ISO/IEC 20000-1:2018 est la seule norme internationale certifiable pour la gestion des services informatiques. Publiée par l'ISO conjointement avec l'IEC, elle traduit les bonnes pratiques d'ITIL v4 en exigences auditables : un catalogue de services avec des niveaux de service (SLA) documentés, une gestion structurée des incidents, des problèmes et des changements, ainsi qu'un cycle d'amélioration continue mesurable à l'aide d'indicateurs réels. Contrairement à la certification ITIL — qui est individuelle —, ISO 20000 certifie l'organisation et le périmètre du service qu'elle fournit, ce qui en fait une accréditation exigible dans les appels d'offres publics et les contrats avec les grands comptes.
La norme couvre l'intégralité du cycle de vie du service informatique : depuis la conception du catalogue et la gestion de la capacité et de la disponibilité, jusqu'à l'exploitation quotidienne (gestion des incidents, problèmes, demandes et accès), en passant par la transition et la gestion des changements. Elle impose d'établir des conventions de service internes (OLA) et externes (SLA ou contrats), de gérer les fournisseurs et sous-traitants, et de maintenir un programme d'audits internes et des revues de direction. Sa version en vigueur, publiée en 2018, a introduit un alignement explicite avec la structure de haut niveau (SHN) commune aux normes ISO, ce qui facilite l'intégration avec ISO 27001 (sécurité de l'information) et ISO 22301 (continuité d'activité).
Chez Summum, nous accompagnons la mise en œuvre depuis le diagnostic initial jusqu'à l'audit de certification auprès de l'organisme accrédité choisi par le client — AENOR, Bureau Veritas, SGS, Lloyd's Register ou autres. Nous sommes consultants, non certificateurs : notre mission s'achève lorsque l'auditeur externe délivre le certificat. Depuis 2007, nous accompagnons des mises en place de systèmes de management en Castille-et-León et aux Canaries, avec environ 200 certifications ISO accompagnées au total. Sur ISO 20000, notre point différenciant est que nous partons toujours des processus déjà en place chez le client — nous ne réinventons pas le service pour certifier, nous structurons ce qui fonctionne et corrigeons ce qui ne fonctionne pas.