NORMA TECNICA NICARAGÜENSE TECNOLOGÍA DE LA … DNM/NORMALIZACION... · incluidos los de una...

35
NORMA TECNICA NICARAGÜENSE TECNOLOGÍA DE LA INFORMACIÓN GESTIÓN DEL SERVICIO PARTE 1: REQUISITOS DEL SISTEMA DE GESTIÓN DEL SERVICIO (SGS) NTN 21 002-13 NORMA TÉCNICA NICARAGÜENSE Comisión Nacional de Normalización Técnica y Calidad, Ministerio de Fomento, Industria y Comercio Telefax: 22489300 Ext. 2228. Norma Técnica Nicaragüense (NTN) ICS 35.020, 03.080.99 NTN 21 002-13 Mayo 2013 1/35 Esta norma técnica es una adopción de la norma española UNE-ISO/IEC 20000-1:2011 equivalente a la Norma Internacional ISO/IEC 20000-1:2011 Derecho de reproducción reservado

Transcript of NORMA TECNICA NICARAGÜENSE TECNOLOGÍA DE LA … DNM/NORMALIZACION... · incluidos los de una...

NORMA TECNICA NICARAGÜENSE

TECNOLOGÍA DE LA INFORMACIÓN

GESTIÓN DEL SERVICIO

PARTE 1: REQUISITOS DEL SISTEMA DE GESTIÓN

DEL SERVICIO (SGS)

NTN

21 002-13

NORMA TÉCNICA NICARAGÜENSE

Com

isió

n N

aci

on

al

de

Norm

ali

zaci

ón

Téc

nic

a y

Cali

dad

, M

inis

teri

o d

e F

om

ento

, In

du

stri

a y

Com

erci

o

Tel

efax:

22489300 E

xt.

2228. N

orm

a T

écn

ica N

icara

ense

(N

TN

)

ICS 35.020, 03.080.99 NTN 21 002-13 Mayo 2013 1/35

Esta norma técnica es una adopción de la norma española UNE-ISO/IEC 20000-1:2011

equivalente a la Norma Internacional ISO/IEC 20000-1:2011

Derecho de reproducción reservado

NTN 21 002-13

Continúa

2/35

La Norma Técnica Nicaragüense denominada NTN 21 002-13 Tecnología de la información -

Gestión del servicio - Parte 1: Requisitos del sistema de gestión del servicio (SGS), ha sido

preparada por el Comité técnico en su elaboración participaron las siguientes personas:

Adolfo Marcelo Gaitán Gutiérrez Banco Central de Nicaragua

Raduan José Villalta Saavedra CONICYT/Vicepresidencia

Ligia Méndez Flores Dirección General de Servicios Aduaneros

José Bladimir García Sánchez Dirección General de Ingresos

Norberto Olivares Zavala Dirección General de Ingresos

Claudia María Benites Hernández Instituto Nicaragüense de Telecomunicaciones y

Correos

Hans Humberto Espinoza Acuña Ministerio de Hacienda y Crédito Público

Silvia Elena Sirias Alvarado Ministerio de Hacienda y Crédito Público

José Torres Gómez Ministerio de Hacienda y Crédito Público

Carlos Rodrigo Chavarría Juárez Ministerio de Gobernación

Huascar Mauricio López Álvarez Superintendencia de Bancos y Otras Instituciones

Financieras

Alberto Abdel Jarquín Hernández Superintendencia de Bancos y Otras Instituciones

Financieras

Fernando José López González Universidad Nacional Autónoma de Nicaragua,

Managua

Esta norma fue aprobada por el Comité Técnico en su última sesión de trabajo el día Martes 7 de Mayo del

2013.

NTN 21 002-13

Continúa

3/35

I. INTRODUCCIÓN

Generalidades

Los requisitos de esta parte de la Norma ISO/IEC 20000 incluyen el diseño, transición, provisión, y la

mejora de los servicios para cumplir con los requisitos del servicio, y aportar un valor tanto para el

cliente como para el proveedor del servicio. Esta parte de la Norma ISO/IEC 20000 requiere al

proveedor del servicio un enfoque basado en procesos integrados cuando planifica, establece,

implementa, opera, controla, revisa, mantiene y mejora un Sistema de Gestión del Servicio (SGS).

La integración e implementación coordinada de un SGS proporciona un control continuo y una serie

de oportunidades para la mejora continua, así como una mayor eficacia y eficiencia. La operación de

los procesos según lo especificado en esta parte de la Norma ISO/IEC 20000 requiere que el personal

esté bien organizado y coordinado. Pueden utilizarse las herramientas que se consideren apropiadas

para posibilitar que los procesos sean eficaces y eficientes.

Los proveedores de servicios más eficaces consideran el impacto sobre el SGS a lo largo de todas las

etapas del ciclo de vida del servicio, comenzando desde la estrategia y continuando por el diseño,

transición y operación, incluyendo la mejora continua.

Esta parte de la Norma ISO/IEC 20000 requiere la aplicación de la metodología conocida como

"Planificar-Hacer-Verificar-Actuar" (PDCA, del inglés Plan-Do-Check-Act) para todas las partes del

SGS y para los servicios. La metodología PDCA, tal como se aplica en esta parte de la Norma

ISO/IEC 20000, se puede describir brevemente como sigue:

Planificar: establecer, documentar y acordar el SGS. El SGS incluye las políticas, objetivos, planes y

procesos para cumplir con los requisitos de los servicios.

Hacer: implementar y operar el SGS para el diseño, transición, provisión y mejora de los servicios.

Verificar: monitorizar, medir y revisar el SGS y los servicios contra las políticas, objetivos, planes y

requisitos del servicio e informar de los resultados.

Actuar: adoptar medidas para mejorar de una manera continua el comportamiento del SGS y los

servicios.

Cuando se utiliza dentro de un SGS, los aspectos más importantes de un enfoque de procesos

integrados y la metodología PDCA son los siguientes:

a) entender y cumplir los requisitos de servicio para lograr la satisfacción del cliente;

b) establecer la política y objetivos de la gestión del servicio;

c) diseñar y proveer mediante el SGS, servicios que aportan valor al cliente;

d) monitorizar, medir y revisar el comportamiento del SGS y de los servicios;

e) mejorar de forma continua el SGS y los servicios utilizando mediciones objetivas.

La figura 1 ilustra cómo se puede aplicar la metodología PDCA al SGS, incluidos los procesos de

gestión del servicio que se especifican en los capítulos 5 a 9, y los servicios. Cada elemento de la

metodología PDCA es una parte vital para la implementación exitosa de un SGS. El proceso de mejora

utilizado en esta parte de la Norma ISO/IEC 20000 se basa en la metodología PDCA.

NTN 21 002-13

Continúa

4/35

Figura 1 — Metodología PDCA aplicada a la gestión del servicio

Esta parte de la Norma ISO/IEC 20000 permite a un proveedor del servicio integrar su SGS con otros sistemas de gestión de su organización. La adopción de un enfoque de procesos integrados y de la metodología PDCA permite al proveedor del servicio alinear, o integrar plenamente, las múltiples normas de sistemas de gestión. Por ejemplo, un SGS se puede integrar con un sistema de gestión de calidad basado en la Norma ISO 9001 o un sistema de gestión de la seguridad de la información basado en la Norma ISO/IEC 27001.

La Norma ISO/IEC 20000 es intencionadamente independiente de guías específicas. El proveedor del servicio puede utilizar una combinación de guías generalmente aceptadas por el sector junto a su propia experiencia.

Los usuarios de una norma son responsables de su correcta aplicación. Una norma no pretende incluir todas las obligaciones necesarias, requisitos legales y obligaciones contractuales del proveedor del servicio. La conformidad con una norma internacional no confiere inmunidad frente a requisitos legales y regulatorios.

Con el propósito de investigar sobre las normas de gestión del servicio, los usuarios están invitados a compartir sus puntos de vista sobre la Norma ISO/IEC 20000-1 y sus prioridades para los cambios en el resto de documentos de la serie ISO/IEC 20000. Seleccione el enlace siguiente para participar en la encuesta en línea.

Encuesta ISO/IEC 20000-11

1 http://www.surveymonkey.com/s/20000-1

Verificar

Hacer

Planificar

Actuar

Sistema de

Gestión del Servicio

Procesos de

gestión del

servicio

Servicios

NTN 21 002-13

Continúa

5/35

1. OBJETO

1.1 Generalidades. Esta parte de la serie ISO/IEC 20000 es una norma que contiene un

Sistema de Gestión del Servicio (SGS). Especifica al proveedor del servicio los requisitos para

planificar, establecer, implementar, operar, monitorizar, revisar, mantener y mejorar un SGS. Los

requisitos incluyen el diseño, transición, provisión, y la mejora de los servicios para satisfacer los

requisitos de servicio. Esta parte de la serie ISO/IEC 20000 puede ser utilizada por:

a) una organización que demande servicios a los proveedores del servicio y que necesite garantía de

cumplimiento de sus requisitos de servicio;

b) una organización que requiera un enfoque consistente de todos sus proveedores del servicio,

incluidos los de una cadena de suministro;

c) un proveedor del servicio que tiene la intención de demostrar su capacidad en el diseño, transición,

provisión y mejora de los servicios que cumplen los requisitos del servicio;

d) un proveedor del servicio para monitorizar, medir y revisar sus procesos de gestión del servicio y

los servicios;

e) un proveedor del servicio para mejorar el diseño, transición y provisión de los servicios mediante

una implementación y operación eficaces del SGS;

f) un asesor o auditor, para evaluar la conformidad del SGS de un proveedor del servicio respecto a

los requisitos de esta parte de la serie ISO/IEC 20000.

La figura 2 muestra el SGS, e incluye los procesos de gestión del servicio. Los procesos de gestión del

servicio y las relaciones entre los procesos se pueden implementar de diferentes formas por cada

proveedor del servicio. La naturaleza de la relación entre cada proveedor del servicio y el cliente

influirá en la forma de implementar los procesos de gestión del servicio.

Figura 2 - Sistema de Gestión del Servicio

Sistema de Gestión del Servicio (SGS)

Responsabilidad de la dirección Gobierno de los procesos operados por terceros

Establecer el SGS Gestión de la documentación

Gestión de los recursos

Diseño y transición de servicios nuevos o modificados

Procesos de provisión del servicio

Gestión de la capacidad Gestión del

nivel de servicio

Gestión de la seguridad de la

información

Gestión de la continuidad

y disponibilidad del servicio

Informes del

servicio

Elaboración de presupuesto y

contabilidad de los servicios

Procesos de resolución

Gestión de incidentes y peticiones

de servicio

Gestión de problemas

Procesos de relación

Gestión de relaciones con el

negocio

Gestión de suministradores

Clientes

(y otras partes

interesadas)

Procesos de Control

Gestión de la configuración

Gestión de cambios

Gestión de la entrega y despliegue

Requisitos

del servicio

Clientes

(y otras partes

interesadas)

Servicios

NTN 21 002-13

Continúa

6/35

1.2 Aplicación. Todos los requisitos contenidos en esta parte de la serie ISO/IEC 20000 son generales y están destinados a aplicarse a todos los proveedores del servicio, independientemente de su tipo, tamaño, o de la naturaleza de los servicios entregados. No es aceptable la exclusión de cualquiera de los requisitos contenidos en los capítulos 4 a 9 cuando un proveedor del servicio declara la conformidad con esta parte de la serie ISO/IEC 20000, independientemente de la naturaleza de la organización del proveedor del servicio.

La conformidad con los requisitos del capítulo 4 sólo puede ser demostrada por un proveedor del servicio mostrando evidencias del cumplimiento de todos los requisitos del capítulo 4. Para los requisitos del capítulo 4, un proveedor del servicio no puede delegar en evidencias de gobierno de procesos que sean operados por terceros.

El proveedor del servicio puede demostrar la conformidad con los requisitos de los capítulos del 5 al 9 mostrando evidencias de cumplimiento de todos los requisitos. Como alternativa, el proveedor del servicio puede mostrar evidencias de cumplimiento de la mayoría de los requisitos y evidencias de gobierno de procesos, o parte de los procesos, operados por terceros que el proveedor del servicio no opera directamente.

El alcance de esta parte de la Norma ISO/IEC 20000 excluye la especificación de un producto o herramienta. Sin embargo, las organizaciones pueden usar esta parte de la Norma ISO/IEC 20000 para ayudarles en el desarrollo de productos o herramientas que soporten la operación del SGS.

NOTA. La norma ISO/IEC 20000-3 proporciona directrices en la definición del alcance y aplicabilidad de esta

parte de la serie ISO/IEC 20000. Incluye una explicación ampliada sobre el gobierno de procesos operados por

terceros.

2. NORMAS PARA CONSULTA

Las normas que a continuación se indican son indispensables para la aplicación de esta norma. Para las

referencias con fecha, sólo se aplica la edición citada. Para las referencias sin fecha se aplica la última

edición de la norma (incluyendo cualquier modificación de ésta).

No se citan normas para consulta. Este capítulo se incluye para asegurar que la numeración de los

capítulos de esta norma es idéntica a la Norma ISO/IEC 20000-2: Tecnologías de la Información.

Gestión del Servicio. Parte 2: Guía para la aplicación del Sistema de Gestión del Servicio (SGS).

3. TÉRMINIOS Y DEFINICIONES

Para los fines de este documento, se aplican los términos y definiciones siguientes:

3.1 disponibilidad (availability). Capacidad de un servicio, o componente de un servicio, de

realizar la función requerida en un momento acordado o durante un periodo de tiempo acordado.

NOTA. La disponibilidad se expresa normalmente como un ratio o porcentaje de tiempo en el que el servicio o

componente del servicio está efectivamente disponible para su uso por parte del cliente en relación con el

tiempo acordado en que el servicio debería estar disponible.

3.2 Línea base de configuración (configuration baseline). Información de configuración

formalmente designada en un momento específico durante la vida de un servicio o de un componente

del servicio.

NOTA 1. Las líneas base de configuración, junto con los cambios aprobados para esas líneas base, constituyen

la información de configuración actual.

NTN 21 002-13

Continúa

7/35

NOTA 2. Adaptado de ISO/IEC/IEEE 24765:2010.

3.3 Elemento de configuración, CI (configuration item). Elemento que es necesario

controlar para proveer uno o varios servicios.

3.4 Base de datos de la configuración, CMDB (configuration management database). Base

de datos utilizada para registrar atributos de los elementos de configuración, y las relaciones entre los

elementos de configuración, a lo largo del ciclo de vida del servicio.

3.5 Mejora continua (continual improvement). Actividad recurrente para aumentar la

capacidad de cumplir con los requisitos del servicio.

NOTA. Adaptado de ISO 9000:2005.

3.6 Acción correctiva (corrective action). Acción tomada para eliminar la causa, o reducir la

probabilidad de recurrencia, de una no conformidad detectada u otra situación indeseable.

NOTA. Adaptado de ISO 9000:2005.

3.7 Cliente (customer). Organización o parte de una organización que recibe uno o varios

servicios.

NOTA 1. Un cliente puede ser interno o externo a la organización del proveedor del servicio.

NOTA 2. Adaptado de ISO 9000:2005.

3.8 Documento (document). Información y su medio de soporte.

[ISO 9000:2005]

EJEMPLOS. Políticas, planes, descripción de procesos, procedimientos, acuerdos de nivel de

servicio, contratos o registros.

NOTA 1. La documentación puede estar en cualquier formato o tipo de medio.

NOTA 2. En la Norma ISO/IEC 20000, los documentos, excepto en el caso de los registros, establecen la

intención de lograr algo.

3.9 Eficiencia (effectiveness). Grado en que se realizan las actividades planificadas y se

alcanzan los resultados planificados.

[ISO 9000:2005]

3.10 Incidencia (incident). Interrupción inesperada de un servicio, reducción en la calidad de

un servicio o fallo de un elemento de configuración que aún no ha tenido impacto en el servicio.

3.11 Seguridad de la información (information security). La preservación de la

confidencialidad, integridad y accesibilidad de la información.

NOTA 1. Además, pueden estar involucradas otras propiedades como la autenticidad, responsabilidad, no

repudio y fiabilidad.

NTN 21 002-13

Continúa

8/35

NOTA 2. El término “disponibilidad” no se ha utilizado en esta definición porque es un término definido en

esta parte de la Norma ISO/IEC 20000 lo que hace que no sea apropiado para esta definición.

NOTA 3. Adaptado de la ISO/IEC 27000:2009.

3.12 Incidencia de seguridad de la información (information security incident). Un único

evento o una serie de eventos de seguridad de la información inesperados o no deseados, que tienen

una probabilidad significativa de comprometer las operaciones del negocio y de amenazar la seguridad

de la información.

[ISO/IEC 27000:2009]

3.13 Parte interesada (interested party). Persona o grupo que tiene un interés específico en el

comportamiento o éxito de la actividad o actividades del proveedor del servicio.

EJEMPLOS. Clientes, propietarios, la dirección, personas en la organización del proveedor del

servicio, suministradores, entidades financieras, sindicatos o socios empresariales.

NOTA 1. Un grupo puede constar de una organización, una parte de la misma, o más de una organización.

NOTA 2. Adaptado de la ISO 9000:2005.

3.14 Grupo interno (internal group). Parte de la organización del proveedor del servicio

incluido en un acuerdo documentado con el proveedor del servicio para contribuir al diseño, transición,

provisión y mejora de uno o varios servicios.

NOTA. El grupo interno está fuera del alcance del SGS del proveedor del servicio.

3.15 Error conocido (known error). Problema que tiene identificados una causa raíz o un

método para reducir o eliminar su impacto sobre un servicio mediante un arreglo provisional.

3.16 No conformidad (nonconformity). Incumplimiento de un requisito.

[ISO 9000:2005]

3.17 Organización (organization). Conjunto de personas e instalaciones con una disposición

de responsabilidades, autoridades y relaciones.

EJEMPLOS Compañía, corporación, firma, empresa, institución, institución de beneficencia, empresa

unipersonal, asociación, o parte de una combinación de las anteriores.

NOTA 1. Dicha disposición es generalmente ordenada.

NOTA 2. Una organización puede ser pública o privada.

[ISO 9000:2005]

3.18 Acción preventiva (preventive action). Acción tomada para evitar o eliminar la causa, o

para reducir la probabilidad de ocurrencia de una no conformidad potencial u otra situación no

deseada.

NOTA. Adaptada de la ISO 9000:2005.

NTN 21 002-13

Continúa

9/35

3.19 Problema (problem). Causa raíz de una o más incidencias.

NOTA. La causa raíz normalmente no es conocida en el momento que se crea un registro del problema y el

proceso de gestión de problemas es responsable de una investigación en profundidad.

3.20 Procedimiento (procedure). Forma específica para llevar a cabo una actividad o un

proceso.

[ISO 9000:2005]

NOTA. Los procedimientos pueden ser documentados o no.

3.21 Proceso (process). Conjunto de actividades mutuamente relacionadas o que interactúan,

las cuales transforman elementos de entrada en resultados.

[ISO 9000:2005]

3.22 Registro. Documento (3.8) que presenta resultados alcanzados o proporciona evidencia

de actividades desempeñadas.

[ISO 9000:2005]

EJEMPLOS. Informes de auditoría, informes de incidencias, registros de formación o actas de

reuniones.

3.23 Entrega (release). Recopilación, de uno o más elementos de configuración nuevos o

modificados desplegada en el entorno de producción como consecuencia de uno o más cambios.

3.24 Petición de cambio (request for change). Propuesta de modificación a aplicar a un

servicio, a un componente del servicio o al sistema de gestión del servicio.

NOTA. Un cambio en un servicio incluye la provisión de un servicio nuevo o la retirada de un servicio que ya

no es necesario.

3.25 Riesgo (risk). Efecto de la incertidumbre sobre la consecución de los objetivos.

NOTA 1. Un efecto es una desviación positiva y/o negativa frente a lo previsto.

NOTA 2. Los objetivos pueden tener diferentes aspectos (tales como financieros, de salud y seguridad, y

ambientales) y se pueden aplicar a diferentes niveles (tales como nivel estratégico, nivel de un proyecto, de un

producto, de un proceso o de una organización completa).

NOTA 3.Con frecuencia, el riesgo se caracteriza por referencia a sucesos potenciales y a sus consecuencias, o a

una combinación de ambos.

NOTA 4. Con frecuencia, el riesgo se expresa en términos de combinación de las consecuencias de un suceso

(incluyendo los cambios en las circunstancias) y de su probabilidad.

[ISO 31000:2009]

3.26 Servicio (service). Medio de entrega de valor al cliente facilitando que alcance los

resultados que quiere lograr.

NTN 21 002-13

Continúa

10/35

NOTA 1. El servicio es generalmente intangible.

NOTA 2. Un servicio puede también ser provisto al proveedor del servicio por un suministrador, un grupo

interno o un cliente actuando como suministrador.

3.27 Componente del servicio (service component). Unidad individual de un servicio que

cuando se combina con otras unidades provee un servicio completo.

EJEMPLOS. Hardware, software, herramientas, aplicaciones, documentación, información, procesos o

servicios de soporte.

NOTA. Un componente del servicio puede constar de uno o más elementos de configuración.

3.28 Continuidad del servicio (service continuity). Capacidad de gestionar los riesgos y

sucesos que puedan tener un grave impacto en el servicio con el fin de prestar de forma continua los

servicios en los niveles acordados.

3.29 Acuerdo de nivel de servicio, SLA (service level agreement). Acuerdo documentado

entre el proveedor del servicio y el cliente que identifica los servicios y sus objetivos.

NOTA 1. Un acuerdo de nivel de servicio puede también establecerse entre un proveedor del servicio y un

suministrador, un grupo interno o un cliente actuando como suministrador.

NOTA 2. Un acuerdo de nivel de servicio puede ser incluido en un contrato u otro tipo de acuerdo

documentado.

3.30 Gestión del servicio (service management). Conjunto de capacidades y procesos para

dirigir y controlar las actividades del proveedor del servicio y los recursos para el diseño, transición,

provisión y mejora de los servicios para cumplir los requisitos del servicio.

3.31 Sistema de Gestión del Servicio, SGS (service management system). Sistema de gestión

para dirigir y controlar las actividades de gestión de los servicios del proveedor del servicio.

NOTA 1. Un sistema de gestión es un conjunto de elementos interrelacionados o que interactúan para establecer

la política y objetivos y para lograr dichos objetivos.

NOTA 2. El SGS incluye todas las políticas de gestión del servicio, objetivos, planes, procesos, documentación

y recursos requeridos para el diseño, transición, provisión y mejora de los servicios para el cumplimiento de los

requisitos en esta parte de la Norma ISO/IEC 20000.

NOTA 3. Adaptado de la definición de "sistema de gestión de calidad" de la Norma la ISO 9000:2005.

3.32 Proveedor del servicio (service provider). Organización o parte de una organización que

gestiona y provee uno o varios servicios al cliente.

NOTA. Un cliente puede ser interno o externo a la organización del proveedor del servicio.

3.33 Petición de servicio (service request). Solicitud de información, consulta, de acceso a un

servicio o un cambio previamente aprobado.

NTN 21 002-13

Continúa

11/35

3.34 Requisitos del servicio (service requirement). Necesidades del cliente y los usuarios del

servicio, incluyendo los requisitos de nivel de servicio, y las necesidades del proveedor del servicio.

3.35 Suministrador (supplier). Organización o parte de una organización, externa a la del

proveedor del servicio, que establece un contrato con éste para contribuir al diseño, transición,

provisión y mejora de los servicios o procesos.

NOTA. Suministradores se refiere a los suministradores designados como principales, pero no a los

subcontratados por ellos.

3.36 Alta dirección (top management). Persona o grupo de personas que dirigen y controlan

al más alto nivel al proveedor del servicio.

NOTA. Adaptado de la Norma ISO 9000:2005.

3.37 Transición (transition). Actividades involucradas en el traslado de un servicio nuevo o

modificado desde o hasta el entorno de producción.

4. REQUISITOS GENERALES DEL SISTEMA DE GESTIÓN DEL SERVICIO

4.1 Responsabilidad de la dirección.

4.1.1 Compromiso de la dirección.

La alta dirección debe proporcionar evidencias de su compromiso con la planificación, establecimiento, implementación, operación, monitorización, revisión, mantenimiento y mejora del SGS y de los servicios:

a) estableciendo y comunicando el alcance, política y objetivos de la gestión del servicio;

b) asegurando que el plan de gestión del servicio se crea, implementa y mantiene con el propósito de

mostrar adhesión a la política, alcanzar los objetivos de gestión del servicio y satisfacer los

requisitos del servicio;

c) comunicando la importancia de satisfacer los requisitos del servicio;

d) comunicando la importancia de satisfacer los requisitos legales y regulatorios, así como las

obligaciones contractuales;

e) asegurando la provisión de los recursos;

f) realizando revisiones de la gestión a intervalos planificados;

g) asegurando que los riesgos del servicio son evaluados y gestionados.

4.1.2 Política de gestión del servicio

La alta dirección debe asegurar que la política de gestión del servicio:

a) es la apropiada para el propósito del proveedor del servicio;

b) incluye un compromiso de satisfacción de los requisitos del servicio;

c) incluye un compromiso de mejora continua de la eficacia del SGS y de los servicios a través de la

política de mejora continua establecida en el apartado 4.5.5.1;

NTN 21 002-13

Continúa

12/35

d) proporciona un marco para el establecimiento y revisión de los objetivos de gestión del servicio;

e) es comunicada y entendida por el personal del proveedor del servicio;

f) es revisada para su continua adecuación.

4.1.3 Autoridad, responsabilidad y comunicación

La alta dirección debe asegurar que:

a) se definen y mantienen las autorizaciones y responsabilidades de la gestión del servicio;

b) se establecen e implementan procedimientos documentados de comunicación.

4.1.4 Representante de la dirección

La alta dirección debe designar un miembro de la dirección del proveedor del servicio que, al margen de otras responsabilidades, tenga la autoridad y responsabilidad para:

a) asegurar que se realizan las actividades para identificar, documentar y satisfacer los requisitos del

servicio;

b) asignar autorizaciones y responsabilidades para asegurar que se diseñan, implementan y mejoran

los procesos de gestión del servicio conforme a la política y objetivos de gestión del servicio;

c) asegurar que los procesos de gestión del servicio están integrados con el resto de componentes del

SGS;

d) asegurar que los activos, incluyendo sus licencias, utilizados para proveer los servicios, se

gestionan conforme a los requisitos legales y regulatorios, y a las obligaciones contractuales;

e) informar a la alta dirección sobre el comportamiento y oportunidades de mejora del SGS y de los

servicios.

4.2 Gobierno de los procesos operados por terceros.

El proveedor del servicio debe identificar todos los procesos -o partes de procesos- operados por terceros para los cuáles se han especificado requisitos en los capítulos 5 a 9. "Terceros" pueden ser un grupo interno, un cliente o un suministrador. El proveedor del servicio debe demostrar que gobierna los procesos operados por terceros:

a) demostrando responsabilidad sobre los procesos y autoridad para exigir adhesión a los mismos;

b) controlando la definición de los procesos e interfaces con otros procesos;

c) determinando el comportamiento de los procesos y la conformidad con los requisitos de los

procesos;

d) controlando la planificación y priorizando las mejoras de los procesos.

Cuando un suministrador opera parte de los procesos, el proveedor del servicio debe gestionar al

suministrador mediante el proceso de gestión de suministradores. Cuando un grupo interno o un

cliente opera partes de los procesos, el proveedor del servicio debe gestionar al grupo interno o al

cliente a través del proceso de gestión del nivel de servicio.

NOTA. La norma ISO/IEC 20000-3 proporciona orientación sobre la definición del alcance y la aplicabilidad

de esta parte de la serie ISO/IEC 20000. Incluye una explicación más detallada sobre el gobierno de los

procesos operados por terceros.

NTN 21 002-13

Continúa

13/35

4.3 Gestión de la documentación.

4.3.1 Establecimiento y mantenimiento de documentos.

El proveedor del servicio debe establecer y mantener documentos, incluyendo registros, para asegurar la planificación, operación y control efectivos del SGS. Estos documentos deben incluir:

a) política y objetivos de gestión del servicio documentados;

b) plan de gestión del servicio documentado;

c) políticas y planes documentados creados para procesos específicos, conforme a lo requerido por

esta parte de la Norma ISO/IEC 20000;

d) catálogo de servicios documentado;

e) acuerdos SLA documentados;

f) procesos de gestión del servicio documentados;

g) procedimientos y registros requeridos por esta parte de la Norma ISO/IEC 20000 documentados;

h) documentos adicionales, incluyendo los de origen externo, determinados por el proveedor del

servicio como necesarios para asegurar la operación eficaz del SGS y la provisión de servicios.

4.3.2 Control de documentos

Los documentos requeridos por el SGS deben estar controlados. Los registros son un tipo especial de documento y deben ser controlados conforme a los requisitos establecidos en el apartado 4.3.3.

Se debe establecer un procedimiento documentado que incluya niveles de autoridad y responsabilidades, al objeto de definir los controles necesarios para:

a) crear y aprobar los documentos antes de publicarlos;

b) informar a las partes interesadas acerca de documentos nuevos o modificados;

c) revisar y mantener2 los documentos conforme sea necesario;

d) asegurar que se identifican tanto los cambios a los documentos como el estado actual de revisión

de los mismos;

e) garantizar que las versiones pertinentes de los documentos aplicables se encuentran disponibles

allá donde se usen;

f) asegurar que los documentos son fácilmente identificables y legibles;

g) asegurar que los documentos de origen externo están identificados y su distribución controlada;

h) evitar el uso no intencionado de documentos obsoletos y aplicarles la identificación adecuada si

son conservados.

4.3.3 Control de registros.

Se deben mantener registros para demostrar la conformidad con los requisitos y la operación eficaz del

SGS.

Se debe establecer un procedimiento documentado que defina los controles necesarios para la

identificación, almacenamiento, protección, recuperación, conservación y retirada de registros. Los

registros deben ser legibles, fácilmente identificables y recuperables.

2 Nota Nacional: Entiéndase por mantener a conservar; custodiar, salvaguardar, etc.

NTN 21 002-13

Continúa

14/35

4.4 Gestión de recursos.

4.4.1 Provisión de recursos. El proveedor del servicio debe determinar y proporcionar los recursos humanos, técnicos, de información y financieros necesarios para: a) establecer, implementar y mantener el SGS y los servicios, y mejorar de manera continua su

eficacia;

b) aumentar la satisfacción del cliente proporcionándole servicios que satisfagan los requisitos del

servicio.

4.4.2 Recursos humanos.

El personal del proveedor del servicio cuyo trabajo afecte a la conformidad con los requisitos del servicio debe ser competente en lo que se refiere a una adecuada educación, formación, competencias y experiencia. El proveedor del servicio debe:

a) determinar el nivel de competencia necesario para el personal;

b) cuando se requiera, proporcionar capacitación o llevar a cabo otras acciones para alcanzar el nivel

de competencia necesario;

c) evaluar la eficacia de las acciones realizadas;

d) garantizar que su personal es consciente de la forma en que contribuyen a la consecución de los

objetivos de gestión del servicio y el cumplimiento de los requisitos del servicio;

e) mantener registros apropiados de la educación, formación, habilidades y experiencia.

4.5 Establecer y mejorar el SGS.

4.5.1 Definir el alcance.

El proveedor del servicio debe definir e incluir el alcance del SGS en el plan de gestión del servicio. El

alcance se debe definir con el nombre de la unidad organizativa que provee los servicios, y los

servicios que se entregarán.

El proveedor del servicio también debe tener en cuenta otros factores que afectan a los servicios que se

proveen incluyendo:

a) localización(es) geográfica(s) desde la(s) que el proveedor del servicio proporciona los servicios;

b) el cliente y su(s) ubicación(es);

c) la tecnología utilizada para prestar los servicios.

NOTA. La norma ISO/IEC 20000-3 proporciona orientación sobre la definición del alcance y la aplicabilidad de

esta parte de la serie ISO/IEC 20000.

4.5.2 Planificar el SGS (Planificar).

El proveedor del servicio debe crear, implementar y mantener un plan de gestión del servicio. La planificación debe tener en cuenta la política de gestión del servicio, los requisitos del servicio y los requisitos en esta parte de la serie ISO/IEC 20000. El plan de gestión del servicio debe contener o hacer referencia al menos a lo siguiente:

NTN 21 002-13

Continúa

15/35

a) objetivos de la gestión del servicio a alcanzar por el proveedor del servicio;

b) requisitos del servicio;

c) limitaciones conocidas que pueden afectar al SGS;

d) las políticas, normas, requisitos legales y regulatorios, y obligaciones contractuales;

e) estructura de autoridades, responsabilidades y roles del proceso;

f) autoridades y responsabilidades de los planes, los servicios y procesos de gestión del servicio;

g) recursos humanos, técnicos, financieros y de información necesarios para alcanzar los objetivos de

gestión del servicio;

h) enfoque a adoptar para trabajar con terceros involucrados en el proceso de diseño y transición de

servicios nuevos o modificados;

i) enfoque a adoptar para las interfaces entre los procesos de gestión del servicio y su integración

con el resto de componentes del SGS;

j) enfoque a adoptar para la gestión de riesgos y los criterios para la aceptación de riesgos;

k) tecnología utilizada para soportar el SGS;

l) cómo se medirá, auditará, informará y mejorará la eficacia del SGS y los servicios.

Los planes creados para procesos específicos se deben alinear con el plan de gestión del servicio. El

plan de gestión del servicio y los planes creados para procesos específicos se deben revisar a intervalos

planificados y, si procede, se deben actualizar.

4.5.3 Implementar y operar el SGS (Hacer).

El proveedor del servicio debe implementar y operar el SGS para el diseño, transición, provisión y

mejora de los servicios de acuerdo con el plan de gestión del servicio, como mínimo a través de las

siguientes actividades:

a) asignación y gestión de fondos y presupuestos;

b) asignación de autoridades, responsabilidades y roles del proceso;

c) gestión de los recursos humanos, técnicos y de información;

d) identificación, evaluación y gestión de los riesgos sobre los servicios;

e) gestión de los procesos de gestión del servicio;

f) monitorización y envío de informes sobre el comportamiento de las actividades de gestión del

servicio.

4.5.4 Monitorizar y revisar el SGS (Verificar).

4.5.4.1 Generalidades.

El proveedor del servicio debe utilizar los métodos adecuados para el seguimiento y la medición del

SGS y los servicios. Estos métodos deben incluir auditorías internas y revisiones por parte de la

dirección.

Los objetivos de todas las auditorías internas y revisiones por parte de la dirección se deben

documentar. Las auditorías internas y evaluaciones de la dirección deben demostrar la capacidad del

SGS y los servicios para alcanzar los objetivos de la gestión del servicio y cumplir los requisitos del

servicio. Las no conformidades se deben identificar contra los requisitos de esta parte de la Norma

NTN 21 002-13

Continúa

16/35

ISO/IEC 20000, contra los requisitos del SGS identificados por el proveedor del servicio o contra los

requisitos de servicio.

Se deben registrar los resultados de las auditorías internas y de las revisiones por parte de la dirección,

incluyendo las no conformidades, las observaciones y las acciones identificadas. Los resultados y las

acciones se deben comunicar a las partes interesadas.

4.5.4.2 Auditoría Interna.

El proveedor del servicio debe realizar auditorías internas, a intervalos planificados, para determinar si

el SGS y los servicios:

a) cumplen con los requisitos de esta parte de la serie ISO/IEC 20000;

b) cumplen con los requisitos de servicio y los requisitos del SGS identificados por el proveedor del

servicio;

c) son implementados y mantenidos de una manera eficaz.

Debe existir un procedimiento documentado que incluya las autoridades y responsabilidades para

planificar y realizar auditorías, así como para informar sobre los resultados y para el mantenimiento de

los registros de auditoría.

Se debe planificar un programa de auditoría. Este programa debe tener en cuenta el estado y la

importancia de los procesos y áreas a auditar, así como los resultados de las auditorías previas. Se

deben documentar los criterios, el alcance, la frecuencia y los métodos de auditoría.

La selección de los auditores y la realización de las auditorías deben asegurar la objetividad e

imparcialidad de la auditoría. Los auditores no deben auditar su propio trabajo.

Se deben comunicar las no conformidades, priorizarlas y asignar responsabilidad sobre las acciones.

La dirección responsable del área auditada debe asegurar que las correcciones y acciones correctivas

para eliminar las no conformidades, y sus causas, se realizan sin demora injustificada. Las actividades

de seguimiento deben incluir la verificación de las acciones realizadas y el informe de los resultados.

NOTA. Véase la serie ISO 19011 que proporciona orientación sobre la auditoría de los sistemas de gestión.

4.5.4.3 Revisión por la dirección.

La alta dirección debe revisar el SGS y los servicios, a intervalos planificados para asegurar su

adecuación y eficacia. Esta revisión debe incluir la evaluación de oportunidades de mejora y la

necesidad de cambios en el SGS, incluida la política y objetivos de la gestión del servicio.

El alcance de las revisiones por la dirección debe incluir, como mínimo, información sobre:

a) retroalimentación del cliente;

b) comportamiento y conformidad del servicio y de los procesos;

c) niveles actuales y previstos de recursos humanos, técnicos, de información, y financieros;

d) capacidades humanas y técnicas actuales y previstas;

e) riesgos;

f) resultados y acciones de seguimiento de las auditorías;

g) resultados y acciones de seguimiento de las revisiones de la gestión previa;

NTN 21 002-13

Continúa

17/35

h) estado de las acciones preventivas y correctivas;

i) cambios que puedan afectar al SGS y los servicios;

j) oportunidades de mejora.

Se deben mantener registros de las revisiones por la dirección.

Los registros de las revisiones por la dirección deben incluir, al menos, las decisiones y acciones

relacionadas con los recursos, la mejora de la eficacia del SGS y la mejora de los servicios.

4.5.5 Mantener y mejorar el SGS (Actuar).

4.5.5.1 Generalidades.

Debe existir una política de mejora continua del SGS y los servicios. La política debe incluir criterios

de evaluación de las oportunidades de mejora.

Debe existir un procedimiento documentado que incluya las autoridades y responsabilidades para

identificar, documentar, evaluar, aprobar, priorizar, gestionar, medir e informar de las mejoras. Se

deben documentar las oportunidades de mejora, incluyendo las acciones correctivas y preventivas.

Se debe corregir la causa de las no conformidades identificadas. Se deben adoptar acciones correctivas

para eliminar la causa de las no conformidades identificadas con el fin de prevenir la recurrencia. Se

deben adoptar acciones preventivas con el fin de eliminar la causa potencial de no conformidades y

prevenir su ocurrencia.

NOTA. Para obtener más información sobre las medidas correctivas y preventivas, véase la Norma ISO

9001:2008, apartado 8.5.

4.5.5.2 Gestión de mejoras.

Se deben priorizar las oportunidades de mejora. El proveedor del servicio debe utilizar los criterios de

evaluación de la política de mejora continua en la toma de decisiones sobre las oportunidades de

mejora.

Se deben planificar las mejoras aprobadas.

El proveedor del servicio debe gestionar las actividades de mejora, que incluyen como mínimo:

a) el establecimiento de objetivos de mejora en uno o más de los siguientes aspectos de calidad,

valor, capacidad, costo, productividad, utilización de recursos y reducción de riesgos;

b) garantizar que las mejoras aprobadas se apliquen;

c) revisión de las políticas de gestión del servicio, planes, procesos y procedimientos, cuando sea

necesario;

d) medición de las mejoras implementadas frente a los objetivos establecidos, y donde éstos no se

hayan alcanzado, tomar las acciones necesarias;

e) informe de las mejoras implementadas.

NTN 21 002-13

Continúa

18/35

5. DISEÑO Y TRANSICIÓN DE SERVICIOS NUEVOS O MODIFICADOS

5.1 Generalidades. El proveedor del servicio debe utilizar este proceso para todos los

servicios nuevos y para cambios de los servicios que potencialmente tengan un impacto importante

sobre los servicios o el cliente. Los cambios que están en el alcance del capítulo 5 deben estar

determinados por la política de gestión de cambios acordada como parte del proceso de gestión de

cambios.

En el ámbito del capítulo 5, el proceso de gestión de cambios debe controlar la evaluación, la

aprobación, la planificación y la revisión de los servicios nuevos o modificados. Dentro del alcance del

capítulo 5, los elementos de configuración (CI) afectados por un servicio nuevo o modificado deben

estar controlados por el proceso de gestión de la configuración.

El proveedor del servicio debe revisar los resultados de las actividades de planificación y diseño de

servicios nuevos o modificados frente a los requisitos acordados y a los requisitos pertinentes

determinados en los apartados 5.2 y 5.3. Fundamentándose en la revisión, el proveedor del servicio

debe aceptar o rechazar los productos. El proveedor del servicio debe tomar las acciones necesarias

para asegurar que el desarrollo y transición de los servicios nuevos o modificados se puedan realizar de

manera eficaz utilizando los resultados aceptados.

NOTA. La necesidad de un servicio nuevo o un cambio sobre un servicio puede originarse desde el cliente, el

proveedor del servicio, un grupo interno o desde un suministrador para satisfacer necesidades del negocio o para

mejorar la eficiencia de los servicios.

5.2 Planificación de servicios nuevos o modificados. El proveedor del servicio debe

identificar los requisitos de servicio para los servicios nuevos o modificados. Los servicios nuevos o

modificados se deben planificar para cumplir los requisitos de servicio. La planificación de los

servicios nuevos o modificados se debe acordar con los clientes y las partes interesadas.

Como entrada a la planificación, el proveedor del servicio debe tener en consideración el potencial

impacto financiero, organizativo y técnico de la provisión de los servicios nuevos o modificados. El

proveedor del servicio también debe tener en consideración el impacto potencial de los servicios

nuevos o modificados sobre el SGS.

La planificación de los servicios nuevos o modificados debe contener o incluir como mínimo una

referencia a lo siguiente:

a) las autoridades y responsabilidades para las actividades de diseño, desarrollo y transición;

b) las actividades a ser realizadas por el proveedor del servicio y terceros, incluyendo las actividades

a realizar en la relación entre el proveedor del servicio y terceros;

c) la comunicación a las partes interesadas;

d) los recursos humanos, técnicos, de información y financieros;

e) las fechas para las actividades planificadas;

f) la identificación, evaluación y gestión de riesgos;

g) las dependencias de otros servicios;

h) las pruebas requeridas para los servicios nuevos o modificados;

i) los criterios de aceptación de los servicios;

j) los resultados esperados de la provisión de los servicios nuevos o modificados, expresados en

términos medibles.

NTN 21 002-13

Continúa

19/35

Para los servicios que vayan a ser retirados, el proveedor del servicio debe planificar la retirada de los

servicios. La planificación debe incluir la(s) fecha(s) de la retirada, archivo, eliminación o

transferencia de los datos, documentación y componentes del servicio. Los componentes del servicio

pueden incluir infraestructura y aplicaciones con licencias asociadas.

El proveedor del servicio debe identificar terceros que contribuirán al suministro de componentes del

servicio para los servicios nuevos o modificados. El proveedor del servicio debe evaluar su capacidad

para cumplir con los requisitos de servicio. Los resultados de la evaluación se deben registrar y tomar

las acciones necesarias.

5.3 Diseño y desarrollo de servicios nuevos o modificados.

Los servicios nuevos o modificados deben diseñarse y documentarse incluyendo al menos:

a) la autoridad y responsabilidades para la provisión de los servicios nuevos o modificados;

b) las actividades a ser realizadas por el proveedor del servicio, el cliente y terceros para la provisión

de los servicios nuevos o modificados;

c) los requisitos de recursos humanos nuevos o modificados, incluyendo los requisitos de educación,

formación, competencia y experiencia adecuados;

d) los requisitos de recursos financieros para la provisión de los servicios nuevos o modificados;

e) la tecnología nueva o modificada para dar soporte a la provisión de servicios nuevos o

modificados;

f) los planes y políticas nuevos o modificados de acuerdo con lo requerido en esta parte de la serie

ISO/IEC 20000;

g) los contratos nuevos o modificados y otros acuerdos documentados para alinear con cambios en

los requisitos del servicio;

h) los cambios en el SGS;

i) los SLA nuevos o modificados;

j) las actualizaciones al catálogo de servicios;

k) los procedimientos, mediciones e información a ser utilizados para la provisión de los servicios

nuevos o modificados.

El proveedor del servicio debe asegurar que el diseño posibilita que los servicios nuevos o modificados

cumplan los requisitos de servicio. Los servicios nuevos o modificados se deben desarrollar de acuerdo

con el documento de diseño.

NOTA. Para más información sobre diseño, ver el proceso de diseño y desarrollo dentro de la Norma ISO

9001:2008, apartado 7.3 o el proceso de diseño de la arquitectura en la Norma ISO/IEC 15288:2008, apartado

6.4.3.

5.4 Transición de servicios nuevos o modificados. Los servicios nuevos o modificados se

deben probar para verificar que cumplen con los requisitos del servicio y con el diseño documentado.

Los servicios nuevos o modificados se deben verificar frente a los criterios de aceptación acordados

previamente entre el proveedor del servicio y las partes interesadas. Si no se cumplen los criterios de

aceptación del servicio, el proveedor del servicio y las partes interesadas deben tomar una decisión

sobre las acciones necesarias y sobre el despliegue.

Se debe utilizar el proceso de gestión de la entrega y del despliegue para hacer uso de los servicios

nuevos o modificados aprobados en el entorno operativo.

NTN 21 002-13

Continúa

20/35

Tras la finalización de las actividades de transición, el proveedor del servicio debe informar a las

partes interesadas sobre los resultados obtenidos frente a los resultados esperados.

6. PROCESOS DE PROVISIÓN DEL SERVICIO

6.1 Gestión del nivel de servicio. El proveedor del servicio debe acordar con el cliente los

servicios a ser prestados.

El proveedor del servicio debe acordar un catálogo de servicios con el cliente. El catálogo de servicios

debe incluir las dependencias entre los servicios y los componentes del servicio.

Para cada servicio provisionado, se debe acordar con el cliente uno o más SLA. Cuando se cree un

SLA, el proveedor del servicio debe tener en cuenta los requisitos del servicio. Los SLA deben incluir

los objetivos de servicio, las cargas de trabajo y las excepciones acordadas.

El proveedor del servicio debe revisar los servicios y los SLA con el cliente a intervalos planificados.

Los cambios en los requisitos del servicio, el catálogo de servicios, los SLA y otros acuerdos

documentados se deben controlar por el proceso de gestión de cambios. El catálogo de servicios se

debe mantener acorde a los cambios en los servicios y los SLA, para asegurar que están alineados.

El proveedor del servicio debe monitorizar las tendencias y el comportamiento frente a los objetivos de

servicio a intervalos planificados. Los resultados se deben registrar y revisar para identificar las causas

de no conformidades y las oportunidades de mejora.

Para los componentes del servicio proporcionados por un grupo interno o por el cliente, el proveedor

del servicio debe desarrollar, acordar, revisar y mantener un acuerdo documentado definiendo las

actividades e interfaces entre las dos partes. El proveedor del servicio debe monitorizar el desempeño

del grupo interno o del cliente frente a objetivos de servicio acordados y frente a otros compromisos

acordados, a intervalos planificados. Los resultados se deben registrar y revisar para identificar las

causas de las no conformidades y las oportunidades de mejora.

6.2 Informes del servicio. Se debe documentar y acordar entre el proveedor del servicio y

las partes interesadas la descripción de cada informe de servicio, incluyendo su identificación,

propósito, audiencia, frecuencia y detalles de la(s) fuente(s) de datos.

Los informes del servicio se deben generar utilizando información de la provisión de los servicios y de

las actividades del SGS, incluyendo los procesos de gestión del servicio.

Los informes del servicio deben incluir como mínimo:

a) el comportamiento frente a los objetivos de servicio;

b) la información relevante sobre eventos significativos incluyendo al menos las principales

incidencias, el despliegue de servicios nuevos o modificados y las invocaciones del plan de

continuidad del servicio;

c) las características de carga de trabajo incluyendo volúmenes y cambios periódicos en la carga;

d) las no conformidades encontradas frente a los requisitos de esta parte de la Norma ISO/IEC

20000, los requisitos del SGS o los requisitos del servicio y sus causas identificadas;

NTN 21 002-13

Continúa

21/35

e) la información de tendencias;

f) las medidas de la satisfacción del cliente, las quejas del servicio y los resultados de los análisis de

las medidas de satisfacción y de las quejas;

El proveedor del servicio debe tomar decisiones y acciones de acuerdo con las conclusiones de los

informes del servicio. Las acciones acordadas se deben comunicar a las partes interesadas.

6.3 Gestión de continuidad y disponibilidad del servicio.

6.3.1 Requisitos de continuidad y disponibilidad del servicio.

El proveedor del servicio debe evaluar y documentar los riesgos sobre la disponibilidad y continuidad

de los servicios.

El proveedor del servicio debe identificar y acordar con los clientes y partes interesadas los requisitos

de continuidad y disponibilidad del servicio. Los requisitos acordados deben tener en cuenta los planes

de negocio aplicables, requisitos de los servicios, SLA y riesgos.

Los requisitos de continuidad y disponibilidad del servicio deben incluir al menos:

a) derechos de acceso a los servicios;

b) tiempos de respuesta de los servicios;

c) disponibilidad extremo a extremo de los servicios.

6.3.2 Planes de continuidad y disponibilidad.

El proveedor del servicio debe crear, implementar y mantener un plan (o planes) de continuidad del

servicio y un plan (o planes) de disponibilidad. Los cambios a estos planes deben ser controlados por

el proceso de gestión de cambios.

El plan (o planes) de continuidad del servicio debe incluir al menos:

a) los procedimientos a implementar en caso de una pérdida relevante del servicio, o referencias a

ellos;

b) los objetivos de disponibilidad cuando se invoque el plan;

c) los requisitos de recuperación;

d) el enfoque para el retorno a las condiciones de trabajo normales.

Los planes de continuidad del servicio, las listas de contactos y la CMDB deben estar accesibles

cuando no sea posible el acceso a las ubicaciones normales de los servicios.

El plan (o planes) de disponibilidad deben incluir al menos los requisitos de disponibilidad y los

objetivos.

El proveedor del servicio debe evaluar el impacto de las peticiones de cambio en los planes de

continuidad de servicio y en los planes de disponibilidad.

NOTA. Los planes de continuidad de servicio y los planes de disponibilidad pueden combinarse en un único

documento.

NTN 21 002-13

Continúa

22/35

6.3.3 Monitorización y prueba de la continuidad de la disponibilidad del servicio.

Se debe monitorizar la disponibilidad de los servicios, registrar los resultados y compararlos con los

objetivos. Se deben investigar las indisponibilidades3 no planificadas y tomar las acciones necesarias.

Se deben probar los planes de continuidad del servicio contra los requisitos de continuidad del

servicio. Los planes de disponibilidad se deben probar contra los requisitos de disponibilidad. Los

planes de continuidad y disponibilidad del servicio se deben volver a probar tras cambios significativos

en el entorno del servicio donde opera el proveedor del servicio.

Los resultados de las pruebas deben estar registrados. Deben realizarse revisiones tras cada prueba y

después de que el plan de continuidad del servicio haya sido invocado. Cuando se encuentren

deficiencias, el proveedor del servicio debe tomar las acciones necesarias e informar sobre las acciones

tomadas.

6.4 Elaboración de presupuesto de contabilidad de los servicios. Debe existir una interfaz

definida entre el proceso de elaboración de presupuestos y contabilidad de los servicios y otros

procesos de gestión financiera.

Deben existir políticas y procedimientos documentados para:

a) elaborar el presupuesto y la contabilidad para los componentes de los servicios incluyendo al

menos

1. activos -incluyendo licencias- utilizados para proveer los servicios,

2. recursos compartidos,

3. costos de estructura,

4. inversiones y gastos,

5. servicios suministrados externamente,

6. personal,

7. instalaciones;

b) distribuir los costos indirectos y asignar los costos directos a los servicios, para proporcionar un

costo total de cada servicio;

c) un control y aprobación financiera eficaces.

Los costos deben presupuestarse para permitir un control financiero eficaz y una toma de decisiones

sobre los servicios prestados.

El proveedor del servicio debe monitorizar y contrastar los costos contra el presupuesto, revisar las

previsiones financieras y gestionar los costos.

Debe proporcionarse información al proceso de gestión de cambios para dar soporte al cálculo del

costo de las peticiones de cambio.

NOTA. Muchos proveedores de servicios cobran por sus servicios. El alcance de la elaboración de

presupuestos y de la contabilidad de los servicios excluye el cobro.

3 Nota nacional: entiéndase por indisponibilidad, a la interrupción, no disponibilidad u otro estado que indique la no

continuidad de un servicio.

NTN 21 002-13

Continúa

23/35

6.5 Gestión de la capacidad. El proveedor del servicio debe identificar y acordar los

requisitos de capacidad y comportamiento con los clientes y las partes interesadas.

El proveedor del servicio debe elaborar, implementar y mantener un plan de capacidad teniendo en

cuenta los recursos humanos, técnicos, de información y financieros. Los cambios en el plan de la

capacidad se deben gestionar mediante el proceso de gestión de cambios.

El plan de capacidad debe incluir, al menos:

a) la demanda actual y prevista para los servicios;

b) el impacto esperado de los requisitos acordados de disponibilidad, continuidad de servicio y

niveles de servicio;

c) las escalas de tiempo, umbrales y costos de actualizaciones de la capacidad de los servicios;

d) el impacto potencial de cambios legales, regulatorios, contractuales u organizacionales;

e) el impacto potencial de nuevas tecnologías y nuevas técnicas;

f) los procedimientos para permitir el análisis predictivo, o referencias a ellos.

El proveedor del servicio debe monitorizar el uso de la capacidad, analizar los datos de capacidad y

ajustar el comportamiento. El proveedor del servicio debe proporcionar capacidad suficiente para

cumplir con los requisitos de capacidad y comportamiento acordados.

6.6 Gestión de la seguridad de la información.

6.6.1 Política de seguridad de la información.

Los miembros de la dirección con el nivel adecuado de autoridad deben aprobar una política de

seguridad de la información teniendo en cuenta los requisitos de los servicios, los requisitos legales y

regulatorios, y las obligaciones contractuales. La dirección debe:

a) comunicar la política de seguridad de la información y la importancia de cumplir con la política al

personal pertinente dentro del proveedor del servicio, a los clientes y a los suministradores;

b) garantizar que se establecen los objetivos de seguridad de la información;

c) definir el enfoque a tomar para la gestión de los riesgos de seguridad de la información y los

criterios para asumir los riesgos;

d) asegurar que se llevan a cabo las evaluaciones de riesgos de seguridad de la información a

intervalos planificados;

e) asegurar que se realizan auditorías internas de seguridad de la información;

f) asegurar que se revisan los resultados de las auditorías para identificar oportunidades de mejora.

6.6.2 Controles de seguridad de la información.

El proveedor del servicio debe implementar y operar los controles físicos, administrativos y técnicos

de seguridad de la información con el fin de:

a) preservar la confidencialidad, integridad y accesibilidad de los activos de información;

b) cumplir con los requisitos de la política de seguridad de la información;

c) alcanzar los objetivos de gestión de la seguridad de la información;

NTN 21 002-13

Continúa

24/35

d) gestionar los riesgos relacionados con la seguridad de la información.

Estos controles de seguridad de la información deben estar documentados y describir los riesgos a los

cuales hacen referencia, su operación y su mantenimiento.

El proveedor del servicio debe revisar la eficacia de los controles de seguridad de la información. El

proveedor del servicio debe llevar a cabo las acciones necesarias e informar de las acciones tomadas.

El proveedor del servicio debe identificar las organizaciones externas que tienen necesidad de acceder,

utilizar o gestionar información o servicios del proveedor del servicio. El proveedor del servicio debe

documentar, acordar e implementar controles de seguridad de la información con esas organizaciones

externas.

6.6.3 Cambios e incidencias de seguridad de la información.

Deben evaluarse las peticiones de cambio para identificar:

a) riesgos de seguridad de la información nuevos o modificados;

b) el impacto potencial sobre la actual política y sobre los controles de seguridad de la información.

Las incidencias de seguridad de la información se deben gestionar utilizando los procedimientos de

gestión de incidencias, con una prioridad adecuada para los riesgos de seguridad de la información. El

proveedor del servicio debe analizar los tipos, volumen e impacto de las incidencias de seguridad de la

información. Las incidencias de seguridad de la información deben ser comunicadas y revisadas para

identificar oportunidades de mejora.

NOTA. La familia de Normas de la serie ISO/IEC 27000 especifica los requisitos y proporciona orientación

para la implementación y operación de un Sistema de Gestión de Seguridad de la Información (SGSI).

7. PROCESOS DE RELACIÓN.

7.1 Gestión de relaciones con el negocio.

El proveedor del servicio debe identificar y documentar los clientes, usuarios y partes interesadas de

los servicios.

Para cada cliente, el proveedor del servicio debe nombrar a un responsable de gestionar la relación con

el cliente y su satisfacción.

El proveedor del servicio debe establecer un mecanismo de comunicación con los clientes. El medio de

comunicación debe fomentar el entendimiento del entorno de negocio en el que operan los servicios y

los requisitos de servicios nuevos o modificados. Esta información debe permitir al proveedor del

servicio prepararse para dar respuesta a esos requisitos.

El proveedor del servicio debe revisar con los clientes el comportamiento de los servicios a intervalos

planificados.

Los cambios en los requisitos del servicio documentados deben ser controlados mediante el proceso de

gestión de cambios. Los cambios a los SLA deben ser coordinados con el proceso de gestión de nivel

de servicio.

NTN 21 002-13

Continúa

25/35

Debe acordarse con el cliente una definición de reclamación sobre el servicio. Debe existir un

procedimiento documentado para gestionar las reclamaciones sobre el servicio recibidas del cliente. El

proveedor del servicio debe registrar, investigar, actuar, informar y cerrar las reclamaciones sobre el

servicio. Cuando una reclamación sobre el servicio no sea resuelta mediante los canales normales, se

debe proporcionar al cliente un mecanismo de escalado.

El proveedor del servicio debe medir la satisfacción del cliente a intervalos planificados sobre la base

de una muestra representativa de clientes y de los usuarios de los servicios. Los resultados deben ser

analizados y revisados para identificar oportunidades de mejora.

7.2 Gestión de suministradores.

El proveedor del servicio puede utilizar suministradores para implementar y operar algunas partes de

los procesos de gestión del servicio. En la figura 3 se ilustra un ejemplo de las relaciones en una

cadena de suministro.

Figura 3 Ejemplo de relaciones en una cadena de suministro

El proveedor del servicio debe designar para cada suministrador, una persona que sea responsable de

gestionar la relación, el contrato y el comportamiento del suministrador.

El proveedor del servicio y el suministrador deben acordar un contrato documentado. El contrato debe

contener o incluir referencia a:

a) alcance de los servicios a ser prestados por el suministrador;

b) dependencias entre servicios, procesos y las partes;

c) requisitos a ser satisfechos por el suministrador;

d) objetivos del servicio;

e) interfaces entre los procesos de gestión del servicio ejecutados por el suministrador y por terceros;

f) integración de las actividades del suministrador dentro del sistema de gestión del servicio;

g) características de la carga de trabajo;

h) las excepciones del contrato y cómo se manejan;

i) autoridades y responsabilidades del proveedor del servicio y del suministrador;

j) información y comunicación a ser facilitada por parte del suministrador;

k) bases para los cobros;

l) actividades y responsabilidades para la finalización normal o anticipada del contrato y la

transferencia de los servicios a terceros.

NTN 21 002-13

Continúa

26/35

El proveedor del servicio debe acordar con el suministrador niveles de servicio alineados para soportar

los SLA entre el proveedor del servicio y el cliente.

El proveedor del servicio debe asegurar que los roles y las relaciones entre, suministrador principal y

subcontratados están documentados. El proveedor del servicio debe verificar que los suministradores

principales gestionan a sus suministradores subcontratados para cumplir las obligaciones contractuales.

El proveedor del servicio debe revisar el comportamiento del suministrador frente al contrato. La

revisión debe ser realizada a intervalos planificados, para determinar que las obligaciones

contractuales son alcanzadas y que el contrato refleja los requisitos actuales.

Los cambios en el contrato se deben controlar por el proceso de gestión de cambios.

Debe existir un procedimiento documentado para gestionar los desacuerdos contractuales entre el

proveedor del servicio y el suministrador.

NOTA 1. El alcance del proceso de gestión de suministradores excluye la selección de los suministradores y la

adquisición de servicios.

NOTA 2. En la norma ISO/IEC 20000-3 se muestran más ejemplos de las relaciones en la cadena de suministro.

8. PROCESOS DE RESOLUCIÓN

8.1 Gestión de incidencias y peticiones de servicio.

Debe existir un procedimiento documentado para todas las incidencias que defina:

a) registro;

b) asignación de prioridad;

c) clasificación;

d) actualización de registros;

e) escalado;

f) resolución;

g) cierre.

Debe existir un procedimiento documentado para gestionar las peticiones de servicio desde su registro

hasta su cierre. Las incidencias y peticiones de servicio deben ser gestionadas de acuerdo a estos

procedimientos.

En la priorización de las incidencias y peticiones de servicio, el proveedor del servicio debe tener en

cuenta el impacto y la urgencia de la incidencia o la petición de servicio.

El proveedor del servicio debe asegurar que el personal que participa en el proceso de gestión de

incidencias y peticiones de servicio puede acceder y usar la información relevante. La información

relevante debe incluir procedimientos para gestionar peticiones de servicio, errores conocidos,

soluciones de problemas y la CMDB. La información sobre el éxito o el fracaso de las entregas y las

fechas de futuras entregas, del proceso de gestión de entregas y despliegues, debe ser utilizada por el

proceso de gestión de incidencias y peticiones de servicio.

NTN 21 002-13

Continúa

27/35

El proveedor del servicio debe mantener informado al cliente sobre el progreso de las incidencias o

peticiones de servicio que haya reportado. Si los objetivos de servicio no se pueden alcanzar, el

proveedor del servicio debe informar al cliente y a las partes interesadas y realizar su escalado de

acuerdo a un procedimiento.

El proveedor del servicio debe documentar y acordar con el cliente la definición de incidencia grave.

Las incidencias graves deben ser clasificadas y gestionadas de acuerdo a un procedimiento

documentado. La alta dirección debe ser informada de las incidencias graves. La alta dirección debe

asegurar que es nombrado un responsable de gestionar la incidencia grave. Una vez que el servicio

acordado ha sido restaurado, las incidencias graves deben ser revisadas para identificar oportunidades

para la mejora.

8.2 Gestión de problemas. Debe existir un procedimiento documentado para identificar

problemas y minimizar o evitar el impacto de las incidencias y los problemas.

El procedimiento para los problemas debe definir:

a) identificación;

b) registro;

c) asignación de prioridad;

d) clasificación;

e) actualización de registros;

f) escalado;

g) resolución;

h) cierre.

Los problemas deben ser gestionados de acuerdo a este procedimiento.

El proveedor del servicio debe analizar los datos y tendencias sobre incidencias y problemas para

identificar la causa raíz y su potencial acción preventiva.

Los problemas que requieren cambios en un elemento de configuración (CI) deben ser resueltos

mediante la generación de una petición de cambio.

Cuando la causa raíz del problema ha sido identificada, pero el problema no ha sido resuelto de manera

permanente, el proveedor del servicio debe identificar acciones para reducir o eliminar el impacto del

problema en los servicios. Los errores conocidos deben ser registrados.

La eficacia de la resolución de problemas debe ser monitorizada, revisada y se debe informar sobre la

misma.

Se debe facilitar al proceso de gestión de incidencias y peticiones de servicio la información

actualizada sobre errores conocidos y soluciones de problemas.

NTN 21 002-13

Continúa

28/35

9. PROCESOS DE CONTROL

9.1 Gestión de la configuración. Debe existir una definición documentada de cada tipo de

CI.

La información registrada para cada CI debe asegurar el control eficaz e incluir al menos:

a) descripción del CI;

b) relación(es) entre el CI y otros CI;

c) relación(es) entre el CI y los componentes del servicio;

d) estado;

e) versión;

f) ubicación;

g) peticiones de cambio asociadas;

h) problemas y errores conocidos asociados.

Los CI deben ser identificados de manera única y registrados en una CMDB. La CMDB debe ser

gestionada para asegurar su fiabilidad y precisión, incluyendo el control de accesos actualizados.

Debe existir un procedimiento documentado para el registro, control y seguimiento de las versiones de

los CI. El grado de control debe mantener la integridad de los servicios y sus componentes teniendo en

cuenta los requisitos de servicio y los riesgos asociados con los CI.

El proveedor del servicio debe auditar los registros almacenados en la CMDB, a intervalos

planificados. Cuando se encuentren deficiencias, el proveedor del servicio debe tomar las acciones

necesarias e informar sobre las medidas adoptadas.

Se debe proporcionar información de la CMDB al proceso de gestión de cambios para soportar la

evaluación de las peticiones de cambio.

Los cambios en los CI deben ser trazables y auditables para garantizar la integridad de los CI y los

datos de la CMDB.

Se debe tomar una línea de base de configuración de los CI afectados antes del despliegue de una

entrega en el entorno de producción.

Se deben almacenar copias maestras de los CI registrados en la CMDB en una ubicación física segura

o en bibliotecas digitales, referenciadas en los registros de configuración. Esto debe incluir, al menos,

documentación, información de licencias, el software y, en su caso, las imágenes de la configuración

del hardware.

Debe existir una interfaz definida entre el proceso de gestión de la configuración y el proceso de

gestión de activos financieros.

NOTA. El alcance del proceso de gestión de la configuración no incluye la gestión de activos financieros.

NTN 21 002-13

Continúa

29/35

9.2 Gestión de cambios.

Se debe establecer una política de gestión de cambios que defina:

a) los CI que están bajo el control de la gestión de cambios;

b) los criterios para determinar los cambios con el potencial de tener un gran impacto en los servicios

o en el cliente.

La eliminación de un servicio se debe clasificar como un cambio a un servicio con un gran impacto

potencial. La transferencia de un servicio del proveedor del servicio al cliente o a un tercero distinto se

debe clasificar como un cambio con un alto impacto potencial.

Debe existir un procedimiento documentado para registrar, clasificar, evaluar y aprobar las solicitudes

de cambio.

El proveedor del servicio debe documentar y acordar con el cliente la definición de un cambio de

emergencia.

Debe existir un procedimiento documentado para la gestión de cambios de emergencia.

Todos los cambios a un servicio o componente de un servicio se deben promover utilizando una

petición de cambio. Las peticiones de cambio deben tener un alcance definido.

Todas las peticiones de cambio se deben registrar y clasificar. Las peticiones de cambio clasificadas

con gran impacto en los servicios o el cliente, se deben gestionar mediante el proceso de diseño y

transición de servicios nuevos o modificados. Todas las demás solicitudes de cambio de un CI definido

en la política de gestión de cambios, se deben gestionar mediante el proceso de gestión de cambios.

Las peticiones de cambio se deben evaluar utilizando la información del proceso de gestión de

cambios y de otros procesos.

El proveedor del servicio y las partes interesadas deben tomar decisiones sobre la aprobación de las

peticiones de cambio. La toma de decisiones debe tener en cuenta los riesgos, los impactos potenciales

a los servicios y el cliente, los requisitos del servicio, los beneficios del negocio, la viabilidad técnica y

el impacto financiero.

Se deben desarrollar y probar los cambios aprobados.

Se debe establecer y comunicar a las partes interesadas una planificación de cambios, con los detalles

de los cambios aprobados y sus fechas propuestas de implementación. La planificación de cambios se

debe utilizar como base para la planificación del despliegue de las entregas.

Se deben planificar, y cuando sea posible probar, las actividades necesarias para revertir o reparar un

cambio no satisfactorio. El cambio se debe revertir o reparar si no tiene éxito. Los cambios no

satisfactorios se deben analizar y deben tomarse las medidas acordadas.

Los registros de la CMDB se deben actualizar tras el despliegue satisfactorio de los cambios.

NTN 21 002-13

Continúa

30/35

El proveedor del servicio debe revisar los cambios para comprobar su eficacia y tomar las medidas

acordadas con las partes interesadas.

Para detectar tendencias se deben analizar las peticiones de cambio a intervalos planificados. Los

resultados y conclusiones extraídas de los análisis se deben registrar y revisar para identificar

oportunidades de mejora.

9.3 Gestión de la entrega y despliegue. El proveedor del servicio debe establecer y acordar

con el cliente una política de entrega que indique la frecuencia y los tipos de entrega.

El proveedor del servicio debe planificar con el cliente y las partes interesadas la implementación de

servicios nuevos o modificados, y los componentes de servicio en el entorno de producción. La

planificación se debe coordinar con el proceso de gestión de cambios y debe incluir referencias a las

solicitudes relacionadas con el cambio, los errores conocidos y problemas que se cierran a través de la

entrega. La planificación debe incluir las fechas para el despliegue de cada entrega, los entregables y

los métodos de implementación.

El proveedor del servicio debe documentar y acordar con el cliente la definición de una entrega de

emergencia. Las entregas de emergencia se deben gestionar de acuerdo con un procedimiento

documentado que conecta con el procedimiento de cambios de emergencia.

Las entregas se deben construir y probar antes de su despliegue. Se debe utilizar un entorno controlado

de aceptación de pruebas para la construcción y prueba de las entregas.

Los criterios de aceptación para las entregas se deben acordar con el cliente y las partes interesadas.

Las entregas se deben verificar contra los criterios de aceptación acordados y aprobados antes del

despliegue. Si los criterios de aceptación no se cumplen, el proveedor del servicio debe tomar una

decisión con las partes interesadas sobre el despliegue y las acciones necesarias.

La entrega se debe desplegar en el entorno de producción de manera que la integridad del hardware,

software y otros componentes del servicio se mantengan durante el despliegue de la entrega.

Se deben planificar, y probar cuando sea posible, las actividades necesarias para revertir o reparar un

despliegue sin éxito de una entrega. El despliegue de la entrega se debe revertir o reparar si no tiene

éxito. Las entregas no satisfactorias se deben analizar y realizar las acciones acordadas.

El éxito o el fracaso de las entregas se deben controlar y analizar. Las mediciones deben incluir los

incidentes relacionados con una entrega en el período posterior al despliegue de dicha entrega. El

análisis debe incluir una evaluación del impacto de la entrega en el cliente. Los resultados y

conclusiones extraídos de los análisis se deben registrar y revisar para identificar oportunidades de

mejora.

Se debe facilitar a los procesos de gestión de cambios y de gestión de incidencias y de peticiones de

servicio información sobre el éxito o el fracaso de las entregas y las fechas de futuras entregas.

Se debe facilitar información al proceso de gestión de cambios para apoyar la evaluación del impacto

de las peticiones de cambio para las entregas y los planes de despliegue.

NTN 21 002-13

Continúa

31/35

10. BIBLIOGRAFÍA

Publicaciones de normas

[1] ISO/IEC 20000-2, Tecnología de la información. Gestión del servicio. Parte 2: Código de

buenas prácticas.

[2] ISO/IEC 20000-3, Tecnología de la información. Gestión del servicio. Parte 3: Directrices para

la definición del alcance y la aplicabilidad de la Norma ISO/IEC 20000-1.

[3] ISO/IEC TR 20000-4, Tecnología de la información. Gestión del servicio. Parte 4: Modelo de

referencia de procesos 4.

[4] ISO/IEC TR 20000-5, Tecnología de la información. Gestión del servicio. Parte 5: Ejemplo de

implantación de la Norma ISO/IEC 20000-1.

[5] ISO 9000:2005, Sistemas de gestión de la calidad. Fundamentos y vocabulario.

[6] ISO 9001, Sistemas de gestión de la calidad. Requisitos.

[7] ISO 9004:2009, Gestión para el éxito sostenido de una organización. Enfoque de gestión de la

calidad.

[8] ISO 10002, Gestión de la calidad. Satisfacción del cliente. Directrices para el tratamiento de las

quejas en las organizaciones.

[9] ISO 10007, Sistemas de gestión de la calidad. Directrices para la gestión de la configuración.

[10] ISO/IEC 15288, Ingeniería del software y sistemas. Procesos del ciclo de vida del sistema.

[11] ISO/IEC 15504-1, Tecnología de la información. Evaluación de procesos. Parte 1: Conceptos y

vocabulario.

[12] ISO/IEC 15504-2, Tecnología de la información. Evaluación de procesos. Parte 2: Evaluación

del comportamiento.

[13] ISO/IEC 15504-3, Tecnología de la información. Evaluación de procesos. Parte 3: Guía para la

evaluación del comportamiento.

[14] ISO 19011, Directrices para la auditoría de los sistemas de gestión de la calidad y/o ambiental.

[15] ISO/IEC 19770-1, Tecnología de la Información. Gestión de activos de software (SAM). Parte 1:

Procesos.

[16] ISO/IEC/IEEE 24765:2010, Ingeniería del software y sistemas. Vocabulario.

[17] ISO/IEC 27000, Tecnología de la información. Técnicas de seguridad. Sistemas de Gestión de

Seguridad de la Información (SGSI). Generalidades y vocabulario.

[18] ISO/IEC 27001, Tecnología de la información. Técnicas de seguridad. Sistemas de Gestión de

Seguridad de la Información (SGSI). Especificaciones.

[19] ISO/IEC 27005, Tecnología de la información. Técnicas de seguridad. Gestión de los riesgos de

seguridad de la información.

[20] ISO 31000, Gestión del riesgo. Principios y directrices.

NTN 21 002-13

Continúa

32/35

Anexo Nacional A

(Informativo)

Este anexo de carácter informativo, no forma parte de la Norma ISO/IEC 20000-1:2011, es un anexo

incluido únicamente en esta Norma, que muestra en forma de tabla la correspondencia entre esta

Norma y la Norma ISO 9001:2008 con objeto de facilitar la implantación de ambos modelos de

gestión.

Tabla A.1

Correspondencia entre esta Norma E ISO 9001:2008 Esta Norma UNE-EN ISO 9001: 2008

I. INTRODUCCIÓN

Generalidades

0 INTRODUCCIÓN 0.1 Generalidades

0.2 Enfoque basado en procesos

0.3 Relación con la Norma ISO 9004

0.4 Compatibilidad con otros sistemas de gestión

1. OBJETO 1.1 Generalidades

1.2 Aplicación

1. OBJETO Y CAMPO DE APLICACIÓN 1.1 Generalidades

1.2 Aplicación

2.NORMAS PARA CONSULTA 2. NORMAS PARA CONSULTA

3. TÉRMINOS Y DEFINICIONES 3.TÉRMINOS Y DEFINICIONES

4. REQUISITOS GENERALES DEL SISTEMA DE

GESTIÓN DEL SERVICIO

4. SISTEMA DE GESTIÓN DE LA CALIDAD

4.1 Responsabilidad de la dirección 5. RESPONSABILIDAD DE LA DIRECCIÓN

4.1.1 Compromiso de la dirección 5.1 Compromiso de la dirección

4.1.2 Política de gestión del servicio 5.3 Política de la calidad

4.1.3 Autoridad, responsabilidad y comunicación 5.5 Responsabilidad, autoridad y comunicación

4.1.4 Representante de la dirección 5.5.2 Representante de la dirección

4.2 Gobierno de los procesos operados por terceros 7.2 Procesos relacionados con el cliente

4.3 Gestión de la documentación 4.2 Requisitos de la documentación

4.3.1 Establecimiento y mantenimiento de documentos 4.2.2 Manual de la Calidad

4.3.2 Control de documentos

4.3.3 Control de registros

4.2.3 Control de los documentos 4.2.4. Control de los

registros

4.4 Gestión de recursos 6. GESTIÓN DE RECURSOS

4.4.1 Provisión de recursos 6.1 Provisión de recursos

4.4.2 Recursos humanos 6.2 Recursos Humanos

6.2.1 Generalidades

6.2.2 Competencia, formación y toma de conciencia

4.5 Establecer y mejorar el SGS

4.5.1 Definir el alcance

5.3 Política de la calidad

4.5.2 Planificar el SGS (Planificar) 5.4 Planificación

4.5.3 Implementar y operar el SGS (Hacer)

7.5 Producción y prestación del servicio

7.5.1 Control de la producción y de la prestación del

servicio 4.5.4.3 Revisión por la Dirección

4.5.5 Mantener y mejorar el SGS (Actuar)

5.6.1 Generalidades

5.6 Revisión por la dirección

4.5.5.1 Generalidades 5.3 Política de la calidad

NTN 21 002-13

Continúa

33/35

Esta Norma UNE-EN ISO 9001: 2008

4.5.4 Monitorizar y revisar el SGS (Verificar)

4.5.4.1 Generalidades

8.2 Seguimiento y medición 8.4 Análisis de datos

4.5.4.2 Auditoría interna 8.2.2 Auditoría Interna

4.5.5.2 Gestión de mejoras 8.5 Mejora

5. DISEÑO Y TRANSICIÓN DE SERVICIOS

NUEVOS O MODIFICADOS

7.3. Diseño y desarrollo

5.1 Generalidades

5.2 Planificación de servicios nuevos o modificados

7.3.1 Planificación del diseño y desarrollo

5.3 Diseño y desarrollo de servicios nuevos o modificados 7.3.2. Elementos de entrada para el diseño y desarrollo

7.3.3. Resultados del diseño y desarrollo

5.4 Transición de servicios nuevos o modificados 7.3.4 Revisión del diseño y desarrollo

7.3.5 Verificación del diseño y desarrollo

7.3.7 Validación del diseño y desarrollo

6. PROCESOS DE PROVISIÓN DEL SERVICIO 6.1 Gestión del nivel de servicio

6.2 Informes del servicio

7.2 Procesos relacionados con el cliente

5.2 Enfoque al cliente

7.2.1 Determinación de los requisitos relacionados con el

producto

7.2.3 Comunicación con el cliente

8.2.4 Seguimiento y medición del producto

7.5.1 Control de la producción y de la prestación del

servicio

6.3 Gestión de la continuidad y disponibilidad del servicio

6.3.1 Requisitos de continuidad y disponibilidad del

servicio

6.3.2 Planes de continuidad y disponibilidad

6.3 Infraestructura

6.4 Ambiente de trabajo

6.3.3 Monitorización y prueba de la continuidad y la

disponibilidad del servicio

6.4 Elaboración de presupuesto y contabilidad de los

servicios

7.1 Planificación de la realización del producto

6.5 Gestión de la capacidad 7.1 Planificación de la realización del producto

6.6 Gestión de la seguridad de la información

6.6.1 Política de seguridad de la Información

6.6.2 Controles de seguridad de la Información

6.6.3 Cambios e incidencias de seguridad de la información

7.5.4 Propiedad del cliente

7.5.5 Preservación del producto

7 Procesos de relación

7.1 Gestión de relaciones con el negocio

7.2 Gestión de suministradores

7.2 Procesos relacionados con el cliente 7.4 Compras

8 Procesos de resolución

8.1 Gestión de incidencias y peticiones de servicio 8.3 Control del producto no conforme

8.2 Gestión de problemas 8.3 Control del producto no conforme 8.5 Mejora

9 Procesos de control

9.1 Gestión de la configuración

7.5.3 Identificación y trazabilidad

9.2 Gestión de cambios 7.2 Procesos relacionados con el cliente

7.3.7 Control de cambios del diseño y desarrollo

9.3 Gestión de la entrega y despliegue 7.5.1 Control de la producción y de la prestación del

servicio

7.1 Planificación de la realización del producto

NTN 21 002-13

Continúa

34/35

ANEXO B

(Informativo)

Matriz de cambios a la versión nicaragüense de la Norma española UNE-ISO/IEC 20000-1:2011

equivalente a la Norma Internacional ISO/IEC 20000-1:2011

Introducción.

El Comité Técnico decidió realizar modificaciones mínimas que se muestran en la tabla siguiente:

Página Texto Original Cambios Justificación

4

norma internacional norma Estructura de DNM para

adopción de normas

voluntarias basándose en

la Guía ISO 21

6

En la Nota del objeto de la norma

dice El Informe Técnico ISO/IEC

TR 20000-3

La norma ISO/IEC

20000-3,

Se cambió la palabra El

Informe Técnico porque

la Dirección de

Normalización hace

normas y no informe y

también se le borró el TR

6

En el pie de página decía

1Pendiente de publicación a la

fecha de edición de esta norma.

Se eliminó el pie de

página

La eliminación del pie de

página se debió a que el

documento ya está

publicado.

7

En el acápite 3.3 Elemento de

configuración, CI (configuration

item) Elemento “que” es necesario

controlar para proveer uno o varios

servicios.

se le agregó la palabra

“que”

A fin de facilitar la

comprensión

8

A la definición 3.11 Seguridad de

la información NOTA 2. El término

“disponibilidad” no se ha utilizado

en esta definición porque es un

término definido en esta parte de la

Norma ISO/IEC 20000 lo que hace

que no sea apropiado para esta

definición.

Se agregaron dos notas.

NOTA 1. Además,

pueden estar

involucradas otras

propiedades como la

autenticidad,

responsabilidad, no

repudio y fiabilidad.

NOTA 3. Adaptado de la

ISO/IEC 27000:2009.

1. Se agregaron dos Notas,

porque la norma

española que es la que se

está adoptando por un

error de olvido o de

traducción no pusieron

las notas de la norma

ISO de la que ellos (los

españoles) la estaban

adoptando.

8

3.17 Organización

(organization).

EJEMPLOS Compañía,

corporación, firma, empresa,

institución, institución de

beneficencia, empresa unipersonal,

asociación, o parte “de” o una

Se eliminó la vocal o 2. A fin de facilitar la

comprensión

NTN 21 002-13

Continúa

35/35

combinación de las anteriores.

9

3.25 Riesgo (risk). Efecto

de la incertidumbre sobre la

consecución de los objetivos.

NOTA1. Un efecto es una

desviación positiva y/o negativa

frente a “lo” previsto.

En la NOTA1. Se le

agregó “lo”

A fin de facilitar la

comprensión

13

Se agregó pie de página Nota de texto

Nota Nacional:

Entiéndase por mantener

o conservar: custodiar,

salvaguardar etc.

A fin de facilitar la

comprensión

15

4.5.2 Planificar el SGS

(Planificar).

f)autoridades y responsabilidades

de los planes, los procesos de

gestión del servicio

f) autoridades y

responsabilidades de los

planes, los servicios y

procesos de gestión del

servicio

f) autoridades y

responsabilidades de los

planes, los servicios y

procesos de gestión del

servicio

A fin de facilitar la

comprensión

18,22,23

Se realizó un reemplazo general en

toda la norma del uso del término

costes por “costo”.

Reemplazo del termino

“costo”.

Para mejor comprensión

del documento

22

En el acápite 6.3.3

1 Nota nacional: entiéndase por

indisponibilidad, a la interrupción,

no disponibilidad u otro estado que

indique la no continuidad de un

servicio.

Se agregó una nota al pie

en el inciso 6.3.3 en el

término

“indisponibilidad”,

1. con el fin de aclarar su

uso.

-ÚLTIMA LÍNEA