A ISO/IEC 20000, conhecida também como ISO 20000, é o padrão internacional para gerenciamento de serviços de TI (ITSM), desenvolvida em conjunto pela Organização Internacional de Normalização (ISO) e pela Comissão Eletrotécnica Internacional (IEC).
ITSM é a prática de oferecer serviços de TI por meio dos quais a organização consegue atender às necessidades dos usuários (funcionários e clientes) e atingir suas metas de negócios. A ISO 20000 descreve requisitos, melhores práticas, benchmarks e orientações para planejar, projetar, implementar, manter e melhorar de forma contínua os sistemas de gerenciamento de serviços (SGS).
Publicada pela primeira vez em 2004, a ISO 20000 foi revisada em 2011 e novamente em 2018; a última revisão é a mais atual e chamada de ISO 20000:2018.
A ISO 20000 ganhou popularidade nos últimos anos entre provedores de serviços de TI e organizações de todos os setores que se esforçam para melhorar continuamente o desempenho geral do ITSM, reduzir riscos e aumentar a qualidade do serviço, incorporando maior eficiência e produtividade em seus processos de gerenciamento de serviços.
As ofertas do IBM Infrastructure as a Service (IaaS) e da IBM Platform as a Service (PaaS) têm um processo de gerenciamento de serviços em conformidade com a ISO 20000-1:2018.
Os certificados ISO 20000 da IBM são publicados e normalmente disponíveis. Os serviços a seguir são certificados pela ISO 20000. Os serviços abaixo emitem certificados ISO pelo menos uma vez por ano.
A ISO 20000-1 (ISO/IEC 20000-1:2018) é o padrão principal e oferece a metodologia para desenvolver, implementar, manter e melhorar de forma contínua seu sistema de gerenciamento de serviços. (A ISO 20000 e a ISO 20000-1 costumam ser utilizadas de forma intercambiável.) A ISO 20000-1 contém requisitos e especificações aplicáveis a todo o ciclo de vida do serviço de TI. Entre outras informações, orienta sobre:
- Avaliação das necessidades de SMS no contexto da organização
- Estabelecer uma estrutura de liderança para o desenvolvimento, manutenção e evolução do SGS
- Planejamento e preparação para o desenvolvimento e aprimoramento do SMS, incluindo a determinação de objetivos, riscos e oportunidades organizacionais
- Apoio ao SMS depois de construído
- Operação, controle e manutenção do SMS
- Avaliação do desempenho de um SMS, incluindo monitoramento e auditorias internas
- Aprimoramento de um SMS, incluindo ações corretivas e melhorias
Documentos complementares da ISO 20000
Foram adicionadas mais partes da ISO 20000, ou documentos complementares, para ajudar a explicar e tratar diferentes elementos de como atender ou aplicar o padrão principal em determinadas circunstâncias.
Os comitês ISO/IEC acrescentam, revisam e retiram essas partes conforme necessário. O ano da versão mais recente é anexado ao nome completo (como na ISO/IEC 20000-5:2022). As partes notáveis incluem:
A ISO 20000-2 (ISO/IEC 20000-2:2019) oferece orientação às organizações sobre a aplicação dos sistemas de gerenciamento de serviços baseada na ISO 20000-1. A orientação traz exemplos e sugestões para interpretar e aplicar o padrão principal da ISO 20000-1.
ISO 20000-3 (ISO/IEC 20000-3:2019), que oferece orientações sobre o escopo da ISO 20000-1 para ajudar as organizações a avaliar se a norma principal se aplica às suas circunstâncias. A ISO 20000-3 explica como definir o escopo de um SMS e pode ajudar as organizações no planejamento de uma avaliação de conformidade por um órgão de certificação de acordo com a ISO 20000-1.
O documento traz exemplos de declarações de escopo para SGS, utilizando vários exemplos de cenários de cadeia de suprimentos relativamente simples a complexos.
ISO 20000-5 (ISO/IEC 20000-5:2022), que fornece orientações sobre a implementação de sistemas de gerenciamento de serviços em conformidade com a ISO 20000-1.
ISO 20000-6 (ISO/IEC 20000-6:2017), que trata dos requisitos para entidades de certificação que verificam se o SGS da organização está em conformidade com a norma ISO 20000-1. A ISO 20000-6 pode ser utilizada também por entidades de credenciamento que avaliam entidades de certificação.
ISO 20000-10 (ISO/IEC 20000-10:2018), que define a taxonomia, os conceitos e o vocabulário de termos utilizados na ISO 20000-1.
ISO 20000-11 (ISO/IEC 20000-11:2021), que fornece orientações sobre as correlações entre a ISO 20000-1 e o framework estabelecido na biblioteca de infraestrutura de TI (ITIL), um framework de melhores práticas para gerenciar e melhorar o suporte de TI e a prestação de serviços. A ISO 20000-11 tem como objetivo:
- Auxiliar as organizações que já estão em conformidade com a ISO 20000-1, mas desejam utilizar o ITIL para aprimorar seu SMS;
- Ajudar as organizações que utilizam ITIL a demonstrar como está a conformidade do SGS com os padrões da ISO 20000-1; e
- Fornecer aos auditores de SMS uma melhor compreensão do uso do ITIL como suporte para alcançar a conformidade com a ISO 20000-1.
ISO 20000-14 (ISO/IEC 20000-14:2023), que se concentra principalmente na Integração e Gerenciamento de Serviços (SIAM) em um SGS, oferecendo orientação para organizações que gerenciam vários provedores de serviços dentro do SGS.
ISO 20000-15 (ISO/IEC 20000-15:2024), que mostra como a estrutura de gerenciamento de projetos, como o Ágil, e os princípios de desenvolvimento de software, como o DevOps, podem ser aplicados em um sistema de gerenciamento de serviços que esteja em conformidade com a ISO 20000-1.
A ISO 20000-16 (ISO/IEC 20000-16:2025), em desenvolvimento no momento em que este texto foi escrito, trará orientações para a sustentabilidade dentro do SGS com base na ISO 20000-1.
As organizações que implementam a ISO 20000 para seu SGS podem decidir passar por um processo de certificação para verificar se os requisitos do seu sistema de gerenciamento de serviços atendem ao padrão internacional.
Diversos órgãos de certificação podem auditar a organização que busca a conformidade com a ISO 20000. O processo de certificação geralmente exige que as organizações mantenham uma documentação detalhada dos requisitos e processos do sistema de gerenciamento de serviços e de como elas aderem à norma.
A certificação ISO 20000 pode ser necessária para outras certificações ou credenciais importantes. Por exemplo, os provedores de serviço de nuvem que buscam o credenciamento junto ao Ministério de Eletrônica e Tecnologia da Informação (MietY) da Índia devem demonstrar e manter a conformidade com a ISO 20000 e outros padrões de segurança.
Uma pesquisa da ISO de 2022 mostrou que a certificação ISO 20000 é a oitava certificação padrão ISO mais popular do mundo, com base no número de organizações certificadas. Muitas organizações buscam a certificação ISO 20000 para garantir aos clientes as melhores práticas de ITSM.
No entanto, a ISO tem deixado claro que a certificação de terceiros não é a única razão para adequação ao padrão e que as organizações podem aproveitar os benefícios do framework e a orientação da ISO 20000 para implementação, avaliação e melhoria contínua do SGS com ou sem certificação.
Novamente, ITSM é a prática de fornecer serviços de TI que permitem que uma organização atenda às necessidades dos usuários (funcionários e clientes) e atinja suas metas de negócios. As organizações têm usado a ISO 20000 para lidar com várias questões de ITSM, incluindo, entre outras:
- Gerenciamento de relacionamentos de negócios
- Gestão de mudanças
- Gerenciamento de nível de serviço
- Gerenciamento da capacidade
- Gerenciamento de disponibilidade
- Gerenciamento de problemas
- Gerenciamento de incidentes
- Gerenciamento de demanda
- Gerenciamento da cadeia de suprimentos
A ISO 20000 e o ITIL são semelhantes, pois são as principais fontes de melhores práticas para sistemas de gerenciamento de serviços de TI. O padrão internacional e também o ITIL abrangem o ciclo de vida de um SGS. Eles costumam ser utilizados juntos no planejamento, implementação, manutenção e melhoria contínua desses sistemas.
Enquanto a ISO 20000 oferece uma metodologia genérica para as melhores práticas de ITSM, o ITIL detalha as práticas específicas que devem ser utilizadas para atingir os objetivos descritos na metodologia ISO 20000. E embora a ISO 20000 tenha sido desenvolvida com base no framework ITIL, ela pode ser utilizada também com outros frameworks de gerenciamento de serviços de TI, como o framework COBIT ou o Microsoft Operations Framework.
A ISO 20000 é um padrão internacional criado para aplicação a organizações de todos os portes em todas as regiões, independentemente da natureza dos serviços prestados. Por isso, organizações e empresas de todos os setores têm utilizado a ISO 20000 como benchmark para o desenvolvimento de SGS. Veja alguns exemplos de usuários e casos de uso:
- Organizações que desejam demonstrar sua capacidade de elaborar, manter e melhorar sua prestação de serviços
- Organizações que desejam auditar e avaliar o desempenho de seu SGS
- Clientes que buscam garantia de qualidade do SGS da organização
- Clientes que buscam uma abordagem uniforme para o gerenciamento de serviços de TI por todos os provedores, inclusive como parte da cadeia de suprimentos
- Consultores e assessores de SMS
- Organizações que realizam avaliações de conformidade de acordo com a ISO 20000
A ISO 20000 foi elaborada com base em outras normas internacionais devido à necessidade de integração com sistemas de gerenciamento de qualidade e segurança. Veja alguns padrões relacionados à ISO 20000:
ISO 9001 (ISO/IEC 9001), a norma internacional para sistemas de gestão da qualidade. Estabelece os requisitos para estabelecimento, implementação, manutenção e melhoria contínua de um sistema de gestão da qualidade (SGQ).
ISO 22301 (ISO/IEC 22301), norma internacional para sistemas de gerenciamento de continuidade de negócios. O objetivo é ajudar as organizações a se protegerem de incidentes que interrompam seus serviços, reduzirem suas chances e se recuperarem deles.
ISO 27001 (ISO/IEC 27001), a norma internacional para sistemas de gerenciamento de segurança da informação (ISMS). Define os requisitos que um ISMS deve atender, ajuda as organizações a gerenciar os riscos de segurança de dados e as auxilia na implementação das melhores práticas de segurança da informação, proteção de dados e cibersegurança.