ГОСТ Р ИСО/МЭК 20000-1-2013 Информационная технология (ИТ). Управление услугами. Часть 1. Требования к системе управления услугами.

ГОСТ Р ИСО/МЭК 20000-1-2013

 НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

 Информационная технология

 Управление услугами

 Часть 1

Требования к системе управления услугами

 Information technology. Service management - Part 1. Service management system requirements

ОКС 35 020*

Дата введения 2015-01-01

 Предисловие

1 ПОДГОТОВЛЕН Закрытым акционерным обществом "ИТ Эксперт" и обществом с ограниченной ответственностью "Информационный аналитический вычислительный центр" (ООО "ИАВЦ") на основе собственного перевода на русский язык англоязычной версии стандарта, указанного в пункте 4

2 ВНЕСЕН Техническим комитетом по стандартизации ТК 22 "Информационные технологии"

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 8 ноября 2013 г. N 1543-ст

4 Настоящий стандарт идентичен международному стандарту ИСО/МЭК 20000-1:2011* "Информационная технология. Управление услугами. Часть 1. Требования к системе управления услугами". (ISO/IEC 20000-1:2011 "Information technology - Service management - Part 1: Service management system requirements", IDT)

5 ВВЕДЕН ВПЕРВЫЕ

6 ПЕРЕИЗДАНИЕ. Январь 2019 г.

Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)

 Введение

     Требования в настоящем стандарте включают проектирование, преобразование, предоставление и совершенствование услуг, удовлетворяющиe требованиям к услугам и обеспечивающиe ценность для заказчика и поставщика услуг. Настоящий стандарт требует применения комплексного процессного подхода при осуществлении поставщиком услуг таких видов деятельности, как планирование, создание, внедрение, эксплуатация, мониторинг, анализ, поддержка и совершенствование системы управления услугами (СУУ).

Скоординированная интеграция и внедрение СУУ обеспечивают непрерывный контроль и предоставляют возможности для постоянного совершенствования, большую результативность и эффективность. Функционирование процессов, указанных в настоящем стандарте, требует хорошей организации и скоординированной работы персонала. Для обеспечения результативности и эффективности процессов может быть использован соответствующий инструментарий.

Для наибольшей результативности поставщикам услуг следует рассматривать влияние на СУУ на протяжении всех стадий жизненного цикла услуги: от стратегии через проектирование, преобразование и эксплуатацию, включая постоянное совершенствование.

Настоящий стандарт требует применения методологии, известной как "Планирование-Выполнение-Проверка-Корректировка" (PDCA), ко всем частям СУУ и услугам. Методология PDCA, используемая в настоящем стандарте, может быть кратко охарактеризована следующим образом.

Планирование: установление, документирование и согласование СУУ, которая включает политики, цели, планы и процессы для удовлетворения требований к услугам.

Выполнение: внедрение и эксплуатация СУУ для проектирования, преобразования, предоставления и совершенствования услуг.

Проверка: мониторинг, измерение и проверка СУУ и услуг на соответствие политикам, целям, планам и требованиям к услугам, а также предоставление результатов в форме отчетов.

Корректировка: принятие мер по постоянному совершенствованию СУУ и услуг.

Наиболее важными аспектами комплексного процессного подхода и методологии PDCA при использовании с СУУ являются:

- понимание и удовлетворение требований к услугам с целью достижения удовлетворенности заказчика;

- установление политик и целей управления услугами;

- основанное на СУУ осуществление проектирования и предоставления услуг, которые предоставляют ценность заказчику;

- мониторинг, измерение и анализ эффективности СУУ и услуг;

- постоянное совершенствование СУУ и услуг, основанное на объективных измерениях.

Рисунок 1 иллюстрирует применение методологии PDCA к СУУ, включая процессы управления услугами, указанные в разделах 5-9, и к услугам. Каждый элемент методологии PDCA жизненно необходим для успешного внедрения СУУ. Процесс совершенствования, используемый в настоящем стандарте, основан на методологии PDCA.

Настоящий стандарт позволяет поставщику услуг интегрировать свои СУУ с другими системами управления в организации поставщика услуг. Принятие комплексного процессного подхода и методологии PDCA позволяет поставщику услуг привести в соответствие между собой или полностью интегрировать несколько стандартов систем управления. Например, СУУ может быть интегрирована с системой управления качеством, основанной на ИСО 9001, или с системой информационной безопасности, основанной на ИСО/МЭК 27001.

ИСО/МЭК 20000 намеренно создан как не зависящий от конкретных указаний стандарт. Поставщик услуг может использовать сочетание общепринятых рекомендаций и собственного опыта.

Пользователи настоящего стандарта несут ответственность за его правильное применение. Настоящий стандарт не ставит своей целью охватить все необходимые законодательные и нормативные требования и договорные обязательства поставщика услуг. Соответствие настоящему стандарту само по себе не дает освобождения или каких-либо привилегий в отношении законодательных и регулирующих требований.

Отдельное внимание обращается на то, что некоторые элементы настоящего стандарта могут быть объектом патентного права. ИСО и МЭК не несут ответственности за определение патентных прав подобного рода.

Рисунок 1 - Применение методологии PDCA в управлении услугами

Настоящий стандарт был подготовлен подкомитетом ПК 7 "Программное обеспечение и системотехника" объединенного технического комитета ИСО/МЭК СТК 1 "Информационные технологии".

В целях дальнейшего совершенствования и разработки стандартов управления услугами пользователям предлагается высказать свое мнение по ИСО/МЭК 20000-1, а также сформулировать предпочтения по очередности внесения изменений в остальные части стандарта ИСО/МЭК серии 20000.

      1 Область применения

1.1 Общие положения

Настоящий стандарт является стандартом системы управления услугами (СУУ). В нем представлены требования к поставщику услуг по планированию, созданию, внедрению, эксплуатации, мониторингу, анализу, поддержке и совершенствованию СУУ. Требования охватывают проектирование, преобразование, предоставление и совершенствование услуг для обеспечения соответствия требованиям к услугам.

Настоящий стандарт может использоваться:

a) организацией, нуждающейся в поставщиках услуг и требующей гарантий обеспечения выполнения соответствующих требований к услугам;

b) организацией, требующей последовательного и согласованного подхода от всех поставщиков услуг, в том числе в цепочке поставок;

c) поставщиком услуг, который намерен продемонстрировать свои способности по проектированию, преобразованию, предоставлению и совершенствованию услуг для обеспечения выполнения соответствующих требований к услугам;

d) поставщиком услуг для мониторинга, измерения и анализа своих процессов управления услугами и услуг;

e) поставщиком услуг для совершенствования проектирования, преобразования и предоставления услуг за счет использования результативного внедрения и эксплуатации СУУ;

f) экспертом или аудитором в качестве критерия для оценки соответствия СУУ поставщика услуг требованиям настоящего стандарта.

На рисунке 2 показана СУУ с учетом процессов управления услугами. Служба управления процессами и связями между процессами может быть реализована по-разному различными поставщиками услуг. Характер отношений между поставщиком услуг и заказчиком будет влиять на реализацию процессов управления услугами.

Рисунок 2 - Система управления услугами

1.2 Область применения

Все требования настоящего стандарта носят общий характер и предназначены для применения ко всем поставщикам услуг независимо от типа, размера и характера предоставляемых услуг. Исключение любого из требований разделов 4-9 неприемлемо, если поставщик услуг заявляет о соответствии настоящему стандарту независимо от характера организации поставщика услуг.

Соответствие требованиям раздела 4 может быть продемонстрировано только свидетельствами о выполнении всех требований раздела 4. Для требований раздела 4 поставщик услуг не может полагаться на свидетельства руководства процессами, управляемыми другими сторонами.

Соответствие требованиям разделов 5-9 может быть продемонстрировано свидетельствами о выполнении всех требований. В качестве альтернативы поставщик услуг может предоставить свидетельства выполнения большинства требований самостоятельно и свидетельства руководства процессами, управляемыми другими сторонами, для тех процессов или части процессов, которые находятся за рамками контура управления поставщика услуг.

В рамки настоящего стандарта не входит спецификация на продукт или инструментарий. Тем не менее организации могут использовать настоящий стандарт, чтобы помочь им разрабатывать продукты и инструменты, которые поддерживают работу СУУ.

Примечание - ИСО/МЭК 20000-3 содержит указания по определению области применения и применимости настоящего стандарта. Этот документ включает в себя дополнительные разъяснения по поводу руководства процессами, управляемыми другими сторонами.

      2 Нормативные ссылки

В настоящем стандарте использованы нормативные ссылки на следующие стандарты. Для датированных ссылок применяют только указанное издание, для недатированных ссылок - последнее издание ссылочного документа (включая любые поправки).

Нормативные ссылки отсутствуют. Этот пункт включен для того, чтобы обеспечить совпадение нумерации разделов с ИСО/МЭК 20000-2 "Информационные технологии. Управление услугами. Часть 2. Руководство по применению систем управления услугами".

      3 Термины и определения

В настоящем стандарте применены следующие термины с соответствующими определениями.

3.1 доступность: Способность услуги или компонента услуги выполнять требуемые функции в определенный момент или в течение определенного промежутка времени.

Примечание - Доступность, как правило, выражается отношением или процентом времени, в течение которого услуга или компонент услуги действительно доступны заказчику для использования по отношению к согласованному времени доступности.

3.2 базовое состояние конфигурации: Формально зафиксированная конфигурационная информация в определенный момент времени жизненного цикла услуги или компонента услуги.

Примечание - Базовые состояния конфигураций, а также подтвержденные изменения данных базовых состояний составляют сведения о текущей конфигурации. Адаптировано из ISO/IEC/IEEE 24765:2010.

3.3 конфигурационная единица; КЕ: Элемент, требующий управления для того, чтобы предоставлять услугу.

3.4 база данных управления конфигурациями CMDB: Хранилище данных, используемое для записи атрибутов конфигурационных единиц и взаимосвязей между конфигурационными единицами на всем протяжении их жизненного цикла.

3.5 постоянное совершенствование: Повторяющаяся деятельность, направленная на повышение способности удовлетворения требований к услуге.

Примечание - Адаптировано из ISO 9000:2005.

3.6 корректирующее действие: Действие по устранению причины или уменьшению вероятности повторного проявления обнаруженного несоответствия или другой нежелательной ситуации.

Примечание - Адаптировано из ISO 9000:2005.

3.7 заказчик: Организация или часть организации, потребляющая услугу или услуги

Примечание - Заказчик может быть внутренним или внешним по отношению к организации поставщика услуг. Адаптировано из ISO 9000:2005.

3.8 документ: Информация и содержащий ее носитель.

[ISO 9000:2005]

Примеры: политики, планы, описания процессов, процедуры, соглашения об уровне услуг, контракты или записи.

Примечание - Документация может быть в любой форме или на любом носителе. В ИСО/МЭК 20000 документы, за исключением записей, должны формулировать цели, которые необходимо достичь.

3.9 результативность: Степень реализации запланированной деятельности и достижения запланированных результатов.

[ISO 9000:2005]

3.10 инцидент: Незапланированное событие, которое привело или может привести к прерыванию предоставления услуги или к снижению ее качества, даже если оно еще не повлияло на услугу для заказчика.

3.11 информационная безопасность: Сохранение конфиденциальности, целостности и возможности доступа к информации.

Примечание - Дополнительно могут учитываться другие свойства, такие как подлинность, подотчетность, безотказность и надежность. Термин "доступность" не используется в данном определении, так как определение для данного термина, приведенное в настоящем стандарте, неприменимо для определения термина "информационная безопасность". Адаптировано из ISO/IEC 27000:2009.

3.12 инцидент информационной безопасности: Одно или несколько нежелательных или неожиданных событий информационной безопасности, которые имеют значительную вероятность компрометации бизнес-операций и угроз информационной безопасности.

[ISO/IEC 27000:2009]

3.13 заинтересованная сторона: Лицо или группа, имеющая особый интерес в деятельности или успехе деятельности поставщика услуг.

Примеры: заказчики, владельцы, руководство, сотрудники организации поставщика услуг, подрядчики, банкиры, союзы и партнеры.

Примечание - Группа может состоять из организации, ее части или более чем одной организации. Адаптировано из ISO 9000:2005.

3.14 внутренняя группа: Часть организации поставщика услуг, которая заключает формальное соглашение с поставщиком услуг, чтобы способствовать проектированию, преобразованию, предоставлению и совершенствованию услуги или услуг.

Примечание - Внутренняя группа не входит в рамки СУУ поставщика услуг.

3.15 известная ошибка: Проблема, имеющая выявленную корневую причину или метод снижения или устранения ее влияния на услугу за счет применения обходного решения.

3.16 несоответствие: невыполнение требования.

[ISO 9000:2005]

3.17 организация: Группа людей и сообщества с распределенными ответственностями, полномочиями и взаимоотношениями.

3.18 превентивное действие: действие, осуществляемое с целью избежать, устранить причину или снизить вероятность возникновения потенциального несоответствия или другой потенциальной нежелательной ситуации.

Примечание - Адаптировано из ISO 9000:2005.

3.19 проблема: Корневая причина одного или нескольких инцидентов.

Примечание - Как правило, корневая причина неизвестна на момент создания записи о проблеме, и дальнейшее исследование проводится в рамках процесса управления проблемами.

3.20 процедура: Установленный способ осуществления деятельности или процесса.

[ISO 9000:2005]

Примечание - Процедуры могут быть документированными и не документированными.

3.21 процесс: Совокупность взаимосвязанных или взаимодействующих видов деятельности, преобразующая входы в выходы.

[ISO 9000:2005]

3.22 запись: документ, содержащий достигнутые результаты или свидетельства осуществленной деятельности.

[ISO 9000:2005]

Пример - Аудиторские отчеты, отчеты об инцидентах, записи об обучении и протоколы совещаний.

3.23 релиз: Набор из одной или нескольких новых или измененных конфигурационных единиц, внедренный в производственную среду посредством одного или более изменений.

3.24 запрос на изменение: Предложение о внесении изменения в услугу, компонент услуги или систему управления услугами.

Примечание - Изменение услуги включает в себя предоставление новой услуги или прекращение предоставления услуги, которая больше не требуется.

3.25 риск: Влияние неопределенности на цели.

Примечание - Влияние - это отклонение от ожидаемого, положительное и/или отрицательное. Цели могут иметь разные аспекты (например, финансовые, экологические, цели здравоохранения и безопасности) и могут применяться на различных уровнях (например, стратегический уровень, организационный уровень, уровень проекта, продукта или процесса). Риск часто характеризуется ссылкой на возможные события и последствия или их сочетание. Риск часто выражается в терминах совокупности последствий события (в том числе изменения обстоятельств) и вероятности его возникновения.

[ISO 31000:2009]

3.26 услуга: Способ предоставления ценности заказчику через содействие ему в получении конечных результатов, которых заказчик хочет достичь.

Примечание - Услуга, как правило, нематериальна. Услуга также может предоставляться поставщику услуг подрядчиком, внутренней группой или заказчиком, выступающим в качестве подрядчика.

3.27 компонент услуги: Один элемент услуги, который в сочетании с другими элементами, формирует полную услугу.

Пример: Оборудование, программное обеспечение, инструменты, приложения, документация, информация, процессы и вспомогательные услуги.

Примечание - Компонент услуги может состоять из одной или нескольких конфигурационных единиц.

3.28 непрерывность обслуживания: Способность управлять рисками и событиями, которые могут иметь серьезное влияние на услугу или услуги, с целью непрерывного предоставления услуг на согласованных уровнях.

3.29 соглашение об уровне услуг; SLA: Формальное соглашение между поставщиком услуг и заказчиком, которое определяет услуги и цели предоставления услуг.

Примечание - Соглашение об уровне услуг может быть заключено между поставщиком услуг и подрядчиком, внутренней группой или заказчиком, выступающим в качестве подрядчика. Соглашение об уровне услуг может быть включено в контракт или другой вид формального соглашения.

3.30 управление услугами: Комплекс организационных возможностей и процессов для осуществления руководства и контроля деятельности и ресурсов поставщика услуг для проектирования, преобразования, предоставления и совершенствования услуг с целью удовлетворения требований к услугам.

3.31 система управления услугами; СУУ: Система управления для осуществления руководства и контроля деятельности поставщика услуг по управлению услугами.

Примечание - Система управления представляет собой совокупность взаимосвязанных и взаимодействующих элементов для создания политик и целей и достижения этих целей. СУУ включает в себя все политики управления услугами, цели, планы, процессы, документацию и ресурсы, необходимые для проектирования, преобразования, предоставления и совершенствования услуг и выполнения требований настоящего стандарта. Адаптировано из определения термина "система менеджмента качества" в ISO 9000:2005.

3.32 поставщик услуг: Организация или часть организации, управляющая и предоставляющая услугу или услуги заказчику.

Примечание - Заказчик может быть внутренним или внешним по отношению к организации поставщика услуг.

3.33 запрос на обслуживание: Запрос о предоставлении информации, консультации, доступа к услуге или запрос на изменение, который предварительно утвержден.

3.34 требования к услуге: Потребности заказчика и пользователей услуги, включая требования к уровню услуги, а также потребности поставщика услуг.

3.35 подрядчик: Организация или часть организации, которая является внешней по отношению к организации поставщика услуг и заключает договор с поставщиком услуг, чтобы участвовать в проектировании, преобразовании, предоставлении и совершенствовании услуги, услуг или процессов.

Примечание - Подрядчики включают выбранных ведущих подрядчиков, но не включают их субподрядчиков.

3.36 высшее руководство: Лицо или группа лиц, которые осуществляют руководство и контроль деятельности поставщика услуг на самом высоком уровне.

Примечание - Адаптировано из ISO 9000:2005.

3.37 преобразование: Виды деятельности, связанные с вводом новых или изменяемых услуг в производственную среду или выводом из нее.

      4 Общие требования к системе управления услугами

4.1 Ответственность руководства

4.1.1 Обязанности руководства

Высшее руководство должно представить доказательства своей приверженности планированию, созданию, внедрению, эксплуатации, мониторингу, анализу, поддержке и совершенствованию СУУ и услуг путем:

a) создания и доведения до всех вовлеченных лиц охвата, политики и целей управления услугами;

b) обеспечения создания, внедрения и поддержки плана управления для того, чтобы придерживаться политики, достигать целей управления услугами и выполнять требования к услугам;

c) доведения важности удовлетворения требований к услугам;

d) доведения важности удовлетворения законодательных и регулирующих требований, а также договорных обязательств;

e) обеспечения предоставления ресурсов;

f) проведения планового анализа со стороны руководства;

g) обеспечения того, чтобы риски для услуг оценивались и управлялись.

4.1.2 Политика управления услугами

Высшее руководство должно обеспечить, чтобы политика управления услугами:

a) соответствовала целям поставщика услуг;

b) включала в себя обязательство выполнить требования к услугам;

c) включала в себя обязательство постоянно повышать результативность СУУ и услуг, используя политику постоянного совершенствования в 4.5.5.1;

d) обеспечивала структурированный подход для постановки и анализа целей управления услугами;

e) была представлена сотрудникам поставщика услуг и понята ими;

f) анализировалась на постоянную пригодность.

4.1.3 Полномочия, ответственность и связи

Высшее руководство должно обеспечить:

a) определение и поддержку полномочий и ответственности по управлению услугами;

b) разработку и внедрение документированных процедур для обеспечения соответствующих коммуникаций.

4.1.4 Представитель руководства

Высшее руководство должно назначить члена руководства поставщика услуг, который независимо от других обязанностей имеет полномочия и обязанности, которые включают:

a) обеспечение выполнения действий по выявлению, документированию и выполнению требований к услугам;

b) определение полномочий и ответственности для обеспечения проектирования, внедрения и совершенствования процессов управления услугами в соответствии с политикой и целями управления услугами;

c) обеспечение того, чтобы процессы управления услугами были интегрированы с другими компонентами СУУ;

d) обеспечение того, чтобы активы, в том числе лицензии, используемые для предоставления услуг, управлялись в соответствии с законодательными и регулирующими требованиями, а также договорными обязательствами;

e) представление отчетов высшему руководству о функционировании и возможности для совершенствования СУУ и услуг.

4.2 Руководство процессами, выполняемыми другими сторонами

Для процессов, указанных в разделах 5-9, поставщик услуг должен определить все процессы или части процессов, которые находятся в ведении других сторон. Другими сторонами могут быть внутренние группы, заказчик или подрядчик. Поставщик услуг должен продемонстрировать руководство процессами, выполняемыми другими сторонами, путем:

a) демонстрации ответственности за процессы и права требовать строгого соблюдения процессов;

b) контроля определения процессов и их взаимосвязей с другими процессами;

c) определения производительности процесса и соответствия требованиям к процессу;

d) контроля планирования и определения приоритетов совершенствования процессов.

Когда подрядчик выполняет некоторые части процессов, поставщик услуг должен управлять подрядчиком в рамках процесса управления подрядчиками. Когда внутренняя группа или заказчик выполняют некоторые части процессов, поставщик услуг должен управлять внутренней группой или заказчиком в рамках процесса управления уровнем услуг.

Примечание - ИСО/МЭК 20000-3 содержит указания по определению области применения и применимости настоящего стандарта. Сюда входят дополнительные разъяснения по поводу руководства процессами, выполняемыми другими сторонами.

4.3 Управление документацией

4.3.1 Разработка и поддержание в актуальном состоянии документов

Поставщик услуг должен разработать, а также поддерживать в актуальном состоянии документы, включая записи, для обеспечения эффективного планирования, эксплуатации и контроля СУУ. Эти документы должны включать:

a) документированные политики и цели управления услугами;

b) документированный план управления услугами;

c) документированные политики и планы, созданные для конкретных процессов в соответствии с требованиями настоящего стандарта;

d) документированный каталог услуг;

e) документированные соглашения об уровне услуг;

f) документированные процессы управления услугами;

g) документированные процедуры и записи, требуемые настоящим стандартом;

h) дополнительные документы, в том числе внешнего происхождения, которые поставщик услуг посчитал необходимыми для обеспечения эффективного функционирования СУУ и оказания услуг.

4.3.2 Управление документами

Документы, требуемые СУУ, должны быть под контролем. Записи являются особым типом документа и должны контролироваться в соответствии с требованиями, изложенными в 4.3.3.

Документированные процедуры, в том числе полномочия и обязанности, устанавливаются для определения средств управления, необходимых для:

a) создания и утверждения документов до их выпуска;

b) представления заинтересованным сторонам информации о новых или измененных документах;

c) поддержания в актуальном состоянии документов и их пересмотра по мере необходимости;