ISO 20000 en ISO 27001 combineren
ISO 20000-1 en ISO 27001 zijn twee verschillende normen die uitstekend samengaan. ISO 20000-1 gaat over de kwaliteit van je IT-dienstverlening (een service management system), ISO 27001 over het beveiligen van informatie (een ISMS). Ze delen dezelfde basisopbouw: de High Level Structure (HLS) . Daardoor kun je beide normen combineren in één geïntegreerd managementsysteem en veel werk hergebruiken. Voor de officiële aanpak bestaat ISO/IEC 27013 , een norm die het gecombineerd invoeren beschrijft.
Veel IT-dienstverleners halen beide certificaten. Een klant wil weten dat zijn data veilig is (ISO 27001) én dat de dienst betrouwbaar wordt geleverd (ISO 20000-1). Lees ook hoe ISO 27001 voor SaaS-bedrijven werkt, want die doelgroep overlapt sterk.
Kort het verschil: ISO 27001 beschermt informatie, ISO 20000-1 borgt servicekwaliteit. De eerste zegt “je data is veilig”, de tweede “je dienst werkt en blijft werken”.
Waarom de twee normen op elkaar lijken
Sinds de versie van 2018 volgt ISO 20000-1 dezelfde HLS als ISO 27001. Dat betekent dat de hoofdstukken 4 tot en met 10 grotendeels dezelfde indeling hebben. Hoofdstuk 4 gaat altijd over context, hoofdstuk 9 altijd over evaluatie. Wie de ene norm kent, herkent de structuur van de andere meteen.
Die gelijke opbouw is geen toeval. ISO ontwierp de HLS juist zodat organisaties normen kunnen stapelen zonder dubbel werk. Heb je al ISO 27001? Dan staat de ruggengraat van je ISO 20000-1 systeem grotendeels al overeind.
Wat je kunt hergebruiken
De grootste winst zit in de gedeelde onderdelen. De tabel laat zien wat je vaak één keer regelt voor beide normen.
| Onderdeel | Geldt voor beide? |
|---|---|
| Context en scope (hoofdstuk 4) | Ja, vaak grotendeels gelijk |
| Leiderschap en beleid (hoofdstuk 5) | Ja, één directiebetrokkenheid |
| Risicoaanpak (hoofdstuk 6) | Ja, met andere focus per norm |
| Documentbeheer (hoofdstuk 7) | Ja, één systeem |
| Interne audit (hoofdstuk 9) | Ja, gecombineerde audit mogelijk |
| Directiebeoordeling (hoofdstuk 9) | Ja, in één overleg |
| Verbetering (hoofdstuk 10) | Ja, één verbeterproces |
Let op het verschil in focus. Bij hoofdstuk 6 kijkt ISO 27001 naar beveiligingsrisico’s, ISO 20000-1 naar risico’s voor de dienstverlening. De structuur is gelijk, de inhoud verschilt.
Waar de normen verschillen
De kern verschilt wel degelijk. ISO 27001 draait om de CIA-driehoek: vertrouwelijkheid, integriteit en beschikbaarheid van informatie. ISO 20000-1 draait om de servicemanagementprocessen: incidenten, wijzigingen, SLA’s en releases. Die processen in hoofdstuk 8 zijn uniek voor ISO 20000-1. We behandelen ze op de servicemanagementprocessen.
Een voorbeeld maakt het concreet. Een gelekt wachtwoord is een ISO 27001 onderwerp. Een helpdesk die telefoontjes niet binnen de afgesproken tijd oppakt, is een ISO 20000-1 onderwerp. Soms raken ze elkaar: een storing kan zowel een beschikbaarheids- als een securityvraag zijn.
Onderschat de extra eisen van ISO 20000-1 niet. De gedeelde HLS scheelt werk, maar hoofdstuk 8 met de servicemanagementprocessen moet je apart inrichten. Daar gaat bij een audit de meeste tijd naartoe.
Hoe je beide combineert
De praktische route is een geïntegreerd managementsysteem. Je bouwt één set documenten, één auditplanning en één directiebeoordeling, met per norm de specifieke onderdelen erbij. ISO/IEC 27013 geeft hiervoor de officiële guidance.
Veel certificerende instellingen, zoals DNV en Kiwa , bieden een gecombineerde audit aan. Dat is efficiënter en goedkoper dan twee losse trajecten. Het stappenplan en de kosten en tijdlijn helpen je plannen.
Voor wie loont de combinatie?
Vooral managed service providers, hosters en cloudpartijen. Zij beheren data van klanten (security) én leveren een dienst met afspraken (servicekwaliteit). Voor deze bedrijven is de combinatie bijna standaard, zeker in aanbestedingen waar beide certificaten worden gevraagd.
Werk je voor de Amerikaanse markt? Dan kom je naast deze normen vaak SOC 2 tegen, dat security en beschikbaarheid op een andere manier aantoont.
Volgende stappen
Bronnen
- ISO/IEC 27013 – Geïntegreerd invoeren van 27001 en 20000-1 – International Organization for Standardization
- ISO/IEC 20000-1:2018 – Service management system requirements – International Organization for Standardization
- ISO/IEC 27001:2022 – Information security management systems – International Organization for Standardization