Information technology — Service management — Part 3: Guidance on scope definition and applicability of ISO/IEC 20000-1

This document includes guidance on the scope definition and applicability to the requirements specified in ISO/IEC 20000-1. This document can assist in establishing whether ISO/IEC 20000-1 is applicable to an organization's circumstances. It illustrates how the scope of an SMS can be defined, irrespective of whether the organization has experience of defining the scope of other management systems. The guidance in this document can assist an organization in planning and preparing for a conformity assessment against ISO/IEC 20000-1. Annex A contains examples of possible scope statements for an SMS. The examples given use a series of scenarios for organizations ranging from very simple to complex service supply chains. This document can be used by personnel responsible for planning the implementation of an SMS, as well as assessors and consultants. It supplements the guidance on the application of an SMS given in ISO/IEC 20000-2. Requirements for bodies providing audit and certification of an SMS can be found in ISO/IEC 20000-6 which recommends the use of this document.

Technologies de l'information — Gestion des services — Partie 3: Recommandations pour la détermination du périmètre et l'applicabilité de l'ISO/IEC 20000-1

Le présent document contient des recommandations pour la détermination du périmètre et l'applicabilité aux exigences spécifiées dans l'ISO/IEC 20000-1. Le présent document peut aider l'organisme à déterminer si l'ISO/IEC 20000-1 est applicable à sa situation. Il illustre la façon dont le périmètre d'application d'un SMS peut être défini, quelle que soit l'expérience de l'organisme en matière de définition du périmètre d'application d'autres systèmes de management. Les recommandations fournies dans le présent document peuvent aider un organisme à planifier et préparer une évaluation de la conformité à l'ISO/IEC 20000-1. L'Annexe A contient des exemples de déclarations de périmètre possibles pour un SMS. Les exemples donnés s'appuient sur une série de scénarios pour les organismes, allant de chaînes d'approvisionnement des services très simples à des chaînes d'approvisionnement des services plus complexes. Le présent document peut être utilisé par le personnel responsable de la planification de la mise en œuvre d'un SMS, de même que par des évaluateurs et des consultants. Il vient compléter les recommandations pour l'application d'un SMS contenues dans l'ISO/IEC 20000-2. Les exigences applicables aux organes chargés d'assurer l'audit et la certification d'un SMS peuvent être trouvées dans l'ISO/IEC 20000-6, qui recommande l'utilisation du présent document.

General Information

Status
Published
Publication Date
18-Aug-2019
Current Stage
6060 - International Standard published
Start Date
01-Dec-2019
Due Date
28-Jul-2020
Completion Date
19-Aug-2019
Ref Project

Relations

Buy Standard

Standard
ISO/IEC 20000-3:2019 - Information technology -- Service management
English language
28 pages
sale 15% off
Preview
sale 15% off
Preview
Standard
ISO/IEC 20000-3:2019 - Technologies de l'information -- Gestion des services
French language
29 pages
sale 15% off
Preview
sale 15% off
Preview

Standards Content (Sample)

INTERNATIONAL ISO/IEC
STANDARD 20000-3
Second edition
2019-08
Information technology — Service
management —
Part 3:
Guidance on scope definition and
applicability of ISO/IEC 20000-1
Technologies de l'information — Gestion des services —
Partie 3: Recommandations pour la détermination du périmètre et
l'applicabilité de l'ISO/IEC 20000-1
Reference number
ISO/IEC 20000-3:2019(E)
©
ISO/IEC 2019

---------------------- Page: 1 ----------------------
ISO/IEC 20000-3:2019(E)

COPYRIGHT PROTECTED DOCUMENT
© ISO/IEC 2019
All rights reserved. Unless otherwise specified, or required in the context of its implementation, no part of this publication may
be reproduced or utilized otherwise in any form or by any means, electronic or mechanical, including photocopying, or posting
on the internet or an intranet, without prior written permission. Permission can be requested from either ISO at the address
below or ISO’s member body in the country of the requester.
ISO copyright office
CP 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Geneva
Phone: +41 22 749 01 11
Fax: +41 22 749 09 47
Email: copyright@iso.org
Website: www.iso.org
Published in Switzerland
ii © ISO/IEC 2019 – All rights reserved

---------------------- Page: 2 ----------------------
ISO/IEC 20000-3:2019(E)

Contents Page
Foreword .iv
Introduction .v
1 Scope . 1
2 Normative references . 1
3 Terms and definitions . 1
4 Fulfilling the requirements specified in ISO/IEC 20000-1 . 1
4.1 Structure of the SMS . 1
4.2 Demonstrating conformity . 2
4.3 Authorities and responsibilities across the service supply chain . 3
5 Applicability of ISO/IEC 20000-1 . 3
5.1 Principles of applicability . 3
5.1.1 Applicability . 3
5.1.2 Organization . 3
5.1.3 Commercial status . 4
5.1.4 Scope . 4
5.1.5 Requirements . 4
5.1.6 Authorities and responsibilities . 4
5.2 Parties involved in an SMS . 4
5.2.1 Types of suppliers . 4
5.2.2 Improvements to the SMS and services . 5
5.2.3 Evaluation and selection of other parties . 5
5.3 Control of other parties . 5
5.3.1 Processes, services and service components provided or operated by
other parties . 5
5.3.2 Accountability . 6
5.3.3 Integration, interfaces and co-ordination . 6
5.3.4 Definition of controls for measuring and evaluating other parties . 7
5.3.5 Management of the service supply chain . 7
6 General principles for the scope of an SMS . 7
6.1 Introduction . 7
6.2 The scope of the SMS . 8
6.2.1 Defining the scope . 8
6.2.2 Scope definition and assessment . 8
6.2.3 Limits to the scope . 8
6.2.4 Commercial considerations . 9
6.3 Agreements between customers and the organization . 9
6.4 Scope definition parameters . 9
6.4.1 Parameters to define the scope of the SMS . 9
6.4.2 Other parameters .10
6.5 Validity of scope definition .10
6.6 Changing the scope.11
6.7 Service supply chains and SMS scope .11
6.7.1 Reliance on other parties.11
6.7.2 Demonstrating conformity across the service supply chain .11
6.8 Integrating with other management systems .12
Annex A (informative) Scenario based scope definitions .13
Bibliography .28
© ISO/IEC 2019 – All rights reserved iii

---------------------- Page: 3 ----------------------
ISO/IEC 20000-3:2019(E)

Foreword
ISO (the International Organization for Standardization) and IEC (the International Electrotechnical
Commission) form the specialized system for worldwide standardization. National bodies that
are members of ISO or IEC participate in the development of International Standards through
technical committees established by the respective organization to deal with particular fields of
technical activity. ISO and IEC technical committees collaborate in fields of mutual interest. Other
international organizations, governmental and non-governmental, in liaison with ISO and IEC, also
take part in the work.
The procedures used to develop this document and those intended for its further maintenance are
described in the ISO/IEC Directives, Part 1. In particular, the different approval criteria needed for
the different types of document should be noted. This document was drafted in accordance with the
editorial rules of the ISO/IEC Directives, Part 2 (see www .iso .org/directives).
Attention is drawn to the possibility that some of the elements of this document may be the subject
of patent rights. ISO and IEC shall not be held responsible for identifying any or all such patent
rights. Details of any patent rights identified during the development of the document will be in the
Introduction and/or on the ISO list of patent declarations received (see www .iso .org/patents) or the IEC
list of patent declarations received (see http: //patents .iec .ch).
Any trade name used in this document is information given for the convenience of users and does not
constitute an endorsement.
For an explanation of the voluntary nature of standards, the meaning of ISO specific terms and
expressions related to conformity assessment, as well as information about ISO's adherence to the
World Trade Organization (WTO) principles in the Technical Barriers to Trade (TBT) see www .iso
.org/iso/foreword .html.
This document was prepared by Joint Technical Committee ISO/IEC JTC 1, Information technology,
Subcommittee SC 40, IT Service Management and IT Governance.
This second edition cancels and replaces the first edition (ISO/IEC 20000-3:2012), which has been
technically revised.
The main changes from the previous edition are as follows:
a) this document has been aligned with the third edition of ISO/IEC 20000-1;
b) example scenarios in Annex A have been updated to reflect contemporary service management
environments, including complex service supply chains.
A list of all parts in the ISO/IEC 20000 series can be found on the ISO website.
Any feedback or questions on this document should be directed to the user’s national standards body. A
complete listing of these bodies can be found at www .iso .org/members .html.
iv © ISO/IEC 2019 – All rights reserved

---------------------- Page: 4 ----------------------
ISO/IEC 20000-3:2019(E)

Introduction
This document provides guidance on scope definition and applicability of ISO/IEC 20000-1. This
document does not add any requirements to those stated in ISO/IEC 20000-1.
Organizations, of any size, type, or area of operations, can provide a range of services to different types
of customers, internal and external, and rely on complex service supply chains.
NOTE The term “service supply chain”, as used in this document, refers to the way services are coordinated
across internal and external suppliers. It is not intended to limit the applicability of this document to any specific
sector or industry.
The operation of a service management system (SMS) may involve many parties across legal
jurisdictions, national boundaries and time zones. The SMS should include the appropriate controls to
facilitate the coordination of all parties participating in the service lifecycle.
This document takes the form of examples, guidance and recommendations. It should not be quoted as
if it were a specification of requirements.
© ISO/IEC 2019 – All rights reserved v

---------------------- Page: 5 ----------------------
INTERNATIONAL STANDARD ISO/IEC 20000-3:2019(E)
Information technology — Service management —
Part 3:
Guidance on scope definition and applicability of ISO/
IEC 20000-1
1 Scope
This document includes guidance on the scope definition and applicability to the requirements specified
in ISO/IEC 20000-1.
This document can assist in establishing whether ISO/IEC 20000-1 is applicable to an organization’s
circumstances. It illustrates how the scope of an SMS can be defined, irrespective of whether the
organization has experience of defining the scope of other management systems.
The guidance in this document can assist an organization in planning and preparing for a conformity
assessment against ISO/IEC 20000-1.
Annex A contains examples of possible scope statements for an SMS. The examples given use a series of
scenarios for organizations ranging from very simple to complex service supply chains.
This document can be used by personnel responsible for planning the implementation of an SMS, as
well as assessors and consultants. It supplements the guidance on the application of an SMS given in
ISO/IEC 20000-2.
Requirements for bodies providing audit and certification of an SMS can be found in ISO/IEC 20000-6
which recommends the use of this document.
2 Normative references
The following documents are referred to in the text in such a way that some or all of their content
constitutes requirements of this document. For dated references, only the edition cited applies. For
undated references, the latest edition of the referenced document (including any amendments) applies.
ISO/IEC 20000-10, Information technology — Service management — Part 10: Concepts and vocabulary
3 Terms and definitions
For the purposes of this document, the terms and definitions given in ISO/IEC 20000-10 apply.
ISO and IEC maintain terminological databases for use in standardization at the following addresses:
— IEC Electropedia: available at http: //www .electropedia .org/
— ISO Online browsing platform: available at http: //www .iso .org/obp
4 Fulfilling the requirements specified in ISO/IEC 20000-1
4.1 Structure of the SMS
Figure 1 illustrates an SMS showing the clause content of ISO/IEC 20000-1. It does not represent
a structural hierarchy, sequence, or authority levels. It shows that the requirements in
© ISO/IEC 2019 – All rights reserved 1

---------------------- Page: 6 ----------------------
ISO/IEC 20000-3:2019(E)

ISO/IEC 20000-1:2018, Clause 8, Operation of the SMS, have been split into subclauses to reflect the
service lifecycle. The subclauses are commonly referred to as the service management processes. The
service management processes and the relationships between the processes can be implemented in
different ways by organizations. The relationships between each organization and its customers, users
and other interested parties influence how the service management processes are implemented.
Figure 1 — Service management system
The structure of clauses in ISO/IEC 20000-1 is intended to provide a coherent presentation of
requirements, rather than a model for documenting an organization’s policies, objectives and processes.
Process names can be different from those used in ISO/IEC 20000-1 provided all the requirements
are fulfilled. Processes can be combined or split in different ways from the clause structure listed in
ISO/IEC 20000-1.
There is no requirement for the terms used by an organization to be replaced by the terms used in
this document. Organizations can choose to use terms that suit their operations. For example, change
management and release and deployment management can be combined as one process.
Mapping an organization’s process names against the requirements in ISO/IEC 20000-1 can assist an
auditor in understanding how those requirements are fulfilled. An SMS as designed by an organization
claiming conformity with ISO/IEC 20000-1, cannot exclude any of the requirements specified in
ISO/IEC 20000-1.
4.2 Demonstrating conformity
An organization can only claim conformity by fulfilling all requirements specified in ISO/IEC 20000-1.
Conformity to the requirements specified in ISO/IEC 20000-1 can be demonstrated by an organization
showing evidence of:
a) fulfilling the requirements itself;
2 © ISO/IEC 2019 – All rights reserved

---------------------- Page: 7 ----------------------
ISO/IEC 20000-3:2019(E)

b) controls for other parties that are involved in performing activities to support the SMS.
Some or all of the requirements of ISO/IEC 20000-1:2018, Clauses 6 to 10, can be fulfilled by other
parties, provided the organization can demonstrate controls for those other parties. For example, other
parties can be used to conduct internal audits.
ISO/IEC 20000-1:2018, Clauses 4 to 5 should be fulfilled by the organization itself. However, another
party can act on behalf of the organization, e.g. in preparation of the service management plan.
As another example, an organization can demonstrate evidence of controls for the processes operated
by other parties or services that are outsourced. It is important that the organization understand which
activities are to be performed by other parties to support the SMS.
4.3 Authorities and responsibilities across the service supply chain
It is important that the organization has clearly defined authorities and responsibilities for all parties
in the service supply chain.
The organization should retain operational control of, and accountability for the services in scope of the
SMS as described in ISO/IEC 20000-1:2018, 5.1, but can use other parties to support these requirements.
The organization is required to demonstrate that top management fulfils the requirements specified
in ISO/IEC 20000-1:2018, Clause 5. The organization should demonstrate that the services support the
fulfilment of the service management objectives.
It is important that the organization ensures that there is clarity regarding authority and responsibility
for services and service components, and processes or parts of processes, provided or operated by all
parties. This includes defining in contracts or documented agreements, the responsibilities for fulfilling
service requirements.
The organization should:
a) identify and document all services, service components, processes or parts of processes in the
scope of the SMS, including those that are provided by other parties;
b) identify which parties operate what services, service components, processes or parts of processes;
c) demonstrate controls for the other parties identified in a) and b) (see ISO/IEC 20000-1:2018, 8.2.3).
5 Applicability of ISO/IEC 20000-1
5.1 Principles of applicability
5.1.1 Applicability
All requirements in ISO/IEC 20000-1 are generic and are intended to be applicable to all organizations,
regardless of the organization’s type or size, or the nature of the services delivered. ISO/IEC 20000-1
has its roots in IT and is intended for service management of services using technology and digital
information. The examples given in this document illustrate a variety of uses of ISO/IEC 20000-1.
ISO/IEC 20000-1:2018, 1.2 describes the application of the standard.
5.1.2 Organization
The organization in scope of the SMS needs to be correctly identified.
An ISO/IEC 20000-1 certificate would normally be issued to a single legal entity, rather than a group of
different unrelated legal entities. See also 6.2.4 of this document.
© ISO/IEC 2019 – All rights reserved 3

---------------------- Page: 8 ----------------------
ISO/IEC 20000-3:2019(E)

5.1.3 Commercial status
Services can be delivered on either a commercial or non-commercial basis. The financial basis of service
delivery is irrelevant to the applicability of ISO/IEC 20000-1 or the scope of the SMS.
The organization does not need to own the assets used to deliver the services.
5.1.4 Scope
The scope definition should state what has been included within the scope. If required, to aid clarity, it
can also be useful to state what is outside the scope.
The scope of the SMS should be visible to staff, customers and prospective customers on request. It
therefore needs to be unambiguous giving a clear indication of the services and the organization in scope.
5.1.5 Requirements
The organization should fulfil all requirements specified in ISO/IEC 20000-1 for the scope of the
SMS. Some or all of the requirements of ISO/IEC 20000-1:2018, Clauses 6 to 10, can be fulfilled by
other parties provided the organization can demonstrate controls for those other parties. However,
ISO/IEC 20000-1:2018, Clauses 4 and 5 should be fulfilled by the organization itself but can be supported
by other parties.
5.1.6 Authorities and responsibilities
The organization should be aware of the importance of clarity about authorities and responsibilities of
the organization itself and other parties involved in the service lifecycle. The organization should retain
accountability for all requirements in ISO/IEC 20000-1 but can use other parties to support this. Where
other parties are involved, control should be demonstrated of the performance and effectiveness of
their involvement according to ISO/IEC 20000-1:2018, 8.2.3.
5.2 Parties involved in an SMS
5.2.1 Types of suppliers
Organizations can use any type of combination of suppliers to support an SMS based on ISO/IEC 20000-1.
The organization can fulfil all requirements specified in ISO/IEC 20000-1:2018, Clauses 6 to 10 directly
or by involving other parties. Other parties who provide or operate services, service components or
processes can be:
a) internal suppliers;
b) external suppliers;
c) customers acting as suppliers.
An internal supplier may have the same governing body as the organization in the scope of the SMS but
is external to the scope of the SMS, e.g. human resources or procurement. An internal supplier should
have a documented agreement with the organization in the scope of the SMS, specifying the internal
supplier's contribution to the SMS and services.
An external supplier is an organization or part of an organization that is external to the organization
within the scope of the SMS. If the organization in the scope of the SMS is part of a larger organization,
the external supplier is external to the larger organization. An external supplier can enter into a contract
with the organization to contribute to the planning, design, transition, delivery and improvement
of services. Because the organization can have contracts with lead suppliers but not sub-contracted
suppliers, lead suppliers should manage sub-contracted suppliers that are relevant to the SMS.
4 © ISO/IEC 2019 – All rights reserved

---------------------- Page: 9 ----------------------
ISO/IEC 20000-3:2019(E)

A customer can contribute to the operation of the SMS and the delivery of services, as well as receiving
services. For example, a customer can manage a service desk and operate part of the incident
management process. The contribution made by the customer when acting as a supplier should be under
the terms of a documented agreement between the organization and the customer. This agreement
should clearly identify the customer’s role as a supplier and be distinct from any agreement between
the organization and the customer for the provision of services. The agreement related to the supply
of services can depend on the agreement as a customer. For example, a customer can provide a service
desk as a supplier but specify in an agreement that they would cease to provide the service desk if they
were not also a customer.
Where any customer acts as a supplier, there should be two agreements with the customer. The first
agreement should specify the services to be delivered for a customer receiving service(s). The second
agreement should specify the organization’s conditions and controls for the customer acting as a
supplier.
A risk with an external customer acting as a supplier is that the service provided can be contingent on
the customer agreement, e.g. if the customer agreement is terminated, the agreement to provide the
activities of the customer acting as a supplier may also be terminated. If the activities supplied impact
other customers or interested parties, this can lead to the SMS no longer being conformant. It is good
practice for transitional agreements to be included in the supplier agreement in case this should happen.
The organization should apply controls for all processes, services and service components within the
scope of the SMS, even when other parties are involved. This is described in 5.3 of this document. Unless
the organization can demonstrate controls for all parties, they cannot demonstrate conformity.
5.2.2 Improvements to the SMS and services
Opportunities for improvement can be identified by the organization or by other parties. These
opportunities are evaluated and managed as specified in ISO/IEC 20000-1:2018, 10.2.
EXAMPLE 1 The organization requests another party to make performance improvements to achieve the
agreed service objectives.
EXAMPLE 2 The other party identifies process improvements which will increase efficiency. These are
discussed and agreed with the organization.
5.2.3 Evaluation and selection of other parties
ISO/IEC 20000-1:2018, 8.2.3.1 specifies that the organization determines and applies criteria for the
evaluation and selection of other parties involved in the service lifecycle. There may be some generic
capabilities and criteria for evaluation and selection of other parties. Examples of criteria are financial
stability, previous experience of undertaking the same type of work, cost and ability to start in the
required timescale.
For a complete determination of the evaluation criteria, it is necessary to have established a clear scope
for the SMS and plan services, service components or processes to be assigned to each other party.
It may be necessary to coordinate criteria and selection of other parties with procurement or contract
teams in the organization.
5.3 Control of other parties
5.3.1 Processes, services and service components provided or operated by other parties
Where the organization uses other parties to perform activities to support the SMS or the delivery of
services within the scope of the SMS, the organization should define and apply the necessary controls
and measurements to ensure the appropriate outcomes as defined by top management are met.
The organization should identify processes or parts of processes, services and service components
operated or provided by other parties. The organization should ensure that contracts or documented
© ISO/IEC 2019 – All rights reserved 5

---------------------- Page: 10 ----------------------
ISO/IEC 20000-3:2019(E)

agreements include controls that are applied for management of all parties and apply supplier
management according to ISO/IEC 20000-1:2018, 8.3.4. The importance of these controls is specified in
ISO/IEC 20000-1:2018, 8.2.3.
5.3.2 Accountability
The organization is accountable for fulfilling the requirements specified in ISO/IEC 20000-1 for all
services in scope of the SMS. This should include the accountability for measurement and evaluation of
both process performance, and effectiveness of services and service components provided or operated
by other parties.
For example, another party is responsible for resolution of an incident that impacts the customer's
service. The organization in scope of the SMS retains accountability to the customer for resolution of
the incident. The SMS includes applying controls for the other party.
The organization should ensure that contracts and agreements with other parties provide process and
information inputs and outputs, and information required to support the SMS.
The organization should also be able to demonstrate that top management is committed to the
implementation, maintenance and operation of the SMS. This should include controls for other parties
involved in the service lifecycle.
5.3.3 Integration, interfaces and co-ordination
The organization should ensure there is clarity on the scope of services
...

NORME ISO/IEC
INTERNATIONALE 20000-3
Deuxième édition
2019-08
Technologies de l'information —
Gestion des services —
Partie 3:
Recommandations pour la
détermination du périmètre et
l'applicabilité de l'ISO/IEC 20000-1
Information technology — Service management —
Part 3: Guidance on scope definition and applicability of ISO/IEC
20000-1
Numéro de référence
ISO/IEC 20000-3:2019(F)
©
ISO/IEC 2019

---------------------- Page: 1 ----------------------
ISO/IEC 20000-3:2019(F)

DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO/IEC 2019
Tous droits réservés. Sauf prescription différente ou nécessité dans le contexte de sa mise en œuvre, aucune partie de cette
publication ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique,
y compris la photocopie, ou la diffusion sur l’internet ou sur un intranet, sans autorisation écrite préalable. Une autorisation peut
être demandée à l’ISO à l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Case postale 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Genève
Tél.: +41 22 749 01 11
Fax: +41 22 749 09 47
E-mail: copyright@iso.org
Web: www.iso.org
Publié en Suisse
ii © ISO/IEC 2019 – Tous droits réservés

---------------------- Page: 2 ----------------------
ISO/IEC 20000-3:2019(F)

Sommaire Page
Avant-propos .iv
Introduction .v
1 Domaine d'application . 1
2 Références normatives . 1
3 Termes et définitions . 1
4 Respect des exigences spécifiées dans l'ISO/IEC 20000-1 . 2
4.1 Structure du SMS . 2
4.2 Démonstration de la conformité . 3
4.3 Autorités et responsabilités au sein de la chaîne d'approvisionnement des services . 3
5 Applicabilité de l'ISO/IEC 20000-1 . 3
5.1 Principes d'applicabilité . 3
5.1.1 Applicabilité . 3
5.1.2 Organisme . 4
5.1.3 Statut commercial . 4
5.1.4 Domaine d'application . 4
5.1.5 Exigences . 4
5.1.6 Autorités et responsabilités . 4
5.2 Parties impliquées dans un SMS . 4
5.2.1 Types de fournisseurs . 4
5.2.2 Améliorations du SMS et des services . 5
5.2.3 Évaluation et choix des autres parties . 6
5.3 Contrôle des autres parties . 6
5.3.1 Processus, services et composants de services fournis ou exploités par
d'autres parties . 6
5.3.2 Responsabilité . 6
5.3.3 Intégration, interfaces et coordination . 6
5.3.4 Définition des contrôles pour la mesure et l'évaluation des autres parties . 7
5.3.5 Gestion de la chaîne d'approvisionnement des services . 7
6 Principes généraux pour la détermination du périmètre d'un SMS .8
6.1 Introduction . 8
6.2 Le périmètre du SMS . 8
6.2.1 Détermination du périmètre . 8
6.2.2 Détermination du périmètre et évaluation . 9
6.2.3 Limites du périmètre . . . 9
6.2.4 Aspects commerciaux . 9
6.3 Accords entre les clients et l'organisme .10
6.4 Paramètres de détermination du périmètre .10
6.4.1 Paramètres de détermination du périmètre du SMS .10
6.4.2 Autres paramètres .10
6.5 Validité de la détermination du périmètre .11
6.6 Modification du périmètre .12
6.7 Chaînes d'approvisionnement des services et périmètre du SMS .12
6.7.1 Confiance dans les autres parties .12
6.7.2 Démonstration de la conformité tout au long de la chaîne
d'approvisionnement des services .12
6.8 Intégration avec d'autres systèmes de management .13
Annexe A (informative) Détermination du périmètre pour différents scénarios .14
Bibliographie .29
© ISO/IEC 2019 – Tous droits réservés iii

---------------------- Page: 3 ----------------------
ISO/IEC 20000-3:2019(F)

Avant-propos
L'ISO (Organisation internationale de normalisation) et l’IEC (Commission électrotechnique
internationale) forment le système spécialisé de la normalisation mondiale. Les organismes
nationaux membres de l'ISO ou de l’IEC participent au développement de Normes internationales
par l'intermédiaire des comités techniques créés par l'organisation concernée afin de s'occuper des
domaines particuliers de l'activité technique. Les comités techniques de l'ISO et de l’IEC collaborent
dans des domaines d'intérêt commun. D'autres organisations internationales, gouvernementales et non
gouvernementales, en liaison avec l'ISO et l’IEC, participent également aux travaux.
Les procédures utilisées pour élaborer le présent document et celles destinées à sa mise à jour sont
décrites dans les Directives ISO/IEC, Partie 1. Il convient, en particulier de prendre note des différents
critères d'approbation requis pour les différents types de documents ISO. Le présent document a été
rédigé conformément aux règles de rédaction données dans les Directives ISO/IEC, Partie 2 (voir www
.iso .org/directives).
L'attention est attirée sur le fait que certains des éléments du présent document peuvent faire l'objet
de droits de propriété intellectuelle ou de droits analogues. L'ISO et l’IEC ne sauraient être tenues pour
responsables de ne pas avoir identifié de tels droits de propriété et averti de leur existence. Les détails
concernant les références aux droits de propriété intellectuelle ou autres droits analogues identifiés
lors de l'élaboration du document sont indiqués dans l'Introduction et/ou dans la liste des déclarations
de brevets reçues par l'ISO (voir www .iso .org/brevets) ou dans la liste des déclarations de brevets
reçues par l'IEC (voir http: //patents .iec .ch).
Les appellations commerciales éventuellement mentionnées dans le présent document sont données
pour information, par souci de commodité, à l’intention des utilisateurs et ne sauraient constituer un
engagement.
Pour une explication de la nature volontaire des normes, la signification des termes et expressions
spécifiques de l'ISO liés à l'évaluation de la conformité, ou pour toute information au sujet de l'adhésion
de l'ISO aux principes de l’Organisation mondiale du commerce (OMC) concernant les obstacles
techniques au commerce (OTC), voir: www .iso .org/iso/avant -propos.
Le présent document a été élaboré par le comité technique mixte ISO/IEC JTC 1, Technologies de
l'information, sous-comité SC 40, Gestion des services IT et gouvernance IT.
Cette deuxième édition annule et remplace la première édition (ISO/IEC 20000-3:2012), qui fait l'objet
d'une révision technique.
Les principales modifications par rapport à l'édition précédente sont les suivantes:
a) le présent document a été aligné sur la troisième édition de l'ISO/IEC 20000-1;
b) les exemples de scénarios dans l'Annexe A ont été mis à jour afin de refléter les environnements
de gestion de services contemporains, y compris des chaînes d'approvisionnement des services
complexes.
Une liste de toutes les parties de la série ISO/IEC 20000 se trouve sur le site web de l'ISO.
Il convient que l'utilisateur adresse tout retour d'information ou toute question concernant le présent
document à l'organisme national de normalisation de son pays. Une liste exhaustive desdits organismes
se trouve à l'adresse www .iso .org/fr/members .html.
iv © ISO/IEC 2019 – Tous droits réservés

---------------------- Page: 4 ----------------------
ISO/IEC 20000-3:2019(F)

Introduction
Le présent document fournit des recommandations pour la détermination du périmètre et
l'applicabilité de l'ISO/IEC 20000-1. Le présent document n'ajoute aucune exigence à celles spécifiées
dans l'ISO/IEC 20000-1.
Les organismes, de toute taille, de tout type ou de tout domaine opérationnel, peuvent fournir une
grande diversité de services à différents types de clients, internes ou externes, et s'appuyer sur des
chaînes d'approvisionnement des services complexes.
NOTE Le terme «chaîne d'approvisionnement des services», tel qu'utilisé dans le présent document, désigne
la façon dont les services sont coordonnés entre les fournisseurs internes et externes. Il ne vise pas à limiter
l'applicabilité du présent document à un secteur ou à une industrie en particulier.
Le fonctionnement d'un système de management des services (SMS) peut impliquer de nombreuses
parties dépendantes de différentes juridictions, de différentes frontières nationales et de différents
fuseaux horaires. Il convient que le SMS comprenne les contrôles appropriés pour faciliter la
coordination de toutes les parties impliquées dans le cycle de vie des services.
Le présent document se présente sous la forme d'exemples, de guides et de recommandations. Il
convient de ne pas l'envisager comme une spécification d'exigences.
© ISO/IEC 2019 – Tous droits réservés v

---------------------- Page: 5 ----------------------
NORME INTERNATIONALE ISO/IEC 20000-3:2019(F)
Technologies de l'information — Gestion des services —
Partie 3:
Recommandations pour la détermination du périmètre et
l'applicabilité de l'ISO/IEC 20000-1
1 Domaine d'application
Le présent document contient des recommandations pour la détermination du périmètre et
l'applicabilité aux exigences spécifiées dans l'ISO/IEC 20000-1.
Le présent document peut aider l'organisme à déterminer si l'ISO/IEC 20000-1 est applicable à sa
situation. Il illustre la façon dont le périmètre d'application d'un SMS peut être défini, quelle que soit
l'expérience de l'organisme en matière de définition du périmètre d'application d'autres systèmes de
management.
Les recommandations fournies dans le présent document peuvent aider un organisme à planifier et
préparer une évaluation de la conformité à l'ISO/IEC 20000-1.
L'Annexe A contient des exemples de déclarations de périmètre possibles pour un SMS. Les exemples
donnés s'appuient sur une série de scénarios pour les organismes, allant de chaînes d'approvisionnement
des services très simples à des chaînes d'approvisionnement des services plus complexes.
Le présent document peut être utilisé par le personnel responsable de la planification de la mise
en œuvre d'un SMS, de même que par des évaluateurs et des consultants. Il vient compléter les
recommandations pour l'application d'un SMS contenues dans l'ISO/IEC 20000-2.
Les exigences applicables aux organes chargés d'assurer l'audit et la certification d'un SMS peuvent être
trouvées dans l'ISO/IEC 20000-6, qui recommande l'utilisation du présent document.
2 Références normatives
Les documents suivants sont cités dans le texte de sorte qu’ils constituent, pour tout ou partie de leur
contenu, des exigences du présent document. Pour les références datées, seule l’édition citée s’applique.
Pour les références non datées, la dernière édition du document de référence s'applique (y compris les
éventuels amendements).
ISO/IEC 20000-10, Technologies de l'information — Gestion des services — Partie 10: Concepts et
vocabulaire
3 Termes et définitions
Pour les besoins du présent document, les termes et définitions de l'ISO/IEC 20000-10 s'appliquent.
L'ISO et l'IEC tiennent à jour des bases de données terminologiques destinées à être utilisées en
normalisation, consultables aux adresses suivantes:
— ISO Online browsing platform: disponible à l'adresse http: //www .iso .org/obp
— IEC Electropedia: disponible à l'adresse http: //www .electropedia .org/
© ISO/IEC 2019 – Tous droits réservés 1

---------------------- Page: 6 ----------------------
ISO/IEC 20000-3:2019(F)

4 Respect des exigences spécifiées dans l'ISO/IEC 20000-1
4.1 Structure du SMS
La Figure 1 représente un SMS montrant le contenu de l'ISO/IEC 20000-1. Elle ne représente pas une
hiérarchie structurelle, une séquence ou des niveaux d'autorité. Elle montre que les exigences de
l'ISO/IEC 20000-1:2018, Article 8, Fonctionnement du SMS, ont été décomposées en paragraphes pour
refléter le cycle de vie des services. Les paragraphes sont communément appelés les processus de
gestion des services. Les processus de gestion des services et les relations entre ces processus peuvent
être mis en œuvre de différentes façons par les organismes. Les relations entre chaque organisme et
ses clients, utilisateurs et autres parties intéressées influencent la façon dont les processus de gestion
des services sont mis en œuvre.
Figure 1 — Système de management des services
La structure des articles et paragraphes de l'ISO/IEC 20000-1 est destinée à fournir une présentation
cohérente des exigences plutôt qu'un modèle pour la documentation des politiques, des objectifs et
des processus d'un organisme. Les noms des processus peuvent être différents de ceux utilisés dans
l'ISO/IEC 20000-1, pour autant que l'ensemble des exigences soient satisfaites. Les processus peuvent
être combinés ou scindés différemment de la structure indiquée dans l'ISO/IEC 20000-1.
Il n'est pas exigé que les termes utilisés par un organisme soient remplacés par les termes utilisés dans
le présent document. Les organismes peuvent choisir librement les termes correspondant le mieux aux
opérations liées à leur activité. Par exemple, la gestion des changements et la gestion des déploiements
et des mises en production peuvent être combinées en un même processus.
La mise en correspondance des noms de processus de l'organisme avec les exigences de l'ISO/IEC 20000-1
peut aider un auditeur à comprendre les conditions dans lesquelles ces exigences sont satisfaites.
Un SMS tel qu'il est désigné par un organisme qui revendique sa conformité avec l'ISO/IEC 20000-1 ne
peut exclure aucune des exigences spécifiées dans l'ISO/IEC 20000-1.
2 © ISO/IEC 2019 – Tous droits réservés

---------------------- Page: 7 ----------------------
ISO/IEC 20000-3:2019(F)

4.2 Démonstration de la conformité
Un organisme peut revendiquer sa conformité uniquement en satisfaisant à l'ensemble des exigences
spécifiées dans l'ISO/IEC 20000-1. La conformité aux exigences spécifiées dans l'ISO/IEC 20000-1 peut
être démontrée par un organisme qui apporte la preuve:
a) qu'il satisfait lui-même aux exigences;
b) qu'il applique des contrôles pour les autres parties impliquées dans l'exécution d'activités à
l'appui du SMS.
Les exigences des Articles 6 à 10 de l'ISO/IEC 20000-1:2018 peuvent être totalement ou partiellement
satisfaites par d'autres parties à condition que l'organisme puisse démontrer qu'il contrôle ces
dernières. Par exemple, d'autres parties peuvent être utilisées pour effectuer des audits internes.
Il convient que les exigences des Articles 4 et 5 de l'ISO/IEC 20000-1:2018 soient satisfaites par
l'organisme lui-même. Cependant, une autre partie peut agir pour le compte de l'organisme, par exemple
dans la préparation du plan de gestion des services.
Un organisme peut également, par exemple, apporter la preuve des contrôles exercés sur les processus
exploités par d'autres parties ou sur les services externalisés. Il est important que l'organisme
comprenne quelles activités sont destinées à être effectuées par d'autres parties à l'appui du SMS.
4.3 Autorités et responsabilités au sein de la chaîne d'approvisionnement des services
Il est important que l'organisme définisse clairement les autorités et responsabilités pour l'ensemble
des parties impliquées dans la chaîne d'approvisionnement des services.
Il convient que l'organisme conserve le contrôle opérationnel et la responsabilité des services entrant
dans le périmètre du SMS, comme décrit dans le paragraphe 5.1 de l'ISO/IEC 20000-1:2018, mais qu'il
puisse faire appel à d'autres parties afin de satisfaire à ces exigences.
L'organisme est dans l'obligation de démontrer que la direction satisfait aux exigences stipulées dans
l'Article 5 de l'ISO/IEC 20000-1:2018. Il convient que l'organisme démontre que les services contribuent
à atteindre les objectifs de gestion des services.
Il est important que l'organisme veille à ce que les autorités et responsabilités des services et des
composants de services, ainsi que des processus ou parties de processus, fournis ou exploités par
l'ensemble des parties, soient clairement établies. Cela concerne notamment la définition, dans les
contrats ou les accords documentés, des responsabilités associées au respect des exigences de services.
Il convient que l'organisme:
a) identifie et documente tous les services, composants de services, processus ou parties de processus
s'inscrivant dans le périmètre du SMS, y compris ceux qui sont fournis par d'autres parties;
b) identifie quelles parties exploitent quels services, composants de services, processus ou parties de
processus;
c) démontre les contrôles exercés sur les autres parties identifiées en a) et b) (voir
l'ISO/IEC 20000-1:2018, 8.2.3).
5 Applicabilité de l'ISO/IEC 20000-1
5.1 Principes d'applicabilité
5.1.1 Applicabilité
Toutes les exigences de l'ISO/IEC 20000-1 sont génériques et prévues pour s'appliquer à tout organisme,
quels que soient son type ou sa taille, ou la nature des services fournis. L'ISO/IEC 20000-1 est issue des
© ISO/IEC 2019 – Tous droits réservés 3

---------------------- Page: 8 ----------------------
ISO/IEC 20000-3:2019(F)

technologies de l'information et est prévue pour la gestion des services qui utilisent les technologies et
l'information numérique. Les exemples donnés dans le présent document illustrent diverses utilisations
de l'ISO/IEC 20000-1.
Le paragraphe 1.2 de l'ISO/IEC 20000-1:2018 décrit l'application de la norme.
5.1.2 Organisme
Il est nécessaire d'identifier correctement l'organisme s'inscrivant dans le périmètre du SMS.
Un certificat de l'ISO/IEC 20000-1 est normalement délivré à une seule entité juridique, et non à un
groupe de différentes entités juridiques sans lien entre elles. Voir également le paragraphe 6.2.4 du
présent document.
5.1.3 Statut commercial
Les services peuvent être fournis selon des conditions commerciales ou non commerciales. La condition
commerciale ou non de la fourniture du service est sans rapport avec l'applicabilité de l'ISO/IEC 20000-1
ou avec le périmètre du SMS.
Il n'est pas nécessaire que l'organisme soit propriétaire des actifs utilisés pour la fourniture des
services.
5.1.4 Domaine d'application
Il convient de mentionner dans la détermination du périmètre ce qui a été inclus dans le périmètre.
Si nécessaire, pour davantage de clarté, il peut être utile de mentionner également ce qui est exclu du
périmètre.
Il convient que le périmètre du SMS soit visible pour le personnel, les clients et les clients potentiels sur
simple demande. Il est donc nécessaire de le définir sans équivoque en donnant une indication claire
des services et de l'organisme inclus dans le périmètre.
5.1.5 Exigences
Il convient que l'organisme satisfasse à toutes les exigences spécifiées dans l'ISO/IEC 20000-1
pour le périmètre du SMS. Les exigences des Articles 6 à 10 de l'ISO/IEC 20000-1:2018 peuvent être
totalement ou partiellement satisfaites par d'autres parties à condition que l'organisme puisse
démontrer qu'il contrôle ces dernières. Il convient cependant que les exigences des Articles 4 et 5 de
l'ISO/IEC 20000-1:2018 soient satisfaites par l'organisme lui-même, mais il peut être aidé par d'autres
parties.
5.1.6 Autorités et responsabilités
Il convient que l'organisme soit sensibilisé à l'importance de clarifier les autorités et responsabilités
de l'organisme lui-même ainsi que des autres parties impliquées dans le cycle de vie des services. Il
convient que l'organisme conserve la responsabilité pour toutes les exigences de l'ISO/IEC 20000-1, mais
il peut solliciter d'autres parties pour l'assister. Lorsque d'autres parties sont impliquées, il convient
d'exercer des contrôles pour démontrer la performance et l'efficacité de leur implication, conformément
au paragraphe 8.2.3 de l'ISO/IEC 20000-1:2018.
5.2 Parties impliquées dans un SMS
5.2.1 Types de fournisseurs
Les organismes peuvent faire appel à tout type de combinaison de fournisseurs pour soutenir un SMS
conforme à l'ISO/IEC 20000-1.
4 © ISO/IEC 2019 – Tous droits réservés

---------------------- Page: 9 ----------------------
ISO/IEC 20000-3:2019(F)

L'organisme peut satisfaire à la totalité des exigences des Articles 6 à 10 de l'ISO/IEC 20000-1:2018 par
une gestion directe ou en sollicitant d'autres parties. Les autres parties qui fournissent ou exploitent
des services, des composants de services ou des processus peuvent être:
a) les fournisseurs internes;
b) les fournisseurs externes;
c) des clients agissant en tant que fournisseurs.
Un fournisseur interne peut avoir le même organe de gouvernance que l'organisme s'inscrivant dans le
périmètre du SMS, mais être extérieur au périmètre du SMS, par exemple les ressources humaines ou
l'approvisionnement. Il convient qu'un fournisseur interne ait un accord documenté avec l'organisme
inclus dans le périmètre du SMS, spécifiant la contribution du fournisseur interne vis-à-vis du SMS et
des services.
Un fournisseur externe est un organisme ou une partie d'un organisme externe à l'organisme
s'inscrivant dans le périmètre du SMS. Si l'organisme inclus dans le périmètre d'application du SMS fait
partie d'un organisme plus grand, le fournisseur externe est externe à cet organisme plus grand. Un
fournisseur externe peut conclure un contrat avec l'organisme afin de contribuer à la planification, à
la conception, à la transition, à la fourniture et à l'amélioration des services. Puisque l'organisme peut
signer des contrats avec des fournisseurs principaux, mais pas avec des fournisseurs sous-traitants, il
convient que les fournisseurs principaux gèrent leurs fournisseurs sous-traitants qui concernent le SMS.
Un client peut contribuer au fonctionnement du SMS et à la fourniture de services, autant qu'il reçoit des
services. Par exemple, un client peut gérer un centre de services et exploiter une partie du processus
de gestion des incidents. Il convient que la contribution apportée par le client agissant en tant que
fournisseur soit soumise aux conditions d'un accord documenté entre l'organisme et le client. Il convient
que cet accord identifie clairement le rôle du client en sa qualité de fournisseur et qu'il soit distinct de
tout accord passé entre l'organisme et le client concernant la fourniture des services. L'accord relatif à
la fourniture de services peut dépendre de l'accord conclu en qualité de client. Par exemple, un client
peut fournir un centre de services en qualité de fournisseur, mais spécifier dans un accord qu'il cessera
de fournir ce centre de services s'il n'intervient plus également en tant que client.
Lorsque tout client agit en tant que fournisseur, il convient de conclure deux accords avec le client.
Il convient que le premier accord spécifie les services à fournir à un client qui reçoit des services. Il
convient que le deuxième accord spécifie les conditions et les contrôles imposés par l'organisme vis-à-
vis du client agissant en tant que fournisseur.
Un risque associé à un client externe agissant en tant que fournisseur est que le service fourni peut
être conditionné par l'accord du client, par exemple si l'accord du client prend fin, l'accord relatif
à la fourniture des activités du client agissant en qualité de fournisseur peut également prendre fin.
Si les activités fournies affectent d'autres clients ou parties intéressées, cela peut compromettre la
conformité du SMS. Les bonnes pratiques consistent à inclure des accords transitoires dans l'accord
avec le fournisseur si une telle situation se produit.
Il convient que l'organisme applique des contrôles pour tous les processus, services et composants de
services entrant dans le périmètre du SMS, même lorsque d'autres parties sont impliquées. Cet aspect
est décrit au paragraphe 5.3 du présent document. L'organisme ne peut démontrer sa conformité que
s'il est en mesure de démontrer les contrôles mis en place pour l'ensemble des parties.
5.2.2 Améliorations du SMS et des services
L'identification des opportunités d'amélioration peut être réalisée par l'organisme ou par d'autres
parties. Ces opportunités sont évaluées et gérées comme indiqué dans le paragraphe 10.2 de
l'ISO/IEC 20000-1:2018.
EXEMPLE 1 L'organisme demande à une autre partie d'améliorer ses performances afin d'atteindre les
obj
...

Questions, Comments and Discussion

Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.