ISO 20000-1 und ISO/IEC 27001 gehören zu den bekanntesten IT-Standards weltweit, doch wie genau stehen sie zueinander in Beziehung?
Mit immer mehr Unternehmen, die in ihre Informationssicherheit investieren, erleben wir einen starken Anstieg der ISO/IEC 27001-Zertifizierungen. Gleichzeitig wächst auch das Interesse an ISO/IEC 20000-1. Kein Wunder, denn die beiden Standards haben vieles gemeinsam und ergänzen sich perfekt. Dennoch gibt es auch Unterschiede – und die sind durchaus spannend zu entdecken.
Was steckt hinter ISO 20000-1?
ISO/IEC 20000-1 ist der internationale Standard für Service-Management-Systeme (SMS). Er legt fest, wie ein Unternehmen ein solches System aufbauen, implementieren, betreiben und kontinuierlich verbessern kann. Dabei umfasst er alles von der Planung über das Design bis hin zur Bereitstellung und Optimierung von Services, um Mehrwert zu schaffen und die Anforderungen der Kunden zu erfüllen.
Mit ISO 20000-1 können IT-Unternehmen sicherstellen, dass ihre IT-Service-Management-Prozesse perfekt auf die Bedürfnisse des Unternehmens und der Kunden abgestimmt sind – und das alles unter Einhaltung internationaler Best Practices.
Was verbindet ISO 27001 und ISO 20000-1?
ISO/IEC 27001 fokussiert auf Informationssicherheit – aber „Informationen“ sind ein weiter Begriff. Er umfasst nicht nur Daten, sondern auch Geräte, Software, Standorte, Prozesse, das Management und sogar das Personal. Ebenso gehören Kommunikationswege, Lieferanten, gesetzliche Anforderungen und vieles mehr dazu. Kurz gesagt: ISO/IEC 27001 geht weit über das hinaus, was wir üblicherweise mit „Daten“ verbinden.
ISO/IEC 20000-1 wiederum betrachtet IT-Services ganzheitlich – von der Planung bis zur Optimierung im Live-Betrieb. Dabei geht es nicht nur um den Service an sich, sondern auch um dessen Aufbau, Nutzung und Problemlösung. Themen wie Zusammenarbeit mit Drittanbietern, Kundenfeedback und das Management von Beschwerden spielen ebenfalls eine Rolle.
Beide Standards haben viele Überschneidungen, betrachten sie jedoch aus unterschiedlichen Perspektiven.
Ein wichtiger Punkt: Während ISO/IEC 20000-1 klar prozessorientiert ist, wirkt ISO/IEC 27001 auf den ersten Blick weniger prozessorientiert. Doch ein Blick auf Annex A zeigt, dass auch hier Prozesse erforderlich sind, um spezifische Anforderungen zu erfüllen. ISO/IEC 20000-1 verlangt zudem die Integration von Informationssicherheitsmanagement und IT-Servicekontinuität, was direkt mit ISO/IEC 27001 harmoniert.
