Информационные технологии — Менеджмент услуг — Часть 1: Требования к системе менеджмента услуг
ИСО 20000 (ISO/IEC 20000-1:2018) — Менеджмент IT-услуг
Стандарт ИСО 20000 (ISO/IEC 20000-1) — международный документ, устанавливающий требования к системе менеджмента услуг (СМУ) в сфере информационных технологий. Разработан совместно ISO и Международной электротехнической комиссией (IEC) при участии технического комитета ISO/IEC JTC 1/SC 40.
Актуальная версия — ИСО 20000-1:2018 — третье издание, опубликованное в сентябре 2018 года. Стандарт заменил предыдущую редакцию 2011 года и полностью переработан с учётом структуры высокого уровня (HLS), что упрощает интеграцию с ИСО 9001, ИСО 27001 и другими системами менеджмента.
В России введён как ГОСТ Р ИСО/МЭК 20000-1-2024 (утверждён Росстандартом, идентичен международному ISO/IEC 20000-1:2018). Предыдущий ГОСТ Р ИСО/МЭК 20000-1-2013 основывался на издании 2011 года.
ИСО 20000 — единственный международный стандарт, по которому IT-организация может пройти независимую сертификацию своей системы управления услугами. Стандарт применим к любым поставщикам IT-услуг: внешним провайдерам, внутренним IT-департаментам, управляемым сервисам и облачным платформам.
Почему ИСО 20000 важен
- Государственные тендеры — Минцифры и крупные госзаказчики включают ИСО 20000 в требования к IT-подрядчикам (44-ФЗ, 223-ФЗ)
- Аутсорсинг IT-услуг — заказчики требуют подтверждение зрелости ITSM-процессов при передаче IT-функций на аутсорс
- Работа с международными компаниями — глобальные корпорации включают ISO 20000 в требования к поставщикам IT-услуг
- Дата-центры и хостинг — ISO 20000 вместе с ISO 27001 формирует базовый набор сертификатов для ЦОД
- SLA и качество услуг — стандарт формализует соглашения об уровне обслуживания и метрики качества
- Интеграция с ITIL — сертификация подтверждает, что практики ITIL не просто внедрены, а работают системно
Структура стандарта — 10 разделов
ИСО 20000-1:2018 построен по структуре высокого уровня (HLS, Annex SL). Разделы 1–3 содержат область применения, нормативные ссылки и термины. Разделы 4–10 содержат требования:
| Раздел | Название | Ключевые требования |
|---|---|---|
| 4 | Контекст организации | Внутренние и внешние факторы, потребности заинтересованных сторон, область применения СМУ, планирование сервисного каталога |
| 5 | Лидерство | Обязательства руководства, политика менеджмента услуг, роли и ответственность |
| 6 | Планирование | Риски и возможности, цели менеджмента услуг, планирование изменений |
| 7 | Поддержка | Ресурсы, компетентность персонала, осведомлённость, коммуникации, документированная информация, управление знаниями |
| 8 | Деятельность | Операционное планирование, сервисный портфель, управление взаимоотношениями, управление спросом и мощностями, проектирование услуг, управление поставщиками |
| 8.5 | Сервисное обеспечение | Управление инцидентами, проблемами, изменениями, релизами, конфигурациями, активами, непрерывностью, ИБ |
| 9 | Оценка результатов | Мониторинг, измерение, анализ KPI, внутренний аудит, анализ руководства, отчёты по услугам |
| 10 | Улучшение | Несоответствия, корректирующие действия, постоянное улучшение услуг и СМУ |
Ключевые изменения в версии 2018 года
- Структура HLS (Annex SL) — полная совместимость с ИСО 9001:2015, ИСО 27001:2022 для интегрированных систем менеджмента
- Управление знаниями — новое требование к сохранению и передаче опыта в организации
- Сервисный каталог — формализация полного перечня IT-услуг с описанием и параметрами
- Управление спросом и мощностями — выделено в отдельный процесс (ранее часть capacity management)
- Управление активами услуг — новый процесс: инвентаризация компонентов услуг, лицензий, конфигурационных единиц
- Риск-ориентированное мышление — замена формальных предупреждающих действий на системный анализ рисков
Жизненный цикл стандарта
ИСО 20000 и ITIL — в чём разница
Один из самых частых вопросов при внедрении ITSM — чем отличается ИСО 20000 от ITIL. Это принципиально разные инструменты:
| Параметр | ИСО 20000 | ITIL 4 |
|---|---|---|
| Тип документа | Международный стандарт с требованиями | Библиотека лучших практик (рекомендации) |
| Сертификация | Организация проходит независимый аудит | Сертифицируются только специалисты |
| Формулировки | «Организация должна» (shall) | «Рекомендуется», «следует рассмотреть» |
| Разработчик | ISO/IEC JTC 1 | Axelos / PeopleCert |
| Применение | Доказательство соответствия для заказчиков | Внутреннее руководство для IT-команды |
На практике ITIL служит методологической базой, а ИСО 20000 — формализует требования и позволяет получить независимое подтверждение зрелости процессов. Организации часто используют ITIL для проектирования процессов, а затем проходят сертификацию по ИСО 20000.
Этапы внедрения ИСО 20000
Внедрение СМУ по ИСО 20000 занимает от 4 до 14 месяцев в зависимости от зрелости существующих IT-процессов.
Оценка текущих ITSM-процессов по требованиям ИСО 20000-1:2018. Определение разрывов между текущим состоянием и целевым. Результат — план внедрения с приоритетами.
Описание всех IT-услуг: параметры, SLA, владельцы, зависимости. Каталог — центральный элемент СМУ.
Политика менеджмента услуг, процедуры (инциденты, изменения, проблемы, релизы), SLA-шаблоны, CMDB-структура, матрица RACI.
Настройка ServiceDesk (ServiceNow, Jira Service Management, OTRS, 1С:ИТИЛИУМ и др.) под требования стандарта. Автоматизация workflow: инцидент → проблема → изменение → релиз.
Обучение персонала ролям и процедурам. Пилотный запуск на 1–2 услугах с полным циклом отчётности. Корректировка по результатам.
Проверка соответствия всех процессов требованиям разделов 4–10. Выявление несоответствий и устранение до сертификационного аудита.
Двухэтапный аудит: (1) анализ документации и готовности, (2) аудит на месте с проверкой реальной работы процессов. Выдача сертификата ИСО 20000 на 3 года.
Типичные ошибки при внедрении
| Ошибка | Последствие | Правильный подход |
|---|---|---|
| Внедрение без ITSM-инструмента | Процессы не автоматизированы, невозможно собрать метрики | Выбрать ServiceDesk и настроить до аудита |
| Путаница между ITIL и ИСО 20000 | Процессы описаны по ITIL, но не закрывают обязательные требования стандарта | Провести маппинг ITIL → ИСО 20000-1 по каждому разделу |
| SLA без измеримых метрик | Аудитор не может проверить выполнение обязательств | Каждое SLA — с числовыми KPI и отчётом |
| Игнорирование управления поставщиками | Нарушение раздела 8.3.4 — услуги, предоставляемые внешними поставщиками | Контракты, оценка, мониторинг субподрядчиков |
| Отсутствие анализа со стороны руководства | Нарушение раздела 9.3 — без вовлечённости топ-менеджмента аудит не пройден | Регулярные совещания по качеству услуг с участием руководства |
ИСО 20000 в России
В России стандарт введён как ГОСТ Р ИСО/МЭК 20000-1-2024 (идентичный перевод ISO/IEC 20000-1:2018). Предыдущая версия — ГОСТ Р ИСО/МЭК 20000-1-2013. Сертификация актуальна для IT-компаний, работающих с государственными и крупными коммерческими заказчиками.
Государственные закупки
Минцифры России при выборе IT-подрядчиков учитывает наличие сертификата ИСО 20000 как подтверждение зрелости сервисных процессов. Госкорпорации (Сбер, ВТБ, Ростелеком, Газпромнефть) включают ISO 20000 в требования к поставщикам IT-аутсорсинга.
Сроки и стоимость
Средний срок внедрения: 4–8 месяцев (при наличии базовых ITSM-процессов — от 3 месяцев). Стоимость зависит от масштаба: IT-компании до 50 сотрудников — от 120 000 ₽, 51–200 сотрудников — от 200 000 ₽, 200+ — от 350 000 ₽. Включает gap-анализ, разработку документации, сопровождение аудита. Подробный расчёт.
Выбор органа по сертификации
Рекомендуется выбирать органы с аккредитацией по ISO/IEC 17021 и опытом в IT-секторе. Международные органы: BSI, TÜV SÜD, Bureau Veritas, SGS. Российские: AFNOR Rus, «Русский Регистр», Интерсертифика. Для международного признания — аккредитация IAF MLA.
Преимущества сертификации ИСО 20000
Допуск к государственным и коммерческим IT-закупкам
Формализованные соглашения об уровне услуг с метриками
Системное управление инцидентами и проблемами уменьшает простои
Единая структура HLS упрощает объединение систем менеджмента
Независимое подтверждение зрелости IT-процессов
KPI услуг, CMDB, постоянное улучшение по циклу PDCA
Каталог услуг и SLA: основа управления IT-сервисами
Сердце системы менеджмента IT-услуг по ИСО 20000 (ISO/IEC 20000-1:2018) — это переход от мышления «мы чиним компьютеры» к мышлению «мы предоставляем измеримые услуги». Раздел 8.3 стандарта требует, чтобы организация формализовала каталог услуг и заключила соглашения об уровне сервиса. Без этого сертификация невозможна: эксперт первым делом запрашивает каталог и SLA.
Три уровня соглашений, которые проверяет аудитор:
| Документ | Стороны и содержание |
|---|---|
| SLA (Service Level Agreement) | Между поставщиком услуг и заказчиком: перечень услуг, время реакции и решения, доступность, окна обслуживания |
| OLA (Operational Level Agreement) | Внутренние соглашения между подразделениями поставщика, обеспечивающие выполнение SLA |
| UC (Underpinning Contract) | Договоры с внешними подрядчиками и вендорами, поддерживающие сервис |
Ключевые метрики SLA, которые должны измеряться и отчётно анализироваться: доступность услуги (availability, % uptime), среднее время восстановления (MTTR), среднее время между сбоями (MTBF), доля инцидентов, решённых в срок (SLA compliance). Зрелый SLA содержит не только целевые значения, но и санкции (service credits) за их нарушение. Каталог услуг при этом связывается с базой конфигурационных единиц (CMDB), которая хранит сведения об IT-активах и их взаимосвязях — это позволяет оценивать влияние сбоя конкретного компонента на бизнес-услугу.
Управление инцидентами, проблемами и изменениями
ИСО 20000 разделяет три процесса, которые на практике часто путают, и именно их корректное разграничение отличает зрелую IT-службу от реактивной поддержки.
- Управление инцидентами (раздел 8.6.1) — максимально быстрое восстановление услуги. Цель — вернуть работоспособность, даже временным обходным решением (workaround). Метрика — скорость, а не глубина анализа.
- Управление проблемами (раздел 8.6.2) — поиск и устранение коренной причины (root cause) повторяющихся инцидентов. Здесь применяются методы анализа: «5 почему», диаграмма Исикавы, анализ известных ошибок (Known Error Database). Цель — чтобы инцидент не повторился.
- Управление изменениями (раздел 8.5.1) — контролируемое внесение изменений в IT-инфраструктуру через оценку рисков, авторизацию (комитет CAB) и план отката. Цель — снизить риск того, что само изменение породит новый инцидент.
Инциденты приоритизируются по матрице «влияние × срочность» (impact × urgency): сбой почтового сервера для всей компании получает высший приоритет, единичная проблема одного пользователя — низший. Связка трёх процессов работает как замкнутый цикл: инциденты регистрируются, повторяющиеся передаются в управление проблемами, найденные решения внедряются через управление изменениями. Эта дисциплина — главный практический результат внедрения ИСО 20000 и основная причина снижения простоев.
Импортозамещение ITSM и внедрение ИСО 20000 в России
С 2022 года внедрение ИСО 20000 в российских организациях неразрывно связано с импортозамещением программного обеспечения. Уход зарубежных вендоров (прекращение поддержки ServiceNow, ограничения по Jira Service Management и BMC Remedy) сделал переход на отечественные ITSM-платформы не выбором, а необходимостью — особенно для госсектора и субъектов критической информационной инфраструктуры (КИИ).
Правовая рамка, которую учитывает аудит ИСО 20000 в российском контексте:
- ПП РФ №1236 — запрет на закупку иностранного ПО для государственных и муниципальных нужд при наличии аналога в Едином реестре российского ПО Минцифры;
- ФЗ-187 «О безопасности КИИ» — требования к субъектам критической инфраструктуры, для которых управление IT-услугами тесно переплетается с защитой значимых объектов;
- Указ Президента №166 — переход объектов КИИ на преимущественное использование отечественного ПО.
Российские ITSM-системы, на которых строится система менеджмента по ИСО 20000: Naumen Service Desk, ITSM 365, SimpleOne, 1С:ITILIUM. Они поддерживают каталог услуг, SLA-учёт, процессы управления инцидентами/проблемами/изменениями и CMDB, что закрывает технические требования стандарта. Для интегрированного внедрения с ИСО 27001 (ISO/IEC 27001:2022) выбор платформы из реестра Минцифры дополнительно упрощает аттестацию по требованиям информационной безопасности. Таким образом, сертификация ИСО 20000 в России сегодня — это одновременно проект по зрелости IT-процессов и по технологической независимости.
Часто задаваемые вопросы
ИСО 20000 (ISO/IEC 20000-1:2018) — международный стандарт системы менеджмента IT-услуг. Устанавливает требования к управлению сервисными процессами: от обработки инцидентов до планирования мощностей. Сертификат подтверждает заказчикам, что IT-организация работает по зрелой модели, а не «по запросу».
ITIL — библиотека лучших практик, набор рекомендаций по организации IT-процессов. ИСО 20000 — международный стандарт с обязательными требованиями, по которому организация проходит независимый аудит. ITIL сертифицирует специалистов, ИСО 20000 — всю организацию. Часто ITIL используют для проектирования процессов, а ИСО 20000 — для формальной сертификации.
Для IT-компаний до 50 сотрудников — от 120 000 ₽, 51–200 — от 200 000 ₽, свыше 200 — от 350 000 ₽. Стоимость включает gap-анализ, разработку документации (политика, процедуры, SLA-шаблоны), обучение персонала и сопровождение сертификационного аудита. Итоговая цена зависит от количества IT-услуг в области сертификации.
Сертификат выдаётся на 3 года. Ежегодно проводятся надзорные аудиты (инспекционные визиты) для проверки поддержания СМУ. По истечении 3 лет — полный ресертификационный аудит. При выявлении серьёзных несоответствий сертификат может быть приостановлен.
Да, оба стандарта построены по структуре HLS (Annex SL) и легко интегрируются. ИСО 20000 управляет качеством IT-услуг, а ИСО 27001 — информационной безопасностью. Многие IT-компании проходят интегрированный аудит по обоим стандартам одновременно, что сокращает затраты на 20–30%.
Сертификация по ИСО 20000 добровольна. Однако для IT-аутсорсеров, работающих с госсектором и крупными корпорациями, сертификат фактически обязателен: без него компания не проходит квалификационный отбор. Наличие ИСО 20000 также учитывается при аккредитации операторов персональных данных.
От 4 до 14 месяцев в зависимости от зрелости существующих ITSM-процессов. Если организация уже использует ITIL и имеет ServiceDesk — от 3–4 месяцев. С нуля (без формализованных процессов) — 8–14 месяцев. Ключевые факторы: количество IT-услуг, численность персонала, наличие ITSM-инструмента.
ГОСТ Р ИСО/МЭК 20000-1-2024 — идентичный перевод ISO/IEC 20000-1:2018 на русский язык. Утверждён Росстандартом. Требования полностью совпадают с международной версией. Предыдущий ГОСТ Р ИСО/МЭК 20000-1-2013 основывался на издании 2011 года и признан устаревшим.
Управление инцидентами (раздел 8.6.1 ИСО 20000) нацелено на максимально быстрое восстановление услуги — даже временным обходным решением (workaround); главная метрика здесь скорость. Управление проблемами (раздел 8.6.2) ищет коренную причину повторяющихся инцидентов с помощью методов «5 почему», диаграммы Исикавы и базы известных ошибок, чтобы инцидент больше не повторялся. Инциденты решают симптом, проблемы устраняют причину — связка этих процессов через управление изменениями и даёт снижение простоев.
После ухода ServiceNow, Jira Service Management и BMC Remedy внедрение ведут на отечественных платформах из Единого реестра российского ПО Минцифры: Naumen Service Desk, ITSM 365, SimpleOne, 1С:ITILIUM. Они поддерживают каталог услуг, SLA-учёт, процессы управления инцидентами, проблемами и изменениями, а также CMDB. Для госсектора и субъектов КИИ это требование закреплено ПП РФ №1236 и ФЗ-187, поэтому выбор системы из реестра обязателен.
Бесплатная консультация по ИСО 20000
Перезвоним в течение 30 минут, ответим на вопросы и рассчитаем стоимость сертификации
Нажимая кнопку, вы соглашаетесь с политикой конфиденциальности