ISO/IEC 20000-3 im Überblick - Alles, was Sie wissen müssen

Der Standard ISO/IEC 20000 ist aus dem britischen Standard BS 15000 hervorgegangen und basiert auf der weit verbreiteten Good-Practice-Sammlung zum Thema IT Service Management – der IT Infrastructure Library® (ITIL®). Während ITIL® aus einer Reihe umfangreicher Bücher besteht, sind die Dokumente, die zum Standard ISO/IEC 20000 gehören, wesentlich kompakter. • Das zentrale Kerndokument ist ISO/IEC 20000-1 und beschreibt Mindestanforderungen ans IT Service Management; genauer: Anforderungen an das Service Management System (SMS) und die enthaltenen Managementprozesse. Damit ist die Konformität zum Standard ISO/IEC 20000-1 für Organisationen / Unternehmen auditierbar und zertifizierbar. • ISO/IEC 20000-2 beschreibt keine Mindestanforderungen, sondern zusätzliche Erläuterungen, Empfehlungen und Anleitungen (in Ergänzung zu den Mindestanforderungen des ersten Teils). • Schließlich liefert ISO/IEC 20000-3 Anleitungen zur Festlegung des Umfangs und Geltungsbereichs (Scope) des Service Management Systems (SMS) sowie zur Anwendbarkeit von ISO/IEC 20000-1. • Zwei weitere Dokumente existieren unter dem Label der Reihe ISO/IEC 20000: ISO/IEC TR 20000-4 (Referenz-Prozessmodell) und ISO/IEC TR 20000-5 (Exemplarischer Umsetzungsplan für ISO/IEC 20000-1) der Reihe. Sie haben den speziellen Status „Technical Report“ (Abkürzung: TR), was sie gewissermaßen nicht zu „vollwertigen“ Bausteinen macht. • Weitere Bausteine befinden sich in der Entwicklung, darunter zum Beispiel ein Leitfaden für die Anwendung von ISO/IEC 20000-1 in der Cloud (ISO/IEC 20000-7). Die wichtigsten Fakten zu ISO/IEC 20000-3 Im Folgenden haben wir für Sie die wichtigsten Informationen zu ISO/IEC 20000-3 auf Basis der First Edition vom August 2012 zusammengefasst: 1. Motivation: Warum? Die Festlegung des Umfangs und der Grenzen (Scope) eines Service Management Systems (SMS) kann in Abhängigkeit von Art, Größe und Struktur einer Organisation sowie ihrer Kundenbeziehungen, Lieferketten und ihres Service-Angebots eine sehr schwierige und komplexe Aufgabe sein. Zugleich ist der definierte Scope aber die Basis für eine Zertifizierung nach ISO/IEC 20000-1. Wird der Scope zu stark beschränkt, kann die Aussagekraft der Zertifizierung in Frage gestellt werden. Wird der Scope zu groß gewählt, droht gerade bei einer Erstzertifizierung Überforderung. Um Hilfestellung in diesem Zusammenhang zu geben, wurde ISO/IEC 20000-3 entwickelt. 2. Adressaten: Für wen? ISO/IEC 20000-3 ist für diejenigen relevant, die bei der Festlegung des Scope des SMS mitwirken (z. B. interne oder externe Berater, Prozessverantwortliche, Service Manager, Projektleiter) oder den Scope letzten Endes festlegen (Managementverantwortliche/-vertreter, Top Management). 3. Aufbau von ISO/IEC 20000-3: 6 Abschnitte, ergänzt um 3 informative Anhänge (A bis C) auf insgesamt 27 Seiten; am wichtigsten und umfangreichsten sind die Abschnitte 4 bis 6. 4. Konformität mit ISO/IEC 20000-1 (Inhaltsverzeichnis, Abschnitt 4): In diesem Abschnitt beschreibt ISO/IEC 20000-3, wie ein Service Provider Konformität seines SMS mit ISO/IEC 20000-1 demonstrieren muss. Dabei wird deutlich gemacht, dass Dokumentation (von Prozessen) zwar ein wichtiges Element ist, allein jedoch nicht ausreicht, um Konformität zu demonstrieren. Vielmehr müssen auch definierte Ziele erreicht werden; das SMS muss also formal mit den Anforderungen aus ISO/IEC 20000-1 übereinstimmen und effektiv (wirksam) sein. Die Effizienz des Service Managements und damit die Wirtschaftlichkeit (Kosten vs. Nutzen) der eingeführten Prozesse mag zwar in der Praxis von großer Bedeutung sein, spielt aber für die Zertifizierung des Managementsystems nach ISO/IEC 20000-1 nahezu keine Rolle. 5. Anwendbarkeit von ISO/IEC 20000-1 (Inhaltsverzeichnis, Abschnitt 5): Hier beschäftigt sich ISO/IEC 20000-3 mit drei wichtigen Aspekten, die im Zusammenhang mit der Anwendung der Norm ISO/IEC 20000-1 stehen. Nachfolgend eine kurze Zusammenfassung: • Wer kann ISO/IEC 20000-1 nutzen? Es wird klargestellt, dass ISO/IEC 20000-1 für kleine wie große, interne wie externe und kommerzielle wie nicht-kommerzielle Service Provider anwendbar ist – unabhängig davon, wie die Services finanziert werden (z.B. durch leistungsbezogene Verrechnung oder fixe Budgets). In jedem Fall müssen aber alle Anforderungen aus ISO/IEC 20000-1 voll erfüllt werden; Ausschlüsse sind nicht möglich. Im Rahmen der Zertifizierung eines SMS kann ein Service Provider alle Anforderungen direkt selbst erfüllen oder aber andere Parteien (externe Lieferanten, interne Gruppen, Kunden) einbeziehen. • Governance von Prozessen, die von anderen Parteien ausgeführt werden Werden Teile von Prozessen von anderen Parteien ausgeführt, so muss der Service Provider auch in dieser Situation seine volle Kontrolle über diese Prozessteile nachweisen. Dieses Thema wird in ISO/IEC 20000-1 im Abschnitt 4.2 behandelt. In ISO/IEC 20000-3 werden ausführlichere Informationen und zehn konkrete Beispiele gegeben. • Ausmaß von Technologien, die zur Service-Erbringung genutzt werden Schließlich stellt ISO/IEC 20000-3 klar, dass die Anwendbarkeit von ISO/IEC 20000-1 völlig unabhängig von eingesetzten Technologien oder dem Grad der Automatisierung der Prozesse ist. 6. Durch bestimmte Technologien ändern sich die Anforderungen aus ISO/IEC 20000-1 nicht. Allerdings können Technologien und Tools Auswirkungen darauf haben, wie Prozesse ausgeführt werden und welche Anforderungen an die Fähigkeiten der beteiligten Personen resultieren. 7. Generelle Prinzipien für den Geltungsbereich (Scope) eines SMS (Inhaltsverzeichnis, Abschnitt 6): In diesem Abschnitt beschäftigt sich ISO/IEC 20000-3 mit wichtigen Aspekten bei der Festlegung des Geltungsbereichs eines SMS. Nachfolgend eine Zusammenfassung ausgewählter Themen: • Die Definition des Scopes sollte so einfach wie möglich und ohne detailliertes Verständnis der Organisation des Service Providers verständlich sein. Sie sollte so formuliert sein, dass die vorgenommenen Ausschlüsse klar erkennbar sind. Sie sollte für sich stehen und nicht auf weitere Dokumente referenzieren. (Anhang B liefert Beispiele.) • Parameter, die bei der Definition des Scopes zugrunde gelegt werden können, sind: Organisationseinheiten, Services, Technologie, Kunde, geographischer Standort (Lokation) des Service Providers, geographischer Standort (Lokation) des Kunden • Weitere behandelte Themen (in diesem Artikel nicht weiter vertieft): Stichproben im Rahmen der Bewertung, Gültigkeit der Scope-Definition, Änderungen am Scope, Lieferketten (supply chains) im Zusammenhang mit dem Scope, Integration mit anderen Managementsystemen Weiterführende Informationen Allgemeine Informationen zu ISO/IEC 20000 hat das mITSM auf seiner Webseite zusammengestellt in den Bereichen „Wissen“ und „Downloads“: http://www.mitsm.de Das mITSM ist akkreditiertes Schulungsinstitut und bietet unter anderem folgende Lehrgänge zu ISO/IEC 20000 an: - ISO/IEC 20000 Foundation - ISO/IEC 20000 Professional – z. B. Ausbildung zum "Associate in ITSM" - ISO/IEC 20000 Fast Track für ITIL® Experten – zum zertifizierten "ISO 20000 Consultant/Manager" für ITIL® Service Manager und ITIL® Experts in nur 2 Tagen - ISO/IEC 20000 Auditing – Ausbildung zum zertifizierten ITSM-Auditor