この規格 プレビューページの目次
※一部、英文及び仏文を自動翻訳した日本語訳を使用しています。
3 用語と定義
この文書の目的上、次の用語と定義が適用されます。
ISO と IEC は、標準化に使用する用語データベースを次のアドレスで維持しています。
3.1 マネジメントシステム規格に特有の用語
3.1.1
監査
監査基準がどの程度満たされているかを判断するために監査証拠を入手し、それを客観的に評価するための体系的で独立した文書化された プロセス (3.1.18)
注記 1:監査は、内部監査 (第一者) または外部監査 (第二者または第三者) である場合があり、また、複合監査 (2 つ以上の分野を組み合わせたもの) である場合もあります。
注記 2:内部監査は 、組織 (3.1.14) 自体によって、または組織に代わって外部の関係者によって実施されます。
注記 3: 「監査証拠」および「監査基準」は ISO 19011 で定義されています。
3.1.2
能力
意図した結果を達成するために知識とスキルを適用する能力
3.1.3
適合性
要件の履行(3.1.19)
注記 1:適合性は、ISO/IEC 20000-1 の要件および組織の SMS 要件に関連します。
項目への注記 2:元の附属書 SL の定義は、項目に注記 1 を追加することにより変更されました。
3.1.4
継続的な改善
パフォーマンスを向上させるための反復的なアクティビティ (3.1.16)
3.1.5
是正措置
検出された 不適合 (3.1.12) またはその他の望ましくない状況の原因を除去するか、再発の可能性を減らすための措置
注記 1:元の付属書 SL の定義は、元の「不適合の原因を除去し、再発を防止するための措置」にテキストを追加することにより変更されました。
3.1.6
文書化された情報
組織(3.1.14) によって管理および維持されることが必要な情報およびそれが含まれる媒体
例:
ポリシー (3.1.17) 、計画、プロセスの説明、 手順 (3.2.11) 、 サービス レベル アグリーメント (3.2.20) または契約。
注記 1:文書化された情報は、あらゆる形式、媒体、あらゆるソースからのものを使用できます。
- 関連 プロセス (3.1.18 ) を含む管理システム (3.1.9 )
- 組織が運営するために作成された情報(文書)。
- 達成された結果の証拠[ 記録(3.2.12)
注記 3:元の附属書 SL の定義は、例を追加することによって変更されました。
3.1.7
効果
計画された活動がどの程度実現され、計画された成果が達成されたか
3.1.8
当事者
SMS (3.2.23) または サービス (3.2.15) に関連する決定または活動に影響を与える可能性がある、影響を受ける、または影響を受けると認識している個人または 組織 (3.1.14)
注記 1:利害関係者は、組織の内部または外部に存在する場合があります。
注記 2: 利害関係者には、SMS の範囲外の組織の一部、顧客(3.2.3)、ユーザー(3.2.28)、コミュニティ、外部サプライヤー(3.2.4)、規制当局、公共部門団体、非政府組織、投資家または従業員が含まれる場合があります。
注記 3: ISO/IEC 20000-1 の要件(3.1.19) で利害関係者が指定されている場合、利害関係者は要件の文脈に応じて異なる場合があります。
項目への注記 4:元の附属書 SL の定義は、認められている用語「利害関係者」を削除し、定義に「SMS またはサービスに関連する」を追加し、項目に注記 1, 2, および 3 を追加することによって修正されました。
3.1.9
管理システム
ポリシー (3.1.17) と 目的 (3.1.13) およびそれらの目的を達成するための プロセス (3.1.18) を確立するための 組織 (3.1.14) の相互に関連または相互作用する要素のセット
注記 1:管理システムは、単一の分野または複数の分野に対処できます。
注記 2: 管理システム要素には、組織の構造、役割と責任、計画、運営、方針、目的、計画、プロセス、 手順が含まれる (3.2.11) 。
注記 3: 管理システムの範囲には、組織全体、組織の特定の特定の機能、組織の特定の特定のセクション、または組織グループ全体にわたる 1 つ以上の機能が含まれる場合があります。
注記 4:元の附属書 SL の定義は、システムが管理システムであることを明確にし、注記 2 にさらなる要素を列挙することによって変更されました。
3.1.10
測定
値を決定する プロセス (3.1.18)
3.1.11
監視
システム、 プロセス(3.1.18) 、またはアクティビティのステータスの決定
注記 1:状況を判断するには、検査、監督、または批判的に観察する必要がある場合があります。
3.1.12
不適合
要件の不履行(3.1.19)
注記 1:不適合は、ISO/IEC 20000-1 の要件および組織の SMS 要件に関連します。
3.1.13
客観的
達成すべき結果
注記 1: 目標には、戦略的、戦術的、または作戦的なものがあります。
注記 2:目標は、さまざまな分野 [財務、健康と安全、 サービス管理 (3.2.22) および環境目標など] に関連することがあり、さまざまなレベル [戦略的、組織全体、 サービス (3.2.15) 、プロジェクト、製品および プロセス (3.1.18) など] に適用することができます。
注記 3:目標は、他の方法、例えば、意図された結果、目的、運用基準として、サービス管理目標として、または同様の意味を持つ他の単語 (例えば、目的、目標、目標) の使用によって表現することができます。
注記 4: SMS (3.2.23) のコンテキストでは、サービス管理目標は、特定の結果を達成するために、サービス管理 ポリシー (3.1.17) と一致して組織によって設定されます。
項目の注記 5:元の附属書 SL の定義は、項目の注記 2 に「サービス管理」および「サービス」を追加することにより変更されました。
3.1.14
組織
目的を達成するために、責任、権限、および関係を伴う独自の機能を持つ個人または人々のグループ (3.1.13)
注記 1:組織の概念には、法人か否か、公的か私的かを問わず、個人事業主、会社、株式会社、企業、企業、当局、パートナーシップ、慈善団体、団体、またはそれらの一部または組み合わせが含まれますが、これらに限定されません。
注記 2: サービス (3.2.15) または内部または外部の顧客へのサービス (3.2.3) を管理および提供する組織または組織の一部は 、サービスプロバイダー (3.2.24) と呼ばれます。
注記 3: SMS (3.2.23) の範囲が組織の一部のみをカバーする場合、ISO/IEC 20000 (すべての部分) で使用される組織とは、SMS の範囲内にある組織の部分を指します。異なる目的で組織という用語を使用する場合は、明確に区別されます。
項目への注記 4:元の附属書 SL の定義は、項目に注記 2 および 3 を追加することにより変更されました。
3.1.15
外部委託する 、 動詞
外部 組織(3.1.14)が 組織の機能または プロセス(3.1.18) のwhere を実行する取り決めを行う
注記 1:外部組織は SMS (3.2.23) の範囲外ですが、アウトソーシングされた機能またはプロセスは範囲内にあります。
3.1.16
パフォーマンス
測定可能な結果
注記 1:パフォーマンスは、定量的または定性的な結果に関連する場合があります。
注記 2:パフォーマンスは、活動、 プロセス (3.1.18) 、製品、 サービス (3.2.15) 、システムまたは 組織 (3.1.14) の管理に関連する場合があります。
項目の注記 3:元の附属書 SL の定義は、項目の注記 2 に「サービス」を追加することにより変更されました。
3.1.17
政治
トップマネジメント (3.1.21) によって正式に表明された 組織の意図と方向性 (3.1.14 )
3.1.18
プロセス
入力を使用して意図した結果を提供する、相互に関連するまたは相互作用する一連のアクティビティ
注記 1:プロセスの「意図された結果」が出力、製品、または サービス (3.2.15) と呼ばれるかどうかは、参照の文脈によって異なります。
注記 2:プロセスへの入力は通常、他のプロセスの出力であり、プロセスの出力は通常、他のプロセスへの入力です。
注記 3:一連の 2 つ以上の相互に関連し、相互作用するプロセスは、プロセスとも呼ばれます。
注記 4: 組織内のプロセス (3.1.14) は、一般に、価値を付加するために制御された条件下で計画され、実行されます。
注記 5:元の付属書 SL の定義は、「入力を出力に変換する相互関連または相互作用する活動のセット」から変更されました。元の附属書 SL の定義も、エントリに注 1 ~ 4 を追加することにより変更されました。改訂された定義と注記 1 ~ 4 は ISO 9000:2015, 3.4.1 から引用されています。
3.1.19
要件
表明された、一般的に暗示された、または義務的な必要性または期待
注記 1: 「一般に暗黙的」とは、検討中の必要性または期待が暗黙的に示されていることが 、組織 (3.1.14) および 利害関係者 (3.1.8) にとって慣例または慣例であることを意味します。
注記 2: 指定された要件とは、例えば 文書化された情報 (3.1.6) に記載されている要件です。
注記 3: SMS (3.2.23) のコンテキストでは、 サービス要件 (3.2.26) は、一般に暗示されるものではなく文書化され、決定されます。法的要件や規制要件など、他の要件が存在する場合もあります。
項目への注記 4:元の附属書 SL の定義は、項目への注記 3 を追加することにより変更されました。
3.1.20
リスク
不確実性の影響
注記 1:効果とは、予想からの逸脱 (プラスまたはマイナス) です。
注記 2: 不確実性とは、出来事、その結果、または可能性についての理解または知識に関連する情報が部分的であっても欠如している状態を指します。
注記 3:リスクは、多くの場合、潜在的な事象(ISO Guide 73:2009, 3.5.1.3 で定義) および結果 (ISO Guide 73:2009, 3.6.1.3 で定義)、またはこれらの組み合わせへの言及によって特徴付けられます。
注記 4:リスクは、多くの場合、イベントの結果 (状況の変化を含む) と、それに関連する発生の可能性 (ISO Guide 73:2009, 3.6.1.1 で定義) の組み合わせで表現されます。
3.1.21
経営トップ
最高レベルで 組織 (3.1.14) を 指揮および管理する個人または人々のグループ
注記 1:経営トップには権限を委任し、組織内にリソースを提供する権限があります。
注記 2: マネジメントシステム (3.1.9) の範囲が組織の一部のみをカバーする場合、トップマネジメントとは、組織のその部分を指揮し管理する者を指します。
3.2 ISO/IEC 20000 シリーズで使用されるサービス管理に特有の用語
3.2.1
資産
組織にとって潜在的または実際の価値を持つアイテム、物、またはエンティティ (3.1.14)
注記 1: 価値には、有形または無形、財務的または非財務的なものがあり、 リスク (3.1.20) および負債の考慮が含まれます。資産寿命のさまざまな段階でプラスにもマイナスにもなり得ます。
注記 2: 物理的資産とは、通常、組織が所有する設備、在庫、資産を指します。物理的資産は、リース、ブランド、デジタル資産、使用権、ライセンス、知的財産権、評判、契約などの非物理的資産である無形資産の対極です。
注記 3:資産システムと呼ばれる資産のグループも資産とみなすことができます。
注記 4:資産は 構成アイテム (3.2.2) になることもできます。一部の構成アイテムは資産ではありません。
[出典:ISO/IEC 19770-5:2015, 3.2, 修正済み — エントリの注 4 には新しい内容が含まれています。]
3.2.2
構成アイテム
CI
サービス (3.2.15) を提供するために制御する必要がある要素
3.2.3
お客様
組織 (3.1.14) 、または サービス (3.2.15) またはサービスを受ける組織の一部
例:
消費者、クライアント、受益者、スポンサー、購入者。
注記 1:顧客は、サービスを提供する組織の内部または外部の場合があります。
注記 2:顧客は ユーザー (3.2.28) になることもできます。顧客がサプライヤーとして行動することもできます。
3.2.4
外部サプライヤー
計画、設計、 移行 (3.2.27) 、 サービスの提供または改善 (3.2.15) 、 サービス コンポーネント (3.2.18) or プロセス (3.1.18) に貢献する契約を締結する組織の外部の当事者。
注記 1: 外部サプライヤーには、指定された主要サプライヤーは含まれますが、その下請けサプライヤーは含まれません。
注記 2: SMS の範囲内の組織がより大きな組織の一部である場合、相手方はそのより大きな組織の外部にあります。
3.2.5
事件
サービスの計画外の中断 (3.2.15) 、サービスの品質の低下、または 顧客 (3.2.3) or ユーザー (3.2.28) へのサービスにまだ影響を与えていないイベント
3.2.6
情報セキュリティ
情報の機密性、完全性、可用性の保持
注記 1:さらに、信頼性、説明責任、否認防止、信頼性などの他の特性も関係する可能性があります。
[出典:ISO/IEC 27000:2018, 3.28]
3.2.7
情報セキュリティインシデント
事業運営を侵害し、情報セキュリティを脅かす可能性が高い、単一または一連の望ましくないまたは予期しない 情報セキュリティ (3.2.6) イベント
[出典:ISO/IEC 27000:2018, 3.31]
3.2.8
社内サプライヤー
計画、設計、 移行 (3.2.27) 、 サービスの提供または改善 (3.2.15) 、サービス コンポーネント (3.2.18) またはプロセス (3.1.18) に貢献するために文書化された契約を結ぶ、 SMS (3.2.23) の 範囲外である、 or 大きな組織 (3.1.14) の一部 。
例:
調達、インフラ、財務、人材、設備。
注記 1:内部サプライヤーと SMS の範囲内の組織は、どちらも同じより大きな組織の一部です。
3.2.9
既知のエラー
根本原因が特定されている 問題 (3.2.10) 、または サービス (3.2.15) への影響を軽減または排除する方法
3.2.10
問題
1 つ以上の実際のまたは潜在的な インシデントの原因 (3.2.5)
3.2.11
手順
アクティビティまたは プロセスを実行するための指定された方法 (3.1.18)
注記 1:手順は文書化してもしなくてもよい。
[出典:ISO 9000:2015, 3.4.5]
3.2.12
記録 、 名詞
達成された結果を記載する文書、または実行された活動の証拠を提供する文書
例:
監査 (3.1.1) 報告書、 事件 (3.2.5) の詳細、研修参加者のリスト、会議の議事録。
注記 1:記録は、例えば、トレーサビリティを形式的に確立し、検証、予防措置、 是正措置の証拠を提供するために使用できます (3.1.5) 。
注記 2:一般に、レコードはリビジョン管理される必要はありません。
[出典:ISO 9000:2015, 3.8.10, 修正 — 例が追加されました。]
3.2.13
リリース 、 名詞
1 つ以上の変更の結果としてライブ環境にデプロイされた 1 つ以上の新規または変更された サービス (3.2.15) or サービス コンポーネント (3.2.18) のコレクション
3.2.14
変更のリクエスト
サービス (3.2.15) 、 サービス コンポーネント (3.2.18) または SMS (3.2.23) に加えられる変更の提案
注記 1:サービスの変更には、新しいサービスの提供、サービスの移転、または不要になったサービスの削除が含まれます。
3.2.15
サービス
顧客が達成したい成果を促進することにより 、顧客に価値を提供する手段 (3.2.3)
注記 1:サービスは一般に無形です。
注記 2: ISO/IEC 20000 (すべての部分) で使用されるサービスという用語は、 SMS (3.2.23) の範囲内のサービスを意味します。異なる目的でのサービスという用語の使用は明確に区別されます。
3.2.16
サービスの可用性
サービス(3.2.15) or サービスコンポーネント(3.2.18) が、合意された時刻または合意された期間にわたって必要な機能を実行する能力
注記 1:サービス可用性は、合意された時間と比較した、サービスまたはサービス・コンポーネントが実際に使用可能である時間の比率またはパーセンテージとして表すことができます。
3.2.17
サービスカタログ
組織が顧客に提供するサービスに関する文書化された情報
3.2.18
サービスコンポーネント
他の要素と組み合わせると完全なサービスを提供する サービス (3.2.15) の一部
例:
インフラストラクチャ、アプリケーション、ドキュメント、ライセンス、情報、リソース、サポート サービス。
注記 1: サービス・コンポーネントには、構成項目(3.2.2)、 資産 (3.2.1) 、またはその他の要素を含めることができます。
3.2.19
サービスの継続性
サービス (3.2.15) を中断することなく、または合意された一貫した可用性を提供する能力
注記 1:サービス継続性管理は、ビジネス継続性管理のサブセットである場合があります。 ISO 22301は、事業継続管理のためのマネジメントシステム規格です。
3.2.20
サービスレベル契約
SLA
サービス (3.2.15) とその合意されたパフォーマンスを特定する、 組織 (3.1.14) と 顧客 (3.2.3) の間の文書化された合意。
注記 1:サービス・レベル契約は、組織と 外部サプライヤー (3.2.4) 、 内部サプライヤー (3.2.8) 、またはサプライヤーとしての顧客との間で確立することもできます。
注記 2:サービス・レベル・アグリーメントは、契約または別のタイプの文書化された契約に含めることができます。
3.2.21
サービスレベル目標
組織 (3.1.14) が関与する サービス (3.2.15) の特定の測定可能な特性
3.2.22
サービス管理
価値(3.2.29)を提供するために、計画、設計、 移行(3.2.27) 、 サービスの提供と改善( 3.2.15)のための組織(3.1.14)の活動とリソースを指示および制御する一連の機能とプロセス(3.1.18 )
注記 1: ISO/IEC 20000-1 は、条項と下位条項に分割された一連の要件を規定しています。各組織は、要件をプロセスに組み合わせる方法を選択できます。副次句は、組織の SMS のプロセスを定義するために使用できます。
3.2.23
サービス管理システム
SMS
組織(3.1.14) の サービス管理(3.2.22) 活動を指示および制御するための 管理システム(3.1.9 )
注記 1: SMS には、サービス管理 ポリシー (3.1.17) 、 目標 (3.1.13) 、計画、 プロセス (3.1.18) 、ISO/IEC 20000-1 で指定された要件 (3.1.19) を満たすためのサービスの計画、設計、 移行 (3.2.27) 、 提供および改善に必要な文書化された情報およびリソースが含まれます。
3.2.24
サービスプロバイダー
サービス (3.2.15) または顧客へのサービス (3.2.3) を管理および提供する 組織 (3.1.14 )
3.2.25
サービスリクエスト
情報、アドバイス、 サービスへのアクセス (3.2.15) 、または事前に承認された変更の要求
3.2.26
サービス要件
明示または必須の サービス (3.2.15) および SMS (3.2.23) に関連する 顧客 (3.2.3) 、 ユーザー (3.2.28) および 組織 (3.1.14) のニーズ
注記 1: SMS (3.2.23) のコンテキストでは、サービス要件は一般的に暗示されるものではなく文書化され、決定されます。法的要件や規制要件など、他の要件が存在する場合もあります。
3.2.27
遷移
新しい サービスまたは変更されたサービス (3.2.15) を ライブ環境との間で移動することに関連するアクティビティ
3.2.28
ユーザー.ユーザー
サービス (3.2.15) またはサービスと対話したり、サービスから利益を得たりする個人またはグループ
注記 1: ユーザーの例には、個人または人々のコミュニティが含まれます。 顧客 (3.2.3) もユーザーになることができます。
3.2.29
価値
重要性、利点、有用性
例:
金銭的価値、サービス成果の達成、 サービス管理 (3.2.22) 目標 (3.1.13) の 達成、顧客維持、制約の除去。
注記 1: サービスからの価値の創造 (3.2.15) には 、リスクを管理しながら最適なリソースレベルで利益を実現することが含まれます (3.1.20) 。 資産 (3.2.1) および サービス (3.2.15) は、 値を割り当てることができる例です。
3.3 ISO/IEC 20000 シリーズでは使用されるが、ISO/IEC 20000-1 では使用されないサービス管理に固有の用語
3.3.1
統治機関
組織(3.1.14)の活動、ガバナンスおよび ポリシー(3.1.17) に対して最終的な責任と権限を持ち、 トップマネジメント(3.1.21) が報告し、 トップマネジメント(3.1.21) が責任を負うグループまたは団体。
注記 1:すべての組織、特に小規模な組織が、経営トップとは別の統治機関を持つわけではありません。
注記 2: 統治機関には、取締役会、取締役会の委員会、監査役会、評議員または監督者が含まれますが、これらに限定されません。
[出典:ISO 37001:2016]
3.3.2
サービスインテグレーター
複数のサプライヤーによって提供される サービス (3.2.15) と サービス コンポーネント (3.2.18) の統合を管理するエンティティ
注記 1:サービス・インテグレーターの役割は、すべての関係者がサプライ ・チェーンにおける役割を認識し、実行できるようにし、責任を負うことを保証することにより、特に複雑なサプライ・チェーンにおいて、エンド・ツー・エンドのサービス管理 (3.2.22) の促進をサポートします。
参考文献
| 1 | ISO 9000:2015, 品質マネジメントシステム - 基礎と用語 |
| 2 | ISO 9001:2015, 品質マネジメントシステム — 要件 |
| 3 | ISO 10007:2017, 品質管理 — 構成管理のガイドライン |
| 4 | ISO 31000:2018, リスク管理 — ガイドライン |
| 5 | ISO/IEC/IEEE 12207:2017, システムおよびソフトウェア エンジニアリング — ソフトウェア ライフ サイクル プロセス |
| 6 | ISO/IEC TS 15504-8:2012, 情報技術 - プロセス評価 - Part 8: IT サービス管理の例示的なプロセス評価モデル |
| 7 | ISO/IEC 17021-1:2015, 適合性評価 — マネジメントシステムの監査および認証を提供する機関の要件 — Part 1: 要件 |
| 8 | ISO 19011:2018, マネジメントシステム監査のガイドライン |
| 9 | ISO/IEC 19770-1:2017, 情報技術 — IT 資産管理 — Part 1: IT 資産管理システム — 要件 |
| 10 | ISO/IEC 19770-5:2015, 情報技術 - IT 資産管理 - Part 5: 概要と語彙 |
| 11 | ISO/IEC 20000-1:2018, 情報技術 — サービス管理 — Part 1: サービス管理システム要件 |
| 12 | ISO/IEC 20000-2:2012, 情報技術 — サービス管理 — Part 2: サービス管理システムの適用に関するガイダンス |
| 13 | ISO/IEC 20000-3:2012, 情報技術 — サービス管理 — Part 3: ISO/IEC 20000-1 の範囲定義と適用性に関するガイダンス |
| 14 | ISO/IEC TR 20000-5:2013, 情報技術 — サービス管理 — Part 5: ISO/IEC 20000-1 の模範的な実装計画 |
| 15 | ISO/IEC 20000-6:2017, 情報技術 — サービス管理 — Part 6: サービス管理システムの監査および認証を提供する機関の要件 |
| 16 | ISO/IEC TR 20000-11:2015, 情報技術 — サービス管理 — Part 11: ISO/IEC 20000-1:2011 とサービス管理フレームワークの関係に関するガイダンス: ITIL® |
| 17 | ISO/IEC TR 20000-12:2016, 情報技術 — サービス管理 — Part 12: ISO/IEC 20000-1:2011 とサービス管理フレームワークとの関係に関するガイダンス: CMMI-SVC |
| 18 | ISO 22301:2012, 社会セキュリティ — 事業継続管理システム — 要件 |
| 19 | ISO/IEC 27000:2018, 情報技術 — セキュリティ技術 — 情報セキュリティ管理システム — 概要と用語 |
| 20 | ISO/IEC 27001:2013, 情報技術 - セキュリティ技術 - 情報セキュリティ管理システム - 要件 |
| 21 | ISO/IEC 27013:2015, 情報技術 - セキュリティ技術 - ISO/IEC 27001 と ISO/IEC 20000-1 の統合実装に関するガイダンス |
| 22 | ISO/IEC 27031:2011, 情報技術 - セキュリティ技術 - 事業継続のための情報通信技術の準備に関するガイドライン |
| 23 | ISO/IEC 30105-1:2016, 情報テクノロジー — IT イネーブルド サービス - ビジネス プロセス アウトソーシング (ITES-BPO) ライフサイクル プロセス — Part 1: プロセス参照モデル (PRM) |
| 24 | ISO/IEC 30105-2:2016, 情報テクノロジー — IT 対応サービス ビジネス プロセス アウトソーシング (ITES-BPO) ライフサイクル プロセス — Part 2: プロセス評価モデル (PAM) |
| 25 | ISO 37001:2016, 贈収賄防止マネジメントシステム — 要件と使用のためのガイダンス |
| 26 | ISO/IEC 38500:2015, 情報技術 - 組織の IT ガバナンス |
| 27 | ISO/IEC TS 38501:2015, 情報技術 - IT のガバナンス - 実装ガイド |
| 28 | ISO/IEC TR 38502:2017, 情報技術 — IT のガバナンス — フレームワークとモデル |
3 Terms and definitions
For the purposes of this document the following terms and definitions apply.
ISO and IEC maintain terminological databases for use in standardization at the following addresses:
3.1 Terms specific to management system standards
3.1.1
audit
systematic, independent and documented process (3.1.18) for obtaining audit evidence and evaluating it objectively to determine the extent to which the audit criteria are fulfilled
Note 1 to entry: An audit can be an internal audit (first party) or an external audit (second party or third party), and it can be a combined audit (combining two or more disciplines).
Note 2 to entry: An internal audit is conducted by the organization (3.1.14) itself, or by an external party on its behalf.
Note 3 to entry: “Audit evidence” and “audit criteria” are defined in ISO 19011.
3.1.2
competence
ability to apply knowledge and skills to achieve intended results
3.1.3
conformity
fulfilment of a requirement (3.1.19)
Note 1 to entry: Conformity relates to requirements in ISO/IEC 20000-1 as well as the organization’s SMS requirements.
Note 2 to entry: The original Annex SL definition has been modified by adding Note 1 to entry.
3.1.4
continual improvement
recurring activity to enhance performance (3.1.16)
3.1.5
corrective action
action to eliminate the cause or reduce the likelihood of recurrence of a detected nonconformity (3.1.12) or other undesirable situation
Note 1 to entry: The original Annex SL definition has been changed by adding text to the original “action to eliminate the cause of a nonconformity and to prevent recurrence”.
3.1.6
documented information
information required to be controlled and maintained by an organization (3.1.14) and the medium on which it is contained
EXAMPLE:
Policies (3.1.17) , plans, process descriptions, procedures (3.2.11) , service level agreements (3.2.20) or contracts.
Note 1 to entry: Documented information can be in any format and media and from any source.
- the management system (3.1.9) , including related processes (3.1.18) ;
- information created in order for the organization to operate (documentation);
- evidence of results achieved [ records (3.2.12) ].
Note 3 to entry: The original Annex SL definition has been modified by adding examples.
3.1.7
effectiveness
extent to which planned activities are realized and planned results achieved
3.1.8
interested party
person or organization (3.1.14) that can affect, be affected by, or perceive itself to be affected by a decision or activity related to the SMS (3.2.23) or the services (3.2.15)
Note 1 to entry: An interested party can be internal or external to the organization.
Note 2 to entry: Interested parties can include parts of the organization outside the scope of the SMS, customers (3.2.3), users (3.2.28), community, external suppliers (3.2.4), regulators, public sector bodies, nongovernment organizations, investors or employees.
Note 3 to entry: Where interested parties are specified in the requirements (3.1.19) of ISO/IEC 20000-1, the interested parties can differ depending on the context of the requirement.
Note 4 to entry: The original Annex SL definition has been modified by deleting the admitted term “stakeholder”, adding “related to the SMS or the services” to the definition and by adding Notes 1, 2 and 3 to entry.
3.1.9
management system
set of interrelated or interacting elements of an organization (3.1.14) to establish policies (3.1.17) and objectives (3.1.13) and processes (3.1.18) to achieve those objectives
Note 1 to entry: A management system can address a single discipline or several disciplines.
Note 2 to entry: The management system elements include the organization’s structure, roles and responsibilities, planning, operation, policies, objectives, plans, processes and procedures (3.2.11) .
Note 3 to entry: The scope of a management system may include the whole of the organization, specific and identified functions of the organization, specific and identified sections of the organization, or one or more functions across a group of organizations.
Note 4 to entry: The original Annex SL definition has been modified by clarifying that the system is a management system and listing further elements in Note 2 to entry.
3.1.10
measurement
process (3.1.18) to determine a value
3.1.11
monitoring
determining the status of a system, a process (3.1.18) or an activity
Note 1 to entry: To determine the status there may be a need to check, supervise or critically observe.
3.1.12
nonconformity
non-fulfilment of a requirement (3.1.19)
Note 1 to entry: Nonconformity relates to requirements in ISO/IEC 20000-1 as well as the organization’s SMS requirements.
3.1.13
objective
result to be achieved
Note 1 to entry: An objective can be strategic, tactical, or operational.
Note 2 to entry: Objectives can relate to different disciplines [such as financial, health and safety, service management (3.2.22) and environmental goals] and can apply at different levels [such as strategic, organization-wide, service (3.2.15) , project, product and process (3.1.18) ].
Note 3 to entry: An objective can be expressed in other ways, e.g. as an intended outcome, a purpose, an operational criterion, as a service management objective or by the use of other words with similar meaning (e.g. aim, goal, or target).
Note 4 to entry: In the context of an SMS (3.2.23) , service management objectives are set by the organization, consistent with the service management policy (3.1.17) , to achieve specific results.
Note 5 to entry: The original Annex SL definition has been modified by adding “service management” and “service” to Note 2 to entry.
3.1.14
organization
person or group of people that has its own functions with responsibilities, authorities and relationships to achieve its objectives (3.1.13)
Note 1 to entry: The concept of organization includes, but is not limited to sole-trader, company, corporation, firm, enterprise, authority, partnership, charity or institution, or part or combination thereof, whether incorporated or not, public or private.
Note 2 to entry: An organization or part of an organization that manages and delivers a service (3.2.15) or services to internal or external customers (3.2.3) can be known as a service provider (3.2.24) .
Note 3 to entry: If the scope of the SMS (3.2.23) covers only part of an organization, then organization, when used in ISO/IEC 20000 (all parts), refers to the part of the organization that is within the scope of the SMS. Any use of the term organization with a different intent is distinguished clearly.
Note 4 to entry: The original Annex SL definition has been modified by adding Notes 2 and 3 to entry.
3.1.15
outsource , verb
make an arrangement where an external organization (3.1.14) performs part of an organization’s function or process (3.1.18)
Note 1 to entry: An external organization is outside the scope of the SMS (3.2.23) , although the outsourced function or process, is within the scope.
3.1.16
performance
measurable result
Note 1 to entry: Performance can relate either to quantitative or qualitative findings.
Note 2 to entry: Performance can relate to the management of activities, processes (3.1.18) , products, services (3.2.15) , systems or organizations (3.1.14) .
Note 3 to entry: The original Annex SL definition has been modified by adding “services” to Note 2 to entry.
3.1.17
policy
intentions and direction of an organization (3.1.14) as formally expressed by its top management (3.1.21)
3.1.18
process
set of interrelated or interacting activities that use inputs to deliver an intended result
Note 1 to entry: Whether the “intended result” of a process is called output, product or service (3.2.15) depends on the context of the reference.
Note 2 to entry: Inputs to a process are generally the outputs of other processes and outputs of a process are generally the inputs to other processes.
Note 3 to entry: Two or more interrelated and interacting processes in series can also be referred to as a process.
Note 4 to entry: Processes in an organization (3.1.14) are generally planned and carried out under controlled conditions to add value.
Note 5 to entry: The original Annex SL definition has been changed from “set of interrelated or interacting activities which transforms inputs into outputs”. The original Annex SL definition has also been modified by adding Notes 1 to 4 to entry. The revised definition and Notes 1 to 4 to entry are sourced from ISO 9000:2015, 3.4.1.
3.1.19
requirement
need or expectation that is stated, generally implied or obligatory
Note 1 to entry: “Generally implied” means that it is custom or common practice for the organization (3.1.14) and interested parties (3.1.8) that the need or expectation under consideration is implied.
Note 2 to entry: A specified requirement is one that is stated, for example, in documented information (3.1.6) .
Note 3 to entry: In the context of an SMS (3.2.23) , service requirements (3.2.26) are documented and agreed rather than generally implied. There can also be other requirements such as legal and regulatory requirements.
Note 4 to entry: The original Annex SL definition has been modified by adding Note 3 to entry.
3.1.20
risk
effect of uncertainty
Note 1 to entry: An effect is a deviation from the expected — positive or negative.
Note 2 to entry: Uncertainty is the state, even partial, of deficiency of information related to understanding or knowledge of, an event, its consequence, or likelihood.
Note 3 to entry: Risk is often characterized by reference to potential events (as defined in ISO Guide 73:2009, 3.5.1.3) and consequences (as defined in ISO Guide 73:2009, 3.6.1.3), or a combination of these.
Note 4 to entry: Risk is often expressed in terms of a combination of the consequences of an event (including changes in circumstances) and the associated likelihood (as defined in ISO Guide 73:2009, 3.6.1.1) of occurrence.
3.1.21
top management
person or group of people who directs and controls an organization (3.1.14) at the highest level
Note 1 to entry: Top management has the power to delegate authority and provide resources within the organization.
Note 2 to entry: If the scope of the management system (3.1.9) covers only part of an organization then top management refers to those who direct and control that part of the organization.
3.2 Terms specific to service management used in the ISO/IEC 20000 series
3.2.1
asset
item, thing or entity that has potential or actual value to an organization (3.1.14)
Note 1 to entry: Value can be tangible or intangible, financial or non-financial, and includes consideration of risks (3.1.20) and liabilities. It can be positive or negative at different stages of the asset life.
Note 2 to entry: Physical assets usually refer to equipment, inventory and properties owned by the organization. Physical assets are the opposite of intangible assets, which are non-physical assets such as leases, brands, digital assets, use rights, licences, intellectual property rights, reputation or agreements.
Note 3 to entry: A grouping of assets referred to as an asset system could also be considered as an asset.
Note 4 to entry: An asset can also be a configuration item (3.2.2) . Some configuration items are not assets.
[SOURCE:ISO/IEC 19770-5:2015, 3.2, modified — Note 4 to entry contains new content.]
3.2.2
configuration item
CI
element that needs to be controlled in order to deliver a service (3.2.15) or services
3.2.3
customer
organization (3.1.14) or part of an organization that receives a service (3.2.15) or services
EXAMPLE:
Consumer, client, beneficiary, sponsor, purchaser.
Note 1 to entry: A customer can be internal or external to the organization delivering the service or services.
Note 2 to entry: A customer can also be a user (3.2.28) . A customer can also act as a supplier.
3.2.4
external supplier
another party that is external to the organization that enters into a contract to contribute to the planning, design, transition (3.2.27) , delivery or improvement of a service (3.2.15) , service component (3.2.18) or process (3.1.18)
Note 1 to entry: External suppliers include designated lead suppliers but not their sub-contracted suppliers.
Note 2 to entry: If the organization in the scope of the SMS is part of a larger organization, the other party is external to the larger organization.
3.2.5
incident
unplanned interruption to a service (3.2.15) , a reduction in the quality of a service or an event that has not yet impacted the service to the customer (3.2.3) or user (3.2.28)
3.2.6
information security
preservation of confidentiality, integrity and availability of information
Note 1 to entry: In addition, other properties such as authenticity, accountability, non-repudiation and reliability can also be involved.
[SOURCE:ISO/IEC 27000:2018, 3.28]
3.2.7
information security incident
single or a series of unwanted or unexpected information security (3.2.6) events that have a significant probability of compromising business operations and threatening information security
[SOURCE:ISO/IEC 27000:2018, 3.31]
3.2.8
internal supplier
part of a larger organization (3.1.14) that is outside the scope of the SMS (3.2.23) that enters into a documented agreement to contribute to the planning, design, transition (3.2.27) , delivery or improvement of a service (3.2.15) , service component (3.2.18) or process (3.1.18)
EXAMPLE:
Procurement, infrastructure, finance, human resources, facilities.
Note 1 to entry: The internal supplier and the organization in the scope of the SMS are both part of the same larger organization.
3.2.9
known error
problem (3.2.10) that has an identified root cause or a method of reducing or eliminating its impact on a service (3.2.15)
3.2.10
problem
cause of one or more actual or potential incidents (3.2.5)
3.2.11
procedure
specified way to carry out an activity or a process (3.1.18)
Note 1 to entry: Procedures can be documented or not.
[SOURCE:ISO 9000:2015, 3.4.5]
3.2.12
record , noun
document stating results achieved or providing evidence of activities performed
EXAMPLE:
Audit (3.1.1) reports, incident (3.2.5) details, list of training delegates, minutes of meetings.
Note 1 to entry: Records can be used, for example, to formalize traceability and to provide evidence of verification, preventive action and corrective action (3.1.5) .
Note 2 to entry: Generally, records need not be under revision control.
[SOURCE:ISO 9000:2015, 3.8.10, modified — EXAMPLE has been added.]
3.2.13
release , noun
collection of one or more new or changed services (3.2.15) or service components (3.2.18) deployed into the live environment as a result of one or more changes
3.2.14
request for change
proposal for a change to be made to a service (3.2.15) , service component (3.2.18) or the SMS (3.2.23)
Note 1 to entry: A change to a service includes the provision of a new service, transfer of a service or the removal of a service that is no longer required.
3.2.15
service
means of delivering value for the customer (3.2.3) by facilitating outcomes the customer wants to achieve
Note 1 to entry: Service is generally intangible.
Note 2 to entry: The term service as used in ISO/IEC 20000 (all parts) means the service or services in the scope of the SMS (3.2.23) . Any use of the term service with a different intent is distinguished clearly.
3.2.16
service availability
ability of a service (3.2.15) or service component (3.2.18) to perform its required function at an agreed time or over an agreed period of time
Note 1 to entry: Service availability can be expressed as a ratio or percentage of the time that the service or service component is actually available for use compared to the agreed time.
3.2.17
service catalogue
documented information about services that an organization provides to its customers
3.2.18
service component
part of a service (3.2.15) that when combined with other elements will deliver a complete service
EXAMPLE:
Infrastructure, applications, documentation, licences, information, resources, supporting services.
Note 1 to entry: A service component can include configuration items (3.2.2), assets (3.2.1) or other elements.
3.2.19
service continuity
capability to deliver a service (3.2.15) without interruption, or with consistent availability as agreed
Note 1 to entry: Service continuity management can be a subset of business continuity management. ISO 22301 is a management system standard for business continuity management.
3.2.20
service level agreement
SLA
documented agreement between the organization (3.1.14) and the customer (3.2.3) that identifies services (3.2.15) and their agreed performance
Note 1 to entry: A service level agreement can also be established between the organization and an external supplier (3.2.4) , an internal supplier (3.2.8) or a customer acting as a supplier.
Note 2 to entry: A service level agreement can be included in a contract or another type of documented agreement.
3.2.21
service level target
specific measurable characteristic of a service (3.2.15) that an organization (3.1.14) commits to
3.2.22
service management
set of capabilities and processes (3.1.18) to direct and control the organization’s (3.1.14) activities and resources for the planning, design, transition (3.2.27) , delivery and improvement of services (3.2.15) to deliver value (3.2.29)
Note 1 to entry: ISO/IEC 20000-1 provides a set of requirements that are split into clauses and sub-clauses. Each organization can choose how to combine the requirements into processes. The sub-clauses can be used to define the processes of the organization’s SMS.
3.2.23
service management system
SMS
management system (3.1.9) to direct and control the service management (3.2.22) activities of the organization (3.1.14)
Note 1 to entry: An SMS includes service management policies (3.1.17) , objectives (3.1.13) , plans, processes (3.1.18) , documented information and resources required for the planning, design, transition (3.2.27) , delivery and improvement of services to meet the requirements (3.1.19) specified in ISO/IEC 20000-1.
3.2.24
service provider
organization (3.1.14) that manages and delivers a service (3.2.15) or services to customers (3.2.3)
3.2.25
service request
request for information, advice, access to a service (3.2.15) or a pre-approved change
3.2.26
service requirement
needs of customers (3.2.3) , users (3.2.28) and the organization (3.1.14) related to the services (3.2.15) and the SMS (3.2.23) that are stated or obligatory
Note 1 to entry: In the context of an SMS (3.2.23) , service requirements are documented and agreed rather than generally implied. There can also be other requirements such as legal and regulatory requirements.
3.2.27
transition
activities involved in moving a new or changed service (3.2.15) to or from the live environment
3.2.28
user
individual or group that interacts with or benefits from a service (3.2.15) or services
Note 1 to entry: Examples of users include a person or community of people. A customer (3.2.3) can also be a user.
3.2.29
value
importance, benefit or usefulness
EXAMPLE:
Monetary value, achieving service outcomes, achieving service management (3.2.22) objectives (3.1.13) , customer retention, removal of constraints.
Note 1 to entry: The creation of value from services (3.2.15) includes realizing benefits at an optimal resource level while managing risk (3.1.20) . An asset (3.2.1) and a service (3.2.15) are examples that can be assigned a value.
3.3 Terms specific to service management used in the ISO/IEC 20000 series but not used in ISO/IEC 20000-1
3.3.1
governing body
group or body that has the ultimate responsibility and authority for an organization’s (3.1.14) activities, governance and policies (3.1.17) and to which top management (3.1.21) reports and by which top management (3.1.21) is held accountable
Note 1 to entry: Not all organizations, particularly small organizations, will have a governing body separate from top management.
Note 2 to entry: A governing body can include, but is not limited to, board of directors, committees of the board, supervisory board, trustees or overseers.
[SOURCE:ISO 37001:2016]
3.3.2
service integrator
entity that manages the integration of services (3.2.15) and service components (3.2.18) delivered by multiple suppliers
Note 1 to entry: The role of the service integrator supports the promotion of end to end service management (3.2.22) , particularly in complex supply chains by ensuring all parties are aware of, enabled to perform, and are held accountable for their role in the supply chain.
Bibliography
| 1 | ISO 9000:2015, Quality management systems — Fundamentals and vocabulary |
| 2 | ISO 9001:2015, Quality management systems — Requirements |
| 3 | ISO 10007:2017, Quality management — Guidelines for configuration management |
| 4 | ISO 31000:2018, Risk management — Guidelines |
| 5 | ISO/IEC/IEEE 12207:2017, Systems and software engineering — Software life cycle processes |
| 6 | ISO/IEC/TS 15504-8:2012, Information technology — Process assessment — Part 8: An exemplar process assessment model for IT service management |
| 7 | ISO/IEC 17021-1:2015, Conformity assessment — Requirements for bodies providing audit and certification of management systems — Part 1: Requirements |
| 8 | ISO 19011:2018, Guidelines for auditing management systems |
| 9 | ISO/IEC 19770-1:2017, Information technology — IT asset management — Part 1: IT asset management systems — Requirements |
| 10 | ISO/IEC 19770-5:2015, Information technology — IT asset management — Part 5: Overview and vocabulary |
| 11 | ISO/IEC 20000-1:2018, Information technology — Service management — Part 1: Service management system requirements |
| 12 | ISO/IEC 20000-2:2012, Information technology — Service management — Part 2: Guidance on the application of service management systems |
| 13 | ISO/IEC 20000-3:2012, Information technology — Service management — Part 3: Guidance on scope definition and applicability of ISO/IEC 20000-1 |
| 14 | ISO/IEC/TR 20000-5:2013, Information technology — Service management — Part 5: Exemplar implementation plan for ISO/IEC 20000-1 |
| 15 | ISO/IEC 20000-6:2017, Information technology — Service management — Part 6: Requirements for bodies providing audit and certification of service management systems |
| 16 | ISO/IEC/TR 20000-11:2015, Information technology — Service management — Part 11: Guidance on the relationship between ISO/IEC 20000-1:2011 and service management frameworks: ITIL® |
| 17 | ISO/IEC/TR 20000-12:2016, Information technology — Service management — Part 12: Guidance on the relationship between ISO/IEC 20000-1:2011 and service management frameworks: CMMI-SVC |
| 18 | ISO 22301:2012, Societal security — Business continuity management systems — Requirements |
| 19 | ISO/IEC 27000:2018, Information technology — Security techniques — Information security management systems — Overview and vocabulary |
| 20 | ISO/IEC 27001:2013, Information technology — Security techniques — Information security management systems — Requirements |
| 21 | ISO/IEC 27013:2015, Information technology — Security techniques — Guidance on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1 |
| 22 | ISO/IEC 27031:2011, Information technology — Security techniques — Guidelines for information and communication technology readiness for business continuity |
| 23 | ISO/IEC 30105-1:2016, Information technology — IT Enabled Services-Business Process Outsourcing (ITES-BPO) lifecycle processes — Part 1: Process reference model (PRM) |
| 24 | ISO/IEC 30105-2:2016, Information technology — IT Enabled Service-Business Process Outsourcing (ITES-BPO) lifecycle processes — Part 2: process assessment model (PAM) |
| 25 | ISO 37001:2016, Anti-bribery management systems — Requirements with guidance for use |
| 26 | ISO/IEC 38500:2015, Information technology — Governance of IT for the organization |
| 27 | ISO/IEC TS 38501:2015, Information technology — Governance of IT — Implementation guide |
| 28 | ISO/IEC TR 38502:2017, Information technology — Governance of IT — Framework and model |