ISO/IEC 20000, che cos’è?

Norme della serie ISO/IEC 20000

Molte persone conoscono bene la norma ISO/IEC 20000-1, ma forse non conoscono le altre norme della serie.

ISO/IEC 20000 è una famiglia di standard, dal titolo generale Tecnologia dell’informazione – gestione dei servizi IT. 

Aggiornamento del 21 settembre 2020

In questo post descriveremo tutte le norme e Technical Report pubblicati finora.

Ad oggi la serie comprende le seguenti norme:

• ISO/IEC 20000-1:2011, Service management system requirements. Specifica i requisiti minimi per raggiungere l’eccellenza nella gestione dei servizi, e può essere utilizzata per valutare un’organizzazione e rilasciare la certificazione ISO/IEC 20000-1.
• ISO/IEC 20000-2:2012, Guidance on the application of service management systems. Guida a supporto dell’implementazione della parte 1.
• ISO/IEC 20000-3:2012, Guidance on scope definition and applicability of ISO/IEC 20000-1. Guida specifica per la definizione dell’ambito e per l’applicabilità della parte 1; utile per valutare l’adeguatezza di ISO/IEC 20000-1 per un’organizzazione, e per definire l’ambito di applicazione.
• ISO/IEC 20000-4:2010, Process reference model. Norma obsoleta e non allineata alla versione 2011 della parte 1.
• ISO/IEC 20000-5:2013, Exemplar implementation plan for ISO/IEC 20000-1. Fornisce indicazioni e modulistica per pianificare un’implementazione di ISO/IEC 20000-1.
• ISO/IEC 20000-9:2015 Guidance on the application of ISO/IEC 20000‑1 to cloud services. Di recentissima pubblicazione è basata sul ciclo di vita dei servizi cloud e fornisce linee guida per l’uso di ISO/IEC 20000-1 per questa tipologia di servizi IT
• ISO/IEC 20000-10:2013, Concepts and terminology. Elenca tutti i concetti di base, i termini e le definizioni utilizzate nella serie ISO/IEC 20000. Attualmente in fase di aggiornamento.

Standard correlati

Ci sono poi altri tre International Standard e Technical Reports strettamente correlati:

• ISO/IEC 27013:2012, Guidance on the integrated implementation of ISO/IEC 27001:2005 and ISO/IEC 20000‑1:2011. Fornisce linee guida sull’integrazione dei sistemi di gestione per la sicurezza delle informazioni e per la gestione dei servizi. In fase di aggiornamento per allinearla con la norma ISO/IEC 27001:2013
• ISO/IEC TR 90006:2014 Guideline on the application of ISO 9001:2008 to IT service management and its integration with ISO/IEC 20000‑1:2011. Guida all’utilizzo di ISO 9001 in un ambito che includa la gestione dei servizi IT. Fornisce indicazioni sull’integrazione dei sistemi di gestione per la qualità e dei servizi IT.
• ISO/IEC TS 15504‑8:2012 Process assessment – Part 8: An exemplar assessment model for IT service management. Norma obsoleta e non allineata alla versione 2011 della parte 1.

Norme in preparazione

E non è finita qui! La serie continua ad evolvere, dal momento che sono in preparazione le seguenti norme:

• ISO/IEC 20000-6, Requirements for bodies providing audit and certification of service management systems, destinata agli enti di certificazione e di accreditamento. Questa norma è basata su ISO 17021 e fornisce requisiti addizionali specifici per l’audit e la certificazione ISO/IEC 20000-1:2011 delle organizzazioni.
• ISO/IEC 20000-11, Guidance on the relationship between ISO/IEC 20000‑1:2011 and service management frameworks. Illustra le similitudini e le differenze tra ISO/IEC 20000-1:2011 e il framework ITIL, facendo uso di una mappatura di alto livello.

Sono anche in fase di studio le seguenti norme:

• Guidance on the relationship between ISO/IEC 20000-1 and CMMI:SVC
• Guidance for the implementation of ISO/IEC 20000-1 for very small enterprises

Qualificazioni disponibili

Oltre alle certificazioni per le organizzazioni lo schema ISO/IEC 20000 prevede tre livelli di qualificazione per gli individui:

• ISO/IEC 20000 Foundation, per chi vuole conoscere in dettaglio i requisiti della parte 1 della norma.
• ISO/IEC 20000 Practitioner, per chi vuole applicare la norma con il supporto della ISO/IEC 20000-2.
• ISO/IEC 20000 Auditor, per chi desidera intraprendere la carriera di auditor.

ISO/IEC 20000 e ITIL® v3

La maggior parte delle organizzazioni che aderiscono a ISO/IEC 20000 hanno scelto anche ITIL® come framework per il service management. Ma se già si utilizza ITIL, quali benefici si potranno ottenere dall’implementazione della norma ISO?

La relazione tra la norma e ITIL

ISO/IEC 20000 e ITIL® condividono l’intento e l’impostazione generale, ma non l’obiettivo, e questa diversità si riflette nel formato, nella struttura, nello stile e nel livello di dettaglio.

La parte 1 dello standard ISO definisce i requisiti che un service provider deve necessariamente soddisfare ai fini di ottenere la certificazione; non è indicato però come implementare tali requisiti.

ITIL® fornisce invece una guida riguardo alle buone pratiche, quel “come fare” che non si trova nello standard ISO. Inoltre un service provider non ha bisogno di applicare l’intera guida ITIL per ottenere la certificazione per i suoi servizi attualmente in erogazione: non è detto, infatti, che egli abbia implementato, o voglia implementare, tutte e cinque le fasi del service lifecycle descritte nel framework.

I service provider possono ottenere la conformità allo standard ISO anche utilizzando metodologie o tecniche diverse da ITIL. Non ci sono pertanto riferimenti ad ITIL o altri framework all’interno dello standard, come è spiegato nell’introduzione: ‘ISO/IEC 20000-1 è volutamente indipendente da guide specifiche. Il service provider può utilizzare una combinazione tra una guida generalmente accettata e la sua propria esperienza.’

La maggior parte degli standard nazionali e internazionali devono poter essere utilizzati in molti tipi di organizzazioni con strutture differenti. È importante evitare che un’organizzazione diventi non conforme in caso di riorganizzazione della propria struttura. La clausola 1 dello standard ISO stabilisce infatti che: ‘Tutti i requisiti in questa parte della norma ISO/IEC 20000 sono generici e sono destinati a essere applicati a tutti i service provider, a prescindere dal tipo, dalle dimensioni e dalla natura dei servizi erogati.’

Le funzioni, che sono parte della struttura di un’organizzazione, non sono dunque incluse nello standard e non possono essere direttamente collegate alle quattro funzioni di ITIL.

In ogni caso i termini chiave utilizzati nella norma sono simili a quelli impiegati in ITIL. È possibile collegare i requisiti espressi a livello di clausola o di processo sul ciclo di vita e sui processi di ITIL. Alcune convergenze sono forti, ad esempio il processo di change management, altre sono invece deboli, come lo strategy management per i servizi IT. E’ attualmente pubblicata e disponibile la parte 11 della norma, nella quale sono descritte le correlazioni tra ITIL e ISO/IEC 20000-1.

Benefici della norma per chi usa ITIL®

I benefici ottenibili con ISO/IEC 20000 dipendono dal livello di maturità del service management in azienda. Molte organizzazioni iniziano, o addirittura concludono, l’implementazione di ITIL soltanto con un paio di processi – tipicamente incident management, request fulfillment, change management e service level management. Naturalmente ci sono dei benefici apportati dall’implementazione di ciascun processo, ma quanti più sono i processi implementati e poi integrati, tanto maggiori sono i benefici che si possono ottenere.

Di solito è difficile assicurare che siano stati implementati tutti i processi necessari per ottimizzare i benefici in un’organizzazione, come pure assicurare che questi siano integrati e continuamente migliorati. Ciò richiede infatti impegno da parte del management, attività di pianificazione e un processo di miglioramento continuo. ISO/IEC 20000 fornisce tutti questi elementi sotto forma di un sistema di management che assicura il pieno raggiungimento di tutti gli obiettivi che l’organizzazione si è prefissa.

La certificazione rafforza la conformità del processo trasformando gli “should” in “shall”, i condizionali in imperativi, così da ottenere tutti i benefici delle best practice ITSM. Il personale dell’organizzazione, invece di affermare che dovrebbe svolgere un processo in un certo modo, dirà che deve svolgerlo in quel modo: ci sarà infatti un auditor a verificare il corretto svolgimento delle attività.

Un servizio IT scadente ha come conseguenza dei disguidi per il personale di business, il quale spende il proprio tempo cercando di far modificare i servizi IT o tentando di risolvere i problemi, sottraendo così tempo prezioso al proprio lavoro. La norma supporta il business affinché operi più efficacemente, assicurando che i servizi IT di supporto abilitino il business piuttosto che distogliere il personale dallo svolgimento del proprio ruolo.

La guida ISO/IEC TR 20000-11

ISO ha pubblicato in collaborazione con Axelos la nuova guida ISO/IEC TR 20000-11 Information technology – Service management – Part 11: Guidance on the relationship between ISO/IEC 20000-1:2011 and service management frameworks: ITIL®

La guida ISO/IEC 20000-11 è la prima di una serie di guide che saranno pubblicate per illustrare la relazione esistente tra la norma ISO/IEC 20000-1 e i framework as essa collegati. La parte 12, ad esempio, tratterà della relazione tra ISO/IEC 20000 e CMMI-SVC, mentre la parte 13 tratterà della relazione con COBIT®. Nella guida si fa riferimento alla edizione 2011 di ITIL® e alla ISO/IEC 20000-1:2011 .

La guida è stata pensata per supportare le aziende che già utilizzano il framework ITIL® e desiderano certificarsi ISO/IEC 20000-1. L’introduzione alla ISO/IEC 200000-11 recita così:

“Questa parte di ISO/IEC 20000 può aiutare i lettori a mettere in relazione i requisiti specificati in ISO/IEC 20000:2011 al testo corrispondente in uno dei framework di Service Management più utilizzati, ITIL®. I Service Provider possono utilizzare questa guida come cross-reference tra i due documenti al fine di agevolare la pianificazione e l’implementazione di un Sistema di Gestione dei Servizi (SMS)”

L’uso inteso della Parte 11 è spiegato nel Capitolo 1:

“La guida può essere utilizzata da ogni persona od organizzazione che desideri comprendere in che modo ITIL® possa essere utilizzato insieme a ISO/IEC 20000–1:2011, tra cui ad esempio:

• Service Provider che abbiano dimostrato o intendano dimostrare la conformità ai requisiti specificati in ISO/IEC 20000–1:2011 e che desiderano ottenere indicazioni su come utilizzare ITIL® come supporto per soddisfare i requisiti specificati in ISO/IEC 20000–1:2011.

La guida inizia con un’introduzione alla norma ISO e ad ITIL, dal momento che è destinata a persone che potrebbero non avere familiarità con tutti e due i documenti. Dopo l’introduzione ISO/IEC 20000-11 descrive in termini generali la relazione tra ISO/IEC 20000-1 e ITIL®, e prosegue con una tabella che elenca le relazioni esistenti, anche se non in dettaglio.

Le relazioni tra la norma ISO e ITIL® sono molto complicate; in termini generali possiamo dire che il capitolo 4 copre i concetti generali dei SMS, mentre i requisiti del capitolo 5 di ISO/IEC 20000-1 possono essere ricondotti alle attività di Service Design e Service Transition per i servizi nuovi o modificati. I capitoli 4 e 5 della norma ISO corrispondono a parecchi capitoli delle guide ITIL®. I capitoli 6, 7, 8 e 9 della norma possono invece essere correlati abbastanza facilmente ai capitoli che trattano di processi specifici nell’ambito delle guide ITIL®.

La norma ISO/IEC 20000-11 contiene anche due allegati:

• l’Annex A, che mette in relazione la terminologia utilizzata in ISO/IEC 20000-1 e in ITIL®, evidenziando i casi in cui i termini utilizzati per illustrare uno stesso concetto sono differenti, e anche i termini presenti in ITIL® ma non in ISO/IEC 20000-1
• l’Annex B, che contiene tabelle che illustrano in dettaglio la relazione tra i requisiti ISO/IEC 20000-1 e i cinque libri ITIL®. Per ogni relazione è presente un commento; tutti i paragrafi di ISO/IEC 20000-1 hanno qualche collegamento con ITIL®.

ISO/IEC 20000 e ISO/IEC 27001

La norma ISO/IEC 27013 – Guidance on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1 è stata pubblicata per la prima volta nel 2012, basandosi sulle norme ISO/IEC 27001:2005 e ISO/IEC 20000-1:2011.

Nel corso del 2015 la norma ISO/IEC 27013 è stata sottoposta a revisione e nuovamente pubblicata, a seguito dell’emissione delle nuove versioni delle norme ISO/IEC 27001:2013, information security management system requirements e ISO/IEC 27000:2014, overview and vocabulary.

La nuova versione della norma ISO/IEC 27001 è allineata con la struttura di alto livello utilizzata da molti altri standard, come ISO 9001, ISO 14001 e ISO/IEC 22301. ISO/IEC 20000-1 è attualmente in fase di revisione per renderla compatibile con la nuova struttura; la pubblicazione della nuova versione è prevista per il 2018.

La norma ISO/IEC 27013 ha il titolo Information technology — Security Techniques – Guidance on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1.

Si tratta dunque di una guida utile per le organizzazioni che hanno implementato ambedue gli standard ISO/IEC 27001 e ISO/IEC 20000-1, oppure per le organizzazioni che hanno implementato uno dei due standard e desiderano implementare l’altro utilizzando un sistema di gestione integrato. La norma ISO/IEC 27013 non contiene il testo degli altri due standard, e deve quindi essere consultata insieme a ISO/IEC 27001 e ISO/IEC 20000-1.

La parte principale del documento consta di 15 pagine, cui devono essere aggiunte 23 pagine di allegati contenenti tabelle di riferimento. La dimensione degli allegati è pressoché raddoppiata rispetto all’edizione precedente; questo è dovuto allo sviluppo dell’allegato B, comparison of terms, che contiene adesso tutti i termini nuovi introdotti in ISO/IEC 27001:2013.

Dopo l’introduzione e le consuete clausole obbligatorie lo standard contiene i seguenti capitoli:

• Overviews of ISO/IEC 27001 and ISO/IEC 20000-1
• Approaches for integrated implementation
• Considerations of scope
• Pre-implementation scenarios
• Integrated implementation considerations
• Potential challenges
• Potential gains
• Annex A (informative) Correspondence between ISO/IEC 27001:2005 and ISO/IEC 20000-1:2011
• Annex B (informative) Comparison of ISO/IEC 27000:2009 and ISO/IEC 20000-1:2011 terms
• Detailed comparison

ISO/IEC 27013 afferma che ‘il Service management e l’information security management sono spesso trattati come se non fossero connessi e interdipendenti. Il motivo di tale separazione va cercato nel fatto che il Service Management può essere facilmente collegato all’efficienza e al profitto del Service Provider, mentre l’Information Security Management spesso non è percepito come fondamentale per un’efficace erogazione dei servizi. Di conseguenza il Service Management è spesso implementato per primo. Si deve però tenere presente che molti controlli e obiettivi del controllo presenti in ISO/IEC 27001:2013, Annex A sono indicati come requisiti per un Service Management System nella norma ISO/IEC 20000-1.’

L’annex A di ISO/IEC 27013 contiene una tavola sinottica dei requisiti presenti in ISO/IEC 27001 e ISO/IEC 20000-1.

Terminologia

La norma utilizza i termini e le definizioni già presenti in ISO/IEC 27000:2013 e ISO/IEC 20000-1:2011. Nell’Annex B è presente un’utilissima tabella sinottica dei termini, il cui utilizzo è fondamentale per chi desideri realizzare un sistema di gestione integrato, a causa di alcune differenze presenti tra le due norme citate.

Sono anche censiti i termini utilizzati in uno solo dei due standard; ad esempio il termine Authentication è definito e utilizzato in 27000/1 ma non in 20000, mentre il termine Configuration item è definito e utilizzato in 20000 ma non in 27000/1. Un information asset (termine utilizzato in 27001) può anche essere un configuration item (termine utilizzato in 20000-1) ma non tutti gli information asset saranno configuration item.

Il termine più importante utilizzato in ambedue gli standard è information security incident. Purtroppo però il termine ‘incident’ è usato in modo diverso nei due standard. In ISO/IEC 27001 Incident significa ‘qualcosa che è andato storto relativamente alla sicurezza delle informazioni nell’ambito di applicazione della norma’, mentre in ISO/IEC 20000 il termine ha un significato definito e più specifico. In ISO/IEC 20000-1 la parola Incident ha un significato ben stabilito che non è associato solo agli information security incident. ISO/IEC 20000-1 richiede (cap. 6.6) che gli information security incident siano trattati applicando il processo di incident management, processo che può risultare non allineato con i controlli stabiliti in ISO/IEC 27001.

Ambito

L’ambito dell’Information Security Management System può estendersi a coprire in tutto o in parte l’organizzazione. L’ambito del Service Management è invece limitato a quelle parti dell’organizzazione che erogano servizi. I due ambiti possono differire, essere parzialmente sovrapposti o coincidere.

ISO/IEC 27013 è un documento fondamentale per chi desideri realizzare un sistema di gestione integrato che includa ISO/IEC 27001 e ISO/IEC 20000-1.

ISO/IEC 20000 e i servizi cloud

È stata pubblicata anche la norma ISO/IEC 20000-9, Guidance on the application of ISO/IEC 20000-1 to cloud services. Si tratta di una nuova e interessante estensione della serie ISO /IEC 20000, che conferma l’applicabilità di queste norme in scenari d’uso molto diversi tra loro.

La ISO/IEC 20000-9:2015 deve essere utilizzata in abbinamento alla ISO/IEC 20000-1. Tutti i requisiti della norma ISO/IEC 20000-1 sono infatti applicabili ai servizi cloud, e la nuova ISO/IEC 20000-9 fornisce un’utile guida a questo proposito.

La norma è applicabile a diverse categorie di servizi cloud, tra cui citiamo:

• Infrastructure as a service (IaaS);
• Platform as a service (PaaS);
• Software as a service (SaaS).

La ISO/IEC 20000-9, con le sue 41 pagine, non è tra le più lunghe norme della serie ISO/IEC 20000, e risulta quindi facile da leggere e mettere in pratica. La norma è suddivisa in cinque capitoli (Clauses), di cui i primi tre (Scope, Normative references, Terms and definitions) sono presenti in ogni norma ISO. Il capitolo 4 fornisce un’introduzione ai servizi cloud e all’uso degli scenari, mentre il capitolo 5 contiene una serie di scenari che illustrano l’applicazione del ciclo di vita dei servizi  nel caso dei fornitori di servizi cloud. Per ogni scenario la norma riporta una descrizione, i risultati attesi, i requisiti applicabili e una guida all’applicazione di tali requisiti. Ecco la lista degli scenari:

1. Identify the context for service management of cloud services
2. Establish strategy and plan for management of cloud services
3. Provide a catalogue of cloud services
4. Identify and manage service requirements for cloud services
5. Design and develop a new cloud service
6. Establish a service relationship with the cloud customer
7. Establish a cloud service agreement
8. Onboarding the customer
9. Deliver and operate the cloud services
10. Monitor and report cloud services
11. Manage resources for cloud services
12. Check and improve the SMS and cloud services
13. Terminate a cloud service contract
14. Transfer a cloud service
15. Remove a cloud service

Ad esempio lo scenario Provide a catalogue of cloud services è posto in relazione con i paragrafi 4.3 (Documentation management), 6.1 (Service level management) e 7.1 (Business relationship management) della ISO/IEC 20000-1. La guida suggerisce l’introduzione di un catalogo per i servizi cloud, e fornisce un esempio di realizzazione di tale catalogo.