ISO 20000-1 voor managed service providers (MSP’s)
Managed service providers zijn de meest voor de hand liggende doelgroep van ISO 20000-1. Een MSP levert IT-diensten als core business: werkplekbeheer, hosting, cloudbeheer of een combinatie. Klanten betalen voor betrouwbare, aantoonbaar goed beheerde diensten. ISO 20000-1 is de internationale norm die precies dat aantoont: dat je processen voor incidenten, wijzigingen en serviceafspraken werken en door een onafhankelijke partij zijn getoetst. De norm is uitgegeven door ISO en beschikbaar via NEN . Meer over de norm en wie er gebruik van maakt lees je op wat ISO 20000-1 is en voor wie is ISO 20000-1?.
Voor de meeste MSP’s in Nederland is ISO 20000-1 niet te scheiden van ISO 27001: klanten en aanbestedingen vragen ze vrijwel altijd samen.
Waarom klanten en aanbestedingen ISO 20000-1 vragen
Een MSP die zegt “wij werken volgens ITIL” klinkt goed. Maar het is niet getoetst. Er bestaat geen ITIL-certificaat voor organisaties, alleen voor personen. Een klant die zijn IT uitbesteedt, kan dat niet controleren.
ISO 20000-1 lost dat probleem op. Het certificaat bewijst dat een onafhankelijke auditor de processen heeft beoordeeld en goedgekeurd. Klanten hoeven niet op hun woord te geloven, ze hoeven alleen het certificaat op te vragen.
ITIL is een framework van best practices. ISO 20000-1 is een norm met toetsbare eisen. Je organisatie kunt je laten certificeren op de norm, niet op het framework. Meer over dit onderscheid lees je op ISO 20000 vs. ITIL 4.
Wat klanten willen weten: de tabel
| Klant vraagt om | Wat ISO 20000-1 aantoont |
|---|---|
| Bewijs van gestructureerde incidentafhandeling | Aantoonbaar werkend incidentproces met doorlooptijden |
| SLA-rapportages en naleving | Werkend serviceniveaubeheer, gemeten en gedocumenteerd |
| Beheerst doorvoeren van wijzigingen | Goedgekeurd wijzigingsproces met rollbackplan |
| Leveranciersmanagement | Afspraken met onderaannemers vastgelegd en bewaakt |
| Onafhankelijke toetsing van kwaliteitsprocessen | Certificaat van geaccrediteerde instelling |
Concurrentievoordeel boven “wij werken volgens ITIL”
In aanbestedingen van de overheid of grote bedrijven staat ISO 20000-1 steeds vaker als eis of gunningscriterium. Wie het niet heeft, wordt soms direct uitgesloten. Wie het wel heeft, onderscheidt zich van concurrenten die alleen processen beloven.
Dat geldt ook buiten aanbestedingen. Enterprise-klanten en zorgorganisaties vragen steeds vaker om gecertificeerde leveranciers. Het certificaat versnelt het verkoopproces: je hoeft niet meer te overtuigen met folders, het bewijs staat zwart op wit.
De combinatie met ISO 27001
Vrijwel alle MSP’s die ISO 20000-1 halen, combineren dat met ISO 27001. Klanten willen beide weten: dat hun data veilig is én dat de dienst betrouwbaar wordt geleverd. ISO 27001 dekt het eerste, ISO 20000-1 het tweede.
De combinatie is ook praktisch logisch. Beide normen volgen dezelfde High Level Structure (HLS), waardoor je documentbeheer, interne audit en directiebeoordeling maar één keer opzet. Een gecombineerde audit bij instellingen als DNV of Kiwa is goedkoper dan twee losse trajecten. Lees meer op ISO 20000 en ISO 27001.
Werk je ook voor SaaS-klanten die de Amerikaanse markt bedienen? Dan kom je naast deze normen ook SOC 2 tegen.
ISO 20000-1 en ISO 27001 worden in aanbestedingen vaak samen gevraagd. Wie er één mist, kan ondanks een sterk aanbod worden afgewezen. Plan een gecombineerd traject als je beide nodig hebt.
Concrete MSP-voorbeelden
Werkplekbeheer. Een MSP beheert 2.000 werkplekken voor tien klanten. ISO 20000-1 toont aan dat er een werkend incidentproces is, dat SLA’s worden bewaakt en dat wijzigingen beheerst worden doorgevoerd. Klanten ontvangen maandelijks een SLA-rapportage.
Hosting en cloudbeheer. Een hostingprovider belooft 99,9 procent beschikbaarheid. De norm vraagt dat dit is ingeregeld en meetbaar: capaciteitsplanning, monitoring, continuïteitsmaatregelen. De auditor toetst of het klopt.
SOC-diensten. Een MSP die security operations levert, combineert ISO 20000-1 met ISO 27001 voor een volledig aantoonbaar pakket: de dienst werkt (20000-1) én de informatie is veilig (27001). Zie ook ISO 27001 voor SaaS-bedrijven voor vergelijkbare aanpak.
Scope-keuze: welke diensten neem je mee?
Je hoeft niet al je diensten in de scope op te nemen. Begin met de diensten waarvoor klanten certificering vragen, en breid later uit. Een MSP die werkplekbeheer en hosting levert, kan beginnen met werkplekbeheer alleen.
Een heldere scope maakt de audit beheersbaar en de kosten voorspelbaar. Te breed beginnen leidt tot een langere doorlooptijd en hogere auditkosten.
Kosten en tijdlijn voor MSP’s
Reken op zes tot twaalf maanden voor het traject, afhankelijk van je startpositie. Een MSP met bestaande ITIL-processen heeft een voorsprong: de werkwijzen bestaan al, je richt ze nu in op aantoonbaarheid. De volledige kostenopbouw staat op kosten en tijdlijn.
Volgende stappen
Gecombineerde aanpak en wat je hergebruikt.
ISO 20000 en ISO 27001 → Standaardpakket voor MSP'sIncidentbeheer, SLA’s en wijzigingsbeheer.
De processen → Wat clausule 8 vraagtIndicatieve kosten en doorlooptijd.
Kosten en tijdlijn → Investering begrootAlternatief of aanvulling voor SaaS en cloud.
SOC 2 → Voor de Amerikaanse markt