Eine neue Version von ISO 20000 wurde am 15. September 2018 veröffentlicht: ISO/IEC 20000-1:2018 (Teil 1) ist eine vollständig überarbeitete Fassung der 2011er Version des internationalen Service-Management-Standards.
Mit dem Update der Norm sind in ISO 20000:2018 neue Anforderungen hinzugekommen (z.B. zu Service-Planung und ‑Erbringung), einige Inhalte wurden entfernt (z.B. Verweise auf die 'PDCA-Methode'), und verschiedene Abschnitte in der überarbeiteten ISO-20000-Edition wurden neu formuliert, um allgemeiner anwendbar zu sein.
Was sind die wesentlichen Unterschiede zwischen der neuesten Ausgabe ISO 20000-1:2018 gegenüber der Vorgänger-Version von 2011?
ISO/IEC 20000 ist der internationale Standard für Service-Management. Der Standard kann verwendet werden von Service Providern jeder Art und Größe, unabhängig davon, welche Services sie anbieten.
Teil 1 von ISO /IEC 20000 (ISO/IEC 20000-1) spezifiziert Anforderungen zur "Erstellung, Implementierung, Pflege und kontinuierlichen Verbesserung eines Service-Management-Systems (SMS)". Dies sind die verpflichtenden Anforderungen, die eine Organisation erfüllen muss, um Konformität mit dem Standard ISO 20000 beanspruchen zu können.
Der Standard wurde zuerst 2005 veröffentlicht und danach im Jahr 2011 aktualisiert.
Eine dritte, komplett überarbeitete Version des Standards (bezeichnet als ISO/IEC 20000-1:2018) wurde am 15. September 2018 veröffentlicht.
Wichtigste Neuerungen in ISO 20000:2018
Zusammengefasst haben sich in der neuesten Ausgabe ISO/IEC 20000:2018 gegenüber der vorhergehenden Version aus dem Jahr 2011 die folgenden Änderungen bzw. Neuerungen ergeben:
Auf der obersten Ebene wurde eine neue Gliederungsstruktur eingeführt, die mit anderen Management-System-Standards übereinstimmt. Damit wird es für Organisationen einfacher, sich für mehrere Standards zertifizieren zu lassen, wie z.B. ISO 9001 (Qualitäts-Management) oder ISO 27001 (Informationssicherheits-Management).
Der Abschnitt „Begriffe und Definitionen“ wurde überarbeitet. Er enthält nun auch Begriffe, die sich spezielle auf Management-System-Standards beziehen. Ein Verweis auf die Begriffe und Definitionen in ISO/IEC 20000-10 wurde ergänzt.
Klauseln wurden aktualisiert oder ergänzt, um die an Bedeutung gewinnenden Trends im Service-Management zu berücksichtigen, wie z.B. standardisierte Services oder das Managen mehrerer Service-Provider durch einen Service-Integrator.
Einige Details wurden entfernt, um Organisationen mehr Flexibilität bei der Erfüllung der Anforderungen zu gewähren.
Eine explizite Anforderung zur „Erstellung, Implementierung, Pflege und kontinuierlichen Verbesserung eines Service-Management-Systems (SMS)“ wurde ergänzt.
Alle Verweise auf die „PDCA-Methode“ („Plan-Do-Check-Act“) wurden gestrichen, da viele Methoden zur Verbesserung zusammen mit Management-System-Standards eingesetzt werden können.
Neue Anforderungen zum Kontext der Organisation und zu Aktivitäten, mit denen Risiken und Chancen adressiert werden, sind hinzugekommen.
Die Anforderungen zu dokumentierter Information, Ressourcen, Kompetenzen und Bewusstsein wurden aktualisiert.
Zusätzliche Anforderungen in den Bereichen Service-Planung, Wissen, Asset Management, Nachfrage-Management und Service-Erbringung wurden eingeführt.
Die Anforderungen zu Incident Management und Service Request Management wurden in zwei getrennte Kapitel aufgespalten.
Änderungen im Detail
Die folgende Tabelle zeigt die detaillierten Änderungen der neuen Version ISO 20000:2018, Teil 1, gegenüber der Vorgänger-Version aus dem Jahr 2011. [1]
Vergleich: ISO 20000:2018 vs. ISO 20000:2011
Kapitel in ISO/IEC 20000-1:2018
Änderungen zur Vorgänger-Version aus dem Jahr 2011 (ISO/IEC 20000-1:2011)
Kapitel 1 - 3
Die ersten drei Abschnitte in ISO 20000:2018, Teil 1 enthalten keine Anforderungen, die erfüllt werden müssen. Abschnitt 1 erläutert den vorgesehenen Einsatzbereich und die Anwendbarkeit des Standards. Abschnitt 2 führt normative Referenzen auf (zurzeit werden hier keine normativen Referenzen genannt). Abschnitt 3 enthält Begriffe und Definitionen.
4 Kontext der Organisation
Dieser neue Abschnitt enthält Anforderungen, die in der vorgehenden Version des Standards noch an anderer Stelle zu finden waren.
Die Anforderungen in diesem Kapitel von ISO 20000:2018 wurden überarbeitet und sind jetzt allgemeiner und weiter gefasst. Sie beziehen sich auf
alle internen und externen Faktoren, die die Organisation betreffen, und die Fähigkeit der Organisation, die angestrebten Ergebnisse zu erreichen
alle interessierten Parteien und deren Anforderungen.
Eine explizite Anforderung zu "Erstellung, Implementierung, Pflege und kontinuierlichen Verbesserung eines Service-Management-Systems (SMS)" wurde eingeführt.
5 Führung
Die Betonung bei den Anforderungen bezüglich Führung liegt nun stärker auf
dem Nutzen für die Kunden bei der Lieferung von Services,
der Kontrolle anderer Parteien, die am Service-Lifecycle beteiligt sind
der Integration der Anforderungen des SMS mit den Prozessen der Organisation,
dem Zuweisen und Kommunizieren von Verantwortlichkeiten.
der kontinuierlichen Verbesserung.
6 Planung
Die bei den Planungen für das SMS zu berücksichtigenden Aspekte sind nun detaillierter beschrieben.
Eine Anforderung wurde hinzugefügt, die fordert, dass die Service-Management-Ziele auf allen relevanten Ebenen festgelegt werden.
Es wird nun explizit darauf hingewiesen, dass das Planen nicht nur dem Managen von Risiken dient, sondern auch dem Ergreifen von Chancen.
Die Anforderungen zum Managen von Risiken werden nun ausführlicher erläutert.
7 Unterstützung des Service-Management-Systems
Eine zusätzliche Klausel fordert, dass die Mitarbeiter sich ihres eigenen Beitrags zur Leistungsfähigkeit des SMS und zur Erbringung der Services bewusst sind.
Die Aspekte, die bei der internen und externen Kommunikation zu berücksichtigen sind, werden nun detaillierter ausgeführt.
ISO 20000:2018 verwendet einheitlich den Begriff "dokumentierte Information". Die Unterscheidung zwischen Dokumenten und Records wurde entfernt.
Dokumentierte Information soll nun eine angemessene Identifikation und Beschreibung enthalten, in geeigneten Formaten gespeichert werden und der Überprüfung und Freigabe unterworfen sein.
Die Ziele der Dokumentenlenkung werden klarer dargestellt: Dokumentierte Information soll verfügbar und geeignet für den jeweiligen Einsatzzweck sein, und darüber hinaus angemessen geschützt.
Dokumentierte Information umfasst nun auch die Verträge mit externen Lieferanten und Dienstleistern sowie Vereinbarungen mit internen Suppliern. Externe Dokumente müssen kontrolliert werden.
Neue Anforderungen zum Knowledge Management wurden hinzugefügt.
8 Betrieb des Service-Management-Systems
8.1 Betriebliche Planung und Steuerung
Eine Anforderung zur Kontrolle von Änderungen ("Changes") am SMS wurde ergänzt. Diese fordert unter anderem die Prüfung der Auswirkungen unbeabsichtigter Änderungen und die Einleitung korrigierender Maßnahmen, falls erforderlich.
Es gibt in ISO 20000:2018 nun eine spezifische Anforderung zur Integration von Services und Prozessen, die von internen oder externen Parteien erbracht bzw. betrieben werden. Ebenso ist eine Anforderung enthalten, nach der die Aktivitäten mit Drittparteien zu koordinieren sind, sofern diese Parteien in den Service-Lifecycle eingebunden sind.
8.2 Service-Portfolio
Eine Anforderung zur Bestimmung von Kritikalität der Services sowie von Überschneidungen zwischen Services wurde neu eingeführt.
Die Anforderungen an dritte Parteien sind in ISO 20000:2018 allgemeiner gehalten. Die Organisation ist somit rechenschaftspflichtig, ungeachtet dessen, welche Partei an der Durchführung von Aktivitäten zur Unterstützung des Service-Lebenszyklus beteiligt ist.
Eine neue Klausel erläutert, dass externe Parteien Prozesse, Services oder Teile von Services erbringen bzw. betreiben können.
Die erforderlichen Inhalte des Service-Katalogs sind jetzt detaillierter spezifiziert.
Eine neue Anforderung bestimmt explizit, dass Services als CIs zu klassifizieren sind.
Die neue Version ISO 20000:2018 verwendet durchgängig den Begriff "Konfigurations-Information", Verweise auf die CMDB wurden entfernt.
Es wird klargestellt, dass Konfigurations-Informationen in einer Detailtiefe aufzuzeichnen sind, die im Hinblick auf Kritikalität und Priorität der Services angemessen ist.
8.3 Relationship und Agreement (Beziehungen und Vereinbarungen)
Eine Erläuterung wurde hinzugefügt, dass Dienstleister und Lieferanten ("Supplier") Services, Service-Komponenten oder (Teile von) Prozessen bereitstellen bzw. betreiben können.
Die Anforderungen bezüglich Verträgen mit externen Lieferanten und Dienstleistern wurden überarbeitet und allgemeingültiger formuliert. Verträge sollen Anforderungen spezifizieren sowie vertragliche Verpflichtungen und sonstige Verantwortungen festlegen.
8.4 Angebot und Nachfrage
Eine überarbeitete, weiter gefasste Anforderung verlangt, dass für die Services eine Budgetplanung und eine Buchhaltung erstellt wird.
Die Nachfrage nach den Services muss gemanagt werden, aber die spezifische Anforderung zum "Erstellen, Implementierung und Pflegen eines Kapazitätsplans" wurde in ISO 20000:2018 gestrichen.
Die Anforderungen für das Kapazitäts-Management sind generischer. Die Liste spezifischer Faktoren, die die Service-Kapazität beeinflussen, wurde entfernt.
8.5 Service Design, Build und Transition
Es wurde klargestellt, dass die Bewertung neuer oder geänderter Services in den Zuständigkeitsbereich des Change Managements fällt.
Eine Aufstellung mit potentiellen Auswirkungen, die bei der Bewertung von Changes in Betracht zu ziehen sind, wurde ergänzt.
Die neue Version ISO 20000:2018 verwendet durchgängig den Begriff "Konfigurations-Information", alle Verweise auf die CMDB wurden entfernt.
Die Anforderungen an das Übertragen von Services an dritte Parteien werden genauer beschrieben.
Es wird nunmehr explizit darauf hingewiesen, dass die von einem neuen oder geänderten Service betroffenen CIs durch das Konfigurations-Management zu verwalten sind.
8.6 Resolution und Fulfilment
Die Anforderungen an das Incident Management und Service Request Management wurden in zwei getrennte Kapitel aufgeteilt.
Die Anforderung, dass es eine dokumentierte Prozedur für das Managen von Incidents geben muss, wurde gestrichen.
Es gibt nun eine explizite Anforderung zum Aufzeichnen der Maßnahmen, die zur Lösung von Incidents, Problems und Service Requests ergriffen werden.
8.7 Service Assurance
Die Anforderungen an Service Availability Management und Service Continuity Management wurden in zwei getrennte Kapitel aufgeteilt.
Die Anforderungen an die Service-Verfügbarkeit sollen dokumentiert werden, aber die spezifische Forderung, dass Service-Availability-Pläne zu erstellen sind, wurde entfernt.
Die Anforderungen an die Informationssicherheit sind nunmehr allgemein gehalten. Für detailliertere Anforderungen wird auf die Standard-Familie ISO/IEC 27001 verwiesen.
ISO 20000:2018 enthält jetzt eine Anforderung, dass Sicherheits-Risiken regelmäßig bewertet werden müssen.
Eine explizite Anforderung verlangt, dass Informationssicherheits-Risiken in Zusammenhang mit externen Organisationen kontrolliert werden müssen.
Eine neue Anforderung stellt detaillierter dar, nach welcher Prozedur Sicherheits-Incidents zu behandeln sind.
9 Evaluieren der Performance
Die Anforderungen bezüglich Überwachung und Messung sind nun detaillierter.
Die Anforderungen zum Management-Review wurden überarbeitet und klarer formuliert. Management-Reviews müssen die gemessene Performance und die Leistungsfähigkeit des SMS und der Services mit einbeziehen.
Die Anforderungen an das Berichtswesen wurden verallgemeinert (die spezifischen Aspekte, die in den Berichten zu berücksichtigen sind, wurden gelöscht).
10 Verbesserungen
Neue, allgemein gefasste Anforderungen bezüglich Nichtkonformität und Korrekturmaßnahmen wurden ergänzt (ISO 20000:2011 enthielt ähnliche Anforderungen in verschiedenen anderen Kapiteln).
Die Anforderungen in diesem Kapitel der ISO 20000:2018 verlangen nunmehr explizit, dass die Kriterien bei der Evaluierung mit den Service-Management-Zielen im Einklang sind.
Eine dokumentierte Prozedur für Verbesserungen wird nicht mehr ausdrücklich gefordert.
Übergang von ISO 20000-1:2011 zur Version 2018
Als Folge der Veröffentlichung von ISO 20000:2018 müssen Organisationen ihre Zertifikate auf die neueste Version des Standards aktualisieren. Das International Accreditation Forum (IAF) hat für den Übergang die folgenden Zeiträume und Regeln festgesetzt:
30. September 2018: Ab diesem Datum können sich Organisationen gemäß der Version 2018 zertifizieren lassen. Zertifizierungen nach der Version 2011 sind noch zulässig.
31. März 2020: Alle neuen Zertifizierungen und Re-Zertifizierungen müssen ab diesem Datum gemäß ISO 20000-1:2018 erfolgen.
29. September 2021: Ende der Übergangsperiode. Alle bestehenden Zertifikate müssen vor diesem Datum auf den neuen Standard ISO 20000-1:2018 aktualisiert werden. Zertifikate basierend auf der Version 2011 werden ungültig.
Bemerkung: Diese Zeiträume und Regeln für den Übergang wurden vom International Accreditation Forum (IAF) bestimmt. Nationale Akkreditierungs-Gremien können etwas abweichende Regeln festlegen - bitte erfragen Sie die genauen Regeln, die für Ihre Organisation gültig sind, bei Ihrem Auditor.
Literatur und Links
[ISO, 2011] International Organization for Standardization: ISO/IEC 20000-1:2011, Information technology - Service management - Part 1: Service management system requirements. - Geneva, Switzerland, April 2011.
[ISO, 2018] International Organization for Standardization: ISO/IEC 20000-1:2011, Information technology - Service management - Part 1: Service management system requirements. - Geneva, Switzerland, September 2018.
[1] ISO/IEC 20000:2018 ist eine vollständig überarbeitete Fassung der früheren Version. Es ist deshalb nicht möglich, eine einfache und komplette Liste der Änderungen zu erstellen. Die Informationen in diesem Dokument sollten deshalb verstanden werden als die - aus unserer Sicht - bestmögliche Erläuterung der Änderungen.
und Andrea Kempter 
