Skip to Content
ISO 20000Stappenplan

Stappenplan ISO 20000-1: van nul naar certificaat

Het traject naar een ISO 20000-1 certificaat duurt gemiddeld zes tot twaalf maanden. Hoe lang precies hangt af van je startpositie: heb je al werkende processen voor incidenten en wijzigingen, of begin je van nul? De norm is uitgegeven door ISO  en beschikbaar via NEN . Wat je in elke fase kost lees je op kosten en tijdlijn, en de eisen die je moet invullen staan op de eisen van ISO 20000-1.

Op deze pagina lopen we het traject stap voor stap door.

Op deze pagina

Hieronder bespreken we tien fases, van de eerste nulmeting tot het moment dat je het certificaat in handen hebt. Per stap leggen we uit wat je doet en waar bedrijven vastlopen.

Waar sta je nu ten opzichte van de norm?

1. Nulmeting

Welke diensten en locaties neem je mee?

2. Scope bepalen

Management commitment vastleggen.

3. Directiebetrokkenheid

Processen inrichten op basis van clausule 8.

4. SMS opzetten

Processen en afspraken vastleggen.

5. Documentatie

Bewijs opbouwen uit de dagelijkse praktijk.

6. Systeem draaien

Je eigen systeem doorlichten.

7. Interne audit

Resultaten bespreken en verbeteren.

8. Directiebeoordeling

Documentatiebeoordeling door de auditor.

9. Stage 1 audit

Toetsing in de praktijk en het certificaat.

10. Stage 2 audit

Stap 1: nulmeting en gap-analyse

Breng in kaart wat je al hebt en wat er nog mist. Ga per clausule na in hoeverre je voldoet aan de eisen van de norm. Welke processen zijn er al? Welke ontbreken? Waar is documentatie onvolledig?

Dit is de meest waardevolle stap, want het bepaalt je aanpak. Zonder nulmeting ga je op goed geluk aan de slag en ontdek je de gaten pas tijdens de audit.

Waar bedrijven vastlopen: de nulmeting serieus nemen kost tijd, maar overslaan kost meer. Veel bedrijven denken dat ze “al veel op orde hebben” en ontdekken halverwege dat clausule 8 bijna leeg is.

Stap 2: scope bepalen

Bepaal welke diensten, locaties en organisatieonderdelen vallen onder je SMS. De scope hoeft niet het hele bedrijf te omvatten. Een MSP die zowel werkplekbeheer als hosting levert, mag beginnen met alleen het werkplekbeheer.

Een heldere scope maakt de audit beheersbaar. Sla geen diensten op die je niet kunt aantonen.

Waar bedrijven vastlopen: een te brede scope, waarna je de norm niet kunt invullen voor alles wat je opgeschreven hebt. Smaller beginnen is verstandiger.

Stap 3: directiebetrokkenheid en beleid

De directie neemt eigenaarschap over het SMS. Dat betekent meer dan een handtekening: je wijst een eindverantwoordelijke aan, maakt middelen vrij en stelt een servicemanagementbeleid op.

Het beleid beschrijft wat je belooft aan klanten en hoe je dat waarmaakt. Concreet en kort: één A4 is beter dan tien pagina’s die niemand leest.

Waar bedrijven vastlopen: directiebetrokkenheid die alleen op papier bestaat. De auditor vraagt door. “De directie heeft het beleid getekend” is niet genoeg als niemand het kan toelichten.

Stap 4: SMS opzetten

Dit is het zwaartepunt van het traject. Je richt de servicemanagementprocessen in: incidentbeheer, wijzigingsbeheer, serviceniveaubeheer, problembeheer en de andere processen van clausule 8. Je vindt een overzicht op de servicemanagementprocessen.

De norm zegt wat je moet regelen, niet hoe. Veel bedrijven gebruiken ITIL 4 als invulling. Dat werkt goed: ITIL geeft de werkwijze, ISO 20000-1 geeft de toetsbare structuur.

Waar bedrijven vastlopen: processen op papier zetten maar ze niet daadwerkelijk gebruiken. De auditor kijkt naar bewijs uit de praktijk, niet naar mooie proceskaarten.

Stap 5: documentatie opzetten

Leg vast wat je doet. Geen dik handboek, maar duidelijke afspraken: procesomschrijvingen, rollen en verantwoordelijkheden, en procedures voor de belangrijkste situaties. Koppel documentatie aan de clausules van de norm zodat je weet wat je dekt.

Houd documentatie actueel. Een procedure die niemand meer volgt, is geen bewijs, maar een risico.

Waar bedrijven vastlopen: te veel documentatie die te weinig de werkelijkheid beschrijft. Schrijf op wat je werkelijk doet.

Stap 6: systeem draaien en bewijs verzamelen

Laat je SMS een tijd draaien voordat de auditor komt. Hoe langer, hoe beter, maar minimaal twee tot drie maanden. In die periode verzamel je bewijs: tickets, SLA-rapportages, notulen van overleggen, logboeken van wijzigingen.

Dit is de fase die veel bedrijven onderschatten. De auditor wil zien dat het systeem leeft, niet dat het net is opgezet.

Stap 7: interne audit

Voer een interne audit uit. Dat is een onafhankelijke beoordeling van je eigen SMS: controleer per clausule of je voldoet en documenteer de bevindingen. De interne auditor mag iemand van binnen de organisatie zijn, maar niet iemand die zijn eigen werk beoordeelt.

Neem afwijkingen serieus en herstel ze. De interne audit is je repetitiemogelijkheid voor de externe audit.

Waar bedrijven vastlopen: de interne audit te licht opvatten (“even snel langs de punten lopen”). Een stevige interne audit voorkomt verrassingen bij stage 2.

Stap 8: directiebeoordeling

De directie beoordeelt de resultaten van het SMS: interne auditresultaten, SLA-prestaties, klachtenmeldingen, verbeterkansen. Dit overleg moet aantoonbaar plaatsvinden: agenda, aanwezigheid en besluiten documenteren.

Dit is ook het moment om te beslissen of je klaar bent voor de externe audit.

Stap 9: stage 1 audit

De externe auditor beoordeelt je documentatie en je gereedheid. Dit is een bureauonderzoek: zijn de processen beschreven, klopt de scope, is de interne audit uitgevoerd? De auditor geeft bevindingen die je oplost vóór stage 2.

Reken op een halve tot hele dag, afhankelijk van je organisatiegrootte.

Stap 10: stage 2 audit en certificaat

De auditor toetst of je SMS in de praktijk werkt. Hij praat met medewerkers, vraagt bewijs op en bekijkt of de processen leven. Clausule 8 neemt de meeste tijd in beslag. Na een geslaagde audit ontvang je je ISO 20000-1 certificaat, geldig voor drie jaar.

Elk jaar volgt een controle-audit (surveillance). Na drie jaar hercertificering. Het auditproces staat verder uitgelegd.

Een veelgemaakte fout: clausule 8 onderschatten en behandelen als bijzaak. De servicemanagementprocessen zijn het hart van de norm. Ze kosten de meeste tijd om in te richten én te bewijzen. Plan daar het meeste voor in.

Gecombineerd traject met ISO 27001

Heb je al ISO 27001 of ben je van plan beide normen te halen? Dan scheelt een gecombineerd traject aanzienlijk. De HLS-structuur is identiek, dus context, leiderschap, documentbeheer, interne audit en directiebeoordeling bouw je maar één keer. Lees meer op ISO 20000 en ISO 27001.

Volgende stappen

Indicatieve kosten per bedrijfsgrootte.

Kosten en tijdlijn → Wat kost het traject?

Hoe de externe audit verloopt.

Het auditproces → Stage 1 en stage 2

Alle servicemanagementprocessen.

De processen → Clausule 8 uitgelegd

Werk hergebruiken en kosten besparen.

ISO 20000 en ISO 27001 → Gecombineerd traject
Voor wie is het?Kosten en tijdlijn