ISO/IEC 20000, noto anche come ISO 20000, è lo standard internazionale per la gestione dei servizi IT (ITSM), sviluppato congiuntamente dall'Organizzazione internazionale per la normazione (ISO) e dalla Commissione elettrotecnica internazionale (IEC).
L'ITSM è la pratica di fornire servizi IT che consentono a un'organizzazione di soddisfare le esigenze dei propri utenti (dipendenti e clienti) e raggiungere i propri obiettivi aziendali. La norma ISO 20000 delinea requisiti, best practice, benchmark e linee guida per la pianificazione, la progettazione, l'implementazione, la manutenzione e il miglioramento continuo di un sistema di gestione dei servizi (SMS).
Pubblicata per la prima volta nel 2004, la ISO 20000 è stata modificata nel 2011 e di nuovo nel 2018; l'ultima revisione, la più recente, è denominata ISO 20000:2018.
La ISO 20000 ha guadagnato popolarità negli ultimi anni tra i fornitori di servizi IT e le organizzazioni di ogni settore che si impegnano a migliorare continuamente le prestazioni ITSM complessive, ridurre i rischi e migliorare la qualità dei servizi incorporando una maggiore efficienza e produttività nei loro processi di gestione dei servizi.
Le offerte IBM® Infrastructure as a Service (IaaS) e IBM Platform as a Service (PaaS) prevedono un processo di gestione dei servizi conforme alla norma ISO 20000-1:2018.
I certificati IBM ISO 20000 sono pubblicati e generalmente disponibili. I seguenti servizi sono certificati ISO 20000. I servizi indicati di seguito rilasciano certificati ISO almeno una volta all'anno.
ISO 20000-1 (ISO/IEC 20000-1:2018) è la norma principale, che fornisce la metodologia per lo sviluppo, l'implementazione, la gestione e il miglioramento continuo del sistema di gestione dei servizi. (ISO 20000 e ISO 20000-1 sono talvolta utilizzati in modo intercambiabile). La norma ISO 20000-1 include requisiti e specifiche applicabili all'intero ciclo di vita dei servizi IT. Tra le altre cose, fornisce indicazioni su:
- Valutare le esigenze di un SMS nel contesto dell'organizzazione
- Stabilire una struttura di leadership per lo sviluppo, la manutenzione e l'evoluzione di un SMS
- Pianificare e prepararsi per lo sviluppo e il miglioramento di un SMS, inclusa la determinazione degli obiettivi organizzativi, dei rischi e delle opportunità
- Sostenere l'SMS dopo la sua creazione
- Occuparsi della gestione, del controllo e della manutenzione dell'SMS
- Valutazione delle prestazioni di un SMS, compresi il monitoraggio e gli audit interni
- Miglioramento di un SMS, comprese le azioni correttive e i miglioramenti
Documenti complementari ISO 20000 aggiuntivi
Sono state aggiunte ulteriori parti a ISO 20000, o documenti complementari, per aiutare a spiegare i diversi elementi di come soddisfare o applicare la norma principale in determinate circostanze.
I comitati ISO/IEC aggiungono, rivedono e ritirano queste parti secondo necessità. L'anno della versione più recente viene aggiunto al nome completo (come in ISO/IEC 20000-5:2022). Le parti più importanti includono:
ISO 20000-2 (ISO/IEC 20000-2:2019) offre una guida alle organizzazioni sull'applicazione dei sistemi di gestione dei servizi basati sulla ISO 20000-1. La guida include esempi e suggerimenti per l'interpretazione e l'applicazione della norma principale ISO 20000-1.
ISO 20000-3 (ISO/IEC 20000-3:2019), che fornisce indicazioni sull'ambito di applicazione dell'ISO 20000-1 per aiutare le organizzazioni a valutare se la norma principale si applica alle loro circostanze. La ISO 20000-3 spiega come definire l'ambito di un SMS e può aiutare le organizzazioni a pianificare una valutazione di conformità da parte di un organismo di certificazione rispetto all'ISO 20000-1.
Il documento include esempi di dichiarazioni sull'ambito di un SMS, utilizzando vari esempi che vanno da scenari relativamente semplici a complessi della supply chain.
ISO 20000-5 (ISO/IEC 20000-5:2022), che fornisce linee guida sull'implementazione di sistemi di gestione dei servizi conformi all'ISO 20000-1.
ISO 20000-6 (ISO/IEC 20000-6:2017), che soddisfa i requisiti per gli organismi di certificazione che verificano se l'SMS di un'organizzazione sia conforme alla norma ISO 20000-1. L'ISO 20000-6 può essere utilizzata anche da organismi di accreditamento che valutano gli organismi di certificazione.
ISO 20000-10 (ISO/IEC 20000-10:2018), che definisce la tassonomia, i concetti e il vocabolario dei termini utilizzati nell'ISO 20000-1.
ISO 20000-11 che fornisce indicazioni sulle correlazioni tra la norma ISO 20000-1 e il framework definito nella libreria dell'IT infrastructure library (ITIL), un framework consolidato di best practice per la gestione e il miglioramento del supporto e dell'erogazione dei servizi IT. La norma ISO 20000-11 ha lo scopo di:
- assistere le organizzazioni che sono già conformi all'ISO 20000-1 ma desiderano utilizzare ITIL per migliorare i propri SMS;
- aiutare le organizzazioni che utilizzano ITIL a dimostrare la conformità dei propri SMS alle norme ISO 20000-1;
- fornire agli auditor degli SMS una migliore comprensione dell'uso di ITIL come supporto per raggiungere la conformità all'ISO 20000-1.
ISO 20000-14 (ISO/IEC 20000-14:2023), che si concentra principalmente sull'integrazione e la gestione dei servizi (SIAM) all'interno di un SMS, fornendo indicazioni alle organizzazioni che gestiscono più fornitori di servizi all'interno di un SMS.
ISO 20000-15 (ISO/IEC 20000-15:2024), che illustra come i framework di gestione dei progetti, come Agile, e i principi di sviluppo software, come DevOps, possono essere applicati in un sistema di gestione dei servizi conforme all'ISO 20000-1.
ISO 20000-16 (ISO/IEC 20000-16:2025), in fase di sviluppo al momento della stesura di questo articolo, fornirà una guida per la sostenibilità all'interno di un SMS basato sull'ISO 20000-1.
Le organizzazioni che implementano la norma ISO 20000 per il proprio SMS possono decidere di sottoporsi a un processo di certificazione per verificare che i requisiti del proprio sistema di gestione dei servizi soddisfino lo standard internazionale.
Diversi organismi di certificazione possono sottoporre ad audit le organizzazioni che desiderano conformarsi alla norma ISO 20000. In genere, il processo di certificazione richiede alle organizzazioni di conservare una documentazione dettagliata dei requisiti e dei processi del sistema di gestione dei servizi e del modo in cui aderiscono allo standard.
La certificazione ISO 20000 potrebbe essere richiesta per altre certificazioni o credenziali importanti. Ad esempio, i fornitori di servizi cloud che desiderano entrare a far parte del Ministero dell'elettronica e della Tecnologia (MietY) indiano devono dimostrare e mantenere la conformità all'ISO 20000 e ad altri standard di sicurezza.
Un sondaggio ISO del 2022 ha mostrato che la certificazione ISO 20000 è l'ottava certificazione standard ISO più popolare al mondo in base al numero di organizzazioni certificate. Molte organizzazioni richiedono la certificazione ISO 20000 per rassicurare i clienti sulle proprie best practice ITSM.
Tuttavia, l'ISO ha chiarito che la certificazione di terze parti non è l'unico motivo per conformarsi allo standard e che le organizzazioni possono ottenere i benefici del framework e delle linee guida della ISO 20000 per l'implementazione, la valutazione e il miglioramento continuo degli SMS con o senza certificazione.
Come abbiamo visto, l'ITSM è la pratica di fornire servizi IT che consentono a un'organizzazione di soddisfare le esigenze dei propri utenti (dipendenti e clienti) e raggiungere i propri obiettivi aziendali. Le organizzazioni hanno utilizzato la norma ISO 20000 per affrontare varie problematiche ITSM tra cui, a titolo esemplificativo ma non esaustivo:
- Gestione delle relazioni commerciali
- Gestione delle modifiche
- Gestione dei livelli di servizio
- Gestione della capacità
- Gestione della disponibilità
- Gestione dei problemi
- Gestione degli incidenti
- Gestione della domanda
- Gestione della supply chain
ISO 20000 e ITIL sono simili in quanto fonti principali di best practice per i sistemi di gestione dei servizi IT. Sia lo standard internazionale che ITIL coprono il ciclo di vita di un SMS. Sono spesso usati insieme nella pianificazione, implementazione, manutenzione e miglioramento continuo di tali sistemi.
Mentre la norma ISO 20000 fornisce una metodologia generica per le best practice ITSM, ITIL descrive in dettaglio le pratiche specifiche che dovrebbero essere utilizzate per raggiungere gli obiettivi delineati nella metodologia ISO 20000. Sebbene la norma ISO 20000 sia stata sviluppata tenendo conto del framework ITIL, può essere utilizzata anche con altri framework di gestione dei servizi IT, come il framework COBIT o il Microsoft Operations Framework.
ISO 20000 è uno standard internazionale redatto per essere applicato alle organizzazioni di tutte le dimensioni e in tutte le aree geografiche, indipendentemente dalla natura dei servizi forniti. Per questo motivo, organizzazioni e aziende di ogni settore hanno utilizzato ISO 20000 come benchmark per lo sviluppo degli SMS. Utenti e casi d'uso includono:
- Organizzazioni che vogliono dimostrare la propria capacità di progettare, mantenere e migliorare la fornitura di servizi
- Organizzazioni che desiderano verificare e rivedere le prestazioni dei propri SMS
- Clienti che cercano la garanzia di qualità degli SMS di un'organizzazione
- Clienti che cercano un approccio coerente alla gestione dei servizi IT da parte di tutti i fornitori, anche come parte integrante di una supply chain
- Consulenti e consulenti strategici per gli SMS
- Organizzazioni che eseguono valutazioni di conformità rispetto alla norma ISO 20000
La norma ISO 20000 è stata progettata tenendo conto di altri standard internazionali, data la necessità di integrazione con i sistemi di gestione della qualità e della sicurezza. Gli standard che si riferiscono all'ISO 20000 includono:
ISO 9001 (ISO/IEC 9001), lo standard internazionale per i sistemi di gestione della qualità. Stabilisce i requisiti per l'istituzione, l'implementazione, la manutenzione e il miglioramento continuo di un sistema di gestione della qualità (QMS).
ISO 22301 (ISO/IEC 22301), lo standard internazionale per i sistemi di gestione della continuità aziendale. Ha lo scopo di aiutare le organizzazioni a proteggersi e a riprendersi dagli incidenti che interrompono i loro servizi e a ridurre la probabilità che si verifichino.
ISO 27001 (ISO/IEC 27001), lo standard internazionale per i sistemi di gestione della sicurezza delle informazioni (ISMS). Definisce i requisiti che un ISMS deve soddisfare, aiuta le organizzazioni a gestire i rischi per la sicurezza dei dati e le assiste nell'implementazione delle best practice per la sicurezza delle informazioni, la protezione dei dati e la cybersecurity.