DOU 06/06/2023 - Diário Oficial da União - Brasil
Documento assinado digitalmente conforme MP nº 2.200-2 de 24/08/2001,
que institui a Infraestrutura de Chaves Públicas Brasileira - ICP-Brasil.
Este documento pode ser verificado no endereço eletrônico
http://www.in.gov.br/autenticidade.html, pelo código 05152023060600054
54
Nº 107, terça-feira, 6 de junho de 2023
ISSN 1677-7042
Seção 1
s) Gerenciamento de Mudanças: processo que estabelece procedimentos e
controles a serem utilizados no caso de necessidade de modificação, adição ou exclusão
de componentes de infraestrutura de TIC;
t) Gerenciamento de Requisição: processo que estabelece procedimentos de
registro, controle e monitoramento de requisições relacionadas à infraestrutura de TIC;
u) Gerenciamento de Serviços de TIC: conjunto de capacidades e processos
para dirigir e controlar atividades e recursos de tecnologia da Administração no
planejamento, desenho, transição, entrega e melhoria de serviços de TIC para entrega de
valor;
v) Infraestrutura de TIC: abrange todos os componentes técnicos, hardwares,
softwares, bancos de dados implantados, procedimentos técnicos e documentação
técnica usados para disponibilizar as informações;
w) Listas de Verificação: documentos ou ferramentas estruturadas contendo
um conjunto de elementos que devem ser acompanhados pela equipe de fiscalização do
contrato durante a execução contratual, permitindo à Administração o registro e a
obtenção de informações padronizadas e de forma objetiva;
x) Melhoria Contínua: processo que possibilita entregar resultados mais
eficientes, no mesmo intervalo de tempo, identificando a possibilidade de aumentar a
eficácia ou a efetividade de serviços e produtos, sem perda de qualidade, utilizando os
mesmos recursos de custeio, como insumos, infraestrutura, tecnologias e pessoas;
y) Operação de infraestrutura de TIC: conjunto de tarefas e atividades
destinadas à
sustentação da
infraestrutura de TIC,
que inclui
o gerenciamento,
monitoramento, manutenção e aprimoramento contínuo de seus componentes;
z) Ordem de Serviço (OS): é a formalização do trabalho que será prestado
pelo contratado ao contratante. É o documento que contém as definições e informações
necessárias para planejar e executar um serviço, bem como a autorização formal para
sua realização;
aa) Problema: causa de um ou mais incidentes reais ou potenciais;
ab) Profissional
Júnior: adequado para
exercer atividades
de menor
complexidade e que exigem menor experiência ou qualificação profissional. Geralmente,
não apresenta autonomia para tomadas de decisão operacional;
ac) Profissional Pleno: adequado para exercer atividades com um maior grau
de complexidade, que requerem uma capacidade maior de análise crítica e resolução de
problemas, além de exigir maior experiência ou qualificação profissional;
ad) Profissional Sênior: adequado para exercer atividades com grau elevado
de complexidade e criticidade, e que requer experiência e qualificação profissional
diferenciada;
ae) Requisição de Mudança: pedido por alteração a ser feita em um serviço,
componente de serviço ou no sistema de gerenciamento de serviços;
af) Requisição de Serviço: pedido por informações ou recomendações, ou por
uma alteração de um padrão (uma mudança pré-aprovada que tem baixo risco, é
relativamente comum e dá continuidade a um procedimento), ou para obter acesso a um
serviço de TIC; e
ag) Serviço: meio de entregar valor aos usuários internos ou externos à
organização ao facilitar o alcance de resultados almejados.
2.3. Escopo do modelo
2.3.1. O escopo deste modelo abrange a prestação de serviços técnicos
especializados de operação de infraestrutura e atendimento a usuários de TIC, que
compreendem a implantação, manutenção, melhorias e execução contínua de serviços
relacionados ao monitoramento e à sustentação de infraestrutura de TIC e suporte
técnico de microinformática aos usuários do órgão.
2.3.2. São serviços abrangidos pelo modelo de referência:
a) Gerenciamento de Serviços de TIC;
b) Sustentação de Aplicações;
c) Armazenamento e Backup;
d) Sustentação de Banco de Dados;
e) Administração de Dados;
f) Conectividade e Comunicação;
g) Segurança de TIC;
h) Monitoramento de Serviços de TI;
i) Suporte Técnico de Microinformática.
2.3.3. Não são objetos do modelo de referência, os seguintes serviços:
a) Desenvolvimento ou construção de sistemas e softwares próprios;
b) Fornecimento de estações de trabalho como serviço (PCaaS);
c) Corretagem (brokerage) de serviços de computação em nuvem;
d) Suporte a softwares aplicativos e hardwares prestados por fabricantes;
e) Consultoria de TIC;
f) Engenharia de software; e
g) Manutenção preventiva e corretiva de salas cofres e salas seguras.
3. BALIZADORES DO MODELO
3.1. No intuito de simplificar o modelo para aplicação pelos órgãos ou
entidades, definem-se as seguintes bases:
a) Definição de critérios de governança no gerenciamento de serviços de
operações de TIC:
Diretrizes para definição de processos relacionados ao gerenciamento de
serviços de TIC e delimitação do escopo da solução de TIC relacionada ao objeto do
modelo.
b) Padronização da forma de mensuração dos serviços e pagamento:
Adoção de pagamento fixo mensal associado a atendimento de níveis mínimos
de serviço (NMS) e mensurado a partir da estimativa de Categorias de Serviço e seus
respectivos Perfis de Trabalho, por meio de Mapa de Pesquisa Salarial de referência,
utilização de Fator-K único, apoiados por um modelo de Planilha Simplificada para
Estimativa do Valor Mensal do Serviços, elaborados e manutenidos pelo Órgão Central do
SISP.
c) Adoção de pesquisa de preços divulgada pelo Órgão Central do SISP:
Utilização de valores padronizados para estimativa de preços dos perfis
profissionais, bem como definição do valor de referência da contratação. Tal iniciativa
visa desonerar os órgãos e entidades da realização de estimativas de preços do valor fixo
mensal baseado nos perfis profissionais, bem como assegurar maior transparência,
agilidade e previsibilidade no processo de planejamento da contratação.
d) Definição de níveis mínimos de serviços a serem aferidos:
Adoção de rol mínimo de níveis de serviços a serem aferidos e controlados,
bem como rol adicional de níveis mínimos para órgãos que adotam práticas DevOps ou
possuam ambiente baseado em infraestrutura como código.
e) Padronização dos
mecanismos de controle e
acompanhamento dos
serviços:
Estabelecimento de procedimento para registro e verificação da execução
contratual.
f) Incentivo à adoção de novas tecnologias na automatização de processos e
recursos:
A definição do valor fixo mensal associado ao cumprimento de níveis de
serviços e critérios de qualidade busca gerar incentivos para que os contratados prestem
serviços associados ao uso de recursos tecnológicos que forneçam a agilidade e qualidade
adequada às condições exigidas.
3.2. Neste modelo, cada um dos balizadores é descrito para compreensão e
para que, caso haja a necessidade, o órgão contratante seja capaz de adaptar e expandir
seu uso, buscando a prestação do serviço com mais eficiência, e sempre almejando maior
qualidade e economia para a Administração.
4. PROCESSO DE OPERAÇÃO DE INFRAESTRUTURA E ATENDIMENTO AO
USUÁRIO DE TIC
4.1. Diretrizes sobre gerenciamento de serviços de TIC
4.1.1. A formalização de processos de gerenciamento de serviços de TIC é
fundamental para assegurar a adoção adequada do Modelo de Referência, bem como
garantir condições adequadas de governança e gestão dos serviços de suporte e
operação da TIC.
4.1.2. Como boa prática, a capacidade (processos e ferramentas) de um órgão
em gerenciar os serviços de TIC não deve depender de contratos derivados do presente
modelo, com vistas a proporcionar maior estabilidade nos processos de gestão de
serviços bem como assegurar a governança dos processos da área de TIC na execução e
controle de suas atividades.
4.1.3. A observância aos padrões constantes da série ABNT NBR ISO/IEC
20.000 provê estabilidade e previsibilidade aos processos de gerenciamento de serviços
de TIC, ao passo que a observância às práticas ágeis constantes do modelo de DevSecOps
provê agilidade na prestação dos serviços.
4.1.4. Desse modo, é necessário que os órgãos avaliem adotar essas
dimensões em seus processos de gerenciamento, conforme orientações descritas nesse
modelo.
4.1.5. Para assegurar a governança adequada em relação ao modo de atuação
da área e TIC na entrega de serviços à organização deve-se considerar a formalização e
implementação das seguintes práticas:
a) Gerenciamento de requisição de serviços;
b) Gerenciamento de mudanças;
c) Gerenciamento de problemas; e
d) Gerenciamento de incidentes.
4.1.6. Deve-se, preferencialmente, adotar no modelo de execução do objeto,
metodologias ágeis em projetos de infraestrutura, a exemplo da aplicação do conceito de
DevSecOps. Para tanto a adoção de tais práticas ágeis requer ações de mudança cultural
e de organização da área de TIC, que devem ser objeto de estudo prévio à contratação
dos serviços desse modelo.
4.1.7. Um ambiente DevSecOps possui um ou mais recursos que asseguram
condições para se alcançar um elevado grau de automação da infraestrutura. Em geral
são empregadas ferramentas de:
a) Controle de versão;
b) Integração contínua;
c) Testes contínuos;
d) Gerenciamento de configuração e deployment;
e) Monitoramento contínuo;
f) Conteinerização;
g) Orquestração;
h) Segurança integrada; e
i) Gerenciamento integrado de demandas.
4.1.8. Dessa forma, é importante que os órgãos revisem, definam e evoluam
seus processos de gerenciamento de serviços de TIC, de forma gradativa, pois ele
influencia na definição de aspectos presentes neste modelo e também no custo e na
prestação dos serviços pelas empresas contratadas.
5. CATÁLOGO DE SERVIÇOS DE TIC
5.1. A adoção de catálogos de serviços para descrição dos serviços prestados
pela área de TIC, resultados esperados e níveis mínimos de qualidade exigidos são
fundamentais para assegurar a estabilidade e previsibilidade do processo de
gerenciamento dos serviços de TIC.
5.2. A utilização de catálogo de serviços de TIC não se confunde com a
mensuração dos serviços para fins de pagamento, descritos em detalhes nesse modelo,
mas trata-se de uma prática constante da ABNT NBR ISO/IEC 20.000-1:2020.
5.3. Nesse sentido, é uma boa prática possuir um Catálogo de Serviços com
todos os serviços prestados e executados em suas operações. Os serviços constantes no
Catálogo de Serviços geralmente são organizados com a seguinte classificação:
5.3.1. Divisão do Catálogo de Serviços:
a) Catálogo de Serviços Negocial: contém todos os serviços de TIC em
operação e disponíveis para os clientes ou sendo preparados para serem entregues aos
clientes; e
b) Catálogo de Serviços Técnico: contém todas as requisições de serviço
disponíveis para os clientes e usuários de serviços de TI.
5.3.2. Tipos de Serviços: os serviços constantes no Catálogo de Serviços
devem ser organizados por tipos. Os tipos de serviço mais comuns são:
a) Serviços de negócio: todo serviço que é entregue a clientes de negócio
pelas unidades de negócio. São serviços que impactam diretamente nos resultados de
negócios e são suportados pelos serviços de TI;
b) Serviço de TIC: são todos os serviços fornecidos por um provedor de
serviço de TIC que suportam diretamente processos e serviços de negócio de um ou mais
clientes. Um serviço de TIC é composto de uma combinação de hardware, software,
processos e pessoas; e
c) Serviço de apoio: são os serviços necessários para suportar os serviços de
TIC e entregar um serviço de negócio. Não são diretamente usados pelo negócio, porém
são exigidos pelo provedor de serviço de TIC para entregar serviços voltados ao
cliente.
5.3.3. Assim, é fundamental que exista um Catálogo de Serviços de TIC claro,
organizado, preciso e disponível aos usuários da unidade de TI e que atenda às
necessidades de negócio da organização, com vistas a:
a) permitir a configuração adequada
das ferramentas de controle de
demanda; e
b) garantir a padronização e o controle de todos os serviços prestados e
executados.
5.3.4. Há diversas maneiras de identificar os serviços de TIC existentes em
uma organização, tais como: a decomposição dos processos de negócio, a análise da
infraestrutura de TIC, a análise de aplicativos disponibilizados, a análise de metas de
departamentos e a análise de patrimônio.
5.3.5. Para facilitar a identificação dos serviços de TIC recomenda-se classificá-
los em grupos, tornando a busca mais eficiente. Seguem, abaixo, os grupos mais comuns
utilizados para classificar os serviços de TIC:
a) Serviços a usuários de TIC:
1. Serviços de Aplicação Padrão: os serviços de TIC mais utilizados nas
estações de trabalho, como pacotes de aplicativos de escritório, aplicativos de leitura de
e-mails, etc.;
2. Serviços de Aplicação Específicos: os serviços de TIC específicos da
organização ou de determinados departamentos, como por exemplo, Software ERP e
aplicativos de design gráfico;
3. Serviços de Estação de Trabalho: as configurações dos computadores dos
usuários relativas à organização, como por exemplo, configuração de rede e criação de
contas de acesso;
4. Serviços de Internet: as configurações e restrições de uso de Internet para
determinados usuários ou departamentos;
5. Serviços de Intranet: configurações, permissões e restrições de uso quanto
aos serviços internos da organização;
6. Serviços de Base de Conhecimento: acessos ao repositório de conhecimento
dos serviços e recursos disponíveis;
7. Serviços de Compartilhamento de Arquivos: acesso aos repositórios públicos
e específicos de arquivos da organização;
8. Serviços de Impressão: acessos e permissões referentes às impressoras da
organização;
9. Serviços de Gerenciamento de Chamados de TIC: também conhecido como
Service Desk, responsável por registrar as requisições de suporte dos usuários;
10. Serviços de Dispositivos Especiais: responsável pelo provimento de
dispositivos específicos como, por exemplo, copiadoras e projetores multimídia;
11. Serviços de Backup: cópias de segurança dos dados e sistemas e suas
respectivas configurações;
12. entre outros.
b) Serviços de operação de infraestrutura de TIC:
1. Serviço de Contas e Perfis de Acesso: criação, modificação, inativação e
exclusão de perfis e atributos de contas;
2. Ativos de Rede: instalação, configuração, manutenção preventiva e
corretiva de equipamentos de infraestrutura de redes;
3. Servidores: instalação, configuração, manutenção preventiva e corretiva de
servidores;
4. Aplicações: deploy, atualização, configuração, manutenções e otimizações
de desempenho das aplicações;
Fechar