ISO/IEC 20000

ISO/IEC 20000 är en internationell standard för IT Service Management, dvs för hantering av IT-tjänster. Standarden anger vilka krav som ska ställas på en tjänsteleverantör som ska etablera, leverera och förbättra tjänster för att skapa nytta för kunden och för tjänsteleverantören. Standarden erbjuder möjligheter att certifiera den organisation som levererar IT-tjänster. I december 2005 publicerades ISO/IEC 20000 för första gången. I april 2011 publicerades en ny version av standarden. På svenska benämns standarden för Ledningssystem för tjänster.

Beställare kan också med fördel använda ISO/IEC 20000 för att ställa krav på sina tjänsteleverantörer. Bland annat tydliggör standarden hur leverantör och kund ska samverka i olika frågor och hur flera leverantörer kan hanteras på likartat sätt.

ITIL Information Technology Infrastructure Library är en samling principer för hantering av IT-tjänster, där fokus ligger på att IT-tjänsterna ska anpassas efter de behov som uppstår i verksamheten.

Samlingen har sammanställts av brittiska Office of Government Commerce (OGC) och innehåller detaljerade beskrivningar av hur olika IT-relaterade uppgifter kan utföras. Avsikten med principsamlingen är att främja ett dokumenterat, systematiskt tillvägagångssätt när företag och organisationer bygger och utvecklar moderna IT-tjänster. Principsamlingen innehåller förhållningssätt till många problem som IT-tjänsthanteringen ställs inför, till exempel kunskapsbrist, komplexa system, snabba förändringar, ökade och oförutsägbara verksamhets- och användarkrav.

ISO/IEC 20000 och ITIL i symbios

ISO/IEC 20000 och ITIL utvecklas parallellt. Ingen baseras på den andra, däremot beskriver de samma områden och samma processer. Samtidigt kompletterar de varandra. ISO/IEC 20000 talar om vad som ska göras och ITIL talar om hur det kan göras.

Det är stor skillnad i omfattningen av dokumentationen mellan ISO/IEC 20000 och ITIL. Kravdelen i ISO/IEC 20000 omfattar 25 sidor medan ITIL omfattar många hundra. Med hjälp av ISO/IEC 20000 är det därför enkelt att få en överblick över vad som måste göras för att uppnå god tjänstehantering. ISO/IEC 20000 ger också dig som arbetar med ITIL en bra och enkel sammanställning på vad som är viktigt att göra.

ifSMF medverkar i utvecklingen av ISO/IEC 20000.

Användning

En drivkraft bakom ISO/IEC 20000 är behovet av ett formellt internationellt tillvägagångssätt för att kvalitetssäkra hur IT-tjänster levereras samt möjligheten att certifiera en organisation. Att certifiera sig är att tydligt markera och tala om för kunder, partners och kollegor att ständiga förbättringar och att leverera rätt tjänster till rätt kvalitet är vad organisationen prioriterar.

Eftersom ISO/IEC 20000 är en ledningssystemstandard ställer den också krav på själva ledningssystem. Det omfattar bland annat krav på formella dokument och på hur ledningen hos tjänsteleverantören ska ta ansvar och engagera sig i hanteringen av IT-tjänsterna. Som ledningssystem kan standarden tillämpas integrerat med andra ledningssystem inom områden som t ex kvalitet och informationssäkerhet.

ISO/IEC 20000 fungerar utmärkt som stöd för att utvärdera och välja leverantörer och partners vid köp av IT-tjänster och vid outsourcing. Genom de tydliga kraven i ISO/IEC 20000 ges en kontroll av att ITIL har implementerats och att organisationen aktivt arbetar med IT Service Management frågor och med ständiga förbättringar. För alla organisationer som erbjuder IT- och outsourcingtjänster kommer standarden att innebära att tuffare krav ställs på dem. Redan idag ser vi att krav ställs på att kunna genomföra de processer och uppfylla krav som ställs i ISO/IEC 20000. I framtiden kommer certifiering enligt ISO/IEC 20000 säkerligen att vara ett krav vid upphandlingar.

Men det är inte bara för externa leverantörer standarden innebär nya möjligheter. För interna IT-organisationer ger den formella certifieringen ett bevis på att man har kontroll på kostnader, aktivt arbetar med kvalitetsfrågor och är fokuserad på att leverera tjänster på ett sätt som utvecklar affärsverksamheten.

Att följa standarden innebära att organisationen går från ”bör” till ”skall” i arbetssättet. Det vill säga att saker som ska göras för att leverera rätt tjänster vid rätt tillfälle faktiskt utförs enligt beprövade rutiner och processer.

Delar i ISO/IEC 20000

Standarden om Ledningssystem för tjänster består i dag av följande delar:

  • ISO/IEC 20000-1: Krav
  • ISO/IEC 20000-2: Vägledning
  • ISO/IEC TR 20000-3: Vägledning för definition av omfattning (scope)
  • ISO/IEC TR 20000-4: Referensmodell för processer
  • ISO/IEC TR 20000-5: Exempel för stegvist införande

ISO/IEC 20000-1 är kravdelen i standarden och den del som organisationen mäts mot. Denna del är uttryckt i skall-krav och anger vad som måste göras för att god hantering av IT-tjänster ska var uppfyllt och för att kunna erhålla certifiering. ISO/IEC 20000-1 kan läsas igenom på några timmar i syfte att få en översiktlig bild av krav och omfattning. Standarden ger precisa krav och tydliggör till exempel:
Roller, ansvar och viktiga begrepp för leverans av tjänster, vilket bildrar till att underlätta samverkan och skapa en bättre relation mellan kund och leverantör.
Hur underleverantörer ska hanteras och hur kundens behov och krav ska återsäkras i underleverantörsledet.
Modeller som kan användas för att hantera externa och interna leverantörer enligt samma principer och processer.
Hur ständiga förbättringar bidrar till att upprätthålla och öka tjänsteleverantörens förmåga att leverera IT-tjänster som stöder kundens verksamhet.
Viktiga krav på ledning att använda för att värdera, styra och följa upp IT-användningen.

ISO/IEC 20000-2 ger vägledning och rekommendationer till tjänsteleverantörer som vill uppfylla kraven enligt 20000-1. 20000-2 är till sin uppbyggnad och struktur identisk med 20000-1, men den ger ytterligare stöd och råd för att underlätta införande och genomförande av service management.

ISO/IEC TR 20000-3 är en vägledning, en teknisk rapport (TR), för hur organisationer som vill certifiera sig ska definiera omfattning/avgränsning (scope) av det som ska certifieras. Det handlar bl a om vilka tjänster, organisatoriska delar, geografiskt område samt vilka kunder som ska omfattas av tjänstehanteringen. Denna vägledning är viktigt för de organisationer som vill certifiera sig samt för de som lämnar råd och gör kontroller vid certifiering.

ISO/IEC 20000-4 är en vägledning, en teknisk rapport (TR), till dem som önskar utvärdera och bedöma sina processer enligt de regelverk som finns i standarden ISO/IEC 15504.

ISO/IEC TR 20000-5 är en vägledning, en teknisk rapport (TR), som beskriver ett exempel på ett stegvist tillvägagångssätt för att nå målet att uppfylla kraven enligt 20000-1. Den benämns på engelska ”Exemplar implementation plan for ISO/IEC 20000-1”.

Standarden för Governance of IT, ISO/IEC 38500

itSMF medverkar även i utvecklingen av standarden för Governance of IT, dvs ISO/IEC 38500. På svenska heter denna standard Organisationers övergripande styrning av informationsteknik. Standarden släpptes i en första version i juni 2008.

ISO/IEC 38500 tillhandahåller en uppsättning grundläggande principer för att värdera, leda och övervaka den egna organisationens användning av IT i syfte att främja verksam, effektiv och godtagbar IT-användning. Principerna är riktade till den högsta ledningen i en organisation för att hjälpa dem att förstå och fullgöra sina legala, regulatorisk och etiska åtaganden vad gäller IT-användningen. Standarden omfattar definitioner, principer och en modell för hur styrning ska genomföras.

Sixten Björklund

Ordförande SIS TK303/AG2 sixten.bjorklund@sipit.se

Sixten medverkar i SIS som representant från ifSMF Sweden. Sixten medverkar även i det internationella arbetet inom såväl ISO/IEC 20000 som ISO/IEC 38500.