ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ТЕХНИЧЕСКОМУ РЕГУЛИРОВАНИЮ И МЕТРОЛОГИИ

ГОСТР

57392-

2017/

ISO/IEC TR 20000-10: 2015

Информационные технологии УПРАВЛЕНИЕ УСЛУГАМИ

Часть 10

Основные понятия и терминология

(ISO/IEC TR 20000-10:2015, ЮТ)

Издание официальное

Москва

Стандартинформ

2017

Предисловие

1    ПОДГОТОВЛЕН Обществом с ограниченной ответственностью «Информационно-аналитический вычислительный центр» (ООО «ИАВЦ») на основе собственного перевода на русский язык англоязычной версии документа, указанного в пункте 4

2    ВНЕСЕН Техническим комитетом по стандартизации ТК 22 «Информационные технологии»

3    УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 27 февраля 2017 г. № 72-ст

4    Настоящий стандарт идентичен международному документу ISO/IEC TR 20000-10:2015 «Информационные технологии. Управление услугами. Часть 10. Основные понятия и терминология» (ISO/IEC TR 20000-10:2015 «Information technology — Service management — Part 10: Concepts and terminology», IDT).

ISO/IEC TR 20000-10 разработан подкомитетом ПК 40 «Управление ИТ-услугами и бизнес-регулирование в сфере ИТ» совместного технического комитета СТК 1 «Информационные технологии» Международной организации по стандартизации (ИСО) и Международной электротехнической комиссии (МЭК).

При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты Российской Федерации, сведения о которых приведены в дополнительном приложении ДА

5    ВВЕДЕН ВПЕРВЫЕ

6    Некоторые положения международного документа, указанного в пункте 4, могут являться объектом патентных прав. Международная организация по стандартизации (ИСО) и Международная электротехническая комиссия (МЭК) не несут ответственности за идентификацию подобных патентных прав

Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. № 162-ФЗ «О стандартизации в Российской Федерации». Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе «Национальные стандарты», а официальный текст изменений и поправок—в ежемесячном информационном указателе «Национальные стандарты». В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя «Национальные стандарты». Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования — на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)

© Стандартинформ, 2017

Настоящий стандарт не может быть полностью или частично воспроизведен, тиражирован и распространен в качестве официального издания без разрешения Федерального агентства по техническому регулированию и метрологии

4.2    Понятие СУУ

СУУ — это множество взаимодействующих компонентов, которые управляют действиями поставщика услуг по оказанию услуг, а также контролируют их. В состав СУУ входят политики, цели, планы, процессы, документация и ресурсы для достижения целей управления услугами, оказываемыми поставщиком услуг, и выполнения требований к этим услугам. СУУ должна управлять действиями поставщика услуг по проектированию, вводу в эксплуатацию, предоставлению, управлению и совершенствованию услуг с целью удовлетворения бизнес-потребностей и требований заказчика (внутреннего или внешнего), а также контролировать эти действия.

СУУ, предназначенная для оказания услуг заказчику и управления ими на основе ИСО/МЭК 20000-1:2011, позволяет поставщику услуг усилить контроль, повысить собственную эффективность и расширяет возможности для совершенствования. СУУ способна непосредственно обеспечивать эффективное управление услугами и их компонентами, создавать ценность и снижать риски неисполнения поставщиком услуг своих обязательств. СУУ повышает качество оказываемых услуг, ускоряет вывод продуктов на рынок, позволяет быстро реагировать на потребности заказчиков, улучшает взаимоотношения с ними и предоставляет другие преимущества, благодаря которым поставщик услуг укрепляет свою репутацию и положение на рынке.

СУУ основана на следующих принципах:

a)    концентрация на согласованных требованиях заказчика к услугам;

b)    активная поддержка СУУ и убеждение заинтересованных сторон в ее важности;

c)    комплексное управление услугами с участием:

1)    поставщика услуг,

2)    внутренних и внешних заказчиков,

3)    поставщиков,

4) внутренних групп,

5)    заинтересованных сторон;

d)    интегрированный подход к процессу;

e)    постоянное совершенствование с помощью методологии «планирование — реализация — контроль — корректировка» (Plan-Do-Check-Act, PDCA).

Эффективность СУУ зависит от уровня и качества внедрения всех перечисленных принципов.

Проектирование и внедрение СУУ может происходить под влиянием требований к услугам и целям управления услугами, которые должны периодически пересматриваться по мере развития организации. Возможно и влияние других факторов, например масштаба и структуры поставщика услуг, типов услуг и их заказчиков (внутреннего, внешнего или обоих).

СУУ и связанные с ней концепции имеют общий характер и применимы ко всем поставщикам услуг независимо от их типа, масштаба и характера оказываемых ими услуг. ИСО/МЭК 20000-1 может применяться в организациях самых разных типов и размеров — от крупнейших предприятий с тысячами сотрудников, работающих в различных регионах, до малых и средних компаний с небольшим штатом и одним офисом. ИСО/МЭК 20000-1 может использоваться для управления информационными, коммуникационными и технологическими услугами внутри этих организаций. ИСО/МЭК 20000-1 применим в различных бизнес-подразделениях к различным услугам: телекоммуникационным, финансовым, транспортным, облачным, управления инфраструктурой, передачи бизнес-процессов внешним подрядчикам и др. Требования к СУУ, определенные в ИСО/МЭК 20000-1, можно адаптировать к конкретной организации с учетом особенностей ее отрасли, масштаба и типа услуг.

4.3    Интегрированный процессный подход

Процесс — это набор взаимосвязанных действий с единой целью, который должен управляться совместно с другими процессами. Взаимная интеграция процессов обеспечивается интерфейсами между ними, состоящими из входов и выходов процессов. Выход одного процесса может непосредственно поступать на вход другого процесса. Примеры входов и выходов процессов приведены в ИСО/ МЭК 20000-2:2012 (приложение А). Процессы описывают, что должно выполняться, и часто поддерживаются процедурами, которые определяют, как должно происходить выполнение. Для внедрения интегрированного процессного подхода поставщику услуг необходимо документировать и реализовывать процессы управления услугами и интерфейсы, связывающие их между собой и с другими элементами СУУ. Многие критически важные процессы выходят за пределы организации, что усложняет определение ролей и сфер ответственности в управлении процессами. Чтобы полноценно поддерживать инте-

ГОСТ Р 57392-2017

грированную модель, высшее руководство должно последовательно проводить организационные преобразования, принимая для этого необходимые решения.

4.4 Постоянное совершенствование

Преимущества постоянного совершенствования СУУ вытекают из того, что услуги и система управления ими всегда соответствуют меняющимся потребностям бизнеса. Совершенствование дает поставщику услуг возможность работать как зрелой и опытной организации.

Подход к совершенствованию, изложенный в ИСО/МЭК 20000-1:2011, основан на методологии PDCA. На рисунке 2 показано, каким образом можно применять методологию PDCA к СУУ, в том числе к процессам управления услугами, описанным в ИСО/МЭК 20000-1:2011 (разделы 5 и 9), и к самим услугам. Каждый элемент методологии PDCA зависит от предыдущего элемента и обязателен для успешного внедрения СУУ.

Рисунок 2 — Применение методологии PDCA в управлении услугами

4.5 Компоненты эффективной СУУ

Эффективность СУУ и ее способность обеспечивать достижение целей управления услугами зависят от многих факторов, в том числе от наличия:

a)    политик, стимулирующих надлежащее поведение;

b)    набора интегрированных процессов, политик и планов, обеспечивающих достижение измеримых целей управления услугами;

c)    системного подхода к проектированию, вводу в эксплуатацию, предоставлению и совершенствованию услуг, совместимого с организационной культурой;

d)    значительной поддержки и заинтересованности со стороны всех уровней управления, в особенности высшего руководства;

e)    системы измерения для оценки производительности в процессе управления услугами, отзывов и предложений по внесению усовершенствований;

f)    владельца системы управления услугами и ответственного лица, уполномоченного управлять СУУ и услугами, а также совершенствовать их.

Чтобы поставщик услуг мог доказать эффективность СУУ, следует определить конкретные показатели производительности для каждого из вышеперечисленных факторов, а затем следить за ними и создавать отчеты о каждом из этих показателей. Поставщик услуг должен подтверждать свой уровень эффективности для каждого показателя и вносить все необходимые усовершенствования.

7

4.6 Преимущества СУУ на основе комплекса стандартов ИСО/МЭК 20000

4.6.1    Основные преимущества СУУ

При внедрении СУУ поставщики услуг могут демонстрировать заказчикам и другим заинтересованным сторонам свою способность применять четкие и согласованные принципы управления.

Возможные преимущества внедрения СУУ:

a)    повышение эффективности услуг и ценности поставщика услуг для бизнеса заказчиков благодаря внедрению и постоянному совершенствованию СУУ и услуг;

b)    сокращение расходов, времени и количества сбоев при оказании услуг;

c)    соответствие компонентов СУУ бизнес-целям и ценность компонентов СУУ для бизнеса;

d)    управление услугами в соответствии с потребностями бизнеса, выполнение требований к услугам в области применения СУУ;

e)    обеспечение заказчикам уверенности в ведении бизнеса благодаря использованию СУУ на основе ИСО/МЭК 20000-1;

f)    сокращение рисков посредством согласованного подхода к управлению ими;

д) улучшение координации между поставщиком услуг, внутренними группами, поставщиками и другими сторонами;

h)    поддержка описания, внедрения, эксплуатации и обслуживания широкого круга интегрированных процессов управления услугами;

i)    эффективное определение ролей, сфер ответственности и взаимоотношений для поддержки СУУ и услуг;

j)    обеспечение единого языка для управления услугами;

k)    понимание ожиданий со стороны персонала, поддержка сотрудников в развитии необходимых компетенций, признание заслуг персонала в достижении результатов.

В ИСО/МЭК 20000-1 описано руководство ИТ с помощью управления, измерений, создания отчетов, отслеживания требований и предоставления информации в руководящие органы. Эти описания дополняют передовые практики по техникам аудита руководства. СУУ также поддерживает корпоративное руководство, которое обычно опирается на информацию, получаемую в ходе оказания услуг, и поддержку процессов, определенных в ИСО/МЭК 20000-1.

СУУ на основе ИСО/МЭК 20000-1 повышает эффективность бизнеса, поскольку гарантирует, что услуги поддерживают его и не отвлекают сотрудников от выполнения своих главных обязанностей. Некачественная услуга вынуждает персонал тратить время на исправление ее результатов или поиск альтернативных способов решения проблем, а не на выполнение своей работы.

4.6.2    Преимущества независимой оценки СУУ на соответствие ИСО/МЭК 20000-1

Независимая оценка соответствия требованиям ИСО/МЭК 20000-1 предоставляет организациям

целый ряд преимуществ, в том числе подтверждает способность организации оказывать услуги надлежащего качества, постоянно совершенствовать их, а также удовлетворять требования своих клиентов. В среде, где услуги оказываются различными поставщиками, такое подтверждение играет важную роль.

Независимая оценка подтверждает соответствие процессов требованиям и обеспечивает полный доступ к преимуществам передовых методов управления услугами. На смену непоследовательному управлению процессами со стороны персонала приходят четко определенные процессы системы управления, соответствующей ИСО/МЭК 20000-1 и регулярно проходящей оценку.

СУУ можно интегрировать с другими системами управления, например QMS — для ИСО 9001 и ISMS — для ИСО/МЭК 27001. Интегрированная система управления повышает эффективность методов управления и сокращает расходы на аудит.

4.6.3    Преимущества, связанные с различными сценариями управления услугами

Управление услугами можно реализовать множеством различных способов, обеспечивающих различные преимущества. В таблице 1 показаны примеры сценариев внедрения систем управления и потенциальные выгоды от их использования. Сценарии, приведенные в таблице 1, не охватывают все варианты полноценных внедрений СУУ. Только два последних сценария полностью выполняют требования ИСО/МЭК 20000-1.

Таблица 1 — Сценарии реализации и их преимущества

Сценарий реализации Пример Потенциальный результат и преимущество СУУ не внедрена полностью. Внедрены некоторые процессы управления услугами Внедрены только два процесса: управление инцидентами и управление изменениями Специфические функциональные преимущества каждого процесса в рамках области внедрения СУУ не внедрена полностью. Все процессы управления услугами внедрены по отдельности и не интегрированы друг с другом Все процессы в ИСО/МЭК 20000-1:2011, раздел 5 Высокая доступность. Контроль каждого процесса. Улучшенное управление услугами СУУ не внедрена полностью. Все процессы управления услугами интегрированы Теперь управление изменениями полноценно взаимодействует с управлением конфигурациями, релизами и внедрением Высокая эффективность, все преимущества каждого процесса. Последовательность. Отслеживаемость. Контроль всех процессов. Возможность восстанавливать ИТ-услугу согласно плану обеспечения ее непрерывности, Возможность управлять требованиями к информационной безопасности при оказании услуги. Утверждение заказчиком соглашений об уровне обслуживания, связанных с услугой, и управление ими. Улучшение деловых отношений. Последовательное и подконтрольное взаимодействие с поставщиками СУУ полностью внедрена без независимой оценки на соответствие требованиям ИСО/МЭК 20000-1 Политики, цели, планы, документация и ресурсы СУУ, деятельность высшего руководства, цикл PDCA и руководство процессами, выполняемыми другими сторонами, область применения определена Постоянное повышение эффективности услуг и их ценности для бизнеса заказчиков. Оказание услуги осуществляется в соответствии с политиками и целями, связанными со стратегией и целями бизнеса. Повышение эффективности услуг и бизнес-процессов. Постоянное совершенствование качества услуг, в том числе их надежности. Улучшение координации действий всех участников — пользователей и (или) заказчиков, поставщиков, внутренних групп и других заинтересованных сторон. Улучшение контроля СУУ, услуг, измерений и отчетов. Демонстрация активной заинтересованности высшего руководства. Четко определенные обязанности и наличие мотивации у персонала. Реализация цикла совершенствования. Согласованные требования к услугам, документированная СУУ Эффективное руководство поставщиками, внешними организациями и цепочками поставок — оптимизация и контроль расходов. Сокращение рисков, их регулярная оценка. Документирование процесса для стандартизации и использования в дальнейшей работе СУУ полностью реализована с независимой оценкой соответствия ИСО/МЭК 20000-1 Полная оценка каждые три года, ежегодное инспектирование Функционирование и обслуживание СУУ. Независимое подтверждение эффективного управления услугами и их высокого качества. Международное признание. Конкурентные преимущества. Высокая степень уверенности заказчика в успешном ведении бизнеса. Улучшение репутации

4.7 Неправильные представления о СУУ и ИСО/МЭК 20000-1

4.7.1    Введение

Существует множество неправильных представлений об ИСО/МЭК 20000-1. Некоторые из них перечислены ниже.

4.7.2    Первое неправильное представление: комплекс стандартов ИСО/МЭК 20000 предназначен только для крупных коммерческих организаций

Факт. В ИСО/МЭК 20000-1:2011 (подраздел 1.2) указано следующее: «все требования, определенные в настоящем стандарте, имеют общий характер и применимы ко всем поставщикам услуг независимо от типа, масштаба и характера оказываемых ими услуг». Все стандарты систем управления применимы в организациях любого типа: крупных, малых, частных, общественных и некоммерческих. Любой поставщик услуг может выполнять все требования, указанные в ИСО/МЭК 20000-1, и подтверждать это в ходе независимой оценки. Существует много небольших поставщиков услуг, использующих комплекс стандартов ИСО/МЭК 20000. Удовлетворение потребностей различных организаций и достижение их целей — лишь вопрос масштабирования. Кроме того, некрупным поставщикам услуг проще внедрять СУУ, поскольку они обладают сравнительно простой структурой, небольшим количеством офисов и сотрудников.

4.7.3    Второе неправильное представление: комплекс стандартов ИСО/МЭК 20000 применим только к ИТ-инфраструктуре

Факт. ИСО/МЭК 20000-1 применим в различных бизнес-подразделениях к различным услугам: телекоммуникационным, финансовым, транспортным, облачным, управления инфраструктурой, передачи бизнес-процессов внешним подрядчикам и др. Поставщики услуг также используют комплекс стандартов ИСО/МЭК 20000 в сфере телекоммуникационных, облачных, медиа- и других услуг. Как отмечалось выше, в ИСО/МЭК 20000-1:2011 (подраздел 1.2) указано, что «все требования, определенные в настоящем стандарте, имеют общий характер и применимы ко всем поставщикам услуг независимо от типа, масштаба и характера оказываемых ими услуг».

4.7.4    Третье неправильное представление: комплекс стандартов ИСО/МЭК 20000 применим только к внешним поставщикам услуг

Факт. Внешние поставщики услуг — это поставщики, которые оказывают услуги заказчикам, не входящим в их собственную организацию, как правило, на коммерческой основе. Комплекс стандартов ИСО/МЭК 20000 позволяет внешним поставщикам услуг доказывать свою способность оказывать услуги надлежащего качества. Многие внутренние поставщики услуг (которые оказывают услуги внутри собственной организации) также понимают преимущества выполнения требований ИСО/МЭК 20000-1. СУУ способствует полноценному использованию и интеграции процессов управления услугами, что невозможно обеспечить одним лишь внедрением эффективных процессов. Кроме того, СУУ усиливает контроль системы управления благодаря использованию цикла «планирование — реализация — проверка — корректировка», обеспечивающего постоянное совершенствование. Внутренний поставщик услуг может подтверждать свою способность качественно реализовывать передовые методы управления услугами с помощью независимой оценки соответствия требованиям ИСО/МЭК 20000-1. СУУ дает внутреннему поставщику услуг возможность демонстрировать бизнес-ценность оказываемых им услуг. Использование ИСО/МЭК 20000-1 также позволяет эффективно оказывать высококачественные услуги в условиях жестко ограниченных бюджетов.

Можно привести в качестве примера, как в одном из направлений бизнеса внутреннего поставщика услуг служба технической поддержки использовалась редко по причине ее низкой эффективности. Благодаря внедрению СУУ и ее регулярным независимым оценкам эффективность службы технической поддержки существенно возросла, бизнес-подразделение стало вновь использовать ее. Эффективность бизнес-подразделения также увеличилась благодаря тому, что служба технической поддержки стала помогать ему достигать коммерческих целей.

4.7.5    Четвертое неправильное представление: поставщики услуг должны использовать конкретные структурированные подходы для выполнения требований, указанных в ИСО/МЭК 20000-1

Факт. Комплекс стандартов ИСО/МЭК 20000 разработан с учетом различных структурированных подходов на основе передовых практик по управлению услугами, однако его предназначение отличает-

ГОСТ Р 57392-2017

ся от предназначений этих подходов. СУУ можно реализовывать как с помощью различных структурированных подходов, так и на основе использования собственных методик организации, а также объединять их друг с другом. Во вводной части ИСО/МЭК 20000-1 написано следующее: «ИСО/МЭК 20000-1 целенаправленно создан независимым от конкретных руководств. Поставщик услуг может сочетать общепринятые руководства со своим собственным опытом».

4.7.6 Пятое неправильное представление: комплекс стандартов ИСО/МЭК 20000 может замедлять процесс управления услугами, делать его дорогостоящим и бюрократичным

Факт. Результатом надлежащего внедрения стандарта ИСО/МЭК 20000-1 является СУУ, обеспечивающая эффективное и результативное оказание высококачественных услуг. При ненадлежащем внедрении СУУ она может оказаться медленной, дорогостоящей и бюрократичной. В этом случае реализацию следует улучшить.

Документация, необходимая для поддержки поставщика услуг или других заинтересованных сторон, должна быть удобной и понятной. Политики, процессы, процедуры и планы можно оптимизировать. Каждая организация самостоятельно проектирует СУУ и может обеспечить ее быстродействие и эффективность. Кроме того, цикл непрерывного совершенствования, соответствующий требованиям ИСО/МЭК 20000-1, дает возможность оптимизировать СУУ и увеличивать ее эффективность с ростом ее зрелости.

5 Комплекс стандартов ИСО/МЭК 20000

5.1 Общая информация

Комплекс стандартов ИСО/МЭК 20000 состоит из нескольких взаимосвязанных частей, которые являются международными стандартами или техническими отчетами.

Комплекс стандартов ИСО/МЭК 20000 предназначен как для внутренних, так и для внешних поставщиков услуг. Главная цель СУУ — создать условия для оказания услуг, которые удовлетворяют бизнес-потребностям заказчиков и соответствуют требованиям к услугам, согласованным между поставщиком услуг и заказчиками.

Благодаря комплексу стандартов ИСО/МЭК 20000 внутренние и внешние поставщики услуг определяют, какие потребности заказчиков им следует принимать во внимание для повышения качества оказываемых услуг.

Части комплекса стандартов ИСО/МЭК 20000 и взаимоотношения между ними показаны на рисунке 3.

11

к

Е 1

к Е

5 ° о щ = о S |

£ I

ш о.

0    ®

1

О S

О

5.2 ИСО/МЭК 20000-1:2011 Требования к системе управления услугами

5.2.1    Область применения

В ИСО/МЭК 20000-1:2011 определены требования к планированию, реализации, внедрению, эксплуатации, мониторингу, анализу, обслуживанию и совершенствованию СУУ поставщиком услуг. В число этих требований входит проектирование, ввод в эксплуатацию, предоставление и совершенствование услуг в соответствии с требованиями к ним.

5.2.2    Назначение

ИСО/МЭК 20000-1:2011 определяет минимальные требования к реализации СУУ, обеспечивающей соответствие оказываемых услуг бизнес-целям и требованиям заказчика, а также к управлению этой системой со стороны организации. Организации, которые желают продемонстрировать возможности и эффективность своей СУУ или улучшить их, могут использовать ИСО/МЭК 20000-1:2011 в качестве оценочной базы. Этот стандарт также может быть полезен:

а) организациям, которые находятся в поиске поставщиков услуг и желают получить гарантии выполнения своих требований к услугам;

ГОСТ Р 57392-2017

b)    организациям, которые желают внедрить единый подход к своим поставщикам услуг, в том числе находящимся в цепи поставок;

c)    поставщикам услуг, желающим продемонстрировать свои способности в областях проектирования, ввода в эксплуатацию, предоставления и совершенствования услуг, соответствующих требованиям к услугам;

d)    поставщикам услуг, которые проводят мониторинг, измерение и анализ своих услуг и процессов управления ими;

e)    поставщикам услуг, которые совершенствуют проектирование, ввод в эксплуатацию, предоставление и развитие услуг путем эффективного внедрения и использования СУУ;

f)    инспекторам и аудиторам для выяснения критериев оценки соответствия СУУ поставщика услуг требованиям ИСО/МЭК 20000-1:2011.

Все требования ИСО/МЭК 20000-1:2011 имеют общий характер и применимы ко всем поставщикам услуг независимо от их типа, масштаба и характера оказываемых ими услуг. ИСО/МЭК 20000-1:2011 не зависит от технологий, используемых для оказания услуг. Поставщик услуг, желающий подтвердить свое соответствие ИСО/МЭК 20000-1:2011, обязан выполнять требования, изложенные в его разделах 4—9, независимо от особенностей своей организации.

5.3 ИСО/МЭК 20000-2:2012 Руководство по применению систем управления услугами

5.3.1    Область применения

ИСО/МЭК 20000-2:2012 содержит руководящие указания по применению СУУ в соответствии с ИСО/МЭК 20000-1:2011. ИСО/МЭК 20000-2:2012 включает в себя примеры и рекомендации, помогающие организациям трактовать и использовать материалы ИСО/МЭК 20000-1:2011, в том числе ссылки на другие части ИСО/МЭК 20000 и профильные международные стандарты. ИСО/МЭК 20000-2:2012 не зависит от конкретных структурированных подходов на основе передовых практик.

5.3.2    Назначение

ИСО/МЭК 20000-2:2012 содержит ответы на многие вопросы организаций и специалистов о внедрении СУУ, точной интерпретации и применении положений ИСО/МЭК 20000-1:2011, обеспечивающих высокую эффективность его использования. Организация, желающая улучшить управление услугами, может использовать этот стандарт независимо от заинтересованности в демонстрации своего соответствия ИСО/МЭК 20000-1:2011.

5.3.3    Связь с ИСО/МЭК 20000-1:2011

ИСО/МЭК 20000-2:2012 имеет такую же структуру, что и ИСО/МЭК 20000-1:2011, каждая его глава включает в себя руководства и примеры.

Кроме того, в ИСО/МЭК 20000-2:2012 содержатся примеры интерфейсов и точек интеграции процессов и других компонентов СУУ (например, политики и план управления услугами). Эти примеры помогают организациям понять функционирование СУУ как интегрированной системы, все компоненты которой являются взаимозависимыми.

5.4 ИСО/МЭК 20000-3:2012 Руководство по определению области применения

и применимости ИСО/МЭК 20000-1

5.4.1    Область применения

ИСО/МЭК 20000-3:2012 включает в себя руководящие указания по определению области применения, применимости и подтверждению соответствия требованиям ИСО/МЭК 20000-1:2011.

Руководство, приведенное в ИСО/МЭК 20000-3:2012, помогает поставщику услуг планировать совершенствование услуг и готовиться к оценке соответствия ИСО/МЭК 20000-1:2011.

ИСО/МЭК 20000-3:2012 помогает выяснять, применим ли ИСО/МЭК 20000-1:2011 к конкретному поставщику услуг; показывает, как определяется область применения СУУ независимо от предыдущего опыта поставщика услуг в применении других систем управления.

5.4.2    Назначение

ИСО/МЭК 20000-3:2012 содержит руководящие принципы по определению области применения и применимости ИСО/МЭК 20000-1:2011. Он помогает поставщику услуг подготовиться к оценке СУУ в надлежащей области применения.

Учитывая широкий охват внутренних и внешних соглашений, которые может заключать поставщик услуг, определение области применения СУУ бывает затруднительным. Чтобы продемонстрировать соответствие требованиям ИСО/МЭК 20000-1:2011, поставщик услуг должен доказать, что осуществля-

13

ется руководство процессами, выполняемыми другими сторонами. Следует тщательно определить и разграничить зоны ответственности и интерфейсы между поставщиком услуг и любыми другими сторонами, выполняющими процессы в области применения СУУ.

5.4.3 Связь с ИСО/МЭК 20000-1:2011

ИСО/МЭК 20000-3:2012 содержит руководящие указания по некоторым подразделам ИСО/МЭК 20000-1:2011, которые могут быть полезны на начальном этапе проекта по внедрению СУУ. В их число входят подразделы 1.2, 4.2 и пункт 4.5.1.

ИСО/МЭК 20000-3:2012 включает в себя специальные принципы руководства, дополняющие ИСО/МЭК 20000-2:2012.

5.5    ИСО/МЭК ТО 20000-4:2010 Эталонная модель процесса

5.5.1    Область применения

В ИСО/МЭК ТО 20000-4:2010 определена эталонная модель процесса ЭМП, которая включает в себя набор процессов управления услугами, описанных в терминах целей и результатов и демонстрирующих охват требований, указанных в ИСО/МЭК 20000-1:2011.

5.5.2    Назначение

ИСО/МЭК ТО 20000-4:2010 — это промежуточный продукт для специалистов, который предоставляет общий охват процессов, облегчающий определение возможностей процессов с помощью модели оценки процессов, определенной в ИСО/МЭК TS 15504-8:2012.

5.5.3    Связь с ИСО/МЭК 20000-1:2011

Поскольку ИСО/МЭК ТО 20000-4 был опубликован в 2010 г., он не согласован с ИСО/МЭК 20000-1:2011. Он также не согласован с ИСО/МЭК 20000-1:2005, однако согласован с ранней предварительной редакцией ИСО/МЭК 20000-1:2011. Все процессы, описанные в ИСО/МЭК ТО 20000-4:2010, включают в себя привязки каждого результата ЭМП к конкретным разделам предварительной редакции ИСО/МЭК 20000-1, используемым для отслеживания соответствий.

Процессы, определенные в ИСО/МЭК ТО 20000-4:2010, не идентичны процессам, изложенным в ИСО/МЭК 20000-1:2011. Например, в ИСО/МЭК ТО 20000-4:2010 управление рисками представляет собой процесс, а ИСО/МЭК 20000-1:2011 — «подход к управлению рисками», а не отдельный процесс.

Интерфейсы между процессами входят в ИСО/МЭК 20000-1:2011, но не включены в эталонные модели процесса. Входы и выходы процессов описаны в модели оценки процесса, определенной в ИСО/МЭК TS 15504-8.

В эталонной модели процесса используются термины, которые не предусмотрены в комплексе стандартов ИСО/МЭК 20000. Как правило, эти термины применяются для совместимости с техническими стандартами программного обеспечения и систем. Примерами таких терминов являются «спецификация услуги» и «эффективность уровня обслуживания», отсутствующие в ИСО/МЭК 20000-1:2011.

5.6    ИСО/МЭК ТО 20000-5:2013 Пример плана внедрения ИСО/МЭК 20000-1

5.6.1    Область применения

ИСО/МЭК ТО 20000-5:2013 содержит руководящие указания по внедрению СУУ, соответствующей требованиям ИСО/МЭК 20000-1:2011. Эта часть ИСО/МЭК 20000 описывает общий трехэтапный план управления внедрением, учитывающий проектирование, ввод в эксплуатацию, предоставление услуг, управление ими и их совершенствование. Поставщик услуг может адаптировать эти этапы в соответствии со своими потребностями и ограничениями.

5.6.2    Назначение

ИСО/МЭК ТО 20000-5:2013 включает в себя руководящие указания для поставщиков услуг. Стандарт полезен тем, кто дает поставщикам услуг рекомендации о порядке планирования, внедрения и совершенствования СУУ, используя, например, общий трехэтапный подход к управлению реализацией. Этот стандарт также содержит руководящие указания по разработке экономического обоснования, запуску проекта и выполнению других действий, необходимых для успешного внедрения.

Этапы, описанные в ИСО/МЭК ТО 20000-5:2013, не предусматривают изменение области применения СУУ поставщика услуг. В ИСО/МЭК ТО 20000-5:2013 изменения, вносимые на этапах процесса согласно принятым рекомендациям, не влияют на область применения. Вместо этого каждый этап должен совершенствовать СУУ в соответствии с согласованной поставщиком услуг областью применения и с использованием результатов предыдущего этапа. По завершении последнего этапа поставщик услуг получает преимущества СУУ, полностью соответствующие требованиям ИСО/МЭК 20000-1:2011.

14

ГОСТ P 57392—2017

В ИСО/МЭК ТО 20000-5:2013 приведены примеры политик, которые поставщики услуг могут адаптировать к своим корпоративным требованиям.

ИСО/МЭК ТО 20000-5:2013 включает в себя шаблоны, помогающие поставщикам услуг выполнять требования ИСО/МЭК 20000-1:2011.

5.6.3 Связи с ИСО/МЭК 20000-1:2011

ИСО/МЭК ТО 20000-5:2013 связывает требования ИСО/МЭК 20000-1:2011 с тремя рекомендованными этапами проекта.

Кроме, того, ИСО/МЭК ТО 20000-5:2013 включает в себя:

a)    примеры политик в области применения СУУ;

b)    примеры других шаблонов, полезных поставщику услуг;

c)    список конкретных действий для выполнения в процессе внедрения, в том числе документирование и управление записями.

ИСО/МЭК ТО 20000-5:2013 можно использовать совместно с ИСО/МЭК 20000-2:2012, чтобы обеспечить более тщательную поддержку подхода к выполнению проекту.

ИСО/МЭК ТО 20000-5:2013 также можно использовать совместно с ИСО/МЭК 20000-3:2012 как руководство по определению области применения и применимости на начальных этапах проекта.

5.7 ИСО/МЭК ТО 20000-9:2015 Руководство по применению ИСО/МЭК 20000-1 к облачным

услугам

5.7.1    Область применения

В ИСО/МЭК ТО 20000-9:2015 даны инструкции по использованию ИСО/МЭК 20000-1:2011 поставщиками облачных услуг. Стандарт применим к различным категориям облачных услуг, в том числе обозначенным ИСО/МЭК 17788/ITU-T Y.3500 и ИСО/МЭК 17789/ITU-T Y.3502, включая следующие (не ограничиваясь этим):

a)    инфраструктура как услуга (laaS);

b)    платформа как услуга (PaaS);

c)    программное обеспечение как услуга (SaaS).

Кроме того, стандарт применим к таким моделям развертывания, как общедоступное облако, частное облако, облако сообщества и гибридное облако.

5.7.2    Назначение

Руководство по применению ИСО/МЭК 20000-1 к облачным услугам состоит из набора сценариев, относящихся к многочисленным действиям, которые выполняют поставщики облачных услуг. Эти сценарии описывают жизненный цикл услуги с помощью терминологии и примеров, знакомых поставщикам облачных услуг.

В каждом сценарии содержатся ссылки на наиболее уместные требования ИСО/МЭК 20000-1. В каждый сценарий входят рекомендации и примеры применения в облачных услугах пунктов ИСО/МЭК 20000-1, на которые даются указания. Все процессы, определенные в ИСО/МЭК 20000-1, включены как минимум в один сценарий.

5.7.3    Отношения с ИСО/МЭК 20000-1:2011

Этот раздел ИСО/МЭК ТО 20000-9:2015 можно использовать в качестве инструкций для поставщиков облачных услуг при проектировании, управлении или повышении эффективности СУУ с целью поддержки облачных услуг.

Этот раздел ИСО/МЭК ТО 20000-9:2015 не вводит новые требования по сравнению с приведенными в ИСО/МЭК 20000-1 и не дает явных инструкций по сбору свидетельств для инспекторов или аудиторов.

6 Другие сопутствующие стандарты и технические отчеты

6.1 Аналогичные стандарты и технические отчеты

Существуют три документа, тесно связанные друг с другом, — стандарт и технические отчеты, которые описываются в терминах области применения, целевого назначения и связи с ИСО/МЭК 20000-1:

a)    ИСО/МЭК TS 15504-8:2012 Информационные технологии. Оценка процесса. Часть 8. Модель образца оценки процесса для управления ИТ-услугами;

b)    ИСО/МЭК 27013:2015 Информационные технологии. Методы и средства обеспечения безопасности. Руководство по интегрированному внедрению ИСО/МЭК 27001 и ИСО/МЭК 20000-1;

15

ГОСТ P 57392—2017

Содержание

1    Область применения..................................................................1

2    Термины и определения...............................................................1

3    Терминология, используемая в комплексе стандартов ИСО/МЭК 20000 ........................4

4    Системы управления услугами .........................................................5

4.1    Общая информация...............................................................5

4.2    Понятие СУУ.....................................................................6

4.3    Интегрированный процессный подход................................................6

4.4    Постоянное совершенствование.....................................................7

4.5    Компоненты эффективной СУУ......................................................7

4.6    Преимущества СУУ на основе комплекса стандартов ИСО/МЭК 20000 .....................8

4.7    Неправильные представления о СУУ и ИСО/МЭК 20000-1 ..............................10

5    Комплекс стандартов ИСО/МЭК 20000 ..................................................11

5.1    Общая информация..............................................................11

5.2    ИСО/МЭК 20000-1:2011 Требования к системе управления услугами......................12

5.3    ИСО/МЭК 20000-2:2012 Руководство по применению систем управления услугами..........13

5.4    ИСО/МЭК 20000-3:2012 Руководство по определению области применения и применимости

ИСО/МЭК 20000-1 ...................................................................13

5.5    ИСО/МЭК ТО 20000-4:2010 Эталонная модель процесса................................14

5.6    ИСО/МЭК ТО 20000-5:2013 Пример плана внедрения ИСО/МЭК 20000-1 ..................14

5.7    ИСО/МЭК ТО 20000-9:2015 Руководство по применению ИСО/МЭК 20000-1 к облачным

услугам............................................................................15

6    Другие сопутствующие стандарты и технические отчеты...................................15

6.1    Аналогичные стандарты и технические отчеты........................................15

6.2    ИСО/МЭК TS 15504-8:2012 ........................................................16

6.3    ИСО/МЭК 27013:2015.............................................................16

6.4    ИСО/МЭК ТО 90006:2013..........................................................16

6.5    Поддержка стандартов ...........................................................17

Приложение ДА (справочное) Сведения о соответствии ссылочных международных стандартов

национальным стандартам...............................................21

Библиография........................................................................23

с) ИСО/МЭКТО 90006:2013 Информационные технологии. Руководящие указания по применению ИСО 9001:2008 к менеджменту ИТ-услугами и его интеграции с ИСО/МЭК 20000-1:2011.

Другие стандарты, которые менее связаны с ИСО/МЭК 20000-1, но могут быть полезны для его поддержки, перечислены в 6.5.

6.2 ИСО/МЭК TS 15504-8:2012

6.2.1    Область применения

ИСО/МЭК TS 15504-8:2012 основан на ИСО/МЭК ТО 20000-4:2010 и:

a)    определяет пример модели оценки процесса, которая поддерживает выполнение оценки с помощью показателей, позволяющих интерпретировать цели, результаты и атрибуты процесса;

b)    демонстрирует на примерах определение, выбор и использование показателей оценки.

6.2.2    Назначение

ИСО/МЭК TS 15504-8 закладывает основу для оценки управления услугами в организации.

6.2.3    Связи с ИСО/МЭК 20000-1:2011

Модель оценки процесса может быть использована для поддержки внедрения ИСО/МЭК 20000-1:2011 и определения с ее помощью возможности процессов. Тем не менее, следует иметь в виду, что эта модель не соответствует ИСО/МЭК 20000-1 редакциям 2005 и 2011 годов, а лишь ранней версии. Это обстоятельство важно учитывать при идентификации возможностей процессов с помощью ИСО/МЭК TS 15504-8:2012 в ходе проектирования и внедрения СУУ. Выходом модели оценки процесса являются возможности всех процессов, определенных в эталонных моделях процесса ИСО/МЭК ТО 20000-4:2010 и ИСО/МЭК TS 15504-8:2012 (см. приложение В).

6.3    ИСО/МЭК 27013:2015

6.3.1    Область применения

ИСО/МЭК 27013:2015 содержит руководящие указания для организаций, которые намерены:

a)    внедрить ИСО/МЭК 27001:2013 после внедрения ИСО/МЭК 20000-1:2011 или наоборот;

b)    внедрить раздел 3 ИСО/МЭК 27001:2013 и ИСО/МЭК 20000-1:2011 совместно друг с другом;

c)    согласовать системы управления, соответствующие разделу 3 ИСО/МЭК 27001:2013 и ИСО/МЭК 20000-1:2011.

6.3.2    Назначение

ИСО/МЭК 27013 помогает организациям внедрять интегрированную систему управления, обеспечивающую оказание услуг и защиту информации.

6.3.3    Связи с ИСО/МЭК 20000-1:2011

Управление информационной безопасностью и услугами —тесно взаимосвязанные и усиливающие друг друга функциональные области. В них определены похожие процессы и действия, несмотря на то, что каждая система управления акцентирует различные их нюансы.

ИСО/МЭК 27013 может использоваться при совместном внедрении ИСО/МЭК 20000-1:2011 и ИСО/МЭК 27001:2013. ИСО/МЭК 27013 помогает обнаруживать пересечения этих стандартов и избегать повторного выполнения одних и тех же работ. Результатом использования ИСО/МЭК 27013 для поддержки совместной интеграции ИСО/МЭК 20000-1 и ИСО/МЭК 27001:2013 может стать демонстрация выполнения требований этих стандартов. Благодаря ИСО/МЭК 27013 организация может понять различия в области применения и терминологии, а ее система управления информационной безопасностью, СУУ и интегрированная система управления основаны на самых эффективных подходах двух стандартов.

6.4 ИСО/МЭК ТО 90006:2013

6.4.1 Область применения

ИСО/МЭК ТО 90006 содержит руководящие указания по применению ИСО 9001:2008 к управлению ИТ-услугами и его интеграции с ИСО/МЭК 20000-1:2011.

ИСО/МЭК ТО 90006 предназначен для:

a)    аудиторов и инспекторов, которым необходимо руководство для проведения аудита соответствия услуг ИСО 9001:2008 и управления ими согласно этому стандарту;

b)    аудиторов и инспекторов, которым необходимы руководящие указания для проведения комплексного аудита соответствия услуг ИСО 9001:2008 и ИСО/МЭК 20000-1:2011 и управления ими согласно этим стандартам;

ГОСТ Р 57392-2017

Введение

ИСО/МЭК ТО 20000-10:2015 отменяет и заменяет первую редакцию ИСО/МЭК ТО 20000-10:2013, которая была технически пересмотрена.

Комплекс стандартов ИСО/МЭК 20000 состоит из следующих частей под одним общим заголовком «Информационные технологии. Управление услугами»:

-    часть 1. Требования к системе управления услугами;

-    часть 2. Руководство по применению систем управления услугами;

-    часть 3. Руководство по определению применимости и области применения ИСО/МЭК 20000-1;

-    часть 4. Эталонная модель процесса (Технический отчет);

-    часть 5. Пример плана внедрения ИСО/МЭК 20000-1 (Технический отчет);

-    часть 9. Руководство по применению ИСО/МЭК 20000-1 в сфере облачных услуг (Технический отчет);

-    часть 10. Основные понятия и терминология (Технический отчет);

-    часть 11. Руководство по взаимодействию между ИСО/МЭК 20000-1:2011 и системами управления услугами: ITIL®¹) (Технический отчет).

Следующие разделы находятся в процессе разработки:

-    часть 6. Требования к организациям, осуществляющим аудит и сертификацию систем управления услугами;

-    часть 8. Руководство по применению и преимуществам систем управления услугами в малых организациях (Технический отчет);

-    часть 12. Руководство по взаимодействию между ИСО/МЭК 20000-1:2011 и системами управления услугами: CMMI-SVC®²) (Технический отчет).

Настоящий стандарт включает в себя обзор основных понятий и терминологии. Настоящий стандарт создает основу, которая помогает организациям понять назначение всех частей ИСО/МЭК 20000 и взаимосвязи между ними. Предполагается, что настоящий стандарт станет авторитетным источником определений, используемых во всем комплексе стандартов ИСО/МЭК 20000. Термины, определенные в настоящем стандарте, будут исключаться из других опубликованных частей ИСО/МЭК 20000 при их пересмотре.

В настоящем стандарте также указаны другие документы, связанные с ИСО/МЭК 20000-1:2011, и взаимодействия с аналогичными международными стандартами, что поможет упростить совместное использование этих стандартов в организациях.

Настоящий стандарт может быть использован любой организацией или специалистом по планированию, проектированию, передаче в эксплуатацию, предоставлению и улучшению услуг, использующими ИСО/МЭК 20000-1:2011. Кроме того, настоящий стандарт будет полезен специалистам по оценке или аудиту систем управления услугами (СУУ); в нем подробно описаны все части ИСО/МЭК 20000 и способы их применения. В частности, настоящий стандарт:

a)    включает в себя определения терминов;

b)    связывает воедино все части ИСО/МЭК 20000, объясняя используемые в них основные понятия и термины;

c)    разъясняет взаимосвязи между частями ИСО/МЭК 20000;

d)    описывает возможные интерфейсы и способы интеграции СУУ поставщика услуг и других систем управления;

e)    содержит обзор других международных стандартов, которые могут использоваться совместно с комплексом стандартов ИСО/МЭК 20000;

f)    описывает взаимосвязь с ИСО/МЭК 20000-1 и другими международными стандартами.

Рисунок 1 иллюстрирует взаимосвязи между частями ИСО/МЭК 20000 и влияние на них различных внешних систем.

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

Информационные технологии УПРАВЛЕНИЕ УСЛУГАМИ Часть 10 Основные понятия и терминология

Information technologies. Service management. Part 10. Concepts and terminology

Дата введения — 2018—01—01

1    Область применения

В настоящем стандарте описаны основные понятия, определяющие, каким образом различные части ИСО/МЭК 20000 поддерживают ИСО/МЭК 20000-1:2011, а также взаимосвязи между частями ИСО/МЭК 20000, другими международными стандартами и техническими отчетами. В настоящем стандарте также объясняется используемая в комплексе стандартов ИСО/МЭК 20000 терминология для правильного восприятия организациями и специалистами основных положений.

Настоящий стандарт предназначен для:

a)    поставщиков услуг, которые рассматривают перспективу использования любых частей ИСО/МЭК 20000 и которым необходимо руководство по их применению для достижения поставленных

целей;

b)    поставщиков услуг, желающих уяснить возможности применения комплекса стандартов ИСО/МЭК 20000 совместно с другими международными стандартами;

c)    специалистов-практиков, аудиторов и других лиц, желающих изучить комплекс стандартов ИСО/МЭК 20000.

2    Термины и определения

В настоящем стандарте применены следующие термины с соответствующими определениями.

Примечания

1    Термины и определения, используемые в комплексе стандартов ИСО/МЭК 20000, но не включенные в настоящий стандарт, можно найти в стандартных словарях.

2    Форматирование статей терминов и определений изменено в соответствии с директивами ИСО/МЭК, глава 2, версия 2011 г. Содержание определений, опубликованных в ИСО/МЭК 20000-1:2011, сохранено.

2.1    доступность (availability): Способность услуги или компонента услуги выполнять требуемые функции в определенный момент или в течение определенного промежутка времени.

Примечание —Доступность, как правило, выражается отношением или процентом времени, в течение которого услуга или компонент услуги действительно доступны заказчику для использования по отношению к согласованному времени доступности.

2.2    базовое состояние конфигурации (configuration baseline): Формально зафиксированная конфигурационная информация в определенный момент времени жизненного цикла услуги или компонента услуги.

Примечание — Базовые состояния конфигураций, а также подтвержденные изменения данных базовых состояний составляют сведения о текущей конфигурации.

Адаптировано из ИСО/МЭК/ИИЭР 24765:2010.

Издание официальное

2.3    конфигурационная единица, КЕ (configuration item, Cl): Элемент, требующий управления для того, чтобы предоставлять услугу.

2.4    база данных управления конфигурациями, CMDB (configuration management database, CMDB): Хранилище данных, используемое для записи атрибутов конфигурационных единиц и взаимосвязей между конфигурационными единицами на всем протяжении их жизненного цикла.

2.5    постоянное совершенствование (continual improvement): Повторяющаяся деятельность, направленная на повышение способности удовлетворения требований к услуге.

Адаптировано из ИСО 9000:2005.

2.6    корректирующее действие (corrective action): Действие по устранению причины или уменьшению вероятности повторного проявления обнаруженного несоответствия или другой нежелательной ситуации.

Адаптировано из ИСО 9000:2005.

2.7    заказчик (customer): Организация или часть организации, потребляющая услугу(и).

Примечание — Заказчик может быть внутренним или внешним по отношению к организации поставщика услуг.

Адаптировано из ИСО 9000:2005.

2.8    документ (document): Информация и содержащий ее носитель.

Пример — Политики, планы, описания процессов, процедуры, соглашения об уровне услуг, контракты или записи.

Примечания

1    Документация может быть в любой форме или на любом носителе.

2    В комплексе стандартов ИСО/МЭК 20000 документы, за исключением записей, должны формулировать цели, которые необходимо достичь.

[ИСО 9000:2005]

2.9    результативность (effectiveness): Степень реализации запланированной деятельности и достижения запланированных результатов.

[ИСО 9000:2005]

2.10    инцидент (incident): Незапланированное событие, которое привело или может привести к прерыванию предоставления услуги или к снижению ее качества, даже если оно еще не повлияло на услугу для заказчика.

2.11    информационная безопасность (information security): Сохранение конфиденциальности, целостности и возможности доступа к информации.

Примечания

1    Дополнительно могут учитываться другие свойства, такие как подлинность, подотчетность, безотказность и надежность.

2    Термин «доступность» не используется в данном определении, так как определение для данного термина, приведенное в настоящем стандарте, неприменимо для определения термина «информационная безопасность».

Адаптировано из ИСО/МЭК 27000:2014.

2.12    инцидент информационной безопасности (information security incident): Одно или несколько нежелательных или неожиданных событий информационной безопасности, которые имеют значительную вероятность компрометации бизнес-операций и угроз информационной безопасности.

[ИСО/МЭК 27000:2014]

2.13    заинтересованная сторона (interested party): Лицо или группа лиц, имеющие особый интерес в деятельности или успехе деятельности поставщика услуг.

Пример — Заказчики, владельцы, руководители, сотрудники организации поставщика услуг, подрядчики, банкиры, союзы или партнеры.

Примечание — Группа может состоять из организации, ее части или более чем одной организации.

Адаптировано из ИСО 9000:2005.

2.14    внутренняя группа (internal group): Часть организации поставщика услуг, которая заключает формальное соглашение с поставщиком услуг, чтобы способствовать проектированию, преобразованию, предоставлению и совершенствованию услуги или услуг.

Примечание — Внутренняя группа не входит в рамки СУУ поставщика услуг.

ГОСТ Р 57392-2017

2.15    известная ошибка (known error): Проблема, имеющая выявленную корневую причину или метод снижения или устранения ее влияния на услугу за счет применения обходного решения.

2.16    несоответствие (nonconformity): Невыполнение требования.

[ИСО 9000:2005]

2.17    организация (organization): Группа людей и необходимых средств с распределенными ответственностями, полномочиями и взаимоотношениями.

Пример: — Компания, корпорация, фирма, предприятие, институт, благотворительная организация, индивидуальный предприниматель, ассоциация и любые сочетания перечисленных типов организаций.

Примечания

1    Обычно действует организационная структура.

2    Организация может быть общественной или частной.

[ИСО 9000:2005]

2.18    превентивное действие (preventive action): Действие, осуществляемое с целью избежать, устранить причину или снизить вероятность возникновения потенциального несоответствия или другой потенциальной нежелательной ситуации.

Адаптировано из ИСО 9000:2005.

2.19    проблема (problem): Корневая причина одного или нескольких инцидентов.

Примечание — Как правило, корневая причина неизвестна на момент создания записи о проблеме, и дальнейшее исследование проводится в рамках процесса управления проблемами.

2.20    процедура (procedure): Установленный способ осуществления деятельности или процесса.

Примечание — Процедуры могут быть документированными и недокументированными.

[ИСО 9000:2005]

2.21    процесс (process): Совокупность взаимосвязанных или взаимодействующих видов деятельности, преобразующая входы в выходы.

[ИСО 9000:2005]

2.22    запись (record): Документ, содержащий достигнутые результаты или свидетельства осуществленной деятельности.

Пример — Аудиторские отчеты, отчеты об инцидентах, записи об обучении и протоколы совещаний.

[ИСО 9000:2005]

2.23    релиз (release): Набор из одной или нескольких новых или измененных конфигурационных единиц, внедренный в производственную среду посредством одного или более изменений.

2.24    запрос на изменение (request for change): Предложение о внесении изменения в услугу, компонент услуги или СУУ.

Примечание — Изменение услуги включает в себя предоставление новой услуги или прекращение предоставления услуги, которая больше не требуется.

2.25    риск (risk): Влияние неопределенности на цели.

Примечания

1    Влияние — это отклонение от ожидаемого, положительное и/или отрицательное.

2    Цели могут иметь разные аспекты (например, финансовые, экологические, цели здравоохранения и безопасности) и могут применяться на различных уровнях (например, стратегический уровень, организационный уровень, уровень проекта, продукта или процесса).

3    Риск часто характеризуется ссылкой на возможные события и последствия или их сочетание.

4    Риск часто выражается в терминах совокупности последствий события (в том числе изменения обстоятельств) и вероятности его возникновения.

[ИСО 31000:2009]

2.26    услуга (service): Способ предоставления ценности заказчику через содействие ему в получении конечных результатов, которых заказчик хочет достичь.

Примечания

1    Услуга, как правило, нематериальна.

2    Услуга также может предоставляться поставщику услуг подрядчиком, внутренней группой или заказчиком, выступающим в качестве подрядчика.

3

2.27    компонент услуги (service component): Один элемент услуги, который в сочетании с другими элементами формирует полную услугу.

Пример — оборудование, программное обеспечение, инструменты, приложения, документация, информация, процессы и вспомогательные услуги.

Примечание — Компонент услуги может состоять из одной или нескольких конфигурационных единиц.

2.28    непрерывность обслуживания (service continuity): Способность управлять рисками и событиями, которые могут иметь серьезное влияние на услугу(и), с целью непрерывного предоставления услуг на согласованных уровнях.

2.29    соглашение об уровне услуг, SLA (service level agreement, SLA): Формальное соглашение между поставщиком услуг и заказчиком, которое определяет услуги и цели предоставления услуг.

Примечания

1    Соглашение об уровне услуг может быть заключено между поставщиком услуг и подрядчиком, внутренней группой или заказчиком, выступающим в качестве подрядчика.

2    Соглашение об уровне услуг может быть включено в контракт или другой вид формального соглашения.

2.30    управление услугами (service management): Комплекс организационных возможностей и процессов для осуществления руководства и контроля деятельности и ресурсов поставщика услуг для проектирования, преобразования, предоставления и совершенствования услуг с целью удовлетворения требований к услугам.

2.31    система управления услугами, СУУ (service management system (SMS)): Система управления для осуществления руководства и контроля деятельности поставщика услуг по управлению услугами.

Примечания

1    Система управления представляет собой совокупность взаимосвязанных и взаимодействующих элементов для создания политик и целей и достижения этих целей.

2    СУУ включает в себя все политики управления услугами, цели, планы, процессы, документацию и ресурсы, необходимые для проектирования, преобразования, предоставления и совершенствования услуг и выполнения требований, указанных в ИСО/МЭК 20000-1:2011.

3    Адаптировано из определения термина «система менеджмента качества» в ИСО 9000:2005.

2.32    поставщик услуг (service provider): Организация или часть организации, управляющая и предоставляющая услугу(и) заказчику.

Примечание — Заказчик может быть внутренним или внешним по отношению к организации поставщика услуг.

2.33    запрос на обслуживание (service request): Запрос о предоставлении информации, консультации, доступа к услуге или запрос на изменение, который предварительно утвержден.

2.34    требование к услуге (service requirement): Потребности заказчика и пользователей услуги, включая требования к уровню услуги, а также потребности поставщика услуг.

2.35    подрядчик (supplier): Организация или часть организации, которая является внешней по отношению к организации поставщика услуг и заключает договор с поставщиком услуг, чтобы участвовать в проектировании, преобразовании, предоставлении и совершенствовании услуги, услуг или процессов.

Примечание — Подрядчики включают выбранных ведущих подрядчиков, но не включают их субподрядчиков.

2.36    высшее руководство (top management): Лицо или группа лиц, которые осуществляют руководство и контроль деятельности поставщика услуг на самом высоком уровне.

Адаптировано из ИСО 9000:2005.

2.37    преобразование (transition): Виды деятельности, связанные с вводом новых или изменяемых услуг в производственную среду или выводом из нее.

3 Терминология, используемая в комплексе стандартов ИСО/МЭК 20000

Толкование большинства терминов в комплексе стандартов ИСО/МЭК 20000 приведено в общих словарях. Некоторые термины определены особо; их определения заимствованы из других стандартов систем управления либо приведены в комплексе стандартов ИСО/МЭК 20000. Например, термины «до-

4

ГОСТ Р 57392-2017

кумент», «эффективность» и «высшее руководство» заимствованы из ИСО 9000:2005, термин «информационная безопасность» — из ИСО/МЭК 27000, а термин «услуга» приведен в настоящем стандарте.

Термин «высшее руководство» в контексте комплекса стандартов ИСО/МЭК 20000 означает лицо или группу лиц, которые управляют поставщиком услуг и контролируют его на высшем уровне. Если поставщик услуг входит в состав более крупной организации, то термин «высшее руководство» в рамках комплекса стандартов ИСО/МЭК 20000 также относится к лицам, управляющим организацией, которая определена в качестве поставщика услуг, и контролирующим ее. В ИСО 9000:2005 термин «высшее руководство» означает лиц, ответственных за организацию. В комплексе стандартов ИСО/МЭК 20000 термин «высшее руководство» относится к части организации, отвечающей за СУУ поставщика услуг и область ее применения.

В ИСО/МЭК 20000-1:2011 используются и другие термины, определенные в ИСО 9000:2005. Как правило, они тесно связаны с системами управления (например, процесс, процедура, документ, запись, корректирующее действие, упреждающее действие). В некоторых случаях определения, приведенные в ИСО 9000:2005, адаптированы к услугам, поскольку ИСО/МЭК 20000-1:2011 разрабатывался специально для СУУ и услуг.

Термин «руководство» определен в различных словарях, однако в комплексе стандартов ИСО/МЭК 20000 применяется только в контексте «процессов, выполняемых другими сторонами».

Термин «конфигурационная единица» в ИСО/МЭК 20000-1:2011 означает элемент, который следует контролировать с целью оказания одной или нескольких услуг. Таким образом, поставщику услуг необходимо определить, что именно следует контролировать как конфигурационную единицу для достижения бизнес-целей организации и удовлетворения ее требований к услугам. В роли конфигурационных единиц могут выступать некоторые (не обязательно все) ресурсы. Примеры ресурсов, которые являются конфигурационными единицами, — приложение и соглашение об уровне обслуживания. Записи могут являться ресурсами, но не конфигурационными единицами.

Несмотря на то, что формулировка определения термина «инцидент информационной безопасности» в комплексе стандартов ИСО/МЭК 20000 заимствована из ИСО/МЭК 27000:2009, этот термин определяется и используется в комплексе стандартов ИСО/МЭК 20000 иначе.

В ИСО/МЭК 27000:2014 термин «инцидент информационной безопасности» относится к любым нежелательным событиям, угрожающим информационной безопасности. ИСО/МЭК 27001:2013 описывает единый процесс реагирования на инциденты информационной безопасности.

Примечание — В ИСО/МЭК 27013 приведена более подробная информация об интеграции ИСО/МЭК 20000-1 и ИСО/МЭК 27001, в том числе о согласовании их терминов.

Напротив, в ИСО/МЭК 20000-1:2011 предусмотрено несколько механизмов обработки нежелательных событий и связанных с ними записей: инцидентов, инцидентов информационной безопасности, проблем, известных ошибок и серьезных инцидентов. Согласно ИСО/МЭК 27001:2013 все эти события могут быть отнесены к инцидентам информационной безопасности в зависимости от их характеристик.

В ИСО/МЭК 20000-1:2011 предусмотрен ряд механизмов управления перечисленными событиями, в том числе управление инцидентами и запросами услуг, процедура обработки серьезных инцидентов и управление проблемами. В течение своего жизненного цикла нежелательное событие может обрабатываться несколькими процессами и процедурами.

Для согласования всех частей комплекса стандартов ИСО/МЭК 20000 друг с другом в них используются единообразные термины, слова и фразы. Например, вместо фразы «соответствовать требованиям» используется фраза «выполнять требования». Эта согласованность также облегчает корректный перевод комплекса стандартов ИСО/МЭК 20000 на другие языки.

4 Системы управления услугами

4.1 Общая информация

С помощью СУУ поставщики услуг могут предоставлять заказчикам услуги, которые удовлетворяют их бизнес-потребности и требования. Внедрение СУУ дает высшему руководству возможность осуществлять наблюдение и контроль, необходимые для создания бизнес-ценности и сохранения конкурентных преимуществ. Интегрированный процесс управления услугами обеспечивает согласованность их оказания, а также надлежащее планирование и координацию ввода новых и измененных услуг.

5

1

^ ITIL® является зарегистрированной торговой маркой AXELOS Limited.

2

) CMMI-SVC® является зарегистрированной торговой маркой CMMI Institute.