Contexte

• Les facteurs externes et internes, positifs ou négatifs, qui influent sur la capacité à atteindre les résultats.
• Le périmètre d’application du SMS. L’ISO 20000-3 fournit des recommandations relatives à la détermination du périmètre.
• Le SMS, sa mise en œuvre et son amélioration.

Leadership

• L’engagement de la direction (politique, niveaux de décisions, ressources…).

Politique

• Une gestion des services adaptée, incluant l’engagement de satisfaire aux exigences applicables.
• La communication aux parties intéressées.
• Les rôles et responsabilités.

Planification

• Le traitement des risques et opportunités. L’ISO 31000 fournit des principes et des recommandations générales relatives à la gestion des risques. L’ISO 27005 se concentre sur les risques de cybersécurité.
• Les objectifs et la planification des actions. Ces objectifs doivent être en cohérence avec la politique de gestion des services; être mesurables; tenir compte des exigences applicables; être surveillés; être communiqués et être mis à jour en tant que de besoin.
• La planification au travers d’un plan de gestion des services comprenant une liste, les limitations, les responsabilités, les moyens.

Support

• Les ressources.
• Les compétences.
• La sensibilisation.
• La communication.

Documentation

• La création et la mise à jour.
• La cycle de vie de la documentation.
• Les informations à documenter comprenant notamment : le périmètre, la politique, le plan de gestion des services, la politique de gestion des changements, la politique de sécurité des systèmes d’information, les exigences, le catalogue de service, les niveaux de service, les contrats avec les fournisseurs externes et les accords avec les fournisseurs internes.
• Les connaissances mises à disposition des personnes concernées.

Fonctionnement

• La maitrise opérationnelle au travers un système de critères de performance.
• Le portefeuille des services.
• La planification des services.
• La maîtrise des parties externes au SMS opérant des services. L’ISO 20000-3 fournit des recommandations pour la maîtrise des autres parties impliquées dans le cycle de vie des services.
• La gestion du catalogue des services.
• La gestion des actifs. Les normes ISO 55001 et ISO/IEC 19770‐1 spécifient des exigences pour aider à la mise en œuvre et à l'exploitation des actifs ainsi qu'à la gestion des actifs issus des technologies de l’information.
• La gestion des configurations (éléments de configuration - CI).
• Les relations et accords.
• La gestion des relations commerciales.
• La gestion des niveaux de services.
• La gestion des fournisseurs.

• Le budget.
• La gestion de la demande.
• La gestion de la capacité.
• La conception, construction et transition du service.
• La résolution et la satisfaction (incidents, demandes de services, problèmes, disponibilité, continuité, sécurité. L’ISO 27013 fournit des recommandations relatives à l’intégration de l’ISO 27001 et de l’ISO 20000.

Evaluation des performances

• La surveillance.
• L’audit interne. L'ISO 19011 fournit des lignes directrices pour l'audit des systèmes de management.
• La revue de direction.
• Les rapports de service.

Amélioration

• Les non-conformités et actions correctives.
• L’amélioration continue.