ISO/IEC 20000 vs ITIL: что выбрать для сертификации

Главное отличие

ITIL — это библиотека лучших практик управления IT-услугами. Не стандарт, не сертификация для организации. Можно «внедрить ITIL» — означает «работать по этим практикам». Подтверждение — только сертификация людей (ITIL Foundation, Managing Professional и т.п.), не компаний.

ISO/IEC 20000-1 — это формальный международный стандарт. Описывает требования к системе управления IT-услугами (SMS). По нему можно получить сертификат компании от аккредитованного органа.

Соотношение: ITIL ⊂ ISO 20000. Многие практики ISO 20000 заимствованы из ITIL, но ISO добавляет требования к управлению (политики, KPI, аудиты, документация, постоянное улучшение) — то, что нужно для сертификации.

Что требует ISO/IEC 20000

Стандарт состоит из частей. На сертификацию идёт ISO/IEC 20000-1 — там 9 разделов:

4. Контекст организации — кто наши потребители, заинтересованные стороны, какие IT-услуги мы предоставляем.
5. Лидерство — политика SMS, ответственность руководства, приверженность качеству.
6. Планирование — управление рисками, цели SMS.
7. Поддержка — ресурсы, компетенции, осведомлённость, документация.
8. Операционная деятельность — собственно процессы:
- Управление инцидентами, проблемами, изменениями.
- Управление SLA и каталогом услуг.
- Управление мощностями, доступностью, непрерывностью.
- Управление информационной безопасностью.
- Управление поставщиками, релизами, конфигурациями.
9. Оценка результатов — мониторинг, внутренний аудит, ревью руководства.
10. Улучшение — корректирующие действия, постоянное совершенствование.

Каждый процесс должен быть описан, иметь владельца, метрики, контрольные точки. Это сильно больше, чем «делать ITIL».

Кому нужна сертификация

MSP / аутсорсеры IT-услуг. Многие тендеры требуют ISO 20000 — без него вас просто не допустят.
Госконтракты. Часть тендеров на ИТ-аутсорсинг в России требует ISO 20000 или эквивалент (ГОСТ Р ИСО/МЭК 20000-1).
Финансовый сектор. ЦБ РФ рекомендует процессное управление в банках. ISO 20000 — один из приемлемых стандартов.
Международные продажи. Иностранные клиенты часто проверяют compliance — наличие ISO 20000 ускоряет sales-цикл.

Для внутренней IT-поддержки обычной компании сертификация — overkill. Лучше инвестировать в сами процессы по ITIL, чем в формальную бумажку.

Сколько стоит и сколько занимает

Российские органы сертификации (например, ТюфНорд, БСИ, СГС): первичная сертификация компании на 200-500 человек — 500 000–1 500 000 ₽. Это сам аудит. К этому добавляются:

Подготовка (внедрение SMS): 6-12 месяцев работы внутренней команды + консалтинг (300-800 тыс ₽). Это самая дорогая часть.
Ежегодный надзорный аудит: 200-400 тыс ₽/год.
Ресертификация раз в 3 года: примерно 70% от первичной стоимости.

Итого по TCO за 3 года — 2-3.5 млн ₽. ROI обоснован, если эта сертификация даёт доступ к контрактам на десятки миллионов.

ГОСТ Р ИСО/МЭК 20000-1: российская локализация

В России действует ГОСТ Р ИСО/МЭК 20000-1, который идентичен международному ISO/IEC 20000-1. Сертификация по нему имеет ту же силу для внутреннего рынка и более удобна по документообороту:

Сертификат — на русском, для тендеров не нужен перевод.
Орган сертификации — российский, без рисков санкций.
Возможна работа с гостайной (если у органа есть лицензия ФСТЭК).

Для большинства российских компаний именно ГОСТ Р предпочтительнее международного — стоит примерно столько же, признаётся в РФ, отказы по санкционным причинам исключены.

Что выбрать в итоге

Простая логика:

Если вы внутренняя IT-команда обычной компании — внедряйте ITIL-практики (см. обзор ITIL 4). Сертификация не нужна, кроме случаев если её требует head office.
Если вы MSP / IT-аутсорсер — сертификация по ГОСТ Р ИСО/МЭК 20000-1 окупится через первый-второй крупный тендер.
Если вы продаёте IT-услуги за рубеж — нужна международная сертификация ISO/IEC 20000-1.
Если вы крупный enterprise (5000+ сотрудников, банк, гос) — сертификация даёт формальные доказательства зрелости процессов для регуляторов.

В любом случае: сначала ITIL, потом ISO. Без рабочих ITIL-процессов сертификация — это бумажка, которая не отражает реальность, и при первом серьёзном аудите всплывает.

Попробуйте TIQQET в деле

On-premise ServiceDesk с полным циклом заявок, SLA-контролем и мобильными приложениями. Развёртывание за 1 день.

Посмотреть демо

Частые вопросы

Можно ли сертифицироваться только по ITIL?

Сертифицировать организацию по ITIL нельзя — это не стандарт. Можно сертифицировать отдельных сотрудников (ITIL Foundation и т.д.) — это подтверждает их знания, но не процессы компании.

Что лучше: ISO 20000 или COBIT?

Разные цели. ISO 20000 — операционные IT-услуги (incident, change, request). COBIT — управление и контроль IT с фокусом на governance. Крупные компании внедряют оба параллельно.

Сколько процессов из ISO 20000 нужно реально внедрять?

Стандарт требует все. На практике — 13 процессов в обязательном порядке. Внедрение «частично» не пройдёт аудит.

Признаётся ли российский ГОСТ за рубежом?

Прямо — не всегда. На западе требуют сертификат от международного органа (например, BSI, DNV, TÜV). Для российского рынка ГОСТ — основной выбор.

Помогает ли helpdesk-система получить ISO 20000?

Помогает существенно. Helpdesk покрывает 5-6 ключевых процессов стандарта (incident, request, change, SLM, KB, service catalog). TIQQET закрывает их в коробке — экономит время внедрения SMS.