iso 20000-1 (sp)

DFSD

0 ISO 20000-1:2011 Traduccin no oficial de uso acadmico Autor: Ing. Juan Carlos Angarita C., M.E. ([email protected])

Prohibida su copia o reproduccin (total o parcial) no autorizada o su alteracin en general

ESTNDAR INTERNACIONAL ISO 20000-1:2011 Traduccin no oficial Uso acadmico Realizada por: Ing. Juan Carlos Angarita C., M.E.

Segunda edicin: 2011-04-15

TECNOLOGAS DE LA INFORMACIN GESTIN DE SERVICIOS PARTE 1 REQUISITOS DEL SISTEMA DE GESTIN DE REQUISITOS

TABLA DE CONTENIDO PREFACIO 1 0 INTRODUCCIN 2 1 ALCANCE 4 1.1. General 4 1.2. General 5 2 REFERENCIAS NORMATIVAS 5 3 TRMINOS Y DEFINICIONES 5 4 REQUISITOS GENERALES DEL SISTEMA DE GESTIN DE SERVICIOS 9 4.1 Responsabilidad de la direccin 9 4.2 Gobierno de procesos operados por terceras partes 10 4.3 Gestin de la documentacin 10 4.4 Gestin de recursos 11 4.5 Establecer y mejorar el SMS 11 5 DISEO Y TRANSICIN DE SERVICIOS NUEVOS O MODIFICADOS 14 5.1 General 14 5.2 Planeacin de servicios nuevos o modificados 14 5.3 Diseo y desarrollo de servicios nuevos o modificados 15 5.4 Transicin de servicios nuevos o modificados 15 6 PROCESO DE ENTREGA DE SERVICIOS 16 6.1 Gestin del nivel de servicio 16 6.2 Reporte de servicios 16 6.3 Gestin de la continuidad y disponibilidad del servicio 17 6.4 Presupuesto y contabilidad de servicios 17 6.5 Gestin de la capacidad 18 6.6 Gestin de seguridad de la informacin 18 7 PROCESOS DE RELACIONES 19 7.1 Gestin de procesos de relaciones 19 7.2 Gestin de proveedores 20 8 PROCESOS DE SOLUCIN 21 8.1 Gestin de incidentes y solicitud de servicios 21 8.2 Gestin de problemas 21 9 PROCESOS DE CONTROL 22 9.1. Gestin de la configuracin 22 9.2 Gestin del cambio 22 9.3 Gestin de publicaciones y despliegue 23

DFSD



PREFACIO ISO (La organizacin internacional para la estandarizacin) y la IEC (La comisin electrotcnica internacional) conforman el sistema especializado para la estandarizacin a nivel mundial. Los organismos nacionales que son miembros de la ISO o del IEC participan en el desarrollo de estndares internacionales a travs de comits tcnicos establecidos por la organizacin respectiva para atender campos particulares de actividad tcnica. Los comits tcnicos de la ISO e IEC colaboran en campos de inters mutuo. Tambin pueden participar en ese trabajo otros tipos de organizaciones internacionales, gubernamentales y no gubernamentales, bajo la coordinacin de ISO e IEC. En el campo de las tecnologas de la informacin, ISO e IEC han establecida un comit tcnico ISO/IEC JTC 1. Los estndares internacionales son preparados segn las reglas dadas en las directivas ISO/IEC, parte 2. La tarea principal de los comits tcnicos es preparar estndares internacionales. Los borradores de estndares internacionales adoptados por los comits tcnicos son circulados a los miembros para votacin. La publicacin de un estndar internacional requiere la aprobacin de al menos el 75% de los miembros con derecho a voto. Se deber tener en cuenta la posibilidad que algunos de los elementos de este documento pueden estar sujetos a derechos de patente. ISO e IEC no sern responsables de identificar cualquiera de tales derechos. La norma ISO 20000-1 fue preparada por el Comit Tcnico ISO/TC JTC 1, Tecnologa de la informacin, subcomit SC 7, ingeniera de software y sistemas. Esta segunda edicin cancela y reemplaza la primera edicin (ISO/IEC 20000-1:2005), la cual ha sido revisada tcnicamente. Las principales diferencias son: - Alineacin cercana con ISO 9001; - Alineacin cercana con ISO/IEC 27001; - Cambio de terminologa para reflejar su uso internacional; - Adicin de muchas ms definiciones, actualizacin de algunas definiciones y remocin de dos definiciones; - Introduccin del trmino sistema de gestin de servicios - SMS; - Combinacin de las clusulas 3 y 4 de ISO/IEC 20000-1:2005 para ubicar todos los requisitos del sistema de gestin en una

sola clusula; - Aclaracin de los requisitos para el gobierno de procesos operados por terceras partes; - Aclaracin de los requisitos para definir el alcance del sistema de gestin de servicios; - Aclaracin de la aplicacin de la metodologa PHVA al sistema de gestin de servicios, incluyendo los procesos de gestin

de servicios, y los servicios; - Introduccin de nuevos requisitos para el diseo y transicin de servicios nuevos o con cambios. La norma ISO/IEC 20000 consiste de las siguientes partes, bajo el ttulo general de Tecnologa de la informacin - Gestin de servicios: - Parte 1: Requisitos del sistema de gestin de servicios; - Parte 2: Guas en la aplicacin de los sistemas de gestin de servicios; - Parte 3: Guas para la definicin y aplicabilidad del alcance de la norma ISO/IEC 20000-1 (Reporte tcnico) - Parte 4: Modelo de referencia de procesos (Reporte tcnico) - Parte 5: Ejemplo de plan de implementacin para la norma ISO/IEC 20000-1 (Reporte tcnico) Un modelo de evaluacin de procesos para la gestin de procesos ser la tema de una futura parte 8.

DFSD



0 INTRODUCCIN Los requisitos de esta norma incluyen el diseo, transicin, entrega y mejora de servicios que cumplen los requisitos del servicio y proveen valor a los clientes y los proveedores del servicio. Esta norma requiere un enfoque integral de procesos una vez el proveedor del servicio planea, establece, implementa, opera, monitorea, revisa, mantiene y mejora un sistema de gestin del servicio SMS.

La integracin e implementacin coordinada de un SMS provee control continuo y oportunidades para la mejora continua y una mayor efectividad y eficiencia. La operacin de los procesos - tal como se especifica en esta norma - requiere una buena organizacin y coordinacin del personal. Se pueden usar las herramientas adecuadas para hacer que los procesos sean efectivos y eficientes.

Los proveedores de servicios ms efectivos consideran el impacto del SMS a travs de todas las etapas del ciclo de vida del servicio, incluyendo la estrategia, el diseo, transicin y operacin, incluyendo la mejora continua.

Esta norma requiere la aplicacin de la metodologa PHVA a todas las partes del SMS as como a los servicios. La metodologa PHVA aplicada en esta norma, puede ser descrita brevemente as:

Planear: Establecer, documentar y aprobar el SMS. El SMS incluye las polticas, objetivos, planes y procesos requeridos para cumplir los requisitos del servicio.

Hacer: Implementar y operar el SMS para el diseo, transicin, entrega y mejora de los servicios.

Verificar: Monitorear, medir y revisar el SMS y los servicios frente a las polticas, objetivos, planes y requisitos del servicio, y el reporte de los resultados.

Actuar: Tomar acciones para mejorar el desempeo del SMS y los servicios de forma continua.

La aplicacin del enfoque integral de procesos y la metodologa PHVA a un SMS, resalta los siguientes elementos:

a) Entender y cumplir los requisitos del servicio para alcanzar la satisfaccin del cliente; b) Establecer la poltica y objetivos para la gestin de servicios; c) Disear y entregar servicios - basados en el SMS - que aaden valor al cliente; d) Monitorear, medir y revisar el desempeo del SMS y de los servicios; e) Mejorar de forma continua el SMS y los servicios con base en mediciones objetivas.

La figura 1 ilustra como la metodologa PHVA puede ser aplicada al SMS incluyendo los procesos de gestin de servicios especificados en las clusulas 5 a la 9, y los servicios. Cada elemento de la metodologa PHVA es una parte vital de una implementacin exitosa de un SMS. El proceso de mejora usado en esta norma se basa en la metodologa PHVA.

PLANEAR

HACER

VERIFICAR

ACTUAR

Sistema de gestinde servicios

Procesos de gestinde servicios

Servicios

Figura 1 Metodologa PHVA aplicada a la gestin de servicios

DFSD



Esta norma permite a un proveedor de servicios integrar su SMS con otros sistemas de gestin en la organizacin del proveedor de servicios. La adopcin de un enfoque integrado de procesos y la metodologa PHVA le permite al proveedor de servicios alinear o integrar completamente mltiples sistemas de gestin. Por ejemplo, un SMS puede ser integrado con un sistema de gestin de la calidad basado en la norma ISO 9001 o un sistema de gestin de seguridad de la informacin basado en la norma ISO/IEC 27001. Esta norma es intencionalmente independiente de una gua especfica. El proveedor de servicios puede usar una combinacin de guas aceptadas as como su propia experiencia. Los usuarios de un estndar internacional son responsables por su aplicacin correcta. Un estndar internacional no declara el incluir todos los requisitos estatutarios y regulatorios y las obligaciones contractuales del proveedor de servicios. La conformidad frente a un estndar internacional no confiere inmunidad frente a requisitos estatutarios y/o regulatorios.

DFSD



SEGURIDAD SOCIETARIA - SISTEMAS DE GESTIN DE CONTINUIDAD DEL NEGOCIO REQUISITOS 1 ALCANCE 1.1. General Esta norma es un estndar internacional del sistema de gestin del servicio SMS. Especifica requisitos para que el proveedor del servicio planee, establezca, implemente, opere, monitoree, revise, mantenga y mejore un SMS. Los requisitos incluyen el diseo, transicin, entrega y mejora de servicios para cumplir los requisitos del servicio. Esta norma puede ser usada por: a) Una organizacin que busque servicios de proveedores y requiera asegurar que los requisitos de dichos servicios sean

cumplidos; b) Una organizacin que requiera un enfoque consistente para todos sus proveedores de servicios, incluyendo aquellos en una

cadena de suministro; c) Un proveedor de servicios que busque demostrar su capacidad para el diseo, transicin, entrega y mejora de servicios que

cumplen los requisitos de los servicios; d) Un proveedor de servicios para monitorear, medir y revisar sus procesos de gestin de servicios y sus servicios; e) Un proveedor de servicios para mejorar el diseo, transicin y entrega de servicios a travs de una implementacin y

operacin efectiva de un SMS; f) Un evaluador o auditor para obtener los criterios para la evaluacin de conformidad de un SMS de un proveedor de servicios

frente a los requisitos de esta norma. La figura 2 ilustra un SMS, incluyendo los procesos de gestin de servicios. El proceso de gestin de procesos y las relaciones entre los procesos pueden ser implementados en diferentes formas por diferentes proveedores de servicios. La naturaleza de las relaciones ente un proveedor de servicios y el cliente influenciarn como se implementan los procesos de gestin de servicio.

Requisitos de servicios

Clientes

(y otras partes

interesadas)

Responsabilidad

de la direccin

Establecer el SMS

Gobierno de procesos

operados por terceras

partes

Gestin de documentos

Gestin de recursos

Sistema de Gestin de Servicios - SMS

Diseo y transicin de Servicios(nuevos o con cambios)

Procesos de entrega de Servicios

Gestin de capacidad

Gestin de disponibilidad

y continuidad del servicio

Gestin nivel de servicio

Reportes de servicio

Seguridad de informacin

Presupuesto y contabilidad

para servicios

Gestin de configuracin

Gestin de cambios

Gestin de liberacin y entrega

Procesos de control

Procesos de relacin

Procesos de solucin

Gestin de incidentes y

solicitudes de servicio

Gestin de problemas

Gestin de relaciones

de negocios

Gestin de proveedores

Servicios

Clientes

(y otras partes

interesadas)

Figura 2 Sistema de gestin de servicios - SMS

DFSD



1.2. General Todos los requisitos de esta norma son genricos con la intencin de ser aplicables a todos los proveedores de servicios, sin importar su tipo, tamao y la naturaleza de los servicios entregados. No es aceptable la exclusin de cualquiera de los requisitos indicados en las clusulas 4 a la 9 cuando un proveedor indique conformidad con esta norma, sin importar la naturaleza de la organizacin prestadora de servicios. La conformidad de los requisitos indicados en las clusulas 4 a la 9 solo puede ser demostrada por un proveedor de servicios al mostrar evidencia de cumplimiento de los requisitos indicados en la clusula 4. Un proveedor de servicios no puede sustentar el cumplimiento de la clusula 4 con evidencia proporcionada por la direccin de procesos operados por terceras partes. La conformidad de los requisitos indicados en las clusulas 5 a la 9 solo puede ser demostrada por un proveedor de servicios al mostrar evidencia de cumplimiento de todos los requisitos de esta norma. Alternativamente, un proveedor de servicios puede mostrar evidencia de cumplimiento de la mayora de requisitos por s mismos y evidencia proporcionada por la direccin de procesos operados por terceras partes para esos procesos, o parte de esos procesos, que el proveedor de servicios no opere de manera directa. El alcance de esta norma excluye la especificacin para productos o herramientas. Sin embargo, las organizaciones pueden usar esta norma para ayudar a desarrollar productos o servicios que soporten la operacin del SMS. Nota: Esta norma provee gua en la definicin del alcance y aplicabilidad de la norma. Esto incluye explicacin adicional sobre el gobierno de procesos operados por terceras partes. 2 REFERENCIAS NORMATIVAS Los siguientes documentos referenciados son indispensables para la aplicacin de este documento. Para referencias con fecha, solo la edicin citada aplica. Para referencias sin fecha, aplica la ltima edicin del documento referenciado (incluyendo cualquier enmienda). No hay referencias normativas. Esta clusula es incluida para asegurar una estructura de numeracin idntica a la norma ISO/IEC 20000-2. 3 TRMINOS Y DEFINICIONES Para los propsitos de este documento, aplican los siguientes trminos y definiciones: 3.1 Disponibilidad Habilidad de un servicio o componente del servicio de realizar su funcin requerida en el instante acordado o sobre un perodo acordado de tiempo. Nota: La disponibilidad es normalmente expresada como una relacin o porcentaje del tiempo en el cual el servicio o el componente del servicio es actualmente disponible para su uso por el cliente por el tiempo acordado durante el cual el servicio debera estar disponible. 3.2 Lnea base de configuracin Informacin de configuracin designada formalmente en un tiempo especfico durante la vida de un servicio o de un componente del servicio.

Nota 1: La lnea base de configuracin junto a los cambios aprobados frente a esa lnea base, constituyen la informacin de configuracin actual.

Note 2: Adaptado de ISO/IEC/IEEE 24765:2010. 3.3 Elemento de la configuracin - CI Elemento que necesita ser controlado para entregar uno o ms servicios.

DFSD



3.4 Base de datos de gestin de la configuracin - CMDB Almacn de datos usado para registrar atributos de elementos de la configuracin y las relaciones entre tales elementos a travs de su ciclo de vida. 3.5 Mejora continua Actividad recurrente para incrementar la capacidad de cumplir los requisitos del servicio. Nota: Adaptado de ISO 9000:2005. 3.6. Accin correctiva Accin para eliminar la causa o reducir la probabilidad de recurrencia de una no conformidad detectada u otra situacin no deseada. Nota: Adaptado de ISO 9000:2005. 3.7 Cliente Organizacin o parte de una organizacin que recibe un servicio o grupo de servicios. Nota 1: Un cliente puede ser interno o externo a la organizacin proveedora de servicios. Nota 2: Adaptado de ISO 9000:2005. 3.8 Documento Informacin y su medio de soporte [ISO 9000:2005] Ejemplos: Polticas, planes, descripciones de procesos y procedimientos, acuerdos de nivel de servicio, contratos o registros. Nota 1: La documentacin puede estar en cualquier forma o tipo de medio. Nota 2: En ISO/IEC 20000, los documentos, a excepcin de los registros, indican una intencin de algo por lograr. 3.9 Efectividad Grado en el cual las actividades planeadas son realizadas y los resultados planeados son alcanzados. 3.10 Incidente Interrupcin no planeada de un servicio, una reduccin en la calidad de un servicio, o un evento que an no ha impactado el servicio frente al cliente. 3.11 Seguridad de la informacin. Preservacin de la confidencialidad, integridad y accesibilidad de la informacin. Nota 1: Adems, pueden estar involucradas otras propiedades tales como autenticidad, responsabilidad, no repudio y confiabilidad. Nota 2: El trmino disponibilidad no ha sido usado en esta definicin debido a que es un trmino definido en esta norma por lo cual no es apropiada. Nota 3: Adaptado de ISO/IEC 27000:2009. 3.12 Incidente de seguridad de la informacin Evento singular o serie de eventos no deseados o inesperados en seguridad de la informacin y que tienen una probabilidad significativa de comprometer las operaciones del negocio y amenazar la seguridad de la informacin. [ISO/IEC 27000:2009] 3.13 Parte interesada Persona o grupo que tiene un inters especfico en el desempeo o xito en la actividad o actividades del proveedor de servicios

DFSD



Ejemplos: Clientes, propietarios, administradores, personas en la organizacin proveedora del servicio, proveedores, bancos, sindicatos o aliados. Nota 1: Un grupo puede comprometer una organizacin, una parte de ella, o ms de una organizacin. Nota 2: Adaptado de ISO 9000:2005. 3.14 Grupo interno Parte de la organizacin proveedora del servicio que posee un acuerdo documentado con el proveedor del servicio para contribuir al diseo, transicin, entrega y mejora de un servicio o servicios. Nota: El grupo interno es externo al alcance del SMS del proveedor de servicios. 3.15 Error conocido Problema que tiene una causa raz identificada o mtodo para reducir o eliminar el impacto en un servicio al evitar el problema. 3.16 No conformidad No cumplimiento de un requisito [ISO 9000:2005] 3.17 Organizacin Grupo de personas e instalaciones con un acuerdo de responsabilidades, autoridades y relaciones. Ejemplos: Compaas, corporaciones, firmas, empresas, instituciones, organizaciones sin nimo de lucro, independientes, asociaciones, as como parte o combinaciones de stas. Nota 1: El acuerdo es generalmente ordenado. Nota 2: Una organizacin puede ser pblica o privada. [ISO 9000:2005] 3.18 Accin preventiva Accin para evitar o eliminar las causas o reducir la probabilidad de ocurrencia de una no conformidad potencial u otras situaciones no potenciales no deseables. Nota: Adaptado de ISO 9000:2005. 3.19 Problema Causa raz de uno o ms incidentes Nota: la causa raz no es usualmente conocida al momento que se registra el problema y el proceso de gestin de problemas es el responsable por su investigacin. 3.20 Procedimiento Forma especificada para realizar una actividad o un proceso. [ISO 9000:2005] Nota: Los procedimientos pueden estar o no documentados. 3.21 Proceso Conjunto de actividades interrelacionadas o interactuantes las cuales transforman entradas en salidas. [ISO 9000:2005] 3.22 Registro Documento que contiene resultados alcanzados o que provee evidencia de actividades realizadas. [ISO 9000:2005] Ejemplos: Reportes de auditoria, reportes de incidentes, registros de entrenamiento o actas de reuniones.

DFSD



3.23 Liberacin Coleccin de uno o ms elementos de configuracin, nuevos o modificados, desplegados en un ambiente de produccin como resultado de uno o ms cambios. 3.24 Solicitud de cambio. Propuesta de cambio a ser realizado a un servicio, componente de un servicio o el SMS. Notas: Un cambio a un servicio incluye la provisin de un nuevo servicio o la remocin de un servicio que no se requiere ms. 3.25 Riesgos Efecto de la incertidumbre en los objetivos. [ISO 31000:2009] Nota 1: Un efecto es una desviacin de lo esperado positiva o negativa. Nota 2: Los objetivos pueden tener diferentes aspectos (financieros, de salud y seguridad, ambientales) y pueden aplicar a niveles diferentes (a nivel estratgico, a lo largo de la organizacin, a un proyecto, o a un producto o servicio) Nota 3: El riesgo es a menudo caracterizado por referencia a los eventos y consecuencias potenciales, o combinacin de ellos. Nota 4: El riesgo es a menudo expresado en trminos de una combinacin de las consecuencias de un evento (incluyendo los cambios en las circunstancias) y la probabilidad asociada de ocurrencia. 3.26 Servicio Medios para la entrega de valor al cliente al facilitar los resultados que el cliente desea obtener. Nota 1: Los servicios son generalmente intangibles. Nota 2: Un servicio tambin puede ser entregado al proveedor de servicios por un proveedor, u grupo interno o un cliente actuando como proveedor. 3.27 Componente del servicio Unidad del servicio que al ser combinada con otras unidades permite entregar un servicio completo. Ejemplo: Hardware, software, herramientas, aplicaciones, documentacin, informacin, procesos o servicios de apoyo. Nota: Un componente de servicio puede consistir de uno o ms elementos de configuracin. 3.28 Continuidad del servicio Capacidad para gestionar riesgos y eventos que podran tener un impacto serio en uno o ms servicios para poder entregar los servicios de manera continua en los niveles acordados. 3.29 Acuerdo de nivel de servicio - SLA Acuerdo documentado entre el proveedor del servicio y el cliente que identifica los servicios y objetivos del servicio. Nota 1: Un acuerdo de nivel de servicio puede tambin ser establecido entre el proveedor del servicio y un proveedor, un grupo interno o un cliente actuando como proveedor. Nota 2: Un acuerdo de nivel de servicio puede ser incluido en un contrato o cualquier otro tipo de acuerdo documentado. 3.30 Gestin del servicio Conjunto de capacidades y procesos para dirigir y controlar las actividades y recursos del proveedor de servicios para el diseo, transicin, entrega y mejora de servicios para cumplir los requisitos del servicio. 3.31 Sistema de gestin del servicio - SMS Sistema de gestin para dirigir y controlar las actividades de gestin del servicio del proveedor del servicio.

DFSD



Nota 1: Un sistema de gestin es un conjunto de elementos interrelacionados o que interactan para establecer poltica y objetivos y para alcanzar tales objetivos. Nota 2: El SMS incluye todas las polticas, objetivos, planes, procesos, documentacin y recursos de gestin del servicio requeridos para el diseo, transicin, entrega y mejora de servicios y para cumplir los requisitos de esta norma. Nota 3: Adaptado de la definicin de sistema de gestin de la calidad en ISO 9000:2005. 3.32 Proveedor de servicios Organizacin o parte de una organizacin que gestiona y entrega un servicio o servicios al cliente. Nota: Un cliente puede ser interno o externo al proveedor de servicios de la organizacin. 3.33 Solicitud de servicios Solicitud para informacin, asesora, acceso a un servicio o un cambio pre-aprobado. 3.34 Requisito de servicios Necesidad del cliente y los usuarios del servicio, incluyendo requisitos del nivel del servicio y las necesidades del proveedor de servicios. 3.35 Proveedor Organizacin o parte de una organizacin que es externa a la organizacin proveedora de servicios y que suscribe un contrato con el proveedor del servicio para contribuir al diseo, transicin, entrega y mejora de uno o ms servicios o procesos. Nota: Los proveedores incluyen los proveedores lderes designados pero no sus proveedores subcontratados. 3.36 Alta direccin Persona o grupo de personas quienes dirigen y controlan el proveedor de servicios al ms alto nivel. Nota: Adaptado de ISO 9000:2005. 3.37 Transicin Actividades involucradas en mover un servicio nuevo o modificado hacia o desde el ambiente de produccin. 4 REQUISITOS GENERALES DEL SISTEMA DE GESTIN DE SERVICIOS 4.1 Responsabilidad de la direccin 4.1.1 Compromiso de la direccin La alta direccin debe proveer evidencia de su compromiso para planear, establecer, implementar, operar, monitorear, revisar, mantener y mejorar el SMS y los servicios al: a) Establecer y comunicar el alcance, poltica y objetivos para la gestin de servicios; b) Asegurar que el plan de gestin de servicios sea creado, implementado y mantenido para cumplir la poltica, lograr los

objetivos para la gestin del servicios y cumplir los requisitos de servicio; c) Comunicar la importancia de cumplir los requisitos del servicio; d) Comunicar la importancia de cumplir requisitos estatutarios y regulatorios y obligaciones contractuales; e) Asegurar la provisin de recursos; f) Conducir revisiones por parte de la alta direccin a intervalos planeados; g) Asegurar que los riesgos en los servicios sean evaluados y gestionados. 4.1.2 Poltica de gestin del servicio La alta direccin debe asegurar que la poltica de gestin del servicio:

DFSD



a) Es apropiada a los propsitos del proveedor del servicio; b) Incluye un compromiso para cumplir los requisitos del servicio; c) Incluye un compromiso para mejorar de manera continua la efectividad del SMS y los servicios a travs de la poltica en la

mejora continua (Clusula 4.5.5.1); d) Provee un marco de referencia para establecer y revisar los objetivos de gestin del servicio; e) Es comunicada y entendida por el personal del proveedor del servicio; f) Es revisado continuamente para su viabilidad. 4.1.3 Autoridad, responsabilidad y comunicacin La alta direccin debe asegurar que:

a) Se definen y se mantienen las autoridades y responsabilidades de la gestin del servicio; b) Se establecen y se implementan los procedimientos documentados para la comunicacin. 4.1.4 Representante de la direccin La alta direccin debe designar un miembro de la administracin del proveedor de servicio, quien, adems de otras responsabilidades, tiene la autoridad y responsabilidades que incluyen:

a) Asegurar que se realizan actividades para identificar, documentar y cumplir los requisitos del servicio; b) Asignar autoridades y responsabilidades para asegurar el diseo de los procesos de gestin del servicio; c) Asegurar que los procesos de gestin del servicio estn integrados con los dems componentes del SMS; d) Asegurar que los activos, incluyendo licencias, usados para entregar servicios son gestionados de acuerdo con los requisitos

estatutarios y regulatorios y las obligaciones contractuales; e) Reportar a la alta direccin sobre el desempeo y oportunidades de mejora del SMS y los servicios. 4.2 Gobierno de procesos operados por terceras partes Para los procesos indicados en las clusulas 5 a la 9, el proveedor de servicios deber identificar todos los procesos, o parte de esos procesos, los cuales son operados por terceras partes. Otras terceras partes pueden ser grupos internos, clientes o proveedores. El proveedor de servicios debe demostrar el gobierno de los procesos operados por terceras partes:

a) Demostrar responsabilidad para los procesos y autoridad para requerir adherencia a los procesos; b) Controlar la definicin de los procesos y las interfaces a otros procesos; c) Determinar el desempeo de los procesos y cumplimiento de los requisitos de los procesos; d) Controlar la planeacin y priorizacin de la mejora de procesos. Cuando un proveedor opera parte de procesos, el proveedor de servicios debe gestionar el proveedor a travs del proceso de gestin de proveedores. Cuando un grupo interno o un cliente operan partes del proceso, el proveedor de servicios debe gestionar el grupo interno o el cliente a travs del proceso de gestin de nivel de servicio. Nota: La norma ISO/IEC TR 20000-3 provee guas en la definicin y aplicabilidad de esta norma. Esta incluye explicaciones adicionales sobre el gobierno de procesos operados por terceras partes. 4.3 Gestin de la documentacin 4.3.1 Establecer y mantener documentos El proveedor de servicio deber establecer y mantener documentos, incluyendo los registros, para asegurar una efectiva planeacin, operacin y control del SMS. Estos documentos deben incluir: a) Poltica y objetivos documentados para la gestin del servicio; b) Plan documentado de gestin de servicios; c) Polticas y planes documentados creados para procesos especficos segn se requiere por esta norma; d) Catlogo de servicios documentado; e) SLA documentado;

DFSD



f) Procesos documentados de gestin de servicios; g) Procedimientos documentados y registros requeridos por esta norma; h) Documentos adicionales, incluyendo aquellos de origen externo, determinados por el proveedor de servicios como

necesarios para asegurar la operacin efectiva del SMS y la entrega de los servicios. 4.3.2 Control de documentos Los documentos requeridos por el SMS deben ser controlados. Los registros son un tipo especial de documentos y deben ser controlados de acuerdo con los requisitos dados en la clusula 4.3.3. Debe ser establecido un procedimiento documentado, incluyendo autoridades y responsabilidades, para definir los controles necesarios para:

a) Crear y aprobador documentos antes de su emisin; b) Comunicar a las partes interesados los documentos nuevos o modificados; c) Revisar y mantener documentos, segn sea necesario; d) Asegurar que se identifiquen los cambios y el control de versin de los documentos; e) Asegurar que las versiones relevantes de los documentos aplicables estn disponibles en los puntos de uso; f) Asegurar que los documentos sean fcilmente identificables y legibles; g) Asegurar que los documentos de origen externo sean identificados y su distribucin sea controlada; h) Prevenir el uso no intencional de documentos obsoletos y aplicar la identificacin apropiada su ellos son retenidos. 4.3.3 Control de registros Se deben mantener registros para demostrar conformidad frente a los requisitos y la operacin efectiva del SMS. Se debe establecer un procedimiento documentado para definir los controles necesarios para identificacin, almacenamiento, proteccin, recuperacin, retencin y eliminacin de registros. Los registros deben ser legibles, fcilmente identificables y recuperables. 4.4 Gestin de recursos 4.4.1 Provisin de recursos El proveedor de servicios debe determinar y proveer los recursos humanos, tcnicos, de informacin y financieros necesarios para: a) Establecer, implementar y mantener el SMS y los servicios, as como mejorar de manera continua su efectividad; b) Mejorar la satisfaccin del cliente al entregar servicios que cumplen los requisitos de los servicios. 4.4.2 Recursos humanos El personal del proveedor de servicios que realiza trabajos que pueda afectar la conformidad frente a los requisitos del servicio debe ser competente en trminos de una apropiada educacin, entrenamiento, destreza y experiencia. El proveedor del servicio deber: a) Determinar las competencias necesarias para el personal; b) Donde sea aplicable, proveer entrenamiento o tomar otras acciones para alcanzar las competencias necesarias; c) Evaluar la efectividad e las acciones tomadas; d) Asegurar que el personal sea consciente de como ellos contribuyen al logro de los objetivos de la gestin del servicio y el

cumplimiento de los requisitos del servicio; e) Mantener registros apropiados de educacin, entrenamiento, destrezas y experiencia. 4.5 Establecer y mejorar el SMS 4.5.1 Definicin del alcance El proveedor del servicio debe definir e incluir el alcance del SMS en el plan de gestin del servicio. El alcance debe ser definido por la unidad organizacional que provee los servicios, y los servicios a ser entregados.

DFSD



El proveedor del servicio tambin debe tener en cuenta otros factores que afecten los servicios a ser entregados, incluyendo:

a) Localizacin geogrfica desde las cuales el proveedor de servicios entrega los servicios; b) El cliente y su(s) sitio(s) de ubicacin; c) La tecnologa usada para entregar los servicios.

Nota: la norma ISO/IEC TR 20000-3 provee una gua sobre la definicin del alcance y la aplicabilidad de esta norma.

4.5.2 Planeacin del SMS

El proveedor del servicio debe crear, implementar y mantener un plan de gestin del servicio. La planeacin debe tener en cuenta la poltica de gestin del servicio, los requisitos del servicio y los requisitos de esta norma. El plan de gestin del servicio debe contener o incluir una referencia al menos a los siguientes elementos:

a) Los objetivos de gestin del servicio son alcanzados por el proveedor de servicios; b) Requisitos del servicio; c) Limitaciones conocidas las cuales puedan impactar al SMS; d) Polticas, estndares, requisitos estatutarios y regulatorios y las obligaciones contractuales: e) Marco de referencia de autoridades, responsabilidades y roles en los procesos; f) Autoridades y responsabilidades para los planes, procesos de gestin de servicios y servicios; g) Recursos humanos, tcnicos, de informacin y financieros necesarios para alcanzar los objetivos de gestin de servicios; h) Enfoque a ser aplicado para trabajar con otras partes involucradas en el diseo y transicin de procesos de servicios nuevos

o modificados; i) Enfoque a ser aplicado para las interfaces ente los procesos de gestin de servicios y la integracin con los otros

componentes del SMS; j) Enfoque a ser aplicado para la gestin del riesgo y el criterio de aceptacin de riesgos; k) Tecnologa usada para soportar el SMS; l) Como la efectividad del SMS y de los servicios ser medida, auditada, reportada y mejorada.

Los planes creados para procesos especficos deben alinearse con el plan de gestin de servicios. El plan de gestin de servicios y los planes creados para procesos especficos deben ser revisados a intervalos planeados y, de ser aplicable, actualizados.

4.5.3 Implementar y operar el SMS

El proveedor de servicios debe implementar y operar el SMS para el diseo, transicin, entrega y mejora de los servicios de acuerdo con el plan de gestin de servicios, a travs que actividades que incluyan como mnimo;

a) Asignacin y gestin de recursos financieros y presupuestales; b) Asignacin de autoridades, responsabilidades y roles en los procesos; c) Gestin de recursos humanos, tcnicos y de informacin; d) Identificacin, evaluacin y gestin de riesgos en los servicios; e) Gestin de procesos de gestin de servicios; f) Monitoreo y reporte del desempeo de actividades de gestin de servicios.

4.5.4 Monitorear y revisar el SMS

4.5.4.1 General

El proveedor de servicios deber utilizar mtodos adecuados para el monitoreo y medicin del SMS y de los servicios. Estos mtodos deben incluir auditoras internas y revisiones por parte de la direccin.

Los objetivos de todas las auditoras internas y las revisiones por la direccin deben estar documentados. Las auditoras internas y las revisiones por la direccin deben demostrar la habilidad del SMS y de los servicios para alcanzar los objetivos de gestin del servicio y cumplir los requisitos de servicio. Se deben identificar las no conformidades frente a los requisitos de esta norma, los requisitos del SMS identificados por el proveedor del servicio o los requisitos del servicio.

Los resultados de las auditoras internas y las revisiones por la direccin, incluyendo no conformidades, preocupaciones y acciones identificadas, deben ser registrados. Los resultados y acciones deben ser comunicada a las partes interesadas.

DFSD



4.5.4.2 Auditoria interna

El proveedor de servicios debe realizar auditora internas a intervalos planeados para determinar sobre el SMS y los servicios:

a) Cumplimiento de los requisitos de esta norma; b) Cumplimiento de los requisitos del servicio y de los requisitos del SMS identificados por el proveedor del servicio; c) Estn efectivamente implementados y mantenidos.

Debe existir un procedimiento documentado que incluya las autoridades y responsabilidades para la planeacin y realizacin de auditoras, el reporte de resultados y el mantenimiento de registros de auditoras.

Debe planearse un programa de auditora. Este debe tener en cuenta en el estado e importancia de los procesos y las reas a ser auditadas as como los resultados de auditoras previas. El criterio de auditora, alcance, frecuencia y mtodos, deben estar documentados.

La seleccin de auditores y la realizacin de auditoras deben asegurar la objetividad e imparcialidad de la auditora. Los auditores no deben auditar su propio trabajo.

Las no conformidades deben ser comunicadas, priorizadas y con responsabilidad asignada para las acciones. La administracin responsable para el rea siendo auditada debe asegurar que se toman correcciones y acciones correctivas - sin demora injustificada - para eliminar las no conformidades y sus causas. Las actividades de seguimiento deben incluir la verificacin de las acciones tomadas y el reporte de resultados.

Nota: Ver ISO 19011 para obtener una gua en la auditora de sistemas de gestin.

4.5.4.3 Revisin por la direccin

La alta direccin debe revisar el SMS y los servicios a intervalos planeados para asegurar su pertinencia y efectividad. Esta revisin debe incluir la evaluacin de oportunidades para la mejora y la necesidad de cambios en el SMS, incluyendo la poltica y objetivos para la gestin del servicio.

La entrada para las revisiones por la direccin debe incluir al menos informacin sobre:

a) Retroalimentacin del cliente; b) Desempeo y conformidad del servicio y procesos; c) Niveles de recursos - actuales y estimados - humanos, tcnicos, de informacin y financieros; d) Niveles de capacidades - actuales y estimados - humanas y tcnicas; e) Riesgos; f) Resultados y seguimientos de auditoras; g) Resultados y acciones de seguimiento de auditoras; h) Estado de acciones preventivas y correctivas; i) Cambios que puedan afectar el SMS y los servicios; j) Oportunidades para la mejora.

Se deben mantener registros de revisin por la direccin.

Los registros de la revisin por parte de la direccin deben incluir al menos decisiones y acciones relacionadas con recursos, mejora de la efectividad del SMS y mejora de los servicios.

4.5.5 Mantener y mejorar el SMS

4.5.5.1 General

Debe haber una poltica sobre mejora continua del SMS y los servicios. La poltica debe incluir criterios de evaluacin para las oportunidades de mejora.

Debe haber un procedimiento documentado que incluya las autoridades y responsabilidades para identificar, documentar, evaluar, aprobar, priorizar, gestionar, medir y reportar las mejoras.

DFSD



Deben estar documentadas las oportunidades de mejora, incluyendo las acciones correctivas y preventivas. Debe corregirse la causa de no conformidades identificadas. Se deben tomar acciones correctivas para eliminar la causa de no conformidades identificadas para prevenir su recurrencia. Las acciones preventivas deben ser tomadas para eliminar la causa de no conformidades potenciales para prevenir su ocurrencia. Para mayor informacin sobre acciones correctivas y preventivas, ver ISO 9001:2008, clusula 8.5. 4.5.5.2 Gestin de la mejora Deben priorizarse las oportunidades para la mejora. El proveedor de servicios debe usar los criterios de evaluacin establecidos en la poltica sobre mejora continua al tomar decisiones sobre oportunidades de mejora. Las mejoras aprobadas deben ser planeadas. El proveedor de servicios debe gestionar las actividades de mejora, las cuales deben incluir al menos: a) Establecer objetivos para mejoras en trminos de calidad, valor, capacidad, costos, productividad, utilizacin de recursos y

reduccin de riesgos; b) Asegurar que las mejoras aprobadas sean implementadas; c) Revisin de las polticas, planes, procesos y procedimientos de la gestin del servicio, donde sea necesario; d) Medicin de las mejoras implementadas frente a los objetivos establecidos, y en el evento de no alcanzar tales objetivos la

realizacin de acciones necesarias; e) Reporte de mejoras implementadas. 5 DISEO Y TRANSICIN DE SERVICIOS NUEVOS O MODIFICADOS 5.1 General El proveedor de servicios debe usar estos procesos para todos los nuevos servicios as como para las modificaciones a los servicios, que tengan un impacto importante al cliente. Las modificaciones que son realizadas en el alcance de la clusula 5 deben ser determinadas por la poltica de gestin del cambio acordada como parte del proceso de gestin del cambio. La evaluacin, aprobacin, programacin y revisin de servicios nuevos o modificados en el alcance de la clusula 5 deben ser controladas por el proceso de gestin del cambio. Los CI afectados por servicios nuevos o modificados en el alcance de la clusula 5 deben ser controlados por el proceso de gestin de la configuracin. El proveedor del servicio debe revisar las salidas de las actividades de planeacin y de diseo para servicios nuevos o modificados frene a los requisitos de servicios acordados y los requisitos relevantes dados en las clusulas 5.2 y 5.3. Con base en la revisin, el proveedor de servicios debe aceptar o rechazar las salidas. El proveedor de servicios debe tomas las acciones necesarias para asegurar que el desarrollo y transicin de servicios nuevos o modificados puedan ser realizados efectivamente, usando las salidas aceptadas. Nota: La necesidad de un nuevo servicio o la modificacin de un servicio puede originarse en el cliente, el proveedor de servicios, un grupo interno o un proveedor, para satisfacer necesidades de negocios o para mejorar la efectividad de los servicios. 5.2 Planeacin de servicios nuevos o modificados El proveedor de servicios debe identificar los requisitos de servicios para los servicios nuevos o modificados. Los servicios nuevos o modificados deben ser planeados para cumplir los requisitos del servicio. La planeacin de servicios nuevos o modificados debe ser acordada con el cliente y las partes interesadas.

DFSD



Como entrada a la planeacin, el proveedor de servicios debe tener en cuenta el impacto potencial a nivel financiero, organizacional y tcnico de la entrega de los servicios nuevos o modificados. El proveedor de servicios tambin debe tener en cuenta el impacto potencial de los servicios nuevos o modificados sobre el SMS.

La planeacin para servicios nuevos o modificados debe contener o incluir una referencia como mnimo a lo siguiente:

a) Autoridades y responsabilidades para actividades de diseo, desarrollo y transicin; b) Actividades a ser realizadas por el proveedor de servicios y otras partes incluyendo actividades a travs de interfaces desde

el proveedor de servicios a otras partes; c) Comunicacin a partes interesadas; d) Recursos humanos, tcnicos, de informacin y financieros; e) Escala de tiempo para actividades planeadas; f) Identificacin, evaluacin y gestin del riesgo; g) Dependencia en otros servicios; h) Pruebas requeridas para servicios nuevos o modificados; i) Criterios de aceptacin del servicio; j) Salidas esperadas de la entrega de los servicios nuevos o modificados, expresadas en trminos medibles.

Para servicios que van a ser removidos, el proveedor de servicios debe planear la remocin de esos servicios. La planeacin debe incluir la fecha de remocin, archivo, eliminacin o transferencia de datos, documentacin y componentes del servicio. Los componentes del servicio pueden incluir infraestructura y aplicaciones con sus licencias asociadas. El proveedor el servicio debe identificar otras terceras partes las cuales contribuyen a la provisin de componentes del servicio para servicios nuevos o modificados. El proveedor de servicio debe evaluar su capacidad para cumplir los requisitos de servicio.

Los resultados de la evaluacin y cualquier accin tomada deben ser registrados.

5.3 Diseo y desarrollo de servicios nuevos o modificados

Los servicios nuevos o modificados deben ser diseados y documentados de forma que se incluya como mnimo:

a) Autoridades y responsabilidades para la entrega de servicios nuevos o modificados; b) Actividades a ser realizadas por el proveedor de servicios, cliente y otras partes interesadas para la entrega de servicios

nuevos o modificados; c) Nuevos o modificados requisitos de recursos humanos, incluyendo requisitos para educacin, entrenamiento, destrezas y

experiencia adecuados; d) Requisitos de recursos financieros para la entrega de servicios nuevos o modificados; e) Nueva o modificada base tecnolgica para soportar la entrega de servicios nuevos o modificados; f) Planes y polticas nuevas o modificadas requeridas por esta norma; g) Contratos nuevos o modificados, as como otros acuerdos documentados, alineados con cambios en requisitos de servicio; h) Cambios al SMS; i) SLA nuevos o modificados; j) Actualizacin al catlogo de servicios; k) Procedimientos, mediciones e informacin a ser utilizada para la entrega de servicios nuevos o modificados;

El proveedor de servicios debe asegurar que el diseo permite a los servicios nuevos o modificados el cumplir con los requisitos del servicio.

Los servicios nuevos o modificados deben ser desarrollados de acuerdo con el diseo documentado.

Nota: Para mayor informacin acerca de diseo, ver el proceso de diseo y desarrollo de la norma ISO 9001:2008, clusula 7.3, o el proceso de diseo arquitectnico indicado en la norma ISO/IEC 15288:2008, clusula 6.4.3.

5.4 Transicin de servicios nuevos o modificados

Los servicios nuevos o modificados deben ser probados para verificar que ellos cumplen los requisitos del servicio y del diseo documentado. Los servicios nuevos o modificados deben ser verificados frente a los criterios acordados de aceptacin del servicio tanto por el proveedor del servicio como por las partes interesadas. Si no se alcanzan los criterios de aceptacin del servicio, el proveedor del servicio y las partes interesadas deben tomar decisiones sobre acciones necesarias y su despliegue.

DFSD



El proceso de gestin de liberacin y despliegue debe ser usado para desplegar servicios nuevos o modificados en ambientes de produccin. Una vez finalizadas las actividades de transicin, el proveedor de servicios debe reportar a las partes interesada sobre los resultados alcanzados frente los resultados esperados. 6 PROCESO DE ENTREGA DE SERVICIOS 6.1 Gestin del nivel de servicio El proveedor del servicio deber acordar con el cliente los servicios a ser entregados. El proveedor del servicio deber acordar con el cliente un catlogo de servicios. El catlogo de servicios debe incluir las dependencias entre servicios y componentes de los servicios. Para cada servicio entregado, debe acordar uno o ms SLA con el cliente. Al crear un SLA, el proveedor del servicio debe tener en cuenta los requisitos del servicio. El SLA debe incluir los objetivos de servicio acordados, caractersticas de carga de trabajo y excepciones. El proveedor de servicios debe revisar los servicios y SLA con el cliente a intervalos planeados. Los cambios a los requisitos del servicio documentados, catlogos de servicios, SLA y otros acuerdos documentados deben ser controlados por el proceso de gestin de cambios. El catlogo de servicios debe ser mantenido despus de realizar cambios a los servicios y SLA para asegurar que estn alineados. El proveedor de servicios debe monitorear tendencias y desempeo frente a los objetivos de servicio a intervalos planeados. Los resultados deben ser registrados y revisados para identificar causas de no conformidades y oportunidades de mejora. Para los componentes de servicio suministrados por un grupo interno o el cliente, el proveedor del servicio debe desarrollar, acordar, revisar y mantener un acuerdo documentado para definir las actividades e interfaces entre las partes. EL proveedor del servicio debe monitorear el desempeo del grupo interno o el cliente frente a los objetivos de servicio acordados y otros compromisos acordados, a intervalos planeados. Los resultados deben ser registrados y revisados para identificar las causas de no conformidades y oportunidades para la mejora. 6.2 Reporte de servicios La descripcin de cada reporte de servicios, incluyendo su identificacin, propsito, audiencia, frecuencia y detalles de la fuente de datos, debe estar documentada y acordada por el proveedor del servicio y las partes interesadas. El reporte de servicio debe ser producido para servicios usando informacin de la entrega de servicios y las actividades del SMS, incluyendo los procesos de gestin del servicio. Los reportes de servicios deben incluir al menos: a) Desempeo frente a los objetivos del servicio; b) Informacin relevante sobre eventos significativos incluyendo al menos incidentes principales, despliegue de servicios

nuevos o modificados y el plan de continuidad del servicio invocado; c) Caractersticas de carga de trabajo incluyendo volmenes y cambios peridicos en la carga de trabajo; d) No conformidades detectadas frente a los requisitos de esta norma, los requisitos del SMS o los requisitos del servicio, y sus

causas identificadas; e) Informacin de tendencias; f) Medicin de satisfaccin del cliente, quejas del servicio y resultados del anlisis de medicin de satisfaccin y quejas. El proveedor del servicio debe tomar decisiones y realizar acciones con base en los hallazgos de los reportes de servicio, Las acciones acordadas deben ser comunicadas a las partes interesadas.

DFSD



6.3 Gestin de la continuidad y disponibilidad del servicio 6.3.1 Requisitos de la continuidad y disponibilidad del servicio El proveedor de servicios debe evaluar y documentar los riesgos a la continuidad y disponibilidad de los servicios. El proveedor de servicios debe identificar y acordar con el cliente y otras partes interesadas los requisitos de continuidad y disponibilidad de los servicios. Los requisitos acordados deben tener en cuenta los planes de negocios aplicables, los requisitos de servicio, los SLA y los riesgos. Los requisitos acordados de continuidad y disponibilidad del servicio deben incluir como mnimo: a) Derechos de acceso a los servicios; b) Tiempo de respuesta de los servicios; c) Disponibilidad de los servicios de extremo a extremo. 6.3.2 Planes de la continuidad y disponibilidad del servicio El proveedor del servicio debe crear, implementar y mantener un plan de continuidad del servicio y un plan de disponibilidad del servicio. Los cambios a estos planes deben ser controlados por el proceso de gestin del cambio. El plan de continuidad del servicio debe incluir como mnimo: a) Procedimientos a ser implementados en el evento de una prdida mayor del servicio, o referencia a ellas; b) Objetivos de disponibilidad al invocar el plan de disponibilidad del servicio; c) Requisitos de recuperacin; d) Enfoque para el retorno a las condiciones normales de trabajo. El plan de continuidad del servicio, la lista de contactos y el CMDB deben permanecer accesibles cuando no se permite el acceso a las instalaciones normales de prestacin del servicio. El plan de disponibilidad del servicio deben incluir como mnimo los requisitos y objetivos de disponibilidad del servicio. El proveedor del servicio debe evaluar el impacto de solicitudes de cambio en los planes de continuidad del servicio y los planes de disponibilidad del servicio. Nota: Los planes de continuidad del servicio y los planes de disponibilidad del servicio pueden ser combinados en un mismo documento. 6.3.2 Monitoreo y pruebas de la continuidad y disponibilidad del servicio La disponibilidad de servicios debe ser monitoreada y los resultados registrados y comparados frente a los objetivos acordados. La no disponibilidad no acordada debe ser investigada y tomar las acciones necesarias. Los planes de continuidad del servicio deben ser probados frente a los requisitos de continuidad del servicio. Los planes de disponibilidad del servicio deben ser probados frente a los requisitos de disponibilidad del servicio. Los planes de continuidad y de disponibilidad del servicio deben ser vueltos a probar luego de la realizacin de cambios mayores al ambiente de servicios en el cual opera el proveedor del servicio. Los resultados de las pruebas deben ser registrados. Las revisiones deben ser realizadas despus de cada prueba y despus de la invocacin del plan de continuidad del servicio. Cuando se encuentran deficiencias, el proveedor del servicio debe tomar las acciones necesarias y reportar las acciones tomadas. 6.4 Presupuesto y contabilidad de servicios Debe haber una interfaz definida entre el presupuesto y contabilidad para procesos de servicios y otros procesos de gestin financiera.

DFSD



Deben existir polticas y procedimientos documentados para:

a) Presupuesto y contabilidad de los componentes de servicios, incluyendo como mnimo: 1) Activos incluyendo licencias utilizadas para proveer los servicios, 2) Recursos compartidos, 3) Gastos generales, 4) Costos de capital y operacionales, 5) Servicios suministrados de forma externa, 6) Personal, 7) Instalaciones;

b) Prorrateo de costos indirectos y localizacin de costos directos a los servicios, para proveer un costo general por servicio; c) Control y aprobacin financiera efectiva.

Los costos deben presupuestarse para permitir el control financiero efectivo y la toma de decisiones para la entrega de servicios.

El proveedor de servicios debe monitorear y reportar los costos frente al presupuesto, revisar las estimaciones financieras y gestionar los costos.

Se debe proveer informacin al proceso de gestin del cambio para soportar los costos de solicitudes de cambio.

Nota: Muchos proveedores de servicios cobran por sus servicios. El alcance del presupuesto y contabilidad de los servicios excluye tales cargos. 6.5 Gestin de la capacidad

Los proveedores de servicios deben identificar y acordar los requisitos de capacidad y desempeo con clientes y partes interesadas.

Los proveedores de servicios deben crear, implementar y mantener un plan de capacidad teniendo en cuenta los recursos humanos, tcnicos, de informacin y financieros. Los cambios al plan de capacidad deben ser controlados por el proceso de gestin de cambios.

El plan de capacidad debe incluir al menos:

a) Demanda actual y pronosticada de servicios; b) Impacto esperado de requisitos acordados de disponibilidad, continuidad del servicio y niveles de servicio; c) Escalas de tiempo, tolerancias y costos de actualizacin a la capacidad del servicio; d) Impacto potencial de cambios estatutarios, regulatorios, contractuales u organizacionales; e) Impacto potencial de nuevas tecnologas y nuevas tcnicas; f) Procedimientos para permitir anlisis predictivos o referencias a ellos.

El proveedor del servicio debe monitorear el uso de la capacidad, analizar los datos de capacidad y afinar el desempeo. El proveedor del servicio debe proveer suficiente capacidad para cumplir los requisitos acordados de capacidad y desempeo. 6.6 Gestin de seguridad de la informacin 6.6.1 Poltica de seguridad de la informacin

La direccin, con la autoridad apropiada, debe aprobar una poltica de seguridad de la informacin teniendo en cuenta los requisitos del servicio, los requisitos estatutarios y regulatorios, y obligaciones contractuales. La administracin debe:

a) Comunicar la poltica de seguridad de la informacin y la importancia de cumplir dicha poltica, al personal apropiado dentro del proveedor de servicios, clientes y proveedores;

b) Asegurar que se establecen los objetivos de gestin de seguridad de la informacin; c) Definir el enfoque para la gestin de los riesgos de seguridad de la informacin y los criterios de aceptacin del riesgo; d) Asegurar que se realiza la evaluacin del riesgo de seguridad de la informacin a intervalos planeados; e) Asegurar que se realizan auditoras internas de seguridad de la informacin; f) Asegurar que se revisa los resultados de las auditoras para identificar oportunidades de mejora.

DFSD



6.6.2 Controles de seguridad de la informacin El proveedor de servicios debe implementar y operar controles fsicos, administrativos y tcnicos de seguridad de la informacin para: a) Preservar la confidencialidad, integridad y accesibilidad de los activos de informacin; b) Cumplir los requisitos de la poltica de seguridad de la informacin; c) Lograr los objetivos de gestin de seguridad de la informacin; d) Gestionar los riesgos relacionados a la seguridad de la informacin. Estos controles de seguridad de la informacin deben ser documentados y deben describir los riesgos a los cuales se relacionan los controles, su operacin y mantenimiento. El proveedor de servicios debe revisar la efectividad de los controles de seguridad de la informacin. El proveedor de servicios debe tomar las acciones necesarias y reportar las acciones tomadas. El proveedor de servicios debe identificar las organizaciones externas que tienen necesidad de acceder a, usar o gestionar la informacin o servicios del proveedor de servicios. El proveedor de servicios debe documentar, acordar e implementar los controles de seguridad de informacin con esas organizaciones externas. 6.6.3 Cambios e incidentes en seguridad de la informacin Las solicitudes para cambios deben ser evaluadas para identificar: a) Riesgos de seguridad de la informacin, nuevos o modificados; b) Impacto potencial en la poltica y controles existentes en seguridad de la informacin. Los incidentes de seguridad de la informacin deben ser gestionados usando procedimientos de gestin de incidentes, con una prioridad apropiada a los riesgos de seguridad de la informacin. El proveedor de servicios debe analizar los tipos, volmenes e impactos de los incidentes de seguridad de la informacin. Los incidentes de seguridad de la informacin deben ser reportados y revisados para identificar oportunidades para la mejora. Nota: La familia de estndares ISO/IEC 27000 especifican requisitos y proveen guas para soportar la implementacin y operacin de un sistema de gestin de seguridad de la informacin. 7 PROCESOS DE RELACIONES 7.1 Gestin de procesos de relaciones El proveedor de servicios debe identificar y documentar los clientes, usuarios y dems partes interesadas de los procesos. Para cada cliente, el proveedor de servicios debe haber designado un individuo quien es responsable por gestionar las relaciones con el cliente y la satisfaccin del cliente. El proveedor de servicios debe establecer un mecanismo de comunicacin con el cliente. El mecanismo de solucin debe promover el entendimiento del ambiente de negocios en el cual opera el servicio y los requisitos para servicios nuevos o modificados. Esta informacin debe permitir al proveedor de servicios responder a esos requisitos. El proveedor de servicios debe revisar con el cliente el desempeo de los servicios a intervalos planeados. Los cambios a los requisitos documentados del servicio deben ser controlados por el proceso de gestin del cambio. Los cambios al SLA deben ser coordinados con el proceso de gestin de nivel de servicio. La definicin de una queja de servicio debe ser acordada con el cliente. Debe haber un procedimiento documentado para gestionar las quejas del servicio del cliente. El proveedor de servicio debe registrar, investigar, actuar con base en lo anterior, reportar y cerrar las quejas de servicio. De no resolverse una queja de servicio usando los canales normales, debe proveerse al cliente un mecanismo para escalar dicha queja.

DFSD



El proveedor de servicio debe medir la satisfaccin del cliente a intervalos planeados con base en una muestra representativa de los clientes y usuarios de los servicios. Los resultados deben analizarse y revisarse para identificar oportunidades de mejora. 7.2 Gestin de proveedores El proveedor de servicio puede usar proveedores para implementar y operar algunas partes del proceso de gestin de servicio. Un ejemplo de relaciones en la cadena de suministro se ilustra en la figura 3.

Proveedor 1

Proveedor 2

Proveedor lder

Proveedorde servicios

Cliente

Proveedorsubcontratado

Figura 3 Relaciones en la cadena de suministro

Para cada proveedor, el proveedor de servicios debe haber designado un individuo quien es responsable por gestionar dicha relacin, el contrato y el desempeo del proveedor. El proveedor de servicios y el proveedor deben acordar un contrato documentado. Este debe contener o incluir referencia a:

a) Alcance de los servicios a ser entregados por el proveedor; b) Dependencias entre servicios, proveedores y las partes; c) Requisitos a ser cumplidos por el proveedor; d) Objetivos de servicio; e) Interfaces entre procesos de gestin del servicio operados por el proveedor y otras partes; f) Integracin de las actividades del proveedor dentro del SMS; g) Caractersticas de la carga de trabajo; h) Excepciones del contrato y cmo ests sern manejadas; i) Autoridades y responsabilidades del proveedor de servicios y el proveedor; j) Reportes y comunicaciones a ser suministrado por el proveedor; k) Bases para el cobro; l) Actividades y responsabilidades para la terminacin esperada o anticipada del contrato y la transferencia de servicios hacia

una tercera parte. El proveedor de servicios debe acordar con el proveedor del servicio niveles para soportar y alinearse con el SLA suscrito entre el proveedor del servicio y el cliente. El proveedor del servicio debe asegurar que los roles, y las relaciones entre, proveedores lderes y subcontratistas, estn documentadas. El proveedor de servicios debe verificar que los proveedores lderes manejen sus proveedores subcontratados para cumplir las obligaciones contractuales. El proveedor de servicios debe monitorear el desempeo del proveedor a intervalos planeados. El desempeo debe ser medido frente a los objetivos de servicio y otras obligaciones contractuales. Los resultados deben ser registrados y revisados para identificar las causad de no conformidades y oportunidades de mejora. La revisin debe tambin asegurar que los contratos reflejan los requisitos actuales. Los cambios a los contratos deben ser controlados por el proceso de gestin del cambio. Debe haber un procedimiento documentado para gestionar las disputas contractuales que surjan entre el proveedor de servicios y el proveedor.

Nota 1: El alcance del proceso de gestin de proveedores excluye la seleccin de proveedores y la adquisicin de servicios.

Nota 2: La norma ISO/IEC TR 20000-3 muestra ejemplos adicionales de relaciones de la cadena de suministro.

DFSD



8 PROCESOS DE SOLUCIN 8.1 Gestin de incidentes y solicitud de servicios Debe haber un procedimiento documentado para todos los incidentes para definir:

a) Registro; b) Asignacin de prioridad; c) Clasificacin; d) Actualizacin de registros; e) Escalado de incidentes; f) Solucin de incidentes; g) Cierre. Debe haber un procedimiento documentado para gestionar el desarrollo de las solicitudes de servicios desde el registro hasta su cierre. Los incidentes y solicitudes de servicios deben ser gestionados segn los procedimientos. Al priorizar incidentes y solicitudes de servicios, el proveedor de servicios debe tener en cuenta el impacto y la urgencia del incidente o de la solicitud de servicio. El proveedor de servicios debe asegurar que el personal involucrado en el proceso de gestin de incidentes y solicitudes de servicio pueda acceder y utilizar la informacin relevante. La informacin relevante debe incluir los procedimientos de gestin de solicitud de servicios, errores conocidos, solucin de problemas y el CMDB. La informacin acerca del xito o falla de liberacin de servicios y futuras fechas de liberacin, de los procesos de gestin de liberacin y despliegue de servicios, debe usarse por el proceso de gestin de incidentes y solicitud de servicios. El proveedor de servicios debe mantener informado al cliente sobre el progreso del incidente reportado o solicitud de servicio. Si los objetivos de servicio no pueden ser alcanzados, el proveedor de servicios debe informar al cliente y otras partes interesadas y escalar segn el procedimiento. El proveedor de servicios debe documentar y acordar con el cliente la definicin de incidente mayor. Los incidentes mayores deben ser clasificados y gestionados de acuerdo a un procedimiento documentado. La alta direccin debe ser informada de los incidentes mayores. La alta direccin debe asegurar que se designe un individuo responsable para gestionar los incidentes mayores. Despus que el servicio acordado ha sido restaurado, los incidentes mayores deben ser revisados para identificar oportunidades de mejora. 8.2 Gestin de problemas Debe haber un procedimiento documentado para identificar problemas y minimizar o evitar el impacto de incidentes o problemas. El procedimiento para gestin de problemas debe definir:

a) Identificacin; b) Registro; c) Priorizacin; d) Clasificacin; e) Actualizacin de registros; f) Escalado; g) Solucin; h) Cierre. Los problemas deben ser gestionados de acuerdo con el procedimiento. El proveedor del servicio debe analizar datos y tendencias en los incidentes y problemas para identificar las causas raz y su accin preventiva potencial. Los problemas que requieran cambios a un CI deben ser resueltos al elevan una solicitud de cambio.

DFSD



Una vez la causa raz ha sido identificado, pero el problema an no ha sido permanente resuelto, el proveedor del servicio debe identificar acciones para reducir o eliminar el impacto del problema en los servicios. Los problemas conocidos deben registrarse. La efectividad de solucin de problemas debe ser monitoreada, revisada y reportada. Debe proveerse informacin actualizada sobre errores conocidos y solucin de problemas para su uso en el proceso de gestin de incidentes y solicitud de servicios. 9 PROCESOS DE CONTROL 9.1. Gestin de la configuracin Debe existir una definicin documentada de cada tipo de CI. La informacin registrada para cada CI debe asegurar un control efectivo e incluir como mnimo: a) Descripcin del CI; b) Relaciones entre el CI y otros CI; c) Relaciones entre el CI y los componentes del servicio; d) Estado; e) Versin; f) Localizacin; g) Solicitudes asociadas para cambio; h) Problemas y errores conocidos asociados. Los CI deben ser identificados de forma individual y registrados en un CMDB. El CMDB debe ser gestionado para asegurar su confiabilidad y precisin, incluyendo el control de acceso actualizado. Debe haber un procedimiento documentado para registrar, controlar y rastreo de versiones de la CI. El grado de control debe mantener la integridad de los servicios y los componentes del servicio teniendo en consideracin los requisitos del servicio y los riesgos asociados con el CI. El proveedor de servicio debe auditar los registros almacenados en el CMDB, a intervalos planeados. Cuando se encuentren deficiencias, el proveedor de servicios debe tomar las acciones necesarias y reportar las acciones tomadas. Se debe proveer informacin del CMDB al proceso de gestin de cambios para soportar la evaluacin de solicitudes de cambio. Los cambios al CMDB deben ser rastreables y auditables para asegurar la integridad de los CI y los datos en el CMDB. Se debe tomar una lnea base de configuracin de los CI afectados antes de desplegar un servicio en un ambiente de produccin. Las copias maestras de los CI registrados en el CMDB deben ser almacenados en libreras fsicas o electrnicas referenciadas por los registros de configuracin. Esto debe incluir al menos documentacin, informacin de licencias, software, y donde est disponible, imgenes de la configuracin del hardware. Debe haber una interface definida entre el proceso de gestin de configuracin y el proceso de gestin financiera de activos. Nota: El alcance del proceso de gestin de la configuracin excluye la gestin financiera de activos. 9.2 Gestin del cambio Se debe establecer una poltica de gestin del cambio que defina:

a) Los CI que estn bajo control de la gestin de cambios; b) Criterios para determinar cambios con potencial de gran impacto en los servicios o el cliente. La remocin de un servicio debe ser clasificado como un cambio a un servicio con el potencial de gran impacto.

DFSD



La transferencia de un servicio desde el proveedor del servicio al cliente o una tercera parte debe ser clasificado como un cambio a un servicio con el potencial de gran impacto. Debe haber un procedimiento documentado para registrar, clasificar, evaluar y aprobar solicitudes para cambio. El proveedor de servicio debe documentar y acordar con el cliente la definicin de un cambio de emergencia. Debe haber un procedimiento documentado para gestionar los cambios de emergencia. Todos los cambios a un servicio o a un componente de servicios deben ser realizados utilizando una solicitud de cambios. Las solicitudes para cambios deben tener un alcance definido. Todas las solicitudes de cambios deben ser registradas y clasificadas. Las solicitudes para cambios clasificadas con potencial para producir un impacto importante en los servicios o los clientes deben ser gestionados utilizando el proceso de diseo y transicin de servicios nuevos o modificados. Las dems solicitudes de cambios a los CI definidas en la poltica de gestin de cambios deben ser gestionadas utilizando el proceso de gestin del cambio. Las solicitudes para cambio deben ser evaluadas utilizando informacin del proceso de gestin de cambio y otros procesos. El proveedor de servicios y las partes interesadas deben tomar decisiones sobre la aceptacin de solicitudes de cambio. La toma de decisiones debe tener en cuenta los riesgos, los impactos potenciales a los servicios y al cliente, requisitos de servicios, beneficios de negocios, viabilidad tcnica y el impacto financiero. Los cambios aprobados deben ser desarrollados y probados. Debe establecerse, y comunicarse a las partes interesadas, un programa de cambios el cual debe contener detalles de los cambios aprobados y sus fechas propuestas de despliegue. El programa de cambio deber ser usado como base para planear el despliegue de servicios. Deben planearse, y donde sea posible probarse, las actividades requeridas para reversar o remediar un cambio no exitosa. El cambio debe ser reversado o remediado si no es exitoso. Los cambios no exitosos deben ser investigados y se deben tomar acciones acordadas. Los registros del CMDB deben ser actualizados con el despliegue exitoso de cambios. El proveedor de servicios debe revisar la efectividad de los cambios y tomar las acciones acordadas con las partes interesadas. Las solicitudes de cambio deben ser analizadas a intervalos planeados para detectar tendencias. Los resultados y conclusiones resultantes del anlisis deben ser registrados y revisados para identificar oportunidades de mejora. 9.3 Gestin de publicaciones y despliegue El proveedor de servicios debe establecer y acordar con el cliente una poltica de liberacin que indique la frecuencia y tipo de publicaciones del servicio. El proveedor del servicio debe planear con el cliente y otras partes interesadas el despliegue de servicios nuevos o modificados y los componentes del servicios en el ambiente de produccin, Debe coordinarse la planeacin con el proceso de gestin de cambios e incluir referencias a las solicitudes de cambio relacionadas, errores conocidos y problemas que estn siendo cerrados con dicha publicacin. La planeacin debe incluir las fechas para desplegar dicha publicacin, los entregables y mtodos para el despliegue. El proveedor de servicios debe documentar y acordar con los clientes la definicin de una publicacin de emergencia. Las publicaciones de emergencia deben ser gestionadas de acuerdo a un procedimiento documentado que realiza la interfaz al procedimiento de cambio por emergencias.

DFSD



Las publicaciones deben ser construidas y probadas antes de su despliegue. Un ambiente controlado de aceptacin de pruebas debe ser usado para construir y probar tales publicaciones. Los criterios de aceptacin de la publicacin deben ser acordados con los clientes y otras partes interesadas. La publicacin debe ser verificada - frente a los criterios de aceptacin acordados y aprobados - antes de su despliegue. Si no se logran los criterios de aceptacin, el proveedor de servicios debe decidir sobre las acciones necesarias y el despliegue con las partes interesadas. La publicacin debe ser desplegada en el ambiente de produccin de tal forma que se mantenga la integridad del hardware, software y otros componentes del servicio durante el despliegue de la publicacin. Deben planearse las actividades requeridas para reversar o remediar un despliegue no exitoso, y donde sea posible probarse. El despliegue de la publicacin debe ser reversado o remediado de ser no exitoso. Las publicaciones no exitosas deben ser investigadas y tomar acciones acordadas. El xito o falla de publicaciones debe ser monitoreado y analizado. Las mediciones deben incluir incidentes relacionados a una publicacin en el perodo posterior al despliegue de dicha publicacin. El anlisis debe incluir la evaluacin del impacto de la publicacin sobre el cliente. Los resultados y conclusiones obtenidas del anlisis deben ser registrados y revisados para identificar oportunidades de mejora. Debe proporcionarse informacin sobre el xito o falla de publicaciones y publicaciones futuras, al proceso de gestin de cambios y al proceso de gestin de incidentes y solicitud de servicios. Debe proveerse informacin al proceso de gestin del cambio para soportar la evaluacin del impacto de solicitudes de cambio en las publicaciones y los planes de despliegue. BIBLIOGRAFIA [1] ISO/IEC 20000-2:2005, Information technology Service management Part 2: Code of practice [2] ISO/IEC TR 20000-3, Information technology Service management Part 3: Guidance on scope definition and

applicability for ISO/IEC 20000-1 [3] ISO/IEC TR 20000-4, Information technology Service management Part 4: Process reference model [4] ISO/IEC TR 20000-5, Information technology Service management Part 5: Exemplar implementation plan for ISO/IEC

20000-1 [5] ISO 9000:2005, Quality management systems Fundamentals and vocabulary [6] ISO 9001, Quality management systems Requirements [7] ISO 9004:2000, Quality management systems Guidelines for performance improvements [8] ISO 10002, Quality management Customer satisfaction Guidelines for complaints handling in organizations [9] ISO 10007, Quality management systems Guidelines for configuration management [10] ISO/IEC 15288, Systems and software engineering System life cycle processes [11] ISO/IEC 15504-1, Information technology Process assessment Part 1: Concepts and vocabulary [12] ISO/IEC 15504-2, Information technology Process assessment Part 2: Performing an assessment [13] ISO/IEC 15504-3, Information technology Process assessment Part 3: Guidance on performing an assessment [14] ISO 19011, Guidelines for quality and/or environmental management systems auditing [15] ISO/IEC 19770-1, Information technology Software asset management Part 1: Processes [16] ISO/IEC/IEEE 24765:2010, Systems and software engineering Vocabulary [17] ISO/IEC 27000:2009, Information technology Security techniques Information security management systems

Overview and vocabulary [18] ISO/IEC 27001, Information technology Security techniques Information security management systems

Requirements [19] ISO/IEC 27005, Information technology Security techniques Information security risk management [20] ISO 31000, Risk management Principles and guidelines

iso 20000-1 (sp)

Documents