ISO 20000: Die IT-Service-Management Norm

Im letzten Blog haben wir uns der Schnittstelle zwischen ISO 27001 und ISO 20000 gewidmet. Doch was ist die ISO 20000 überhaupt? Und warum arbeiten viele Firmen bereits mit diesen IT-Services? Der internationale Standard definiert bewährte Praktiken für das Management von IT-Services und bietet eine strukturierte Grundlage, um IT-Service-Prozesse zu planen, umzusetzen, zu überwachen und kontinuierlich zu verbessern.

© Storyblocks, Registriert auf Andreas Wisler 

ISO 20000 ist eng mit dem Begriff ITIL verknüpft. ITIL, das «IT Infrastructure Library», ist eine Sammlung von Best Practices für das IT-Service-Management und hat sich weltweit als De-facto-Standard etabliert. ITIL liefert praktische Leitlinien, beschreibt Rollen, Prozesse und Abläufe, die sich in der Praxis bewährt haben. Während ITIL jedoch einen flexiblen Rahmen vorgibt, ist ISO 20000 ein formaler, international anerkannter Standard, der die Mindestanforderungen an ein IT-Service-Management-System (SMS) definiert. Wer nach ISO 20000 zertifiziert ist, muss die dort beschriebenen Anforderungen systematisch erfüllen und nachweisen können.

Die Beziehung zwischen ISO 20000 und ITIL ist komplementär. ITIL bietet die Empfehlungen und Methoden, wie ein effektives IT-Service-Management ausgestaltet werden kann, während ISO 20000 diese Empfehlungen in ein verbindliches und überprüfbares Regelwerk überführt. Unternehmen, die ITIL einsetzen, finden in ISO 20000 den passenden Rahmen, um ihre Prozesse zu standardisieren und sich extern zertifizieren zu lassen. Umgekehrt erleichtert der Einsatz von ITIL die Erfüllung der ISO-20000-Anforderungen erheblich.

Ein weiterer Unterschied ist die Art der Zertifizierung. ISO zertifiziert Unternehmen, ITIL hingegen zertifiziert Menschen. Daher macht es Sinn, dass sich auch (IT-) Mitarbeitende zertifizieren lassen. Dabei gibt dabei verschiedene Stufen: die Foundation als Einstieg in das Thema und Vermittlung von Grundlagen-Kenntnissen. Danach folgen der Managing Professional (MP) und Strategic Leader (SL). Als letztes kann der ITIL-Master absolviert werden.

Die ISO 20000-1, die eigentliche Norm, definiert die Anforderungen an ein IT-Service-Management-System. Ergänzend dazu gibt es weitere Dokumente, die bei der Umsetzung unterstützen. Dazu gehört beispielsweise die ISO 20000-2, die praxisorientierte Empfehlungen zur Umsetzung enthält sowie die ISO 20000-3, die Hilfestellungen für den Zertifizierungsprozess bietet.

Die Norm selbst folgt, wie viele moderne Managementsystem-Normen, der sogenannten High Level Structure (HLS). Dadurch ist sie kompatibel zu anderen Standards wie ISO 9001 (Qualitätsmanagement) oder ISO 27001 (Informationssicherheitsmanagement). Die Struktur gliedert sich in zehn Hauptkapitel, wobei die ersten drei einleitender Natur sind. Ab Kapitel 4 beschreibt die Norm die eigentlichen Anforderungen, die ein IT-Service-Management-System erfüllen muss. Besonders relevant für die Praxis ist dabei Kapitel 8, das den operativen Kern der Norm darstellt.

Wie erwähnt folgt auch die ISO 20000 der HLS. Kurz als Erinnerung. Das Kapitel 4 behandelt den Kontext. Dabei geht es unter anderem um die interessierten Parteien inkl. deren Anforderungen. Ebenfalls muss der Anwendungsbereich definiert werden. Im Kapitel 5 werden die Anforderungen an die oberste Leitung beschrieben sowie eine Policy verlangt. Weiter gilt es die Rollen, Verantwortlichkeiten und Befugnisse schriftlich festzuhalten. Das Kapitel 6 geht mit den Risiken und Chancen, die sich ergeben können, um. Analog den anderen Normen sind im Kapitel 7 die unterstützenden Prozesse beschrieben: bereitstellen von Ressourcen, die notwendige Kompetenz, die Awareness der involvierten Personen, die Kommunikation und die Lenkung der Dokumentation. Anders als in anderen Normen gibt es ein zusätzliches Kapitel «Wissen». Es wird verlangt, dass das erforderliche Wissen festgelegt und aufrechterhalten wird, um den Betrieb des SMS und der Dienste zu unterstützen. Das Wissen muss dabei relevant, nutzbar und für die entsprechenden Personen verfügbar sein.

Das Kapitel 8 wird nachfolgend ausführlicher beschrieben. Daher gleich zu den beiden letzten Kapitel. Kapitel 9 verlangt das Monitoring, ein regelmässiges internes Audit und einen Management-Bericht. Auch hier hat sich ein zusätzliches Kapitel eingeschlichen. Es handelt sich um das Unterkapitel 9.4 «Service Reporting». Das Unternehmen muss die Leistung und Wirksamkeit der Prozesse überwachen und in einem Bericht festhalten. Im Bericht müssen auch Trends enthalten sein. Bei Abweichungen sind entsprechende (Gegen-) Massnahmen zu ergreifen und den interessierten Parteien mitgeteilt werden.

Im letzten Kapitel wird noch auf Nichtkonformitäten, inkl. deren Korrekturen sowie den regelmässigen Verbesserungen des Management-Systems eingegangen.

Kapitel 8 der ISO 20000 beschreibt die betrieblichen Prozesse, die für ein effektives IT-Service-Management notwendig sind. Diese Prozesse decken alle wesentlichen Aspekte ab, die für die Planung, Bereitstellung und kontinuierliche Verbesserung von IT-Services erforderlich sind.

Ein zentrales Element ist die Steuerung der Servicebereitstellung. Hier wird unter anderem gefordert, dass Service Level Agreements (SLAs) definiert, vereinbart und überwacht werden. Das Ziel ist es, klare Vereinbarungen über die Qualität und Verfügbarkeit der IT-Services zu treffen und deren Einhaltung systematisch zu überprüfen. Ein weiterer wichtiger Aspekt ist das Kapazitäts- und Verfügbarkeitsmanagement. Unternehmen müssen sicherstellen, dass ihre IT-Ressourcen den aktuellen und zukünftigen Anforderungen entsprechen und dass die vereinbarten Verfügbarkeiten eingehalten werden können.

Die Norm legt zudem grossen Wert auf das Incident- und Service-Request-Management. Hier geht es darum, Störungen möglichst schnell zu beheben und Standardanfragen effizient zu bearbeiten. Ein effektives Incident-Management trägt dazu bei, die Auswirkungen von Störungen auf das Geschäft minimal zu halten und die Verfügbarkeit der Services zu sichern.

Auch das Problem-Management ist Teil der Anforderungen. Ziel dieses Prozesses ist es, die Ursachen wiederkehrender Störungen zu identifizieren und nachhaltig zu beseitigen, um die Stabilität der IT-Services langfristig zu erhöhen. Das Change-Management wiederum sorgt dafür, dass Änderungen an der IT-Landschaft geplant, genehmigt, umgesetzt und dokumentiert werden, ohne die Servicequalität zu gefährden. Unkontrollierte Änderungen stellen ein erhebliches Risiko dar – das Change-Management soll diesem Risiko systematisch begegnen.

Ein weiteres Schlüsselelement der ISO 20000 ist das Konfigurationsmanagement. Hierbei geht es darum, die einzelnen Komponenten der IT-Services in einer Configuration Management Database (CMDB) zu erfassen, deren Beziehungen zu dokumentieren und diese Informationen aktuell zu halten. Nur wer seine IT-Landschaft umfassend kennt, kann sie effizient betreiben und steuern.

Neben den operativen Prozessen behandelt die Norm auch das Lieferantenmanagement. Wenn IT-Services oder Teilbereiche davon extern bezogen werden, müssen diese Lieferanten sorgfältig ausgewählt, vertraglich geregelt und laufend überwacht werden. Die Qualität der zugekauften Leistungen muss dabei genauso sichergestellt werden wie die der intern erbrachten Services.

Ein weiteres bedeutsames Thema ist das Sicherheitsmanagement innerhalb des Service-Managements. Es verlangt, dass IT-Sicherheitsaspekte in die Planung und Bereitstellung von Services integriert werden. Die Anforderungen der ISO 27001 können dabei als hilfreiche Ergänzung dienen.

Kapitel 8 der ISO 20000 stellt sicher, dass alle diese Prozesse nicht isoliert betrachtet werden, sondern in ein zusammenhängendes System eingebunden sind, das den kontinuierlichen Verbesserungsprozess fördert. Ziel ist es, eine systematische, proaktive und nachhaltige Steuerung der IT-Services zu ermöglichen.

Die Zertifizierung nach ISO 20000 erfolgt durch unabhängige Zertifizierungsstellen. Der Prozess ähnelt dem anderer Managementsystem-Zertifizierungen: Zunächst muss ein Unternehmen ein IT-Service-Management-System einführen, das den Anforderungen der Norm entspricht. Dazu gehört die Dokumentation der Prozesse, die Definition von Rollen und Verantwortlichkeiten sowie der Nachweis, dass die geforderten Abläufe im Alltag tatsächlich gelebt werden.

Nach der Einführung des Systems erfolgt ein Audit durch die Zertifizierungsstelle. Dieses Audit umfasst sowohl die Prüfung der Dokumentation als auch Vor-Ort-Begehungen und Interviews mit den Mitarbeitenden. Dabei wird überprüft, ob die beschriebenen Prozesse wirksam umgesetzt werden und ob das Unternehmen die Normanforderungen erfüllt. Wird das Audit erfolgreich bestanden, erhält das Unternehmen das ISO-20000-Zertifikat, das für drei Jahre gültig ist. Während dieser Zeit finden zwei Überwachungsaudits statt, um die fortlaufende Wirksamkeit des Systems sicherzustellen.

Die Einführung und Zertifizierung nach ISO 20000 ist mit einem gewissen Aufwand verbunden, doch der Nutzen überwiegt in der Regel deutlich. Unternehmen, die sich zertifizieren lassen, demonstrieren gegenüber Kunden und Geschäftspartnern, dass sie IT-Services professionell und nach anerkannten Standards erbringen. Dies kann ein entscheidender Wettbewerbsvorteil sein, insbesondere in Ausschreibungen oder bei der Gewinnung neuer Kunden. Die Norm hilft zudem, interne (IT-) Prozesse zu strukturieren, Schnittstellen zu klären und Servicequalität messbar zu machen.

Ein weiterer Mehrwert liegt in der kontinuierlichen Verbesserung. Durch die regelmässigen Überprüfungen und die systematische Erfassung von Incidents, Problemen und Änderungen wird eine Kultur der ständigen Optimierung gefördert. Schwachstellen werden schneller erkannt und können gezielt behoben werden.

Für IT-Dienstleister und interne IT-Abteilungen bietet die Zertifizierung somit die Chance, sich als verlässlicher Partner zu positionieren, der seine Services transparent und qualitätsorientiert erbringt.