TS ISO/IEC 20000-1 - intranet.eker.comintranet.eker.com/.../Harici_dokumanlar/TS_ISO_IEC_20000_1.pdf · Örneğin; bir HYS, ISO 9001’i esas alan bir kalite yönetim sistemiyle veya

TÜRK STANDARDITURKISH STANDARD

TS ISO/IEC 20000-1 Nisan 2013

ICS 03.080.99; 35.020

BİLGİ TEKNOLOJİSİ - HİZMET YÖNETİMİ - BÖLÜM 1: ÖZELLİKLER Information technology - Service management - Part 1: Service management system requirements

TÜRK STANDARDLARI ENSTİTÜSÜ Necatibey Caddesi No.112 Bakanlıklar/ANKARA

TÜRK STANDARDLARININ TELiF HAKKI TSE'YE AiTTiR. STANDARDIN BU NÜSHASININ KULLANIM iZNi TSE TARAFINDANEKER SÜT ÜRÜNLERi GIDA SAN A.S.'A VERiLMiSTiR. BASILMA TARiHi: 31.07.2015TSE'DEN iZiN ALINMADAN STANDARDIN BiR BÖLÜMÜ/TAMAMI iLTiBAS EDiLEMEZ, ÇOGALTILAMAZ.

Bugünkü teknik ve uygulamaya dayanılarak hazırlanmış olan bu standardın, zamanla ortaya çıkacak gelişme ve değişikliklere uydurulması mümkün olduğundan ilgililerin yayınları izlemelerini ve standardın uygulanmasında karşılaştıkları aksaklıkları Enstitümüze iletmelerini rica ederiz.

Bu standardı oluşturan İhtisas Grubu üyesi değerli uzmanların emeklerini; tasarılar üzerinde görüşlerini bildirmek suretiyle yardımcı olan bilim, kamu ve özel sektör kuruluşları ile kişilerin değerli katkılarını şükranla anarız.

Kalite Sistem Belgesi İmalât ve hizmet sektörlerinde faaliyet gösteren kuruluşların sistemlerini TS EN ISO 9000 Kalite Standardlarına uygun olarak kurmaları durumunda TSE tarafından verilen belgedir.

Türk Standardlarına Uygunluk Markası (TSE Markası) TSE Markası, üzerine veya ambalâjına konulduğu malların veya hizmetin ilgili Türk Standardına uygun olduğunu ve mamulle veya hizmetle ilgili bir problem ortaya çıktığında Türk Standardları Enstitüsü’nün garantisi altında olduğunu ifade eder.

TSEK Kritere Uygunluk Belgesi (TSEK Markası Kullanma Hakkı) Kritere Uygunluk Belgesi; Türk Standardları bulunmayan konularda firmaların ürünlerinin ilgili uluslararası standardlar, benzeri Türk Standardları, diğer ülkelerin milli standardları, teknik literatür esas alınarak Türk Standardları Enstitüsü tarafından kabul edilen Kalite Faktör ve Değerlerine uygunluğunu belirten ve akdedilen sözleşme ile TSEK Markası kullanma hakkı verilen firma adına düzenlenen ve üzerinde TSEK Markası kullanılacak ürünlerin ticari Markası, cinsi, sınıfı, tipi ve türünü belirten geçerlilik süresi bir yıl olan belgedir.

DİKKAT! TS işareti ve yanında yer alan sayı tek başına iken (TS 4600 gibi), mamulün Türk Standardına uygun üretildiğine dair üreticinin beyanını ifade eder. Türk Standardları Enstitüsü tarafından herhangi bir garanti söz konusu değildir.

Standardlar ve standardizasyon konusunda daha geniş bilgi Enstitümüzden sağlanabilir.

TÜRK STANDARDLARININ YAYIN HAKLARI SAKLIDIR.


ICS 03.080.99; 35.020 TÜRK STANDARDI TS ISO/IEC 20000-1/Nisan 2013

Ön söz

Bu standard, Türk Standardları Enstitüsü’nün Bilgi Teknolojileri ve İletişim İhtisas Grubu’nca TS ISO/IEC 20000-1:2011’nin revizyonu olarak hazırlanmış ve TSE Teknik Kurulu’nun 25 Nisan 2013 tarihli toplantısında kabul edilerek yayımına karar verilmiştir.

Bu standardın daha önce yayımlanmış bulunan baskıları geçersizdir.

Bu standardın kabulü ile TS ISO/IEC 20000-1:2011 iptal edilmiştir.

Bu standardın hazırlanmasında, milli ihtiyaç ve imkanlarımız ön planda olmak üzere, milletlerarası standardlar ve ekonomik ilişkilerimiz bulunan yabancı ülkelerin standardlarındaki esaslar da gözönünde bulundurularak; yarar görülen hallerde, olabilen yakınlık ve benzerliklerin sağlanmasına ve bu esasların, ülkemiz şartları ile bağdaştırılmasına çalışılmıştır.

Bu standard son şeklini almadan önce; bilimsel kuruluşlar, üretici/ imalatçı ve tüketici durumundaki konunun ilgilileri ile gerekli işbirliği yapılmış ve alınan görüşlere göre olgunlaştırılmıştır.




İçindekiler

0 Giriş ........................................................................................................................................................... 1 1 Kapsam ...................................................................................................................................................... 2

1.1 Genel ................................................................................................................................................... 2 1.2 Uygulama ............................................................................................................................................ 3

2 Atıf yapılan standard ve/veya dokümanlar ............................................................................................ 4 3 Terimler ve tarifler .................................................................................................................................... 4

3.1 Kullanılabilirlik ...................................................................................................................................... 4 3.2 Yapılandırma referans bilgisi ............................................................................................................... 4 3.3 Yapılandırma öğesi (CI) ...................................................................................................................... 4 3.4 Yapılandırma yönetimi veritabanı (CMDB) ......................................................................................... 4 3.5 Sürekli iyileştirme ................................................................................................................................ 4 3.6 Düzeltici faaliyet .................................................................................................................................. 4 3.7 Müşteri ................................................................................................................................................. 4 3.8 Doküman ............................................................................................................................................. 5 3.9 Etkinlik ................................................................................................................................................. 5 3.10 İhlal olayı .......................................................................................................................................... 5 3.11 Bilgi güvenliği ................................................................................................................................... 5 3.12 Bilgi güvenliği ihlal olayı ................................................................................................................... 5 3.13 İlgili taraf .......................................................................................................................................... 5 3.14 Kuruluş içi grup ................................................................................................................................ 5 3.15 Bilinen hata ...................................................................................................................................... 5 3.16 Uygunsuzluk .................................................................................................................................... 5 3.17 Kuruluş ............................................................................................................................................. 6 3.18 Önleyici faaliyet ............................................................................................................................... 6 3.19 Sorun ............................................................................................................................................... 6 3.20 Prosedür .......................................................................................................................................... 6 3.21 Süreç ............................................................................................................................................... 6 3.22 Kayıt ................................................................................................................................................. 6 3.23 Sürüm .............................................................................................................................................. 6 3.24 Değişiklik talebinde bulunma ........................................................................................................... 6 3.25 Risk .................................................................................................................................................. 6 3.26 Hizmet .............................................................................................................................................. 7 3.27 Hizmet bileşeni ................................................................................................................................ 7 3.28 Hizmetin sürekliliği ........................................................................................................................... 7 3.29 Hizmet seviyesi anlaşması (SLA) .................................................................................................... 7 3.30 Hizmet yönetimi ............................................................................................................................... 7 3.31 Hizmet yönetim sistemi (HYS) ......................................................................................................... 7 3.32 Hizmet sağlayıcı .............................................................................................................................. 7 3.33 Hizmet talebinde bulunma ............................................................................................................... 8 3.34 Hizmet gereksinimi .......................................................................................................................... 8 3.35 Tedarikçi .......................................................................................................................................... 8 3.36 Üst yönetim ...................................................................................................................................... 8 3.37 Dönüşüm ......................................................................................................................................... 8

4 Hizmet yönetim sisteminin genel gereksinimleri .................................................................................. 8 4.1 Yönetim sorumluluğu .......................................................................................................................... 8 4.2 Diğer taraflarca yürütülen süreçlerin yönetişimi .................................................................................. 9 4.3 Dokümantasyon yönetimi .................................................................................................................... 9 4.4 Kaynak yönetimi ................................................................................................................................ 10 4.5 HYS’nin kurulması ve iyileştirilmesi ................................................................................................... 10

5 Yeni ya da değişen hizmetlerin tasarlanması ve dönüşümü ............................................................. 13 5.1 Genel ................................................................................................................................................. 13 5.2 Yeni veya değişen hizmetlerin planlanması ...................................................................................... 13 5.3 Yeni veya değişen hizmetlerin tasarlanması ve geliştirilmesi ........................................................... 13 5.4 Yeni veya değişen hizmetlerin dönüşümü ........................................................................................ 14

6 Hizmet sunma süreci ............................................................................................................................. 14 6.1 Hizmet seviyesi yönetimi ................................................................................................................... 14 6.2 Hizmetin raporlanması ...................................................................................................................... 15



6.3 Hizmetin sürekliliğinin ve kullanılabilirliğinin yönetimi ....................................................................... 15 6.4 Hizmetlerin bütçelendirilmesi ve muhasebeleştirilmesi ..................................................................... 16 6.5 Kapasite yönetimi .............................................................................................................................. 16 6.6 Bilgi güvenliği yönetimi ...................................................................................................................... 17

7 İlişki süreçleri .......................................................................................................................................... 17 7.1 İş ilişkisi yönetimi ............................................................................................................................... 17 7.2 Tedarikçi yönetimi ............................................................................................................................. 18

8 Çözüm süreçleri ...................................................................................................................................... 19 8.1 İhlal olayı ve hizmet talebi yönetimi................................................................................................... 19 8.2 Sorun yönetimi .................................................................................................................................. 19

9 Kontrol süreçleri ..................................................................................................................................... 20 9.1 Yapılandırma yönetimi ...................................................................................................................... 20 9.2 Değişiklik yönetimi ............................................................................................................................. 21 9.3 Sürüm ve yerleştirme yönetimi .......................................................................................................... 21

Kaynakça ........................................................................................................................................................ 23



1

Bilgi teknolojisi - Hizmet yönetimi - Bölüm 1: Özellikler

0 Giriş Bu standarddaki gereksinimler, gerek müşteri, gerekse hizmet sağlayıcı için hizmet gereksinimlerini karşılayan ve değer sunan hizmetlerin tasarlanmasını, dönüşümünü, verilmesini ve iyileştirilmesini kapsar. Bu standard; hizmet sağlayıcı, bir Hizmet Yönetim Sistemi(HYS)ni planlarken, kurarken, gerçekleştirirken, işletirken, izlerken, gözden geçirirken, sürdürürken ve iyileştirirken tümleşik bir süreç yaklaşımını gerekli kılar. Bir HYS’nin koordineli biçimde bütünleştirilmesi ve gerçekleştirilmesi, sürekli iyileştirme, daha fazla etkinlik ve verimlilik için sürekli kontrol yapılmasını sağlar ve bunun için fırsatlar sunar. Süreçlerin bu standardda belirtildiği şekilde işletilmesi, personelin iyi biçimde organize olmasını ve birbirleriyle koordineli faaliyette bulunmasını gerektirir. Süreçlerin etkili ve verimli olmasını sağlamak için uygun araçlar kullanılabilir. En etkili hizmet sağlayıcılar, sürekli iyileştirme de dahil olmak üzere, stratejiden başlayarak tasarım, dönüşüm ve işletim boyunca, hizmetin yaşam döngüsünün tüm aşamaları boyunca, HYS üzerindeki tesirigöz önünde bulundurur. Bu standard, “Planla, Uygula, Kontrol et, Önlem al” (PUKÖ) olarak bilinen metodolojinin HYS’nin ve hizmetlerin tüm bölümlerine uygulanmasını gerekli kılar. PUKÖ metodolojisinin bu standardda uygulandığı hali, aşağıda belirtildiği şekilde kısaca açıklanabilir: Planla: HYS’nin kurulması, dokümante edilmesi ve üzerinde anlaşmaya varılmasıdır. HYS, hizmet gereksinimlerini yerine getirmek amacıyla politikaları, amaçları, planları ve süreçleri içerir. Uygula: Hizmetlerin tasarlanması, dönüşümü, verilmesi ve iyileştirilmesi için HYS’nin uygulanması ve işletilmesidir. Kontrol et: HYS’nin ve hizmetlerin politikalar, amaçlar, planlar ve hizmet gereksinimleri açısından izlenmesi, ölçülmesi ve gözden geçirilmesi ile sonuçların raporlanmasıdır. Önlem al: HYS’nin ve hizmetlerin performasını sürekli olarak iyileştirmek amacıyla işlemlerin yapılmasıdır. Bir HYS içerisinde kullanıldığında, tümleşik süreç yaklaşımının ve PUKÖ metodolojisinin en önemli yönleri aşağıda belirtilmiştir: a) Müşteri memnuniyetini elde etmek için hizmet gereksinimlerinin anlaşılması ve yerine getirilmesi, b) Hizmet yönetimi için politikanın oluşturulması ve amaçların belirlenmesi, c) Müşteri için değer katan HYS’yi esas alan hizmetlerin tasarlanması ve sunulması, ç) HYS’nin ve hizmetlerin performasının izlenmesi, ölçülmesi ve gözden geçirilmesi, d) Amaç ölçümlerini esas alarak HYS’nin ve hizmetlerin sürekli olarak iyileştirilmesi. 5 ila 9’uncu maddelerde belirtilen hizmet yönetimi süreçleri de dahil olmak üzere, PUKÖ metodolojisinin HYS’ye ve hizmetlere nasıl uygulanabileceği Şekil 1’de gösterilmiştir. PUKÖ metodolojisinin her öğesi, HYS’nin başarılı bir biçimde gerçekleştirilmesinin önemli bir parçasıdır. Bu standardda kullanılan iyileştirme süreci, PUKÖ metodolojisine dayanmaktadır.



2

Şekil 1 – Hizmet yönetimine uygulanan PUKÖ metodolojisi Bu standard, bir hizmet sağlayıcıya, kuruluşundaki HYS’nin diğer yönetim sistemleriyle birlikte kullanmasına imkân sağlar. Ayrıca, tümleşik bir süreç yaklaşımının ve PUKÖ metodolojisinin kuruluşun bünyesine uyarlanması, birden fazla yönetim sistem standardının sıraya konulması veya anılan standardların tam olarak bir arada kullanılması konusunda da hizmet sağlayıcıya imkân sağlar. Örneğin; bir HYS, ISO 9001’i esas alan bir kalite yönetim sistemiyle veya ISO/IEC 27001 standardını esas alan bir bilgi güvenliği yönetim sistemiyle entegre edilebilir. ISO/IEC 20000 standardında belirli bir şekilde yol gösterilmesinden bilhassa kaçınılmıştır. Hizmet sağlayıcı, genel kabul gören kılavuzu ve kendi deneyimlerini bir arada kullanabilir. Uluslararası bir standardı kullananlar, standardın doğru şekilde uygulanmasından sorumludur. Uluslararası bir standardın, yasal gereksinimlerin ve hizmet sağlayıcının sözleşmeden kaynaklanan yükümlülüklerinin tümünü içermesi amaçlanmaz. Uluslararası bir standarda uymak, yerine getirilmesi gereken yasal yükümlülüklerde ayrıcalık tanınması anlamına da gelmez. Hizmet yönetimi standardları üzerinde araştırma yapılması maksadıyla, kullanıcıların ISO/IEC 20000-1 standardı ve ISO/IEC 20000 serisindeki diğer standardlardaki değişiklikler konusundaki öncelikler hakkındaki görüşlerini paylaşmaları teşvik edilir. Çevrim içinde yapılan kamuoyu araştırmasında pay sahibi olmak için aşağıdaki bağlantı tıklanmalıdır.

ISO/IEC 20000-1 çevrim içi kamuoyu araştırması.

1 Kapsam

1.1 Genel Bu standard, bir hizmet yönetimi sistem (HYS) standardıdır.Bir HYS’yi planlamak, kurmak, gerçekleştirmek, işletmek, izlemek, gözden geçirmek, sürdürmek ve iyileştirmek için hizmet sağlayıcının gereksinimlerini kapsar. Söz konusu gereksinimler, hizmet gereksinimlerini karşılamak için hizmetlerin tasarlanmasını, dönüşümünü, verilmesini ve iyileştirilmesini içerir. Bu standard; a) Hizmet sağlayıcılardan hizmet almak isteyen ve kendi hizmet gereksinimlerini karşılayacak güvenceyi

talep eden kuruluşlar, b) Bir tedarik zincirindeki de dahil olmak üzere, kendi hizmet sağlayıcılarının tümü tarafından tutarlı bir

yaklaşım ortaya koyması istenen kuruluşlar, c) Hizmet gereksinimlerini karşılayan hizmetlerin tasarlanması, dönüşümü, verilmesi ve iyileştirilmesi

konularında kendi yeteneğini göstermek isteyen bir hizmet sağlayıcı,



3

ç) Hizmet yönetimi süreçlerini ve hizmetlerini izlemek, ölçmek ve gözden geçirmek isteyen bir hizmet sağlayıcı,

d) Bir HYS’nin etkili biçimde gerçekleştirilmesi ve işletilmesiyle, hizmetlerin tasarımını, dönüşümünü ve

verilmesini iyileştirmek isteyen bir hizmet sağlayıcı, e) Bir hizmet sağlayıcının HYS’sini, bu standardın gereksinimlerine uygunluğunu belirlemek amacıyla

kıstas olarak kullanmak isteyen bir değerlendirici veya denetçi tarafından kullanılabilir Şekil 2, hizmet yönetimi süreçleri de dahil olmak üzere bir HYS’yi gösterir. Hizmet yönetimi süreçleri ve süreçler arasındaki ilişkiler, farklı hizmet sağlayıcılar tarafından değişik yollarla gerçekleştirilebilir. Bir hizmet sağlayıcı ile müşteri arasındaki ilişkinin doğası, hizmet yönetimi süreçlerinin nasıl gerçekleştirildiğini etkiler.

Şekil 2 - Hizmet yönetimi sistemi

1.2 Uygulama Bu standardda geçen tüm gereksinimler, genel özelliklere sahiptir ve anılan gereksinimlerin, verilen hizmetin türüne, büyüklüğüne ve içeriğine bakılmaksızın tüm hizmet sağlayıcılara uygulanması düşünülmüştür. Bir hizmet sağlayıcı, bu standarda uygun olduğunu beyan ettiğinde, hizmet sağlayıcı kuruluşun yapısına bakılmaksızın,4 ila 9’uncu maddelerde belirtilen gereksinimlerden herhangi birinin hariç tutulması kabul edilemez. Madde 4’te yer alan gereksinimlere uygunluk, bir hizmet sağlayıcı tarafından yalnızca Madde 4’teki gereksinimlerin tümünün yerine getirildiğinin kanıtı ortaya konularak gösterilebilir. Hizmet sağlayıcı, Madde 4’te belirtilen gereksinimler için diğer taraflarca yürütülen süreçlerin yönetişiminin kanıtını kullanamaz. Madde 5 ila Madde 9’da yer alan gereksinimlere uygunluk, bir hizmet sağlayıcı tarafından tüm gereksinimlerin karşılandığının kanıtı ortaya konularak gösterilebilir. Alternatif olarak, hizmet sağlayıcı, gereksinimlerin çoğunluğunu kendisinin yerine getirdiğinin kanıtını ve hizmet sağlayıcının doğrudan yürütmediği süreçler veya söz konusu süreçlerin bölümleri için başka taraflarca yürütülen süreçlerin yönetişiminin kanıtını gösterebilir. Bir ürün veya araca yönelik özellikler, bu standardın kapsamı dışındadır. Bununla birlikte, kuruluşlar, bir HYS’nin işletilmesini destekleyen araçların ve ürünlerin geliştirilmesine yardımcı olması bakımından bu standardı kullanabilir. Not - ISO/IEC TR 20000-3, bu standardın kapsamının tanımı ve uygulanabilirliği konusunda kılavuzluk eder.

Diğer taraflarca yürütülen süreçlerin yönetişimi hakkında daha fazla bilgi de anılan standardda yer alır.



4

2 Atıf yapılan standard ve/veya dokümanlar Aşağıda verilen, atıf yapılan standardların hükümleri Bu TR’nin hükümleri sayılır. Tarih belirtilen atıflarda, daha sonra yapılan tadil ve revizyonlar uygulanmaz. Bununla birlikte, Bu TR’ye dayalı anlaşmalarda taraflara, aşağıda verilen standardların en yeni baskılarını uygulama imkânını araştırmaları önerilir. Tarih belirtilmeyen atıflarda, ilgili standardın en son baskısı kullanılır. Bütün standardların yürürlükte bulunan baskıları TSE’den temin edilebilir.

EN, ISO, IEC vb. No

Adı (İngilizce)

TS No Adı (Türkçe)

ISO/IEC 20000-2 Information technology – Service management – Part 2: Guidance on the application of service management systems¹

ISO/IEC 20000-2

Bilgi teknolojisi – Hizmet yönetimi – Bölüm 2: Hizmet yönetimi sistemlerinin uygulanması konusunda kılavuz

3 Terimler ve tarifler Bu standardın amaçları bakımından, aşağıda verilen terimler ve tarifleri uygulanır.

3.1 Kullanılabilirlik Bir hizmetin veya hizmet bileşeninin, istenen zamanda ya da üzerinde mutabık kalınan süre zarfında gerekli işlevini yerine getirmesi yeteneği. Not - Kullanılabilirlik, normal olarak, hizmetin veya hizmet bileşeninin, hizmetin verilmesi hususunda

mutabık kalınan süre zarfında müşteri tarafından kullanılması için fiilen uygun olduğu zamanın oranı veya yüzdesi şeklinde ifade edilir.

3.2 Yapılandırma referans bilgisi Bir hizmetin ya da hizmet bileşeninin var olduğu süre zarfında, belli bir zamanda usulen belirlenmiş yapılandırma bilgisi. Not 1 - Yapılandırma referans bilgisine ek olarak anılan referans bilgilerine ilişkin onaylı değişiklikler de cari

yapılandırma bilgisini oluşturur. Not 2 - ISO/IEEE 24765:2010 standardından uyarlanmıştır.

3.3 Yapılandırma öğesi (CI) Bir hizmeti veya hizmetleri vermek amacıyla kontrol edilmesine ihtiyaç duyulan öğe.

3.4 Yapılandırma yönetimi veritabanı (CMDB) Yaşam döngüsü boyunca, yapılandırma öğelerinin özellikleri ile yapılandırma öğelerinin ilişkilerini kayıt altına almada kullanılan veri tabanı.

3.5 Sürekli iyileştirme Hizmet gereksinimlerini yerine getirme yeteneğini arttırmak için tekrar edilen faaliyet. Not - ISO 9000:2005 standardından uyarlanmıştır.

3.6 Düzeltici faaliyet Tespit edilen bir uygunsuzluğun veya istenmeyen başka bir durumun nedenini ortadan kaldırma veya tekrarlanma olasılığını azaltmafaaliyeti. Not - ISO 9000:2005 standardından uyarlanmıştır. ¹) Yayımlanacaktır.

3.7 Müşteri Hizmeti veya hizmetleri alan kuruluş veya bir kuruluşun bölümü. Not 1 - Bir müşteri, hizmet sağlayıcı kuruluşun içinden veya dışından olabilir. Not 2 - ISO 9000:2005 standardından uyarlanmıştır.



5

3.8 Doküman Bilgi ve bilgiyi destekleyen ortam. [ISO 9000: 2005] Örnekler: Politikalar, planlar, süreç açıklamaları, prosedürler, hizmet seviyesi anlaşmaları, sözleşmeler veya kayıtlar. Not 1 - Dokümantasyon herhangi bir ortam biçiminde veya türünde olabilir. Not 2 - ISO/IEC 20000 standardında, kayıtlar dışındaki dokümanlar, başarı hedeflerini ifade eder.

3.9 Etkinlik Planlanan hangi faaliyetlerin gerçekleştiği ve beklenen hangi sonuçlara ulaşıldığı bilgisi. [ISO 9000:2005]

3.10 İhlal olayı Bir hizmetin verilmesi sırasında umulmadık bir kesinti yaşanması, bir hizmetin kalitesinde azalma olması ya da müşteriye verilen hizmete tesiri henüz yansımamış olan olay.

3.11 Bilgi güvenliği Bilginin gizliliğinin, bütünlüğünün ve erişilebilirliğinin korunması. Not 1 - İlave olarak; aslına uygunluk, hesap verilebilirlik, inkar edememe, güvenilirlik gibi başka özellikler de

bu kapsama alınabilir. Not 2 - “Kullanılabilirlik”, bu başlık için uygun olmayacağı değerlendirilen bu standardda tanımlanan bir terim

olduğundan bu tarifte yer almamaktadır. Not 3 - ISO/IEC 27000:2009 standardından uyarlanmıştır.

3.12 Bilgi güvenliği ihlal olayı İşle ilgili işlemleri tehlikeye düşürme ve bilgi güvenliğini tehdit etme olasılığı büyük olan istenmeyen veya beklenmeyen bilgi güvenliği olayı veya olaylar serisi. [ISO/IEC 27000: 2009]

3.13 İlgili taraf Hizmet sağlayıcının faaliyetinin veya faaliyetlerinin yerine getirilmesine veya başarılmasına özel bir ilgi duyan kişi veya grup. Örnekler: Müşteriler, mal sahipleri, yönetim, hizmet sağlayıcının kuruluşundaki insanlar, tedarikçiler, bankalar, birlikler veya ortaklıklar. Not 1 - Bir grup; bir kuruluştan, kuruluşun bir bölümünden veya birden fazla kuruluştan meydana gelebilir. Not 2 - ISO/IEC 9000:2005 standardından uyarlanmıştır.

3.14 Kuruluş içi grup Bir hizmet veya hizmetlerin tasarlanmasına, dönüşümüne, verilmesine ve iyileştirilmesine katkı sağlamak amacıyla hizmet sağlayıcıyla yazılı bir anlaşma yapan hizmet sağlayıcı kuruluşunun bölümü. Not - Kuruluş içi grup, hizmet sağlayıcının HYS’sinin kapsamı dışındadır.

3.15 Bilinen hata Belirlenmiş bir ana nedeni olan veya sorunun etrafında çalışarak bir hizmete olan tesirini azaltma veya ortadan kaldırma yöntemi bulunan sorun.

3.16 Uygunsuzluk Bir gereksinimin yerine getirilmemesi.



6

3.17 Kuruluş Sorumlulukların, yetkilerin ve ilişkilerin düzenlendiği insanlar veya tesisler grubu. Örnekler: Şirket, işbirliği, firma, girişim, kurum, yardım kuruluşu, tek satıcı, birlik veya burada sayılanların bölümleri veya biraraya gelmesi. Not 1 - Düzenleme genellikle kurallıdır. Not 2 - Bir kuruluş, kamuya ait veya özel olabilir. [ISO 9000: 2005]

3.18 Önleyici faaliyet Olası bir uygunsuzluğun veya başka olası uygunsuz durumdan sakınmak veya nedenlerini ortadan kaldırmak ya da meydana gelme olasılığını azaltmak için yapılan faaliyet. Not - ISO/IEC 9000:2005 standardından uyarlanmıştır.

3.19 Sorun Bir ya da daha fazla sayıdaki ihlal olayının arkasında yatan bilinmeyen neden. Not - Ana neden, soruna ilişkin kayıt oluşturulduğu anda genelikle bilinmez ve sorun yönetimi süreci daha

fazla araştırma yapmaktan sorumludur.

3.20 Prosedür Bir faaliyeti veya süreci yürütmek için belirlenen usul. [ISO 9000: 2005] Not - Prosedürler, yazılı olabilir veya olmayabilir.

3.21 Süreç Girdileri, sonuçlara dönüştüren karşılıklı ilişki veya etkileşimli faaliyetler kümesi.

3.22 Kayıt Elde edilen sonuçları belirten ya da yapılan faaliyetlerin kanıtını ortaya koyan doküman. [ISO 9000: 2005] Örnekler: Denetim raporları, ihlal olayı raporları, eğitim kayıtları veya toplantı tutanakları.

3.23 Sürüm Bir ya da daha fazla değişikliğin bir sonucu olarak canlı ortama yerleştirilen bir veya daha fazla sayıda yeni veya değişmiş yapılandırma öğesinin bir araya gelmesi.

3.24 Değişiklik talebinde bulunma Bir hizmette, hizmet bileşeninde veya hizmet yönetimi sisteminde yapılacak bir değişiklik için talepte bulunma. Not - Bir hizmetteki değişiklik, yeni bir hizmetin verilmesini veya daha fazla gerekli olmayan bir hizmetin

kaldırılmasını içerir.

3.25 Risk Amaçlar üzerindeki belirsizliğin etkisi Not 1 - Bir etki, beklenenden olumlu ve/veya olumsuz yönde sapmadır. Not 2 - Amaçların farklı yönleri (mali, sağlık ve emniyet ile ilgili ve çevreyle ilgili hedefler) olabilir ve farklı

seviyelerde (stratejik, kuruluş çapında, proje, ürün ve süreç bazında) uygulanabilir.



7

Not 3 - Risk; sıklıkla, olası olaylar ve sonuçları veya bunların bir arada kullanılması şeklinde ifade edilir. Not 4 - Risk; sıklıkla, bir olayın sonuçlarının birarada kullanılmasıyla ve tekrar meydana gelme olasılığıyla

ifade edilir. [ISO 31000: 2009]

3.26 Hizmet Müşterinin elde etmek istediği sonuçları kolaylaştırarak müşteriye değerin sunulma usulleri. Not 1 - Hizmet genellikle soyuttur. Not 2 - Bir hizmet; bir tedarikçi, kuruluş içinden bir grup veya bir tedarikçi olarak hareket eden bir müşteri

tarafından da hizmet sağlayıcıya sunulabilir.

3.27 Hizmet bileşeni Diğer ünitelerle bir araya geldiğinde, eksiksiz bir hizmet verecek olan bir hizmetin tek ünitesi. Örnekler: Donanım, yazılım, araçlar, uygulamalar, dokümantasyon, bilgi, süreçler veya destekleyen hizmetler. Not - Bir hizmet bileşeni, bir ya da daha fazla sayıda yapılandırma öğesinden meydana gelebilir.

3.28 Hizmetin sürekliliği Hizmetlerin, üzerinde mutabık kalınan seviyelerde sürekli olarak sunulması maksadıyla, bir hizmet veya hizmetler üzerinde ciddi tesiri söz konusu olan riskleri ve olayları yönetme yeteneği.

3.29 Hizmet Seviyesi Anlaşması (SLA) Hizmet sağlayıcı ile bir müşteri arasında yapılan, hizmetleri ve hizmet hedeflerini tanımlayan yazılı anlaşma. Not 1 - Bir hizmet seviyesi anlaşması, hizmet sağlayıcı ile bir tedarikçi, kuruluş içinden bir grup ya da bir

tedarikçi olarak hareket eden bir müşteri arasında da tesis edilebilir. Not 2 - Bir hizmet seviyesi anlaşması, bir sözleşmeye veya başka türdeki yazılı bir anlaşmaya dahil

edilebilir.

3.30 Hizmet yönetimi Hizmet gereksinimlerini karşılamak amacıyla hizmetlerin tasarımı, dönüşümü, verilmesi ve iyileştirilmesi için hizmet sağlayıcının faaliyetlerini ve kaynaklarını yönlendirmeye ve kontrol etmeye yönelik yetenekler ve süreçler kümesi.

3.31 Hizmet Yönetim Sistemi (HYS) Hizmet sağlayıcının hizmet yönetimi faaliyetlerini yönlendirmeye ve kontrol etmeye yönelik yönetim sistemi. Not 1 - Bir yönetim sistemi, politika ve amaçları tesis etmek ve söz konusu amaçlara ulaşmak için karşılıklı

ilişkide veya etkileşimde bulunan öğeler kümesidir. Not 2 - HYS; hizmetlerin tasarlanması, dönüşümü, sunulması ve iyileştirilmesi için gerekli olan tüm hizmet

yönetimi politikalarını, amaçlarını, planlarını, süreçlerini, dokümantasyonunu, kaynaklarını ve bu standardda yer alan gereksinimleri karşılamayı kapsar.

Not 3 - ISO 9000:2005 standardında yer alan “kalite yönetim sistemi”nin tanımından uyarlanmıştır.

3.32 Hizmet sağlayıcı Bir hizmet veya hizmetlerin müşteriye sunulmasını yöneten ve söz konusu hizmet veya hizmetleri veren bir kuruluş veya kuruluşun bir bölümü. Not - Bir müşteri, hizmet sağlayıcının kuruluşunun içinden veya dışından olabilir.



8

3.33 Hizmet talebinde bulunma Bir hizmet veya önceden onay verilen bir değişiklik hakkında bilgi, tavsiye veya erişim isteğinde bulunma.

3.34 Hizmet gereksinimi Hizmet seviyesi gereksinimleri de dahil olmak üzere, hizmeti alan müşteriler ile kullanıcıların ihtiyaçları ve hizmet sağlayıcının ihtiyaçları.

3.35 Tedarikçi Hizmet sağlayıcı kuruluşun dışından olan ve bir hizmet veya hizmetlerin ya da süreçlerin tasarlanmasına, dönüşümüne, sunulmasına ve iyileştirilmesine katkıda bulunmak için hizmet sağlayıcı ile anlaşma yapan kuruluş veya kuruluşun bir bölümü. Not - “Tedarikçiler” terimi, belirlenmiş ana tedarikçileri kapsarken, alt yüklenici konumundaki tedarikçiler bu

kapsama dahil değildir.

3.36 Üst yönetim Hizmet sağlayıcıyı en üst seviyede yönlendiren ve kontrol eden kişi veya kişilerden oluşan grup. ISO 9000: 2005 standardından uyarlanmıştır.

3.37 Dönüşüm Yeni veya değişen hizmetlerin canlı ortama veya canlı ortamdan taşınmasındaki faaliyetler.

4 Hizmet yönetim sisteminin genel gereksinimleri

4.1 Yönetim sorumluluğu

4.1.1 Yönetimin desteği Üst yönetim, aşağıdaki hususları yerine getirerek HYS’nin ve hizmetlerin planlanmasına, kurulmasına, gerçekleştirilmesine, işletilmesine, izlenmesine, gözden geçirilmesine, sürdürülmesine ve iyileştirilmesine büyük önem verdiğinin kanıtını ortaya koymalıdır: a) Hizmet yönetimi için kapsamın, politikanın ve amaçların belirlenmesi ve duyurulması, b) Politikalara bağlı kalmak, hizmet yönetimi amaçlarına ulaşmak ve hizmet gereksinimlerini yerine

getirmek amacıyla hizmet yönetimi planının hazırlanmasının, gerçekleştirilmesinin ve sürdürülmesinin sağlanması,

c) Hizmet gereksinimlerinin karşılanmasının öneminin duyurulması, ç) Yasa ve Yönetmeliklerin gerekleri ile sözleşmeden doğa yükümlülüklerin yerine getirilmesinin öneminin

duyurulması, d) Kaynakların kullanılmasının sağlanması, e) Planlanan zaman aralıklarında yönetimin gözden geçirilmesinin sağlanması, f) Hizmetlere ilişkin risklerin belirlenmesinin ve yönetilmesinin sağlanması.

4.1.2 Hizmet yönetimi politikası Üst yönetim, hizmet yönetimi politikasının; a) Hizmet sağlayıcının amaçları için uygun olmasını, b) Hizmet gereksinimlerini karşılamak için işe adanmışlığı içermesini, c) Madde 4.5.5.1’de belirtilen sürekli iyileştirme konusundaki politika vasıtasıyla, HYS’nin ve hizmetlerin

etkinliğinin sürekli iyileştirilmesine adanmışlığı içermesini, ç) Hizmet yönetimi amaçlarının tesis edilmesi ve gözden geçirilmesi için bir çerçeve oluşturulmasını, d) Hizmet sağlayıcının personeline duyurulmasını ve anılan personel tarafından anlaşılmasını, e) Elverişliliğini sürdürmesi için gözden geçirilmesini sağlamalıdır.

4.1.3 Yetki, sorumluluk ve iletişim Üst yönetim; a) Hizmet yönetimi yetkilerinin ve sorumluluklarının tanımlanmasını ve sürdürülmesini, b) İletişim için yazılı hale getirilen prosedürlerin tesis edilmesini ve gerçekleştirilmesini sağlamalıdır.

4.1.4 Yönetimin temsilcisi Üst yönetim, hizmet sağlayıcı yönetimin, aşağıdaki yetki ve sorumluluklara sahip bir üyesini, anılan üyenin başka sorumluluklarını dikkate almaksızın belirlemelidir.



9

a) Faaliyetlerin hizmet gereksinimlerini belirlemek, yazılı hale getirmek ve anılan gereksinimleri yerine getirmek için faaliyetlerin yapılmasının sağlanması,

b) Hizmet gereksinimlerinin, hizmet yönetimi politikası ve amaçlarına uygun olarak tasarlanmasının, gerçekleştirilmesinin ve iyileştirilmesinin sağlanması amacıyla yetki ve sorumlulukların belirlenmesi,

c) Hizmet yönetimi süreçlerinin HYS’nin diğer bileşenleri ile bütünleştirilmesinin sağlanması, ç) Hizmetlerin verilmesinde kullanılan lisanslar da dahil olmak üzere, varlıkların yasa ve yönetmelikler ile

sözleşmeden doğan yükümlülüklere uygun biçimde yönetilmesinin sağlanması, d) HYS ve hizmetlerin yerine getirilmesi ve iyileştirilmesine yönelik fırsatlar hakkında üst yönetime rapor

verilmesi.

4.2 Diğer taraflarca yürütülen süreçlerin yönetişimi Madde 5 ila 9’da yer alan süreçler için hizmet sağlayıcı, başka taraflarca yürütülen tüm süreçler ile anılan süreçlerin bölümlerini tespit edecektir. Diğer taraflar, kuruluş içi bir grup olabileceği gibi bir müşteri veya tedarikçi de olabilir. Hizmet sağlayıcı, aşağıdaki faaliyetlerin diğer taraflarca yürütülen süreçlerinin yönetişimini göstermelidir. a) Süreçler ve süreçlere bağlı olmayı gerektiren yetki için hesap verilebilirliğin gösterilmesi, b) Süreçlerin tanımının ve başka süreçlerin arayüzlerininkontrol edilmesi, c) Süreç performansı ile süreç gereksinimlerine uyumun tespit edilmesi, ç) Süreç iyileştirmelerinin ve önceliklendirmelerinin kontrol edilmesi. Bir tedarikçinin süreçlerin bölümlerini işlettiği durumda, hizmet sağlayıcı da tedarikçi yönetimi süreci vasıtasıyla tedarikçiyi yönetecektir. Kuruluş içinden bir grup veya bir müşterinin süreci işletmesi durumunda ise hizmet sağlayıcı, hizmet seviyesi yönetim süreciyle söz konusu grubu veya müşteriyi yönetecektir. Not - ISO/IEC TR 20000-3 standardı, bu standardın kapsamının tanımı ve uygulanabilirliği konularında

kılavuzluk eder. ISO/IEC TR 20000-3 standardında başka taraflarca yürütülen süreçlerin yönetişimi hakkında daha fazla bilgi de yer almaktadır.

4.3 Dokümantasyon yönetimi

4.3.1 Dokümanların hazırlanması ve sürdürülmesi Hizmet sağlayıcı, hizmet yönetiminin etkili şekilde planlanması, işletilmesi ve kontrol edilmesini sağlamak için kayıtlar da dahil olmak üzere dokümanları hazırlamalı ve sürdürmelidir. Söz konusu dokümanlar, aşağıda belirtilenleri içermelidir: a) Hizmet yönetimi için yazılı hâle getirilen politikalar ve amaçlar, b) Yazılı hâle getirilen hizmet yönetim planı, c) Bu standardın gerekli kıldığı belirli süreçler için oluşturulan yazılı hâldeki politikalar ve planlar, ç) Yazılı hâle getirilen hizmetler kataloğu, d) Yazılı hâle getirilen HSA’lar, e) Yazılı hâle getirilen hizmet yönetim süreçleri, f) Bu standardın gerekli kıldığı yazılı hâldeki prosedürler ve kayıtlar, g) HYS’nin etkili biçimde işletilmesini ve hizmetlerin sunulmasını sağlamak için hizmet sağlayıcı tarafından

gerekli görüldüğü belirlenen, dış kaynaklı olanlar da dahil olmak üzere ilave diğer dokümanlar.

4.3.2 Dokümanların kontrolü HYS’nin gerektirdiği dokümanlar kontrol edilmelidir.. Kayıtlar, özel bir belge türüdür ve Madde 4.3.3’te belirtilen hususlara göre kontrol edilecektir. Yetki ve sorumluluklar da dahil olmak üzere yazılı hâle getirilen bir prosedür, aşağıda belirtilenleri yerine getirmek için gerekli olan kontrolleri tanımlamak amacıyla oluşturulacaktır: a) Prosedür devreye alınmadan önce belgelerin hazırlanması ve onaylanması, b) Yeni veya değişiklik yapılan belgeler hakkında ilgili taraflara duyuruda bulunulması, c) Gerekli görüldüğünde belgelerin gözden geçirilmesi ve sürdürülmesi, ç) Belgelerdeki değişikliklerin ve belgelerin yürürlükteki revizyon durumunun belirlendiğinden emin

olunması, d) Kullanılabilir belgelerin ilgili sürümlerinin kullanım noktasında bulunduğundan emin olunması, e) Belgelerin hali hazırda bulunabilir ve okunabilir olduğundan emin olunması, f) Dış kaynaklı belgelerin tespit edildiğinden ve dağıtımının kontrol edildiğinden emin olunması,



10

g) Kullanımdan kalkan belgelerin amaç dışı kullanımının önlenmesi ve söz konusu belgelerin yeniden kullanılması durumunda uygun şekilde tanınabilmesinin sağlanması.

4.3.3 Kayıtların kontrolü HYS’nin gereksinimlerine uygunluğu ve HYS’nin etkili biçimde işletildiğini göstermek için kayıtlar tutulmalıdır. Yazılı hâle getirilen bir prosedür; kayıtların belirlenmesi, saklanması, korunması, geri kurtarılması, alıkonulması ve yok edilmesi için gerekli olan kontrolleri tanımlamak amacıyla oluşturulmalıdır. Kayıtlar, okunabilir, hali hazırda bulunabilir ve geri kurtarılabilir olmalıdır.

4.4 Kaynak yönetimi

4.4.1 Kaynakların sağlanması Hizmet sağlayıcı, aşağıda belirtilen hususlar için gerekli olan insan, teknik, bilgi ve mali kaynakları belirlemeli ve sağlamalıdır: a) HYS’nin ve hizmetlerin tesis edilmesi, gerçekleştirilmesi, sürdürülmesi ve etkili olmaları için sürekli

olarak iyileştirilmesi, b) Hizmet gereksinimlerini yerine getiren hizmetlerin sunulmasıyla müşteri memnuniyetinin arttırılması.

4.4.2 İnsan kaynakları Hizmet gereksinimlerine uygunluğu etkileyen işi yapan hizmet sağlayıcının personeli; uygun eğitim, öğretim beceri ve deneyim konusunda ehil olmalıdır. Hizmet sağlayıcı; a) Personeli için gerekli yeterliliği belirlemeli, b) Uygun olması durumunda, gerekli yeterliğe ulaşmaları için eğitim vermeli veya başka işlemleri yerine

getirmeli, c) Yapılan işlemlerin etkinliğini değerlendirmeli, ç) Personelinin, hizmet yönetimi amaçlarına ulaşılmasına ve hizmet gereksinimlerinin yerine getirilmesine

nasıl katkıda bulunduğunun farkında olmasını sağlamalı, d) Uygun eğitim, öğretim, beceri ve deneyim kayıtlarının tutulmasını sürdürmelidir.

4.5 HYS’nin kurulması ve iyileştirilmesi

4.5.1 Kapsamın tanımlanması Hizmet sağlayıcı, hizmet yönetimi planında HYS’nin kapsamını tanımlamalı ve plan, HYS’nin kapsamını içermelidir. Kapsam, hizmetleri sunan kuruluş biriminin ismiyle tanımlanmalı ve sunulacak hizmetler tarif edilmelidir. Hizmet sağlayıcı, aşağıda belirtilen hususlar da dahil olmak üzere, sunulacak hizmetlere tesir eden başka faktörleri de göz önüne almalıdır: a) Hizmet sağlayıcının hizmetleri sunduğu noktadaki coğrafi konum/konumlar, b) Müşteri ve müşterilerin konumu/konumları, c) Hizmetlerin sunulmasında kullanılan teknoloji. Not - ISO/IEC TR 20000-3, bu standardın kapsamının tanımı ve uygulanabilirliği konusunda kılavuzluk eder.

4.5.2 HYS’nin planlanması Hizmet sağlayıcı bir hizmet yönetim planı hazırlamalı, gerçekleştirmeli ve sürdürmelidir. Planlamada, hizmet yönetimi politikası, hizmet gereksinimleri ve bu standarddaki gereksinimler göz önüne alınmalıdır. Hizmet yönetimi planı, en azından aşağıda belirtilen hususları içermeli veya kapsamalıdır: a) Hizmet sağlayıcı tarafından ulaşılacak hizmet yönetimi amaçları, b) Hizmet gereksinimleri, c) HYS’ye tesiri dokunabilecek bilinen sınırlamalar, ç) Politikalar, standardlar, yasa ve yönetmeliklerdeki gereksinimler ile sözleşmeden doğan yükümlülükler, d) Yetkiler, sorumluluklar ve süreç rollerinin çerçevesi, e) Planlar, hizmet yönetimi süreçleri ve hizmetler için yetkiler ve sorumluluklar, f) Hizmet yönetimi amaçlarına ulaşmak için gerekli olan insan, teknik, bilgi ve mali kaynaklar,



11

g) Yeni veya değişen hizmet süreçlerinin tasarımında ve dönüşümünde pay sahibi olan taraflarla birlikte çalışırken uygulanacak yaklaşım,

ğ) Hizmet yönetimi süreçleri ile anılan süreçlerin HYS’nin diğer bileşenleriyle bütünleşmesi arasındaki arayüzlerde uygulanacak yaklaşım,

h) Risklerin yönetimi ve risklerin kabul edilmesindeki kıstasta uygulanacak yaklaşım, ı) HYS’yi desteklemede kullanılan teknoloji, i) HYS’nin ve hizmetlerin etkinliğinin nasıl ölçüleceği, denetleneceği, rapor edileceği ve iyileştirileceği. Belli süreçler için hazırlanan planlar, hizmet yönetim planıyla uyumlu olmalıdır. Hizmet yönetim planları ve belli süreçler için hazırlanan planlar, düzenli zaman aralıklarında gözden geçirilmeli ve mümkün olduğunda güncellenmelidir.

4.5.3 HYS’nin gerçekleştirilmesi ve işletilmesi (Uygula) Hizmet sağlayıcı, en azından aşağıda belirtilenleri içeren faaliyetler vasıtasıyla, hizmet yönetim planına göre hizmetlerin tasarımı, dönüşümü, sunumu ve iyileştirilmesi için HYS’yi gerçekleştirmeli ve işletmelidir. a) Fonların ve bütçelerin tahsis edilmesi ve yönetimi, b) Yetkilerin, sorumlulukların ve süreç rollerinin belirlenmesi, c) İnsan, teknik ve bilgi kaynaklarının yönetimi, ç) Hizmetlere ilişkin risklerin belirlenmesi, değerlendirilmesi ve yönetimi, d) Hizmet yönetimi süreçlerinin yönetimi, e) Hizmet yönetimi faaliyetlerinin yerine getirilmesinin izlenmesi ve rapor edilmesi.

4.5.4 HYS ’nin izlenmesi ve gözden geçirilmesi (Kontrol et)

4.5.4.1 Genel Hizmet sağlayıcı, HYS’nin ve hizmetlerin izlenmesi ve ölçülmesi için uygun metotlar geliştirmelidir. Söz konusu metotlar, iç denetimleri ve yönetimin gözden geçirmelerini içermelidir. Tüm iç denetim ve yönetimin gözden geçirmelerinin amaçları yazılı hâle getirilmelidir. İç denetim ve yönetimin gözden geçirmeleri, HYS’nin ve hizmetlerin, hizmet yönetimi amaçlarına ulaşma ve hizmet gereksinimlerini yerine getirme yeteneğini ortaya koymalıdır. Bu standardda geçen gereksinimlerden, hizmet sağlayıcı tarafından tespit edilen HYS gereksinimlerinden veya hizmet gereksinimlerinden karşılanamayanlar tespit edilmelidir. İç denetim ve yönetimin gözden geçirmelerinin sonuçları, uygunsuzluklar, belirlenen hususlar ve işlemler de dahil olmak üzere kayıt altına alınmalıdır. Sonuçlar ve işlemler ilgili taraflara duyurulmalıdır.

4.5.4.2 İç denetim Hizmet sağlayıcı, HYS ve hizmetlerin aşağıda belirtildiği gibi olup olmadığını tespit etmek amacıyla planlanan zaman aralıklarında iç denetim yapmalıdır: a) Bu standartta belirtilen gereksinimlerin karşılanması, b) Hizmet sağlayıcı tarafından tespit edilen hizmet gereksinimleri ile HYS gereksinimlerinin karşılanması, c) Etkili biçimde gerçekleştirilmesi ve sürdürülmesi. Denetimlerin planlanması ve yapılması, sonuçlarının raporlanması ve denetim kayıtlarının sürdürülmesi konularındaki yetki ve sorumlulukları içeren yazılı bir prosedür hazırlanmalıdır. Bir denetim programı planlanmalıdr. Söz konusu programda, önceki denetleme sonuçları kadar denetlenecek süreçlerin ve alanların durumu ve önemi de göz önüne alınmalıdır. Denetim kıstası, kapsamı, sıklığı ve yöntemleri de yazılı olmalıdır. Denetçilerin seçimi ve denetimlerin yapılması, denetimin objektifliğini ve tarafsızlığını garanti etmelidir. Denetçiler, kendi yaptıkları işi denetlememelidir. Gerekli işlemlerin yapılması için, denetimlerde tespit edilen uygunsuzluklar duyurulmalı, önceliklendirilmeli ve sorumluluklar verilmelidir. Tespit edilen uygunsuzlukları ve nedenlerini ortadan kaldırmak amacıyla denetlenen alandan sorumlu olan yönetim, gecikmeksizin her türlü düzeltme ve düzeltici işlemin yapılmasını temin etmelidir. Takip eden faaliyetler, yapılan işlemlerin doğrulanmasını ve sonuçlarının raporlanmasını içermelidir.



12

Not - Yönetim sistemlerinin denetlenmesi konusundaki kılavuz için ISO 19011 standardına bakılmalıdır.

4.5.4.3 Yönetimin gözden geçirmesi Üst yönetim, HYS’nin ve hizmetlerin sürekli biçimde kullanıma hazır ve etkin olmasını temin etmek amacıyla planlanan zaman aralıklarında HYS’yi ve hizmetleri gözden geçirmelidir. Söz konusu gözden geçirme, hizmet yönetimi için politika ve amaçlar da dahil olmak üzere, HYS’nin iyileştirilmesi için fırsatların ve değişiklik ihtiyaçlarının değerlendirilmesini içermelidir. Yönetimin gözden geçirmesindeki girdiler en azından aşağıda belirtilen bilgileri içermelidir: a) Müşterinin geri bildirimi, b) Hizmet ve süreç performansı ve uygunluğu, c) İnsani, teknik, bilgi ve mali kaynak seviyelerinin mevcut durumu ve geleceğine yönelik tahminler, ç) İnsani ve teknik yeteneklerin mevcut durumu ve geleceğine yönelik tahminler, d) Riskler, e) Denetimlerin sonuçları ve sonraki işlemler, f) Önceki denetimlerin sonuçları ve sonraki işlemler, g) Önleyici ve düzeltici işlemlerin durumu, ğ) HYS’ye ve hizmetlere tesiri olabilen değişiklikler, h) İyileştirme fırsatları. Yönetimin gözden geçirme kayıtları sürdürülmelidir. Yönetimin gözden geçirme kayıtları, en azından kaynaklar, HYS’nin etkinliğinin iyileştirilmesi ile hizmetlerin iyileştirilmesiyle ilgili kararları ve işlemleri içermelidir.

4.5.5 HYS’nin sürdürülmesi ve iyileştirilmesi (Önlem al)

4.5.5.1 Genel HYS’nin ve hizmetlerin sürekli olarak iyileştirilmesi konusunda bir politika olmalıdır. Söz konusu politika, iyileştirme için fırsatlar sunacak değerlendirme kıstasını içermelidir. İyileştirmelerin tespit edilmesi, yazılı hâle getirilmesi, değerlendirilmesi, onaylanması, önceliklendirilmesi, yönetilmesi, ölçülmesi ve raporlanması için yetki ve sorumlulukları içeren yazılı bir prosedür olmalıdır. Düzeltici ve önleyici işlemler de dahil olmak üzere iyileştirme fırsatları yazılı olmalıdır. Tespit edilen uygunsuzlukların nedeni düzeltilmelidir. Düzeltici işlemler, tespit edilen uygunsuzlukların tekrarının önlenmesi amacıyla belirlenen nedenleri ortadan kaldırmak için yapılmalıdır. Önleyici işlemler ise olası uygunsuzlukların ortaya çıkmasını önlemek amacıyla olası nedenleri ortadan kaldırmak için yapılmalıdır. Not - Düzeltici ve önleyici işlem hakkında daha fazla bilgi için ISO 9001:2008 standardında Madde 8.5’e

bakılmalıdır.

4.5.5.2 İyileştirmelerin yönetimi İyileştirme fırsatları önceliklendirilmelidir. Hizmet sağlayıcı, iyileştirme fırsatları hakkında karar verirken sürekli iyileştirme konusundaki politikada geçen değerlendirme kıstasını kullanmalıdır. Onaylanan iyileştirmeler planlanmalıdır. Hizmet sağlayıcı, en azından aşağıda belirtilen hususları içeren iyileştirme faaliyetlerini yönetmelidir: a) Kalite, değer, yetenek, maliyet, verimlilik, kaynak kullanımı ve risk azaltma konularının birinde veya

daha fazlasında iyileştirme için hedeflerin belirlenmesi, b) Onaylanan iyileştirmelerin gerçekleştirildiğinden emin olunması, c) Gerekli görüldüğünde hizmet yönetimi politikalarının, planlarının, süreçlerinin ve prosedürlerinin yeniden

gözden geçirilmesi, ç) Belirlenen hedeflere karşılık gerçekleştirilen iyileştirmelerin ölçülmesi ve hedeflere ulaşılamadığında

gerekli işlemlerin yapılması, d) Gerçekleştirilen iyileştirmeler hakkında rapor düzenlenmesi.



13

5 Yeni ya da değişen hizmetlerin tasarlanması ve dönüşümü

5.1 Genel Hizmet sağlayıcı, hizmetler ve müşteri üzerinde önemli derecede tesir etme olasılığı bulunanlar ile tüm yeni ya da değişen hizmetler için bu süreci kullanmalıdır. Madde 5 kapsamında yer alan değişiklikler, değişiklik yönetim sürecinin bir bölümü olarak üzerinde anlaşmaya varılan değişiklik yönetim politikasıyla belirlenmelidir. Madde 5 kapsamında geçen yeni ve değişen hizmetlerin değerlendirilmesi, onaylanması, programlanması ve gözden geçirilmesi, değişiklik yönetim süreciyle denetlenmelidir. Madde 5 kapsamında geçen yeni ve değişen hizmetlerden etkilenen CI’lar yapılandırma yönetim süreciyle denetlenmelidir. Hizmet sağlayıcı, üzerinde anlaşmaya varılan hizmet gereksinimleri ve Madde 5.2 ve Madde 5.3’te belirtilen ilgili gereksinimlere karşılık yeni veya değişen hizmetler için planlama ve tasarım faaliyetlerinde elde edilen sonuçları gözden geçirmelidir. Yapılacak gözden geçirmeye göre, hizmet sağlayıcı sonuçları kabul etmeli veya reddetmelidir. Hizmet sağlayıcı, kabul edilen sonuçların kullanılmasıyla yeni veya değişen hizmetlerin geliştirilmesinin ve dönüşümünün etkili biçimde yapılabileceğinden emin olmak amacıyla gerekli işlemleri yerine getirmelidir. Not - İş ihtiyaçlarını karşılamak ve hizmetlerin etkinliğini iyileştirmek için yeni bir hizmete veya hizmetteki

bir değişikliğe duyulan ihtiyaç, müşteriden, hizmet sağlayıcıdan, kuruluş içindeki bir gruptan veya bir tedarikçiden kaynaklanabilir.

5.2 Yeni veya değişen hizmetlerin planlanması Hizmet sağlayıcı, yeni veya değişen hizmetler için hizmet gereksinimlerini belirlemelidir. Yeni veya değişen hizmetler, hizmet gereksinimlerini karşılamak için planlanmalıdır. Yeni veya değişen hizmetler için planlama yapılırken müşteri ve ilgili taraflarla anlaşma sağlanmalıdır. Hizmet sağlayıcı, yeni veya değişen hizmetlerin verilmesi sırasında, olası mali, kuruluştan kaynaklanan ve teknik seviyedeki tesirleri yapılacak planlamaya girdi olması bakımından göz önüne almalıdır. Hizmet sağlayıcı, yeni veya değişen hizmetlerin HYS üzerindeki olası tesirini de dikkate almalıdır. Yeni veya değişen hizmetler için yapılacak planlama, en azından aşağıda belirtilen hususları kapsamalıdır: a) Tasarım, geliştirme ve dönüşüm faaliyetleri konularında yetki ve sorumluluklar, b) Hizmet sağlayıcıdan diğer taraflara arayüz oluşturulan faaliyetler de dahil olmak üzere, hizmet sağlayıcı

ve diğer taraflarca yapılan faaliyetler, c) İlgili taraflarla iletişim kurulması, ç) İnsani, teknik, bilgi ve mali kaynaklar, d) Planlanan faaliyetler için zaman cetvelleri, e) Risklerin belirlenmesi, değerlendirilmesi ve yönetilmesi, f) Diğer hizmetlere olan bağımlılıklar, g) Yeni veya değişen hizmetler için gerekli olan test işlemi, ğ) Hizmet kabul kriteri, h) Ölçülebilir ifadelerle, yeni veya değişen hizmetlerin verilmesinde beklenen sonuçlar. Kaldırılan hizmetler için hizmet sağlayıcı, hizmetin/hizmetlerin kaldırılmasına yönelik plan yapmalıdır. Planlama; hizmetin kaldırılma tarihini/tarihlerlerini, verinin, dokümantasyonun ve hizmet bileşenlerinin arşivlenmesini, yok edilmesini veya aktarılmasını içermelidir. Hizmet bileşenleri, ilgili lisansların altyapısını ve uygulamalarını içerebilir. Hizmet sağlayıcı, yeni veya değişen hizmetler için hizmet bileşenlerinin sağlanmasına katkı sağlayacak diğer tarafları belirlemelidir. Hizmet sağlayıcı, söz konusu tarafların hizmet gereksinimlerini karşılama yeteneğini değerlendirmelidir. Değerlendirme sonuçları, kayıt altına alınmalı ve gerekli işlemler yapılmalıdır.

5.3 Yeni veya değişen hizmetlerin tasarlanması ve geliştirilmesi Yeni veya değişen hizmetler, en azından aşağıda belirtilenleri içermesi için tasarlanmalı ve yazılı hâle getirilmelidir:



14

a) Yeni veya değişen hizmetlerin verilmesi konusundaki yetki ve sorumluluklar, b) Yeni veya değişen hizmetlerin verilmesi için hizmet sağlayıcı, müşteri ve diğer taraflarca yapılacak

faaliyetler, c) Uygun eğitim, öğretim, beceri ve deneyim için gereksinimleri kapsayan yeni veya değişen insan

kaynakları gereksinimleri, ç) Yeni veya değişen hizmetlerin verilmesi için mali kaynak gereksinimleri, d) Yeni veya değişen hizmetlerin verilmesini desteklemek için yeni veya değişen teknoloji, e) Bu standardın gerektirdiği şekilde yeni veya değişen planlar ve politikalar, f) Hizmet gereksinimleriyle paralel olması için yeni veya değişen sözleşmeler ve diğer yazılı anlaşmalar, g) HYS’deki değişiklikler, ğ) Yeni veya değişen HSA’lar, h) Hizmetler katalogundaki güncellemeler, ı) Yeni veya değişen hizmetlerin verilmesinde kullanılan prosedürler, tedbirler ve bilgiler. Hizmet sağlayıcı, tasarımın, hizmet gereksinimlerini karşılaması için yeni veya değişen hizmetlere imkân vermesini sağlamalıdır. Yeni veya değişen hizmetler, yazılı tasarıma uygun olarak geliştirilmelidir. Not - Tasarım hakkında daha fazla bilgi için ISO 9001:2008 standardında, Madde 7.3‘te yer alan tasarım ve

geliştirme süreci ile ISO/IEC15288:2008 standardında, Madde 6.4.3’te yer alan mimari tasarım sürecine bakılmalıdır.

5.4 Yeni veya değişen hizmetlerin dönüşümü Hizmet gereksinimlerini ve yazılı tasarımı karşıladığını doğrulamak amacıyla yeni veya değişen hizmetler test edilmelidir. Yeni veya değişen hizmetler, hizmet sağlayıcı ve ilgili taraflarca üzerinde önceden mutabık kalınan hizmet kabul kıstasına göre doğrulanmalıdır. Hizmet kabul kıstasının karşılanamaması durumunda hizmet sağlayıcı ve ilgili taraflar gerekli işlemler ve yerleştirme konusunda karar vermelidir. Sürüm ve değişiklik yönetim süreci, onaylanan yeni veya değişen hizmetleri canlı ortama yerleştirmede kullanılmalıdır. Hizmet sağlayıcı, dönüşüm faaliyetlerinin tamamlanmasının ardından, umulan sonuçlara karşılık ulaşılan sonuçlar konusunda ilgili taraflara rapor vermelidir.

6 Hizmet sunma süreci

6.1 Hizmet seviyesi yönetimi Hizmet sağlayıcı, verilecek hizmetler konusunda müşteri ile anlaşmalıdır. Hizmet sağlayıcı, hizmetlere ilişkin bir katalog üzerinde müşteri ile anlaşmaya varmalıdır. Hizmetler kataloğu, hizmetler ile hizmet bileşenleri arasında bağımlılıkları kapsamalıdır. Verilen her hizmet için bir ya da daha fazla HSA konusunda müşteri ile anlaşmaya varılmalıdır. Hizmet sağlayıcı, HSA’lar oluşturulurken hizmet gereksinimlerini dikkate almalıdır. HSA’lar, üzerinde mutabık kalınan hizmet hedeflerini, işyükü özelliklerini ve istisnaları kapsamalıdır. Hizmet sağlayıcı, düzenli aralıklarla hizmetleri ve HSA’ları müşteriyle gözden geçirmelidir. Yazılı hizmet gereksinimlerinde, hizmetler kataloğunda, HSA’larda ve yazılı diğer anlaşmalardaki değişiklikler, değişiklik yönetim süreci ile denetlenmelidir. Hizmetler kataloğu; hizmetlerdeki ve HSA’lardaki değişikliklerin paralel gitmesini sağlamak için değişikliklerin ardından yenilenmelidir. Hizmet sağlayıcı, hizmet hedeflerine karşılık eğilimleri ve performansı düzenli aralıklarla izlemelidir. Sonuçlar, uygunsuzlukların nedenlerini ve iyileştirme fırsatlarını tespit etmek amacıyla kayıt altına alınmalı ve gözden geçirilmelidir. Kuruluş içinden bir grubun veya müşterinin sağladığı hizmet bileşenleri için hizmet sağlayıcı, ik i taraf arasındaki faaliyetleri ve arayüzleri tanımlamak amacıyla yazılı bir anlaşma hazırlamalı, üzerinde mutabık kalınmalı, gözden geçirmeli ve sürdürmelidir. Hizmet sağlayıcı, üzerinde mutabık kalınan hizmet amaçları ve başka taahhütlere karşılık kuruluş içindeki grubun veya müşterinin performansını planlanan zaman



15

aralıklarında izlemelidir. Sonuçlar, uygunsuzlukların nedenlerini ve iyileştirme fırsatlarını tespit etmek amacıyla kayıt altına alınmalı ve gözden geçirilmelidir.

6.2 Hizmetin raporlanması Her hizmet raporunun adı, maksadı, hitap ettiği kesim, hazırlanma sıklığı ve veri kaynağının/kaynaklarının ayrıntılarını içeren açıklaması yazılı olarak yapılmalı ve hizmet sağlayıcı ile ilgili taraflar bu hususta anlaşmalıdır. Hizmet raporları, hizmet yönetimi süreçlerini de içeren, hizmetlerin verilmesinden ve HYS faaliyetlerinden alınan bilgileri kullanan hizmetler için hazırlanmalıdır. Hizmet raporları en azından aşağıda belirtilen hususları kapsamalıdır: a) Hizmet hedeflerine ulaşmak için ortaya konulan performans, b) En azından önemli ihlal olaylarını, yeni veya değişen hizmetleri ve başlatılan hizmet sürekliliği planını

içeren, önemli olaylar hakkında gerekli bilgiler, c) İşgücü hacmi ve işgücündeki dönemsel değişiklikler gibi işgücü nitelikleri, ç) Bu standardın gereksinimlerine, HYS gereksinimlerine veya hizmet gereksinimlerine ve belirlenen

nedenlere karşılık tespit edilen uygunsuzluklar, d) Eğilim bilgisi, e) Müşteri memnuniyetinin ölçülmesi, hizmete ilişkin şikayetler, memnuniyet ölçümü ve şikayetlerin analiz

sonuçları. Hizmet sağlayıcı hizmet raporundaki bulgulara dayanarak karar vermeli ve gerekli işlemleri yapmalıdır. Üzerinde anlaşmaya varılan işlemler, ilgili taraflara duyurulmalıdır.

6.3 Hizmetin sürekliliğinin ve kullanılabilirliğinin yönetimi

6.3.1 Hizmetin sürekliliğine ve kullanılabilirliğine ilişkin gereksinimleri Hizmet sağlayıcı, hizmetin sürekliliğine ve hizmetin kullanılabilirliğine ilişkin riskleri değerlendirmeli ve yazılı hâle getirmelidir. Hizmet sağlayıcı, hizmetin sürekliliğine ve kullanılabilirliğine ilişkin gereksinimleri müşteri ve ilgili taraflarla belirlemeli ve üzerinde anlaşmaya varmalıdır. Üzerinde anlaşmaya varılan gereksinimlerde, uygulanabilir iş planları, hizmet gereksinimleri, HSA’lar ve riskler göz önüne alınmalıdır. Hizmetin sürekliliği ve hizmetin kullanılabilirliğine ilişkin üzerinde anlaşmaya varılan gereksinimler, en azından aşağıda belirtilen hususları kapsamalıdır: a) Hizmetlere erişim hakları, b) Hizmet verme zamanları, c) Bir uçtan diğer uca hizmetlerin kullanılabilirliği.

6.3.2 Hizmetin sürekliliğine ve kullanılabilirliğine ilişkin planlar Hizmet sağlayıcı, bir hizmetin süreklilik planını/planlarını ve kullanılabilirlik planını/planlarını hazırlamalı, gerçekleştirmeli ve sürdürmelidir. Bu planlardaki değişiklikler, değişiklik yönetim süreci ile denetlenmelidir. Hizmetin sürekliliği plan(lar)ı en azından aşağıdaki hususları içermelidir: a) Önemli seviyede bir hizmet kaybı yaşandığında gerçekleştirilecek prosedürler ya da söz konusu

prosedürlere atıfta bulunulması, b) Plan uygulamaya konulduğunda kullanabilirlik hedefleri, c) Kurtarma gereksinimleri, ç) Olağan çalışma koşullarına geri dönüş yaklaşımı. Olağan hizmet konumlarına erişim önlendiğinde, hizmet süreklilik planı/planları, temas kurulacaklar listesi ve CMDB erişilebilir durumda olmalıdır. Kullanılabilirlik planı/planları, en azından kullanılabilirlik gereksinimlerini ve hedeflerini içermelidir. Hizmet sağlayıcı, hizmet süreklilik planı/planları ile kullanılabilirlik planı/planları üzerindeki değişiklik taleplerinin tesirini değerlendirmelidir. Not - Hizmet süreklilik planı/planları ile kullanabilirlik planı/planları tek dokümanda birleştirilebilir.



16

6.3.3 Hizmetin sürekliliğinin ve kullanılabilirliğinin izlenmesi ve test edilmesi Hizmetlerin kullanılabilirliği izlenmeli, sonuçları kayıt altına alınmalı ve mutabık kalınan hedeflerle karşılaştırılmalıdır. Planlanmamış kullanamama durumları araştırılmalı ve gerekli işlemler yapılmalıdır. Hizmetin sürekliliği planları, hizmetin süreklilik gereksinimlerine göre test edilmelidir. Kullanabilirlik planları da kullanılabilirlik gereksinimlerine göre test edilmelidir. Hizmetin sürekliliği ve kullanabilirliği planları, hizmet sağlayıcının işlettiği hizmet ortamındaki önemli değişikliklerden sonra tekrar test edilmelidir. Test sonuçları kayıt altına alınmalıdır. Her testten sonra ve hizmet süreklilik planı başlatıldıktan sonra gözden geçirme yapılmalıdır. Herhangi bir yetersizliğin tespit edilmesi durumunda hizmet sağlayıcı gerekli işlemleri başlatmalı ve yapılan işlemleri raporlamalıdır.

6.4 Hizmetlerin bütçelendirilmesi ve muhasebeleştirilmesi Hizmet süreci ile diğer mali yönetim süreçleri için bütçelendirme ve muhasebeleştirme arasında tanımlanmış bir arayüz bulunmalıdır. Aşağıdaki hususlar için politikalar ve yazılı prosedürler bulunmalıdır: a) En azından aşağıda belirtilenleri içeren hizmet bileşenleri için bütçelendirme ve muhasebeleştirme,

1) Hizmetleri sunmak için kullanılan varlıklar – lisanslar da dahil olmak üzere - , 2) Paylaşılan kaynaklar, 3) Genel giderler, 4) Sermaye ve işletme giderleri, 5) Dışarıdan verilen hizmetler, 6) Personel, 7) Tesisler,

b) Her hizmet için genel maliyeti vermesi için hizmetlere, dolaylı giderlerin dağıtılması ve doğrudan

giderlerin tahsis edilmesi, c) Etkili bir mali kontrol ve onay. Giderler, sunulan hizmetler için etkili bir mali kontrol ve karar verme sürecini mümkün kılmak amacıyla bütçelendirilmelidir. Hizmet sağlayıcı, bütçeye göre giderleri izlemeli ve raporlamalı, mali tahminleri gözden geçirmeli ve giderleri yönetmelidir. Değişiklik taleplerinin maliyetlendirilmesini desteklemek için değişiklik yönetim sürecine bilgi sağlanmalıdır. Not - Pek çok hizmet sağlayıcı verdiği hizmetler için bedel ister. Hizmetler sürecinin bütçelendirilmesinin ve

muhasebeleştirilmesinin kapsamına istenen bedeller dahil değildir.

6.5 Kapasite yönetimi Hizmet sağlayıcı, müşteri ve ilgili taraflarla kapasite ve performans gereksinimlerini tespit etmeli ve bu konularda anlaşmaya varmalıdır. Hizmet sağlayıcı; insani, teknik, bilgi ve mali kaynakları dikkate alarak bir kapasite planı hazırlamalı, gerçekleştirmeli ve sürdürmelidir. Kapasite planındaki değişiklikler, değişiklik yönetim süreciylekontrol edilmelidir. Kapasite planı en azından aşağıdaki hususları içermelidir: a) Hizmetler için mevcut ve tahmini istekler, b) Kullanabilirlik, hizmet sürekliliği ve hizmet seviyeleri için üzerinde anlaşmaya varılan gereksinimlerin

beklenen tesiri, c) Hizmet kapasitesindeki yükseltmeler için zaman cetvelleri, eşikler ve maliyetler, ç) Yasa ve yönetmelikler ile sözleşmelerden veya kuruluştan kaynaklanan değişikliklerin olası tesiri, d) Yeni teknoloji ve tekniklerin olası tesiri, e) Tahmini analizin yapılmasına imkân veren prosedürler veya anılan prosedürlere atıfta bulunulması.



17

Hizmet sağlayıcı, kapasite kullanımını izlemeli, kapasite verisini analiz etmeli ve performansı ayarlamalıdır. Hizmet sağlayıcı, üzerinde anlaşmaya varılan kapasite ve performans gereksinimlerini karşılamak için yeterli kapasiteyi sağlamalıdır.

6.6 Bilgi güvenliği yönetimi

6.6.1 Bilgi güvenliği politikası Uygun yetkilere sahip yönetim, hizmet gereksinimleri, yasa ve yönetmelikler ile sözleşmelerden doğan yükümlülükleri dikkate alarak bir bilgi güvenliği yönetim politikasını onaylamalıdır. Yönetim; a) Bilgi güvenliği politikasını ve politikaya uygunluğun önemini hizmet sağlayıcı, müşteri ve tedarikçilerin

ilgili personeline duyurmalı, b) Bilgi güvenliği yönetim amaçlarının belirlenmesini temin etmeli, c) Bilgi güvenliği risklerinin yönetimi ve risklerin kabul edilmesindeki kıstasa yönelik izlenecek yaklaşımı

tanımlamalı, ç) Bilgi güvenliği risk belirlemelerinin belirli zaman aralıklarında yapılmasını temin etmeli, d) Kuruluş içi bilgi güvenliği denetimlerinin yapılmasını temin etmeli, e) İyileştirme için sunacağı fırsatları tespit etmek amacıyla denetim sonuçlarının gözden geçirilmesini

temin etmelidir.

6.6.2 Bilgi güvenliği kontrolleri Hizmet sağlayıcı, aşağıdaki hususları yerine getirmek amacıyla fiziki, idari ve teknik bilgi güvenliği kontrollerini gerçekleştirmeli ve yürütmelidir. a) Bilgi varlıklarının gizliliğinin, bütünlüğünün ve kullanılabilirliğinin korunması, b) Bilgi güvenliği politikasının gereksinimlerinin yerine getirilmesi, c) Bilgi güvenliği yönetim amaçlarına ulaşılması, ç) Bilgi güvenliği ile ilgili risklerin yönetilmesi. Yukarıda sayılan bilgi güvenliği kontrolleri yazılı hâle getirilmeli ve anılan kontrollerin ilgili olduğu riskler, kontrollerin işletilmesi ve sürdürülmesi açıklanmalıdır. Hizmet sağlayıcı, bilgi güvenliği kontrollerin etkinliğini gözden geçirmelidir. Hizmet sağlayıcı, gerekli işlemleri yapmalı ve yapılan işlemleri raporlamalıdır. Hizmet sağlayıcı; bilgi veya hizmetlerine erişme, kullanma ya da yönetme ihtiyacı duyan dış kuruluşları belirlemelidir. Hizmet sağlayıcı, söz konusu dış kuruluşlarla, bilgi güvenliği kontrollerini yazılı hâle getirmeli, üzerinde anlaşma sağlamalı ve gerçekleştirmelidir.

6.6.3 Bilgi güvenliği değişiklikleri ve ihlal olayları Aşağıda belirtilen hususları tespit etmek amacıyla değişiklik talepleri değerlendirilmelidir: a) Yeni veya değişen bilgi güvenliği riskleri, b) Mevcut bilgi güvenliği politikası ve kontrolleri üzerindeki olası tesiri. Bilgi güvenliği risklerine uygun öncelikle, ihlal olayı yönetim prosedürleri kullanılarak güvenlik ihlal olayları yönetilmelidir. Hizmet sağlayıcı, bilgi güvenliği ihlal olaylarının türlerini, büyüklüğünü ve tesirlerini analiz etmelidir. Bilgi güvenliği ihlal olayları iyileştirme için ortaya çıkacak fırsatları belirlemek için raporlanmalı ve gözden geçirilmelidir. Not - ISO/IEC 27000 serisi standardlar, bir bilgi güvenliği yönetim sisteminin gereksinimlerini açıklar ve

anılan sistemin gerçekleştirilmesini ve işletilmesini desteklemek için kılavuzluk eder.

7 İlişki süreçleri

7.1 İş ilişkisi yönetimi Hizmet sağlayıcı; müşterileri, kullanıcıları ve hizmetlerin ilgili taraflarını tanımlamalı ve yazılı hâle getirmelidir. Hizmet sağlayıcı her müşteri için, müşteri ilişkilerinden ve müşteri memnuniyetinden sorumlu özel bir şahıs belirlemelidir.



18

Hizmet sağlayıcı, müşteri ile bir iletişim mekanizması tesis etmelidir. Söz konusu iletişim mekanizması, hizmetlerin yürütüldüğü iş ortamının ve yeni veya değişen hizmetlerin gereksinimlerinin anlaşılmasını teşvik etmelidir. Bu bilgi, hizmet sağlayıcının söz konusu gereksinimlere cevap vermesini mümkün kılmalıdır. Hizmet sağlayıcı, planlanan zaman aralıklarında hizmetlerin yerine getirilmesini müşteri ile birlikte gözden geçirmelidir. Yazılı hizmet gereksinimlerindeki değişiklikler, değişiklik yönetim süreciyle denetlenmelidir.HSA’lardaki değişiklikler, hizmet seviyesi yönetim süreciyle koordine edilmelidir. Bir şikayet hizmetinin tanımlanması konusunda müşteri ile anlaşmaya varılmalıdır. Müşteri ile hizmete ilişkin şikayetleri yönetmek için yazılı bir prosedür olmalıdır. Hizmet sağlayıcı, hizmet şikayetlerini kayıt altına almalı, araştırmalı, işlem yapmalı, rapor etmeli ve şikayeti sonlandırmalıdır. Şikayetin normal kanallardan çözülememesi durumunda, şikayet bir üst düzeyde dile getirilmelidir. Hizmet sağlayıcı, planlanan zaman aralıklarında, hizmet alan müşterilerin veya kullanıcıların bir temsilcisini örnek alarak müşteri memnuniyetini ölçmelidir. Sonuçlar, iyileştirme fırsatlarını tespit etmek amacıyla analiz edilmeli ve gözden geçirilmelidir.

7.2 Tedarikçi yönetimi Hizmet sağlayıcı, hizmet yönetimi sürecinin bazı bölümlerini gerçekleştirmek ve yürütmek amacıyla tedarikçileri kullanabilir. Tedarik zinciri ilişkisine ilişkin bir örnek, Şekil 3’te gösterilmiştir.

Şekil 3 – Tedarik zinciri ilişkilerine ait örnek Hizmet sağlayıcı her tedarikçi için, ilişkilerden, sözleşmenin yönetilmesinden ve tedarikçinin taahhütünü yerine getirmesini yönetmekten sorumlu özel bir şahıs belirlemelidir. Hizmet sağlayıcı ve tedarikçi, yazılı bir sözleşme üzerinde mutabık kalmalıdır. Sözleşme, aşağıda belirtilen hususlara atıfı kapsamalı veya içermelidir: a) Tedarikçi tarafından verilecek hizmetlerin kapsamı, b) Hizmetler, süreçler ve taraflar arasındaki bağımlılıklar, c) Tedarikçinin karşılayacağı gereksinimler, ç) Hizmet hedefleri, d) Tedarikçi veya başka taraflarca yürütülen hizmet yönetimi süreçleri arasındaki arayüzler, e) HYS içerisindeki tedarikçi faaliyetlerinin bütünleştirilmesi, f) İşyükünün özellikleri, g) Sözleşmedeki istisnalar ve nasıl giderileceği, ğ) Hizmet sağlayıcı ile tedarikçinin yetkileri ve sorumlulukları, h) Tedarikçi tarafından sağlanacak iletişim ve raporlama, ı) Ücretlendirmedeki esaslar, i) Sözleşmenin beklenen zamanda veya erken fesh edilmesi ve hizmetlerin başka bir tarafa devri

konusundaki yetkiler ve sorumluluklar. Hizmet sağlayıcı ile tedarikçi arasındaki HSA’ları desteklemek ve paralelliği sağlamak amacıyla hizmet sağlayıcı, müşteri ile hizmet seviyeleri konusunda mutabık kalmalıdır.



19

Hizmet sağlayıcı; ana ve alt yüklenicilerin rolleri ile ana ve alt yüklenicilerin birbirleri arasındaki ilişkilerinin yazılı hâle getirilmesini temin etmelidir. Hizmet sağlayıcı; sözleşmeden doğan yükümlülükleri yerine getirmeleri için alt yüklenicileri ana tedarikçilerin yönettiğini doğrulamalıdır. Hizmet sağlayıcı, planlanan zaman aralıklarında tedarikçinin performansını izlemelidir. Performans, hizmet hedefleri ve sözleşmeden kaynaklanan diğer yükümlülükler göz önüne alınarak ölçülmelidir. Sonuçlar, kayıt altına alınmalı ve uygunsuzlukların nedenleri ile iyileştirme fırsatlarını tespit etmek amacıyla gözden geçirilmelidir. Gözden geçirme; sözleşmenin, cari gereksinimleri yansıtmasını da temin etmelidir. Sözleşmedeki değişiklikler, değişiklik yönetim süreciylekontrol edilmelidir. Hizmet sağlayıcı ile tedarikçi arasında sözleşmeden doğan anlaşmazlıkları yönetmek için yazılı bir prosedür bulunmalıdır. Not 1 - Tedarikçi yönetim sürecinin kapsamına, tedarikçilerin seçimi ve hizmetlerin sağlanması dahil değildir. Not 2 - Tedarik zinciri ilişkileri konusunda daha fazla örnek ISO/IEC 20000-3 standardında yer alır.

8 Çözüm süreçleri

8.1 İhlal olayı ve hizmet talebi yönetimi Aşağıda belirtilen hususları tanımlamak amacıyla tüm ihlal olayları için yazılı bir prosedür bulunmalıdır: a) Kayıt altına alma, b) Önceliğin verilmesi, c) Sınıflandırma, ç) Kayıtların güncellenmesi, d) Üst makama bildirme, e) Çözüm bulunması, f) Sonlandırma. Hizmet taleplerinin yerine getirilmesi işleminin yürütülmesi için kayıt altına almadan sonlandırmaya kadar yazılı bir prosedür bulunmalıdır. İhlal olayları ve hizmet talepleri, prosedürlere göre yönetilmelidir. İhlal olayları ve hizmet talepleri önceliklendirilirken, hizmet sağlayıcı, ihlal olayının veya hizmet talebinin tesirini ve aciliyetini göz önüne almalıdır. Hizmet sağlayıcı, ihlal olayı ve hizmet talebi yönetimi sürecindeki personelin ilgili bilgiye erişebilmesini ve kullanabilmesini temin etmelidir. İlgili bilgi; hizmet talebi yönetim prosedürlerini, bilinen hataları, sorun çözümlerini ve CMDB’yi içermelidir. Sürümlerin başarılı veya başarısız olması ve gelecekte yayımlanacak sürümlerin tarihleri, sürüm ve yerleştirme yönetim süreci hakkındaki bilgi, ihlal olayı ve hizmet talebi yönetim süreci tarafından kullanılmalıdır. Hizmet sağlayıcı, rapor edilen ihlal olayının veya hizmet talebinin durumu hakkında müşteriyi bilgilendirmelidir. Hizmet hedeflerinin karşılanamaması durumunda hizmet sağlayıcı, müşteriyi ve ilgili tarafları bilgilendirmelidir ve prosedüre göre konuyu üst makama iletmelidir. Hizmet sağlayıcı, önemli bir ihlal olayının tanımını yazılı olarak yapmalı ve tanım konusunda müşteriyle mutabık kalmalıdır. Önemli ihlal olayları, yazılı bir prosedüre göre sınıflandırılmalı ve yönetilmelidir. Üst yönetim, önemli ihlal olayları hakkında bilgilendirilmelidir. Üst yönetim, önemli ihlal olayının yönetimi için özel bir kişinin görevlendirilmesini temin etmelidir. Üzerinde anlaşmaya varılan hizmetler geri kurtarıldıktan sonra önemli ihlal olayları, iyileştirme fırsatlarını tespit etmek amacıyla gözden geçirilmelidir.

8.2 Sorun yönetimi Sorunları tespit etmek ve ihlal olayları ile sorunların tesirini en aza indirmek veya söz konusu tesirden sakınmak amacıyla yazılı bir prosedür bulunmalıdır. Sorunlar için hazırlanan prosedür aşağıda belirtilen hususları tanımlamalıdır: a) Tanıma, b) Kayıt altına alma, c) Önceliğin verilmesi,



20

ç) Sınıflandırma, d) Kayıtların güncellenmesi, e) Üst makama bildirme, f) Çözüm bulunması, g) Sonlandırma. Sorunlar, prosedüre göre yönetilmelidir. Hizmet sağlayıcı, ihlal olayları ile sorunların altında yatan esas nedenleri ve olası önleyici işlemi tespit etmek amacıyla ihlal olayları ve sorunlar hakkındaki veri ve eğilimleri analiz etmelidir. Yapılandırma öğesinde değişiklik gerektiren sorunlar, değişiklik için bir talepte bulunularak çözümlenmelidir. Sorunun altında yatan esas nedenin belirlendiği, ancak sorunun kalıcı biçimde çözüme kavuşturulmadığı yerde hizmet sağlayıcı, sorunun hizmetler üzerindeki tesirini azaltmak veya ortadan kaldırmak için gerekli olan işlemleri tespit etmelidir. Bilinen hatalar, kayıt altına alınmalıdır. Sorunun çözümünün etkinliği izlenmeli, gözden geçirilmeli ve raporlanmalıdır. Bilinen hatalar ve sorun çözümleri konusundaki güncel bilgiler, ihlal olayı ve hizmet talebi yönetim sürecine iletilmelidir.

9 Kontrol süreçleri

9.1 Yapılandırma yönetimi Her bir Yapılandırma Öğesi(CI)nin yazılı bir tanımı bulunmalıdır. Her CI için kaydedilen bilgi, etkin kontrolü temin etmeli ve en azından aşağıda yazılı olan hususları içermelidir. a) CI’nın açıklaması, b) CI ile diğer CI’lar arasındaki ilişki/ilişkiler, c) CI ile hizmet bileşenleri arasındaki ilişki/ilişkiler, ç) Durumu, d) Sürümü, e) Konumu, f) Değişiklik için ilgili talepler, g) İlgili sorunlar ve bilinen hatalar. CI’lar, CMDB’de benzersiz biçimde tanımlanmalı ve kayıt altına alınmalıdır. CMDB, güncelleme erişiminin, kontrol de dahil olmak üzere güvenilirliği ve doğruluğu temin etmek için yönetilmelidir. CI’ların sürümlerinin kayıt altına alınması, kontrol edilmesi ve takip edilmesi için yazılı bir prosedür bulunmalıdır. Denetimin derecesi; hizmet gereksinimleri ve CI’larla ilgili riskler göz önüne alınarak hizmetlerin ve hizmet bileşenlerinin bütünlüğünü sürdürmelidir. Hizmet sağlayıcı, planlanan zaman aralıklarında CMDB’de saklanan kayıtları kontrol edilmelidir. Hizmet sağlayıcı, yetersizliğin görüldüğü yerde gerekli işlemleri yapmalı ve yapılan işlemleri kayıt altına almalıdır. CMDB’den alınan bilgiler, değişiklik için taleplerin değerlendirilmesini desteklemek amacıyla değişiklik yönetim sürecine iletilmelidir. CI’lardaki değişiklikler, CI’ların ve CMDB’deki verinin bütünlüğünü sağlamak amacıyla izlenebilir ve kontrol edilebilir olmalıdır. Bir sürüm canlı ortama sunulmadan önce etkilenen CI’ların yapılandırma referans bilgisi alınmalıdır. CMDB’deki CI’ların esas kopyaları, yapılandırma kayıtlarıyla atıfta bulunulan, emniyetli fiziki veya elektronik kütüphanelerde saklanmalıdır. Saklanan esas kopyalar en azından dokümantasyonu, lisans bilgisini, yazılımı ve mümkün olduğu durumlarda donanım yapılandırmasının imajlarını içermelidir. Yapılandırma yönetimi süreci ile mali varlık yönetimi süreci arasında tanımlanmış bir arayüz bulunmalıdır. Not - Yapılandırma yönetimi sürecinin kapsamına mali varlık yönetimi dahil değildir.



21

9.2 Değişiklik yönetimi Aşağıda belirtilen hususları tanımlayan bir değişiklik yönetimi politikası oluşturulmalıdır: a) Değişiklik yönetiminin kontrolü altındaki CI’lar, b) Hizmetlere veya müşteriye önemli derecede tesir etme olasılığı olan değişiklikleri belirleme kıstası. Bir hizmetin kaldırılması, önemli seviyede tesir etme olasılığı olan bir hizmette değişiklik olarak sınıflandırılmalıdır. Hizmet sağlayıcıdan, müşteriye veya farklı bir tarafa bir hizmetin devri ise, önemli seviyede tesir etme olasılığı olan bir değişiklik olarak sınıflandırılmalıdır. Değişiklik taleplerini kayıt altına almak, sınıflandırmak, değerlendirmek ve onaylamak için yazılı bir prosedür bulunmalıdır. Hizmet sağlayıcı, müşteri ile acil bir değişikliğin tanımını yazılı olarak yapmalı ve tanım üzerinde anlaşmaya varmalıdır. Acil değişikliklerin yönetilmesi için yazılı bir prosedür bulunmalıdır. Bir hizmette veya hizmet bileşenendeki tüm değişiklikler, bir değişiklik talebi kullanılarak gündeme getirilmelidir. Değişiklik taleplerinin tanımlanmış bir kapsamı olmalıdır. Tüm değişiklik talepleri kayıt altına alınmalı ve sınıflandırılmalıdır. Hizmetler veya müşteri üzerinde önemli derecede tesir etme olasılığı bulunan şeklinde sınıflandırılan değişiklik talepleri, yeni veya değişen hizmetler sürecinin tasarımı ve dönüşümü kullanılarak yönetilmelidir. Değişiklik yönetim politikasında tanımlanan CI’lardaki değişiklik yapılmasına ilişkin tüm talepler, değişiklik yönetim süreci kullanılarak yönetilmelidir. Değişiklik talepleri, değişiklik yönetim süreci ile diğer süreçlerdeki bilgilerden yararlanılarak değerlendirilmelidir. Hizmet sağlayıcı ve ilgili taraflar, değişiklik talebinin kabul edilmesine ilişkin kararları vermelidir. Karar verilirken; riskler, hizmetlere veya müşteriye olası tesirler, hizmet gereksinimleri, iş menfaatleri, teknik uygulanabilirlik ve mali tesirler göz önüne alınmalıdır. Onaylanan değişiklikler geliştirilmeli ve test edilmelidir. Onaylanan değişiklikler ile teklif edilen kullanılmaya başlama tarihlerinin ayrıntılarını içeren bir değişiklik programı hazırlanmalı ve ilgili taraflara duyurulmalıdır. Değişiklik programı, sürümlerin yerleştirilmesinin planlanmasında temel teşkil edecek şekilde kullanılmalıdır. Başarılı olmayan bir değişikliğin geri alınması veya düzeltilmesi için gerekli olan faaliyetler planlanmalı ve uygun olduğu durumlarda test edilmelidir. Başarısız olunursa, değişiklik geri alınmalı veya düzeltilmelidir. Başarısız değişiklikler araştırılmalı ve üzerinde mutabık kalınan işlemler yapılmalıdır. CMDB kayıtları, başarılı değişiklik yerleştirmelerinin ardından güncellenmelidir. Hizmet sağlayıcı, etkinlik için değişiklikleri gözden geçirmeli ve ilgili taraflarla üzerinde mutabık kaldığı işlemleri yapmalıdır. Değişiklik talepleri, planlanan zaman aralıklarında, eğilimleri tespit etmek amacıyla analiz edilmelidir. Analizden elde edilen sonuçlar kayıt altına alınmalı ve iyileştirme fırsatlarını tespit etmek için gözden geçirilmelidir.

9.3 Sürüm ve yerleştirme yönetimi Hizmet sağlayıcı, sürümlerin sıklığını ve türünü belirten sürüm politikasını müşteriyle birlikte hazırlamalı ve üzerinde mutabık kalınmalıdır.

Hizmet sağlayıcı, yeni veya değişen hizmetlerin canlı ortama yerleştirilmesini müşteri ve ilgili taraflarla birlikte planlamalıdır. Planlama yapılırken değişiklik yönetim süreci ile koordine kurulmalı ve planlama; değişiklik, bilinen hatalar ve sürümle kapatılan sorunlarla ilgili taleplere atıfları içermelidir. Planlamada, her sürümün yerleştirilmesine ilişkin tarihler, verilecekler ve yerleştirme yöntemleri yer almalıdır. Hizmet sağlayıcı, acil durumlarda gündeme gelecek bir sürümün tanımını müşteri ile yazılı olarak yapmalı ve üzerinde mutabık kalmalıdır. Acil durumlarda kullanılacak sürümler, acil durum değişiklik prosedürüne arayüzlük yapan yazılı bir prosedüre göre yönetilmelidir.



22

Sürümler, yerleştirilmeden önce hazırlanmalı ve test edilmelidir. Sürümlerin hazırlanması ve test işlemi için kontrollü bir kabul test ortamı kullanılmalıdır. Sürümler için kabul kriteri konusunda müşteri ve ilgili taraflarla anlaşmaya varılmalıdır. Sürüm, üzerinde anlaşmaya varılan kabul kriterine göre doğrulanmalı ve yerleştirilmeden önce onaylanmalıdır. Kabul kriterinin karşılanmaması durumunda hizmet sağlayıcı, gerekli işlemler ve yerleştirme konusunda ilgili taraflarla birlikte bir karar vermelidir. Sürüm; donanımın, yazılımın ve diğer hizmet bileşenlerinin, sürümün yerleştirilmesi sırasında sürdürülecek şekilde canlı ortama yerleştirilmelidir. Bir sürümün başarısız biçimde yerleştirilmesi işleminin geri alınması veya düzeltilmesini gerekli kılan faaliyetler planlanmalı ve mümkün olması durumunda test edilmelidir. Başarısız olunursa, sürümün yerleştirilmesi işlemi geri alınmalı veya düzeltilmelidir. Başarısız sürümler araştırılmalı ve üzerinde mutabık kalınan işlemler yapılmalıdır. Sürümlerin başarısı veya başarısızlığı izlenmeli ve analiz edilmelidir. Ölçümler, sürümün yerleştirilmesinin ardından bir sürüm ile ilgili ihlal olaylarını içermelidir. Analiz, sürümün müşteri üzerindeki tesirinin değerlendirilmesini içermelidir. Analizden elde edilen sonuçlar kayıt altına alınmalı ve iyileştirme fırsatlarını tespit etmek için gözden geçirilmelidir. Sürümlerin başarısı veya başarsızlığı ve gelecekteki sürüm tarihleri hakkında bilgi, değişiklik yönetim sürecine ve ihlal olayı ve hizmet talebi yönetimi sürecine iletilmelidir. Sürümlerde değişiklik yapılmasının ve yerleştirme planları için taleplerin tesirinin değerlendirilmesini desteklemek amacıyla değişiklik yönetimi sürecine bilgi verilmelidir.



23

Kaynakça

[1] ISO/IEC 20000-2:2005, Information technology - Service management - Part 2: Code of practice [2] ISO/IEC TR 20000-3, Information technology - Service management - Part 3: Guidance on scope

definition and applicability for ISO/IEC 20000-1 [3] ISO/IEC TR 20000-4, Information technology - Service management - Part 4: Process reference Model [4] ISO/IEC TR 20000-5, Information technology - Service management - Part 5: Exemplar implementation

plan for ISO/IEC 20000-1 [5] ISO 9000:2005, Quality management systems - Fundamentals and vocabulary [6] ISO 9001, Quality management systems - Requirements [7] ISO 9004:2000, Quality management systems - Guidelines for performance improvements [8] ISO 10002, Quality management - Customer satisfaction - Guidelines for complaints handling in

organizations [9] ISO 10007, Quality management systems - Guidelines for configuration management [10] ISO/IEC 15288, Systems and software engineering - System life cycle processes [11] ISO/IEC 15504-1, Information technology - Process assessment - Part 1: Concepts and vocabulary [12] ISO/IEC 15504-2, Information technology - Process assessment - Part 2: Performing an assessment

[13] ISO/IEC 15504-3, Information technology - Process assessment - Part 3: Guidance on performing an

assessment [14] ISO 19011, Guidelines for quality and/or environmental management systems auditing [15] ISO/IEC 19770-1, Information technology - Software asset management - Part 1: Processes [16] ISO/IEC/IEEE 24765: 2010, Systems and software engineering - Vocabulary [17] ISO/IEC 27000: 2009, Information technology - Security techniques - Information security management

systems - Overview and vocabulary [18] ISO/IEC 27001, Information technology - Security techniques - Information security management

systems - Requirements [19] ISO/IEC 27005, Information technology - Security techniques - Information security risk management [20] ISO 31000, Risk management - Principles and guidelines


Documents

TS ISO/IEC 20000-1 - intranet.eker.comintranet.eker.com/.../Harici_dokumanlar/TS_ISO_IEC_20000_1.pdf · Örneğin; bir HYS, ISO 9001’i esas alan bir kalite yönetim sistemiyle veya