ISO 20000
La norme ISO 20000 relative aux technologies de l'information s'applique à toutes les organisations impliquées dans la gestion, y compris l'externalisation, de leurs propres systèmes informatiques et aux organisations fournissant des services de gestion de services informatiques à leurs clients. Son objectif est de fournir des services de qualité et d’améliorer les utilisateurs.
Les processus opérationnels clés des organisations reposent souvent sur l'informatique, et les changements au sein de ces processus nécessitent des modifications des systèmes informatiques, affectant le matériel, les logiciels, les communications et le support.
Avantages de la norme ISO 20000 :
Questions fréquemment posées
1Qu'est-ce que la norme ISO/CEI 20000-1 ?
La norme ISO/IEC 20000-1 décrit les meilleures pratiques en matière de gestion des services informatiques (ITSM). Il aide les organisations à évaluer leur prestation de services gérés, à mesurer la qualité de leur service et à évaluer leurs performances.
En règle générale, les organisations adoptent la norme ISO/IEC 20000-1 pour déterminer si leurs services sont efficaces et comment les améliorer. La certification ISO/IEC 20000-1 démontre l'engagement de l'organisation à fournir un excellent service aux clients actuels et potentiels.
La norme décrit les exigences imposées aux fournisseurs de services pour planifier, créer, déployer, exécuter, suivre, analyser et améliorer un système de gestion de services (SMS). La norme ISO/IEC 20000-1 s'applique aux entreprises de toutes tailles et de tous secteurs.
En règle générale, les organisations adoptent la norme ISO/IEC 20000-1 pour déterminer si leurs services sont efficaces et comment les améliorer. La certification ISO/IEC 20000-1 démontre l'engagement de l'organisation à fournir un excellent service aux clients actuels et potentiels.
La norme décrit les exigences imposées aux fournisseurs de services pour planifier, créer, déployer, exécuter, suivre, analyser et améliorer un système de gestion de services (SMS). La norme ISO/IEC 20000-1 s'applique aux entreprises de toutes tailles et de tous secteurs.
2Qu'est-ce qui est couvert par la norme ISO/IEC 20000-1 ?
ISO/IEC 20000-1 relie toutes les facettes de la gestion des services informatiques. Cela englobe tout, de la conceptualisation et du développement à la mise en œuvre et à l'évaluation des services informatiques. Il offre également aux organisations un moyen d'aligner leurs activités informatiques sur leurs objectifs commerciaux.
3Pourquoi mettre en œuvre la norme ISO/IEC 20000-1 ?
Les investissements informatiques doivent être maximisés, ce qui signifie que les services informatiques doivent être soigneusement planifiés, développés et mis en œuvre. Les projets informatiques courent le risque d’échec ou de dépassement des budgets sans une bonne ITSM.
En fin de compte, vous avez besoin de normes ITSM de haute qualité pour réussir. Et la norme ISO/IEC 20000-1 garantit la qualité.
Voici quelques autres raisons pour lesquelles vous devriez mettre en œuvre la norme ISO/IEC 20000-1.
· Satisfaction client améliorée : Vos clients internes ou externes bénéficieront de meilleurs services informatiques, tandis que votre entreprise sera mieux protégée.
· Réputation améliorée : ISO/IEC 20000-1 montre que vous prenez au sérieux la gestion des services informatiques. Il garantit aux clients que vous suivez les meilleures pratiques pour fournir un service de qualité. Il vous permet d'avoir confiance dans vos opérations et favorise des évaluations régulières des performances pour garantir que cela fonctionne pour votre entreprise, apportant ainsi de la valeur à vos parties prenantes.
· Compétitivité accrue sur le marché : ISO/IEC 20000-1 renforce la crédibilité et la réputation de l'entreprise. Cela rend les processus plus efficaces et vous donne un avantage sur vos concurrents. De plus, les processus internes et les opérations commerciales au sein de l'organisation seront plus fiables pour les partenaires, les fournisseurs et les clients.
En fin de compte, vous avez besoin de normes ITSM de haute qualité pour réussir. Et la norme ISO/IEC 20000-1 garantit la qualité.
Voici quelques autres raisons pour lesquelles vous devriez mettre en œuvre la norme ISO/IEC 20000-1.
· Satisfaction client améliorée : Vos clients internes ou externes bénéficieront de meilleurs services informatiques, tandis que votre entreprise sera mieux protégée.
· Réputation améliorée : ISO/IEC 20000-1 montre que vous prenez au sérieux la gestion des services informatiques. Il garantit aux clients que vous suivez les meilleures pratiques pour fournir un service de qualité. Il vous permet d'avoir confiance dans vos opérations et favorise des évaluations régulières des performances pour garantir que cela fonctionne pour votre entreprise, apportant ainsi de la valeur à vos parties prenantes.
· Compétitivité accrue sur le marché : ISO/IEC 20000-1 renforce la crédibilité et la réputation de l'entreprise. Cela rend les processus plus efficaces et vous donne un avantage sur vos concurrents. De plus, les processus internes et les opérations commerciales au sein de l'organisation seront plus fiables pour les partenaires, les fournisseurs et les clients.
4Que sont les documents obligatoires ISO/IEC 20000-1 ?
Vous devez produire les documents suivants pour être conforme à la norme ISO/IEC 20000-1 :
· Portée du SMS
· Politique + objectifs sur la gestion des services
· Évaluation + gestion des risques pour les SMS
· Plan de gestion des services
· Politique sur la gestion du changement
· Politique sur la sécurité de l'information
· Plan de continuité de service
· Processus de SMS
· Exigences de service
· Catalogue de services
· Accord de niveau de service
· Contrat de fournisseur externe
· Accord de fournisseur interne
· Services/composants de service fournis/exploités par d'autres parties
· Processus, ou parties de processus, dans SMS exploités par d'autres
· Clients/utilisateurs/autres parties intéressées des services fournis
· Risques pour la sécurité de l'information, la disponibilité et la continuité du service
· Procédure de classification et d'identification des incidents majeurs
· Procédure de poursuite des opérations en cas de perte importante de service
· Procédure de rétablissement des conditions normales de travail interruptions de services suivantes
· Exigences en matière de capacité
· Conception de services nouveaux/modifiés
· Exigences/objectifs de disponibilité du service
Les enregistrements obligatoires comprennent les éléments suivants :
· Enregistrements de formation, de compétences, d'expérience et de qualifications
· Résultats de surveillance de la disponibilité du service
· Informations de configuration
· Enregistrements de plaintes de service
· Litige enregistrements entre l'organisation et les fournisseurs externes
· Demande de changement
· Incidents
· Demandes de service
· Problèmes
· Erreurs connues
· Résultats des tests du plan de continuité de service
· Incidents de sécurité de l'information
· Résultats de surveillance et de mesure
· Programme d'audit interne
· Résultats de l'audit interne
· Résultats de la revue de direction
· Correctif résultats des actions
· Possibilités d'amélioration
· Portée du SMS
· Politique + objectifs sur la gestion des services
· Évaluation + gestion des risques pour les SMS
· Plan de gestion des services
· Politique sur la gestion du changement
· Politique sur la sécurité de l'information
· Plan de continuité de service
· Processus de SMS
· Exigences de service
· Catalogue de services
· Accord de niveau de service
· Contrat de fournisseur externe
· Accord de fournisseur interne
· Services/composants de service fournis/exploités par d'autres parties
· Processus, ou parties de processus, dans SMS exploités par d'autres
· Clients/utilisateurs/autres parties intéressées des services fournis
· Risques pour la sécurité de l'information, la disponibilité et la continuité du service
· Procédure de classification et d'identification des incidents majeurs
· Procédure de poursuite des opérations en cas de perte importante de service
· Procédure de rétablissement des conditions normales de travail interruptions de services suivantes
· Exigences en matière de capacité
· Conception de services nouveaux/modifiés
· Exigences/objectifs de disponibilité du service
Les enregistrements obligatoires comprennent les éléments suivants :
· Enregistrements de formation, de compétences, d'expérience et de qualifications
· Résultats de surveillance de la disponibilité du service
· Informations de configuration
· Enregistrements de plaintes de service
· Litige enregistrements entre l'organisation et les fournisseurs externes
· Demande de changement
· Incidents
· Demandes de service
· Problèmes
· Erreurs connues
· Résultats des tests du plan de continuité de service
· Incidents de sécurité de l'information
· Résultats de surveillance et de mesure
· Programme d'audit interne
· Résultats de l'audit interne
· Résultats de la revue de direction
· Correctif résultats des actions
· Possibilités d'amélioration
5Comment obtenir la certification ISO/IEC 20000-1 ?
Un organisme de certification doit évaluer formellement votre organisation avant de devenir certifié ISO/IEC 20000-1. Pour démontrer votre conformité à la norme ISO/IEC 20000-1, vous devez démontrer la qualité des processus informatiques de votre organisation.
Vous devez soumettre certains documents obligatoires pour atteindre la norme en tant qu'entreprise. Mais il ne suffit pas de documenter les processus ITSM. Votre activité quotidienne doit intégrer toutes les activités décrites dans votre documentation pour garantir la certification. Il est également crucial que vous gagniez en valeur. En fin de compte, la norme ISO/IEC 20000-1 ne sera utile que si votre entreprise peut en tirer les avantages concrets qu'elle offre.
Pour garantir la réussite du projet, votre organisation doit effectuer des revues de direction et toute mesure corrective nécessaire. Les audits internes vérifient vos processus ITSM, révélant les faiblesses et les problèmes cachés. Grâce à une revue de direction, votre direction peut rassembler toutes les informations pertinentes sur l'ITSM et prendre les mesures appropriées. Vous devez corriger tout problème identifié lors de l’audit interne et de la revue de direction et assurer leur résolution.
L'entreprise est ensuite soumise à une revue de la documentation et à l'audit principal. Dans le premier cas, l'auditeur de certification examine votre documentation ISO/IEC 20000-1. Pendant ce temps, l'auditeur vérifiera que la norme ISO/IEC 20000-1 et votre documentation sont respectées lors de l'audit principal.
Les certifications ISO/IEC 20000-1 doivent être révisées chaque année après la certification initiale. Maintenir le respect de la norme et se concentrer sur l’amélioration continue.
Vous devez soumettre certains documents obligatoires pour atteindre la norme en tant qu'entreprise. Mais il ne suffit pas de documenter les processus ITSM. Votre activité quotidienne doit intégrer toutes les activités décrites dans votre documentation pour garantir la certification. Il est également crucial que vous gagniez en valeur. En fin de compte, la norme ISO/IEC 20000-1 ne sera utile que si votre entreprise peut en tirer les avantages concrets qu'elle offre.
Pour garantir la réussite du projet, votre organisation doit effectuer des revues de direction et toute mesure corrective nécessaire. Les audits internes vérifient vos processus ITSM, révélant les faiblesses et les problèmes cachés. Grâce à une revue de direction, votre direction peut rassembler toutes les informations pertinentes sur l'ITSM et prendre les mesures appropriées. Vous devez corriger tout problème identifié lors de l’audit interne et de la revue de direction et assurer leur résolution.
L'entreprise est ensuite soumise à une revue de la documentation et à l'audit principal. Dans le premier cas, l'auditeur de certification examine votre documentation ISO/IEC 20000-1. Pendant ce temps, l'auditeur vérifiera que la norme ISO/IEC 20000-1 et votre documentation sont respectées lors de l'audit principal.
Les certifications ISO/IEC 20000-1 doivent être révisées chaque année après la certification initiale. Maintenir le respect de la norme et se concentrer sur l’amélioration continue.
6Qu'est-ce que la liste des processus ISO/IEC 20000-1 ?
Prestation de services : cela concerne les processus de gestion des niveaux de service, la continuité des services informatiques, la disponibilité, la capacité et la sécurité financière et de l'information.
Relation : Maintenir des relations productives avec les clients et les fournisseurs nécessite une communication continue. Les relations reposent sur deux processus : la gestion des fournisseurs et la gestion des relations commerciales.
Résolution : les services informatiques n'ont pas une disponibilité de 100 %, des processus doivent donc être définis pour gérer les problèmes. Les processus de résolution incluent la gestion des incidents et des problèmes ainsi que l’exécution des demandes.
Contrôle : Il est essentiel de définir la manière dont les actifs informatiques seront configurés, déployés et modifiés. Les processus de contrôle incluent les processus de gestion des actifs de service et de la configuration, des modifications, des versions et du déploiement.
Relation : Maintenir des relations productives avec les clients et les fournisseurs nécessite une communication continue. Les relations reposent sur deux processus : la gestion des fournisseurs et la gestion des relations commerciales.
Résolution : les services informatiques n'ont pas une disponibilité de 100 %, des processus doivent donc être définis pour gérer les problèmes. Les processus de résolution incluent la gestion des incidents et des problèmes ainsi que l’exécution des demandes.
Contrôle : Il est essentiel de définir la manière dont les actifs informatiques seront configurés, déployés et modifiés. Les processus de contrôle incluent les processus de gestion des actifs de service et de la configuration, des modifications, des versions et du déploiement.
7En quoi les normes ISO 9001 et ISO/IEC 20000-1 diffèrent-elles ?
ISO 9001 est une norme mondiale qui souligne l'importance de la gestion de la qualité pour les entreprises qui fournissent des biens ou des services au public. Cependant, la norme ISO/IEC 20000-1 aborde plus spécifiquement l'aspect gestion des services du système d'un fournisseur et se concentre plus spécifiquement sur la manière dont le système fournit des services à ses clients.
8En quoi les normes ISO 27001 et ISO/IEC 20000-1 diffèrent-elles ?
ISO 27001 et ISO/IEC 20000-1 suivent une approche spécifique, la nette différence entre les deux constituerait le fondement sur lequel repose la norme. ISO 27001 concerne la gestion des risques (et a la gestion des risques comme élément central) tandis que ISO/IEC 20000-1 est basée sur les services.