БИБЛИОТЕКА НОРМАТИВНЫХ ДОКУМЕНТОВ

ГОСТ Р ИСО/МЭК 20000-3-2014. Национальный стандарт Российской Федерации. Информационная технология. Управление услугами. Часть 3. Руководство по определению области применения и применимости ИСО/МЭК 20000-1

Приложение A

(справочное)

 

ОСНОВНЫЕ ПОЛОЖЕНИЯ, СВЯЗАННЫЕ С ОБЛАСТЬЮ ПРИМЕНЕНИЯ SMS,

ПРИМЕНИМОСТЬЮ И СООТВЕТСТВИЕМ ТРЕБОВАНИЯМ ДОКУМЕНТА

ИСО/МЭК 20000-1

 

A.1 Общая информация

При определении области применения SMS, включая область применения для оценки соответствия требованиям документа ИСО/МЭК 20000-1, поставщик услуг должен учитывать информацию, приведенную в настоящем приложении.

A.2 Группы юридических лиц

Сторонние органы сертификации могут устанавливать, что сертификат о соответствии ИСО/МЭК 20000-1 может быть выдан только одному юридическому лицу, а не консорциуму разных юридических лиц.

A.3 Коммерческий статус

Услуга может предоставляться как на коммерческой, так и на некоммерческой основе. Финансовая основа предоставления услуг не имеет отношения к применимости документа ИСО/МЭК 20000-1 или области применения SMS.

Поставщик услуг должен организовать политики и процедуры бюджетирования и учета для материальных ресурсов, используемых для предоставления услуг. Поставщик услуг не обязан быть владельцем этих материальных ресурсов.

A.4 Наименования процессов

Наименования процессов не обязаны соответствовать используемым в документе ИСО/МЭК 20000-1. Требования документа ИСО/МЭК 20000-1 направлены на сами процессы, их содержание, возможности, качество и использование.

Если все требования выполняются, то процессы могут объединяться и разделяться иными способами, чем указано в документе ИСО/МЭК 20000-1. К примеру, управление доступностью и непрерывностью услуг может быть организовано в виде двух разных процессов, а управление изменениями объединено в один процесс с управлением релизами и развертыванием.

Сопоставление используемых наименований процессов с теми, которые указаны в документе ИСО/МЭК 20000-1, может упростить понимание того, как выполняются требования, устанавливаемые документом ИСО/МЭК 20000-1.

A.5 Включенные и не включенные компоненты

В определении области применения должно быть указано, что именно включено в область применения. Для дополнительной ясности может оказаться полезным указать, что осталось за ее пределами.

Поставщик услуг должен выполнить все требования, установленные документом ИСО/МЭК 20000-1 для операций, включенных в определение области применения. К примеру, должны быть внедрены и осуществлены все процессы управления услуг.

A.6 Полномочия и ответственность

Поставщик услуг должен осознавать важность ясной формулировки полномочий и ответственностей.

Поставщик услуг должен сохранять за собой управление и операционную ответственность согласно документу ИСО/МЭК 20000-1, раздел 4, однако может использовать других поставщиков для оказания поддержки.

Поставщик услуг должен осуществлять большую часть процессов согласно документу ИСО/МЭК 20000-1, разделы 5 - 9.

Поставщик услуг должен следить за тем, чтобы полномочия и ответственность относительно процессов, осуществляемых другими сторонами, были ясно сформулированы.

Поставщик услуг должен:

a) определить и документально оформить все процессы или части процессов, входящие в область применения SMS, включая те, которые он не осуществляет;

b) определить, какие стороны осуществляют различные процессы или части процессов;

c) установить ответственность для других сторон, чтобы иметь возможность продемонстрировать управление этими процессами.

Поставщик услуг должен потребовать от всех внешних организаций использовать средства управления информационной безопасностью. Это должно быть условием для получения этими организациями доступа к информации и услугам поставщика услуг, их использования или управления ими. Если эти средства управления не используются, то любой вклад, вносимый этой внешней стороной, должен быть исключен из определения области применения.

A.7 Области взаимодействия и интеграция процессов

Поставщик услуг должен следить за тем, чтобы были ясно обозначены границы между поставщиком услуг и клиентами, а также между поставщиком услуг, другими сторонами и внешними организациями.

Поставщик услуг должен располагать необходимым уровнем интеграции процессов, что является основным принципом передовых практик управления услуг, а также требованием документа ИСО/МЭК 20000-1.

Поставщик услуг должен располагать документацией, в которой определяются области взаимодействия между процессами, а также должен ясно демонстрировать, как он контролирует эти области взаимодействия.

A.8 Свидетельства соответствия

Две разные организации не могут использовать одни и те же свидетельства для демонстрации соответствия.

A.9 Параметры для определения области применения

Поставщик услуг должен использовать параметры, которые четко определяют область применения SMS. Определение области применения должно быть понятно заинтересованным сторонам, которые не входят в организацию поставщика услуг. Минимум параметров, необходимых для определения области применения, - это наименование поставщика услуг и предоставляемых услуг.

A.10 Расширение области применения SMS

В случае расширения области применения поставщик услуг должен соответствовать требованиям документа ИСО/МЭК 20000-1 по всем новым операциям, входящим в пересмотренную область применения.