ISO/IEC 20000-1:2018 Управление ИТ-услугами

ISO/IEC 20000-1:2018 — международный стандарт по управлению IT сервисами. Данный стандарт был создан в 2005 году и заменил более ранний стандарт BS15000, который был создан Британским институтом стандартов (BSI).

ISO/IEC 20000-1:2018 представляет собой подробное описание требований к системе менеджмента ИТ сервисов. 

ISO/IEC 20000-2:2019 «ISO/IEC 20000-2:2019 Information technology — Service management — Part 2: Guidance on the application of service management systems» - это практические рекомендации по процессам, требования к которым сформулированы в первой части. Является руководством для аудиторов и компаний, намеренных пройти сертификацию. 

В 2010 году был утверждён российский ГОСТ Р ИСО/МЭК 20000 «Информационная технология. Менеджмент услуг», также в двух частях. С одной стороны отечественный ГОСТ разработан методом аутентичного перевода оригинального текста ISO/IEC 20000–1:2005, то есть с точки зрения «буквы закона» эти стандарты одинаковы и равноценны. С другой — они совершенно разные с позиции «правоприменительной практики», поскольку сертификация на соответствие ГОСТ Р ИСО/МЭК 20000 выполняется организациями, не имеющими никакого отношения к структуре регистраторов ISO.

В 2018 году стандарт получил обновление. Авторы стандарта отметили следующие изменения в этой версии:

  • Более высокоуровневая реструктуризация, использующаяся для большинства стандартов (от Annex SL до ISO/IEC Directives Part 1). Выпущены более общие требования по контексту организации, планированию и достижению целей по работе с рисками и возможностями. Также, были обновлены требования по документированной информации, ресурсам, компетенциям и осведомленности.
  • Были учтены новые тренды, такие как коммодитизация услуг, управление несколькими поставщиками, внутренним или внешним интегратором услуг и необходимость определения ценности услуг для клиентов.
  • Убрали некоторые детали, чтобы сосредоточиться на том "что делать" и предоставить организациям свободу в том, как соответствовать требованиям.
  • Включены новые функции, такие как добавление требований к знаниям и планированию услуг.
  • Разделены пункты, которые ранее были объединены в разделах по управлению инцидентами, запросами на обслуживание, непрерывностью обслуживания, доступностью услуг, уровнем обслуживания, каталогом услуг, производительностью, управлению спросом (demand management).
  • Переименован “Governance of processes operated by other parties”, в “Control of parties involved in the service lifecycle” и обновлены требования, включающие услуги и компоненты службы, а также процессы. Уточняется, что организация не может продемонстрировать соответствие требованиям, указанным в этом документе, если другие стороны используются для предоставления или эксплуатации всех услуг, сервисных компонентов или процессов в рамках системы управления услугами (SMS).
  • Разделен пункт 3 (Термины и определения) на подразделы для терминов системы управления и терминов управления услугами. Существует множество изменений в определениях. Ключевые изменения включают в себя:
    1) новые термины были добавлены для Приложения SL, например “objective”, “policy”, а некоторые были добавлены специально для управления услугами, например “asset”, “user”;
    2) термин “service provider” был заменен на “organization”, чтобы соответствовать общему тексту Приложения SL;
    3) термин “internal group” был заменен на “internal supplier”, а термин “supplier” был заменен на “external supplier”.;
    4) определение “information security” приведено в соответствие с ISO/IEC 27000. Впоследствии термин “availability” был заменен на “service availability”, чтобы отличить его от термина “availability”, который в настоящее время используется в пересмотренном определении “information security”. 
  • Сведена к минимуму необходимая документированная информация, оставив только ключевые документы, такие как план управления услугами. Другие изменения документированной информации включают:
    1) убрано требование к "documented capacity plan" и заменено на требование к "plan capacity";
    2) убрано требование к "documented availability plan" и заменено на требование к "document service availability requirements and targets";
    3) убрано требование к "configuration management database" и заменено на требования к "configuration information";
    4) убрано требование к "release policy" и заменено требованием "define release types and frequency";
    5) убрано требование о "continual improvement policy" и заменено требованием "determine evaluation criteria for opportunities for improvement".
  • Обновлены и перенумерованы рисунки 2 и 3 на рисунки 1 и 2. Удален рисунок 1 и ссылки на Планирование-Выполнение-Проверка-Действие, поскольку это специально не используется в Annex SL, поскольку многие методы улучшения могут использоваться со стандартами системы управления.
  • Подробные требования к отчетности перенесены из пункта service reporting в пункты, в которых, вероятно, будут создаваться отчеты.

Сроки перехода на ISO/IEC 20000-1:2018

У организаций, сертифицированных по стандарту ISO/IEC 20000-1:2011, есть три года, чтобы перейти на стандарт ISO/IEC 20000-1:2018. После 29 сентября 2021 года, сертификаты ISO/IEC 20000-1:2011 становятся недействительными.