Certifikace dle ISO/IEC 20000

Certifikační orgány, které provádějí audit a certifikaci v podle normy ISO/IEC 20000, získávají pro svoji činnost akreditaci od akreditačního orgánu. Národním akreditačním orgánem ČR je Český institut pro akreditaci, o.p.s. (ČIA).

V procesu akreditace se ČIA řídí požadavky na certifikační orgány stanovenými v mezinárodních dokumentech:

  • Norma ČSN EN ISO/IEC 17021-1 (obecné požadavky na certifikační orgány)
  • Metodický pokyn pro akreditaci MPA 50-1- 18 (výklady a jednotná aplikace normy ČSN EN ISO/IEC 17021-1)
  • Závazný dokument IAF MD 18:2015 (požadavky na strukturu, zdroje, informace, procesy, systém)
  • Závazný dokument IAF MD 1:2007 (certifikace na více místech)

V zájmu zajištění kvality certifikace služeb IT v ČR chce itSMF upozornit na základní rozlišovací znaky u kvalitních certifikačních orgánů.

Certifikační orgán má akreditaci pro ISO/IEC 20000

  • Na certifikátech je uveden odkaz na normu ISO/IEC 20000 spolu s odkazem na akreditaci
  • Akreditace znamená pravidelný dohled nad certifikačním orgánem a kompetencí jeho auditorů.
  • V ČR působí řada certifikačních orgánů akreditovaných buď českým akreditačním orgánem ČIA nebo některým ze zahraničních akreditačních orgánů.
  • ČIA provádí kontrolu plnění požadavků akreditace zpravidla jedenkrát ročně kontrolou provedenou u certifikačního orgánu a účastí na vybraném auditu ISO/IEC 20000.
  • Akreditované certifikáty jsou zárukou kvalitní úrovně jak na straně certifikačního orgánu, tak na straně certifikovaného dodavatele služeb IT.
  • itSMF Czech Republic uznává tyto certifikační orgány a jimi vydané certifikáty, protože díky akreditaci jsou splněny základní požadavky na certifikační orgán a na kvalitu certifikovaného poskytovatele služeb IT.
  • Certifikáty vydané certifikačními orgány akreditovanými v ČR (ČIA) nebo v zahraniční (zahraniční akreditační orgány) jsou mezinárodně platné a mezinárodně uznávané.

Certifikační orgán nemá akreditaci pro ISO/IEC 20000

  • Na certifikátech chybí odkaz na akreditaci!
  • Certifikační orgán, který nemá akreditaci pro ISO/IEC 20000, není pod dozorem akreditačního orgánu, který by jinak mohl pravidelně prověřovat postupy certifikačního orgánu a kompetenci auditorů pro ISO/IEC 20000.
  • itSMF varuje před certifikačními orgány, které nemají akreditaci a vydávají certifikáty bez odkazu na akreditaci. Tímto jednáním ohrožují kvalitu poskytovaných služeb IT v ČR.
  • Pokud poskytovatel služeb IT má certifikát bez odkazu na akreditaci, tak představuje velkou nejistotu pro jeho zákazníky ohledně kvality a efektivity jím poskytovaných služeb IT.

Pokud budete potřebovat informace na téma audit a certifikace podle ISO/IEC 20000, můžete se s dotazem obrátit Výbor pro certifikaci a vzdělávání itSMF Czech Republic. Kontakt:  info@itsmf.cz

V současnosti jsou k dispozici tři druhy certifikátů v oblasti ISO/IEC 20000 určené fyzickým osobám:

  • Foundation
  • Practitioner
  • Auditor

Foundation

Získáním kvalifikace Foundation se potvrzuje, že kandidát má dobré / základní znalosti co se týče obsahu a požadavků normy ISO/IEC 20000 a rozumí tomu, jak norma funguje v typické organizaci poskytovatele IT služeb. Tato kvalifikace je podmínkou k získání kvalifikace Practitioner (podmínkou k získání kvalifikace Practitioner může být ale i kvalifikace ITIL Foundation).

Practitioner

Kvalifikace Practitioner umožňuje porozumět obsahu normy ISO/IEC 20000. Úspěšný kandidát by měl být schopen aplikovat její obsah v rámci certifikované organizace nebo té, jež certifikaci zvažuje.

Auditor

Získáním kvalifikace Auditor kandidát prokazuje, že rozumí principům IT Service Managementu a požadavkům ISO/IEC 20000 -1:2011 (Část 1).
Kandidáti účastnící se kurzu musí mít minimálně tříroční zkušenost s vedením auditu v IT prostředí. Může to být v rámci auditu prováděného třetí stranou či interního auditu organizace. Kandidát též musí absolvovat Auditorský kurz akreditovaný APMG aby mohl postoupit zkoušku

Všechny tři kvalifikační úrovně jsou komplementární k oficiálnímu ITIL kvalifikačnímu schématu. Úspěšní kandidáti obdrží kreditní body pro získání ITIL Expert kvalifikace:

  • Foundation 1,0 bod
  • Practitioner 1,5 bodu
  • Auditor 1,0 bod

Požadavky na odbornou způsobilost auditora certifikačního orgánu v oblasti systému managementu podle normy ISO/IEC 20000

  1. Požadavky jsou uvedeny v mezinárodní normě ČSN EN ISO/IEC 17021-1 (obecné požadavky na kompetenci pracovníků certifikačního orgánu).
  2. Specifické požadavky související s certifikací služeb IT jsou uvedeny dokument
    IAF MD 18:2015. Výběr z těchto požadavků uvádíme níže.

Certifikační orgán musí svým certifikačním pracovníkům umožnit trvalý profesní rozvoj tak, aby si udrželi a zlepšovali svoji způsobilost certifikovat podle ISO/IEC 20000. Certifikační orgán musí obzvláště zajistit, že znalosti auditora postupů managementu služeb pro informační technologie a relevantních regulačních požadavků jsou trvale aktualizovány. Trvalý profesionální rozvoj může zahrnovat, ale není omezen pouze na:

  • další pracovní zkušenosti;
  • účast na školení;
  • koučování;
  • soukromé studium;
  • účast na jednáních, seminářích nebo ostatních relevantních činnostech.

Norma ČSN EN ISO/IEC 17021-1 uvádí v kapitolách 7.2.9 až 7.5 další požadavky na pracovníky zapojených do certifikačních činností. Jsou to například:

  • monitorování kompetencí a výkonnosti auditorů s cílem identifikovat potřeby školení;
  • pravidelné hodnocení výkonnosti auditora na místě;
  • externí auditoři musí mít podepsanou dohodu, kde se zavazují uplatňovat postupy certifikačního orgánu včetně zachování důvěrnosti a nestrannosti.

Požadované znalosti a dovednosti (výklad termínů uvedených v ČSN EN ISO/IEC 17021-1 v Příloze A)

“Znalost oblasti činnosti klienta” musí zahrnovat obecnou znalost informační technologie a relevantních požadavků předpisů.

“Produkty klienta” znamenají služby poskytované organizací klienta.

“Procesy klienta” znamenají procesy managementu služeb zavedené organizací klienta.

“Specifické normy systému managementu” znamenají normy řady ISO/IEC 20000. Auditoři musí rozumět tomu, jak na sebe vzájemně působí procesy managementu služeb, dle požadavků ISO/IEC 20000 Část 1.

Základní doporučení pro organizace zvažující certifikaci dle ISO/IEC 20000

Vlastníkem certifikačního schématu ISO/IEC 20000 je společnost APMG. Naši členové mají zkušenost s certifikací z pohledu subjektu certifikovaného i certifikačního, proto jsme připravili pro zájemce o tuto certifikaci několik následujících doporučení:

  • seznamte se podrobně s požadavky normy ISO/IEC 20000 – část 1, kde jsou uvedeny požadavky na systém managementu služeb. Požadována je prokazatelná implementace všech definovaných procesů
  • příprava na certifikaci je samostatným projektem jako každý jiný, a proto k ní takto přistupujte:
    • definujte si cíle, kterých chcete certifikací dosáhnout
    • alokujte si lidi a peníze
    • zajistěte si podporu vedení organizace
    • připravte si harmonogram implementace s dostatečnými „buffery“ (dle rozsahu organizace a stupně implementace jednotlivých procesů 6 – 36 měsíců)
  • zajistěte si vyškolení projektového týmu a klíčových účastníků jednotlivých procesů v oblasti ISO/IEC 20000 (školení a certifikace pro jednotlivce je ISO/IEC Foudation, Practitioner, Consultant a Auditor) nebo ITIL (školení a certifikace pro jednotlivce je uvedeno v sekci Školení a certifikace ITILv3)
  • po implementaci všech procesů proveďte interní audit oproti požadavkům normy (všechny procesy musí být prokazatelně implementovány a toto musíte prokázat záznamy!!! z fungování těchto procesů)
  • kontaktujte certifikační orgán akreditovaný k provádění auditu a udělování certifikace dle ISO/IEC 20000. Aktuální seznam najdete u Českého akreditačního institutu na adrese www.cai.cz v seznamu akreditovaných subjektů, kde do vyhledávání zadáte „ISO/IEC 20000“
  • u vybraného certifikačního orgánu požádejte o provedení „předběžného auditu“, který odhalí nejzávažnější nedostatky z pohledu auditora, nebo jen o informační schůzku, kde se dozvíte podrobnosti o průběhu auditu
  • po odstranění nedostatků z „předběžného auditu“, které zabere přibližně 1 – 2 měsíce, přistupte k auditu „ostrému“
  • i po úspěšném získání certifikátu ale nezapomeňte, že jako u ostatních ISO norem, i tato vyžaduje každoroční kontrolní audity, na kterých musíte demonstrovat trvalé zlepšování procesů dle PDCA (Plan – Do – Check – Act) cyklu

Předběžné požadavky pro audit

Nejsou žádné.