Système de Management des Services ISO 20000

blog-01.jpg

La norme ISO 20000 spécifie les exigences pour établir, implémenter, maintenir et améliorer un système de management des services (SMS). Cette norme, en complément de la norme ISO 27001 et ISO 27018 (voir première et deuxième partie) est par exemple utilisée dans le cadre de la certification HDS (hébergeurs donnés de santé). ISO 20000 fait partie des normes à connaitre dans le cadre de la préparation à la certification CISSP. Pour être conforme à l’ISO 20000, le SMS doit obligatoirement respecter les exigences définies dans la norme, regroupées dans plusieurs domaines.

 

Contexte

  • Les facteurs externes et internes, positifs ou négatifs, qui influent sur la capacité à atteindre les résultats.
  • Le périmètre d’application du SMS. L’ISO 20000-3 fournit des recommandations relatives à la détermination du périmètre.
  • Le SMS, sa mise en œuvre et son amélioration.

Leadership

  • L’engagement de la direction (politique, niveaux de décisions, ressources…).

Politique

  • Une gestion des services adaptée, incluant l’engagement de satisfaire aux exigences applicables.
  • La communication aux parties intéressées.
  • Les rôles et responsabilités.

Planification

  • Le traitement des risques et opportunités. L’ISO 31000 fournit des principes et des recommandations générales relatives à la gestion des risques. L’ISO 27005 se concentre sur les risques de cybersécurité.
  • Les objectifs et la planification des actions. Ces objectifs doivent être en cohérence avec la politique de gestion des services; être mesurables; tenir compte des exigences applicables; être surveillés; être communiqués et être mis à jour en tant que de besoin.
  • La planification au travers d’un plan de gestion des services comprenant une liste, les limitations, les responsabilités, les moyens.

Support

  • Les ressources.
  • Les compétences.
  • La sensibilisation.
  • La communication.

Documentation

  • La création et la mise à jour.
  • La cycle de vie de la documentation.
  • Les informations à documenter comprenant notamment : le périmètre, la politique, le plan de gestion des services, la politique de gestion des changements, la politique de sécurité des systèmes d’information, les exigences, le catalogue de service, les niveaux de service, les contrats avec les fournisseurs externes et les accords avec les fournisseurs internes.
  • Les connaissances mises à disposition des personnes concernées.

Fonctionnement

  • La maitrise opérationnelle au travers un système de critères de performance.
  • Le portefeuille des services.
  • La planification des services.
  • La maîtrise des parties externes au SMS opérant des services. L’ISO 20000-3 fournit des recommandations pour la maîtrise des autres parties impliquées dans le cycle de vie des services.
  • La gestion du catalogue des services.
  • La gestion des actifs. Les normes ISO 55001 et ISO/IEC 19770‐1 spécifient des exigences pour aider à la mise en œuvre et à l'exploitation des actifs ainsi qu'à la gestion des actifs issus des technologies de l’information.
  • La gestion des configurations (éléments de configuration - CI).
  • Les relations et accords.
  • La gestion des relations commerciales.
  • La gestion des niveaux de services.
  • La gestion des fournisseurs.

ISO 20000 relations et accords

Source : ISO 20000

  • Le budget.
  • La gestion de la demande.
  • La gestion de la capacité.
  • La conception, construction et transition du service.
  • La résolution et la satisfaction (incidents, demandes de services, problèmes, disponibilité, continuité, sécurité. L’ISO 27013 fournit des recommandations relatives à l’intégration de l’ISO 27001 et de l’ISO 20000.

Evaluation des performances

  • La surveillance.
  • L’audit interne. L'ISO 19011 fournit des lignes directrices pour l'audit des systèmes de management.
  • La revue de direction.
  • Les rapports de service.

Amélioration

  • Les non-conformités et actions correctives.
  • L’amélioration continue.

Pour en savoir plus sur les 20 meilleures formations sur la sécurité des systèmes d’information, téléchargez gratuitement notre livre blanc ci-dessous :

Mots clés: ISO 20000