NORMA TÉCNICA NICARAGÜENSE

Transcripción

1 Comisión Nacional de Normalización Técnica y Calidad, Ministerio de Fomento, Industria y Comercio Telefax: Ext Norma Técnica Nicaragüense (NTN) ICS , NTN Mayo /35 NORMA TECNICA NICARAGÜENSE TECNOLOGÍA DE LA INFORMACIÓN GESTIÓN DEL SERVICIO PARTE 1: REQUISITOS DEL SISTEMA DE GESTIÓN DEL SERVICIO (SGS) NTN Esta norma técnica es una adopción de la norma española UNE-ISO/IEC :2011 equivalente a la Norma Internacional ISO/IEC :2011 NORMA TÉCNICA NICARAGÜENSE Derecho de reproducción reservado

2 2/35 La Norma Técnica Nicaragüense denominada NTN Tecnología de la información - Gestión del servicio - Parte 1: Requisitos del sistema de gestión del servicio (SGS), ha sido preparada por el Comité técnico en su elaboración participaron las siguientes personas: Adolfo Marcelo Gaitán Gutiérrez Raduan José Villalta Saavedra Ligia Méndez Flores José Bladimir García Sánchez Norberto Olivares Zavala Banco Central de Nicaragua CONICYT/Vicepresidencia Dirección General de Servicios Aduaneros Dirección General de Ingresos Dirección General de Ingresos Claudia María Benites Hernández Instituto Nicaragüense de Telecomunicaciones y Correos Hans Humberto Espinoza Acuña Ministerio de Hacienda y Crédito Público Silvia Elena Sirias Alvarado José Torres Gómez Carlos Rodrigo Chavarría Juárez Ministerio de Hacienda y Crédito Público Ministerio de Hacienda y Crédito Público Ministerio de Gobernación Huascar Mauricio López Álvarez Superintendencia de Bancos y Otras Instituciones Financieras Alberto Abdel Jarquín Hernández Superintendencia de Bancos y Otras Instituciones Financieras Fernando José López González Universidad Nacional Autónoma de Nicaragua, Managua Esta norma fue aprobada por el Comité Técnico en su última sesión de trabajo el día Martes 7 de Mayo del 2013.

3 3/35 I. INTRODUCCIÓN Generalidades Los requisitos de esta parte de la Norma ISO/IEC incluyen el diseño, transición, provisión, y la mejora de los servicios para cumplir con los requisitos del servicio, y aportar un valor tanto para el cliente como para el proveedor del servicio. Esta parte de la Norma ISO/IEC requiere al proveedor del servicio un enfoque basado en procesos integrados cuando planifica, establece, implementa, opera, controla, revisa, mantiene y mejora un Sistema de Gestión del Servicio (SGS). La integración e implementación coordinada de un SGS proporciona un control continuo y una serie de oportunidades para la mejora continua, así como una mayor eficacia y eficiencia. La operación de los procesos según lo especificado en esta parte de la Norma ISO/IEC requiere que el personal esté bien organizado y coordinado. Pueden utilizarse las herramientas que se consideren apropiadas para posibilitar que los procesos sean eficaces y eficientes. Los proveedores de servicios más eficaces consideran el impacto sobre el SGS a lo largo de todas las etapas del ciclo de vida del servicio, comenzando desde la estrategia y continuando por el diseño, transición y operación, incluyendo la mejora continua. Esta parte de la Norma ISO/IEC requiere la aplicación de la metodología conocida como "Planificar-Hacer-Verificar-Actuar" (PDCA, del inglés Plan-Do-Check-Act) para todas las partes del SGS y para los servicios. La metodología PDCA, tal como se aplica en esta parte de la Norma ISO/IEC 20000, se puede describir brevemente como sigue: Planificar: establecer, documentar y acordar el SGS. El SGS incluye las políticas, objetivos, planes y procesos para cumplir con los requisitos de los servicios. Hacer: implementar y operar el SGS para el diseño, transición, provisión y mejora de los servicios. Verificar: monitorizar, medir y revisar el SGS y los servicios contra las políticas, objetivos, planes y requisitos del servicio e informar de los resultados. Actuar: adoptar medidas para mejorar de una manera continua el comportamiento del SGS y los servicios. Cuando se utiliza dentro de un SGS, los aspectos más importantes de un enfoque de procesos integrados y la metodología PDCA son los siguientes: a) entender y cumplir los requisitos de servicio para lograr la satisfacción del cliente; b) establecer la política y objetivos de la gestión del servicio; c) diseñar y proveer mediante el SGS, servicios que aportan valor al cliente; d) monitorizar, medir y revisar el comportamiento del SGS y de los servicios; e) mejorar de forma continua el SGS y los servicios utilizando mediciones objetivas. La figura 1 ilustra cómo se puede aplicar la metodología PDCA al SGS, incluidos los procesos de gestión del servicio que se especifican en los capítulos 5 a 9, y los servicios. Cada elemento de la metodología PDCA es una parte vital para la implementación exitosa de un SGS. El proceso de mejora utilizado en esta parte de la Norma ISO/IEC se basa en la metodología PDCA.

4 4/35 Planificar Hacer Sistema de Gestión del Servicio Procesos de gestión del servicio Actuar Servicios Verificar Figura 1 Metodología PDCA aplicada a la gestión del servicio Esta parte de la Norma ISO/IEC permite a un proveedor del servicio integrar su SGS con otros sistemas de gestión de su organización. La adopción de un enfoque de procesos integrados y de la metodología PDCA permite al proveedor del servicio alinear, o integrar plenamente, las múltiples normas de sistemas de gestión. Por ejemplo, un SGS se puede integrar con un sistema de gestión de calidad basado en la Norma ISO 9001 o un sistema de gestión de la seguridad de la información basado en la Norma ISO/IEC La Norma ISO/IEC es intencionadamente independiente de guías específicas. El proveedor del servicio puede utilizar una combinación de guías generalmente aceptadas por el sector junto a su propia experiencia. Los usuarios de una norma son responsables de su correcta aplicación. Una norma no pretende incluir todas las obligaciones necesarias, requisitos legales y obligaciones contractuales del proveedor del servicio. La conformidad con una norma internacional no confiere inmunidad frente a requisitos legales y regulatorios. Con el propósito de investigar sobre las normas de gestión del servicio, los usuarios están invitados a compartir sus puntos de vista sobre la Norma ISO/IEC y sus prioridades para los cambios en el resto de documentos de la serie ISO/IEC Seleccione el enlace siguiente para participar en la encuesta en línea. Encuesta ISO/IEC

5 5/35 1. OBJETO 1.1 Generalidades. Esta parte de la serie ISO/IEC es una norma que contiene un Sistema de Gestión del Servicio (SGS). Especifica al proveedor del servicio los requisitos para planificar, establecer, implementar, operar, monitorizar, revisar, mantener y mejorar un SGS. Los requisitos incluyen el diseño, transición, provisión, y la mejora de los servicios para satisfacer los requisitos de servicio. Esta parte de la serie ISO/IEC puede ser utilizada por: a) una organización que demande servicios a los proveedores del servicio y que necesite garantía de cumplimiento de sus requisitos de servicio; b) una organización que requiera un enfoque consistente de todos sus proveedores del servicio, incluidos los de una cadena de suministro; c) un proveedor del servicio que tiene la intención de demostrar su capacidad en el diseño, transición, provisión y mejora de los servicios que cumplen los requisitos del servicio; d) un proveedor del servicio para monitorizar, medir y revisar sus procesos de gestión del servicio y los servicios; e) un proveedor del servicio para mejorar el diseño, transición y provisión de los servicios mediante una implementación y operación eficaces del SGS; f) un asesor o auditor, para evaluar la conformidad del SGS de un proveedor del servicio respecto a los requisitos de esta parte de la serie ISO/IEC La figura 2 muestra el SGS, e incluye los procesos de gestión del servicio. Los procesos de gestión del servicio y las relaciones entre los procesos se pueden implementar de diferentes formas por cada proveedor del servicio. La naturaleza de la relación entre cada proveedor del servicio y el cliente influirá en la forma de implementar los procesos de gestión del servicio. Clientes (y otras partes interesadas) Sistema de Gestión del Servicio (SGS) Responsabilidad de la dirección Gobierno de los procesos operados por terceros Establecer el SGS Gestión de la documentación Gestión de los recursos Clientes (y otras partes interesadas) Requisitos del servicio Diseño y transición de servicios nuevos o modificados Servicios Procesos de provisión del servicio Gestión de la capacidad Gestión del nivel de servicio Gestión de la seguridad de la información Gestión de la continuidad y disponibilidad del servicio Informes del servicio Elaboración de presupuesto y contabilidad de los servicios Procesos de Control Gestión de la configuración Gestión de cambios Gestión de la entrega y despliegue Procesos de resolución Gestión de incidentes y peticiones de servicio Gestión de problemas Procesos de relación Gestión de relaciones con el negocio Gestión de suministradores Figura 2 - Sistema de Gestión del Servicio

6 6/ Aplicación. Todos los requisitos contenidos en esta parte de la serie ISO/IEC son generales y están destinados a aplicarse a todos los proveedores del servicio, independientemente de su tipo, tamaño, o de la naturaleza de los servicios entregados. No es aceptable la exclusión de cualquiera de los requisitos contenidos en los capítulos 4 a 9 cuando un proveedor del servicio declara la conformidad con esta parte de la serie ISO/IEC 20000, independientemente de la naturaleza de la organización del proveedor del servicio. La conformidad con los requisitos del capítulo 4 sólo puede ser demostrada por un proveedor del servicio mostrando evidencias del cumplimiento de todos los requisitos del capítulo 4. Para los requisitos del capítulo 4, un proveedor del servicio no puede delegar en evidencias de gobierno de procesos que sean operados por terceros. El proveedor del servicio puede demostrar la conformidad con los requisitos de los capítulos del 5 al 9 mostrando evidencias de cumplimiento de todos los requisitos. Como alternativa, el proveedor del servicio puede mostrar evidencias de cumplimiento de la mayoría de los requisitos y evidencias de gobierno de procesos, o parte de los procesos, operados por terceros que el proveedor del servicio no opera directamente. El alcance de esta parte de la Norma ISO/IEC excluye la especificación de un producto o herramienta. Sin embargo, las organizaciones pueden usar esta parte de la Norma ISO/IEC para ayudarles en el desarrollo de productos o herramientas que soporten la operación del SGS. NOTA. La norma ISO/IEC proporciona directrices en la definición del alcance y aplicabilidad de esta parte de la serie ISO/IEC Incluye una explicación ampliada sobre el gobierno de procesos operados por terceros. 2. NORMAS PARA CONSULTA Las normas que a continuación se indican son indispensables para la aplicación de esta norma. Para las referencias con fecha, sólo se aplica la edición citada. Para las referencias sin fecha se aplica la última edición de la norma (incluyendo cualquier modificación de ésta). No se citan normas para consulta. Este capítulo se incluye para asegurar que la numeración de los capítulos de esta norma es idéntica a la Norma ISO/IEC : Tecnologías de la Información. Gestión del Servicio. Parte 2: Guía para la aplicación del Sistema de Gestión del Servicio (SGS). 3. TÉRMINIOS Y DEFINICIONES Para los fines de este documento, se aplican los términos y definiciones siguientes: 3.1 disponibilidad (availability). Capacidad de un servicio, o componente de un servicio, de realizar la función requerida en un momento acordado o durante un periodo de tiempo acordado. NOTA. La disponibilidad se expresa normalmente como un ratio o porcentaje de tiempo en el que el servicio o componente del servicio está efectivamente disponible para su uso por parte del cliente en relación con el tiempo acordado en que el servicio debería estar disponible. 3.2 Línea base de configuración (configuration baseline). Información de configuración formalmente designada en un momento específico durante la vida de un servicio o de un componente del servicio. NOTA 1. Las líneas base de configuración, junto con los cambios aprobados para esas líneas base, constituyen la información de configuración actual.

7 7/35 NOTA 2. Adaptado de ISO/IEC/IEEE 24765: Elemento de configuración, CI (configuration item). Elemento que es necesario controlar para proveer uno o varios servicios. 3.4 Base de datos de la configuración, CMDB (configuration management database). Base de datos utilizada para registrar atributos de los elementos de configuración, y las relaciones entre los elementos de configuración, a lo largo del ciclo de vida del servicio. 3.5 Mejora continua (continual improvement). Actividad recurrente para aumentar la capacidad de cumplir con los requisitos del servicio. NOTA. Adaptado de ISO 9000: Acción correctiva (corrective action). Acción tomada para eliminar la causa, o reducir la probabilidad de recurrencia, de una no conformidad detectada u otra situación indeseable. NOTA. Adaptado de ISO 9000: Cliente (customer). Organización o parte de una organización que recibe uno o varios servicios. NOTA 1. Un cliente puede ser interno o externo a la organización del proveedor del servicio. NOTA 2. Adaptado de ISO 9000: Documento (document). Información y su medio de soporte. [ISO 9000:2005] EJEMPLOS. Políticas, planes, descripción de procesos, procedimientos, acuerdos de nivel de servicio, contratos o registros. NOTA 1. La documentación puede estar en cualquier formato o tipo de medio. NOTA 2. En la Norma ISO/IEC 20000, los documentos, excepto en el caso de los registros, establecen la intención de lograr algo. 3.9 Eficiencia (effectiveness). Grado en que se realizan las actividades planificadas y se alcanzan los resultados planificados. [ISO 9000:2005] 3.10 Incidencia (incident). Interrupción inesperada de un servicio, reducción en la calidad de un servicio o fallo de un elemento de configuración que aún no ha tenido impacto en el servicio Seguridad de la información (information security). La preservación de la confidencialidad, integridad y accesibilidad de la información. NOTA 1. Además, pueden estar involucradas otras propiedades como la autenticidad, responsabilidad, no repudio y fiabilidad.

8 8/35 NOTA 2. El término disponibilidad no se ha utilizado en esta definición porque es un término definido en esta parte de la Norma ISO/IEC lo que hace que no sea apropiado para esta definición. NOTA 3. Adaptado de la ISO/IEC 27000: Incidencia de seguridad de la información (information security incident). Un único evento o una serie de eventos de seguridad de la información inesperados o no deseados, que tienen una probabilidad significativa de comprometer las operaciones del negocio y de amenazar la seguridad de la información. [ISO/IEC 27000:2009] 3.13 Parte interesada (interested party). Persona o grupo que tiene un interés específico en el comportamiento o éxito de la actividad o actividades del proveedor del servicio. EJEMPLOS. Clientes, propietarios, la dirección, personas en la organización del proveedor del servicio, suministradores, entidades financieras, sindicatos o socios empresariales. NOTA 1. Un grupo puede constar de una organización, una parte de la misma, o más de una organización. NOTA 2. Adaptado de la ISO 9000: Grupo interno (internal group). Parte de la organización del proveedor del servicio incluido en un acuerdo documentado con el proveedor del servicio para contribuir al diseño, transición, provisión y mejora de uno o varios servicios. NOTA. El grupo interno está fuera del alcance del SGS del proveedor del servicio Error conocido (known error). Problema que tiene identificados una causa raíz o un método para reducir o eliminar su impacto sobre un servicio mediante un arreglo provisional No conformidad (nonconformity). Incumplimiento de un requisito. [ISO 9000:2005] 3.17 Organización (organization). Conjunto de personas e instalaciones con una disposición de responsabilidades, autoridades y relaciones. EJEMPLOS Compañía, corporación, firma, empresa, institución, institución de beneficencia, empresa unipersonal, asociación, o parte de una combinación de las anteriores. NOTA 1. Dicha disposición es generalmente ordenada. NOTA 2. Una organización puede ser pública o privada. [ISO 9000:2005] 3.18 Acción preventiva (preventive action). Acción tomada para evitar o eliminar la causa, o para reducir la probabilidad de ocurrencia de una no conformidad potencial u otra situación no deseada. NOTA. Adaptada de la ISO 9000:2005.

9 9/ Problema (problem). Causa raíz de una o más incidencias. NOTA. La causa raíz normalmente no es conocida en el momento que se crea un registro del problema y el proceso de gestión de problemas es responsable de una investigación en profundidad Procedimiento (procedure). Forma específica para llevar a cabo una actividad o un proceso. [ISO 9000:2005] NOTA. Los procedimientos pueden ser documentados o no Proceso (process). Conjunto de actividades mutuamente relacionadas o que interactúan, las cuales transforman elementos de entrada en resultados. [ISO 9000:2005] 3.22 Registro. Documento (3.8) que presenta resultados alcanzados o proporciona evidencia de actividades desempeñadas. [ISO 9000:2005] EJEMPLOS. Informes de auditoría, informes de incidencias, registros de formación o actas de reuniones Entrega (release). Recopilación, de uno o más elementos de configuración nuevos o modificados desplegada en el entorno de producción como consecuencia de uno o más cambios Petición de cambio (request for change). Propuesta de modificación a aplicar a un servicio, a un componente del servicio o al sistema de gestión del servicio. NOTA. Un cambio en un servicio incluye la provisión de un servicio nuevo o la retirada de un servicio que ya no es necesario Riesgo (risk). Efecto de la incertidumbre sobre la consecución de los objetivos. NOTA 1. Un efecto es una desviación positiva y/o negativa frente a lo previsto. NOTA 2. Los objetivos pueden tener diferentes aspectos (tales como financieros, de salud y seguridad, y ambientales) y se pueden aplicar a diferentes niveles (tales como nivel estratégico, nivel de un proyecto, de un producto, de un proceso o de una organización completa). NOTA 3.Con frecuencia, el riesgo se caracteriza por referencia a sucesos potenciales y a sus consecuencias, o a una combinación de ambos. NOTA 4. Con frecuencia, el riesgo se expresa en términos de combinación de las consecuencias de un suceso (incluyendo los cambios en las circunstancias) y de su probabilidad. [ISO 31000:2009] 3.26 Servicio (service). Medio de entrega de valor al cliente facilitando que alcance los resultados que quiere lograr.

10 10/35 NOTA 1. El servicio es generalmente intangible. NOTA 2. Un servicio puede también ser provisto al proveedor del servicio por un suministrador, un grupo interno o un cliente actuando como suministrador Componente del servicio (service component). Unidad individual de un servicio que cuando se combina con otras unidades provee un servicio completo. EJEMPLOS. Hardware, software, herramientas, aplicaciones, documentación, información, procesos o servicios de soporte. NOTA. Un componente del servicio puede constar de uno o más elementos de configuración Continuidad del servicio (service continuity). Capacidad de gestionar los riesgos y sucesos que puedan tener un grave impacto en el servicio con el fin de prestar de forma continua los servicios en los niveles acordados Acuerdo de nivel de servicio, SLA (service level agreement). Acuerdo documentado entre el proveedor del servicio y el cliente que identifica los servicios y sus objetivos. NOTA 1. Un acuerdo de nivel de servicio puede también establecerse entre un proveedor del servicio y un suministrador, un grupo interno o un cliente actuando como suministrador. NOTA 2. Un acuerdo de nivel de servicio puede ser incluido en un contrato u otro tipo de acuerdo documentado Gestión del servicio (service management). Conjunto de capacidades y procesos para dirigir y controlar las actividades del proveedor del servicio y los recursos para el diseño, transición, provisión y mejora de los servicios para cumplir los requisitos del servicio Sistema de Gestión del Servicio, SGS (service management system). Sistema de gestión para dirigir y controlar las actividades de gestión de los servicios del proveedor del servicio. NOTA 1. Un sistema de gestión es un conjunto de elementos interrelacionados o que interactúan para establecer la política y objetivos y para lograr dichos objetivos. NOTA 2. El SGS incluye todas las políticas de gestión del servicio, objetivos, planes, procesos, documentación y recursos requeridos para el diseño, transición, provisión y mejora de los servicios para el cumplimiento de los requisitos en esta parte de la Norma ISO/IEC NOTA 3. Adaptado de la definición de "sistema de gestión de calidad" de la Norma la ISO 9000: Proveedor del servicio (service provider). Organización o parte de una organización que gestiona y provee uno o varios servicios al cliente. NOTA. Un cliente puede ser interno o externo a la organización del proveedor del servicio Petición de servicio (service request). Solicitud de información, consulta, de acceso a un servicio o un cambio previamente aprobado.

11 11/ Requisitos del servicio (service requirement). Necesidades del cliente y los usuarios del servicio, incluyendo los requisitos de nivel de servicio, y las necesidades del proveedor del servicio Suministrador (supplier). Organización o parte de una organización, externa a la del proveedor del servicio, que establece un contrato con éste para contribuir al diseño, transición, provisión y mejora de los servicios o procesos. NOTA. Suministradores se refiere a los suministradores designados como principales, pero no a los subcontratados por ellos Alta dirección (top management). Persona o grupo de personas que dirigen y controlan al más alto nivel al proveedor del servicio. NOTA. Adaptado de la Norma ISO 9000: Transición (transition). Actividades involucradas en el traslado de un servicio nuevo o modificado desde o hasta el entorno de producción. 4. REQUISITOS GENERALES DEL SISTEMA DE GESTIÓN DEL SERVICIO 4.1 Responsabilidad de la dirección Compromiso de la dirección. La alta dirección debe proporcionar evidencias de su compromiso con la planificación, establecimiento, implementación, operación, monitorización, revisión, mantenimiento y mejora del SGS y de los servicios: a) estableciendo y comunicando el alcance, política y objetivos de la gestión del servicio; b) asegurando que el plan de gestión del servicio se crea, implementa y mantiene con el propósito de mostrar adhesión a la política, alcanzar los objetivos de gestión del servicio y satisfacer los requisitos del servicio; c) comunicando la importancia de satisfacer los requisitos del servicio; d) comunicando la importancia de satisfacer los requisitos legales y regulatorios, así como las obligaciones contractuales; e) asegurando la provisión de los recursos; f) realizando revisiones de la gestión a intervalos planificados; g) asegurando que los riesgos del servicio son evaluados y gestionados Política de gestión del servicio La alta dirección debe asegurar que la política de gestión del servicio: a) es la apropiada para el propósito del proveedor del servicio; b) incluye un compromiso de satisfacción de los requisitos del servicio; c) incluye un compromiso de mejora continua de la eficacia del SGS y de los servicios a través de la política de mejora continua establecida en el apartado ;

12 12/35 d) proporciona un marco para el establecimiento y revisión de los objetivos de gestión del servicio; e) es comunicada y entendida por el personal del proveedor del servicio; f) es revisada para su continua adecuación Autoridad, responsabilidad y comunicación La alta dirección debe asegurar que: a) se definen y mantienen las autorizaciones y responsabilidades de la gestión del servicio; b) se establecen e implementan procedimientos documentados de comunicación Representante de la dirección La alta dirección debe designar un miembro de la dirección del proveedor del servicio que, al margen de otras responsabilidades, tenga la autoridad y responsabilidad para: a) asegurar que se realizan las actividades para identificar, documentar y satisfacer los requisitos del servicio; b) asignar autorizaciones y responsabilidades para asegurar que se diseñan, implementan y mejoran los procesos de gestión del servicio conforme a la política y objetivos de gestión del servicio; c) asegurar que los procesos de gestión del servicio están integrados con el resto de componentes del SGS; d) asegurar que los activos, incluyendo sus licencias, utilizados para proveer los servicios, se gestionan conforme a los requisitos legales y regulatorios, y a las obligaciones contractuales; e) informar a la alta dirección sobre el comportamiento y oportunidades de mejora del SGS y de los servicios. 4.2 Gobierno de los procesos operados por terceros. El proveedor del servicio debe identificar todos los procesos -o partes de procesos- operados por terceros para los cuáles se han especificado requisitos en los capítulos 5 a 9. "Terceros" pueden ser un grupo interno, un cliente o un suministrador. El proveedor del servicio debe demostrar que gobierna los procesos operados por terceros: a) demostrando responsabilidad sobre los procesos y autoridad para exigir adhesión a los mismos; b) controlando la definición de los procesos e interfaces con otros procesos; c) determinando el comportamiento de los procesos y la conformidad con los requisitos de los procesos; d) controlando la planificación y priorizando las mejoras de los procesos. Cuando un suministrador opera parte de los procesos, el proveedor del servicio debe gestionar al suministrador mediante el proceso de gestión de suministradores. Cuando un grupo interno o un cliente opera partes de los procesos, el proveedor del servicio debe gestionar al grupo interno o al cliente a través del proceso de gestión del nivel de servicio. NOTA. La norma ISO/IEC proporciona orientación sobre la definición del alcance y la aplicabilidad de esta parte de la serie ISO/IEC Incluye una explicación más detallada sobre el gobierno de los procesos operados por terceros.

13 13/ Gestión de la documentación Establecimiento y mantenimiento de documentos. El proveedor del servicio debe establecer y mantener documentos, incluyendo registros, para asegurar la planificación, operación y control efectivos del SGS. Estos documentos deben incluir: a) política y objetivos de gestión del servicio documentados; b) plan de gestión del servicio documentado; c) políticas y planes documentados creados para procesos específicos, conforme a lo requerido por esta parte de la Norma ISO/IEC 20000; d) catálogo de servicios documentado; e) acuerdos SLA documentados; f) procesos de gestión del servicio documentados; g) procedimientos y registros requeridos por esta parte de la Norma ISO/IEC documentados; h) documentos adicionales, incluyendo los de origen externo, determinados por el proveedor del servicio como necesarios para asegurar la operación eficaz del SGS y la provisión de servicios Control de documentos Los documentos requeridos por el SGS deben estar controlados. Los registros son un tipo especial de documento y deben ser controlados conforme a los requisitos establecidos en el apartado Se debe establecer un procedimiento documentado que incluya niveles de autoridad y responsabilidades, al objeto de definir los controles necesarios para: a) crear y aprobar los documentos antes de publicarlos; b) informar a las partes interesadas acerca de documentos nuevos o modificados; c) revisar y mantener 2 los documentos conforme sea necesario; d) asegurar que se identifican tanto los cambios a los documentos como el estado actual de revisión de los mismos; e) garantizar que las versiones pertinentes de los documentos aplicables se encuentran disponibles allá donde se usen; f) asegurar que los documentos son fácilmente identificables y legibles; g) asegurar que los documentos de origen externo están identificados y su distribución controlada; h) evitar el uso no intencionado de documentos obsoletos y aplicarles la identificación adecuada si son conservados Control de registros. Se deben mantener registros para demostrar la conformidad con los requisitos y la operación eficaz del SGS. Se debe establecer un procedimiento documentado que defina los controles necesarios para la identificación, almacenamiento, protección, recuperación, conservación y retirada de registros. Los registros deben ser legibles, fácilmente identificables y recuperables. 2 Nota Nacional: Entiéndase por mantener a conservar; custodiar, salvaguardar, etc.

14 14/ Gestión de recursos Provisión de recursos. El proveedor del servicio debe determinar y proporcionar los recursos humanos, técnicos, de información y financieros necesarios para: a) establecer, implementar y mantener el SGS y los servicios, y mejorar de manera continua su eficacia; b) aumentar la satisfacción del cliente proporcionándole servicios que satisfagan los requisitos del servicio Recursos humanos. El personal del proveedor del servicio cuyo trabajo afecte a la conformidad con los requisitos del servicio debe ser competente en lo que se refiere a una adecuada educación, formación, competencias y experiencia. El proveedor del servicio debe: a) determinar el nivel de competencia necesario para el personal; b) cuando se requiera, proporcionar capacitación o llevar a cabo otras acciones para alcanzar el nivel de competencia necesario; c) evaluar la eficacia de las acciones realizadas; d) garantizar que su personal es consciente de la forma en que contribuyen a la consecución de los objetivos de gestión del servicio y el cumplimiento de los requisitos del servicio; e) mantener registros apropiados de la educación, formación, habilidades y experiencia. 4.5 Establecer y mejorar el SGS Definir el alcance. El proveedor del servicio debe definir e incluir el alcance del SGS en el plan de gestión del servicio. El alcance se debe definir con el nombre de la unidad organizativa que provee los servicios, y los servicios que se entregarán. El proveedor del servicio también debe tener en cuenta otros factores que afectan a los servicios que se proveen incluyendo: a) localización(es) geográfica(s) desde la(s) que el proveedor del servicio proporciona los servicios; b) el cliente y su(s) ubicación(es); c) la tecnología utilizada para prestar los servicios. NOTA. La norma ISO/IEC proporciona orientación sobre la definición del alcance y la aplicabilidad de esta parte de la serie ISO/IEC Planificar el SGS (Planificar). El proveedor del servicio debe crear, implementar y mantener un plan de gestión del servicio. La planificación debe tener en cuenta la política de gestión del servicio, los requisitos del servicio y los requisitos en esta parte de la serie ISO/IEC El plan de gestión del servicio debe contener o hacer referencia al menos a lo siguiente:

15 15/35 a) objetivos de la gestión del servicio a alcanzar por el proveedor del servicio; b) requisitos del servicio; c) limitaciones conocidas que pueden afectar al SGS; d) las políticas, normas, requisitos legales y regulatorios, y obligaciones contractuales; e) estructura de autoridades, responsabilidades y roles del proceso; f) autoridades y responsabilidades de los planes, los servicios y procesos de gestión del servicio; g) recursos humanos, técnicos, financieros y de información necesarios para alcanzar los objetivos de gestión del servicio; h) enfoque a adoptar para trabajar con terceros involucrados en el proceso de diseño y transición de servicios nuevos o modificados; i) enfoque a adoptar para las interfaces entre los procesos de gestión del servicio y su integración con el resto de componentes del SGS; j) enfoque a adoptar para la gestión de riesgos y los criterios para la aceptación de riesgos; k) tecnología utilizada para soportar el SGS; l) cómo se medirá, auditará, informará y mejorará la eficacia del SGS y los servicios. Los planes creados para procesos específicos se deben alinear con el plan de gestión del servicio. El plan de gestión del servicio y los planes creados para procesos específicos se deben revisar a intervalos planificados y, si procede, se deben actualizar Implementar y operar el SGS (Hacer). El proveedor del servicio debe implementar y operar el SGS para el diseño, transición, provisión y mejora de los servicios de acuerdo con el plan de gestión del servicio, como mínimo a través de las siguientes actividades: a) asignación y gestión de fondos y presupuestos; b) asignación de autoridades, responsabilidades y roles del proceso; c) gestión de los recursos humanos, técnicos y de información; d) identificación, evaluación y gestión de los riesgos sobre los servicios; e) gestión de los procesos de gestión del servicio; f) monitorización y envío de informes sobre el comportamiento de las actividades de gestión del servicio Monitorizar y revisar el SGS (Verificar) Generalidades. El proveedor del servicio debe utilizar los métodos adecuados para el seguimiento y la medición del SGS y los servicios. Estos métodos deben incluir auditorías internas y revisiones por parte de la dirección. Los objetivos de todas las auditorías internas y revisiones por parte de la dirección se deben documentar. Las auditorías internas y evaluaciones de la dirección deben demostrar la capacidad del SGS y los servicios para alcanzar los objetivos de la gestión del servicio y cumplir los requisitos del servicio. Las no conformidades se deben identificar contra los requisitos de esta parte de la Norma

16 16/35 ISO/IEC 20000, contra los requisitos del SGS identificados por el proveedor del servicio o contra los requisitos de servicio. Se deben registrar los resultados de las auditorías internas y de las revisiones por parte de la dirección, incluyendo las no conformidades, las observaciones y las acciones identificadas. Los resultados y las acciones se deben comunicar a las partes interesadas Auditoría Interna. El proveedor del servicio debe realizar auditorías internas, a intervalos planificados, para determinar si el SGS y los servicios: a) cumplen con los requisitos de esta parte de la serie ISO/IEC 20000; b) cumplen con los requisitos de servicio y los requisitos del SGS identificados por el proveedor del servicio; c) son implementados y mantenidos de una manera eficaz. Debe existir un procedimiento documentado que incluya las autoridades y responsabilidades para planificar y realizar auditorías, así como para informar sobre los resultados y para el mantenimiento de los registros de auditoría. Se debe planificar un programa de auditoría. Este programa debe tener en cuenta el estado y la importancia de los procesos y áreas a auditar, así como los resultados de las auditorías previas. Se deben documentar los criterios, el alcance, la frecuencia y los métodos de auditoría. La selección de los auditores y la realización de las auditorías deben asegurar la objetividad e imparcialidad de la auditoría. Los auditores no deben auditar su propio trabajo. Se deben comunicar las no conformidades, priorizarlas y asignar responsabilidad sobre las acciones. La dirección responsable del área auditada debe asegurar que las correcciones y acciones correctivas para eliminar las no conformidades, y sus causas, se realizan sin demora injustificada. Las actividades de seguimiento deben incluir la verificación de las acciones realizadas y el informe de los resultados. NOTA. Véase la serie ISO que proporciona orientación sobre la auditoría de los sistemas de gestión Revisión por la dirección. La alta dirección debe revisar el SGS y los servicios, a intervalos planificados para asegurar su adecuación y eficacia. Esta revisión debe incluir la evaluación de oportunidades de mejora y la necesidad de cambios en el SGS, incluida la política y objetivos de la gestión del servicio. El alcance de las revisiones por la dirección debe incluir, como mínimo, información sobre: a) retroalimentación del cliente; b) comportamiento y conformidad del servicio y de los procesos; c) niveles actuales y previstos de recursos humanos, técnicos, de información, y financieros; d) capacidades humanas y técnicas actuales y previstas; e) riesgos; f) resultados y acciones de seguimiento de las auditorías; g) resultados y acciones de seguimiento de las revisiones de la gestión previa;

17 17/35 h) estado de las acciones preventivas y correctivas; i) cambios que puedan afectar al SGS y los servicios; j) oportunidades de mejora. Se deben mantener registros de las revisiones por la dirección. Los registros de las revisiones por la dirección deben incluir, al menos, las decisiones y acciones relacionadas con los recursos, la mejora de la eficacia del SGS y la mejora de los servicios Mantener y mejorar el SGS (Actuar) Generalidades. Debe existir una política de mejora continua del SGS y los servicios. La política debe incluir criterios de evaluación de las oportunidades de mejora. Debe existir un procedimiento documentado que incluya las autoridades y responsabilidades para identificar, documentar, evaluar, aprobar, priorizar, gestionar, medir e informar de las mejoras. Se deben documentar las oportunidades de mejora, incluyendo las acciones correctivas y preventivas. Se debe corregir la causa de las no conformidades identificadas. Se deben adoptar acciones correctivas para eliminar la causa de las no conformidades identificadas con el fin de prevenir la recurrencia. Se deben adoptar acciones preventivas con el fin de eliminar la causa potencial de no conformidades y prevenir su ocurrencia. NOTA. Para obtener más información sobre las medidas correctivas y preventivas, véase la Norma ISO 9001:2008, apartado Gestión de mejoras. Se deben priorizar las oportunidades de mejora. El proveedor del servicio debe utilizar los criterios de evaluación de la política de mejora continua en la toma de decisiones sobre las oportunidades de mejora. Se deben planificar las mejoras aprobadas. El proveedor del servicio debe gestionar las actividades de mejora, que incluyen como mínimo: a) el establecimiento de objetivos de mejora en uno o más de los siguientes aspectos de calidad, valor, capacidad, costo, productividad, utilización de recursos y reducción de riesgos; b) garantizar que las mejoras aprobadas se apliquen; c) revisión de las políticas de gestión del servicio, planes, procesos y procedimientos, cuando sea necesario; d) medición de las mejoras implementadas frente a los objetivos establecidos, y donde éstos no se hayan alcanzado, tomar las acciones necesarias; e) informe de las mejoras implementadas.

18 18/35 5. DISEÑO Y TRANSICIÓN DE SERVICIOS NUEVOS O MODIFICADOS 5.1 Generalidades. El proveedor del servicio debe utilizar este proceso para todos los servicios nuevos y para cambios de los servicios que potencialmente tengan un impacto importante sobre los servicios o el cliente. Los cambios que están en el alcance del capítulo 5 deben estar determinados por la política de gestión de cambios acordada como parte del proceso de gestión de cambios. En el ámbito del capítulo 5, el proceso de gestión de cambios debe controlar la evaluación, la aprobación, la planificación y la revisión de los servicios nuevos o modificados. Dentro del alcance del capítulo 5, los elementos de configuración (CI) afectados por un servicio nuevo o modificado deben estar controlados por el proceso de gestión de la configuración. El proveedor del servicio debe revisar los resultados de las actividades de planificación y diseño de servicios nuevos o modificados frente a los requisitos acordados y a los requisitos pertinentes determinados en los apartados 5.2 y 5.3. Fundamentándose en la revisión, el proveedor del servicio debe aceptar o rechazar los productos. El proveedor del servicio debe tomar las acciones necesarias para asegurar que el desarrollo y transición de los servicios nuevos o modificados se puedan realizar de manera eficaz utilizando los resultados aceptados. NOTA. La necesidad de un servicio nuevo o un cambio sobre un servicio puede originarse desde el cliente, el proveedor del servicio, un grupo interno o desde un suministrador para satisfacer necesidades del negocio o para mejorar la eficiencia de los servicios. 5.2 Planificación de servicios nuevos o modificados. El proveedor del servicio debe identificar los requisitos de servicio para los servicios nuevos o modificados. Los servicios nuevos o modificados se deben planificar para cumplir los requisitos de servicio. La planificación de los servicios nuevos o modificados se debe acordar con los clientes y las partes interesadas. Como entrada a la planificación, el proveedor del servicio debe tener en consideración el potencial impacto financiero, organizativo y técnico de la provisión de los servicios nuevos o modificados. El proveedor del servicio también debe tener en consideración el impacto potencial de los servicios nuevos o modificados sobre el SGS. La planificación de los servicios nuevos o modificados debe contener o incluir como mínimo una referencia a lo siguiente: a) las autoridades y responsabilidades para las actividades de diseño, desarrollo y transición; b) las actividades a ser realizadas por el proveedor del servicio y terceros, incluyendo las actividades a realizar en la relación entre el proveedor del servicio y terceros; c) la comunicación a las partes interesadas; d) los recursos humanos, técnicos, de información y financieros; e) las fechas para las actividades planificadas; f) la identificación, evaluación y gestión de riesgos; g) las dependencias de otros servicios; h) las pruebas requeridas para los servicios nuevos o modificados; i) los criterios de aceptación de los servicios; j) los resultados esperados de la provisión de los servicios nuevos o modificados, expresados en términos medibles.

19 19/35 Para los servicios que vayan a ser retirados, el proveedor del servicio debe planificar la retirada de los servicios. La planificación debe incluir la(s) fecha(s) de la retirada, archivo, eliminación o transferencia de los datos, documentación y componentes del servicio. Los componentes del servicio pueden incluir infraestructura y aplicaciones con licencias asociadas. El proveedor del servicio debe identificar terceros que contribuirán al suministro de componentes del servicio para los servicios nuevos o modificados. El proveedor del servicio debe evaluar su capacidad para cumplir con los requisitos de servicio. Los resultados de la evaluación se deben registrar y tomar las acciones necesarias. 5.3 Diseño y desarrollo de servicios nuevos o modificados. Los servicios nuevos o modificados deben diseñarse y documentarse incluyendo al menos: a) la autoridad y responsabilidades para la provisión de los servicios nuevos o modificados; b) las actividades a ser realizadas por el proveedor del servicio, el cliente y terceros para la provisión de los servicios nuevos o modificados; c) los requisitos de recursos humanos nuevos o modificados, incluyendo los requisitos de educación, formación, competencia y experiencia adecuados; d) los requisitos de recursos financieros para la provisión de los servicios nuevos o modificados; e) la tecnología nueva o modificada para dar soporte a la provisión de servicios nuevos o modificados; f) los planes y políticas nuevos o modificados de acuerdo con lo requerido en esta parte de la serie ISO/IEC 20000; g) los contratos nuevos o modificados y otros acuerdos documentados para alinear con cambios en los requisitos del servicio; h) los cambios en el SGS; i) los SLA nuevos o modificados; j) las actualizaciones al catálogo de servicios; k) los procedimientos, mediciones e información a ser utilizados para la provisión de los servicios nuevos o modificados. El proveedor del servicio debe asegurar que el diseño posibilita que los servicios nuevos o modificados cumplan los requisitos de servicio. Los servicios nuevos o modificados se deben desarrollar de acuerdo con el documento de diseño. NOTA. Para más información sobre diseño, ver el proceso de diseño y desarrollo dentro de la Norma ISO 9001:2008, apartado 7.3 o el proceso de diseño de la arquitectura en la Norma ISO/IEC 15288:2008, apartado Transición de servicios nuevos o modificados. Los servicios nuevos o modificados se deben probar para verificar que cumplen con los requisitos del servicio y con el diseño documentado. Los servicios nuevos o modificados se deben verificar frente a los criterios de aceptación acordados previamente entre el proveedor del servicio y las partes interesadas. Si no se cumplen los criterios de aceptación del servicio, el proveedor del servicio y las partes interesadas deben tomar una decisión sobre las acciones necesarias y sobre el despliegue. Se debe utilizar el proceso de gestión de la entrega y del despliegue para hacer uso de los servicios nuevos o modificados aprobados en el entorno operativo.

20 20/35 Tras la finalización de las actividades de transición, el proveedor del servicio debe informar a las partes interesadas sobre los resultados obtenidos frente a los resultados esperados. 6. PROCESOS DE PROVISIÓN DEL SERVICIO 6.1 Gestión del nivel de servicio. El proveedor del servicio debe acordar con el cliente los servicios a ser prestados. El proveedor del servicio debe acordar un catálogo de servicios con el cliente. El catálogo de servicios debe incluir las dependencias entre los servicios y los componentes del servicio. Para cada servicio provisionado, se debe acordar con el cliente uno o más SLA. Cuando se cree un SLA, el proveedor del servicio debe tener en cuenta los requisitos del servicio. Los SLA deben incluir los objetivos de servicio, las cargas de trabajo y las excepciones acordadas. El proveedor del servicio debe revisar los servicios y los SLA con el cliente a intervalos planificados. Los cambios en los requisitos del servicio, el catálogo de servicios, los SLA y otros acuerdos documentados se deben controlar por el proceso de gestión de cambios. El catálogo de servicios se debe mantener acorde a los cambios en los servicios y los SLA, para asegurar que están alineados. El proveedor del servicio debe monitorizar las tendencias y el comportamiento frente a los objetivos de servicio a intervalos planificados. Los resultados se deben registrar y revisar para identificar las causas de no conformidades y las oportunidades de mejora. Para los componentes del servicio proporcionados por un grupo interno o por el cliente, el proveedor del servicio debe desarrollar, acordar, revisar y mantener un acuerdo documentado definiendo las actividades e interfaces entre las dos partes. El proveedor del servicio debe monitorizar el desempeño del grupo interno o del cliente frente a objetivos de servicio acordados y frente a otros compromisos acordados, a intervalos planificados. Los resultados se deben registrar y revisar para identificar las causas de las no conformidades y las oportunidades de mejora. 6.2 Informes del servicio. Se debe documentar y acordar entre el proveedor del servicio y las partes interesadas la descripción de cada informe de servicio, incluyendo su identificación, propósito, audiencia, frecuencia y detalles de la(s) fuente(s) de datos. Los informes del servicio se deben generar utilizando información de la provisión de los servicios y de las actividades del SGS, incluyendo los procesos de gestión del servicio. Los informes del servicio deben incluir como mínimo: a) el comportamiento frente a los objetivos de servicio; b) la información relevante sobre eventos significativos incluyendo al menos las principales incidencias, el despliegue de servicios nuevos o modificados y las invocaciones del plan de continuidad del servicio; c) las características de carga de trabajo incluyendo volúmenes y cambios periódicos en la carga; d) las no conformidades encontradas frente a los requisitos de esta parte de la Norma ISO/IEC 20000, los requisitos del SGS o los requisitos del servicio y sus causas identificadas;

21 21/35 e) la información de tendencias; f) las medidas de la satisfacción del cliente, las quejas del servicio y los resultados de los análisis de las medidas de satisfacción y de las quejas; El proveedor del servicio debe tomar decisiones y acciones de acuerdo con las conclusiones de los informes del servicio. Las acciones acordadas se deben comunicar a las partes interesadas. 6.3 Gestión de continuidad y disponibilidad del servicio Requisitos de continuidad y disponibilidad del servicio. El proveedor del servicio debe evaluar y documentar los riesgos sobre la disponibilidad y continuidad de los servicios. El proveedor del servicio debe identificar y acordar con los clientes y partes interesadas los requisitos de continuidad y disponibilidad del servicio. Los requisitos acordados deben tener en cuenta los planes de negocio aplicables, requisitos de los servicios, SLA y riesgos. Los requisitos de continuidad y disponibilidad del servicio deben incluir al menos: a) derechos de acceso a los servicios; b) tiempos de respuesta de los servicios; c) disponibilidad extremo a extremo de los servicios Planes de continuidad y disponibilidad. El proveedor del servicio debe crear, implementar y mantener un plan (o planes) de continuidad del servicio y un plan (o planes) de disponibilidad. Los cambios a estos planes deben ser controlados por el proceso de gestión de cambios. El plan (o planes) de continuidad del servicio debe incluir al menos: a) los procedimientos a implementar en caso de una pérdida relevante del servicio, o referencias a ellos; b) los objetivos de disponibilidad cuando se invoque el plan; c) los requisitos de recuperación; d) el enfoque para el retorno a las condiciones de trabajo normales. Los planes de continuidad del servicio, las listas de contactos y la CMDB deben estar accesibles cuando no sea posible el acceso a las ubicaciones normales de los servicios. El plan (o planes) de disponibilidad deben incluir al menos los requisitos de disponibilidad y los objetivos. El proveedor del servicio debe evaluar el impacto de las peticiones de cambio en los planes de continuidad de servicio y en los planes de disponibilidad. NOTA. Los planes de continuidad de servicio y los planes de disponibilidad pueden combinarse en un único documento.