ГОСТ Р ИСО/МЭК 20000-3-2014. Национальный стандарт Российской Федерации. Информационная технология. Управление услугами. Часть 3. Руководство по определению области применения и применимости ИСО/МЭК 20000-1

6.7 Цепочки поставок и область применения SMS

6.7.1 Зависимость от других сторон

Поставщик услуг должен осознавать, что понимание цепочки поставок играет основную роль для правильного определения области применения SMS. Зависимость от других сторон в отношении части оказываемых услуг не должна препятствовать поставщику услуг в демонстрации соответствия ИСО/МЭК 20000-1. Поставщик услуг должен учитывать, как взаимоотношения между организациями, входящими в цепочку поставок, сказываются на области применения SMS.

6.7.2 Демонстрация соответствия в рамках всей цепочки поставок

Поставщик услуг должен располагать свидетельствами соответствия требованиям ИСО/МЭК 20000-1, пункт 4.2, в области управления процессами, осуществляемыми другими сторонами. Это требование описывается в пункте 5.2 настоящей части стандарта ИСО/МЭК 20000.

Поставщик услуг должен располагать свидетельствами выполнения требований к процессу управления поставщиками, которые установлены документом ИСО/МЭК 20000-1, пункт 7.2. К ним должны относиться свидетельства наличия соответствующих контрактов между поставщиками и поставщиком услуг.

Поставщик услуг должен располагать свидетельствами выполнения требований по управлению внутренними группами или клиентами, действующими в качестве поставщиков, которые установлены документом ИСО/МЭК 20000-1, пункт 6.1. К ним должны относиться документально зафиксированные соглашения с внутренними группами или клиентами, действующими в качестве поставщиков.

Для того чтобы поставщик продемонстрировал соответствие требованиям документа ИСО/МЭК 20000-1, прочие стороны в цепочке поставок не обязаны соблюдать их.

Если и поставщик услуг, и другая сторона (например, подрядчик) намереваются продемонстрировать соответствие требованиям документа ИСО/МЭК 20000-1, каждый из них может внедрить SMS и выполнять все требования независимо друг от друга. Если один и тот же процесс используется двумя или более организациями, демонстрировать управление этим процессом может лишь одна из них. Другая организация может декларировать как свою цель демонстрацию управления самостоятельным использованием этого процесса.

Поставщик услуг должен проследить за тем, чтобы в вопросах использования одного и того же процесса разными сторонами была ясность. В частности, каждое использование должно сопровождаться отдельными документами и записями. Это может повлиять на SMS поставщика услуг с точки зрения планирования и оценки соответствия требованиям документа ИСО/МЭК 20000-1. Такая ситуация может возникать у поставщиков услуг, имеющих более одного клиента. Кроме того, она может возникать в организациях, полагающихся на сложные цепочки поставок, в которых участвует много сторон, включая множество поставщиков, ведущих поставщиков и поставщиков по субподряду.

Как и требования документа ИСО/МЭК 20000-1 пункт 4.2, прочие требования оказывают влияние на область применения, применимость и способность демонстрировать соответствие. Организация, которая является внешней по отношению к поставщику услуг, может иметь доступ к информации или услугам поставщика услуг, использовать их или иметь возможность управлять ими. В этом случае поставщик услуг и внешняя организация должны внедрить согласованные средства управления информационной безопасностью (ИСО/МЭК 20000-1, пункт 6.6.2). В подобных ситуациях, если средства управления информационной безопасностью не используются, вклад внешней организации должен быть исключен из области применения SMS.