ISO 20000

bestpracticenorme

Gestion des services des technologies de l’information

La norme ISO/CEI 20000 est une reprise de la norme BS 15000 de BSI (British Standards Insitution).

Je vous rappel que la norme BS15000 est un enfant né de ITIL.

ISO/CEI reprend donc les fondements d’ITIL V2 afin de créer une norme de certification des services informatiques offerts dans les organisations et entreprises.

Obtenir cette certification prouve le respect de normes de qualité éditées au travers de phases, de contrôles et de procédures pour les services informatiques mises en place.

De quoi est composé la norme

Elle se compose de deux parties. La première partie est consacrée à une description précise des procédures et en définit les spécifications que l’organisation devra appliquer afin d’obtenir la certification.

La seconde partie explique les différentes pratiques ou recommandations afin d’atteindre les objectifs définis auparavant. La notion de concept de gestion de services y est aussi évoquée. Ainsi, la norme ISO 20000 définit mais aussi planifie la gestion des services informatiques en s’appuyant sur les principes du cycle de Deming (PDCA) :

  • P = Plan : l’entreprise va planifier
  • D = Do : Faire
  • C = Check : Contrôler et vérifier
  • A = Act : Rechercher des points d’amélioration

Cette notion de gestion des services est décrite dans la norme en treize processus inspirés du référentiel « ITIL ».

  • Processus de fourniture des services
    • Gestion des niveaux de services
    • Rapport de services
    • Gestion de la continuité et de la disponibilité des services
    • Budgétisation et comptabilisation des services
    • Gestion de la capacité
    • Gestion de la sécurité de l’information
  • Processus de gestion des relations entre clients et fournisseurs (Service Desk)
    • Les généralités
    • Gérer les relations commerciales
    • Gérer les fournisseurs
  • Processus de résolution de problèmes
    • Le contexte
    • La gestion des incidents
    • La gestion des problèmes
  • Processus de maintien pour le contrôle des systèmes d’informations
    • La gestion des configurations
    • La gestion des changements
  • Processus de mise en production
    • Normes liées à la gestion des services et à l’ISO 20000

Les exigences de la mise en place d’un système de gestion

Le but de ces exigences sera de mettre en place une politique de gestion ainsi qu’une structure permettant de gérer la mise en œuvre des services informatiques, notamment par :

  • La responsabilisation de la direction : il faut que la direction de l’organisation s’implique et ne soit pas réticente à la mise en place de cette norme. En outre, elle devra définir les objectifs, les exigences, la planification et la gestion des risques incombant aux services informatiques.
  • La documentation : l’organisation devra fournir des informations et de la documentation pour gérer ses services informatiques comme par exemple des plans de gestion.
  • Définir les fonctions et les responsabilités des membres du service informatique : il doit y avoir une prise de conscience de l’importance de leurs activités et de leurs tâches.

Les phases de planification et de mise en œuvre afin de gérer le service informatique

Ces phases peuvent être décomposées en quatre grands groupes pouvant eux-mêmes être scindés en activités. Les quatre phases sont :

  • La planification de la gestion des services : définissant le domaine d’application de la gestion des services, les exigences, les objectifs et les processus à mettre en œuvre par exemple.
  • La mise en œuvre de la gestion des services : consiste à la mise en place du service informatique en définissant les rôles et compétences de chacun, d’identifier les risques encourus tout en gérant les hommes au sein du service.
  • La surveillance : les objectifs définis auparavant ainsi que la planification des actions du service informatique doivent être contrôlés afin d’en corriger les écarts.

En Résumé

L’ISO/CEI 20000 est une norme de système de management des services (SMS). Elle spécifie les exigences destinées au fournisseur de services pour planifier, établir, implémenter, exécuter, surveiller, passer en revue, maintenir et améliorer un SMS. Les exigences incluent la conception, la transition, la fourniture et l’amélioration des services afin de satisfaire aux exigences de services.

L’ISO/CEI 20000 peut être utilisée par:

  • un organisme attendant des services de la part de fournisseurs de services et exigeant d’avoir la garantie que les exigences de services de ces derniers seront satisfaites;
  • un organisme qui exige une approche cohérente de la part de tous ses fournisseurs de services, y compris ceux qui sont compris dans une chaîne logistique;
  • un fournisseur de services qui souhaite démontrer son efficience dans la conception, la transition, la fourniture et l’amélioration des services qui satisfont aux exigences de services;
  • un fournisseur de services pour surveiller, mesurer et passer en revue ses processus de gestion des services ainsi que ses services;
  • un fournisseur de services pour améliorer la conception, la transition et la fourniture des services par l’implémentation et le fonctionnement effectifs d’un SMS;
  • un évaluateur ou un auditeur comme critère d’évaluation de conformité du SMS d’un fournisseur de services par rapport aux exigences figurant dans l’ISO/CEI 20000.

Par contre l’utilisation de cette norme comme référentielle ou encore l’utilisation d’un produit de gestion basé sur celle-ci ne donnera en aucune manière la certification ISO à une entreprise contrairement à ce que pourrait faire croire quelques compagnies spécialisées en ventes de produits et et prestation de services TI, il faut plus que cela.

Obtenir la certification ISO 20000

Pour obtenir la certification ISO 20000 pour les services informatiques en question, il est impératif de respecter les descriptions précises et strictes de procédures évoquées par la norme.

Il faut que les services TI démontrent l’application rigoureuse et sérieuse de la norme en définissant, documentant et respectant les processus et procédures qui s’y rapportent.

Avant de faire la requête d’obtention de la certification, l’avis d’une personne expérimentée et spécialisée dans la gestion des services informatiques pourrait vous aider afin de valider si certaines failles resteraient encore et que malheureusement les employées des services internes n’auraient pas remarquées.