La préparation à la certification ISO 20000
Introduction
La norme ISO 20000 requiert la mise en œuvre au sein de l’entité informatique, d’exigences et de processus.
Pour obtenir la certification, ces exigences doivent obligatoirement être déployées et exposées, preuve à l’appui, à l’auditeur accrédité.
La norme demande la mise en œuvre des processus de la gestion de services basés sur les bonnes pratiques ITIL V2.
La démarche de certification
1. La démarche
La certification ISO 20000, comme toutes les certifications ISO, est obtenue après une vérification par un auditeur accrédité par l’AFAQ, de la bonne mise en œuvre des points mentionnés dans la norme. Toute différence avec les recommandations ISO 20000 sera notée comme "non-conformité". L’auditeur recense celles-ci et décide en fin d’audit de certification d’accorder ou non la certification avec ou sans réserve, mais toujours avec l’obligation de définir des plans pour corriger ces "non-conformités".
L’auditeur analyse tout d’abord l’ensemble des documents relatifs à la norme, puis identifie les personnes qu’il va auditer. Généralement, l’auditeur sélectionne un ou plusieurs membres de la direction informatique, tous les gestionnaires de processus, des personnes clés, et une ou deux personnes prises au hasard au sein de l’entité informatique.
Il passe en revue toutes les exigences définies dans la norme et les processus identifiés de la gestion de services. À chaque point ou question posée, il est susceptible de demander la preuve associée : par exemple, la fourniture d’une documentation, du mode opératoire d’une procédure, ou une note de service diffusée au sein de l’entité informatique.
L’audit de certification nécessite en moyenne entre trois et cinq jours, durant lesquels l’auditeur interviewe les acteurs concernés et collecte les preuves qu’il juge nécessaires.
Il est bien sûr préférable de se préparer à cet audit (étudié dans la section La préparation à l’audit de certification ISO 20000, de ce chapitre).
2. Le périmètre de la certification
Le préambule a toute certification ISO 20000, réside dans la définition du périmètre qui est analysé pour cette certification.
Il s’agit de définir, parmi les services fournis par l’entité informatique et présents dans le catalogue de services, ceux qui seront dans le périmètre de certification. Un exemple simple, les services qui couvrent...
Les exigences de la norme ISO 20000
1. Les exigences
Les exigences de la norme ISO 20000 sont structurées en huit chapitres :
-
La responsabilité de la direction
-
La gestion de la documentation
-
La gestion des compétences
-
La planification de la gestion de services
-
La mise en service de la gestion de services
-
La surveillance, la mesure et la revue
-
L’amélioration continue
-
La planification et la mise en œuvre des modifications ou des créations de services
Dans chaque chapitre, une série de questions identifient les exigences. Il faudra répondre de leur atteinte par un pourcentage compris entre 0 % à 100 %. Il faut penser que l’auditeur vous demandera la preuve du pourcentage lors de l’audit de certification ISO 20000.
2. La responsabilité de la direction
a. L’objectif
L’objectif des exigences liées à la responsabilité de la direction informatique est de démontrer l’engagement de la direction informatique au plus haut niveau. Par son autorité, et ses actions, elle doit favoriser le développement, la mise en œuvre et l’amélioration de la capacité de l’entité informatique à gérer les services, en adéquation avec les besoins des clients et des activités de l’entreprise.
b. Liste des questions relatives aux exigences
Note préliminaire valable pour toutes les exigences : il est très difficile de repondre par oui ou par non. On est plutôt sur un mode de réponse par pourcentage. Oui à xx %. Le but est d’atteindre au moins 80 % pour toutes les exigences.
1 - La politique de gestion de services est-elle définie dans un document ?
2 - Les objectifs de gestion de services sont-ils identifiés dans un document ?
3 - Les plans de gestion de services sont-ils établis dans un document ?
4 - La communication sur l’importance accordée à l’atteinte des objectifs de gestion des services ainsi qu’à la nécessité d’une amélioration continue a-t-elle été effectuée ?
5 - La Direction s’assure-t-elle que les exigences des clients sont définies et respectées afin d’améliorer leur satisfaction ?
6 - Les ressources nécessaires pour planifier, mettre en œuvre, surveiller...