Upload
vanlien
View
225
Download
1
Embed Size (px)
Citation preview
NORMA TECNICA NICARAGÜENSE
TECNOLOGÍA DE LA INFORMACIÓN
GESTIÓN DEL SERVICIO
PARTE 1: REQUISITOS DEL SISTEMA DE GESTIÓN
DEL SERVICIO (SGS)
NTN
21 002-13
NORMA TÉCNICA NICARAGÜENSE
Com
isió
n N
aci
on
al
de
Norm
ali
zaci
ón
Téc
nic
a y
Cali
dad
, M
inis
teri
o d
e F
om
ento
, In
du
stri
a y
Com
erci
o
Tel
efax:
22489300 E
xt.
2228. N
orm
a T
écn
ica N
icara
gü
ense
(N
TN
)
ICS 35.020, 03.080.99 NTN 21 002-13 Mayo 2013 1/35
Esta norma técnica es una adopción de la norma española UNE-ISO/IEC 20000-1:2011
equivalente a la Norma Internacional ISO/IEC 20000-1:2011
Derecho de reproducción reservado
NTN 21 002-13
Continúa
2/35
La Norma Técnica Nicaragüense denominada NTN 21 002-13 Tecnología de la información -
Gestión del servicio - Parte 1: Requisitos del sistema de gestión del servicio (SGS), ha sido
preparada por el Comité técnico en su elaboración participaron las siguientes personas:
Adolfo Marcelo Gaitán Gutiérrez Banco Central de Nicaragua
Raduan José Villalta Saavedra CONICYT/Vicepresidencia
Ligia Méndez Flores Dirección General de Servicios Aduaneros
José Bladimir García Sánchez Dirección General de Ingresos
Norberto Olivares Zavala Dirección General de Ingresos
Claudia María Benites Hernández Instituto Nicaragüense de Telecomunicaciones y
Correos
Hans Humberto Espinoza Acuña Ministerio de Hacienda y Crédito Público
Silvia Elena Sirias Alvarado Ministerio de Hacienda y Crédito Público
José Torres Gómez Ministerio de Hacienda y Crédito Público
Carlos Rodrigo Chavarría Juárez Ministerio de Gobernación
Huascar Mauricio López Álvarez Superintendencia de Bancos y Otras Instituciones
Financieras
Alberto Abdel Jarquín Hernández Superintendencia de Bancos y Otras Instituciones
Financieras
Fernando José López González Universidad Nacional Autónoma de Nicaragua,
Managua
Esta norma fue aprobada por el Comité Técnico en su última sesión de trabajo el día Martes 7 de Mayo del
2013.
NTN 21 002-13
Continúa
3/35
I. INTRODUCCIÓN
Generalidades
Los requisitos de esta parte de la Norma ISO/IEC 20000 incluyen el diseño, transición, provisión, y la
mejora de los servicios para cumplir con los requisitos del servicio, y aportar un valor tanto para el
cliente como para el proveedor del servicio. Esta parte de la Norma ISO/IEC 20000 requiere al
proveedor del servicio un enfoque basado en procesos integrados cuando planifica, establece,
implementa, opera, controla, revisa, mantiene y mejora un Sistema de Gestión del Servicio (SGS).
La integración e implementación coordinada de un SGS proporciona un control continuo y una serie
de oportunidades para la mejora continua, así como una mayor eficacia y eficiencia. La operación de
los procesos según lo especificado en esta parte de la Norma ISO/IEC 20000 requiere que el personal
esté bien organizado y coordinado. Pueden utilizarse las herramientas que se consideren apropiadas
para posibilitar que los procesos sean eficaces y eficientes.
Los proveedores de servicios más eficaces consideran el impacto sobre el SGS a lo largo de todas las
etapas del ciclo de vida del servicio, comenzando desde la estrategia y continuando por el diseño,
transición y operación, incluyendo la mejora continua.
Esta parte de la Norma ISO/IEC 20000 requiere la aplicación de la metodología conocida como
"Planificar-Hacer-Verificar-Actuar" (PDCA, del inglés Plan-Do-Check-Act) para todas las partes del
SGS y para los servicios. La metodología PDCA, tal como se aplica en esta parte de la Norma
ISO/IEC 20000, se puede describir brevemente como sigue:
Planificar: establecer, documentar y acordar el SGS. El SGS incluye las políticas, objetivos, planes y
procesos para cumplir con los requisitos de los servicios.
Hacer: implementar y operar el SGS para el diseño, transición, provisión y mejora de los servicios.
Verificar: monitorizar, medir y revisar el SGS y los servicios contra las políticas, objetivos, planes y
requisitos del servicio e informar de los resultados.
Actuar: adoptar medidas para mejorar de una manera continua el comportamiento del SGS y los
servicios.
Cuando se utiliza dentro de un SGS, los aspectos más importantes de un enfoque de procesos
integrados y la metodología PDCA son los siguientes:
a) entender y cumplir los requisitos de servicio para lograr la satisfacción del cliente;
b) establecer la política y objetivos de la gestión del servicio;
c) diseñar y proveer mediante el SGS, servicios que aportan valor al cliente;
d) monitorizar, medir y revisar el comportamiento del SGS y de los servicios;
e) mejorar de forma continua el SGS y los servicios utilizando mediciones objetivas.
La figura 1 ilustra cómo se puede aplicar la metodología PDCA al SGS, incluidos los procesos de
gestión del servicio que se especifican en los capítulos 5 a 9, y los servicios. Cada elemento de la
metodología PDCA es una parte vital para la implementación exitosa de un SGS. El proceso de mejora
utilizado en esta parte de la Norma ISO/IEC 20000 se basa en la metodología PDCA.
NTN 21 002-13
Continúa
4/35
Figura 1 — Metodología PDCA aplicada a la gestión del servicio
Esta parte de la Norma ISO/IEC 20000 permite a un proveedor del servicio integrar su SGS con otros sistemas de gestión de su organización. La adopción de un enfoque de procesos integrados y de la metodología PDCA permite al proveedor del servicio alinear, o integrar plenamente, las múltiples normas de sistemas de gestión. Por ejemplo, un SGS se puede integrar con un sistema de gestión de calidad basado en la Norma ISO 9001 o un sistema de gestión de la seguridad de la información basado en la Norma ISO/IEC 27001.
La Norma ISO/IEC 20000 es intencionadamente independiente de guías específicas. El proveedor del servicio puede utilizar una combinación de guías generalmente aceptadas por el sector junto a su propia experiencia.
Los usuarios de una norma son responsables de su correcta aplicación. Una norma no pretende incluir todas las obligaciones necesarias, requisitos legales y obligaciones contractuales del proveedor del servicio. La conformidad con una norma internacional no confiere inmunidad frente a requisitos legales y regulatorios.
Con el propósito de investigar sobre las normas de gestión del servicio, los usuarios están invitados a compartir sus puntos de vista sobre la Norma ISO/IEC 20000-1 y sus prioridades para los cambios en el resto de documentos de la serie ISO/IEC 20000. Seleccione el enlace siguiente para participar en la encuesta en línea.
Encuesta ISO/IEC 20000-11
1 http://www.surveymonkey.com/s/20000-1
Verificar
Hacer
Planificar
Actuar
Sistema de
Gestión del Servicio
Procesos de
gestión del
servicio
Servicios
NTN 21 002-13
Continúa
5/35
1. OBJETO
1.1 Generalidades. Esta parte de la serie ISO/IEC 20000 es una norma que contiene un
Sistema de Gestión del Servicio (SGS). Especifica al proveedor del servicio los requisitos para
planificar, establecer, implementar, operar, monitorizar, revisar, mantener y mejorar un SGS. Los
requisitos incluyen el diseño, transición, provisión, y la mejora de los servicios para satisfacer los
requisitos de servicio. Esta parte de la serie ISO/IEC 20000 puede ser utilizada por:
a) una organización que demande servicios a los proveedores del servicio y que necesite garantía de
cumplimiento de sus requisitos de servicio;
b) una organización que requiera un enfoque consistente de todos sus proveedores del servicio,
incluidos los de una cadena de suministro;
c) un proveedor del servicio que tiene la intención de demostrar su capacidad en el diseño, transición,
provisión y mejora de los servicios que cumplen los requisitos del servicio;
d) un proveedor del servicio para monitorizar, medir y revisar sus procesos de gestión del servicio y
los servicios;
e) un proveedor del servicio para mejorar el diseño, transición y provisión de los servicios mediante
una implementación y operación eficaces del SGS;
f) un asesor o auditor, para evaluar la conformidad del SGS de un proveedor del servicio respecto a
los requisitos de esta parte de la serie ISO/IEC 20000.
La figura 2 muestra el SGS, e incluye los procesos de gestión del servicio. Los procesos de gestión del
servicio y las relaciones entre los procesos se pueden implementar de diferentes formas por cada
proveedor del servicio. La naturaleza de la relación entre cada proveedor del servicio y el cliente
influirá en la forma de implementar los procesos de gestión del servicio.
Figura 2 - Sistema de Gestión del Servicio
Sistema de Gestión del Servicio (SGS)
Responsabilidad de la dirección Gobierno de los procesos operados por terceros
Establecer el SGS Gestión de la documentación
Gestión de los recursos
Diseño y transición de servicios nuevos o modificados
Procesos de provisión del servicio
Gestión de la capacidad Gestión del
nivel de servicio
Gestión de la seguridad de la
información
Gestión de la continuidad
y disponibilidad del servicio
Informes del
servicio
Elaboración de presupuesto y
contabilidad de los servicios
Procesos de resolución
Gestión de incidentes y peticiones
de servicio
Gestión de problemas
Procesos de relación
Gestión de relaciones con el
negocio
Gestión de suministradores
Clientes
(y otras partes
interesadas)
Procesos de Control
Gestión de la configuración
Gestión de cambios
Gestión de la entrega y despliegue
Requisitos
del servicio
Clientes
(y otras partes
interesadas)
Servicios
NTN 21 002-13
Continúa
6/35
1.2 Aplicación. Todos los requisitos contenidos en esta parte de la serie ISO/IEC 20000 son generales y están destinados a aplicarse a todos los proveedores del servicio, independientemente de su tipo, tamaño, o de la naturaleza de los servicios entregados. No es aceptable la exclusión de cualquiera de los requisitos contenidos en los capítulos 4 a 9 cuando un proveedor del servicio declara la conformidad con esta parte de la serie ISO/IEC 20000, independientemente de la naturaleza de la organización del proveedor del servicio.
La conformidad con los requisitos del capítulo 4 sólo puede ser demostrada por un proveedor del servicio mostrando evidencias del cumplimiento de todos los requisitos del capítulo 4. Para los requisitos del capítulo 4, un proveedor del servicio no puede delegar en evidencias de gobierno de procesos que sean operados por terceros.
El proveedor del servicio puede demostrar la conformidad con los requisitos de los capítulos del 5 al 9 mostrando evidencias de cumplimiento de todos los requisitos. Como alternativa, el proveedor del servicio puede mostrar evidencias de cumplimiento de la mayoría de los requisitos y evidencias de gobierno de procesos, o parte de los procesos, operados por terceros que el proveedor del servicio no opera directamente.
El alcance de esta parte de la Norma ISO/IEC 20000 excluye la especificación de un producto o herramienta. Sin embargo, las organizaciones pueden usar esta parte de la Norma ISO/IEC 20000 para ayudarles en el desarrollo de productos o herramientas que soporten la operación del SGS.
NOTA. La norma ISO/IEC 20000-3 proporciona directrices en la definición del alcance y aplicabilidad de esta
parte de la serie ISO/IEC 20000. Incluye una explicación ampliada sobre el gobierno de procesos operados por
terceros.
2. NORMAS PARA CONSULTA
Las normas que a continuación se indican son indispensables para la aplicación de esta norma. Para las
referencias con fecha, sólo se aplica la edición citada. Para las referencias sin fecha se aplica la última
edición de la norma (incluyendo cualquier modificación de ésta).
No se citan normas para consulta. Este capítulo se incluye para asegurar que la numeración de los
capítulos de esta norma es idéntica a la Norma ISO/IEC 20000-2: Tecnologías de la Información.
Gestión del Servicio. Parte 2: Guía para la aplicación del Sistema de Gestión del Servicio (SGS).
3. TÉRMINIOS Y DEFINICIONES
Para los fines de este documento, se aplican los términos y definiciones siguientes:
3.1 disponibilidad (availability). Capacidad de un servicio, o componente de un servicio, de
realizar la función requerida en un momento acordado o durante un periodo de tiempo acordado.
NOTA. La disponibilidad se expresa normalmente como un ratio o porcentaje de tiempo en el que el servicio o
componente del servicio está efectivamente disponible para su uso por parte del cliente en relación con el
tiempo acordado en que el servicio debería estar disponible.
3.2 Línea base de configuración (configuration baseline). Información de configuración
formalmente designada en un momento específico durante la vida de un servicio o de un componente
del servicio.
NOTA 1. Las líneas base de configuración, junto con los cambios aprobados para esas líneas base, constituyen
la información de configuración actual.
NTN 21 002-13
Continúa
7/35
NOTA 2. Adaptado de ISO/IEC/IEEE 24765:2010.
3.3 Elemento de configuración, CI (configuration item). Elemento que es necesario
controlar para proveer uno o varios servicios.
3.4 Base de datos de la configuración, CMDB (configuration management database). Base
de datos utilizada para registrar atributos de los elementos de configuración, y las relaciones entre los
elementos de configuración, a lo largo del ciclo de vida del servicio.
3.5 Mejora continua (continual improvement). Actividad recurrente para aumentar la
capacidad de cumplir con los requisitos del servicio.
NOTA. Adaptado de ISO 9000:2005.
3.6 Acción correctiva (corrective action). Acción tomada para eliminar la causa, o reducir la
probabilidad de recurrencia, de una no conformidad detectada u otra situación indeseable.
NOTA. Adaptado de ISO 9000:2005.
3.7 Cliente (customer). Organización o parte de una organización que recibe uno o varios
servicios.
NOTA 1. Un cliente puede ser interno o externo a la organización del proveedor del servicio.
NOTA 2. Adaptado de ISO 9000:2005.
3.8 Documento (document). Información y su medio de soporte.
[ISO 9000:2005]
EJEMPLOS. Políticas, planes, descripción de procesos, procedimientos, acuerdos de nivel de
servicio, contratos o registros.
NOTA 1. La documentación puede estar en cualquier formato o tipo de medio.
NOTA 2. En la Norma ISO/IEC 20000, los documentos, excepto en el caso de los registros, establecen la
intención de lograr algo.
3.9 Eficiencia (effectiveness). Grado en que se realizan las actividades planificadas y se
alcanzan los resultados planificados.
[ISO 9000:2005]
3.10 Incidencia (incident). Interrupción inesperada de un servicio, reducción en la calidad de
un servicio o fallo de un elemento de configuración que aún no ha tenido impacto en el servicio.
3.11 Seguridad de la información (information security). La preservación de la
confidencialidad, integridad y accesibilidad de la información.
NOTA 1. Además, pueden estar involucradas otras propiedades como la autenticidad, responsabilidad, no
repudio y fiabilidad.
NTN 21 002-13
Continúa
8/35
NOTA 2. El término “disponibilidad” no se ha utilizado en esta definición porque es un término definido en
esta parte de la Norma ISO/IEC 20000 lo que hace que no sea apropiado para esta definición.
NOTA 3. Adaptado de la ISO/IEC 27000:2009.
3.12 Incidencia de seguridad de la información (information security incident). Un único
evento o una serie de eventos de seguridad de la información inesperados o no deseados, que tienen
una probabilidad significativa de comprometer las operaciones del negocio y de amenazar la seguridad
de la información.
[ISO/IEC 27000:2009]
3.13 Parte interesada (interested party). Persona o grupo que tiene un interés específico en el
comportamiento o éxito de la actividad o actividades del proveedor del servicio.
EJEMPLOS. Clientes, propietarios, la dirección, personas en la organización del proveedor del
servicio, suministradores, entidades financieras, sindicatos o socios empresariales.
NOTA 1. Un grupo puede constar de una organización, una parte de la misma, o más de una organización.
NOTA 2. Adaptado de la ISO 9000:2005.
3.14 Grupo interno (internal group). Parte de la organización del proveedor del servicio
incluido en un acuerdo documentado con el proveedor del servicio para contribuir al diseño, transición,
provisión y mejora de uno o varios servicios.
NOTA. El grupo interno está fuera del alcance del SGS del proveedor del servicio.
3.15 Error conocido (known error). Problema que tiene identificados una causa raíz o un
método para reducir o eliminar su impacto sobre un servicio mediante un arreglo provisional.
3.16 No conformidad (nonconformity). Incumplimiento de un requisito.
[ISO 9000:2005]
3.17 Organización (organization). Conjunto de personas e instalaciones con una disposición
de responsabilidades, autoridades y relaciones.
EJEMPLOS Compañía, corporación, firma, empresa, institución, institución de beneficencia, empresa
unipersonal, asociación, o parte de una combinación de las anteriores.
NOTA 1. Dicha disposición es generalmente ordenada.
NOTA 2. Una organización puede ser pública o privada.
[ISO 9000:2005]
3.18 Acción preventiva (preventive action). Acción tomada para evitar o eliminar la causa, o
para reducir la probabilidad de ocurrencia de una no conformidad potencial u otra situación no
deseada.
NOTA. Adaptada de la ISO 9000:2005.
NTN 21 002-13
Continúa
9/35
3.19 Problema (problem). Causa raíz de una o más incidencias.
NOTA. La causa raíz normalmente no es conocida en el momento que se crea un registro del problema y el
proceso de gestión de problemas es responsable de una investigación en profundidad.
3.20 Procedimiento (procedure). Forma específica para llevar a cabo una actividad o un
proceso.
[ISO 9000:2005]
NOTA. Los procedimientos pueden ser documentados o no.
3.21 Proceso (process). Conjunto de actividades mutuamente relacionadas o que interactúan,
las cuales transforman elementos de entrada en resultados.
[ISO 9000:2005]
3.22 Registro. Documento (3.8) que presenta resultados alcanzados o proporciona evidencia
de actividades desempeñadas.
[ISO 9000:2005]
EJEMPLOS. Informes de auditoría, informes de incidencias, registros de formación o actas de
reuniones.
3.23 Entrega (release). Recopilación, de uno o más elementos de configuración nuevos o
modificados desplegada en el entorno de producción como consecuencia de uno o más cambios.
3.24 Petición de cambio (request for change). Propuesta de modificación a aplicar a un
servicio, a un componente del servicio o al sistema de gestión del servicio.
NOTA. Un cambio en un servicio incluye la provisión de un servicio nuevo o la retirada de un servicio que ya
no es necesario.
3.25 Riesgo (risk). Efecto de la incertidumbre sobre la consecución de los objetivos.
NOTA 1. Un efecto es una desviación positiva y/o negativa frente a lo previsto.
NOTA 2. Los objetivos pueden tener diferentes aspectos (tales como financieros, de salud y seguridad, y
ambientales) y se pueden aplicar a diferentes niveles (tales como nivel estratégico, nivel de un proyecto, de un
producto, de un proceso o de una organización completa).
NOTA 3.Con frecuencia, el riesgo se caracteriza por referencia a sucesos potenciales y a sus consecuencias, o a
una combinación de ambos.
NOTA 4. Con frecuencia, el riesgo se expresa en términos de combinación de las consecuencias de un suceso
(incluyendo los cambios en las circunstancias) y de su probabilidad.
[ISO 31000:2009]
3.26 Servicio (service). Medio de entrega de valor al cliente facilitando que alcance los
resultados que quiere lograr.
NTN 21 002-13
Continúa
10/35
NOTA 1. El servicio es generalmente intangible.
NOTA 2. Un servicio puede también ser provisto al proveedor del servicio por un suministrador, un grupo
interno o un cliente actuando como suministrador.
3.27 Componente del servicio (service component). Unidad individual de un servicio que
cuando se combina con otras unidades provee un servicio completo.
EJEMPLOS. Hardware, software, herramientas, aplicaciones, documentación, información, procesos o
servicios de soporte.
NOTA. Un componente del servicio puede constar de uno o más elementos de configuración.
3.28 Continuidad del servicio (service continuity). Capacidad de gestionar los riesgos y
sucesos que puedan tener un grave impacto en el servicio con el fin de prestar de forma continua los
servicios en los niveles acordados.
3.29 Acuerdo de nivel de servicio, SLA (service level agreement). Acuerdo documentado
entre el proveedor del servicio y el cliente que identifica los servicios y sus objetivos.
NOTA 1. Un acuerdo de nivel de servicio puede también establecerse entre un proveedor del servicio y un
suministrador, un grupo interno o un cliente actuando como suministrador.
NOTA 2. Un acuerdo de nivel de servicio puede ser incluido en un contrato u otro tipo de acuerdo
documentado.
3.30 Gestión del servicio (service management). Conjunto de capacidades y procesos para
dirigir y controlar las actividades del proveedor del servicio y los recursos para el diseño, transición,
provisión y mejora de los servicios para cumplir los requisitos del servicio.
3.31 Sistema de Gestión del Servicio, SGS (service management system). Sistema de gestión
para dirigir y controlar las actividades de gestión de los servicios del proveedor del servicio.
NOTA 1. Un sistema de gestión es un conjunto de elementos interrelacionados o que interactúan para establecer
la política y objetivos y para lograr dichos objetivos.
NOTA 2. El SGS incluye todas las políticas de gestión del servicio, objetivos, planes, procesos, documentación
y recursos requeridos para el diseño, transición, provisión y mejora de los servicios para el cumplimiento de los
requisitos en esta parte de la Norma ISO/IEC 20000.
NOTA 3. Adaptado de la definición de "sistema de gestión de calidad" de la Norma la ISO 9000:2005.
3.32 Proveedor del servicio (service provider). Organización o parte de una organización que
gestiona y provee uno o varios servicios al cliente.
NOTA. Un cliente puede ser interno o externo a la organización del proveedor del servicio.
3.33 Petición de servicio (service request). Solicitud de información, consulta, de acceso a un
servicio o un cambio previamente aprobado.
NTN 21 002-13
Continúa
11/35
3.34 Requisitos del servicio (service requirement). Necesidades del cliente y los usuarios del
servicio, incluyendo los requisitos de nivel de servicio, y las necesidades del proveedor del servicio.
3.35 Suministrador (supplier). Organización o parte de una organización, externa a la del
proveedor del servicio, que establece un contrato con éste para contribuir al diseño, transición,
provisión y mejora de los servicios o procesos.
NOTA. Suministradores se refiere a los suministradores designados como principales, pero no a los
subcontratados por ellos.
3.36 Alta dirección (top management). Persona o grupo de personas que dirigen y controlan
al más alto nivel al proveedor del servicio.
NOTA. Adaptado de la Norma ISO 9000:2005.
3.37 Transición (transition). Actividades involucradas en el traslado de un servicio nuevo o
modificado desde o hasta el entorno de producción.
4. REQUISITOS GENERALES DEL SISTEMA DE GESTIÓN DEL SERVICIO
4.1 Responsabilidad de la dirección.
4.1.1 Compromiso de la dirección.
La alta dirección debe proporcionar evidencias de su compromiso con la planificación, establecimiento, implementación, operación, monitorización, revisión, mantenimiento y mejora del SGS y de los servicios:
a) estableciendo y comunicando el alcance, política y objetivos de la gestión del servicio;
b) asegurando que el plan de gestión del servicio se crea, implementa y mantiene con el propósito de
mostrar adhesión a la política, alcanzar los objetivos de gestión del servicio y satisfacer los
requisitos del servicio;
c) comunicando la importancia de satisfacer los requisitos del servicio;
d) comunicando la importancia de satisfacer los requisitos legales y regulatorios, así como las
obligaciones contractuales;
e) asegurando la provisión de los recursos;
f) realizando revisiones de la gestión a intervalos planificados;
g) asegurando que los riesgos del servicio son evaluados y gestionados.
4.1.2 Política de gestión del servicio
La alta dirección debe asegurar que la política de gestión del servicio:
a) es la apropiada para el propósito del proveedor del servicio;
b) incluye un compromiso de satisfacción de los requisitos del servicio;
c) incluye un compromiso de mejora continua de la eficacia del SGS y de los servicios a través de la
política de mejora continua establecida en el apartado 4.5.5.1;
NTN 21 002-13
Continúa
12/35
d) proporciona un marco para el establecimiento y revisión de los objetivos de gestión del servicio;
e) es comunicada y entendida por el personal del proveedor del servicio;
f) es revisada para su continua adecuación.
4.1.3 Autoridad, responsabilidad y comunicación
La alta dirección debe asegurar que:
a) se definen y mantienen las autorizaciones y responsabilidades de la gestión del servicio;
b) se establecen e implementan procedimientos documentados de comunicación.
4.1.4 Representante de la dirección
La alta dirección debe designar un miembro de la dirección del proveedor del servicio que, al margen de otras responsabilidades, tenga la autoridad y responsabilidad para:
a) asegurar que se realizan las actividades para identificar, documentar y satisfacer los requisitos del
servicio;
b) asignar autorizaciones y responsabilidades para asegurar que se diseñan, implementan y mejoran
los procesos de gestión del servicio conforme a la política y objetivos de gestión del servicio;
c) asegurar que los procesos de gestión del servicio están integrados con el resto de componentes del
SGS;
d) asegurar que los activos, incluyendo sus licencias, utilizados para proveer los servicios, se
gestionan conforme a los requisitos legales y regulatorios, y a las obligaciones contractuales;
e) informar a la alta dirección sobre el comportamiento y oportunidades de mejora del SGS y de los
servicios.
4.2 Gobierno de los procesos operados por terceros.
El proveedor del servicio debe identificar todos los procesos -o partes de procesos- operados por terceros para los cuáles se han especificado requisitos en los capítulos 5 a 9. "Terceros" pueden ser un grupo interno, un cliente o un suministrador. El proveedor del servicio debe demostrar que gobierna los procesos operados por terceros:
a) demostrando responsabilidad sobre los procesos y autoridad para exigir adhesión a los mismos;
b) controlando la definición de los procesos e interfaces con otros procesos;
c) determinando el comportamiento de los procesos y la conformidad con los requisitos de los
procesos;
d) controlando la planificación y priorizando las mejoras de los procesos.
Cuando un suministrador opera parte de los procesos, el proveedor del servicio debe gestionar al
suministrador mediante el proceso de gestión de suministradores. Cuando un grupo interno o un
cliente opera partes de los procesos, el proveedor del servicio debe gestionar al grupo interno o al
cliente a través del proceso de gestión del nivel de servicio.
NOTA. La norma ISO/IEC 20000-3 proporciona orientación sobre la definición del alcance y la aplicabilidad
de esta parte de la serie ISO/IEC 20000. Incluye una explicación más detallada sobre el gobierno de los
procesos operados por terceros.
NTN 21 002-13
Continúa
13/35
4.3 Gestión de la documentación.
4.3.1 Establecimiento y mantenimiento de documentos.
El proveedor del servicio debe establecer y mantener documentos, incluyendo registros, para asegurar la planificación, operación y control efectivos del SGS. Estos documentos deben incluir:
a) política y objetivos de gestión del servicio documentados;
b) plan de gestión del servicio documentado;
c) políticas y planes documentados creados para procesos específicos, conforme a lo requerido por
esta parte de la Norma ISO/IEC 20000;
d) catálogo de servicios documentado;
e) acuerdos SLA documentados;
f) procesos de gestión del servicio documentados;
g) procedimientos y registros requeridos por esta parte de la Norma ISO/IEC 20000 documentados;
h) documentos adicionales, incluyendo los de origen externo, determinados por el proveedor del
servicio como necesarios para asegurar la operación eficaz del SGS y la provisión de servicios.
4.3.2 Control de documentos
Los documentos requeridos por el SGS deben estar controlados. Los registros son un tipo especial de documento y deben ser controlados conforme a los requisitos establecidos en el apartado 4.3.3.
Se debe establecer un procedimiento documentado que incluya niveles de autoridad y responsabilidades, al objeto de definir los controles necesarios para:
a) crear y aprobar los documentos antes de publicarlos;
b) informar a las partes interesadas acerca de documentos nuevos o modificados;
c) revisar y mantener2 los documentos conforme sea necesario;
d) asegurar que se identifican tanto los cambios a los documentos como el estado actual de revisión
de los mismos;
e) garantizar que las versiones pertinentes de los documentos aplicables se encuentran disponibles
allá donde se usen;
f) asegurar que los documentos son fácilmente identificables y legibles;
g) asegurar que los documentos de origen externo están identificados y su distribución controlada;
h) evitar el uso no intencionado de documentos obsoletos y aplicarles la identificación adecuada si
son conservados.
4.3.3 Control de registros.
Se deben mantener registros para demostrar la conformidad con los requisitos y la operación eficaz del
SGS.
Se debe establecer un procedimiento documentado que defina los controles necesarios para la
identificación, almacenamiento, protección, recuperación, conservación y retirada de registros. Los
registros deben ser legibles, fácilmente identificables y recuperables.
2 Nota Nacional: Entiéndase por mantener a conservar; custodiar, salvaguardar, etc.
NTN 21 002-13
Continúa
14/35
4.4 Gestión de recursos.
4.4.1 Provisión de recursos. El proveedor del servicio debe determinar y proporcionar los recursos humanos, técnicos, de información y financieros necesarios para: a) establecer, implementar y mantener el SGS y los servicios, y mejorar de manera continua su
eficacia;
b) aumentar la satisfacción del cliente proporcionándole servicios que satisfagan los requisitos del
servicio.
4.4.2 Recursos humanos.
El personal del proveedor del servicio cuyo trabajo afecte a la conformidad con los requisitos del servicio debe ser competente en lo que se refiere a una adecuada educación, formación, competencias y experiencia. El proveedor del servicio debe:
a) determinar el nivel de competencia necesario para el personal;
b) cuando se requiera, proporcionar capacitación o llevar a cabo otras acciones para alcanzar el nivel
de competencia necesario;
c) evaluar la eficacia de las acciones realizadas;
d) garantizar que su personal es consciente de la forma en que contribuyen a la consecución de los
objetivos de gestión del servicio y el cumplimiento de los requisitos del servicio;
e) mantener registros apropiados de la educación, formación, habilidades y experiencia.
4.5 Establecer y mejorar el SGS.
4.5.1 Definir el alcance.
El proveedor del servicio debe definir e incluir el alcance del SGS en el plan de gestión del servicio. El
alcance se debe definir con el nombre de la unidad organizativa que provee los servicios, y los
servicios que se entregarán.
El proveedor del servicio también debe tener en cuenta otros factores que afectan a los servicios que se
proveen incluyendo:
a) localización(es) geográfica(s) desde la(s) que el proveedor del servicio proporciona los servicios;
b) el cliente y su(s) ubicación(es);
c) la tecnología utilizada para prestar los servicios.
NOTA. La norma ISO/IEC 20000-3 proporciona orientación sobre la definición del alcance y la aplicabilidad de
esta parte de la serie ISO/IEC 20000.
4.5.2 Planificar el SGS (Planificar).
El proveedor del servicio debe crear, implementar y mantener un plan de gestión del servicio. La planificación debe tener en cuenta la política de gestión del servicio, los requisitos del servicio y los requisitos en esta parte de la serie ISO/IEC 20000. El plan de gestión del servicio debe contener o hacer referencia al menos a lo siguiente:
NTN 21 002-13
Continúa
15/35
a) objetivos de la gestión del servicio a alcanzar por el proveedor del servicio;
b) requisitos del servicio;
c) limitaciones conocidas que pueden afectar al SGS;
d) las políticas, normas, requisitos legales y regulatorios, y obligaciones contractuales;
e) estructura de autoridades, responsabilidades y roles del proceso;
f) autoridades y responsabilidades de los planes, los servicios y procesos de gestión del servicio;
g) recursos humanos, técnicos, financieros y de información necesarios para alcanzar los objetivos de
gestión del servicio;
h) enfoque a adoptar para trabajar con terceros involucrados en el proceso de diseño y transición de
servicios nuevos o modificados;
i) enfoque a adoptar para las interfaces entre los procesos de gestión del servicio y su integración
con el resto de componentes del SGS;
j) enfoque a adoptar para la gestión de riesgos y los criterios para la aceptación de riesgos;
k) tecnología utilizada para soportar el SGS;
l) cómo se medirá, auditará, informará y mejorará la eficacia del SGS y los servicios.
Los planes creados para procesos específicos se deben alinear con el plan de gestión del servicio. El
plan de gestión del servicio y los planes creados para procesos específicos se deben revisar a intervalos
planificados y, si procede, se deben actualizar.
4.5.3 Implementar y operar el SGS (Hacer).
El proveedor del servicio debe implementar y operar el SGS para el diseño, transición, provisión y
mejora de los servicios de acuerdo con el plan de gestión del servicio, como mínimo a través de las
siguientes actividades:
a) asignación y gestión de fondos y presupuestos;
b) asignación de autoridades, responsabilidades y roles del proceso;
c) gestión de los recursos humanos, técnicos y de información;
d) identificación, evaluación y gestión de los riesgos sobre los servicios;
e) gestión de los procesos de gestión del servicio;
f) monitorización y envío de informes sobre el comportamiento de las actividades de gestión del
servicio.
4.5.4 Monitorizar y revisar el SGS (Verificar).
4.5.4.1 Generalidades.
El proveedor del servicio debe utilizar los métodos adecuados para el seguimiento y la medición del
SGS y los servicios. Estos métodos deben incluir auditorías internas y revisiones por parte de la
dirección.
Los objetivos de todas las auditorías internas y revisiones por parte de la dirección se deben
documentar. Las auditorías internas y evaluaciones de la dirección deben demostrar la capacidad del
SGS y los servicios para alcanzar los objetivos de la gestión del servicio y cumplir los requisitos del
servicio. Las no conformidades se deben identificar contra los requisitos de esta parte de la Norma
NTN 21 002-13
Continúa
16/35
ISO/IEC 20000, contra los requisitos del SGS identificados por el proveedor del servicio o contra los
requisitos de servicio.
Se deben registrar los resultados de las auditorías internas y de las revisiones por parte de la dirección,
incluyendo las no conformidades, las observaciones y las acciones identificadas. Los resultados y las
acciones se deben comunicar a las partes interesadas.
4.5.4.2 Auditoría Interna.
El proveedor del servicio debe realizar auditorías internas, a intervalos planificados, para determinar si
el SGS y los servicios:
a) cumplen con los requisitos de esta parte de la serie ISO/IEC 20000;
b) cumplen con los requisitos de servicio y los requisitos del SGS identificados por el proveedor del
servicio;
c) son implementados y mantenidos de una manera eficaz.
Debe existir un procedimiento documentado que incluya las autoridades y responsabilidades para
planificar y realizar auditorías, así como para informar sobre los resultados y para el mantenimiento de
los registros de auditoría.
Se debe planificar un programa de auditoría. Este programa debe tener en cuenta el estado y la
importancia de los procesos y áreas a auditar, así como los resultados de las auditorías previas. Se
deben documentar los criterios, el alcance, la frecuencia y los métodos de auditoría.
La selección de los auditores y la realización de las auditorías deben asegurar la objetividad e
imparcialidad de la auditoría. Los auditores no deben auditar su propio trabajo.
Se deben comunicar las no conformidades, priorizarlas y asignar responsabilidad sobre las acciones.
La dirección responsable del área auditada debe asegurar que las correcciones y acciones correctivas
para eliminar las no conformidades, y sus causas, se realizan sin demora injustificada. Las actividades
de seguimiento deben incluir la verificación de las acciones realizadas y el informe de los resultados.
NOTA. Véase la serie ISO 19011 que proporciona orientación sobre la auditoría de los sistemas de gestión.
4.5.4.3 Revisión por la dirección.
La alta dirección debe revisar el SGS y los servicios, a intervalos planificados para asegurar su
adecuación y eficacia. Esta revisión debe incluir la evaluación de oportunidades de mejora y la
necesidad de cambios en el SGS, incluida la política y objetivos de la gestión del servicio.
El alcance de las revisiones por la dirección debe incluir, como mínimo, información sobre:
a) retroalimentación del cliente;
b) comportamiento y conformidad del servicio y de los procesos;
c) niveles actuales y previstos de recursos humanos, técnicos, de información, y financieros;
d) capacidades humanas y técnicas actuales y previstas;
e) riesgos;
f) resultados y acciones de seguimiento de las auditorías;
g) resultados y acciones de seguimiento de las revisiones de la gestión previa;
NTN 21 002-13
Continúa
17/35
h) estado de las acciones preventivas y correctivas;
i) cambios que puedan afectar al SGS y los servicios;
j) oportunidades de mejora.
Se deben mantener registros de las revisiones por la dirección.
Los registros de las revisiones por la dirección deben incluir, al menos, las decisiones y acciones
relacionadas con los recursos, la mejora de la eficacia del SGS y la mejora de los servicios.
4.5.5 Mantener y mejorar el SGS (Actuar).
4.5.5.1 Generalidades.
Debe existir una política de mejora continua del SGS y los servicios. La política debe incluir criterios
de evaluación de las oportunidades de mejora.
Debe existir un procedimiento documentado que incluya las autoridades y responsabilidades para
identificar, documentar, evaluar, aprobar, priorizar, gestionar, medir e informar de las mejoras. Se
deben documentar las oportunidades de mejora, incluyendo las acciones correctivas y preventivas.
Se debe corregir la causa de las no conformidades identificadas. Se deben adoptar acciones correctivas
para eliminar la causa de las no conformidades identificadas con el fin de prevenir la recurrencia. Se
deben adoptar acciones preventivas con el fin de eliminar la causa potencial de no conformidades y
prevenir su ocurrencia.
NOTA. Para obtener más información sobre las medidas correctivas y preventivas, véase la Norma ISO
9001:2008, apartado 8.5.
4.5.5.2 Gestión de mejoras.
Se deben priorizar las oportunidades de mejora. El proveedor del servicio debe utilizar los criterios de
evaluación de la política de mejora continua en la toma de decisiones sobre las oportunidades de
mejora.
Se deben planificar las mejoras aprobadas.
El proveedor del servicio debe gestionar las actividades de mejora, que incluyen como mínimo:
a) el establecimiento de objetivos de mejora en uno o más de los siguientes aspectos de calidad,
valor, capacidad, costo, productividad, utilización de recursos y reducción de riesgos;
b) garantizar que las mejoras aprobadas se apliquen;
c) revisión de las políticas de gestión del servicio, planes, procesos y procedimientos, cuando sea
necesario;
d) medición de las mejoras implementadas frente a los objetivos establecidos, y donde éstos no se
hayan alcanzado, tomar las acciones necesarias;
e) informe de las mejoras implementadas.
NTN 21 002-13
Continúa
18/35
5. DISEÑO Y TRANSICIÓN DE SERVICIOS NUEVOS O MODIFICADOS
5.1 Generalidades. El proveedor del servicio debe utilizar este proceso para todos los
servicios nuevos y para cambios de los servicios que potencialmente tengan un impacto importante
sobre los servicios o el cliente. Los cambios que están en el alcance del capítulo 5 deben estar
determinados por la política de gestión de cambios acordada como parte del proceso de gestión de
cambios.
En el ámbito del capítulo 5, el proceso de gestión de cambios debe controlar la evaluación, la
aprobación, la planificación y la revisión de los servicios nuevos o modificados. Dentro del alcance del
capítulo 5, los elementos de configuración (CI) afectados por un servicio nuevo o modificado deben
estar controlados por el proceso de gestión de la configuración.
El proveedor del servicio debe revisar los resultados de las actividades de planificación y diseño de
servicios nuevos o modificados frente a los requisitos acordados y a los requisitos pertinentes
determinados en los apartados 5.2 y 5.3. Fundamentándose en la revisión, el proveedor del servicio
debe aceptar o rechazar los productos. El proveedor del servicio debe tomar las acciones necesarias
para asegurar que el desarrollo y transición de los servicios nuevos o modificados se puedan realizar de
manera eficaz utilizando los resultados aceptados.
NOTA. La necesidad de un servicio nuevo o un cambio sobre un servicio puede originarse desde el cliente, el
proveedor del servicio, un grupo interno o desde un suministrador para satisfacer necesidades del negocio o para
mejorar la eficiencia de los servicios.
5.2 Planificación de servicios nuevos o modificados. El proveedor del servicio debe
identificar los requisitos de servicio para los servicios nuevos o modificados. Los servicios nuevos o
modificados se deben planificar para cumplir los requisitos de servicio. La planificación de los
servicios nuevos o modificados se debe acordar con los clientes y las partes interesadas.
Como entrada a la planificación, el proveedor del servicio debe tener en consideración el potencial
impacto financiero, organizativo y técnico de la provisión de los servicios nuevos o modificados. El
proveedor del servicio también debe tener en consideración el impacto potencial de los servicios
nuevos o modificados sobre el SGS.
La planificación de los servicios nuevos o modificados debe contener o incluir como mínimo una
referencia a lo siguiente:
a) las autoridades y responsabilidades para las actividades de diseño, desarrollo y transición;
b) las actividades a ser realizadas por el proveedor del servicio y terceros, incluyendo las actividades
a realizar en la relación entre el proveedor del servicio y terceros;
c) la comunicación a las partes interesadas;
d) los recursos humanos, técnicos, de información y financieros;
e) las fechas para las actividades planificadas;
f) la identificación, evaluación y gestión de riesgos;
g) las dependencias de otros servicios;
h) las pruebas requeridas para los servicios nuevos o modificados;
i) los criterios de aceptación de los servicios;
j) los resultados esperados de la provisión de los servicios nuevos o modificados, expresados en
términos medibles.
NTN 21 002-13
Continúa
19/35
Para los servicios que vayan a ser retirados, el proveedor del servicio debe planificar la retirada de los
servicios. La planificación debe incluir la(s) fecha(s) de la retirada, archivo, eliminación o
transferencia de los datos, documentación y componentes del servicio. Los componentes del servicio
pueden incluir infraestructura y aplicaciones con licencias asociadas.
El proveedor del servicio debe identificar terceros que contribuirán al suministro de componentes del
servicio para los servicios nuevos o modificados. El proveedor del servicio debe evaluar su capacidad
para cumplir con los requisitos de servicio. Los resultados de la evaluación se deben registrar y tomar
las acciones necesarias.
5.3 Diseño y desarrollo de servicios nuevos o modificados.
Los servicios nuevos o modificados deben diseñarse y documentarse incluyendo al menos:
a) la autoridad y responsabilidades para la provisión de los servicios nuevos o modificados;
b) las actividades a ser realizadas por el proveedor del servicio, el cliente y terceros para la provisión
de los servicios nuevos o modificados;
c) los requisitos de recursos humanos nuevos o modificados, incluyendo los requisitos de educación,
formación, competencia y experiencia adecuados;
d) los requisitos de recursos financieros para la provisión de los servicios nuevos o modificados;
e) la tecnología nueva o modificada para dar soporte a la provisión de servicios nuevos o
modificados;
f) los planes y políticas nuevos o modificados de acuerdo con lo requerido en esta parte de la serie
ISO/IEC 20000;
g) los contratos nuevos o modificados y otros acuerdos documentados para alinear con cambios en
los requisitos del servicio;
h) los cambios en el SGS;
i) los SLA nuevos o modificados;
j) las actualizaciones al catálogo de servicios;
k) los procedimientos, mediciones e información a ser utilizados para la provisión de los servicios
nuevos o modificados.
El proveedor del servicio debe asegurar que el diseño posibilita que los servicios nuevos o modificados
cumplan los requisitos de servicio. Los servicios nuevos o modificados se deben desarrollar de acuerdo
con el documento de diseño.
NOTA. Para más información sobre diseño, ver el proceso de diseño y desarrollo dentro de la Norma ISO
9001:2008, apartado 7.3 o el proceso de diseño de la arquitectura en la Norma ISO/IEC 15288:2008, apartado
6.4.3.
5.4 Transición de servicios nuevos o modificados. Los servicios nuevos o modificados se
deben probar para verificar que cumplen con los requisitos del servicio y con el diseño documentado.
Los servicios nuevos o modificados se deben verificar frente a los criterios de aceptación acordados
previamente entre el proveedor del servicio y las partes interesadas. Si no se cumplen los criterios de
aceptación del servicio, el proveedor del servicio y las partes interesadas deben tomar una decisión
sobre las acciones necesarias y sobre el despliegue.
Se debe utilizar el proceso de gestión de la entrega y del despliegue para hacer uso de los servicios
nuevos o modificados aprobados en el entorno operativo.
NTN 21 002-13
Continúa
20/35
Tras la finalización de las actividades de transición, el proveedor del servicio debe informar a las
partes interesadas sobre los resultados obtenidos frente a los resultados esperados.
6. PROCESOS DE PROVISIÓN DEL SERVICIO
6.1 Gestión del nivel de servicio. El proveedor del servicio debe acordar con el cliente los
servicios a ser prestados.
El proveedor del servicio debe acordar un catálogo de servicios con el cliente. El catálogo de servicios
debe incluir las dependencias entre los servicios y los componentes del servicio.
Para cada servicio provisionado, se debe acordar con el cliente uno o más SLA. Cuando se cree un
SLA, el proveedor del servicio debe tener en cuenta los requisitos del servicio. Los SLA deben incluir
los objetivos de servicio, las cargas de trabajo y las excepciones acordadas.
El proveedor del servicio debe revisar los servicios y los SLA con el cliente a intervalos planificados.
Los cambios en los requisitos del servicio, el catálogo de servicios, los SLA y otros acuerdos
documentados se deben controlar por el proceso de gestión de cambios. El catálogo de servicios se
debe mantener acorde a los cambios en los servicios y los SLA, para asegurar que están alineados.
El proveedor del servicio debe monitorizar las tendencias y el comportamiento frente a los objetivos de
servicio a intervalos planificados. Los resultados se deben registrar y revisar para identificar las causas
de no conformidades y las oportunidades de mejora.
Para los componentes del servicio proporcionados por un grupo interno o por el cliente, el proveedor
del servicio debe desarrollar, acordar, revisar y mantener un acuerdo documentado definiendo las
actividades e interfaces entre las dos partes. El proveedor del servicio debe monitorizar el desempeño
del grupo interno o del cliente frente a objetivos de servicio acordados y frente a otros compromisos
acordados, a intervalos planificados. Los resultados se deben registrar y revisar para identificar las
causas de las no conformidades y las oportunidades de mejora.
6.2 Informes del servicio. Se debe documentar y acordar entre el proveedor del servicio y
las partes interesadas la descripción de cada informe de servicio, incluyendo su identificación,
propósito, audiencia, frecuencia y detalles de la(s) fuente(s) de datos.
Los informes del servicio se deben generar utilizando información de la provisión de los servicios y de
las actividades del SGS, incluyendo los procesos de gestión del servicio.
Los informes del servicio deben incluir como mínimo:
a) el comportamiento frente a los objetivos de servicio;
b) la información relevante sobre eventos significativos incluyendo al menos las principales
incidencias, el despliegue de servicios nuevos o modificados y las invocaciones del plan de
continuidad del servicio;
c) las características de carga de trabajo incluyendo volúmenes y cambios periódicos en la carga;
d) las no conformidades encontradas frente a los requisitos de esta parte de la Norma ISO/IEC
20000, los requisitos del SGS o los requisitos del servicio y sus causas identificadas;
NTN 21 002-13
Continúa
21/35
e) la información de tendencias;
f) las medidas de la satisfacción del cliente, las quejas del servicio y los resultados de los análisis de
las medidas de satisfacción y de las quejas;
El proveedor del servicio debe tomar decisiones y acciones de acuerdo con las conclusiones de los
informes del servicio. Las acciones acordadas se deben comunicar a las partes interesadas.
6.3 Gestión de continuidad y disponibilidad del servicio.
6.3.1 Requisitos de continuidad y disponibilidad del servicio.
El proveedor del servicio debe evaluar y documentar los riesgos sobre la disponibilidad y continuidad
de los servicios.
El proveedor del servicio debe identificar y acordar con los clientes y partes interesadas los requisitos
de continuidad y disponibilidad del servicio. Los requisitos acordados deben tener en cuenta los planes
de negocio aplicables, requisitos de los servicios, SLA y riesgos.
Los requisitos de continuidad y disponibilidad del servicio deben incluir al menos:
a) derechos de acceso a los servicios;
b) tiempos de respuesta de los servicios;
c) disponibilidad extremo a extremo de los servicios.
6.3.2 Planes de continuidad y disponibilidad.
El proveedor del servicio debe crear, implementar y mantener un plan (o planes) de continuidad del
servicio y un plan (o planes) de disponibilidad. Los cambios a estos planes deben ser controlados por
el proceso de gestión de cambios.
El plan (o planes) de continuidad del servicio debe incluir al menos:
a) los procedimientos a implementar en caso de una pérdida relevante del servicio, o referencias a
ellos;
b) los objetivos de disponibilidad cuando se invoque el plan;
c) los requisitos de recuperación;
d) el enfoque para el retorno a las condiciones de trabajo normales.
Los planes de continuidad del servicio, las listas de contactos y la CMDB deben estar accesibles
cuando no sea posible el acceso a las ubicaciones normales de los servicios.
El plan (o planes) de disponibilidad deben incluir al menos los requisitos de disponibilidad y los
objetivos.
El proveedor del servicio debe evaluar el impacto de las peticiones de cambio en los planes de
continuidad de servicio y en los planes de disponibilidad.
NOTA. Los planes de continuidad de servicio y los planes de disponibilidad pueden combinarse en un único
documento.
NTN 21 002-13
Continúa
22/35
6.3.3 Monitorización y prueba de la continuidad de la disponibilidad del servicio.
Se debe monitorizar la disponibilidad de los servicios, registrar los resultados y compararlos con los
objetivos. Se deben investigar las indisponibilidades3 no planificadas y tomar las acciones necesarias.
Se deben probar los planes de continuidad del servicio contra los requisitos de continuidad del
servicio. Los planes de disponibilidad se deben probar contra los requisitos de disponibilidad. Los
planes de continuidad y disponibilidad del servicio se deben volver a probar tras cambios significativos
en el entorno del servicio donde opera el proveedor del servicio.
Los resultados de las pruebas deben estar registrados. Deben realizarse revisiones tras cada prueba y
después de que el plan de continuidad del servicio haya sido invocado. Cuando se encuentren
deficiencias, el proveedor del servicio debe tomar las acciones necesarias e informar sobre las acciones
tomadas.
6.4 Elaboración de presupuesto de contabilidad de los servicios. Debe existir una interfaz
definida entre el proceso de elaboración de presupuestos y contabilidad de los servicios y otros
procesos de gestión financiera.
Deben existir políticas y procedimientos documentados para:
a) elaborar el presupuesto y la contabilidad para los componentes de los servicios incluyendo al
menos
1. activos -incluyendo licencias- utilizados para proveer los servicios,
2. recursos compartidos,
3. costos de estructura,
4. inversiones y gastos,
5. servicios suministrados externamente,
6. personal,
7. instalaciones;
b) distribuir los costos indirectos y asignar los costos directos a los servicios, para proporcionar un
costo total de cada servicio;
c) un control y aprobación financiera eficaces.
Los costos deben presupuestarse para permitir un control financiero eficaz y una toma de decisiones
sobre los servicios prestados.
El proveedor del servicio debe monitorizar y contrastar los costos contra el presupuesto, revisar las
previsiones financieras y gestionar los costos.
Debe proporcionarse información al proceso de gestión de cambios para dar soporte al cálculo del
costo de las peticiones de cambio.
NOTA. Muchos proveedores de servicios cobran por sus servicios. El alcance de la elaboración de
presupuestos y de la contabilidad de los servicios excluye el cobro.
3 Nota nacional: entiéndase por indisponibilidad, a la interrupción, no disponibilidad u otro estado que indique la no
continuidad de un servicio.
NTN 21 002-13
Continúa
23/35
6.5 Gestión de la capacidad. El proveedor del servicio debe identificar y acordar los
requisitos de capacidad y comportamiento con los clientes y las partes interesadas.
El proveedor del servicio debe elaborar, implementar y mantener un plan de capacidad teniendo en
cuenta los recursos humanos, técnicos, de información y financieros. Los cambios en el plan de la
capacidad se deben gestionar mediante el proceso de gestión de cambios.
El plan de capacidad debe incluir, al menos:
a) la demanda actual y prevista para los servicios;
b) el impacto esperado de los requisitos acordados de disponibilidad, continuidad de servicio y
niveles de servicio;
c) las escalas de tiempo, umbrales y costos de actualizaciones de la capacidad de los servicios;
d) el impacto potencial de cambios legales, regulatorios, contractuales u organizacionales;
e) el impacto potencial de nuevas tecnologías y nuevas técnicas;
f) los procedimientos para permitir el análisis predictivo, o referencias a ellos.
El proveedor del servicio debe monitorizar el uso de la capacidad, analizar los datos de capacidad y
ajustar el comportamiento. El proveedor del servicio debe proporcionar capacidad suficiente para
cumplir con los requisitos de capacidad y comportamiento acordados.
6.6 Gestión de la seguridad de la información.
6.6.1 Política de seguridad de la información.
Los miembros de la dirección con el nivel adecuado de autoridad deben aprobar una política de
seguridad de la información teniendo en cuenta los requisitos de los servicios, los requisitos legales y
regulatorios, y las obligaciones contractuales. La dirección debe:
a) comunicar la política de seguridad de la información y la importancia de cumplir con la política al
personal pertinente dentro del proveedor del servicio, a los clientes y a los suministradores;
b) garantizar que se establecen los objetivos de seguridad de la información;
c) definir el enfoque a tomar para la gestión de los riesgos de seguridad de la información y los
criterios para asumir los riesgos;
d) asegurar que se llevan a cabo las evaluaciones de riesgos de seguridad de la información a
intervalos planificados;
e) asegurar que se realizan auditorías internas de seguridad de la información;
f) asegurar que se revisan los resultados de las auditorías para identificar oportunidades de mejora.
6.6.2 Controles de seguridad de la información.
El proveedor del servicio debe implementar y operar los controles físicos, administrativos y técnicos
de seguridad de la información con el fin de:
a) preservar la confidencialidad, integridad y accesibilidad de los activos de información;
b) cumplir con los requisitos de la política de seguridad de la información;
c) alcanzar los objetivos de gestión de la seguridad de la información;
NTN 21 002-13
Continúa
24/35
d) gestionar los riesgos relacionados con la seguridad de la información.
Estos controles de seguridad de la información deben estar documentados y describir los riesgos a los
cuales hacen referencia, su operación y su mantenimiento.
El proveedor del servicio debe revisar la eficacia de los controles de seguridad de la información. El
proveedor del servicio debe llevar a cabo las acciones necesarias e informar de las acciones tomadas.
El proveedor del servicio debe identificar las organizaciones externas que tienen necesidad de acceder,
utilizar o gestionar información o servicios del proveedor del servicio. El proveedor del servicio debe
documentar, acordar e implementar controles de seguridad de la información con esas organizaciones
externas.
6.6.3 Cambios e incidencias de seguridad de la información.
Deben evaluarse las peticiones de cambio para identificar:
a) riesgos de seguridad de la información nuevos o modificados;
b) el impacto potencial sobre la actual política y sobre los controles de seguridad de la información.
Las incidencias de seguridad de la información se deben gestionar utilizando los procedimientos de
gestión de incidencias, con una prioridad adecuada para los riesgos de seguridad de la información. El
proveedor del servicio debe analizar los tipos, volumen e impacto de las incidencias de seguridad de la
información. Las incidencias de seguridad de la información deben ser comunicadas y revisadas para
identificar oportunidades de mejora.
NOTA. La familia de Normas de la serie ISO/IEC 27000 especifica los requisitos y proporciona orientación
para la implementación y operación de un Sistema de Gestión de Seguridad de la Información (SGSI).
7. PROCESOS DE RELACIÓN.
7.1 Gestión de relaciones con el negocio.
El proveedor del servicio debe identificar y documentar los clientes, usuarios y partes interesadas de
los servicios.
Para cada cliente, el proveedor del servicio debe nombrar a un responsable de gestionar la relación con
el cliente y su satisfacción.
El proveedor del servicio debe establecer un mecanismo de comunicación con los clientes. El medio de
comunicación debe fomentar el entendimiento del entorno de negocio en el que operan los servicios y
los requisitos de servicios nuevos o modificados. Esta información debe permitir al proveedor del
servicio prepararse para dar respuesta a esos requisitos.
El proveedor del servicio debe revisar con los clientes el comportamiento de los servicios a intervalos
planificados.
Los cambios en los requisitos del servicio documentados deben ser controlados mediante el proceso de
gestión de cambios. Los cambios a los SLA deben ser coordinados con el proceso de gestión de nivel
de servicio.
NTN 21 002-13
Continúa
25/35
Debe acordarse con el cliente una definición de reclamación sobre el servicio. Debe existir un
procedimiento documentado para gestionar las reclamaciones sobre el servicio recibidas del cliente. El
proveedor del servicio debe registrar, investigar, actuar, informar y cerrar las reclamaciones sobre el
servicio. Cuando una reclamación sobre el servicio no sea resuelta mediante los canales normales, se
debe proporcionar al cliente un mecanismo de escalado.
El proveedor del servicio debe medir la satisfacción del cliente a intervalos planificados sobre la base
de una muestra representativa de clientes y de los usuarios de los servicios. Los resultados deben ser
analizados y revisados para identificar oportunidades de mejora.
7.2 Gestión de suministradores.
El proveedor del servicio puede utilizar suministradores para implementar y operar algunas partes de
los procesos de gestión del servicio. En la figura 3 se ilustra un ejemplo de las relaciones en una
cadena de suministro.
Figura 3 Ejemplo de relaciones en una cadena de suministro
El proveedor del servicio debe designar para cada suministrador, una persona que sea responsable de
gestionar la relación, el contrato y el comportamiento del suministrador.
El proveedor del servicio y el suministrador deben acordar un contrato documentado. El contrato debe
contener o incluir referencia a:
a) alcance de los servicios a ser prestados por el suministrador;
b) dependencias entre servicios, procesos y las partes;
c) requisitos a ser satisfechos por el suministrador;
d) objetivos del servicio;
e) interfaces entre los procesos de gestión del servicio ejecutados por el suministrador y por terceros;
f) integración de las actividades del suministrador dentro del sistema de gestión del servicio;
g) características de la carga de trabajo;
h) las excepciones del contrato y cómo se manejan;
i) autoridades y responsabilidades del proveedor del servicio y del suministrador;
j) información y comunicación a ser facilitada por parte del suministrador;
k) bases para los cobros;
l) actividades y responsabilidades para la finalización normal o anticipada del contrato y la
transferencia de los servicios a terceros.
NTN 21 002-13
Continúa
26/35
El proveedor del servicio debe acordar con el suministrador niveles de servicio alineados para soportar
los SLA entre el proveedor del servicio y el cliente.
El proveedor del servicio debe asegurar que los roles y las relaciones entre, suministrador principal y
subcontratados están documentados. El proveedor del servicio debe verificar que los suministradores
principales gestionan a sus suministradores subcontratados para cumplir las obligaciones contractuales.
El proveedor del servicio debe revisar el comportamiento del suministrador frente al contrato. La
revisión debe ser realizada a intervalos planificados, para determinar que las obligaciones
contractuales son alcanzadas y que el contrato refleja los requisitos actuales.
Los cambios en el contrato se deben controlar por el proceso de gestión de cambios.
Debe existir un procedimiento documentado para gestionar los desacuerdos contractuales entre el
proveedor del servicio y el suministrador.
NOTA 1. El alcance del proceso de gestión de suministradores excluye la selección de los suministradores y la
adquisición de servicios.
NOTA 2. En la norma ISO/IEC 20000-3 se muestran más ejemplos de las relaciones en la cadena de suministro.
8. PROCESOS DE RESOLUCIÓN
8.1 Gestión de incidencias y peticiones de servicio.
Debe existir un procedimiento documentado para todas las incidencias que defina:
a) registro;
b) asignación de prioridad;
c) clasificación;
d) actualización de registros;
e) escalado;
f) resolución;
g) cierre.
Debe existir un procedimiento documentado para gestionar las peticiones de servicio desde su registro
hasta su cierre. Las incidencias y peticiones de servicio deben ser gestionadas de acuerdo a estos
procedimientos.
En la priorización de las incidencias y peticiones de servicio, el proveedor del servicio debe tener en
cuenta el impacto y la urgencia de la incidencia o la petición de servicio.
El proveedor del servicio debe asegurar que el personal que participa en el proceso de gestión de
incidencias y peticiones de servicio puede acceder y usar la información relevante. La información
relevante debe incluir procedimientos para gestionar peticiones de servicio, errores conocidos,
soluciones de problemas y la CMDB. La información sobre el éxito o el fracaso de las entregas y las
fechas de futuras entregas, del proceso de gestión de entregas y despliegues, debe ser utilizada por el
proceso de gestión de incidencias y peticiones de servicio.
NTN 21 002-13
Continúa
27/35
El proveedor del servicio debe mantener informado al cliente sobre el progreso de las incidencias o
peticiones de servicio que haya reportado. Si los objetivos de servicio no se pueden alcanzar, el
proveedor del servicio debe informar al cliente y a las partes interesadas y realizar su escalado de
acuerdo a un procedimiento.
El proveedor del servicio debe documentar y acordar con el cliente la definición de incidencia grave.
Las incidencias graves deben ser clasificadas y gestionadas de acuerdo a un procedimiento
documentado. La alta dirección debe ser informada de las incidencias graves. La alta dirección debe
asegurar que es nombrado un responsable de gestionar la incidencia grave. Una vez que el servicio
acordado ha sido restaurado, las incidencias graves deben ser revisadas para identificar oportunidades
para la mejora.
8.2 Gestión de problemas. Debe existir un procedimiento documentado para identificar
problemas y minimizar o evitar el impacto de las incidencias y los problemas.
El procedimiento para los problemas debe definir:
a) identificación;
b) registro;
c) asignación de prioridad;
d) clasificación;
e) actualización de registros;
f) escalado;
g) resolución;
h) cierre.
Los problemas deben ser gestionados de acuerdo a este procedimiento.
El proveedor del servicio debe analizar los datos y tendencias sobre incidencias y problemas para
identificar la causa raíz y su potencial acción preventiva.
Los problemas que requieren cambios en un elemento de configuración (CI) deben ser resueltos
mediante la generación de una petición de cambio.
Cuando la causa raíz del problema ha sido identificada, pero el problema no ha sido resuelto de manera
permanente, el proveedor del servicio debe identificar acciones para reducir o eliminar el impacto del
problema en los servicios. Los errores conocidos deben ser registrados.
La eficacia de la resolución de problemas debe ser monitorizada, revisada y se debe informar sobre la
misma.
Se debe facilitar al proceso de gestión de incidencias y peticiones de servicio la información
actualizada sobre errores conocidos y soluciones de problemas.
NTN 21 002-13
Continúa
28/35
9. PROCESOS DE CONTROL
9.1 Gestión de la configuración. Debe existir una definición documentada de cada tipo de
CI.
La información registrada para cada CI debe asegurar el control eficaz e incluir al menos:
a) descripción del CI;
b) relación(es) entre el CI y otros CI;
c) relación(es) entre el CI y los componentes del servicio;
d) estado;
e) versión;
f) ubicación;
g) peticiones de cambio asociadas;
h) problemas y errores conocidos asociados.
Los CI deben ser identificados de manera única y registrados en una CMDB. La CMDB debe ser
gestionada para asegurar su fiabilidad y precisión, incluyendo el control de accesos actualizados.
Debe existir un procedimiento documentado para el registro, control y seguimiento de las versiones de
los CI. El grado de control debe mantener la integridad de los servicios y sus componentes teniendo en
cuenta los requisitos de servicio y los riesgos asociados con los CI.
El proveedor del servicio debe auditar los registros almacenados en la CMDB, a intervalos
planificados. Cuando se encuentren deficiencias, el proveedor del servicio debe tomar las acciones
necesarias e informar sobre las medidas adoptadas.
Se debe proporcionar información de la CMDB al proceso de gestión de cambios para soportar la
evaluación de las peticiones de cambio.
Los cambios en los CI deben ser trazables y auditables para garantizar la integridad de los CI y los
datos de la CMDB.
Se debe tomar una línea de base de configuración de los CI afectados antes del despliegue de una
entrega en el entorno de producción.
Se deben almacenar copias maestras de los CI registrados en la CMDB en una ubicación física segura
o en bibliotecas digitales, referenciadas en los registros de configuración. Esto debe incluir, al menos,
documentación, información de licencias, el software y, en su caso, las imágenes de la configuración
del hardware.
Debe existir una interfaz definida entre el proceso de gestión de la configuración y el proceso de
gestión de activos financieros.
NOTA. El alcance del proceso de gestión de la configuración no incluye la gestión de activos financieros.
NTN 21 002-13
Continúa
29/35
9.2 Gestión de cambios.
Se debe establecer una política de gestión de cambios que defina:
a) los CI que están bajo el control de la gestión de cambios;
b) los criterios para determinar los cambios con el potencial de tener un gran impacto en los servicios
o en el cliente.
La eliminación de un servicio se debe clasificar como un cambio a un servicio con un gran impacto
potencial. La transferencia de un servicio del proveedor del servicio al cliente o a un tercero distinto se
debe clasificar como un cambio con un alto impacto potencial.
Debe existir un procedimiento documentado para registrar, clasificar, evaluar y aprobar las solicitudes
de cambio.
El proveedor del servicio debe documentar y acordar con el cliente la definición de un cambio de
emergencia.
Debe existir un procedimiento documentado para la gestión de cambios de emergencia.
Todos los cambios a un servicio o componente de un servicio se deben promover utilizando una
petición de cambio. Las peticiones de cambio deben tener un alcance definido.
Todas las peticiones de cambio se deben registrar y clasificar. Las peticiones de cambio clasificadas
con gran impacto en los servicios o el cliente, se deben gestionar mediante el proceso de diseño y
transición de servicios nuevos o modificados. Todas las demás solicitudes de cambio de un CI definido
en la política de gestión de cambios, se deben gestionar mediante el proceso de gestión de cambios.
Las peticiones de cambio se deben evaluar utilizando la información del proceso de gestión de
cambios y de otros procesos.
El proveedor del servicio y las partes interesadas deben tomar decisiones sobre la aprobación de las
peticiones de cambio. La toma de decisiones debe tener en cuenta los riesgos, los impactos potenciales
a los servicios y el cliente, los requisitos del servicio, los beneficios del negocio, la viabilidad técnica y
el impacto financiero.
Se deben desarrollar y probar los cambios aprobados.
Se debe establecer y comunicar a las partes interesadas una planificación de cambios, con los detalles
de los cambios aprobados y sus fechas propuestas de implementación. La planificación de cambios se
debe utilizar como base para la planificación del despliegue de las entregas.
Se deben planificar, y cuando sea posible probar, las actividades necesarias para revertir o reparar un
cambio no satisfactorio. El cambio se debe revertir o reparar si no tiene éxito. Los cambios no
satisfactorios se deben analizar y deben tomarse las medidas acordadas.
Los registros de la CMDB se deben actualizar tras el despliegue satisfactorio de los cambios.
NTN 21 002-13
Continúa
30/35
El proveedor del servicio debe revisar los cambios para comprobar su eficacia y tomar las medidas
acordadas con las partes interesadas.
Para detectar tendencias se deben analizar las peticiones de cambio a intervalos planificados. Los
resultados y conclusiones extraídas de los análisis se deben registrar y revisar para identificar
oportunidades de mejora.
9.3 Gestión de la entrega y despliegue. El proveedor del servicio debe establecer y acordar
con el cliente una política de entrega que indique la frecuencia y los tipos de entrega.
El proveedor del servicio debe planificar con el cliente y las partes interesadas la implementación de
servicios nuevos o modificados, y los componentes de servicio en el entorno de producción. La
planificación se debe coordinar con el proceso de gestión de cambios y debe incluir referencias a las
solicitudes relacionadas con el cambio, los errores conocidos y problemas que se cierran a través de la
entrega. La planificación debe incluir las fechas para el despliegue de cada entrega, los entregables y
los métodos de implementación.
El proveedor del servicio debe documentar y acordar con el cliente la definición de una entrega de
emergencia. Las entregas de emergencia se deben gestionar de acuerdo con un procedimiento
documentado que conecta con el procedimiento de cambios de emergencia.
Las entregas se deben construir y probar antes de su despliegue. Se debe utilizar un entorno controlado
de aceptación de pruebas para la construcción y prueba de las entregas.
Los criterios de aceptación para las entregas se deben acordar con el cliente y las partes interesadas.
Las entregas se deben verificar contra los criterios de aceptación acordados y aprobados antes del
despliegue. Si los criterios de aceptación no se cumplen, el proveedor del servicio debe tomar una
decisión con las partes interesadas sobre el despliegue y las acciones necesarias.
La entrega se debe desplegar en el entorno de producción de manera que la integridad del hardware,
software y otros componentes del servicio se mantengan durante el despliegue de la entrega.
Se deben planificar, y probar cuando sea posible, las actividades necesarias para revertir o reparar un
despliegue sin éxito de una entrega. El despliegue de la entrega se debe revertir o reparar si no tiene
éxito. Las entregas no satisfactorias se deben analizar y realizar las acciones acordadas.
El éxito o el fracaso de las entregas se deben controlar y analizar. Las mediciones deben incluir los
incidentes relacionados con una entrega en el período posterior al despliegue de dicha entrega. El
análisis debe incluir una evaluación del impacto de la entrega en el cliente. Los resultados y
conclusiones extraídos de los análisis se deben registrar y revisar para identificar oportunidades de
mejora.
Se debe facilitar a los procesos de gestión de cambios y de gestión de incidencias y de peticiones de
servicio información sobre el éxito o el fracaso de las entregas y las fechas de futuras entregas.
Se debe facilitar información al proceso de gestión de cambios para apoyar la evaluación del impacto
de las peticiones de cambio para las entregas y los planes de despliegue.
NTN 21 002-13
Continúa
31/35
10. BIBLIOGRAFÍA
Publicaciones de normas
[1] ISO/IEC 20000-2, Tecnología de la información. Gestión del servicio. Parte 2: Código de
buenas prácticas.
[2] ISO/IEC 20000-3, Tecnología de la información. Gestión del servicio. Parte 3: Directrices para
la definición del alcance y la aplicabilidad de la Norma ISO/IEC 20000-1.
[3] ISO/IEC TR 20000-4, Tecnología de la información. Gestión del servicio. Parte 4: Modelo de
referencia de procesos 4.
[4] ISO/IEC TR 20000-5, Tecnología de la información. Gestión del servicio. Parte 5: Ejemplo de
implantación de la Norma ISO/IEC 20000-1.
[5] ISO 9000:2005, Sistemas de gestión de la calidad. Fundamentos y vocabulario.
[6] ISO 9001, Sistemas de gestión de la calidad. Requisitos.
[7] ISO 9004:2009, Gestión para el éxito sostenido de una organización. Enfoque de gestión de la
calidad.
[8] ISO 10002, Gestión de la calidad. Satisfacción del cliente. Directrices para el tratamiento de las
quejas en las organizaciones.
[9] ISO 10007, Sistemas de gestión de la calidad. Directrices para la gestión de la configuración.
[10] ISO/IEC 15288, Ingeniería del software y sistemas. Procesos del ciclo de vida del sistema.
[11] ISO/IEC 15504-1, Tecnología de la información. Evaluación de procesos. Parte 1: Conceptos y
vocabulario.
[12] ISO/IEC 15504-2, Tecnología de la información. Evaluación de procesos. Parte 2: Evaluación
del comportamiento.
[13] ISO/IEC 15504-3, Tecnología de la información. Evaluación de procesos. Parte 3: Guía para la
evaluación del comportamiento.
[14] ISO 19011, Directrices para la auditoría de los sistemas de gestión de la calidad y/o ambiental.
[15] ISO/IEC 19770-1, Tecnología de la Información. Gestión de activos de software (SAM). Parte 1:
Procesos.
[16] ISO/IEC/IEEE 24765:2010, Ingeniería del software y sistemas. Vocabulario.
[17] ISO/IEC 27000, Tecnología de la información. Técnicas de seguridad. Sistemas de Gestión de
Seguridad de la Información (SGSI). Generalidades y vocabulario.
[18] ISO/IEC 27001, Tecnología de la información. Técnicas de seguridad. Sistemas de Gestión de
Seguridad de la Información (SGSI). Especificaciones.
[19] ISO/IEC 27005, Tecnología de la información. Técnicas de seguridad. Gestión de los riesgos de
seguridad de la información.
[20] ISO 31000, Gestión del riesgo. Principios y directrices.
NTN 21 002-13
Continúa
32/35
Anexo Nacional A
(Informativo)
Este anexo de carácter informativo, no forma parte de la Norma ISO/IEC 20000-1:2011, es un anexo
incluido únicamente en esta Norma, que muestra en forma de tabla la correspondencia entre esta
Norma y la Norma ISO 9001:2008 con objeto de facilitar la implantación de ambos modelos de
gestión.
Tabla A.1
Correspondencia entre esta Norma E ISO 9001:2008 Esta Norma UNE-EN ISO 9001: 2008
I. INTRODUCCIÓN
Generalidades
0 INTRODUCCIÓN 0.1 Generalidades
0.2 Enfoque basado en procesos
0.3 Relación con la Norma ISO 9004
0.4 Compatibilidad con otros sistemas de gestión
1. OBJETO 1.1 Generalidades
1.2 Aplicación
1. OBJETO Y CAMPO DE APLICACIÓN 1.1 Generalidades
1.2 Aplicación
2.NORMAS PARA CONSULTA 2. NORMAS PARA CONSULTA
3. TÉRMINOS Y DEFINICIONES 3.TÉRMINOS Y DEFINICIONES
4. REQUISITOS GENERALES DEL SISTEMA DE
GESTIÓN DEL SERVICIO
4. SISTEMA DE GESTIÓN DE LA CALIDAD
4.1 Responsabilidad de la dirección 5. RESPONSABILIDAD DE LA DIRECCIÓN
4.1.1 Compromiso de la dirección 5.1 Compromiso de la dirección
4.1.2 Política de gestión del servicio 5.3 Política de la calidad
4.1.3 Autoridad, responsabilidad y comunicación 5.5 Responsabilidad, autoridad y comunicación
4.1.4 Representante de la dirección 5.5.2 Representante de la dirección
4.2 Gobierno de los procesos operados por terceros 7.2 Procesos relacionados con el cliente
4.3 Gestión de la documentación 4.2 Requisitos de la documentación
4.3.1 Establecimiento y mantenimiento de documentos 4.2.2 Manual de la Calidad
4.3.2 Control de documentos
4.3.3 Control de registros
4.2.3 Control de los documentos 4.2.4. Control de los
registros
4.4 Gestión de recursos 6. GESTIÓN DE RECURSOS
4.4.1 Provisión de recursos 6.1 Provisión de recursos
4.4.2 Recursos humanos 6.2 Recursos Humanos
6.2.1 Generalidades
6.2.2 Competencia, formación y toma de conciencia
4.5 Establecer y mejorar el SGS
4.5.1 Definir el alcance
5.3 Política de la calidad
4.5.2 Planificar el SGS (Planificar) 5.4 Planificación
4.5.3 Implementar y operar el SGS (Hacer)
7.5 Producción y prestación del servicio
7.5.1 Control de la producción y de la prestación del
servicio 4.5.4.3 Revisión por la Dirección
4.5.5 Mantener y mejorar el SGS (Actuar)
5.6.1 Generalidades
5.6 Revisión por la dirección
4.5.5.1 Generalidades 5.3 Política de la calidad
NTN 21 002-13
Continúa
33/35
Esta Norma UNE-EN ISO 9001: 2008
4.5.4 Monitorizar y revisar el SGS (Verificar)
4.5.4.1 Generalidades
8.2 Seguimiento y medición 8.4 Análisis de datos
4.5.4.2 Auditoría interna 8.2.2 Auditoría Interna
4.5.5.2 Gestión de mejoras 8.5 Mejora
5. DISEÑO Y TRANSICIÓN DE SERVICIOS
NUEVOS O MODIFICADOS
7.3. Diseño y desarrollo
5.1 Generalidades
5.2 Planificación de servicios nuevos o modificados
7.3.1 Planificación del diseño y desarrollo
5.3 Diseño y desarrollo de servicios nuevos o modificados 7.3.2. Elementos de entrada para el diseño y desarrollo
7.3.3. Resultados del diseño y desarrollo
5.4 Transición de servicios nuevos o modificados 7.3.4 Revisión del diseño y desarrollo
7.3.5 Verificación del diseño y desarrollo
7.3.7 Validación del diseño y desarrollo
6. PROCESOS DE PROVISIÓN DEL SERVICIO 6.1 Gestión del nivel de servicio
6.2 Informes del servicio
7.2 Procesos relacionados con el cliente
5.2 Enfoque al cliente
7.2.1 Determinación de los requisitos relacionados con el
producto
7.2.3 Comunicación con el cliente
8.2.4 Seguimiento y medición del producto
7.5.1 Control de la producción y de la prestación del
servicio
6.3 Gestión de la continuidad y disponibilidad del servicio
6.3.1 Requisitos de continuidad y disponibilidad del
servicio
6.3.2 Planes de continuidad y disponibilidad
6.3 Infraestructura
6.4 Ambiente de trabajo
6.3.3 Monitorización y prueba de la continuidad y la
disponibilidad del servicio
6.4 Elaboración de presupuesto y contabilidad de los
servicios
7.1 Planificación de la realización del producto
6.5 Gestión de la capacidad 7.1 Planificación de la realización del producto
6.6 Gestión de la seguridad de la información
6.6.1 Política de seguridad de la Información
6.6.2 Controles de seguridad de la Información
6.6.3 Cambios e incidencias de seguridad de la información
7.5.4 Propiedad del cliente
7.5.5 Preservación del producto
7 Procesos de relación
7.1 Gestión de relaciones con el negocio
7.2 Gestión de suministradores
7.2 Procesos relacionados con el cliente 7.4 Compras
8 Procesos de resolución
8.1 Gestión de incidencias y peticiones de servicio 8.3 Control del producto no conforme
8.2 Gestión de problemas 8.3 Control del producto no conforme 8.5 Mejora
9 Procesos de control
9.1 Gestión de la configuración
7.5.3 Identificación y trazabilidad
9.2 Gestión de cambios 7.2 Procesos relacionados con el cliente
7.3.7 Control de cambios del diseño y desarrollo
9.3 Gestión de la entrega y despliegue 7.5.1 Control de la producción y de la prestación del
servicio
7.1 Planificación de la realización del producto
NTN 21 002-13
Continúa
34/35
ANEXO B
(Informativo)
Matriz de cambios a la versión nicaragüense de la Norma española UNE-ISO/IEC 20000-1:2011
equivalente a la Norma Internacional ISO/IEC 20000-1:2011
Introducción.
El Comité Técnico decidió realizar modificaciones mínimas que se muestran en la tabla siguiente:
Página Texto Original Cambios Justificación
4
norma internacional norma Estructura de DNM para
adopción de normas
voluntarias basándose en
la Guía ISO 21
6
En la Nota del objeto de la norma
dice El Informe Técnico ISO/IEC
TR 20000-3
La norma ISO/IEC
20000-3,
Se cambió la palabra El
Informe Técnico porque
la Dirección de
Normalización hace
normas y no informe y
también se le borró el TR
6
En el pie de página decía
1Pendiente de publicación a la
fecha de edición de esta norma.
Se eliminó el pie de
página
La eliminación del pie de
página se debió a que el
documento ya está
publicado.
7
En el acápite 3.3 Elemento de
configuración, CI (configuration
item) Elemento “que” es necesario
controlar para proveer uno o varios
servicios.
se le agregó la palabra
“que”
A fin de facilitar la
comprensión
8
A la definición 3.11 Seguridad de
la información NOTA 2. El término
“disponibilidad” no se ha utilizado
en esta definición porque es un
término definido en esta parte de la
Norma ISO/IEC 20000 lo que hace
que no sea apropiado para esta
definición.
Se agregaron dos notas.
NOTA 1. Además,
pueden estar
involucradas otras
propiedades como la
autenticidad,
responsabilidad, no
repudio y fiabilidad.
NOTA 3. Adaptado de la
ISO/IEC 27000:2009.
1. Se agregaron dos Notas,
porque la norma
española que es la que se
está adoptando por un
error de olvido o de
traducción no pusieron
las notas de la norma
ISO de la que ellos (los
españoles) la estaban
adoptando.
8
3.17 Organización
(organization).
EJEMPLOS Compañía,
corporación, firma, empresa,
institución, institución de
beneficencia, empresa unipersonal,
asociación, o parte “de” o una
Se eliminó la vocal o 2. A fin de facilitar la
comprensión
NTN 21 002-13
Continúa
35/35
combinación de las anteriores.
9
3.25 Riesgo (risk). Efecto
de la incertidumbre sobre la
consecución de los objetivos.
NOTA1. Un efecto es una
desviación positiva y/o negativa
frente a “lo” previsto.
En la NOTA1. Se le
agregó “lo”
A fin de facilitar la
comprensión
13
Se agregó pie de página Nota de texto
Nota Nacional:
Entiéndase por mantener
o conservar: custodiar,
salvaguardar etc.
A fin de facilitar la
comprensión
15
4.5.2 Planificar el SGS
(Planificar).
f)autoridades y responsabilidades
de los planes, los procesos de
gestión del servicio
f) autoridades y
responsabilidades de los
planes, los servicios y
procesos de gestión del
servicio
f) autoridades y
responsabilidades de los
planes, los servicios y
procesos de gestión del
servicio
A fin de facilitar la
comprensión
18,22,23
Se realizó un reemplazo general en
toda la norma del uso del término
costes por “costo”.
Reemplazo del termino
“costo”.
Para mejor comprensión
del documento
22
En el acápite 6.3.3
1 Nota nacional: entiéndase por
indisponibilidad, a la interrupción,
no disponibilidad u otro estado que
indique la no continuidad de un
servicio.
Se agregó una nota al pie
en el inciso 6.3.3 en el
término
“indisponibilidad”,
1. con el fin de aclarar su
uso.
-ÚLTIMA LÍNEA