UniCIT - Apostila ISO 20000 - Patricie Medova

Manual de treinamento
Curso preparatório para

Certificação ISO/IEC 20000
Curso preparatório para Certificação
ISO/IEC 20000
Manual do Aluno
Copyright ©2014 UniCIT®
Todos os direitos reservados
Release: 1.3
Matriz
Setor Hoteleiro Norte - Quadra 2 - Bloco F - Ed. Executive Office Tower - 17º Andar
CEP: 70702-906 - Asa Norte Brasília - DF
Fone: (61) 3030-4000
http://www.centralit.com.br
Todos os direitos são reservados. É vedada, no todo ou em parte, a sua reprodução por toda a
sorte de formas e meios conhecidos. Para tal, é imperativa a autorização, por escrito, da
UNICIT. Seu conteúdo tem caráter técnico-informativo e os editores se reservam ao direito de
revisar as versões, de modo a aproveitar a totalidade ou em parte deste trabalho, sem a
necessidade de qualquer forma de aviso prévio.
UNICIT não assume qualquer responsabilidade por erros ou omissões.
Parte desse documento incluem informações com base na ITIL® e publicações do IT
Infrastructure Library® do Instituto de Governo do Reino Unido Commerce. A ITIL ® é uma
comunidade registrada, marca do Office of Government Commerce, e está registrada na U.S.
Também são fornecidas informações baseadas na norma ABNT ISO/IEC 20000:2011.
Brasília, 11 de Julho de 2016.

Apresentação
Este treinamento visa fornecer as habilidades e conhecimentos fundamentais para

permitir a participação em equipes de trabalho envolvidas com o gerenciamento de serviços e
também para preparar o aluno para prestar a certificação baseada na norma ISO/IEC 20000.
A ênfase está nos fundamentos sobre o Sistema de Gestão de Serviços (SGS) e em

processos de gerenciamento de serviços, especificamente os principais conceitos e
terminologias básicos do gerenciamento de serviços de TI baseados na ISO/IEC 20000:2011.
Este treinamento tem uma carga horário de 16 horas, distribuídas na seguinte ementa:
 Programa de qualificação profissional do EXIN baseado na norma ISO 20000.

 Introdução a norma ISO 20000
 Introdução ao Gerenciamento de Serviços de TI
 O Sistema de Gerenciamento de Serviços (SGS)
 Desenho e Transição de Serviço
 Os processos de entrega de serviço e seus relacionamentos
 Os processos de relacionamento e seus relacionamentos
 Os processos de resolução e seus relacionamentos
 Os processos de controle e seus relacionamentos
 Dicas de provas e resolução de simulados
Este material foi elaborado por Patricie Medova, profissional certificada ITIL
Expert.
Sumário
1. Introdução..................................................................................................8
2. Programa de qualificação profissional do EXIN baseado na ISO 20000..8
2.1. Carreira ITIL x ITSM..................................................................................9
2.2. Carreira ITSM.............................................................................................9
2.3. Exames ITSM Nível Foundation..............................................................10
3. Introdução à ISO/IEC 20000....................................................................12
3.1. ABNT – Associação Brasileira de Normas Técnicas...............................12
3.2. ISO – International Organization for Standardization..............................13
3.3. IEC – International Electrotechnical Commission....................................13
3.4. Princípios da gestão da Qualidade..........................................................27
3.5. Sistema de Gestão da Qualidade............................................................28
3.6. Gerenciamento de serviços de TI............................................................29
3.7. Benefícios do gerenciamento de serviços de TI......................................30
3.8. Processo..................................................................................................30
3.9. Elementos do processo:..........................................................................31
3.10. Características essenciais do processo (para a ITIL):............................32
3.11. Eficiência x Eficácia do processo............................................................33
3.12. TI orientada a processos.........................................................................33
3.13. Papéis e responsabilidades no gerenciamento de serviços de TI..........33
3.14. Uso de ferramentas de gerenciamento de serviços:...............................34
3.15. Frameworks de qualidade........................................................................34
4. Requisitos Gerais para o SGS.................................................................38
4.1. Responsabilidade da direção...................................................................39
4.1.1. Compromisso da direção:........................................................................39

4.1.2. Políticas de gerenciamento de serviços;.................................................40
4.1.3. Autoridade, responsabilidade e comunicação;........................................40
4.1.4. Representante da direção;.......................................................................40
4.2. Governança de processos operados por outras partes..........................41
4.3. Gerenciamento de documentação...........................................................41
4.3.1. Estabelecer e manter documentos..........................................................42
4.3.2. Controle de documentos..........................................................................42
4.3.3. Controle de registros................................................................................42
4.4. Gerenciamento de recursos.....................................................................43
4.4.1. Disponibilização de recursos...................................................................43
4.4.2. Recursos humanos..................................................................................43
4.5. Estabelecimento e melhorias...................................................................44
4.5.1. Definição de escopo................................................................................45
4.5.2. Planejar o SGS........................................................................................45
4.5.3. Implantação e operação do SGS.............................................................46
4.5.4. Monitorar e analisar criticamente o SGS.................................................46
4.5.5. Manter e melhorar o SGS........................................................................48
5. Desenho e transição de serviços.............................................................51
5.1. Requisitos gerais:.....................................................................................52
5.2. Planejar serviços novos ou modificados..................................................53
5.3. Desenho e desenvolvimento de serviços novos ou modificados............54
5.4. Transição de serviços novos ou modificados..........................................54
6. Processos de fornecimento de serviços..................................................55
6.1. Gerenciamento de nível de serviço.........................................................56
6.2. Relato de serviço.....................................................................................61

6.3. Gerenciamento de continuidade e disponibilidade de serviço................62
6.3.1. Requisitos de continuidade e disponibilidade de serviço........................66
6.3.2. Planos de continuidade e disponibilidade de serviço..............................66
6.3.3. Monitoramento e testes de continuidade e disponibilidade de serviço...67
6.4. Orçamento e contabilização para serviços..............................................70
6.5. Gerenciamento de capacidade................................................................73
6.6. Gerenciamento de segurança da informação.........................................76
6.6.1. Políticas de segurança da informação.....................................................77
6.6.2. Controles de segurança da informação...................................................77
6.6.3. Mudanças e incidentes da segurança da informação.............................78
7. Processos de relacionamento..................................................................80
7.1. Gerenciamento de relações de negócio......................................................81
7.2. Gerenciamento de fornecedores.................................................................85
8. Processos de resolução...........................................................................89
8.1. Gerenciamento de incidentes e requisições de serviço..............................90
8.2. Gerenciamento de problemas.....................................................................96
9. Processos de controle...........................................................................100
9.1. Gerenciamento de configuração...............................................................100
9.2. Gerenciamento de mudanças...................................................................108
9.3. Gerenciamento de liberação e implantação..............................................111
10. Dicas de provas e resolução de simulados...........................................117
11. Referências Bibliográficas.....................................................................118

1. Introdução
O programa da EXIN para a certificação da norma ISO 20000 busca averiguar os
conhecimentos de profissionais relacionados ao Gerenciamento de serviços de TI cobrando o
que é mandatório na norma para diversos níveis dentro desta carreira.
Este curso, é voltado para a certificação ISO 20000 Foundation e foi desenvolvido para
dar apoio ao embasamento do aluno, fornecendo todo o conhecimento necessário para obter
com sucesso a Certificação da norma ISO 20000 Foundation.
O curso atravessa o universo do gerenciamento de serviço de TI, iniciando pela carreira

para profissionais com certificação na norma ISO 20000, passando por conceitos que servem
de base para o entendimento claro tanto de requisitos de gestão de normas, como de processos
aplicados ao gerenciamento de serviços passando cuidadosamente por todos os requisitos
mandatórios.
2. Programa de qualificação profissional do EXIN baseado na ISO 20000
Exin
O EXIN (Examination lnstitute for Information Science) é uma organização global e

independente que desenvolve e mantém exames na área de tecnologia da informação.
Este instituto certificador fornece exames baseados em frameworks e melhores práticas, tem
reconhecimento internacional abrangendo mais de 125 países, além de estar no mercado por
mais de 40.
A EXIN oferece um programa de qualificação profissional baseado na ISO 20000 desde 2008.
Este programa possui 4 níveis de exames para a carreira voltada para a norma ISO/IEC
20000 baseado em papéis ou funções.
No próximo tópico será aprofundado o tema.
Qualificação Profissional
A carreira profissional voltada para o mercado de gerenciamento de serviços pode

seguir duas direções: a carreira ITIL ou ITSM. As duas carreiras podem ser alinhadas pois são
complementares e não excludentes.
8
2.1.
Carreira ITIL x ITSM
A carreira ITSM, ou voltada para a norma ISO 20000, pode ser integrada com a carreira
ITIL (Information Technology Infrastructure Library), pois ambas tratam de gestão de
serviços. A grande diferença entre as duas é que a biblioteca ITIL não certifica empresas,
trata-se de uma biblioteca de melhores práticas que possui certificações apenas para
profissionais, enquanto, a norma ISO/IEC 20000 irá ter organismos certificadores tanto para
profissionais como para empresas.
A existência de certificados ITIL já facilita a escalada na carreira ITSM. Segue abaixo a

figura que mostra o vínculo entre ambas carreiras.
Figura 1: Carreira ITIL x ITSM
O EXIN disponibiliza uma ferramenta para calcular e informar, quando já se possui

algum certificado ITIL, quais são as provas necessárias para alcançar o nível desejado na
carreira ITSM. Para consultar, basta acessar o link: https://www.exin.com/tool/ .
2.2.
Carreira ITSM
A carreira ITSM é formada por 4 níveis hierárquicos:
9
Necessário ter conhecimentos básicos a respeito da norma e de conceitos sobre gestão de
serviços. Provas:
ITSM EXIN ITSM Foundation ITSM20F
Foundation EXIN ITSM Foundation Bridge ITSM20FB
Exigido conhecimento prático para a implementação, melhoria e garantia sobre a norma.

Provas:
ITSM EXIN ITSM Specialist ITSM20SP
Especialist EXIN ITSM Internal Auditor ITSM20IA
Este nível é voltado para o negócio, os requisitos são para o planejamento de negócio, gestão
de serviço e suas atividades. Provas:
EXIN ITSMExpert ITSM20EXP
ITSM Expert
EXIN ITSM Expert Side Entry ITSM20EXPSE
Requer experiência como consultor ou gestão e exige a apresentação de projeto. Prova:

EXIN ITSM Master ITSM20MA
ITSM Master
Figura 2: Carreira ITSM baseada na ISO 20000
As informações sobre cada uma das provas acima pode ser encontradas no site da
EXIN: https://www.exin.com/BR/pt/exames/&fw=itsm-based-on-iso/iec-20000.
10
2.3.
Exames ITSM Nível Foundation
Como pode ser observado na ilustração referente ao nível Foundation, disponibilizada

na figura 2, podem ser realizadas dois tipos de exames para se adquirir a certificação ITSM
Foundation, que é o objetivo proposto para este curso. Segue abaixo os requisitos e
informações sobre cada uma destas provas:
 EXIN ITSM Foundation - Exame ITSM20F

o A ênfase desta prova está no sistema de gestão de serviço (SGS) e processos de
gerenciamento de serviços especificamente nos conceitos fundamentais e termologia
básica de Gerenciamento de Serviços de TI baseado na ISO/IEC 20000:2011.
o Público alvo: são colaboradores, prestadores de serviços e cliente que desejam
conhecer mais sobre a ISO/IEC 20000 e seus benefícios;
o Requisitos prévios: nenhum;
o Detalhes do exame:
 Número de questões: 40;
 Índice para aprovação: 65% (26 de 40).
Essas informações estão disponíveis no site da EXIN, assim como este endereço
também permite o agendamento do exame. Link:
https://www.exin.com/BR/pt/exames/&exam=it-service-management-foundation-
based-on-iso/iec20000 .
 EXIN ITSM Foundation Bridge ITSM20FB

o Este exame é para pessoas que já possuem o certificado ITIL Foundation. Os objetivos
são os mesmos, a diferença é que por já possuir conhecimentos prévios de ITIL, o
exame é menor.
o A ênfase desta prova está no sistema de gestão de serviço (SGS) e processos de
gerenciamento de serviços especificamente nos conceitos fundamentais e termologia
básica de Gerenciamento de Serviços de TI baseado na ISO/IEC 20000:2011.
o Público alvo: são colaboradores, prestadores de serviços e cliente que desejam
o Requisitos prévios: deve apresentar o certificado em ITIL® Fundamentos em

qualquer versão.
11
o Detalhes do exame:
 Número de questões: 20;
 Índice para aprovação: 65% (13 de 20).
Essas informações estão disponíveis no site da EXIN, assim como este endereço
também permite o agendamento do exame. Link:
https://www.exin.com/BR/pt/exames/&exam=it-service-management-foundation-
bridge-based-on-iso/iec-20000.
3. Introdução à ISO/IEC 20000
Normas
Segundo a Soula, J.M.F (2013, p.102) uma norma é um “documento estabelecido por
consenso e aprovado por um organismo reconhecido, que fornece regras, diretrizes ou
características mínimas para atividades ou para seus resultados, visando à obtenção de um
grau ótimo de ordenação em um dado contexto”.
As normas asseguram as características desejáveis de produtos e serviços, como

qualidade, segurança, confiabilidade, eficiência, intercambialidade, bem como respeito
ambiental – e tudo isto a um custo econômico.
ISO/IEC 20000 – Organizações envolvidas
A ISO e a IEC atuam em conjunto no desenvolvimento de normas relacionadas à área

de TI por meio de comitês técnicos e a ABNT atua na questão de tradução e conformidade das
acreditadoras das normas no Brasil.
3.1.
ABNT – Associação Brasileira de Normas Técnicas
A ABNT, fundada em 1940, é uma entidade privada e sem fins lucrativos membro
fundador da International Organization for Standardization (Organização Internacional de
Normalização - ISO), da Comisión Panamericana de Normas Técnicas (Comissão Pan-
Americana de Normas Técnicas - Copant) e da Asociación Mercosur de Normalización
(Associação Mercosul de Normalização - AMN). Também membro da International
Electrotechnical Commission (Comissão Eletrotécnica Internacional - IEC).
Ela é responsável pela elaboração das Normas Brasileiras (ABNT NBR), elaboradas por
seus Comitês Brasileiros (ABNT/CB), Organismos de Normalização Setorial (ABNT/ONS) e
Comissões de Estudo Especiais (ABNT/CEE).
12
Desde 1950, a ABNT atua também na avaliação da conformidade e dispõe de
programas para certificação de produtos, sistemas e rotulagem ambiental. Esta atividade está
fundamentada em guias e princípios técnicos internacionalmente aceitos e alicerçada em uma
estrutura técnica e de auditores multidisciplinares, garantindo credibilidade, ética e
reconhecimento dos serviços prestados.
3.2.
ISO – International Organization for Standardization
A International Organization for Standardization – ISO é uma organização sediada em

Genebra, na Suíça, fundada em 1946, cujo propósito é desenvolver e promover normas que
possam ser utilizadas igualmente por todos os países do mundo.
O nome foi escolhido pois em grego ISOS = “igual”, que se enquadra com o propósito
da organização.
Cerca de 163 países integram esta importante organização internacional, especializada

em padronização, cujos membros são entidades normativas de âmbito nacional. O Brasil é
representado pela Associação Brasileira de Normas Técnicas – ABNT.
3.3.
IEC – International Electrotechnical Commission
A International Electrotechnical Commission é uma organização internacional fundada

em 1906, sem fins lucrativos, não-governamental que prepara e publica padrões internacionais
para todas as tecnologias elétricas, eletrônicas e afins - conhecidas coletivamente como
"eletrotécnica". A IEC cobrem uma vasta gama de tecnologias de geração de energia,
transmissão e distribuição de eletrodomésticos e equipamentos de escritório, semicondutores,
fibra ótica, baterias, energia solar, nanotecnologia e energia marinha, bem como muitos
outros.
A IEC também gerencia três sistemas de avaliação da conformidade globais que

certificam se o equipamento, sistema ou componentes estão em conformidade com as suas
normas internacionais. A IEC é uma organização semelhante da ISO que prepara e publica
normas internacionais para tecnologias elétricas, eletrônicas e relacionadas.
Segue link da IEC para maiores informações sobre o seu programa de trabalho e as
normas em vigor: http://www.iec.ch/
Norma ISO/IEC 20000
13
É uma norma baseada em processos cujo objetivo é fornecer padrões mínimos para o
Gerenciamento de Serviços de TI, e para isso especifica requisitos obrigatórios para o
provedor de serviços planejar, executar, monitorar, analisar e melhorar um Sistema de Gestão
de Serviços (SGS);
Ela é de propriedade International Organization for Standardization – ISO e da

Internacional Electrotechnical Commission – IEC e foi desenvolvida pelo Joint Thecnical
Committee 1/Subcommittee 7 – JTC 1/SC 7;
É baseada nos princípios de gestão da Qualidade (ISO 9001) e nas boas práticas da
biblioteca ITIL, assim como define requisitos de qualidade para as atividades de
gerenciamento de serviços de TI as quais podem ser auditadas.
Também é baseada no ciclo de Deming – PDCA.
ISO/IEC 20000 – Propósito
Dentre os princípios da ISSO/IEC 20000, pode-se citar:

 Promover a adoção de uma abordagem orientada a processos integrados para o
gerenciamento efetivo de serviços de TI que satisfaçam os requisitos do negócio
e do cliente;
 Fornecer uma estrutura para estabelecer um Sistema de Gestão de Serviços
(SGC) para que o provedor de serviços compreenda os requisitos de clientes e
entregue os serviços de acordo com as necessidades identificadas;
 Estabelecer requisitos mínimos para auditoria sobre o gerenciamento de serviços
de uma organização;
 Estabelecer uma terminologia comum para os provedores de serviços, seus
fornecedores e clientes;
ISO/IEC 20000 – Organizações que a utilizam
Dentre os perfis de empresas que podem utilizar a norma ISSO/IEC 20000, pode-se
citar:
 Qualquer tipo de provedor de serviços de TI, interno ou externo;
 Empresas comerciais e não comerciais que queiram implementar um SGS.
ISO/IEC 20000 – Usos adicionais
 Selecionar fornecedores de serviços de TI;
14
 Assegurar a consistência de uma cadeia de fornecimento de serviços;
 Obter práticas que melhoram a eficácia e eficiência de processos de
gerenciamento de serviços de TI;
 Prover capacidade de atender aos requisitos de clientes;
ISO/IEC 20000 – Vantagens para adoção
Dentre os motivos para se implementar a norma ISSO/IEC 20000, pode-se citar:
 É uma norma internacional amplamente reconhecida;

 Melhora a documentação e o uso de ferramentas de gerenciamento de serviços;
 É auditável;
 É independente de todos os frameworks
 Ajuda a atender a conformidades regulatórias;
 Pode ser usada como guia.
ISO/IEC 20000 – Benefícios
Dentre os vários benefícios que podem ser encontrados na implantação da ISSO/IEC 20000,
pode-se citar:
 Melhor entendimento das necessidades do negócio e dos clientes;

 Melhora na qualidade dos processos e serviços;
 Provedor de serviço (gestores e equipe) entendendo melhor seus papéis nos
processos;
 Melhora a reputação da TI;
 Melhoria contínua;
 Otimiza e controla custos;
 Redução de riscos relacionados a infraestrutura do serviço;
 Vantagem competitiva no mercado pela obtenção do certificado.
ISO/IEC 20000 – Histórico
Segue abaixo um breve histórico dos aspectos que levaram a ISO/IEC 20000 a ser criada e
desenvolvida:
15
 1983: A CCTA (Central Computer and Telecommunications Agency), órgão do
governo da Inglaterra, inicia um projeto para a criação de um framework para um
melhor uso da TI;
 1986: Surgimento do GITIMM (Government IT Infrastructure Management
Method) com foco no suporte e entrega de serviços;
 1989: A ITIL torna-se o nome oficial da biblioteca;
 2000: Publicação do primeiro livro Suporte ao Serviço da ITIL V2;
 2000: O CCTA tornou-se uma parte integrante do Office of Government
Commerce (OGC);
 2000: Publicação da 1ª norma antecessora da ISO 20000 pela BSI: BS
15000:2000 – Especificação para serviços de TI;
 2004: Início do projeto de revisão ITIL V3 Refresh;
 2005: Publicação da norma ISO/IEC 20000 (é um conjunto que define as
melhores práticas de gerenciamento de serviços de TI, adota a metodologia
PDCA);
 2007: Publicação oficial da ITIL V3 – edição 2007;
 2011: Publicação de uma atualização da ITIL V3 – edição 2011;
 2011: Publicação de atualização da norma ISO/IEC 20000-1;
 O Governo do Reino Unido e o Capita (organização de processos de negócios)
criaram a joint venture AXELOS para executar (desenvolver, gerenciar e operar)
o portfólio de melhores práticas globais, anteriormente propriedade do Office of
Government Commerce (OGC);
Estrutura ISO/IEC 20000
A norma ISO/IEC 20000 é dividida em várias partes:
 ISO/IEC 20000-1 – Requisitos do SGS: são os requisitos mandatórios da norma

para o SGS;
 ISO/IEC 20000-2 – Guia na aplicação do SGS: é um guia que orienta boas
práticas para a implementação;
 ISO/IEC 20000-3 – Orientações para definição de escopo: fornece orientações
para a definição de escopo e aplicabilidade da norma;
16
 ISO/IEC 20000-4 - Modelo de referência de processo: é um modelo de referência
para avaliação de maturidade dos processos;
 ISO/IEC 20000-5 – Exemplo de plano de implementação: disponibiliza um
exemplo de plano de implementação para cumprir os requisitos da parte 1.
Posicionamento da ISO/IEC 20000 em relação aos frameworks
Segue abaixo o posicionamento da ISO 20000 em relação a alguns frameworks de

gerenciamento de serviços.
Certificação ISO/IEC Requisitos

20000-1 Deve/ Precisa
Referência ISO/IEC Recomendações

20000-2 Convém/ Poderia
Apoio Modelos e padrões Melhores Práticas

gerenciamento de serviços: Frameworks & Padrões
ITIL, MOF, Cobit & Gestão da
Qualidade (ISO 9001)
Definição de
diretrizes Políticas, Procedimentos & Diretrizes
Instruções de trabalho da Definição de processos
organização
Figura 3: Posicionamento ISO 20000 perante Melhores práticas
Os requisitos da ISO 20000-1 são mandatórios, portanto devem estar aplicados na

organização para a obtenção do certificado. Já o restante a ISO 20000-2, modelos e padrões
17
de gerenciamento de serviços podem servir de referência para implementar os processos da
norma.
Estrutura da norma ISO/IEC 20000
A norma ISO/IEC 20000 é dividida em 9 itens, sendo que os 3 primeiros são de

referências e os outros 6 são de requisitos determinados para atendimento à norma. Segue
abaixo a estrutura da norma:
Figura 4: Estrutura da norma ISO/IEC 20000-1
Observando a estrutura acima, pode-se ter uma compreensão macro da norma, onde:
1. Escopo: explica o propósito e aplicação da norma ISO/IEC 20000-1;

2. Referência normativa: campo existente para igualar a numeração à da
norma ABNT NBR ISO/IEC 20000-2 – Tecnologia da Informação – Gestão
de Serviços – Parte 2: Orientações sobre a aplicação do gerenciamento de
serviços;
3. Termos e definições: explicações sobre os termos e nomenclaturas técnicas
encontradas na norma;
18
4. Requisitos gerais para o sistema de gestão de serviços: aborda questões
primárias referentes a construção do sistema de gestão, como políticas,
papéis, responsabilidades, controle de registros e documentos, recursos,
escopo e a determinação do ciclo PDCA. Dentre os requisitos cobrados,
pode-se citar: responsabilidade da direção, governança de processos operados
por outras partes, gerenciamento de documentação, gerenciamento de
recursos, estabelecimento e melhoria do SGS.
5. Desenho e transição para serviços novos ou modificados: determina
processos para a entrada de novos serviços ou alteração de serviços
existentes, como o processo do Portfólio de serviços da ITIL.
6. Processos de fornecimento de serviços: questões de planejamento de
serviços a longo prazo, dentro das condições acordadas, parte do desenho da
ITIL.
7. Processos de relacionamentos: monitorar a relação de satisfação com os
clientes e de prestação de serviços com os fornecedores dos serviços.
8. Processos de resolução: auxiliam na operação do serviço, tanto no rápido
reestabelecimento do serviço como na prevenção de interrupção dos serviços.
9. Processos de controle: apoio para a estabilidade do ambiente para o
fornecimento do serviço.
A norma ISO/IEC 20000 e o ciclo PDCA – Melhoria Contínua
O Ciclo de Deming, ou também conhecido pelo ciclo PDCA, ou em português PEVA,

foi criado por William Edwards Deming com o objetivo de aprimorar a qualidade,
produtividade e competitividade. Ele é aplicado a diversas normas, como por exemplo: ISO
9001, ISO 27001, ISO 20000.
É utilizado para aplicar a melhoria contínua de processos e serviços. Tendo em vista

este propósito ele é segmentado em 4 partes: Plan (Planejar), Do (Executar), Check
(Verificar), Act (Agir). Segue abaixo as descrições de cada fase:
19
Figura 5: Ciclo PDCA
a) PLANEJAR (Plan):
Estabelecer, documentar e acordar um SGS incluindo políticas, objetivos, planos e
processos necessários para desenhar e entregar serviços alinhados às necessidades
de negócio, requisitos de cliente e políticas do provedor de serviço.
É nesta fase que deve-se determinar o que fazer para que o processo possa ter
sucesso.
b) EXECUTAR (Do):
Implementar e operar o SGS para o desenho, transição, entrega e melhoria dos
serviços, ou seja executar as atividades necessárias para que o processo aconteça.
c) VERIFICAR (Check):
Monitorar, medir e revisar o SGS e serviços contra planos, políticas, objetivos e
requisitos e na sequência reportar os resultados. É neste passo que vai ser
observado se o processo obteve ou não o resultado esperado.
d) AGIR (Act):
Tomar ações para melhorar continuamente o SGS, incluindo os processos de
gerenciamento e serviços. Nesta fase do ciclo, vão ser tomadas medidas corretivas
ou de melhoria sobre o processo.
Introdução ao gerenciamento de serviços de TI
Figura 6: Cadeia de gerenciamento de serviços
20
Conceitos de gerenciamento de serviços
a) Cliente: é uma organização ou parte de uma organização que recebe um serviço

ou serviços, é o responsável pela avaliação do serviço pelo qual contratou. Ele pode
ser internos ou externos:
 Interno: áreas ou departamentos da mesma organização;

 Externo: trabalha para um negócio diferente daquele relacionado ao provedor
de serviço de TI
b) Usuário: pessoa que usa o serviço de TI no dia-a-dia. Usuários são diferentes de

clientes, já que apenas utilizam os serviços, mas não o contratam e nem o
dimensionam.
c) Provedor de Serviço: é uma organização ou parte de uma organização que

gerencia e entrega um serviço ou serviços para o cliente.
i. Parte interessada / Stackeholders: É uma pessoa ou grupo

que possui interesse específico no desempenho ou no sucesso
da atividade ou atividades do provedor de serviço.
ii. Usuários: Usam os serviços de TI.
iii. Funções, equipes ou grupos de TI: Entregam os serviços de
TI.
iv. Clientes: Compram e consomem os serviços de TI.
v. Fornecedores: Fornecem bens ou serviços que são necessários
para entregar o serviço de TI.
d) Serviço: É um meio de fornecer valor para o cliente, facilitando os

resultados que o cliente quer atingir.
O Serviço facilita os resultados através do aumento da performance e redução do
efeito das restrições.
21
Figura 7: Exemplo de prestação de serviço - UBER
e) Serviço de TI: É um serviço fornecido por um provedor de serviço de TI.

É composto de uma combinação de tecnologia, pessoas e processos.
Figura 8: Serviço de TI
Veja abaixo um exemplo das variáveis envolvidas na entrega de alguns serviços:
Serviço de TI Tecnologias
E-mail Outlook; Hardware, Software, Servidores, etc
Banda de dados, roteador, etc.
22
Wifi
CRM Banco de dados, Hardware, Software, etc.
f) Composição técnica para serviços de TI: sistema de informação entregue ao

cliente de acordo com a qualidade acordada. São 3 elementos:
O serviço de TI é mais que uma tecnológica ou um aplicativo, é necessário um
conjunto de elemento para que o mesmo seja entregue.
Sistema de Especificações de
Suporte
Informação qualidade
Disponibilidade
Capacidade
Pessoas
Mudanças, Desempenho
Processos
restauração (falha) Segurança
Tecnologia
Manutenção Escalabilidade
Parceiros
Adaptabilidade
Portabilidade
23
g) Qualidade de serviço: é o “grau no qual um conjunto de características
inerentes cumpre os requisitos” (ISO 9000:2005).
Um termo subjetivo para o qual cada pessoa ou setor tem a sua própria definição.
Dentre atributos de qualidade para os serviços de TI, pode-se citar:
 Disponibilidade do sistema de informação (SI);

 Capacidade;
 Continuidade;
 Desempenho;
 Segurança;
 Confidencialidade;
 Escalabilidade;
 Adaptabilidade;
 Portabilidade;
h) Valor do serviço
O valor do serviço advém do que ele possibilita ao cliente. Assim algumas das
principais características do valor do serviço são:
 O cliente define o valor do serviço;
 O cliente escolhe o serviço que represente a melhor opção funcional para
atender suas necessidades, e ao preço que está disposto a pagar;
 A percepção de valor e as necessidades do cliente muda ao longo do
tempo;
Segundo a ITIL, o valor do serviço é a composição de dois elementos: a Utilidade e

garantia.
Figura 9: Valor do serviço
24
i. Utilidade
É o objetivo do serviço, qual a funcionalidade que ele busca alcançar. São os

benefícios que serão implementados ao obter o serviço, como a remoção ou
redução das restrições, ou ainda o aumento no desempenho das tarefas para os
processos de negócio.
ii. Garantia
É o meio pelo qual a utilidade se mantém disponível e deve assegurar que o
serviço irá atender os requisitos acordados, podendo ser formalizado, por exemplo
em um ANS ou contrato.
As variáveis de garantia, segundo a ITIL que devem ser contempladas são:

capacidade, continuidade, disponibilidade e segurança.
As características do valor são:
 O valor é definido pelos clientes;

 Mix acessível de recursos;
 Obtenção dos objetivos;
 Alterações de valor ao longo do tempo e circunstâncias.
i) Criação de valor através de serviços

O valor de um serviço pode ser considerado o nível que um serviço atende as
expectativas do cliente e o nível que este serviço habilita o processo de negócio
envolvido do cliente.
Quem define e percebe o valor é o cliente e não o provedor de serviços por intermédio
dos resultados de negócios, das preferências e das percepções do serviço entregue ao
cliente.
25
Figura 10: Criação de valor através de serviços
i. Percepção de valor
O provedor de serviços pode influenciar a percepção do cliente a partir de um
valor de referência baseado no que o cliente conhece do serviço. A sua
experiência atual ou anterior com o serviço ou similar.
É sobre este valor de referência que o cliente irá avaliar se a percepção sobre o
resultado apresentado da entrega do serviço é positiva ou negativa.
 Diferença positiva: são os benefícios percebidos, ou seja a garantia e o

valor adicional que o provedor é capaz de entregar;
26
 Diferença negativa: percepção do que o cliente perde no serviço.
ii. Preferências
As preferências do cliente são influenciadas por suas percepções que formam
um filtro de qualidade e viabilidade na contratação do serviço.
Se baseiam em atributos do serviço. Ex: benchmarking, experiências atuais ou

anteriores com atributos semelhantes, expectativas do cliente, posicionamento
de concorrentes, etc.
Este item pode ser influenciado pelo provedor de serviço.
iii. Resultados de Negócio
Facilitar a realização das tarefas dos processos de negócio a atingir os seus

resultados de negócio. Este resultado é avaliado por quem o recebe e o utiliza.
j) Gestão da Qualidade
São atividades coordenadas para dirigir e controlar uma organização no que diz
respeito à qualidade [ISO 9000:2005].
A organização garante que seus produtos ou serviços satisfazem os requisitos de

qualidade do cliente e que estão em conformidade com qualquer regulamentação
aplicável a esses produtos serviços.
Figura 11: Gestão da Qualidade
3.4.
Princípios da gestão da Qualidade
A norma ISO/IEC 20000 é baseada nos 8 princípios da gestão da qualidade, conforme

definidos na ISO 9000. São eles:
27
Figura 12: Princípios da Qualidade
 Foco no cliente
Entender as necessidades atuais e futuras do cliente, atender aos requisitos do
cliente e exceder as expectativas do cliente.
O planejamento para serviços novos ou alterados deve ser acordado com o
cliente.
 Liderança
A alta direção deve fornecer evidência do seu comprometimento com
planejamento, estabelecimento, implementação, operação, monitoração, revisão,
manutenção e melhoria no SGS e nos serviços.
A alta direção deve criar e manter um ambiente interno no qual as pessoas
possam vir e estar totalmente envolvidas na consecução dos objetivos da
organização.
 Envolvimento das pessoas
A equipe que executa o trabalho deve ser competente, tendo educação,
treinamento, habilidade e experiências adequados.
A equipe de TI precisa ter um entendimento da importância da sua contribuição
e do seu papel para o alcance dos objetivos do gerenciamento de serviços.
 Relações de benefícios mútuos com fornecedores
A organização e seus fornecedores são interdependentes. As relações
mutuamente benéficas melhoram a habilidade de ambos para a criação de valor.
O provedor de serviços deve estabelecer e acordar níveis de serviços com
fornecedores.
 Abordagem por processo
28
Quando as atividades e recursos associados estão sendo gerenciados como um
processo, o resultado desejado pode ser alcançado de forma mais eficiente.
 Abordagem sistêmica de gerenciamento
Visa identificar, compreender e gerenciar os relacionamentos entre processos, e
gerenciá-los como um sistema.
 Abordagem factual para a tomada de decisão
O provedor de serviço deve tomar decisões e ações com base nas
constatações/fatos a partir de relatórios de serviço.
 Melhoria contínua
Um sistema de gestão de serviço requer melhoria contínua, de forma a aumentar
o desempenho da organização e a satisfação do cliente.
3.5.
Sistema de Gestão da Qualidade
É uma estrutura de políticas, processos, procedimentos, orientações e recursos

associados para alcançar os objetivos de uma organização.
O objetivo principal da organização é atender aos requisitos dos clientes. Ao estabelecer

um sistema de gestão de qualidade a organização precisa considerar alguns passos essenciais:
29
3.6.
Gerenciamento de serviços de TI
Conjunto de capacidades e processos para dirigir e controlar as atividades e recursos do

provedor de serviços para desenho, transição, entrega e melhoria de serviços para atingir os
requisitos do serviço [ISO/IEC 20000-1].
a) É a implementação e o gerenciamento da qualidade dos serviços de TI de

forma a atender às necessidades de negócio.
b) É realizado pelo provedor de serviço de TI por meio de combinação adequada
de pessoas, processos e tecnologia da informação.
30
c) O coração do gerenciamento de serviço de TI é utilizar os recursos de forma
eficaz e eficiente explorando as habilidades existentes de forma a gerar valor
aos clientes em forma de serviço.
i. Eficaz: que produz o efeito esperado, ou seja, fazer as coisas certas.
ii. Eficiente: refere-se à relação entre os resultados obtidos e os recursos
empregados, ou seja, fazer certo as coisas realizar as operações com menos
recursos – menos tempo, menor orçamento, menos pessoas, menos matéria-
prima.
3.7.
Benefícios do gerenciamento de serviços de TI
O GSTI fornece os critérios de qualidade para serviços de ponta a ponta com foco no
cliente:
a) Melhora a eficiência e eficácia dos fluxos de trabalho;

b) Redução de falhas nos serviços;
c) Melhora o gerenciamento de riscos;
d) Saídas mais compreensíveis e previsíveis.
3.8. Processo
É um conjunto de atividades inter-relacionadas ou interativas que transformam insumos

(entradas) em produtos (saídas) [ISO 9000].
31
Figura 13: Estrutura de processo
É uma sequência de atividades que utilizam recursos (pessoal, tecnologia, informações

etc.) para transformar as entradas em saídas (produtos), com o objetivo de gerar valor para o
cliente.
3.9. Elementos do processo:
a) Gatilhos: eventos que dão início ao processo;

b) Entradas: insumos do processo;
c) Atividades: ações realizadas dentro do processo;
d) Procedimentos: orientações para executar as atividades;
e) Recursos: o que é necessário para realizar as atividades.
f) Papéis: perfil/pessoa que executa as atividades do processo
g) Saídas: o que é gerado pelo processo
h) Métricas: medir o desempenho do processo
i) Dono do processo: principal responsável pelo processo
j) Políticas: orientações gerais para o processo
32
3.10. Características essenciais do processo (para a ITIL):
a) Geram resultados específicos: O processo existe para entregar um

resultado específico, identificável e mensurável
b) São orientados a clientes: Cada processo entrega seus resultados primários
para um cliente ou parte interessada
c) São mensuráveis: É necessário medir o processo de forma adequada, para
avaliar seu desempenho. Pode ser medido custo, qualidade, duração,
produtividade, etc.
d) Responde a gatilhos/eventos específicos: Como um processo é iniciado?
Figura 14: Processo horizontal
e) Normalmente cruzam os diversos departamentos existentes dentro do

provedor de serviços para que seus objetivos/resultados possam ser
alcançados.
f) Eles não dependem da estrutura hierárquica da organização.
g) As atividades são realizadas por papéis que podem ser assumidos por
pessoas ou grupos independentes do departamento alocado.
33
3.11. Eficiência x Eficácia do processo
O processo precisa ser medido para identificar seu desempenho e promover a melhoria
necessária, através do processo de melhoria contínua
a) O que pode ser medido?
i. Duração;
ii. Custo
iii. Qualidade;
iv. Satisfação, etc.
b) Eficácia: é a “extensão na qual as atividades planejadas são realizadas e os

resultados planejados são alcançados [ISO 9000].”
O processo é eficaz quando alcança os objetivos ou resultados pretendidos.
c) Eficiência: “Relação entre o resultado alcançado e os recursos usados [ISO 9000].”

O processo é eficiente quando as atividades são realizadas com mínimo de recursos
(pessoas, equipamentos, tempo, etc.) de forma a alcançar um objetivo.
3.12. TI orientada a processos
a) Os processos devem fornecer resultados previsíveis, por isso precisam ser:

i. Mensuráveis;
ii. Repetíveis.
3.13. Papéis e responsabilidades no gerenciamento de serviços de TI
Papéis são um conjunto de responsabilidades, atividades e autoridades concedidas a

uma pessoa ou equipe. A atribuição de papéis às pessoas é feita de forma flexível e depende
das características de uma organização, seu tamanho, estrutura organizacional, regras, etc.
Para um processo deve existir apenas um único dono de processo.
Papel Descrição Principais responsabilidades

Dono do processo  Assegura que o processo é  Patrocina o processo
executado obedecendo aos  Define a estratégia do processo
padrões acordados e  Define políticas e padrões
documentados, e atendendo  Auxilia no desenho do processo
aos objetivos definidos;  Assegura que a documentação está
 Pode ser exercido pelo disponível e atualizada
Gerente de Processo.  Assegura que o pessoal está capacitado
para seus papéis
 Audita o processo
 Comunica informações e/ou alterações
 Fornece recursos para suportar o
processo
34
 Gerencia melhorias no processo
Gerente de processo  Responsável pelo  Apoia o dono do processo para planejar
gerenciamento operacional do e coordenar as atividades
processo;  Assegura que as atividades são
 Pode ser exercido pelo Dono executadas como definidas
do processo.  Gerencia recursos atribuídos ao
processo
 Designa pessoas para os papéis
 Apoia os donos de serviços e gerentes
de processo para assegurar o
fornecimento ininterrupto dos serviços
 Monitora o desempenho do processo
 Identifica oportunidades de melhoria
Profissional do  Realiza uma ou mais  Realiza atividades do processo
processo atividades do processo.  Assegura que as entradas, saídas e
interfaces paras suas atividades estão
corretas
 Cria e atualiza o registro de execução de
suas atividades
3.14. Uso de ferramentas de gerenciamento de serviços:
O uso de ferramentas de gerenciamento de serviços pode ajudar na implantação dos

processos e o uso da tecnologia para suportar os processos pode aumentar a eficiência dos
mesmos.
a) Razões para usar ferramentas:

i. Reduzir os custos por meio da melhoria da eficiência e da eficácia dos processos;
ii. Fornece evidências para a certificação ISO/IEC 20000.
b) Riscos a serem considerados:

i. Primeiro é necessário desenhar o processo depois implementá-lo;
ii. As ferramentas implementam e suportam os processos definidos, não os processos
que devem ser adequados a ferramenta;
iii. Os processos ruins com ferramenta boa continuam a ser processos ruins.
3.15. Frameworks de qualidade
Dentre os diversos frameworks disponíveis no mercado, o provedor de serviço pode

escolher o de gerenciamento de serviços ou a melhor combinação para apoiar a implantação
dos processos da ISO/IEC 20000.
Dentre estes frameworks, pode-se identificar:
35
Figura 15: Frameworks de Qualidade
a) Família ISO 9000

Aborda um conjunto de normas de qualidade que podem ser aplicadas a qualquer
organização ou atividade que produza bens ou serviços.
a) ISO 9000: Fornece fundamentos e vocabulários
b) ISO 9004: Fornece orientações para a melhoria
c) ISO 9001: Fornece requisitos do sistema de gestão da qualidade – SGQ
b) Família ISO/IEC 27000

Apoia a organização a reduzir a exposição aos riscos relacionados à segurança da
informação por meio de um sistema de gestão de segurança da informação (SGSI).
a) ISO 27000: Fornece fundamentos e vocabulários
b) ISO 27001: Requisitos para o SGSI
c) ISO 27002: Código de prática
d) ISO 27003: Diretrizes para implantação do SGSI
e) ISO 27004: Métricas e medições
f) ISO 27005: Gerenciamento de riscos
g) ISO 27006: Guia de apoio para as certificadoras
h) ISO 27007: Guia para conduzir auditorias
c) ITIL
É um conjunto de melhores práticas para implementação do gerenciamento de
serviços de TI (GSTI).
Para uma melhor compreensão dos requisitos da norma ISSO/IEC 20000-1, segue
abaixo uma planilha comparativa entre os requisitos desta norma com os processos
sugeridos pelo framework ITIL.
Comparação Processos ISO 20000 X ITIL

Processos da
Ciclo de vida Processos ITIL Requisitos da Norma
norma
36
4.1 Responsabilidade da direção
4.4 Gerenciamento de Recursos
G.Estratégico para 4 - Requisitos gerais
serviços de TI 4.3 G. de documentação para SGS
4.5 Estabelecimento e melhoria
do SGS
G. de Relacionamento de 7 Processos de
Negócio 7.1 G. de relações de negócio relacionamento
4 - Requisitos gerais
Estratégia 4.4 Gerenciamento de Recursos para SGS
G. Financeiro
6.4 Orçamento e contabilização 6 - Fornecimento
para serviços para serviços
5 Desenho e
transição de serviços
5 Desenho e transição de novos ou
G. Portfólio de serviços serviços novos ou modificados modificados
4 - Requisitos gerais
G. Demanda 4.4 Gerenciamento de Recursos para SGS
5 Desenho e
5 Desenho e transição de novos ou
Coordenação de desenho serviços novos ou modificados modificados
6.1 Gerenciamento de Nível de
G. Catálogo de Serviço serviço
6.1 Gerenciamento de Nível de
G. Nível de Serviço serviço
G.da capacidade 6.5 G.da capacidade
6.3 G. Continuidade e
G.Disponibilidade disponibilidade de Serviço
Desenho G. Continuidade de 6.3 G. Continuidade e 6 - Fornecimento
Serviço disponibilidade de Serviço para serviços
6.6 G. da Segurança da
Informação -
6.6.1 Política de Segurança da
G. da Segurança da Informação
Informação 6.6 G. da Segurança da
Informação -
6.6.3 Mudanças e Incidentes da
segurança da Informação
7 Processos de
G. Fornecedor 7.2 G. Fornecedor relacionamento
Planejamento e Suporte
de Transição
5 Desenho e
G. da Mudança 5.4 Transição de serviços novos novos ou
ou modificados modificados
Transição
9.2 G. da Mudança
G. da Configuração & 9 Processos de
Ativo de Serviço 9.1 G. da Configuração controle
G. de Liberação e 9.3 G. de Liberação e
Implantação Implantação
37
Validação e teste de
Serviço
Avaliação de mudança
8.1 G. de Incidentes e
G. de Conhecimento Requisições de Serviço
8 Processos de
8.2 G. Problema resolução
G. Incidente 8.1 G. de Incidentes e
Requisições de Serviço
G. Evento
Cumprimento de 8.1 G. de Incidentes e
requisição Requisições de Serviço 8 Processos de
Operação resolução
G. Problema 8.2 G. Problema
6.6 G. da Segurança da
Informação -
6.6.2 Controles de segurança da 6 - Fornecimento
G. Acesso informação para serviços
4.5 Estabelecimento e melhoria
Melhoria de 7 etapas
do SGS 4 - Requisitos gerais
4.2 Governança de processos para SGS
Melhoria operados po outras partes
Relatos de serviço
Continuada 6.2 Relatos de Serviço 6 - Fornecimento
para serviços
Medição de serviço 4.5.5 Manter e melhorar o SGS 4 - Requisitos gerais
para SGS
Como pode ser observado, alguns processos da ISO/IEC são explícitos e parecidos com
os da ITIL, outros absorvem processos, e finalmente existem aqueles listados como a fonte
vermelha, que não são contemplados, apenas subtendidos.
Para um melhor entendimento, segue abaixo a relação dos processos da ISO/IEC 20000
com a ITIL:
ITIL ISO/IEC 20000

 26 processos e 4 funções  13 processos: Processos considerados
 Recomendações para implementação dos essenciais para o SGS
processos  Considera as mais recentes metodologias e
 Apoia na avaliação do desempenho frameworks
 Conjunto de boas práticas  Pode ser usada como base para certificação de
organizações
 Norma (prescritiva – diz o que deve ser
satisfeito)
d) COBIT (Control Objectives for Information and related Technology)

Fornece práticas de governança e gerenciamento de TI e um conjunto de recursos
que podem ser utilizados na implementação e melhoria de processos requeridos
pela ISO/IEC 20000, como práticas de gestão, matriz de atribuição de
responsabilidades (RACI), métricas de desempenho e modelo de maturidade.
e) CMMI (Capability Maturity Model Integration)
38
Fornece um conjunto de práticas voltadas para as áreas de desenvolvimento de
software, serviços e aquisição.
f) Six Sigma
É um conjunto de práticas para melhorar sistematicamente os processos ao eliminar
defeitos. Usa ferramentas para medições estatísticas e de qualidade para ajudar a
reduzir de forma contínua a variação nos processos, eliminando defeitos ou falhas
nos produtos e serviços.
g) TMap NEXT
É um método para testes estruturados que pode ser aplicado em produtos e serviços.
h) MOF (Microsoft Operations Framework)
É um framework desenvolvido pela empresa Microsoft, baseado na ITIL, cujo

objetivo é ajudar os profissionais de TI a melhorar a qualidade dos serviços e
reduzir custos, gerenciar riscos e atender a requisitos regulatórios.
Abrange atividades e processos envolvidos na gestão de um serviço de TI:
concepção, desenvolvimento, operação, manutenção e a retirada de serviços
obsoletos.
1. Requisitos Gerais para o SGS
Figura 16: Estrutura norma ISO 20000 - 4
É um sistema de gestão para dirigir e controlar as atividades de gerenciamento de

serviços do provedor de serviço [ISO/IEC 20000-1].
39
Figura 17:15Sistema de gestão da qualidade ISO 9000 para o SGS da ISO/IEC 20000
O SGS representa uma estrutura que contém os elementos de gestão e requisitos

necessários para entregar serviços.
O item 4 da norma serve de base para implantar a estrutura do Sistema de Gestão. Os

requisitos deste item da norma estão relacionados abaixo: os seus tópicos pode-se citar:
1.1. R
esponsabilidade da direção
A Alta direção é pessoa ou grupo de pessoas que dirige e controla o provedor de serviço
no mais alto nível [ISO/IEC 20000-1].
A alta direção deve evidenciar o cumprimento de que atende:
1.1.1. Compromisso da direção:
a) Políticas, escopo e objetivos;

b) Comunicação dos requisitos;
c) Recursos;
d) Análises críticas sobre o sistema;
e) Tratamento de riscos
40
1.1.2. Políticas de gerenciamento de serviços;
A alta direção deve assegurar que a política de gerenciamento de serviços:
a) Seja apropriada ao propósito do provedor de serviço;

b) Inclua um compromisso de cumprir os requisitos de serviço
c) Inclua um compromisso de melhorar continuamente a eficácia do
SGS e os serviços por meio da política de melhoria contínua
descritas nos requisitos [4.5] Estabelecimento e melhorias;
d) Forneça uma estrutura para estabelecer e analisar criticamente os
objetivos do gerenciamento de serviços
e) Seja comunicada e entendida pelo pessoal do provedor de serviço
f) Seja analisada criticamente para manutenção de sua adequação
1.1.3. Autoridade, responsabilidade e comunicação;
A alta direção deve assegurar que:
a) As autoridades e responsabilidades do gerenciamento de serviços

sejam definidas e mantidas;
b) Procedimentos documentados para comunicação sejam
estabelecidos e implementados.
1.1.4. Representante da direção;
A alta direção deve designar um membro de sua gestão que tenha autoridade e
responsabilidade para:
a) Garantir que atividades sejam realizadas para identificar,

documentar e cumprir os requisitos de serviço;
b) Atribuir autoridades e responsabilidades para assegurar que os
processos de gerenciamento de serviços sejam projetados,
implementados e melhorados de acordo com a política e os
objetivos do gerenciamento de serviços;
c) Garantir que os processos de gerenciamento de serviços sejam
integrados com os outros componentes do SGS;
41
d) Garantir que os ativos, incluindo licenças, utilizados para entregar
os serviços sejam gerenciados de acordo com as exigências legais
e regulamentares e as obrigações contratuais;
e) Relatar à alta direção o desempenho e as oportunidades de
melhoria do SGS e dos serviços.
1.2. G
overnança de processos operados por outras partes
O provedor de serviços deve identificar os processos que são operados por terceiros
(unidade interna, cliente ou fornecedor) e demonstre ter governança sobre eles.
[ISO/IEC 20000-1 - Requisitos]
O provedor de serviço deve demonstrar a governança dos processos operados por outras
partes ao:
a) Demonstrar responsabilidade pelos processos e autoridade para

exigir aderência aos processos;
b) Controlar a definição dos processos e as interfaces com outros
processos;
c) Determinar o desempenho do processo e a conformidade com os
requisitos do processo;
d) Controlar o planejamento e a priorização das melhorias no
processo.
[ISO/IEC 20000-2 – Recomendações]

a) Convém que o provedor de serviço seja capaz de identificar todos
os processos de gerenciamento de serviço ou partes de processos
que são operados por outras partes.
1.3. G
erenciamento de documentação
Para maior compreensão deste item é necessário contextualizar e diferenciar o que é

considerado um documento e registro:
42
a) Documento
Documentos no caso da norma são aqueles que são apoio para
execução do SGS e de processos tendo a sua criação, publicação e
revisões aprovadas. Geralmente são procedimentos, políticas,
instruções de trabalho, etc...
b) Registro
Documento que apresenta resultados obtidos ou fornece evidências
de atividades realizadas [ISO/IEC 20000-1].
Os registros fornecem evidências de que o provedor de serviços
está realmente fazendo o que deve ser feito. O cumprimento de
requisitos pode ser alcançado por meio das evidências geradas
pelo provedor de serviço. Essas evidências serão observadas pela
auditoria.
A norma cobra que a organização mantenha um controle de todos os documentos e

registro que estão envolvidos no SGS. Para controlar este tópico, seguem abaixo as
exigências.
1.3.1. Estabelecer e manter documentos
O provedor de serviço deve estabelecer e manter os documentos, incluindo seus

registros, para garantir o eficaz planejamento, operação e controle do SGS, incluindo:
a) Política e objetivos para o gerenciamento de serviço;

b) Planos de gerenciamento de serviço;
c) Políticas e planos criados para processos específicos;
d) Catálogo de serviços;
e) Acordos de nível de serviços;
f) Processos de gerenciamento de serviços;
g) Procedimentos e registros;
h) Documentos adicionais.
1.3.2. Controle de documentos
Os procedimentos e responsabilidades devem ser estabelecidos para a criação, análise

crítica, aprovação, manutenção, descarte e controle dos vários tipos de documentos e
registros.
43
1.3.3. Controle de registros
Um procedimento documentado deve ser estabelecido para definir os controles

necessários para a identificação, armazenamento, proteção, recuperação, retenção e
eliminação de registros. Os registros devem ser legíveis, prontamente identificáveis e
recuperáveis.
[ISO/IEC 20000-2 - Recomendação]
Convém que:
a) Muitas das evidências do planejamento e operação do
gerenciamento de serviços estejam na forma de documentos;
b) Haja um processo para criação e gerenciamento de documentos;
c) Que a documentação seja protegida de danos.
1.4. G
erenciamento de recursos
A norma determina que recursos sejam previstos, disponibilizados e controlados para

que o serviço seja entregue dentro dos parâmetros e qualidade acordados. Para isto
estabelece os requisitos abaixo.
1.4.1. Disponibilização de recursos
O provedor de serviço determina e prover os recursos humanos, técnicos, de informação

e financeiro necessários para:
a) Estabelecer, implementar e manter o SGS e os serviços, e

continuamente melhorar sua eficácia;
b) Aumentar a satisfação do cliente, entregando serviço para cumprir
os requisitos do negócio.
1.4.2. Recursos humanos
O provedor de serviço deve:
a) Determinar as competências necessárias para a equipe;
44
b) Prover treinamento ou executar outras ações para alcançar a
competência necessária para a equipe;
c) Avaliar a eficácia das ações tomadas;
d) Garantir que sua equipe esteja consciente de como contribui para a
realização dos objetivos do gerenciamento de serviço e o
cumprimento dos requisitos do serviço;
e) Manter registros apropriados de educação, treinamento,
competências e experiência.
[ISO/IEC 20000-2 - Recomendações]
Convém:
a) Que todas as sessões de treinamento sejam revisadas quanto à sua

eficácia, e o registros dos treinamentos mantidos para cada
funcionário em relação aos treinamentos realizados, suas
habilidades e experiências;
b) Desenvolver a competência profissional, considerando:
a. Recrutamento
b. Planejamento
c. Treinamento e desenvolvimento profissional
c) Que os funcionários sejam treinados nos aspectos relevantes do
gerenciamento de serviços, e que sejam desenvolvidas habilidades
de trabalho em equipe;
d) Manter o registro cronológico dos treinamentos com o detalhe dos
treinamentos para cada membro da equipe
1.5. E
stabelecimento e melhorias
Declara os requisitos mínimos que precisam ser atendidos, se baseia no ciclo PDCA. A
figura abaixo mostra uma visão macro deste requisito que será melhor detalhado nos trechos a
seguir.
45
Figura 18: Ciclo PDCA representando o requisito 4.5 - Estabelecimento de melhorias
1.5.1. Definição de escopo
O provedor de serviço define e registra o escopo do SGS no plano de gerenciamento de

serviço, considerando a unidade organizacional e os serviços oferecidos. Considera também
outros fatores que afetem os serviços:
a) Localizações geográficas
b) Clientes e suas localizações
c) Tecnologia utilizada
O Modelo de declaração de escopo:

“Os <serviços> para <cliente> dentro dos limites <técnicos> e <organizacionais>
da <entidade legal> nas <localizações>”.
1.5.2. Planejar o SGS
O plano de gerenciamento de serviços, criado e mantido pelo provedor deve conter:
a) Objetivos do gerenciamento de serviços que devem ser alcançados

pelo provedor de serviço;
b) Requisitos do serviço;
c) Limitações conhecidas que possam impactar o SGS;
d) Políticas, padrões, requisitos estatutários e regulamentares e
obrigações contratuais;
46
e) Estrutura de autoridades e responsabilidades e papéis nos
processos;
f) Autoridades e responsabilidades pelos planos, processos e serviços
do gerenciamento de serviço;
g) Abordagem do trabalho com outras partes interessadas envolvidas
no desenho e transição de serviços novos ou alterados;
h) Abordagem para as interfaces entre os processos e sua integração
com outros componentes do SGS;
i) Abordagem para o gerenciamento de riscos e o critério de
aceitação dos riscos;
j) Tecnologia utilizada;
k) Como a eficácia do SGS e dos serviços será medida, auditada,
relatada e melhorada.
1.5.3. Implantação e operação do SGS
É a fase Executar/Do do ciclo PDCA, onde o provedor de serviço deve implementar e

operar o SGS para o desenho, transição, entrega e melhoria dos serviços, em conformidade
com o plano de gerenciamento de serviço.
Considera as atividades:
a) Alocação e gerenciamento de fundos e orçamentos;

b) Alocação de autoridades e responsabilidades e papeis dentro dos
processos;
c) Gerenciamento de recursos humanos, técnicos e de informação;
d) Identificação, avaliação e gerenciamento dos riscos dos serviços;
e) Gerenciamento dos processos de gerenciamento de serviços;
f) Monitoramento e relato sobre o desempenho das atividades de
gerenciamento de serviço.

a) Convém que o provedor de serviço implemente e opere o SGS em
alinhamento com o plano de gerenciamento de serviço;
47
b) O provedor de serviço deve estar ciente dos benefícios e garantir
que as autoridades e responsabilidades do provedor e do cliente
sejam documentadas e acordadas;
c) Habilidades diferentes são requeridas para planejamento,
implementação e operação;
1.5.4. Monitorar e analisar criticamente o SGS
É a fase Verificar/Check do ciclo PDCA, onde o provedor de serviço deve aplicar

métodos adequados para o monitoramento e a medição do SGS e dos serviços. Os métodos
incluem:
a) Auditorias internas:
a. São conduzidas em intervalos planejados para determinar se o
SGS e os serviços atendem aos requisitos da norma, aos requisitos
estabelecidos pelo provedor e se estão implementados e mantidos
de forma eficaz;
b. São conduzidas por auditores independentes;
c. Se houver, são criadas e registradas as não conformidades e
comunicadas a todas as partes interessadas.
b) Análises críticas pela direção:
a. São conduzidas em intervalos planejados pela alta direção, que
deve analisar criticamente o SGS e os serviços para garantir sua
adequação contínua e eficácia;
b. Se houver, as preocupações e ações identificadas são criadas e
registradas e comunicadas a todas as partes interessadas;
c) Os principais indicadores de desempenho (PID) consiste em:
a. Realizações em comparação com as metas definidas para o
serviço;
b. Satisfação do usuário;
c. Utilização de recursos;
d. Tendências;
e. Não conformidades maiores;
48
[ISO/IEC 20000-2 – Recomendações]
Auditorias internas:
Convém que:
a) O provedor de serviço garanta que as auditorias internas sejam

realizadas de acordo com o procedimento documentado;
b) Seja acordado um programa de auditoria interna identificando
cada serviço e quais cláusulas da ISO serão auditadas;
c) Os intervalos das auditorias internas sejam planejados levando em
consideração a frequência de alterações no SGS e serviços,
requisitos de cliente, pessoal do provedor, tecnologia usada pelo
provedor, mudanças maiores nas ferramentas de gerenciamento de
serviços;
d) As auditorias internas avaliem se o escopo do SGS ainda é válido
para a entrega de serviços acordados;
e) Não conformidades sejam analisadas para determinar quaisquer
causas-raiz, e as ações tenham prazos acordados com seus
responsáveis;
Análise crítica da direção:
a) Convém que, pelo menos seja realizada anualmente.
1.5.5. Manter e melhorar o SGS
É a fase Agir/Act do ciclo PDCA, sendo necessário estabelecer uma política e

procedimentos de apoio a melhoria
a) Deve existir uma política para a melhoria contínua do SGS e dos

serviços;
b) As oportunidades de melhorias, incluindo ações corretivas e
preventivas devem ser documentadas. E as melhorias aprovadas
devem ser planejadas;
49
c) O provedor de serviço deve gerenciar as atividades de melhorias,
incluindo minimamente:
a. A estipulação de uma ou mais metas de melhorias na qualidade,
valor, capacidade, custo, produtividade, utilização de recursos e
redução de riscos;
b. A segurança de que melhorias aprovadas sejam implementadas;
c. A revisão da política, planos, processos e procedimentos de
gerenciamento de serviços;
d. A mensuração de melhorias implementadas x as metas estipuladas
e, onde as metas não foram alcançadas, que sejam tomadas as
medidas necessárias;
e. O relato das melhorias implementadas.
Convém que a política de melhoria contínua do SGS inclua uma definição de critérios
para aceitar e priorizar oportunidades de melhoria:
a) Convém que todos os serviços entregues, processos de

gerenciamento de serviço e o SGS sejam endereçados na melhoria
contínua;
b) Convém que um procedimento documentado seja usado para
identificar as autoridades e responsabilidades para todas as
atividades de melhoria;
c) Entradas para gerenciar a melhoria continua incluem:
a. Diretivas relevantes a partir da alta direção;
b. Causas-raiz identificadas como resultados de auditorias e revisões;
c. Sugestões de clientes;
d. Registro de problemas;
e. Planos de teste;
f. Requisitos de entrega de serviço;
g. Utilização otimizada de recursos ou redução de riscos.
d) Convém que as metas de melhoria de serviços sejam mensuráveis;
50
e) Convém que as melhorias no serviço sejam gerenciadas de forma
ativa e seu progresso monitorado conforme os objetivos
acordados.
Para melhor compreensão, segue abaixo o conceito de alguns termos usados nestes
requisitos da norma:
a) Não conformidade
Não atendimento a um requisito [ISO/IEC 20000-1].
Sempre que um requisito não seja atendido, ou um processo não
estiver sendo seguido, uma não conformidade deve ser criada.
Figura 19: Não conformidade
b) Ação corretiva
Ação para eliminar a causa ou reduzir a probabilidade de
recorrência de uma não conformidade identificada [ISO/IEC
20000-1].
c) Ação preventiva
Ação para evitar ou eliminar as causas ou reduzir a probabilidade
de ocorrência de um potencial não conformidade [ISO/IEC 20000-
1].
51
2. Desenho e transição de serviços
Objetivo
O objetivo deste requisito é garantir que serviços novos ou mudanças de serviço possam
ser entregues dentro do custo e qualidade acordados.
Conceitos:
a) Desenho
Uma atividade ou processo que identifica requisitos e então define uma solução que é
capaz de atender a esses requisitos.
52
Figura 20: Identificação de requisito e construção de solução
Para ter uma solução que atenda aos requisitos estipulados é necessário que se
estabeleça padrões para realmente identificar os requisitos corretos e construir a solução
adequada. A figura acima ilustra a dificuldade de desenvolver uma solução sem técnicas e
padrões estabelecidos.
b) Desenvolvimento
Processo responsável pela criação ou modificação de um serviço de TI ou aplicativo

pronto para liberação e implantação subsequentes.
Os processos de desenvolvimentos podem ser estabelecidos por outros frameworks

como o CMMI, MPS.BR, outros.
c) Transição
Atividades envolvidas em mover um serviço novo ou alterado para ou a partir de um

ambiente de produção [ISO/IEC 20000-1].
2.1. R
equisitos gerais:
53
O provedor de serviço deve:
a) Usar este processo para todos os serviços e mudanças em serviços

com grande impacto potencial;
b) Tomar as ações necessárias para garantir que o desenvolvimento e
a transição de serviços novos ou modificados sejam eficazes;
c) Revisar as saídas das atividades de planejamento e desenho de
acordo com os requisitos de serviço acordados. Essas atividades
estão distribuídas nas fases:
a. Planejamento de serviços novos ou modificados;
b. Desenho e desenvolvimento de serviços novos ou modificados;
c. Transição de serviços novos ou modificados.
2.2. Pl
anejar serviços novos ou modificados
O provedor de serviço deve identificar os requisitos de serviço
a) Os serviços devem ser planejados para atender aos requisitos de

serviço e acordados com o cliente e partes interessadas;
b) O provedor de serviço deve considerar os potenciais impactos
financeiros, organizacionais, técnicos e no SGS;
c) Planejar a remoção de produção dos serviços obsoletos;
d) O planejamento deve conter:
a. Autoridades e responsabilidades;
b. Atividades a serem executadas pelo provedor ou outras partes;
c. Comunicação com as partes interessadas;
d. Recursos humanos, técnicos e financeiros;
e. Planejamento do tempo para as atividades;
f. Identificação, avaliação e gerenciamento de risco;
g. Dependências de outros serviços;
h. Testes necessários para os serviços;
54
i. Critérios de aceitação do serviço;
j. Resultados esperados.
2.3. D
esenho e desenvolvimento de serviços novos ou modificados
Os serviços devem ser desenhados e documentados incluindo:
a) Autoridades e responsabilidades para a entrega

b) Atividades a serem executadas pelo provedor, cliente, usuários e
outras partes interessadas
c) Requisitos de recursos humanos;
d) Requisitos de recursos financeiros;
e) Tecnologia para suportar o serviço;
f) Planos e políticas;
g) Contratos e outros acordos;
h) Mudanças no SGS;
i) Acordo de nível de serviço;
j) Atualizações do catálogo de serviço;
k) Procedimentos, medidas e informação a ser utilizada na entrega
dos serviços.
2.4. T
ransição de serviços novos ou modificados

a) O serviço desenhado e desenvolvido é testado e implantado;
b) O serviço deve ser testado para verificar o seu cumprimento com
os requisitos de serviço e com o desenho documentado;
c) Se os critérios de aceitação não forem atendidos, o provedor e
partes interessadas devem tomar uma decisão sobre as ações
necessárias e a implantação;
55
d) Para entrada do serviço em produção deve ser utilizado o processo
de liberação e implantação;
e) O provedor relata às partes interessadas os resultados alcançados
em relação aos resultados esperados;
Segue abaixo um resumo ilustrativo das principais atividades a serem cumpridas no requisito
5:
Figura 21: Resumo do requisito 5 - Desenho e transição de serviços novos ou modificados
56
3. Processos de fornecimento de serviços
Figura 22: Estrutura da norma ISO 20000 - Processos de fornecimento de serviço
Objetivo
Gerenciar planejamento de serviço de longo prazo e gerenciamento de requisitos de
entrega.
Processos
a) Gerenciamento de nível de serviço – GNS

b) Gestão de segurança da informação
c) Gerenciamento de continuidade e disponibilidade de serviço
d) Gerenciamento de capacidade
e) Relatos de serviço
f) Orçamento e contabilização para serviços
57
3.1.
Gerenciamento de nível de serviço
Objetivo
O objetivo deste processo é definir, acordar, registrar e gerenciar níveis de serviço.
Ele é responsável por garantir que as metas de serviço acordadas com o cliente sejam
documentadas e atendidas pelos serviços.
A ISO/IEC 20000 requer que o provedor de serviço possua um catálogo de serviço e

acordos de níveis de serviço para os serviços que estão no escopo da certificação.
A ISO/IEC 20000 não conceitua Acordo de Nível Operacional, conhecido na ITIL, faz
referência a acordos documentados com grupos internos que fornecem suporta para os
componentes de serviço.
Seguem abaixo alguns conceitos a serem utilizados neste processo:
a) Acordo de Nível de Serviço – ANS

Acordo documentado entre o provedor de serviço e o cliente, que identifica
serviços e metas de serviço [ISO/IEC 20000-1].
 Pode ser estabelecido entre um provedor e um fornecedor, um grupo
interno ou um cliente atuando como fornecedor.
 Pode ser incluído em um contrato ou em outro tipo de acordo
documentado.
b) Nível de serviço
Qualidade aceitável do nível de serviço.
c) Requisitos de nível de serviço – RNS
Um requisito do cliente para um aspecto de um serviço de TI. Os requisitos de
nível de serviço são baseados em objetivos de negócio e usados para negociar
metas de nível de serviço.
d) Meta de nível de serviço
Um compromisso que é documentado em um ANS. As metas de nível de
serviço são baseadas nos RNS e são necessárias para garantir que o serviço de
TI atenda aos objetivos de negócio.
58
e) Catálogo de serviço
Documento estruturado com informações sobre os serviços fornecidos aos
clientes. O ANS pode fazer referência ao catálogo de serviço.
Principais atividades
Figura 23: Gerenciamento nível de serviços
[ISO/IEC 20000-1 - Requisitos] – Requisitos Mínimos

a) O provedor de serviço e o cliente devem acordar os serviços a serem
fornecidos;
b) O catálogo de serviço, acordado entre provedor e cliente, deve incluir as
interdependências entre os serviços e os componentes;
c) Um ou mais ANS acordados com o cliente para cada serviço;
d) Os ANS devem incluir metas de serviço, características de carga de trabalho e
exceções;
e) Em intervalos planejados, o provedor deve analisar criticamente com o cliente
os serviços e os ANS;
f) O processo de mudança deve controlar as mudanças nos requisitos de serviço,
catálogo e outros acordos documentados;
g) Em intervalos planejados, o provedor deve monitorar as tendências e o
desempenho do serviço em relação às metas de serviço. Os resultados devem
59
ser registrados e analisados criticamente para identificar as causas das não
conformidades e as oportunidades de melhoria;
h) Para os componentes de serviços fornecidos por um grupo interno ou pelo
cliente, o provedor de serviço deve desenvolver, acordar, analisar criticamente e
manter um acordo documentado para definir as atividades e as interfaces entre
as duas partes;
i) Em intervalos planejados, o provedor deve monitorar o desempenho do grupo
interno ou do cliente em relação às metas de serviço acordadas e outros
compromissos assumidos. Os resultados devem ser registrados e analisados
criticamente para identificar as causas das não conformidades e as
oportunidades de melhoria.
[ISO/IEC 20000-2 - Recomendações] – Práticas recomendadas
a) Catálogo de serviço
a. O catálogo é usado para dar suporte à venda e a entrega de serviços de TI.
b. Estabelece expectativas de clientes
b) Convém que:
a. Seja de fácil acesso e amplamente disponível para o cliente e para as equipes de
suporte;
b. Um catálogo de serviço defina todos os serviços;
c. Seja mantido e atualizado permanentemente.
c) O catálogo pode incluir informações genéricas como:
a. O nome do serviço;
b. Tempo;
c. Pontos de contato;
d. Horário de serviço e exceções;
e. Providências de segurança;
f. Regras de uso e de instalação;
g. Acordo de nível de serviço.
d) Convém que:
a. Um serviço seja formalmente documentado em um Acordo de Nível de Serviço
– ANS;
60
b. O ANS seja formalmente autorizado por representantes executivos do cliente e
do provedor;
c. O ANS seja sujeito ao processo de gerenciamento de mudanças;
d. As necessidades e o orçamento da organização sejam a base para a definição do
conteúdo, estrutura e metas do ANS;
e. O ANS deve focalizar a atenção nos aspectos mais importantes do serviço,
incluindo apenas um subconjunto das metas.
e) O ANS pode incluir:
a. Descrição breve do serviço;
b. Período de validade e/ou mecanismos de controle de mudanças do ANS;
c. Detalhes da autorização;
d. Descrição breve das comunicações;
e. Detalhes do contato das pessoas autorizadas a agir em emergências, participar
na correção, recuperação ou solução temporária de incidentes e correções de
problemas;
f. Horário de trabalho, com exceções no calendário, períodos críticos da
organização e cobertura em horário extraordinário;
g. Interrupções programadas e acordadas, incluindo a notificação a ser dada,
quantidade por período;
h. Responsabilidades do cliente;
i. Responsabilidade civil e obrigações do provedor de serviço;
j. Orientações sobre impacto e prioridades;
k. Processo de notificação e escalação;
l. Procedimento de reclamações;
m. Metas do serviço;
n. Limites de carga de trabalho;
o. Detalhes em alto nível do gerenciamento financeiro;
p. Ações a serem tomadas em caso de interrupção do serviço;
q. Procedimentos de manutenção e limpeza do ambiente;
r. Glossário de termos;
s. Serviços relacionados e de suporte;
t. Quaisquer exceções aos termos expressos no ANS;
u. O processo de gerenciamento de nível de serviços (GNS).
61
f) Convém que:
a. O processo de GNS seja flexível para incorporar as mudanças na organização,
nos negócios e necessidades do cliente;
b. Garanta que o provedor permaneça focalizado no cliente, durante o
planejamento, a implementação e o gerenciamento contínuo da entrega dos
serviços;
c. Receba informações adequadas para que seja capaz de entender os
direcionadores da organização e os requisitos de seu cliente;
d. Gerencie e coordene aqueles que contribuem para os níveis de serviço,
incluindo:
i. Concordância com os requisitos de serviço e características da carga de trabalho
do serviço;
ii. Acordo sobre as metas do serviço;
iii. Medição e relato dos níveis de serviço realizado, das cargas de trabalho e uma
explicação se as metas acordadas não forem alcançadas;
iv. Início da ação corretiva;
v. Entrada para um plano de melhoria do serviço;
vi. Encoraje o provedor e o cliente a desenvolver uma atitude proativa, garantindo
que tenham responsabilidade conjunta pelo serviço;
vii. Trabalhe em conjunto com os processos de gerenciamento de relacionamento
com o negócio e de gerenciamento de fornecedores.
3.2.
Relato de serviço
Objetivo
Produzir relatórios acordados, confiáveis, precisos e em tempo oportuno para basear

tomada de decisões e propiciar comunicação efetiva.
Os relatórios dão uma visão do desempenho de cada serviço entregue, e servem como
evidências para atender aos requisitos da norma. Além nos relatórios, a norma exigirá que as
decisões sejam baseadas nesses relatórios e que sejam documentadas.
Pode fazer interface com todos os processos da norma.
62
a) A descrição do relato de serviço, sua identidade, propósito, audiência,

frequência e detalhes das fontes de dados deve ser documentada e aprovada
pelo provedor e partes interessadas;
b) O provedor deve tomar ações com base nas conclusões dos relatos de serviço.
As ações acordadas devem ser comunicadas às partes interessadas;
c) Os relatos devem incluir no mínimo:
a. Desempenho em relação as metas do serviço;
b. Informações relevantes sobre eventos significativos, pelo menos incidentes
graves, implantação de serviços e do plano de continuidade do serviço que está
sendo acionado;
c. Características de carga de trabalho, incluindo volumes e mudanças periódicas
na carga de trabalho;
d. Não conformidades detectadas em relação aos requisitos desta parte da norma,
aos requisitos do SGS ou os requisitos do serviço e suas causas identificadas;
e. Informações de tendências
f. Medições de satisfação do cliente, reclamações de serviços e resultados das
análises das medições de satisfação e das reclamações.
a) Política
b) Convém que:
a. Os requisitos para os relatos de serviço sejam acordados e registrados, para os
clientes e gerenciamento interno;
b. Os relatórios reflitam os relacionamentos entre fornecedores, quando existir
múltiplos fornecedores;
c. Os relatórios sejam pontuais, claros, confiáveis e concisos;
d. Os relatórios sejam apropriados para as necessidades do receptor e tenham
precisão suficiente para serem usados como ferramentas de suporte a decisões;
e. A apresentação auxilia a compreensão dos relatórios, de forma que eles sejam
de fácil assimilação, através da utilização de gráficos;
f. Vários tipos de relatórios sejam produzidos:
i. Relatórios reativos: mostram o que já ocorreu;
63
ii. Relatórios proativos: advertem antecipadamente acerca de eventos
significativos, permitindo que ações preventivas sejam executadas;
iii. Relatórios de projeções futuras mostrando atividades planejadas;
iv. Relatórios de serviço.
c) Convém que o provedor produza relatórios para clientes e para a direção
incluindo:
a. Desempenho comparado com metas de nível de serviço;
b. Não conformidades em reação aos padrões;
c. Informação sobre características e volume de carga de trabalho;
d. Desempenho após eventos significativos;
e. Informações de tendências por período;
f. Relatórios que incluam informações sobre cada processo;
g. Relatórios que apontem cargas de trabalho.
3.3.
Gerenciamento de continuidade e disponibilidade de serviço
Objetivo
Garantir que comprometimentos de continuidade e disponibilidade de serviço acordados

com o cliente sejam cumpridos.
Figura 24: Gerenciamento de continuidade e disponibilidade
64
Este processo tem foco na prevenção e recuperação de falhas de serviços ou desastres,
bem como garantir a provisão de disponibilidade de serviço suficiente para atender aos
requisitos de serviço.
Este processo deve considerar os aspectos reativos e proativos do processo e priorizar a

capacidade do negócio para os seus planos de disponibilidade e continuidade.
O provedor de serviço deve desenvolver planos eficazes para garantir que os requisitos
de disponibilidade e continuidade acordados possam ser cumpridos.
Disponibilidade
A habilidade de um serviço ou componente do serviço de desempenhar sua função

necessária em um determinado instante ou durante um período de tempo acordado [ISO/IEC
20000-1].
A disponibilidade é normalmente expressa como uma proporção ou percentual do

tempo que o serviço ou componente do serviço está realmente disponível para o uso do
cliente, em relação ao tempo acordado que o serviço deveria estar disponível.
Geralmente calculada em porcentagem, exemplo: disponibilidade de 97%. Seu cálculo

toma como base o tempo de serviço acordado e na indisponibilidade (downtime). A melhor
forma é medir pela perspectiva do negócio.
Sintaxe:
Exemplo:
a) Serviço: Internet;
b) Disponibilidade: 98%, dias úteis das 08:00 às 18:00;
c) Indisponibilidade: 2 horas;
d) TEMPO DE SERVIÇO ACORDADO = 5 * 10 = 50 horas;
e) O serviço não atendeu a meta de disponibilidade.
Plano de disponibilidade
Documento que define aspectos da disponibilidade do serviço nas operações do dia-a-

dia.
Continuidade de serviço de serviço

65
Documento para gerenciar riscos de eventos excepcionais para continuar ou recuperar
serviços de TI. Um plano de continuidade de serviço é baseado o plano de continuidade do
negócio.
Confiabilidade
É a média do tempo em que um serviço de TI ou outro item de configuração pode

executar sua função acordada sem interrupção. Frequentemente reportada como um tempo
médio entre incidentes de serviço (TMEIS) ou tempo médio entre falhas (TMEF).
Resiliência
Resiliência se refere a habilidade de um serviço de TI ou de outro item de configuração

de resistir a falha ou de se recuperar de maneira oportuna depois de uma falha.
A confiabilidade do serviço pode ser melhorada:
a) Aumentando a confiabilidade dos componentes ou;

b) Aumentando a resiliência do serviço em relação a falha de um componente
específico. Para isso se usa algumas técnicas, por exemplo, balanceamento de
cargas, aumentando a redundância de componente, etc.
c) A confiabilidade é medida e reportada como um tempo médio entre incidentes
do serviço (TMIS) ou tempo médio entre falhas (TMEF).
Figura 25: Confiabilidade de serviço
Quanto menor o TMEF ou o TMEIS menor a confiabilidade.

Principais atividades para gerenciar a disponibilidade
a) Definir requisitos de disponibilidade:

a. Quais são os requisitos de ANS?
66
b. Qual é a duração máxima que o serviço pode ficar indisponível para o
c. cliente?
d. Qual é a frequência das falhas de serviço aceitável pelos clientes?
b) Planejar a disponibilidade:
a. Média da disponibilidade (ANS);
b. Confiabilidade (ANO);
c. Sustentabilidade (ANO);
d. Funcionalidade do serviço (CA).
c) Medir a disponibilidade;
d) Medição dos serviços/componentes em produção;
Principais atividades para gerenciar a continuidade
a) Definir os requisitos de continuidade:

a. Quais são os requisitos de ANS?
b. Quais são os serviços/sistemas críticos para o negócio?
c. Qual é a duração máxima sem serviço ou com serviço limitado aceitável pelos
clientes?
b) Planejar a continuidade de serviço
a. Medidas preventivas técnicas e organizacionais;
b. Opções de recuperação – plano de recuperação de serviço;
c. Documentação dos procedimentos de recuperação e instruções operacionais;
d. Testar regularmente e revisar todos os planos.
Atividades para gerenciar a disponibilidade e continuidade
a) Análise de impacto de falhas em componentes – AIFC;

b) Identificar dependências da infraestrutura de TI;
c) Identificar pontos únicos de falhas – PUF;
d) Análise de impacto de negócio – AIN;
e) Analisar dependências entre serviços e processos de negócio;
f) Quantificação do impacto no negócio a partir de uma falha no serviço;
g) Análise de riscos considerando ativos, ameaças e vulnerabilidades.
67
3.3.1. Requisitos de continuidade e disponibilidade de
serviço
a) O provedor deve avaliar e documentar os riscos para a continuidade e

adisponibilidade de serviços;
b) O provedor deve identificar e acordar requisitos de continuidade e
disponibilidade de serviços com o cliente e as partes interessadas;
c) Os requisitos acordados devem considerar os planos de negócio aplicáveis,
requisitos de serviço, ANS e riscos. Os requisitos devem incluir:
a. Direitos de acesso aos serviços;
b. Tempos de resposta de serviço;
c. Disponibilidade dos serviços.
3.3.2. Planos de continuidade e disponibilidade de

serviço
a) O provedor deve criar, implementar e manter plano de continuidade de serviço

e plano de disponibilidade;
b) Os planos devem incluir:
a. Procedimentos a serem implementados no evento de uma interrupção
significativa do serviço, ou referências a tais procedimentos;
b. Metas de disponibilidade quando o plano é acionado;
c. Requisitos de recuperação;
d. Abordagem para o retorno às condições normais de trabalho.
c) O plano de continuidade e o banco de dados de gerenciamento de configuração
deve estar acessível;
d) O provedor deve avaliar o impacto de requisições de mudança no plano de
continuidade de serviço e no plano de disponibilidade.
3.3.3. Monitoramento e testes de continuidade e

disponibilidade de serviço
a) A disponibilidade deve ser monitorada e os resultados registrados e comparados

com as metas acordadas;
68
b) Indisponibilidades não planejadas devem ser investigadas e ações necessárias
devem ser tomadas;
c) Planos de continuidade de serviço devem ser testados em comparação com os
requisitos de continuidade de serviço;
d) Planos de disponibilidade de serviço devem ser testados em comparação com os
requisitos de disponibilidade de serviço;
e) Os planos devem ser testados após mudanças significativas no ambiente de
serviço e os resultados dos testes devem ser registrados;
f) Análises críticas devem ser conduzidas após cada teste e após o plano de
continuidade de serviço ser acionado.
[6.3] Gerenciamento de continuidade e disponibilidade de serviço

Recomendações gerais
a) Convém que:
a. Os requisitos de continuidade e disponibilidade sejam identificados com base
nas prioridades dos negócios dos clientes, ANS e riscos avaliados;
b. Mantenha a capacidade suficiente de serviço, juntamente com planos factíveis,
projetados para assegurar que os requisitos acordados possam ser atingidos em
quaisquer circunstâncias;
c. Planeje dados conhecidos de aumentos e reduções de volume de usuários, altas
e baixas esperadas na carga de trabalho e quaisquer outras mudanças;
d. Os requisitos incluam os direitos de acesso e tempos de resposta, como também
disponibilidade ponta a ponta dos componentes do sistema o Gerenciamento de
disponibilidade e continuidade do serviço trabalhe em conjunto com o objetivo
de garantir que os ANS são mantidos;
e. Os requisitos tenham uma grande influência nas ações, esforços e recursos
alocados, para equiparar a disponibilidade dos serviços que os suporta;
f. Para a manutenção dos processos para assegurar a disponibilidade, sejam
incluídos aqueles elementos de entrega de serviço que estão sob o controle do
cliente e de outros provedores de serviço.
b) Recomendações para monitoração da disponibilidade e atividades. Convém que
o gerenciamento de disponibilidade:
69
a. Monitore e registre a disponibilidade do serviço;
b. Mantenha dados históricos exatos;
c. Faça comparações com os resultados definidos no ANS para identificar não
conformidades com os objetivos de disponibilidade acordados;
d. Documente e revise as não conformidades;
e. Preveja disponibilidade futura;
f. Assegure que problemas potenciais sejam previstos e ações preventivas sejam
tomadas.
g. Assegure que exista disponibilidade para todos os componentes do serviço, com
ações corretivas registradas e executadas
c) Recomendações para estratégia da continuidade do serviço. Convém que:

a. O provedor de serviço desenvolva e mantenha uma estratégia que defina a
abordagem geral a ser adotada para satisfazer as obrigações de continuidade;
b. Incluía uma avaliação de risco e leve em consideração as horas de serviço
acordadas e períodos críticos do negócio;
c. O fornecedor de serviços acorde, para cada grupo de clientes e serviços:
i. O período máximo aceitável continuo de perda de serviços;
ii. O período máximo aceitável de serviço degradado;
iii. Níveis aceitáveis de serviço degradado durante o período em que o serviço está
sendo recuperado.
d. A estratégia de continuidade seja revisada em intervalos acordados, pelo menos
anualmente;
e. Seja formalmente acordada quaisquer mudanças nessa estratégia;
f. O provedor de serviço garanta que:
i. Planos de continuidade levem em consideração as dependências entre serviços e
componentes do sistema;
ii. Planos de continuidade e outros documentos necessários para dar apoio à
continuidade sejam registrados e mantidos;
iii. Responsabilidade para requisitar os planos de continuidade seja claramente
atribuída e os planos aloquem claramente a responsabilidade pelas ações
tomadas contrárias a cada objetivo;
70
iv. Backup de dados, documentos e software, e qualquer equipamento e pessoal
necessário para restauração do serviço estejam facilmente disponíveis em
seguida a falhas significativas ou desastres;
v. Pelo menos uma cópia de todos os documentos relativos à continuidade do
serviço seja arquivada e mantida em local remoto seguro, junto com qualquer
equipamento que seja necessário para habilitar seu uso;
vi. O pessoal entenda seu papel ao pedir e/ou executar os planos e seja capaz de
acessar os documentos de continuidade.
g. Planos de continuidade de serviços e documentos relacionados sejam
conectados aos processos de gerenciamento de mudanças e gerenciamento de
contratos;
h. Planos de continuidade e documentos relacionados sejam avaliados em seu
impacto antes da aprovação de mudanças no sistema e serviço, e antes de
requisitos novos ou modificações significativas do cliente serem acordados;
i. Os testes tenham um envolvimento conjunto do cliente e do fornecedor de
serviços, baseados em um grupo de objetivos acordados;
j. Que falhas nos testes sejam documentadas e analisadas criticamente e sirvam de
entradas para o plano de melhoria do serviço;
3.4.
Orçamento e contabilização para serviços
Objetivo
Fazer o orçamento e ser responsável pelo custo do fornecimento do serviço. Este

processo apoia o provedor de serviço em relação aos custos dos serviços.
a) Orçamento:
Refere-se ao planejamento de custo, considerando a necessidade de recursos
financeiros para os custos operacionais do provedor de serviço e para os
projetos de novos serviços;
b) Contabilização:
71
Possibilita o provedor de serviço contabilizar a forma de como seu dinheiro é
gasto, identificando custos por cliente, serviço e atividade.
a. Envolve sistemas de contabilidade;
b. Deve ser controlada por pessoa com formação em contabilidade.
c) Cobrança:
Parte opcional deste processo.
Emite cobranças aos clientes pelos serviços prestados a eles pelo provedor de
serviço.
a) Existir uma interface definida entre o orçamento e a contabilidade para o

processo de serviços;
b) Existir políticas e procedimentos documentados para:
a. Orçamento e contabilização para componentes de serviços, incluindo:
i. Ativos usados para fornecer os serviços;
ii. Recursos compartilhados;
iii. Custos indiretos;
iv. Capital e despesas operacionais;
v. Fornecedor de serviços externos;
vi. Pessoal;
vii. Instalações;
c) Divisão dos custos indiretos e alocação de custos diretor dos serviços;
d) Controle financeiro eficaz e aprovação;
e) Os custos devem ser incluídos no orçamento para permitir o controle financeiro
e auxiliar na tomada de decisão;
f) O provedor deve monitorar e reportar custos de acordo com o orçamento,
analisar criticamente as provisões financeiras e gerenciar os custos;
g) Interface com o processo de gerenciamento de mudança para suportar quanto
custa as requisições de mudanças;
72
Política
a) Convém que:
a. Exista uma política de gerenciamento financeiro de serviços;
b. Essa política defina os objetivos a serem alcançados por meio do orçamento e
contabilização;
c. Essa política defina o nível de detalhe em que o orçamento e contabilização
serão executados, considerando:
i. Tipos de custos a serem contabilizados;
ii. Como custos fixos serão relatados;
iii. Granularidade do negócio do cliente;
iv. As regras que norteiam o tratamento das variações comparadas com os
orçamentos;
v. Relacionamentos com o gerenciamento de nível de serviço.
b) O nível de investimento em processos de orçamento e contabilização se baseie
nas necessidades dos clientes, do provedores e fornecedores;
c) O orçamento e a contabilização sejam executados por todos os provedores de
serviços.
Orçamento
a) Convém que:
a. O orçamento leve em consideração as mudanças planejadas para os serviços;
b. Seja tratado adequadamente quando o orçamento exceder os fundos;
c. Avisos sejam fornecidos quando houver variações de custos em relação ao
orçado e realizado (rastreamento de custos);
d. O orçamento e o rastreamento de custos suportem o planejamento para operar e
modificar os serviços, de forma a manter os níveis de serviços ao longo do ano.
Contabilização
a) Convém que:
a. Os processos de contabilização sejam utilizados para rastrear os custos de
acordo com um nível de detalhe e por um período de tempo acordados;
73
b. As decisões sobre o fornecimento de serviços sejam baseadas em comparações
da efetividade dos custos;
c. Os modelos de custos sejam capazes de demonstrar os custos do fornecimento
de serviços;
d. As constas demonstrem os gastos acima e abaixo do planejado e que permitam
que o usuário compreenda os custos de níveis de serviços baixos ou perda de
serviços.
Figura 26: Orçamento e Contabilização
3.5.
Gerenciamento de capacidade
Objetivo
Garantir que o provedor tem capacidade suficiente para atender às demandas acordadas
do negócio do cliente.
Este processo pode ser o ponto focal para as questões de desempenho e capacidade do
serviço ou componentes de TI.
74
Plano de Capacidade
É um plano usado para gerenciar os recursos necessários para entregar serviços de TI.
O plano contém detalhes do uso atual e histórico dos serviços e componentes de TI e

qualquer questão que precise ser tratada a esses.
a) Revisar capacidade e desempenho;

b) Melhorar a capacidade atual de serviços e componentes de TI;
c) Avaliar, acordar e documentar requisitos novos relacionados a capacidade;
d) Planejar uma nova capacidade;
e) Monitorar o uso da capacidade do serviço e componentes de TI.
Subprocessos do processo de gerenciamento de capacidade
Devido à complexidade e o nível de exigência técnica do processo de gerenciamento de

capacidade, este processo possui três Subprocessos para suportá-lo:
a) Gerenciamento de capacidade de negócio:

a. Traduz as necessidades do negócio e planos futuros em requisitos para os
serviços e para a infraestrutura de TI;
b. Assegura que os requisitos de negócio futuro para os serviços de TI sejam
quantificados, desenhados, planejados e implantados em tempo hábil.
b) Gerenciamento de capacidade de serviço:
a. Gerencia, controla e faz previsão de desempenho e capacidade de ponta a ponta
dos serviços de TI em uso e de cargas de trabalho;
b. Assegura que o desempenho de todos os serviços, conforme detalhado nas
metas de serviço documentadas no ANSs e RNSs, seja monitorado e medido, e
que os dados coletados sejam gravados, analisados e reportados.
c) Gerenciamento de capacidade de componente:
a. Gerencia, controla e faz previsão do desempenho, utilização e capacidade de
cada um dos componentes que suportam os serviços de TI;
b. Assegura que todos os componentes dentro da infraestrutura de TI que tenham
recursos finitos sejam monitorados e medidos, e que os dados coletados sejam
gravados, analisados e reportados.
75
a) Identificar e acordar os requisitos de capacidade e desempenho com o cliente e

as partes interessadas;
b) Criar, implementar e manter um plano de capacidade, considerando recursos
humanos, técnicos, de informação e financeiros;
c) O plano de capacidade de incluir:
a. Demanda atual e prevista por serviços
b. Impacto esperado dos requisitos acordados para a disponibilidade, continuidade
e níveis de serviço;
c. Prazos identificados, limites, custos para atualização da capacidade dos serviços
e componentes de TI;
d. Impacto potencial de mudanças legais, regulamentares, contratuais ou
institucionais;
e. Impacto potencial de novas tecnologias e técnicas;
f. Procedimentos que permitam a análise preditiva.
d) Prover capacidade suficiente para atender aos requisitos de capacidade e
desempenho acordados;
e) Monitorar o uso da capacidade, analisar os dados e ajustar o desempenho;
f) Controlar as mudanças no plano de capacidade pelo processo de gerenciamento
de mudanças;
Convém que:
a) Os requisitos de negócio atuais e esperados para os serviços sejam atendidos

conforme a necessidade da organização para entregar capacidade dos serviços
aos clientes;
b) Os requisitos de capacidade especificando as previsões de negócios e
estimativas de carga de trabalho sejam formalmente documentados e acordados;
76
c) O resultado de variações em carga de trabalho ou meio ambiente seja previsível;
d) Os dados atuais e históricos de uso de componentes e recursos em níveis
apropriados, sejam capturados e analisados;
e) O processo seja o ponto focal para todos os problemas de desempenho e
capacidade;
f) O processo suporte ao desenvolvimento de serviços novos e modificados;
g) Seja produzido um plano de capacidade documentando, ao menos anual, o
desempenho atual da infraestrutura e os requisitos esperados, considerando a
taxa de mudanças e volumes de serviços;
h) Sejam documentadas estimativas de custos para satisfazer os requisitos da
organização e recomendar soluções para garantir que foi atingido o objetivo de
nível de serviço acordado;
i) A infraestrutura técnica e suas capacidades atuais e projetadas sejam bem
conhecidas.
3.6.
Gerenciamento de segurança da informação
Objetivo
Gerenciar segurança da informação de forma efetiva dentro de todas as atividades do

serviço.
Este processo mantém controle sob três perspectivas para garantir a confidencialidade,
integridade e acessibilidade das informações, ativos dados e serviços de TI.
Este processo precisa considerar controles nas três perspectivas administrativa, física e
técnica para garantir a confidencialidade, integridade e acessibilidade das informações.
Segurança da informação
É um sistema de políticas e procedimentos desenhados para identificar e proteger

informação e qualquer equipamento usado em conexão com seu armazenamento, transmissão
e processamento [ISO/IEC 20000-1].
Confidencialidade
Garantir que a informação seja acessível apenas àqueles autorizados a ter acesso
[ISO/IEC 27002].
77
A informação é vista por ou divulgada somente para aqueles que tem o direito de acesso
Integridade
Somente alterações, supressões e adições autorizadas pela empresa devem ser realizadas
nas informações [ISO/IEC 27002].
A informação está íntegra, precisa, completa e protegida contra modificações não

autorizadas
Acessibilidade
A informação deve estar disponível para as pessoas autorizadas sempre que necessário e
demandado [ISO/IEC 27002].
Incidente de segurança da informação
É um evento de segurança da informação ou uma série de eventos indesejados e

inesperados que tem uma probabilidade significativa de comprometer as operações do
negócio e ameaçam a segurança da informação [ISO/IEC 27000].
3.6.1. Políticas de segurança da informação
a) A Política de segurança da informação, deve ser, devidamente aprovada pela

direção, considerando os requisitos de serviços, legais e estatutários e
contratuais;
b) A direção deve:
a. Comunicar a política de segurança da informação e a importância com sua
conformidade;
b. Garantir que os objetivos do gerenciamento da segurança da informação
estejam estabelecidos;
c. Definir a abordagem a ser tomada para o gerenciamento de riscos da segurança
da informação e os critérios para aceitação dos riscos;
d. Garantir que avaliações de riscos de segurança da informação sejam conduzidas
em intervalos planejados;
78
e. Garantir que auditorias internas de segurança da informação sejam conduzidas,
e que os resultados sejam analisados criticamente para identificar oportunidades
de melhorias.
3.6.2. Controles de segurança da informação
a) O provedor deve documentar, implementar e operar controles físicos,

administrativos e técnicos de segurança da informação, para:
a. Preservar a confidencialidade, integridade e acessibilidade dos ativos da
informação;
b. Cumprir os requisitos da política de segurança da informação;
c. Atingir os objetivos do gerenciamento de segurança da informação;
d. Gerenciar riscos relacionados à segurança da informação.
b) O provedor deve analisar criticamente a eficácia dos controles e tomar as ações
necessárias e reporta-las;
c) O provedor deve identificar organizações externas que tenham necessidade para
acessar, usar ou gerenciar as informações ou serviços do provedor, além de
documentar, acordar e implementar controles de segurança da informação;
3.6.3. Mudanças e incidentes da segurança da

informação
a) As solicitações de mudança devem ser analisadas para identificar:

a. Os riscos de segurança da informação;
b. O impacto potencial na política de segurança da informação e controles
existentes;
b) Os incidentes de segurança devem ser gerenciados usando os procedimentos de
gerenciamento de incidentes;
c) O provedor deve analisar os tipos, volumes e impacto dos incidentes de
segurança informação;
d) Os incidentes de segurança devem ser reportados e analisados criticamente para
identificar oportunidades de melhoria;
79
Convém que:
a) Mantenha um inventário de ativos da segurança da informação necessários para

a entrega de serviços;
b) Classifique cada ativo de acordo com a sua criticidade para o serviço e o nível
de proteção necessária;
c) A responsabilidade pela proteção do ativo seja do proprietário do ativo;
d) Práticas de avaliação de riscos de segurança
e) Convém que as avaliações de riscos:
a. Sejam conduzidas em intervalos acordados;
b. Sejam registradas;
c. Sejam mantidas durante mudanças;
d. Ajudem a compreensão sobre o que poderia impactar um serviço gerenciado;
e. Informem decisões sobre os tipos de controles a serem efetuados.
Riscos para os ativos de informação. Convém que os riscos aos ativos da informação
sejam avaliados com referência a:
a) Sua natureza (falhas de comunicação, erros operacionais, etc.);

b) Probabilidade de ocorrência;
c) Impacto potencial no negócio;
d) Experiência anterior;
Segurança e disponibilidade da informação. Convém observar durante a avaliação de

riscos:
a) Divulgação de informações sensíveis;

b) Informações incompletas, inválidas e com baixa qualidade;
c) Informações indisponíveis para uso;
d) Convém que seja dada atenção aos objetivos da política de segurança da
informação, requisitos de segurança especificados pelo cliente, legais,
regulamentares e contratuais
Controles. Convém que:
a) A alta gerência defina sua política de segurança da informação e comunique a

equipe e clientes;
80
b) Sejam definidos e alocados os papéis e responsabilidades;
c) Um representante do grupo de gerenciamento monitore e mantenha a
efetividade da política de segurança da informação.
d) A equipe receba treinamento em segurança da informação;
e) Toda a equipe (colaboradores) seja conscientizada sobre a política de segurança
da informação;
f) As mudanças não comprometam a operação efetiva dos controles;
g) Os incidentes de segurança da informação sejam reportados em conformidade
com os procedimentos de gerenciamento de incidentes e uma resposta seja
iniciada;
Documentos e registros. Convém que os registros sejam analisados periodicamente para

informar sobre:
a) A efetividade da política da segurança da informação;
b) As novas tendências de incidentes em segurança da informação;
c) Entradas para um plano de melhoria dos serviços;
Controle sobre o acesso às informações, ativos e sistemas. Convém que o sistema de

gerenciamento de segurança da informação seja:
a) documentado de forma confiável;
81
4. Processos de relacionamento
Objetivo
Descrever os aspectos do gerenciamento de relações de negócio e do gerenciamento de

fornecedores.
Processos
a) Gerenciamento de relações de negócio;

b) Gerenciamento de fornecedores;
7.1. Gerenciamento de relações de negócio
Objetivo
Estabelecer e manter um bom relacionamento entre o provedor de serviço e o cliente.
É um papel responsável por manter a relação com um ou mais clientes, mantendo-os

satisfeitos. O processo irá captar as necessidades e reclamações do cliente e iniciar as ações
para que essas sejam atendidas.
82
Este processo requer o apoio dos processos de gerenciamento de nível de serviço e
processo relato de serviço para revisar com frequência o desempenho do provedor em relação
aos serviços entregues aos clientes.
Garante que em nível estratégico o provedor de serviços:
a) Entenda o negócio e suas necessidades;

b) Compreenda as suas capacidades e limitações;
c) Compreenda as suas responsabilidades e obrigações junto ao cliente.
Diferenças entre o gerenciamento de relacionamento de negócio e gerenciamento de

nível de serviço.
Gerenciamento de Gerenciamento de Nível de

relacionamento de serviço
negócio
Propósito - Estabelecer e manter um - Negociar acordos de nível de

relacionamento de negócio entre o serviço com cliente;
provedor de serviço e o cliente, - Assegurar que todos os
baseado no entendimento do processos de gerenciamento de
cliente e nas suas necessidades de serviço, acordos de nível
negócio; operacional e contratos de apoio
- Identificar as necessidades do são apropriados para as metas de
cliente e assegurar que o provedor nível de serviço acordada.
de serviço seja capaz de atender
suas necessidades conforme os
requisitos de negócio
identificados e suas mudanças ao
longo do tempo.
Foco - Estratégico e tático; - Tático e operacional;

- Foco em todo relacionamento - Foco em alcançar o acordo de
entre o provedor de serviço e o nível de serviço (ANS/SLA) que
cliente; será entregue para serviços novos
- Foco nos serviços que o e existentes, e se o provedor de
provedor de serviço irá entregar serviço será capaz de atendê-los.
para atender as necessidades do
cliente.
Medida - Satisfação do cliente. - Medição da realização dos níveis
de serviço acordados.
Satisfação do cliente
83
Percepção do cliente do grau em que os seus requisitos foram atendidos [ISO 9000].
Reclamação
Expressão de insatisfação feita a uma organização, relativa a seus produtos, ou ao

próprio processo de tratamento de reclamações, para a qual explicitamente ou implicitamente
espera-se uma resposta ou resolução [ISO 9000].
Escalada
Uma atividade que obtém recursos adicionais quando necessário para atingir as metas
de nível de serviço ou expectativas dos clientes [ISO 9000].
a) Designar uma pessoa responsável pelo gerenciamento do cliente e pela

satisfação do cliente, para:
a. Entendimento das necessidades do negócio;
b. Gerenciamento de reclamações;
c. Gerenciamento da satisfação.
a) Documentar todas as partes interessadas nos serviços: clientes, usuários e outras

partes interessadas;
b) Designar um responsável pelo gerenciamento e satisfação do cliente;
c) Estabelecer os mecanismos de comunicação com o cliente para:
a. Promover o entendimento do ambiente de negócios sob o qual os serviços
operam e os requisitos para os serviços;
d) Habilitar o provedor a responder a estes requisitos:
a. O provedor com o cliente deve analisar criticamente o desempenho dos
serviços;
b. As mudanças nos requisitos documentados devem ser gerenciadas pelo
processo de gerenciamento de mudanças;
c. Acordar com o cliente a definição de uma reclamação contra um serviço;
d. Deve documentar o procedimento para gerenciar as reclamações;
84
e. Registrar, investigar, agir sobre, relatar e fechar as reclamações;
f. Oferecer a condição de escalonamento da reclamação ao cliente, caso não
resolvida;
g. Medir a satisfação do cliente em intervalos planejados, com base em uma
amostragem representativa dos clientes e usuários;
h. Resultados devem ser analisados e revisados para identificar oportunidades de
Melhoria.
a) Estabelecer os aspectos:
a. Análises críticas do serviço;
b. Reclamações sobre serviços;
c. Medição da satisfação do cliente.
Análises críticas do serviço
Convém que:
a) Revisões de serviço sejam realizadas ao menos anualmente e após mudanças

significativas no serviço;
b) O desempenho anterior, as necessidades atuais e futuras, e as propostas de
mudança de escopo dos serviços sejam cobertas por essas revisões;
c) Seja acordada revisões menores entre as revisões mais importantes para
acompanhar a situação atual, o progresso e quaisquer problemas;
d) O resultado dessa revisão deve ser registrada e reportada;
e) O provedor deve desenvolver uma parceria, não só um simples relacionamento
Reclamações sobre serviços
É boa prática acordar com o cliente um processo para lidar com as reclamações de
forma objetiva, e que essas sejam respondidas apropriadamente. Convém que:
a) Todas as reclamações sejam documentadas, investigadas e respondidas o mais

breve;
85
b) Relatórios regulares sobre a situação das reclamações sejam enviados ao
cliente;
c) As reclamações atendidas com sucesso seja encerada formalmente;
d) Reclamações não finalizadas sejam monitoradas regularmente;
a. As reclamações não resolvidas dentro do prazo acordado com o cliente possam
ser escaladas para a gerência
e) O provedor analise os resultados das reclamações para identificar tendências;
a. Podem ser tratadas durante as reuniões regulares com o cliente;
b. Podem ser usadas para a implementação de melhorias nos serviços;
Medição da satisfação do cliente. Convém que:
a) A satisfação do cliente seja medida para permitir que o provedor de serviço faça
comparações com as metas de satisfação do cliente e os resultados de pesquisas
anteriores;
b) O escopo e a complexidade da pesquisa sejam projetados de forma que o cliente
possa responder facilmente;
c) Os desvios significativos na satisfação precisam ser entendidos e investigados:
a. Um plano de ação seja acordado, sirva como entrada para um plano de melhoria
dos serviços e o progresso reportado para o cliente;
d) Os elogios sejam documentados e reportados à equipe.
7.2. Gerenciamento de fornecedores
Objetivo
Gerenciar os fornecedores para garantir a provisão e a quantidade de serviços de forma

transparente e com qualidade.
Fornecedor
Organização ou parte de uma organização que é externa ao provedor do serviço, regida

por um contrato com o provedor de serviço para contribuir com o desenho, transição, entrega
e melhoria de um serviço(s) ou processos [ISO/IEC 20000-1].
86
O processo de gerenciamento de fornecedor deve fornecer mecanismos para categorizar
os fornecedores, sua importância para o provedor de serviço e os serviços fornecidos e
contratados.
Uma maneira de categorizar o fornecedor é avaliar o risco e o impacto (risco x impacto)

associado com o uso do fornecedor, o valor e a importância (valor e importância) do
fornecedor e de seus serviços para o negócio.
a) Fornecedores estratégicos: que envolvem troca de informações confidenciais ou

estratégicas;
b) Fornecedores táticos: que envolvem atividades comerciais significativas;
c) Fornecedores operacionais: que fornecem serviços ou produtos operacionais;
d) Fornecedores de commodities: que fornecem papéis, material de escritório,
suprimentos, etc.
Figura 27: Categoria de fornecedores
a) Identificar um responsável para cada contrato com fornecedor;

b) Alinhar contratos com acordos de níveis de serviço;
c) Acordar e gerenciar contratos com fornecedores;
d) Gerenciar o relacionamento com fornecedores;
e) Revisar o desempenho dos fornecedores;
87
a) Designar uma pessoa para cada fornecedor que se responsabilizará pelo

gerenciamento de relacionamento, contrato e desempenho do fornecedor;
b) O provedor e o fornecedor devem manter um acordo sobre um contrato
documentado que deve conter ou incluir referência para:
a. O escopo dos serviços entregues pelo fornecedor;
b. As dependências entre serviços, processos e partes;
c. Os requisitos a serem cumpridos pelo fornecedor;
d. As metas dos serviços;
e. As interfaces com o fornecedor;
f. A integração das atividades do fornecedor com o SGS;
g. As características de cargas de trabalho;
h. As autoridades e as responsabilidades;
i. Os relatos e comunicações a serem providos pelo fornecedor;
j. As bases de cobrança financeira;
k. Os procedimentos para término normal ou antecipado do contrato e a
transferência dos serviços para outras partes.
c) O provedor de serviço deve:
a. Acordar com os níveis de serviço do fornecedor para dar suporte e alinhar com
os ANS entre o provedor de serviço e o cliente;
b. Garantir que os papéis e relações entre fornecedores líderes e subcontratados
estejam documentados;
c. Verificar se os fornecedores líderes estão gerenciando seus fornecedores
subcontratados para que cumpram suas obrigações contratuais;
d. Monitorar o desempenho do fornecedor em intervalos planejados.
d) O desempenho deve ser medido em relação às metas de serviços e obrigações

contratuais;
a. Os resultados da medição devem ser registrados e analisados criticamente para
identificar causas de não conformidades e as oportunidades de melhoria
e) O processo de gerenciamento de mudanças deve controlar as mudanças nos
contratos;
88
f) Deve existir um procedimento documentado para gerenciar os desacordos
contratuais entre o provedor e o fornecedor;
a) Os requisitos precisam ser claros para o fornecedor entenda sua obrigação com
o provedor de serviços;
b) Recomenda-se que todas as transações de negócios entre as partes sejam
registradas.
c) Convém que:
a. O desempenho do fornecedor seja monitorado continuamente e sejam adotas
ações para os desvios identificados.
Gerenciamento de contratos. Convém que:
a) Seja indicado um gerente responsável por todos os contratos e acordos com os

fornecedores e recomendado que seja indicado uma pessoa de contrato para
cada fornecedor;
b) Seja definido um método para monitorar o desempenho do fornecedor;
c) Seja definido um plano para revisões regulares para avaliar os objetivos da
organização em relação às terceirizações;
d) A base para tratar penalidades ou bônus esteja claramente estabelecida e em
conformidade com os requisitos acordados.
Definição do serviço. Convém que o provedor de serviço mantenha os itens para cada serviço:
a) Definição dos serviços, papéis e responsabilidades;

b) Escopo do serviço que será entregue pelo fornecedor;
c) Processo de gerenciamento de contrato, níveis de autorização e plano de
encerramento do contrato;
d) Termos de pagamento;
e) Parâmetros acordados de relatório e registros de desempenho realizado.
89
Gerenciamento de disputas contratuais. Convém que:
a) O provedor e o fornecedor executem um processo de gerenciamento de disputas

e que seja referenciado dentro do contrato;
b) Seja estabelecido um procedimento de escalonamento para as disputas, caso não
possam ser resolvidas no nível padrão;
c) O processo garante que as disputas sejam registradas, investigadas, resolvidas e
formalmente encerradas.
Encerramento de contrato. Convém que:
a) O processo de gerenciamento de contratos inclua definições quanto ao

encerramento do contrato;
b) Haja definições para a transferência do serviço para outra organização;
5. Processos de resolução
90
Objetivo
Descrever os aspectos do gerenciamento de incidentes e do gerenciamento de

problemas.
Processos
a) Gerenciamento de incidentes e requisições de serviço;

b) Gerenciamento de problemas;
O papel da Central de Serviço / Service Desk
Central de serviço é um ponto único e contato entre o provedor de serviço e os usuários.
Gerencia incidentes, requisições de serviço e também a comunicação com os usuários.
É uma unidade funcional comporta por uma equipe responsável por lidar com uma
variedade de eventos de serviço, frequentemente feitos via chamadas telefônicas, interface
web ou reportados automaticamente.
Figura 28: Central de Serviço
8.1. Gerenciamento de incidentes e requisições de serviço
Objetivo
91
Restaurar a operação normal de um serviço o mais rápido possível e minimizar o
impacto negativo sobre as operações do negócio, garantindo que os melhores níveis de
qualidade de serviço e disponibilidade sejam mantidos, ou responder às requisições de
serviço.
Incidente
É uma interrupção não planejada de um serviço de TI, uma redução da qualidade de um

serviço de TI ou um evento que ainda não impactou o serviço do cliente [ISO/IEC 20000-1].
Requisição de serviço
Requisição de informação, aconselhamento, acesso a um serviço ou uma modificação

pré-aprovada [ISO/IEC 20000-1].
Registro de incidente
Um registro contendo detalhes de um incidente. Cada registro documenta o ciclo de

vida de um incidente único.
Prioridade
Determina a velocidade da resolução e é baseada em impacto e urgência [ISO/IEC

20000-1].
Impacto
Uma medida do efeito de um incidente, problema ou mudança em processo do negócio.
O impacto está relacionado ao efeito nos processos de negócio, quantos serviços serão
afetados, e qual será a perda financeira com a parada do serviço.
Urgência
Uma medida de quanto tempo um incidente ou problema irá levar até que tenha um
impacto significativo no negócio.
Urgência está relacionada a quanto um incidente pode afetar um processo de negócio da

organização, e indica a velocidade com que o pessoal deve corrigir a falha e restabelecer o
serviço.
92
Figura 29: Impacto x urgência
Escalação
Procedimento para encaminhar um incidente. A escalação pode ser funcional ou

hierárquica.
a) Funcional:
Ocorre quando o incidente é repassado para um grupo funcional. Ocorre quando
um grupo não tem conhecimento técnico ou recursos para resolver o incidente e
cumprir o prazo acordado no nível de serviço.
b) Hierárquica:
Quando é necessário acionar o nível gerencial. Ocorre quando é necessária a
liberação de recursos técnicos para resolver o incidente mais rápido.
93
Figura 30:Tipos de Escalas de incidente
Solução de contorno
Serve para reduzir ou eliminar o impacto de um incidente para o qual a resolução

completa não é ainda possível. Soluções de contorno para incidentes que não estão associadas
aos registros de problema são documentadas no registro de incidente.
A solução de contorno é documentada nos registros de erros conhecidos. É produzida

pelo processo de gerenciamento de problemas.
a) Registrar
Descrição de sintomas e detalhes de incidentes ou requisições de serviço
b) Priorizar e classificar
a. Priorização e classificação de incidentes e requisições de serviço são baseadas
em metas de serviço documentadas
c) Resolver ou atender
O incidente e a requisição podem ser resolvidos no primeiro nível (Central de
Serviço), preferencialmente;
a. Atualizar registros durante o progresso
d) Escalar
94
Escalar conforme apropriado para garantir a resolução ou atendimento de cada
incidente ou requisição de serviço;
e) Encerrar
Atualizar e encerrar os registros de incidente ou requisição de serviço após a
confirmação do usuário
a) Deve existir um procedimento documentado para gerenciar os incidentes, que

defina:
a. Registro
b. Definição de prioridade
c. Classificação
d. Atualização de registros
e. Escaladas
f. Resolução
g. Encerramento
b) Deve existir um procedimento documentado para gerenciar o cumprimento das
requisições de serviço;
c) Ao priorizar os incidentes e as requisições o provedor deve considerar o
impacto e a urgência dos incidentes e requisições de serviço;
d) O provedor deve garantir que o pessoal envolvido no gerenciamento dos
processos de incidente e requisição de serviço tenha acesso e utilize
informações relevantes.
As informações relevantes devem incluir:
a. Procedimentos de gerenciamento de requisições de serviços, erros conhecidos,
resoluções de problemas e Base de Dados de Gerenciamento de Configurações;
e) O provedor deve usar informações de sucesso ou falha das liberações e sobre
futuras datas de liberações, provenientes do processo de gerenciamento de
liberação e implantação;
f) O provedor deve manter o cliente informado do progresso dos seus incidentes
relatados ou requisições de serviço;
95
g) Se as metas do serviço não foram alcançadas, o provedor deve informar o
cliente e demais partes interessadas e escalar conforme o procedimento;
h) O provedor deve documentar e acordar com o cliente a definição de um
incidente grave.
Esses incidentes devem ser classificados e gerenciados de acordo com um
procedimento documentado:
a. A alta direção deve ser informada;
b. A alta direção deve garantir que uma pessoa seja designada como responsável
pelo gerenciamento dos incidentes graves;
c. Analisar criticamente os incidentes graves após a resolução para identificar
oportunidades de melhoria;
Convém que:
a) O gerenciamento de incidentes seja um processo reativo e proativo;

a. Gerenciamento proativo: atua previamente para evitar a recorrência de
incidentes
b. Gerenciamento reativo: reage na ocorrência de um incidente para restaurar o
serviço
b) O processo de gerenciamento de incidentes inclua:
a. Recebimento da chamada, registro, determinação da prioridade, classificação;
b. Primeiro nível de resolução ou encaminhamento;
c. Consideração de questões de segurança;
d. Rastreamento e gerenciamento do ciclo de vida de incidentes;
e. Verificação e encerramento do incidente;
f. Primeiro nível de contato com o cliente;
g. Escalada.
c) Todos os incidentes sejam registrados de forma a permitir que informações
relevantes sejam obtidas e analisadas;
d) O progresso do trabalho seja reportado as partes afetadas pelo incidente;
96
Incidente grave:
a. É necessário cria um procedimento específico para tratar esse tipo de incidente;

b. É importante criar uma definição clara do que constitui um incidente grave.
e) Convém que:
a. Todos os incidentes graves tenham um gerente responsável e designado para
gerencia-los. Esse gerente precisa estar autorizado para tomar as medidas
necessárias para resolver o incidente o mais rápido possível.
8.2. Gerenciamento de problemas
Objetivo
Minimizar a interrupção do serviço por meio da identificação e análise proativa da

causa de incidentes, prevenindo proativamente a repetição ou a recorrência de incidentes.
Problema
Causa raiz de um ou mais incidentes [ISO/IEC 20000-1].
Esta causa geralmente não é conhecida quando um registro de problema é criado, e o

gerenciamento de problemas é responsável pela investigação.
Registro de problema
Um registro contendo os detalhes de um problema. Cada registro documenta o ciclo de

vida de um único problema.
Erro conhecido
É um problema que possui causa raiz e solução de contorno documentadas. Podem ser
criados por este processo e também são identificados por desenvolvedores e fornecedores.
Um registro do erro conhecido deve ser criado e registrado no banco de dados de erro
conhecido (BDEC) assim que o diagnóstico esteja completo e quando uma solução de
contorno tenha sido encontrada. O erro conhecido será usado em caso de reincidência do
problema para que o serviço seja restaurado mais rapidamente.
Banco de dados de erro conhecido (BDEC)
É um banco de dados que contém todos os registros de erros conhecidos.
97
Para permitir diagnósticos e resoluções de incidentes e problemas mais rápidos,
conhecimentos prévios de como eles foram superados devem ser arquivados em um banco de
dados de erros conhecidos.
O banco de dados é usado na fase de diagnóstico de um incidente e problema para tentar

acelerar a resolução problema. Novos registros devem ser adicionados tanto quanto possível
quando um novo problema tenha sido identificado e um diagnóstico feito.
Gerenciamento proativo
Seu objetivo é identificar problemas que poderiam permanecer não identificados.
Analisa registros de incidentes e dados coletados por outros processos do gerenciamento

de serviço de TI para identificar tendências ou problemas significativos.
a) Detecção de problemas
b) Registro de problema
c) Categorização
d) Priorização
e) Investigação e diagnóstico
f) Determinação de soluções de contorno, quando possível
g) Criação de registro de erro conhecido
h) Abertura de requisições de mudança, quando necessário
i) Resolução
j) Encerramento
k) Revisão de problema grave
Análise de tendências
Consiste em uma análise de dados para identificar padrões ao longo do tempo. É usada
no gerenciamento de problemas para identificar falhas frequente ou itens de configuração que
deixam de funcionar, e no gerenciamento de capacidade como uma ferramenta de modelagem
para prever comportamento futuro.
O processo relato de serviço apoia fornecendo os relatos necessários.
98
a) Deve existir um procedimento documentado gerenciar problemas que trate a
identificação e formas de minimizar ou evitar o impacto de incidentes e
problemas.
b) Deve incluir:
a. Identificação
b. Registro
c. Priorização
d. Classificação
e. Atualização de registros
f. Escaladas
g. Resolução
h. Fechamento
c) Os problemas devem ser gerenciados conforme o procedimento documentado;
d) O provedor deve analisar dados e tendências de incidentes e problemas para
identificar causas-raiz e suas potenciais ações preventivas;
e) O gerenciamento de problema deve acionar o gerenciamento de mudança para
resolver o problema em um item de configuração;
f) O provedor deve identificar as ações para reduzir ou eliminar o impacto do
problema sobre os sobre os serviços;
g) A eficácia da resolução de problema deve ser monitorada, analisada
criticamente e reportada;
h) Informações atualizadas sobre erros conhecidos e resoluções de problemas
devem ser fornecidas ao processo de gerenciamento de incidentes e requisições
de serviço.
[ISO/IEC 20000-2 - Recomendação] – Práticas recomendadas
Escopo do processo
a) Recomenda-se que o processo identifique as causas-raiz de incidentes e previna

sua recorrência;
b) Os incidentes devem ser classificados para ajudar a determinar as causas dos
problemas;
99
c) Encerramento de problemas, recomenda-se realizar as verificações ao encerrar o
registro de problema:
a. Os detalhes da resolução foram documentados de corretamente?
b. A causa foi categorizada para facilitar a análise futura?
c. O cliente e a equipe de suporte foram informadas da resolução do problema?
d. O cliente foi informado se nenhuma resolução foi alcançada?
d) As resoluções finalizadas precisam ser verificadas em relação a sua eficácia:
a. Identificar tendências, problemas e incidentes recorrentes, defeitos, erros;
b. Erros conhecidos em liberações planejadas;
c. Compromisso das equipes envolvidas em resolver incidentes e problemas.
e) Gerenciamento proativo
a. As medidas proativas auxiliam a reduzir ocorrência de incidentes e problemas;
b. As medidas preventivas podem incluir o treinamento de usuários.
6. Processos de controle
Objetivo
100
Gerenciar as informações relacionadas aos itens de configuração e a mudanças para que
possam ser implementadas no ambiente de produção adequadamente e com menos riscos.
Processos
a) Gerenciamento de configuração;
b) Gerenciamento de mudanças;
c) Gerenciamento de liberação e implantação.
9.1. Gerenciamento de configuração
Objetivo
Definir e controlar os componentes do serviço e infraestrutura e manter informação

precisa da configuração.
Esse processo precisa identificar, gerenciar e verificar as informações sobre os itens de

configuração, seus relacionamentos com outros IC e os serviços que suportam.
Figura 31:Gerenciamento de Configuração
101
Item de configuração – IC
É um elemento que necessita ser controlado para entregar um serviço ou serviços

[ISO/IEC 20000-1].
É qualquer componente ou outro ativo de serviço de TI que precisa ser gerenciado de

forma a entregar um serviço de TI. As informações sobre cada IC são registradas na base de
dados do gerenciamento de configuração – BDGC.
Atributo
Uma informação sobre um item de configuração.
Os atributos e relacionamentos do item de configuração são fundamentais, a partir deles

pode ser usado para avaliar o impacto de uma mudança em um determinado serviço ou
componente, os itens de configuração relacionado a um incidente, apoiar na identificação da
causa raiz de um incidente, etc. Esses relacionamentos podem ser representados por meio de
um modelo lógico de configuração.
Figura 32:Atributos do IC
Componente de serviço
Unidade única de um serviço que, quando combinada com outras unidades, entregará
um serviço completo.
Base de dados de gerenciamento de configuração – BDGC
102
Dados armazenados para registrar atributos de itens de configuração e os
relacionamentos entre ICs durante o seu ciclo de vida [ISO/IEC 20000-1].
É um conjunto de ferramentas, dados e informações usados para dar suporte ao

gerenciamento de configuração e ativo de serviço. Mantido por este processo e usado pelos
demais processos de gerenciamento de serviços de TI.
Figura 33:Sistema de Gerenciamento de Configuração
Base de referência de configuração (Linha de base)
Informação de configuração formalmente designada em um momento específico

durante a vida do serviço ou componente do serviço [ISO/IEC 20000-1].
Bases de referência de configuração, mais mudanças aprovadas para estas bases de

referência, constituem a informação de configuração atual.
Biblioteca de Mídia Definitiva – BMD
103
Uma ou mais localidades em que as versões definitivas e autorizadas de todos os itens
de configuração de software são armazenadas de maneira segura. A BMD também pode
conter IC’s associados, como licenças e documentação.
Figura 34:Biblioteca de mídia definitiva
a) Planejamento:
a. Objetivos e escopo da BDGC;
b) Identificação de itens de configuração;
a. Definir tipos de ICs, convenções de nome, versionamento;
c) Registro e controle
a. Registrar novos ICs;
b. Atualizar ICs existentes;
d) Acompanhamento de status
a. Registras e atualizar status do ciclo de vida de cada IC;
104
e) Verificação
a. Verificar em intervalos planejados se as informações condizem com a realidade;
a) Cada IC deve ser documentado. A informação registrada para cada IC deve

garantir um controle eficaz e incluir:
a. A descrição do IC
b. Relacionamento entre o IC e outros IC
c. Relacionamento entre o IC e componentes do serviço
d. Situação
e. Versão
f. Localidade
g. Requisições de mudança associadas
h. Problemas e erros conhecidos
b) Os ICs devem ser identificados de forma única e registrado no BDGC;
c) Deve haver um procedimento documentado para o registro, controle,
rastreamento de versões e ICs;
d) Os registos dos ICs armazenados no BDGC devem ser auditados pelo provedor;
e) Informações do BDGC devem ser fornecidas ao processo de gerenciamento de
mudanças para dar apoio à avaliação de requisições de mudança;
f) Mudanças nos ICs devem ser rastreáveis e auditáveis;
g) Uma linha de base de configuração dos ICs afetados deve ser guardada antes da
implantação da liberação em produção;
h) Cópias principais dos ICs devem ser armazenados em bibliotecas físicas ou
eletrônicas seguras;
i) Deve haver interface definida entre o gerenciamento de configuração e
gerenciamento dos ativos financeiros.
Convém que:
105
a) Seja designado um gerente responsável pelos ativos e configurações
importantes para garantir segurança e controle adequados;
b) Adotar as seguintes recomendações para atender aos requisitos obrigatórios do
processo:
a. Planejamento e implementação
b. Identificação da configuração
c. Controle da configuração
d. Acompanhamento do status
e. Verificação e auditoria
Planejamento e implementação. Convém:
a) Elaborar um plano de configuração contendo:

a. Escopo, objetivos, políticas, papéis e responsabilidades;
b. Descrição dos processos para definição e controle de mudanças dos ICs;
c. Requisitos;
d. Controle de configuração;
e. Interfaces dos processos de controle entre os fornecedores, clientes, outros;
b) Planejamento e estabelecimento de recursos para manter o Sistema de
Gerenciamento de Configuração e o controle sob os ativos;
c) Gerenciamento de fornecedores que realizem gerenciamento de configuração;
d) Estabelecer uma integração com o gerenciamento de mudanças e o
gerenciamento de liberação e implantação.
Identificação da configuração. Convém que:
a) Todos os ICs sejam identificados de forma única;

b) Os ICs sejam identificados com critérios e incluam:
a. Documentação relacionada aos sistemas e softwares;
b. Bases de referência e descrições de construção por ambiente;
c. Biblioteca de mídia definitiva (BMD);
d. Licenças;
e. Componentes de segurança;
106
f. Ativos físicos que precisam ser rastreados pelo gerenciamento de ativos do
provedor;
g. Documentação relacionada ao serviço;
h. Instalações de apoio;
i. Relacionamentos e dependências entre os ICs;
Registro e controle
a) Definir os tipos de IC, o desenvolvimento detalhado do BDGC, os atributos dos

ICs e seus relacionamentos;
b) Acompanhamento de status. Convém que:
a. Registros de configuração reflitam as mudanças;
b. Registros de status forneça informações sobre o histórico atual e passado,
relacionado a cada IC;
c. Relatórios de configuração sejam disponibilizado para as partes interessadas;
Verificação e auditoria. Convém que:

a) Os processos de verificação e auditoria da configuração, física e funcional,
sejam planejados;
b) A verificação seja realizada para garantir que existem processos e recursos
adequados para:
a. Proteger as configurações físicas e o capital intelectual;
b. Assegurar que o fornecedor de serviços tenha controle de suas configurações
c. Fornecer confiança de que a informação de configuração seja exata, controlada
e que os registros são exatos
c) Auditorias de configuração seja realizada regularmente, antes e depois de
mudanças significativas, após desastres e em intervalos aleatórios.
107
9.2. Gerenciamento de mudanças
Objetivo
Garantir que todas as mudanças nos serviços os componentes de TI sejam avaliados,

aprovadas, implementadas e revisadas de forma controlada.
Este processo é responsável pelo registro, classificação, aceitação, avaliação, aprovação,

agendamento e revisão de mudança.
Requisição de mudança – RDM
Proposta para uma mudança a ser feita em um serviço, componente de serviço o sistema
de gestão de serviço (SGS) [ISO/IEC 20000-1].
É um pedido formal para fazer uma mudança. Inclui os detalhes da mudança solicitada e
pode ser registrada em papel ou em formato eletrônico. O termo é frequentemente confundido
com o registro da mudança ou com a mudança propriamente dita.
Registro de mudança
É um registro contendo os detalhes de uma mudança. Cada registro de mudança

documenta o ciclo de vida de uma única mudança.
Mudança emergencial
É uma mudança com característica de alta criticidade que precisam ser implementadas o
mais rápido possível, como resolver um incidente grave ou implementar path de segurança.
Precisam ser controladas por um procedimento específico para lidar com mudanças
emergenciais.
Risco
É um evento possível pode causar perdas ou danos, ou afetar a habilidade de atingir os

objetivos.
Cronograma de mudanças
É um documento contendo todas as mudanças autorizadas com as respectivas datas de

implementação planejadas, além das datas estimadas para mudanças de longo prazo.
108
a) Registrar:
a. Todas as RDM
b) Revisar e filtrar:
a. Decidir sobre aceitar uma RDM aplicando critérios definidos
c) Classificar:
a. Classificar quanto a prioridade (impacto x urgência)
b. Classificar quanto a categoria
d) Autorizar e planejar:
a. Autorizar mudanças para desenvolvimento, orçamento e planejamento de
recursos
e) Coordenar:
a. Construção
b. Testes
c. Implantação
f) Avaliar e encerrar:
a. Revisão pós implantação (RPI)
b. Encerramento formal da mudança
a) Estabelecer uma política de gerenciamento de mudanças, definindo:

a. Itens de configuração que estão sob o controle de gerenciamento de mudanças;
b. Critérios para determinar mudanças com potencial para causas um impacto
significativo nos serviços.
b) São consideradas mudanças com potencial de impacto significativo:
a. Remoção de um serviço de produção;
b. Transferência de um serviço do provedor para o cliente ou para outra parte
interessada
c) Deve existir um procedimento documentado para registrar, classificar, avaliar e
aprovar a RDM
d) O provedor deve documentar e acordar como cliente sobre a definição de uma
mudança emergencial:
a. Deve existir um procedimento documentado mudanças emergenciais
109
e) As requisições de mudança devem:
a. Ter um escopo definido;
b. Ser registradas e classificadas;
c. Ser gerenciadas pelo gerenciamento de mudanças;
d. Ser avaliadas utilizando informações sobre o gerenciamento de mudanças e
outros processos;
f) As requisições de mudança com potencial para causar impacto significativo nos
serviços e no cliente devem ser gerenciadas pelo processo de desenho e
transição de serviços;
g) O provedor e outras partes interessadas devem tomar decisões sobre a aceitação
das RDM’s;
a. A tomada de decisão deve considerar riscos, impactos potenciais no serviço e
no cliente, requisitos do serviço, benefícios para o negócio, viabilidade técnica e
impacto financeiro
h) As mudanças aprovadas devem ser desenvolvidas e testadas;
i) Definir e comunicar o cronograma de mudanças com os detalhes das mudanças
aprovadas e as datas planejadas para implantação. Esse cronograma deve ser
usado como base para planejamento e implantação das liberações;
j) Devem ser planejadas as atividades para reverter ou remediar uma mudança que
não teve sucesso;
k) Os registros da base de dados de gerenciamento de configuração devem ser
atualizados após a implantação das mudanças;
l) O provedor deve analisar criticamente a eficácia das mudanças a tomar ações
em acordo com as partes interessadas;
m) As RDM’s devem ser analisadas em intervalos planejados para detectar
tendências e os resultados da análise devem ser registrados e analisados
criticamente para identificar oportunidades de melhoria;
[ISO/IEC 20000-2 – Recomendações] – Práticas recomendadas
Planejamento e implementação. Convém que:

a) O gerenciamento de mudanças garanta que:
a. A mudança tenha um escopo claramente definido e documentado;
110
b. Seja aprovada apenas as mudanças com benefício para o negócio;
c. Mudanças sejam planejadas com base na prioridade e no risco;
d. Mudanças na infraestrutura sejam verificadas tecnicamente e qualitativamente
durante a sua implementação;
b) A informação sobre a programação das mudanças esteja disponível para as
partes afetadas pela mudança;
c) As pessoas concordem com os horários de mudanças com parada em horário
normal de serviço;
Encerramento e análise crítica da requisição de mudança. Convém que:
a) Uma análise crítica após a implementação seja realizada para todas as

mudanças significativas para verificar que:
a. A mudança atingiu seus objetivos
b. Os clientes estão satisfeitos com os resultados
c. Não houve efeitos colaterais inesperados
Mudanças emergenciais
a) Seguir o fluxo e os procedimentos definidos para o processo de mudança

emergencial;
b) Devido a emergência da mudança, alguns aspectos podem ser documentados
posteriormente;
c) Convém que estas mudanças sejam justificadas pelo implementador e testadas
após a mudança;
9.3. Gerenciamento de liberação e implantação
Objetivo
Entregar, distribuir e rastrear uma ou mais mudanças em uma liberação no ambiente de

produção.
Liberação
Agrupamento de um ou mais itens de configuração, novos ou modificados, implantados

no ambiente de produção como resultado de uma ou mais mudanças [ISO/IEC 20000-1].
111
a) Política e planejamento de liberação:

a. Desenvolver o plano de liberação, estratégia e orientações para as próximas
atividades;
b) Construção de liberação:
a. Construção dos planos de liberação incluindo todas as ferramentas e
documentos para a distribuição da liberação
c) Testes de aceitação:
a. Teste de liberação em um ambiente de simulação
d) Revisão de prontidão da liberação:
a. Avaliação dos resultados dos testes e decisão de ir ou não ir em relação a
liberação
e) Informação para o gerenciamento de mudanças:
a. Avisar o gerenciamento de mudanças se ainda não tiver pronto;
f) Planejamento de distribuição:
a. Detalhes da liberação física no ambiente da produção;
b. Verificação se o ambiente está pronto para liberação;
c. Prazos para distribuição e períodos para alocação de recursos;
d. Comunicação e treinamento;
e. Planos separados para diferentes locais;
g) Preparação para distribuição
a. Garantir que todos os recursos incluídos no plano de liberação estão
disponíveis;
b. Pré-requisitos para o plano de remediação precisam ser atendidos;
a) Estabelecer uma política de liberação declarando a frequência e os tipos de

liberações, e deve ser acordado com o cliente;
b) O provedor deve planejar com o cliente e as partes interessadas a implantação
de serviços ou componentes de serviço novos ou modificados no ambiente de
produção;
112
a. Esse planejamento deve ser coordenado com o gerenciamento de mudanças,
incluindo referências às requisições de mudanças, a erros conhecidos e
problemas que estão sendo encerados
b. O planejamento deve incluir as datas de implantação de cada liberação,
entregáveis e métodos de implantação.
c) O provedor deve documentar e acordar com o cliente acerca da definição de
uma liberação emergencial:
a. Liberações emergenciais devem ser gerenciadas de acordo com um
procedimento de liberação documentado que possua interface com o
procedimento de mudanças emergenciais;
d) Liberações devem ser construídas e testadas antes da implantação, e usado um
ambiente controlado de teste e aceitação para criação e testes de liberação;
e) Os critérios de aceitação para a liberação devem ser acordados com o cliente e
as partes interessadas;
f) A liberação deve ser verificada em relação aos critérios de aceitação acordados
e aprovada antes da implantação;
g) A liberação deve ser implantada em produção de forma que a integridade do
hardware, software e de outros componentes seja mantida durante a
implantação;
h) As atividades necessárias para reverter ou remediar uma implantação sem
sucesso devem ser planejadas;
i) As liberações sem sucesso devem ser investigadas e ações acordadas devem ser
tomadas;
j) O resultado das liberações deve ser monitorado e analisado. As medições
devem incluir incidentes relacionados após sua implantação;
k) As análises devem incluir avaliações de impacto da liberação no cliente. Os
resultados e conclusões das análises devem ser registrados e analisados
criticamente para identificar oportunidades de melhorias;
l) Informações sobre o sucesso ou falhas nas liberações e datas de liberações
futuras devem ser fornecidas ao gerenciamento de mudança e gerenciamento de
incidentes e requisições de serviço;
113
m) Informações devem ser fornecidas para o gerenciamento de mudanças para
apoiar as avaliações de impacto de requisições de mudanças para liberações e
planos de implantação.
[ISO/IEC 20000-2 – Recomendações] – Práticas recomendadas
Política de liberação. Convém que:
a) Uma política de liberação cubra pelo menos os seguintes aspectos:

a. Frequência e natureza da liberação;
b. Papéis e responsabilidades;
c. Comitê para tomada de decisão para transferir do ambiente teste de aceita para
o de produção;
d. Identificação e descrição das liberações;
e. Abordagem para construção de mudanças em forma de uma liberação;
f. Abordagem para automatização dos processos de construção, liberação e
instalação de liberação;
g. Verificação e aceitação da liberação.
Planejamento da liberação e da implantação. Convém:

a) Garantir que os itens de configuração que estão para ser liberados sejam
compatíveis uns com os outros e com itens de configuração no ambiente de
produção
b) Que sejam considerados os seguintes aspectos:
a. Data de liberações e descrição do trabalho relacionado;
b. Mudanças, problemas, erros conhecidos associados e novos erros conhecidos
descobertos durante os testes;
c. Processos associados para implementar a liberação através de todas as unidades;
d. Processo de verificação e aceitação;
e. Comunicação, preparação, documentação e treinamento para os clientes e
pessoal de suporte;
f. Logística e processos para compra, armazenamento, descarte, outros Recursos
de suporte necessários;
g. Identificação de dependências e riscos associados;
114
h. Encerramento formal de liberação;
i. Planejamento de possíveis auditorias;
Desenho, construção e configuração de liberação. Convém que:

a) A liberação e distribuição sejam desenhadas e implementadas para alcançar os
seguintes objetivos:
a. Estar em conformidade com os padrões do provedor de serviços;
b. Garantir a integridade durante todas as fases da liberação;
c. Usar bibliotecas de mídia definitiva e repositórios de peças;
d. Identificar claramente os riscos e implementar medidas de remediação;
e. Verificar a plataforma de destino de uma liberação;
f. Verificar que uma liberação está completa após a transferência;
g. Os processos de construção, instalação, liberação e distribuição podem ser
automatizados para reduzir erros, garantir que o processo é reproduzível e que
novas liberações possam ser implementadas rapidamente;
h. Verificação e aceitação da liberação
Convém que:
a) Cada liberação receba um aceite formal por parte de uma pessoa autorizada
b) O processo de verificação e aceitação:
a. Verifique que o ambiente de teste corresponde ao ambiente de produção;
b. Garanta que a liberação foi criada a partir de itens de configuração controlados;
c. Verifique a execução de testes apropriados;
d. Garante que os testes foram conduzidos para satisfazer o negócio e a TI;
e. Garanta que uma autoridade de liberação aprova cada estágio de testes de
aceitação;
f. Verifique, antes da instalação, que o ambiente de destino atende aos requisitos
de hardware e software;
g. Verifique que uma liberação está completa após a implantação.
Documentação. Convém que:
a) Forneça documentação adequada sob o controle do gerenciamento da

configuração. Essa documentação inclui:
a. Documentação de apoio;
115
b. Procedimentos de instalação e suporte, ferramentas de diagnóstico, instruções
de operação e administração;
c. Procedimentos de contingência e retorno;
d. Planos de treinamentos para TI e para o negócio;
e. Linha de base de configuração dos itens de configuração;
f. Mudanças, problemas e erros conhecidos associados;
g. Evidência de autorização para liberação;
h. Evidência relacionada à verificação e à aceitação;
b) Detalhes de erros conhecidos sejam comunicados para o gerenciamento de
incidentes;
c) Informar o gerenciamento de mudanças quando a liberação for rejeitada,
postergada ou cancelada;
Implantação, distribuição e instalação. Convém que:
a) Os processos de implantação, distribuição e instalação garantam que:

a. Todas as áreas de armazenamento de hardware e software são seguras
b. Existam procedimentos apropriados para armazenamento entrega, recepção e
descarte;
c. Verificações sejam planejadas e conduzidas nas instalações, equipamentos e
sistemas elétricos;
d. Todas as partes interessadas sejam informadas de novas liberações;
e. Produtos, serviços, licenças redundantes sejam desativados.
b) Os resultados do aceite e questionários de avaliação de satisfação sejam
realimentados para o gerenciamento de relações de negócio;
c) Após completar com sucesso a instalação, todos os ICs sejam atualizados com
local e proprietário;
d) Após a distribuição de software na rede, é essencial verificar se a liberação está
completa e operacional.
Pós-liberação e implantação. Convém que:
a) Incidentes relacionados a liberações sejam analisados;

b) O gerenciamento de mudanças realize uma revisão pós-implementação;
116
c) As recomendações a dessa revisão podem ser incluídas no plano de melhoria de
serviço (PMS)
7. Dicas de provas e resolução de simulados
EXIN ITSM Foundation
a) Grupo alvo: Empregados, prestadores de serviços e cliente que desejam

b) Conhecimento prévio: Nenhum
c) Requisitos do Exame: Nenhum
d) Detalhes do exame
a. Número de Questões: 40
b. Índice de Aprovação: 65% (26 de 40)
c. Utilização de material de apoio durante o exame: não
d. Utilização de equipamentos eletrônicos durante o exame: não
EXIN ITSM Foundation Bridge
e) Grupo alvo: Profissionais experientes em Gerenciamento de Serviços de TI e

prestadores de serviços que desejam se familiarizar com Gerenciamento de
Serviços de acordo com a ISO/IEC 20000.
f) Conhecimento prévio: Para realizar seu exame de Foundation Bridge em
Gerenciamento de Serviços de TI com base na ISO/IEC 20000 você deve
apresentar seu certificado em ITIL® Fundamentos em qualquer versão (é
necessário enviar o certificado ITIL® Fundamentos).
g) Requisitos do Exame: Nenhum
h) Detalhes do exame
a. Número de Questões: 20
b. Índice de Aprovação: 65% (13 de 20)
c. Utilização de material de apoio durante o exame: não
d. Utilização de equipamentos eletrônicos durante o exame: não
Onde realizar o exame:
a) UNICIT
117
b) O exame é presencial
Recomendações para você se preparar para o exame
a) Durante o curso preparatório

a. Participe ativamente do curso
b. Faça um resumo
c. Revise o conteúdo estudado e faça os exercícios
d. Faça os simulados
b) Após o curso preparatório
a. Revise a apostila e os slides do curso
b. Faça um resumo ou anotações
c. Faça simulados e procure obter um aproveitamento superior a 85%
d. Se o aproveitamento for inferior, revise o conteúdo a não avance para próximos
tópicos
e. Analise os seus erros e procure o conteúdo para assimilar os conceitos
f. Não decore as questões dos simulados
Recomendações durante o exame
a) Mantenha a calma;
b) Leia atentamente cada questão e se certifique que entendeu o que está sendo
pedido;
c) Leia e considere todas as opções de resposta antes de você escolher sua opção;
d) Certifique de sua escolha é a resposta certa;
e) Responda primeiramente as questões mais fáceis;
8. Referências Bibliográficas
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS ISO/IEC 20000-1:2011,

Tecnologia da Informação – Gerenciamento de Serviços – Parte 1: Requisitos do sistema de
gerenciamento de serviços.
ABNT NBR ISO 9001:2015, Sistemas de gestão da qualidade – Requisitos.
118
ABNT, Normas, Disponível em: < http://www.abnt.org.br/normalizacao/o-que-e/o-que-e >
Acesso em: 12 Julho de 2016.
SOULA, JOSÉ MARIA FIORINO, ISO/IEC 20000 Gerenciamento de Serviços de tecnologia

da informação Teoria e Prática.
Material obtido ou consultado na WEB

ISO, International Organization for Standardization, Disponível em:
http://www.iso.org/iso/home.htm
Material obtido ou consultado na WEB

ABNT, Associação Brasileira de Normas Técnicas, Disponível em: http://www.abnt.org.br/
ITIL. The Official Introduction to the ITIL – Service Lifecycle. London: ITIL Official
Publisher, 2011.
ITIL. Service Strategy. London: ITIL Official Publisher, 2011.
ITIL. Service Design. London: ITIL Official Publisher, 2011.
ITIL. Service Transition. London: ITIL Official Publisher, 2011.
ITIL. Service Operation. London: ITIL Official Publisher, 2011.
ITIL Continual Service Improvement. London: ITIL Official Publisher, 2011.
ITIL. Glossary. London: ITIL Official Publisher, 2011.
119

UniCIT - Apostila ISO 20000 - Patricie Medova

Enviado por

Direitos autorais:

Formatos disponíveis

UniCIT - Apostila ISO 20000 - Patricie Medova

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

UniCIT - Apostila ISO 20000 - Patricie Medova

Enviado por

Direitos autorais:

Formatos disponíveis

Manual de treinamento

Curso preparatório para

Brasília, 11 de Julho de 2016.

Este treinamento visa fornecer as habilidades e conhecimentos fundamentais para

A ênfase está nos fundamentos sobre o Sistema de Gestão de Serviços (SGS) e em

 Programa de qualificação profissional do EXIN baseado na norma ISO 20000.

2. Programa de qualificação profissional do EXIN baseado na ISO 20000..8

2.1. Carreira ITIL x ITSM..................................................................................9

2.2. Carreira ITSM.............................................................................................9

2.3. Exames ITSM Nível Foundation..............................................................10

3. Introdução à ISO/IEC 20000....................................................................12

3.1. ABNT – Associação Brasileira de Normas Técnicas...............................12

3.2. ISO – International Organization for Standardization..............................13

3.3. IEC – International Electrotechnical Commission....................................13

3.4. Princípios da gestão da Qualidade..........................................................27

3.5. Sistema de Gestão da Qualidade............................................................28

3.6. Gerenciamento de serviços de TI............................................................29

3.7. Benefícios do gerenciamento de serviços de TI......................................30

3.9. Elementos do processo:..........................................................................31

3.10. Características essenciais do processo (para a ITIL):............................32

3.11. Eficiência x Eficácia do processo............................................................33

3.12. TI orientada a processos.........................................................................33

3.13. Papéis e responsabilidades no gerenciamento de serviços de TI..........33

3.14. Uso de ferramentas de gerenciamento de serviços:...............................34

3.15. Frameworks de qualidade........................................................................34

4. Requisitos Gerais para o SGS.................................................................38

4.1. Responsabilidade da direção...................................................................39

4.1.1. Compromisso da direção:........................................................................39

4.1.3. Autoridade, responsabilidade e comunicação;........................................40

4.1.4. Representante da direção;.......................................................................40

4.2. Governança de processos operados por outras partes..........................41

4.3. Gerenciamento de documentação...........................................................41

4.3.1. Estabelecer e manter documentos..........................................................42

4.3.2. Controle de documentos..........................................................................42

4.3.3. Controle de registros................................................................................42

4.4. Gerenciamento de recursos.....................................................................43

4.4.1. Disponibilização de recursos...................................................................43

4.4.2. Recursos humanos..................................................................................43

4.5. Estabelecimento e melhorias...................................................................44

4.5.1. Definição de escopo................................................................................45

4.5.2. Planejar o SGS........................................................................................45

4.5.3. Implantação e operação do SGS.............................................................46

4.5.4. Monitorar e analisar criticamente o SGS.................................................46

4.5.5. Manter e melhorar o SGS........................................................................48

5. Desenho e transição de serviços.............................................................51

5.1. Requisitos gerais:.....................................................................................52

5.2. Planejar serviços novos ou modificados..................................................53

5.3. Desenho e desenvolvimento de serviços novos ou modificados............54

5.4. Transição de serviços novos ou modificados..........................................54

6. Processos de fornecimento de serviços..................................................55

6.1. Gerenciamento de nível de serviço.........................................................56

6.2. Relato de serviço.....................................................................................61

6.3.1. Requisitos de continuidade e disponibilidade de serviço........................66

6.3.2. Planos de continuidade e disponibilidade de serviço..............................66

6.3.3. Monitoramento e testes de continuidade e disponibilidade de serviço...67

6.4. Orçamento e contabilização para serviços..............................................70

6.5. Gerenciamento de capacidade................................................................73

6.6. Gerenciamento de segurança da informação.........................................76

6.6.1. Políticas de segurança da informação.....................................................77

6.6.2. Controles de segurança da informação...................................................77