, gravação de atribuição de prioridades, a classificação;

b) A resolução de primeira linha ou encaminhamento; c) Apreciação de assuntos de segurança; d) Incidente de rastreamento e gerenciamento de ciclo de vida; e) A verificação e fechamento de Incidentes; f) de ligação ao cliente de primeira linha; g) Escalonamento.

Incidentes podem ser relatados através de chamadas telefónicas, mensagens de voz, visitas, cartas, faxes ou e-mails, ou podem ser registrados diretamente pelos usuários com acesso ao sistema de registro de incidentes, ou por software de monitorização automática.

Todos os incidentes devem ser registrados de uma forma que permite que as informações relevantes que devem ser recuperados e analisados.

Progresso (ou falta dela) na resolução de incidentes devem ser comunicados às efetiva ou potencialmente afetados.

Todas as ações devem ser registradas no registro de incidentes. Incidente pessoal de gestão devem ter acesso a um up-to-date base

de conhecimento que tenham informações sobre especialistas técnicos, incidentes anteriores, problemas relacionados e erros conhecidos, soluções

ISO/IEC 20000-2:2005(E)

e listas de verificação que vai ajudar no restabelecimento do serviço ao negócio.

Sempre que possível, o cliente deverá ser dotado de meios para continuar o negócio, mesmo que apenas com um serviço degradado, por exemplo, desabilitando uma característica defeituosa. O motivo é minimizar o impacto sobre as atividades de negócio do cliente. Quando a causa não é diagnosticada, mas uma solução é criada, os detalhes devem ser registrados para o uso durante o diagnóstico do problema continua, e quando ocorrer incidentes semelhantes.

Encerramento definitivo de um incidente deve ocorrer apenas quando o usuário iniciante tem sido dada a oportunidade para confirmar que o incidente já está resolvido e o serviço restabelecido.

8.2.2 Grandes incidentes Deve haver uma definição clara do que constitui um incidente grave e

que está habilitado a invocar alterações no funcionamento normal do incidente de processo / problema.

Todos os incidentes importantes devem ter um gestor responsável claramente definido em todos os momentos.

Nomeação como gerente de um incidente grave deve dar ao nível das entidades individuais que são adequados para a função de coordenar e controlar todos os aspectos para a resolução. Isto deve incluir a responsabilidade pela escalada e comunicação eficazes em todas as áreas envolvidas na resolução, e para os clientes afetados pelo incidente grave. NOTA: Este nível de autoridade pode ser temporária, e aplicam-se apenas durante o incidente mais grave.

O processo de um incidente grave deve incluir uma revisão que irá informar um plano para melhorar o serviço.

8.3 Gerenciamento de Problemas Objetivo: minimizar a interrupção nos negócios através da identificação proativa e análise das causas dos incidentes e gestão de problemas até o encerramento.

8.3.1 Âmbito da gestão de problemas O processo de gerenciamento de problemas deve investigar as

causas dos incidentes. Problema de gestão pró-ativa deve prevenir a recorrência ou a

replicação de incidentes ou erros conhecidos de acordo com os requisitos de negócio.

8.3.2 Início do gerenciamento de problemas Os incidentes devem ser classificados para ajudar a determinar as

causas dos problemas. A classificação pode fazer referência a problemas existentes e mudanças.

NOTA: Na primeira categorização de incidentes de registo será influenciada por outros fatores, incluindo também serviços, área de negócios afetados e os sintomas apresentados.

8.3.3 Erros Conhecidos Quando a investigação de gerenciamento de problemas tem

identificado a causa raiz de um incidente e um método de resolver o incidente, o problema deve ser classificado como um erro conhecido.

ISO/IEC 20000-2:2005(E)

Todos os erros conhecidos deverão ser registradas contra os serviços atuais e potencialmente afetados, além do item de configuração suspeitos de estarem em falta.

Informações sobre erros conhecidos em serviços que estão sendo introduzidos no ambiente real devem ser passados para o serviço de gestão e deve ser registada na base de conhecimento, juntamente com as soluções.

Um erro conhecido não deve ser fechado após a resolução bem sucedida.

NOTA: O cliente ou fornecedor de serviços pode decidir que a resolução não é muito caro ou um benefício para o negócio.

Se este for o caso, devem ser claramente documentados. O registro de erro conhecido deve permanecer aberto no entanto, uma vez que incidentes consequenciais são susceptíveis de ocorrer e pode exigir soluções alternativas e/ou exigir a reavaliação da decisão de resolver.

8.3.4 Resolução de Problemas Quando a causa tenha sido identificada, e uma decisão para resolvê-

lo tem sido feito, a resolução deve ser avançado através do processo de gestão da mudança.

8.3.5 Comunicação Informações sobre soluções alternativas, as correções permanentes

ou progresso de problemas deve ser comunicada aos afetados ou necessários para apoiar os serviços afetados.

8.3.6 Acompanhamento e escalada O progresso de todos os problemas devem ser rastreados. Todas as questões devem ser escalados para as partes apropriadas.

O processo deverá abranger:

a) alterações da gravação para a identidade dos responsáveis pela resolução de problemas durante o ciclo de vida de cada problema;

b) Identificação dos incidentes que a violação metas de nível de serviço; c) A informação em cascata para os clientes e colegas para que eles

possam tomar as medidas adequadas para minimizar o impacto do problema por resolver;

d) Definição dos pontos de escalada; e) A gravação dos recursos utilizados e as ações tomadas.

8.3.7 Incidentes e encerramento registro de problema O processo de encerramento de registro deve incluir a verificação

para garantir que:

a) detalhes da resolução foram corretamente registrados; b) A causa é categorizada para facilitar a análise; c) Se for caso disso, o cliente eo pessoal de apoio estão conscientes da

resolução; d) O cliente concorda que a resolução tenha sido alcançada; e) Se a resolução não pode ser alcançado ou não possível, o cliente é

informado.

ISO/IEC 20000-2:2005(E)

8.3.8 Problema opiniões Comentários problema deve ser realizada em investigação sobre

problemas não resolvidos, incomuns ou de alto impacto justificar. Sua finalidade é buscar melhorias para o processo e para evitar a recorrência de incidentes ou erros.

Problema opiniões é normalmente:

a) revisão dos níveis de incidente individual e status de problema em relação aos níveis de serviço;

b) A Administração revisa para destacar os problemas que exigem ação imediata;

c) Gestão de revisão para determinar e analisar as tendências e fornecer informações para outros processos, tais como a educação do usuário e da formação.

8.3.9 Tópicos para revisões Os comentários devem incluir a identificação de:

a) Trends, por exemplo, problemas recorrentes e incidentes, erros conhecidos, etc.;

b) Os problemas recorrentes de um componente de classificação ou local;

c) As deficiências causadas pela formação de recursos ou de documentação;

d) Não conformidades, por exemplo, contra as normas, políticas e legislação;

e) Erros conhecidos em liberações planejadas; f) O compromisso dos funcionários de recursos na resolução de

incidentes e problemas; g) Recorrência de incidentes ou problemas resolvidos.

Melhorias para o serviço ou o processo de gestão de problema devem ser registradas e enviadas a um plano para melhorar o serviço.

As informações devem ser adicionadas à base de conhecimento problema de gestão.

Toda a documentação relevante deve ser atualizada, por exemplo, guias do usuário e documentação do sistema.

8.3.10 prevenção de problemas Proativa de gerenciamento de problemas deve levar a uma redução

dos incidentes e problemas. Deve incluir uma referência à informação que assiste a análise, tais como:

a) Ativos e configuração; b) A gestão da mudança; c) Publicada erro conhecido, informações solução dos fornecedores; d) As informações históricas sobre problemas semelhantes.

Prevenção de problemas deve variar de prevenção de incidentes individuais, tais como dificuldades repetidas com uma característica particular de um sistema, através de decisões estratégicas. Este último pode exigir grandes despesas para a execução como o investimento em uma rede melhor, a este nível de gestão proativa de problemas se funde com gerenciamento de disponibilidade.

ISO/IEC 20000-2:2005(E)

Problema de prevenção também inclui informação que está sendo dada aos clientes que significa que eles não precisam pedir ajuda no futuro, por exemplo, prevenção de incidentes causados pela falta de conhecimento do usuário ou de formação.

9 processos de controle

9.1 Gerenciamento de configuração Objetivo: definir e controlar os componentes do serviço e infraestrutura e manter informações de configuração exata.

9.1.1 Planejamento de gestão de configuração e implementação O gerenciamento de configuração deve ser planejado e

implementado com a gestão de mudança e libertação para garantir que o prestador de serviços pode gerenciar seus ativos de TI e as configurações de forma eficaz.

Precisas informações de configuração devem estar disponíveis para apoiar o planejamento e controle de mudanças como novos serviços e sistemas atualizados e são liberados e distribuídos. O resultado deve ser um eficiente sistema que integra os processos do fornecedor de serviços de configuração e as informações de seus clientes e fornecedores, se for caso disso.

Todos os principais ativos e configurações devem ser contabilizados e tem um gerente responsável, que garante que uma proteção adequada e controle são mantidos, por exemplo, mudanças são autorizados antes da implementação.

A responsabilidade pela implementação dos controles pode ser delegada, mas a responsabilidade deve permanecer com o gestor responsável. O gerente responsável deve ser fornecido com as informações necessárias para cumprir com essa responsabilidade, por exemplo, a pessoa que autoriza a alteração pode exigir informações sobre o custo, os riscos, o impacto da mudança e os recursos para a implementação.

A infraestrutura e/ou serviços devem ter plano de gerenciamento de up-to-date de configuração (s) que pode ser autônomo ou fazer parte de outros documentos de planejamento. Devem incluir ou descrever:

a) Âmbito, objetivos, políticas, normas funções e responsabilidades; b) Os processos de gerenciamento de configuração para definir os itens

de configuração no serviço (s) e infraestrutura, mudanças de controle das configurações, gravação e informando o status dos itens de configuração e verificar a integralidade e exatidão dos itens de configuração;

c) Os requisitos para a responsabilização, a rastreabilidade, audibilidade, por exemplo, para fins de segurança, legal, regulamentar ou de negócios;

d) Configuração de controle (de acesso, proteção, versão, construir, controla a liberação);

e) Processo de controle de interface para identificar, registrar e gerenciar os itens de configuração e informações na fronteira comum de duas ou mais organizações, por exemplo, interfaces do sistema, lançamentos;

ISO/IEC 20000-2:2005(E)

f) Planejamento e estabelece os recursos para trazer recursos e configurações sob controle e manutenção do sistema de gerenciamento de configuração, por exemplo, formação;

g) A gestão de fornecedores e subcontratantes na execução do gerenciamento de configuração.

NOTA: Um nível adequado de automação devem ser implementadas para assegurar que os processos não se transformem em um ou outro erro, ineficiente propenso ou não ser seguido em todos.

9.1.2 Identificação da configuração Todos os itens de configuração devem ser identificados de forma

exclusiva e definida por atributos que descrevem suas características físicas e funcionais. As informações devem ser relevantes e passíveis de auditoria.

devidas marcações, ou outros métodos de identificação, devem ser utilizadas e registradas no banco de dados de gerenciamento de configuração.

Os itens a serem gerenciados devem ser identificadas com base em critérios de seleção estabelecidos e devem incluir:

a) Todas as questões e lançamentos de sistemas de informação e de software (incluindo software de terceiros) e os documentos relacionados ao sistema, por exemplo, requisitos especificações, projetos, relatórios de ensaio, liberação de documentação;

b) Linhas de base de configuração ou compilação de declarações para cada ambiente aplicavam, hardware padrão constrói e libertação;

c) Mestre em papel e eletrônicos de bibliotecas, por exemplo, biblioteca de software definitiva;

d) A configuração do pacote de gestão ou instrumentos utilizados; e) Licenças; f) Os componentes de segurança, por exemplo, firewalls; g) Os ativos físicos que precisam ser controladas por razões financeiras,

gestão de ativos ou de negócios, por exemplo, garantir meios magnéticos, equipamentos;

h) Documentação do Serviço relacionado, por exemplo, SLAs, procedimentos;

i) Instalações de serviço de apoio, por exemplo, poder de sala de informática;

j) Relacionamentos e dependências entre os itens de configuração.

NOTA outros itens que podem ser considerados como itens de configuração incluem:

a) Documentação Outros; b) Outros ativos; c) Outras instalações, por exemplo, site; d) As unidades de negócios; e) Pessoas.

Relações adequadas e dependências entre os itens de configuração devem ser identificados para fornecer o nível necessário de controle.

Quando a rastreabilidade é necessário que o processo deva assegurar que os itens de configuração podem ser rastreados através do ciclo de vida

ISO/IEC 20000-2:2005(E)

completos, de documentos de requisitos até a liberação de registros, por exemplo, usando uma matriz de rastreabilidade.

9.1.3 Controle de configuração O processo deve garantir que apenas pessoas autorizadas e itens de

configuração de identificação são aceites e registadas a partir do recebimento até o descarte.

Nenhum item de configuração deve ser adicionado, modificado, substituído ou removido/cancelado, sem controle de documentação adequada, por exemplo, solicitação de alteração aprovada, informações atualizadas de lançamento.

Para proteger a integridade dos sistemas, serviços e infraestrutura, os itens de configuração devem ser realizados em um ambiente adequado e seguro que:

a) Protege contra acesso não autorizado, alteração ou corrupção, por exemplo, vírus;

b) Fornece um meio para recuperação de desastres; c) Permitir a recuperação controlada de uma cópia do capitão

controlada, por exemplo, software.

9.1.4 Relato da situação da configuração e relatórios Registros de configuração atual e exata devem ser mantido para

refletir mudanças no status de local, e as versões dos itens de configuração. Status de contabilidade deve fornecer informações sobre os dados

atuais e históricos relacionados a cada item de configuração ao longo do seu ciclo de vida. Deve permitir alterações nos itens de configuração a ser controladas pelos estados diferentes, por exemplo, ordenada, recebeu, em teste de aceitação, ao vivo, sob a mudança, retirados, eliminados.

As informações de configuração devem ser mantidas atualizadas e disponíveis para o planejamento, a tomada de decisão e gestão de alterações nas configurações definidas.

Quando necessário, as informações de configuração deve ser acessível para os usuários, clientes, fornecedores e parceiros para ajudá-los no planejamento e tomada de decisão. Por exemplo, um prestador de serviços pode tornar acessível as informações de configuração para o cliente e outros partidos para apoiar a gestão de serviços de outros processos para o fim-de-final do serviço.

Relatórios de gestão de configuração devem estar disponível para todas as partes interessadas. Os relatórios devem incluir a identificação e estado dos itens de configuração, suas versões e documentação associada.

Os relatórios devem incluir:

a) Últimas versões do item de configuração; b) Localização do item de configuração e software para a localização das

versões mestre; c) As interdependências; d) Histórico de versões; e) Estatuto dos itens de configuração que juntas constituem:

1. De configuração do serviço ou do sistema; 2. Uma mudança de base, construir ou libertação; 3. Versão ou variante.

ISO/IEC 20000-2:2005(E)

9.1.5 Configuração de verificação e de auditoria Configuração de verificação e de auditoria de processos, tanto física

quanto funcional, deve ser agendada e realizada uma verificação para garantir que os processos e os recursos adequados estejam em vigor para:

a) Proteger as configurações físicas e do capital intelectual da organização;

b) Assegurar que o prestador do serviço está no controle de suas configurações, os originais e as licenças;

c) Prover confiança de que as informações de configuração é preciso, controladas e visíveis;

d) Garantir que uma mudança, uma libertação, um sistema ou um ambiente em conformidade com as exigências contratadas ou especificadas e que os registros de configuração são precisos.

Auditorias de configuração devem ser realizadas regularmente, antes e depois da grande mudança, depois de um desastre e em intervalos aleatórios.

Deficiências e não conformidades devem ser registradas, avaliadas e medidas corretivas iniciadas, executadas e alimentado de volta para as partes relevantes e planas para melhorar o serviço.

NOTA: Normalmente existem dois tipos de auditorias de configuração:

a) Auditoria de configuração funcional: uma análise formal para verificar se um item de configuração tem atingido o desempenho e as características funcionais especificados nos documentos de sua configuração;

b) Auditoria de configuração física: uma análise formal do "as-built/produced" configuração de um item de configuração para verificar a sua conformidade com os documentos que a configuração do produto.

9.2 Gerenciamento de Mudança Objetivo: garantir que todas as mudanças são avaliadas, aprovadas, executadas e analisadas de uma forma controlada.

9.2.1 Planejamento e execução Os processos de mudança de gestão e os procedimentos devem

garantir que:

a) As alterações têm um escopo claramente definido e documentado; b) Apenas as alterações que proporcionem benefícios de negócios sejam

aprovadas, por exemplo, comerciais, legais, regulamentares, estatutários;

c) As mudanças são programadas com base na prioridade e risco; d) As alterações à configuração pode ser verificada durante a

implementação da mudança; e) O tempo para implementar mudanças é monitorado e melhorado

sempre que necessário f) Pode ser demonstrado como uma mudança é:

ISO/IEC 20000-2:2005(E)

1. Levantados, registrados e classificados (com referências aos documentos que deram origem à mudança);

2. Avaliar o impacto, urgência, custo, benefício e risco das mudanças no atendimento ao cliente, e os planos de libertação;

3. Anulada ou remediados se vencida; 4. Documentado, por exemplo, a solicitação de alteração está

relacionada com os itens de configuração afetada com a versão atualizada dos planos de execução e liberação;

5. Aprovado ou rejeitado por uma autoridade de mudar, dependendo do tipo, tamanho e risco de alteração;

6. Ser implementado pelo proprietário indicado no seio dos grupos responsáveis pelos componentes que estão sendo alterados;

7. Testado, verificado e assinado; 8. Fechada e revistas; 9. Previsto, acompanhados e comunicados; 10.Ligados ao incidente, o problema da mudança, outros registros e

itens de configuração quando necessário.

O estado das alterações e as datas de implementação programada deve ser utilizado como base para a mudança e programação de lançamento.

Agendamento de informações deve ser disponibilizado para as pessoas afetadas pela mudança.

Sempre que uma falha pode ser causado durante as horas normais de serviço as pessoas afetadas devem concordar com a mudança antes da implementação.

9.2.2 Encerramento e analisar a solicitação de mudança Todas as alterações devem ser revistas para o sucesso ou o fracasso

após a implementação e as melhorias registadas. Uma revisão pós-implementação deve ser realizada por grandes mudanças para verificar que:

a) A alteração aos seus objetivos; b) Os clientes estão satisfeitos com os resultados; c) Não houve efeitos colaterais inesperados.

Qualquer não conformidade deve ser registrada e acionada. Quaisquer deficiências ou falhas identificadas em uma revisão do

processo de gestão da mudança devem ser alimentadas em planos para melhorar o serviço.

9.2.3 Mudanças de emergência Mudanças de emergência às vezes são necessários e, se possível o

processo de mudança deve ser seguido, mas alguns detalhes podem ser documentados de forma retrospectiva. Quando o processo de emergência ignora exigências de gerenciamento de mudança, a mudança deve obedecer a estes requisitos, logo que possível.

Mudanças de emergência devem ser justificada pelo implementador e revisto após a mudança para verificar se ele foi uma verdadeira emergência.

ISO/IEC 20000-2:2005(E)

9.2.4 A gestão da mudança relatórios, análises e ações Alterar registros deve ser analisado regularmente para detectar níveis

crescentes de mudanças, muitas vezes tipos recorrentes, as tendências emergentes e outras informações relevantes. Os resultados e as conclusões extraídas da análise de mudança devem ser gravados e atuados em cima.

10 Processo de liberação

10.1 Processo de gerenciamento de lançamento Objetivo: oferecer, distribuir e rastrear uma ou mais alterações no ambiente ao vivo.

10.1.1 Geral Gerenciamento de liberação deve coordenar as atividades do

prestador de serviços, muitos fornecedores e os negócios para planejar e entregar uma versão em um ambiente distribuído.

Um bom planejamento e de gestão são essenciais para empacotar e distribuir um comunicado com sucesso, e para gerir o impacto e os riscos associados ao negócio e TI. A liberação dos sistemas de informação afetados, infraestrutura, serviços e documentação devem ser planejados com o negócio.

Todas as atualizações associada a documentação deve ser incluída na versão, por exemplo, processos de negócio, suporte de documentos e acordos de nível de serviço.

O impacto de todos os itens de configuração novos ou modificados necessários para efetuar as alterações autorizadas deverá ser avaliado.

O prestador do serviço deverá garantir que os aspectos técnicos e não técnicos da libertação são consideradas em conjunto.

Os itens de liberação devem ser feita e segura de modificação. Apenas devidamente testado e aprovado lançamentos devem ser aceitos no ambiente ao vivo.

10.1.2 Política de publicação Deve haver uma política de lançamento que inclui a:

a) Frequência e o tipo de lançamento; b) Os papéis e responsabilidades pela gestão da libertação; c) Autoridade para a libertação em teste de aceitação e ambientes de

produção; d) Identificação única e uma descrição de todas as versões; e) Abordagem às alterações agrupamento em um comunicado; f) Abordagem para automatizar a compilação, instalação, distribuição

de processos para liberação de ajuda de repetibilidade e eficiência; g) A verificação e a aceitação de um comunicado.

10.1.3 Lançamento e planejamento de implantação O prestador de serviços deve trabalhar com a empresa para garantir

que os itens de configuração que devem ser libertados são compatíveis entre si e com os itens de configuração no ambiente de destino.

Planejamento de lançamento deve garantir que as alterações aos sistemas de informação afetados, infraestrutura, serviços e documentação sejam aprovadas, autorizadas, programado, coordenado e controlado.

ISO/IEC 20000-2:2005(E)

A liberação and roll deve ser planejada em etapas, como detalhes do lançamento não poderia ser conhecido inicialmente.

O planejamento para uma música lançada and roll em geral, deve incluir:

a) Datas de lançamento e descrição dos resultados; b) As alterações relacionadas, os problemas e erros conhecidos

fechados ou resolvidos por esta versão e erros conhecidos que foram identificadas durante o ensaio da libertação;

c) Os processos relacionados com a implementação de um lançamento em todas as unidades de negócio e geográficos;

d) A maneira pela qual o lançamento será feito fora ou remediadas, se vencida;

e) Processo de verificação e aceitação; f) Comunicação, a preparação de documentação e treinamento para

clientes e equipe de apoio; g) A logística e os processos de aquisição, armazenamento, expedição,

contato, aceitar e alienar bens; h) Recursos apoio necessário para assegurar níveis de serviço são

mantidos; i) A identificação das dependências, as alterações relacionadas e riscos

associados que podem afetar a transferência suave de uma libertação para o teste de aceitação e ambientes de produção;

j) Assinar liberação fora; k) Cronograma de auditorias do ambiente de produção, quando exigidos

por grandes atualizações para garantir que o ambiente é viver no estado esperado quando o lançamento está instalado.

10.1.4 Desenvolver ou adquirir software Sistemas de informação e versões do software de equipes internas,

os construtores de sistemas, integradores de sistemas ou de outras organizações devem ser verificados no recebimento.

O processo total deve ser documentado no plano de gerenciamento de configuração.

10.1.5 Projetar, construir e configurar liberação Lançamento e distribuição devem ser concebidos e implementados

para:

a) Estar em conformidade com a arquitetura do provedor de serviços de sistemas, gestão de serviço e normas de infraestrutura;

b) Assegurar a integridade é mantido durante a construção, instalação, manuseio, embalagem e entrega;

c) Utilizar as bibliotecas e repositórios de software relacionados para gerenciar e controlar os componentes durante o processo de criação e libertação;

d) Os riscos são claramente identificados e ações corretivas podem ser tomadas, se necessário;

e) Permitir a verificação de que a plataforma de destino satisfaz os pré-requisitos antes da instalação;

f) Permitir a verificação de que uma nova versão está completa quando se chega ao destino.

ISO/IEC 20000-2:2005(E)

As saídas desse processo devem incluir notas de lançamento, as instruções de instalação, software e hardware instalados com base de configuração relacionados.

As saídas da libertação devem ser entregue ao grupo responsável pelo ensaio.

Construir, a instalação de lançamento, e os processos de distribuição pode ser automatizado para reduzir os erros, garantir que o processo é repetitivo e que novas versões podem ser lançadas rapidamente.

10.1.6 Verificação de lançamento e aceitação O resultado final deve ser um sinal-off na abrangência do pacote de

lançamento por completo em relação aos requisitos. Os processos de verificação e aceitação devem:

a) Verificar se o ambiente de teste controlado aceitação corresponda aos requisitos do ambiente de produção de destino;

b) Assegurar que a liberação é criada a partir de versões no âmbito da gestão de configuração e instalada no ambiente de teste de aceitação com o processo de produção prevista;

c) Verificar que o nível adequado de testes foi concluído, por exemplo, testes funcionais e não funcionais testes de aceitação de negócios, na avaliação da construção, lançamento, distribuição e procedimentos de instalação;

d) Garantir que a divulgação é testada para a satisfação dos clientes de negócios e pessoal prestador de serviços;

e) Garantir que os sinais de liberação adequada autoridade fora de cada fase de testes de aceitação;

f) Verificar que a plataforma de destino satisfaz os requisitos de hardware e software antes da instalação;

g) Verificar que uma nova versão está completa quando se chega ao destino.

10.1.7 Documentação Documentação apropriada deve estar disponível após a conclusão e

armazenados sob a gerência de configuração contra o item de configuração liberada. Essa documentação deve incluir:

a) Documentação de apoio por exemplo, acordos de nível de serviço; b) Documentação de suporte, por exemplo, sistema de visão geral,

instalação e suporte aos processos de meios auxiliares de diagnóstico, as instruções de operação e administração;

c) Construção, instalação da versão, e os processos de distribuição; d) Os planos de contingência e de recuperação; e) Cronograma de treinamento para gerenciamento de serviços, pessoal

de apoio e clientes; f) Uma linha de base de configuração para o lançamento, incluindo

itens de configuração associados, tais como documentação do sistema, ambientes de teste, documentação de teste, as versões de construção e ferramentas de desenvolvimento;

g) Alterações relacionadas, os problemas e erros conhecidos; h) Provas da autorização de liberação e elementos relacionados com a

verificação e a aceitação.

ISO/IEC 20000-2:2005(E)

Um sistema ou serviço que não é totalmente conforme aos seus requisitos especificados devem ser identificados e registrados através de uma gestão de configuração e gerenciamento de problemas antes de ir ao vivo.

Informações sobre erros conhecidos devem ser comunicados ao gerenciamento de incidentes.

Se o lançamento for rejeitado, atrasado ou cancelado, gerenciamento de mudanças deve ser informado.

10.1.8 Roll-out, distribuição e instalação A implantação de plano deverá ser revisto e detalhes adicionais,

conforme necessário para garantir que todas as atividades necessárias serão realizadas.

É importante que o lançamento seja entregue com segurança ao seu destino, no seu estado esperado. O roll-out, distribuição e processos de instalação devem assegurar que:

a) Todas as áreas de armazenamento de hardware e software são seguras;

b) Existência de procedimentos adequados para o armazenamento envia recepção e descarga de mercadorias;

c) A instalação, ambiental, elétrica e instalações de cheques são planejadas e concluídas;

d) Que as empresas e o pessoal prestador de serviços são notificados de novos lançamentos;

e) Os produtos redundantes, serviços e licenças são desativados.

Após a distribuição de software através de uma rede é essencial para verificar se a versão é completa e operacional quando se chega ao destino.

Após uma instalação bem-sucedida da gestão de ativos e registros de configuração deve ser atualizada com a localização e o proprietário do hardware e software.

Uma aceitação do cliente de instalação e questionário de satisfação pode ser usado para registrar o sucesso ou fracasso.

Resultados dos inquéritos ao cliente devem ser alimentados de volta para gestão de relacionamento de negócios.

10.1.9 Liberação Correios e roll-out O número de incidentes relacionados com a liberação no período

imediatamente após o roll-out devem ser medidos e analisados para avaliar seu impacto sobre os negócios, operações e recursos de pessoal de apoio.

O processo de gestão da mudança deve incluir uma revisão pós-implementação.

As recomendações devem ser integrados em um plano para melhorar o serviço.

ISO/IEC 20000-2:2005(E)

Bibliography[1] ISO/IEC 20000-1, Information technology — Service management — Part 1: Specification[2] ISO/IEC 17799, Information technology — Security techniques — Code of practice for information security management[3] ISO/IEC 12207, Information technology — Software life cycle processes[4] ISO/IEC TR 15271, Information technology — Guide for ISO/IEC 12207 (Software life cycle processes)[5] ISO/IEC TR 16326, Software engineering — Guide for the application of ISO/IEC 12207 to project management[6] ISO/IEC 15288, Systems engineering — System life cycle processes[7] ISO/IEC TR 19760, Systems engineering — A guide for the application of ISO/IEC 15288 (System life cycle processes)[8] ISO/IEC 15504-1, Information technology — Process assessment — Part 1: Concepts and vocabulary[9] ISO/IEC 15504-2, Information technology — Process assessment — Part 2: Performing an assessment[10] ISO/IEC 15504-3, Information technology — Process assessment — Part 3: Guidance on performing an assessment[11] ISO/IEC 15504-4, Information technology — Process assessment — Part 4: Guidance on use for process improvement and process capability determination[12] ISO/IEC 15504-5, Information technology — Process assessment — Part 5: An exemplar Process Assessment Model[13] ISO 10007, Quality management systems — Guidelines for configuration management[14] ISO 9000, Quality management systems — Fundamentals and vocabulary[15] ISO 9001, Quality management systems — Requirements[16] ISO/IEC 90003, Software engineering — Guidelines for the application of ISO 9001:2000 to computer software