ISO 20000 certifica modul in care livrezi servicii IT. ISO 27001 certifica modul in care protejezi informatiile. Cele doua standarde se adreseaza unor nevoi diferite, dar firmele IT din Romania ajung frecvent sa le implementeze pe amandoua.
La nivel mondial, ISO 27001 este de peste 12 ori mai raspandit decat ISO 20000: aproximativ 96.700 de certificate active fata de sub 8.000. Motivul e simplu: orice companie care lucreaza cu date are nevoie de securitatea informatiei, in timp ce ISO 20000 se adreseaza strict furnizorilor de servicii IT.
Alege in functie de ce face firma ta
Ai un SRL cu 20 de angajati care livreaza helpdesk externalizat si administrare servere pentru trei clienti corporate. Unul dintre clienti iti cere sa demonstrezi ca ai procese de livrare a serviciilor IT. Altul, o banca, vrea dovada ca protejezi datele pe care le accesezi in sistemele lor.
Pentru primul client ai nevoie de ISO 20000. Pentru al doilea, de ISO 27001. Daca ambii clienti sunt in portofoliu, iti trebuie ambele.
| Criteriu | ISO 20000 | ISO 27001 |
|---|---|---|
| Ce certifica | Managementul serviciilor IT (SMS) | Securitatea informatiei (ISMS) |
| Versiune curenta | ISO/IEC 20000-1:2018 | ISO/IEC 27001:2022 |
| Adoptare Romania | SR ISO/IEC 20000-1:2020 | SR EN ISO/IEC 27001:2023 |
| Cerinte | ~250 cerinte in 10 clauze | 93 de controale in 4 categorii |
| Se aplica in | Furnizori de servicii IT, MSP, helpdesk | Orice industrie, dar cel mai cerut in IT |
| Certificate active mondial | ~7.800 | ~96.700 |
| Legislatie RO conectata | Nu exista obligatie legala directa | OUG 155/2024 + Legea 124/2025 (NIS2) |
Intelege ce acopera fiecare standard
ISO 20000 se ocupa de intregul ciclu de viata al unui serviciu IT: cum il planifici, cum il livrezi, cum gestionezi incidentele, cum faci change management si cum masori performanta. Daca un client raporteaza un tichet, ISO 20000 se uita la cat de repede l-ai preluat, cum l-ai escaladat, daca ai respectat SLA-ul si ce ai invatat din incident.
ISO 27001 se uita la altceva: cine are acces la date, cum sunt stocate, ce se intampla la un incident de securitate, cum evaluezi riscurile. Cele 93 de controale acopera zona organizationala (37), de personal (8), fizica (14) si tehnologica (34).
ISO 20000 raspunde la intrebarea “livrezi servicii IT in mod organizat?”. ISO 27001 raspunde la “protejezi datele pe care le gestionezi?”.
Verifica de ce ai nevoie pe plan legal
ISO 27001 a capatat urgenta in Romania dupa intrarea in vigoare a OUG 155/2024, care transpune Directiva NIS2. Numarul entitatilor vizate a crescut de la aproximativ 1.000 (sub NIS1) la peste 6.000. Companiile vizate trebuie sa implementeze masuri de securitate cibernetica si sa raporteze incidente catre DNSC.
ISO 27001 nu este cerut explicit de OUG 155/2024, dar acopera o mare parte din cerintele tehnice si organizationale. Multe firme IT din Romania il folosesc ca instrument de conformare.
ISO 20000 nu are un echivalent legislativ direct. Cererea vine din contracte private, SLA-uri cu clienti enterprise si, ocazional, din licitatii SEAP pentru servicii IT externalizate.
Combina cele doua standarde la implementare
Ambele standarde folosesc aceeasi structura cu 10 clauze. Clauzele 4 (contextul organizatiei), 5 (leadership), 6 (planificare), 7 (suport), 9 (evaluarea performantei) si 10 (imbunatatire) se suprapun aproape complet. Documentatia de baza (politica, obiective, proceduri de audit intern, actiuni corective) se scrie o singura data si se reutilizeaza.
Diferenta reala e in clauza 8. La ISO 20000, aceasta clauza este cea mai extinsa si acopera procesele operationale de livrare a serviciilor: incidente, probleme, schimbari, niveluri de serviciu, relatia cu furnizorii. La ISO 27001, clauza 8 se concentreaza pe evaluarea si tratarea riscurilor de securitate, iar controalele detaliate sunt in Anexa A.
Daca implementezi ambele simultan, un audit combinat poate reduce costurile si timpul de pregatire cu 30-40% fata de doua audituri separate. Firmele care au deja ISO 27001 si vor sa adauge ISO 20000 pornesc cu un avantaj: toata documentatia de sistem e deja la locul ei, ramane sa adauge procesele specifice de service management din clauza 8.
Decide ce obtii mai intai
Daca firma ta lucreaza cu date sensibile, are clienti din banking sau telecom, sau este vizata de NIS2, incepe cu ISO 27001. Este mai raspandit, mai cerut in licitatii si are acum un temei legislativ clar.
Daca esti furnizor de managed services, helpdesk externalizat sau cloud services si clientii cer dovada unui sistem de livrare matur, ISO 20000 este raspunsul potrivit.
Firmele care livreaza servicii IT si in acelasi timp gestioneaza date ale clientilor (outsourcing IT, SaaS, administrare infrastructura) au nevoie de ambele. In acest caz, implementeaza ISO 27001 mai intai (pentru ca raspunde si presiunii legislative), apoi adauga ISO 20000 pe structura existenta.