Tecnología de la información. Gestión del Servicio

Documentos relacionados
NORMA TÉCNICA NICARAGÜENSE

ISO Daniel Pedrajas Van de Velde Sara Estellés Rojas Carlos García

Sistemas de gestión de calidad Requisitos

Auditoría» ISO/IEC 27001» Requerimientos

Información y documentación. Sistemas de gestión para los documentos. Fundamentos y vocabulario. Secretaría desempeña FESABID.

NTE INEN-ISO/IEC Segunda edición

IMPLEMENTACION DEL SISTEMA DE GESTION DE LA CALIDAD BASADO EN LA NORMA INTERNACIONAL ISO 9001:2008

ITILv3-Transición del Servicio de Información. Figuras basadas en material ITIL

9.3 GLOSARIO DE TÉRMINOS

La Gestión de Energía según la Norma ISO 50001

4. Sistema de Gestión de la Calidad

Interpretación de la Norma ISO 9001:2008. Mario Muñoz González

GESTIÓN DE LA CALIDAD

Sesión 3 Procesos Productivos, de Apoyo y Evaluación Revisión de los Requisitos 7, 8 y 9 ISO 9001:2015

Quito Ecuador EXTRACTO

Lista de la Verificación de la Gestión Ambiental 1

LISTA DE VERIFICACION NORMA ISO 9001: 2008 (PROCESO DE SERVICIOS DE PRUEBAS Y CALIBRACIÓN)

NORMA INTERNACIONAL Traducción oficial Official translation Traduction officielle

Caminos y Puentes Federales de Ingresos y Servicios Conexos

Manual de calidad. Objeto y ámbito de aplicación del sistema de gestión de calidad Página 1 de 7

Nombre de la Empresa LISTA DE COMPROBACIÓN ISO 9001:2008 FO-SGC Página 1 de 19 Revisión nº: 0 Fecha (dd/mm/aaaa):

NORMA INTERNACIONAL Traducción oficial Official translation Traduction officielle

La organización debe planificar e implementar los procesos de seguimiento, medición, análisis y mejora necesarios para:

PROCEDIMIENTO DE ACCIONES CORRECTIVAS Y PREVENTIVAS

NTE INEN-ISO/IEC Cuarta edición

This is a preview of "ISO 19011:2011[S]". Click here to purchase the full version from the ANSI store. NORMA INTERNACIONAL

ISO 9001:2008 Sistemas de Gestión de Calidad - Requerimientos

FUNDACION CENTRO COLOMBIANO DE ESTUDIOS PROFESIONALES Aquí Comienzan a ser realidad tus sueños ACCIONES CORRECTIVAS

ITE INEN-ISO/IEC TR Primera edición

MANUAL M-SGC SISTEMA DE GESTIÓN DE CALIDAD CONTROL DE CAMBIOS Y MEJORAS DESCRIPCIÓN DE LA MODIFICACIÓN Y MEJORA

SISTEMAS DE GESTIÓN DE LA CALIDAD REQUISITOS

MANUAL DE ORGANIZACIÓN

Sistema de Gestión de la Calidad SGC

Quito Ecuador EXTRACTO TECNOLOGÍA DE LA INFORMACIÓN PROCESO DE EVALUACIÓN PARTE 2: REALIZACIÓN DE UNA EVALUACIÓN (ISO/IEC :2003, IDT)

NORMA ISO 9001:2008. Nombres: Esteban Cando Ismael Criollo Erick Gutierrez Curso: 4to C ICG mar-jul 17

La nueva ISO 19011:2011 Directrices para auditoría de sistemas de gestión

MANUAL DE GESTIÓN DE CALIDAD TÍTULO DE DOCUMENTO

LINEAS EXTREMEAS DE AUTOBUSES S.L. POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

norma española Materiales para el envase primario de medicamentos Requisitos particulares para la aplicación de la ISO 9001:2008, (ISO 15378:2011)

Índice Página 1 Objeto y campo de aplicación Generalidades Aplicación Referencias normativas Тérminos y definiciones...10

TEMA 6. SISTEMAS DE GESTIÓN DE LA CALIDAD: NORMAS ISO 9000

Sistemas de gestión de la calidad Directrices para la aplicación de la Norma ISO 9001:2015

Parte A INSTRUCTOR: ING. DORIAN MOSQUERA

PROCEDIMIENTO FORMULACIÓN DEACCIONES CORRECTIVAS, PREVENTIVAS Y DE MEJORA PROCESO GESTION MEJORAMIENTO CONTINUO

Quito Ecuador EXTRACTO PRODUCTOS SANITARIOS. SISTEMAS DE GESTIÓN DE LA CALIDAD. REQUISITOS PARA FINES REGLAMENTARIOS (ISO 13485:2003, IDT)

ITE INEN-ISO/IEC TR Primera edición

Quito Ecuador EXTRACTO INFORMACIÓN Y DOCUMENTACIÓN. SISTEMAS DE GESTIÓN PARA LOS DOCUMENTOS. FUNDAMENTOS Y VOCABULARIO (ISO 30300:2011, IDT)

Quito Ecuador EXTRACTO ESPECIFICACIÓN PARA SISTEMAS DE GESTIÓN DE LA SEGURIDAD PARA LA CADENA DE SUMINISTRO (ISO 28000:2007, IDT)

Manual de Gestión de la Calidad 8. Medición, Análisis y Mejora

PROGRAMA DE AUDITORÍA PROCESO DE SEGUIMIENTO Y CONTROL

CERTIFICACIÓN DE PRODUCTO CUESTIONARIO DE EVALUACIÓN SISTEMA DE GESTIÓN DE CALIDAD PARA SELLO ANUAL

SISTEMA DE GESTIÓN DE CALIDAD REQUISITOS ISO 9001:2008

AUDITORÍAS INTERNAS AMBIENTALES

INSTITUTO URUGUAYO DE NORMAS TÉCNICAS

Oscar Martínez Álvaro

AUDITORÍAS INTERNAS AMBIENTALES

CURSO: INTERPRETACIÓN NORMA ISO

SISTEMAS DE GESTIÓN DE LA ENERGÍA. Aportes de la nueva Norma UNIT-ISO a la mejora del desempeño energético

Nuevos enfoques del tema documentación en la nueva ISO 9001:2015 y sus posibles aportaciones a la ISO 18091

norma española UNE-EN EXTRACTO DEL DOCUMENTO UNE-EN Seguridad funcional

2 Surveillance ISO 9001 :2008 Of 2004 Audit Plan

PROCEDIMIENTO DE REVISIÓN POR LA ALTA DIRECCIÓN

Copia no controlada. Sistemas de Gestión de la Calidad ISO 9001:2000 REQUISITOS ISO 9001:2000. Sistemas de Gestión de la Calidad Requisitos

POLÍTICA DE GESTIÓN DE RIESGOS DE CORPORACIÓN FINANCIERA ALBA, S.A. 1

PROCEDIMIENTO PLANEACIÓN, MANTENIMIENTO Y REVISIÓN AL SISTEMA DE GESTIÓN INTEGRAL PROCESO GESTION MEJORAMIENTO CONTINUO

AUDITORIA INTERNAS DE CALIDAD Seguridad del Sur Ltda.

ISO SERIE MANUALES DE CALIDAD GUIAS DE IMPLEMENTACION. ISO 9001:2008 Como implementar los cambios parte 1 de 6

Quito Ecuador EXTRACTO INGENIERÍA DEL SOFTWARE. CALIDAD DEL PRODUCTO SOFTWARE. MODELO DE CALIDAD (ISO/IEC :2001, IDT)

PROCEDIMIENTO ACCIONES PREVENTIVAS, CORRECTIVAS Y DE MEJORA

PROCEDIMIENTO NO CONFORMIDADES, ACCIONES CORRECTIVAS Y PREVENTIVAS

ISO 9000 es un conjunto de normas de calidad establecidas por la ISO que se pueden aplicar en cualquier tipo de organización (empresa de producción o

Glosario de términos en calidad de salud.

"ACTUALIZACIÓN DE LA NORMA ISO 9001 VERSIÓN 2015"

Quito Ecuador EXTRACTO

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN. 21 de diciembre de 2015 POL-01-03

Verificación. Revisión por la Dirección

La actualización de las normas ISO 9001 e ISO y la transición de la certificación de los sistemas de gestión

MATRIZ DE CORRELACIÓN ISO 9001:2015 e ISO 9001:2008 y CAMBIOS CLAVES

Previsualización OHN/IT-ISO/TR INFORME TÉCNICO HONDUREÑO. Directrices para la documentación de sistemas de gestión de la calidad

Quito Ecuador EXTRACTO TRANSMISIONES HIDRÁULICAS. REGLAS GENERALES Y REQUISITOS DE SEGURIDAD PARA LOS SISTEMAS Y SUS COMPONENTES (ISO 4413:2010, IDT)

FACULTAD DE INGENIERÍA

Norma ISO 9001:2015 Cambios en el SGC y Beneficios FORCAL-PO

SISTEMAS INTEGRADO DE GESTIÓN E INDICADORES DE GESTIÓN

Los Sistemas de Gestión Energética (SGE)

REQUISITOS API Q1 9ª EDICIÓN

Nueva ISO 9001 Una norma que se adapta a su tiempo

SISTEMAS DE GESTIÓN DE LA CALIDAD REQUISITOS

Formación de auditores internos OHSAS 18001:2007 Parte 1

Requisitos de las Buenas Prácticas de Mercadeo y Manufactura (BPMM ) Ing. Iván Angulo

Proporcionar al auditado una oportunidad para mejorar el sistema de calidad.

MEDICIÓN Y SEGUIMIENTO DEL DESEMPEÑO

DATOS IDENTIFICATIVOS DEL DOCUMENTO

PROCEDIMIENTO PARA ACCIONES PREVENTIVAS Y CORRECTIVAS

Estandarización y efectividad en el desarrollo de normas para los comités técnicos de ISO. Mayor alineamiento y compatibilidad entre normas.

ISO Por: José de Jesús García Hernández Carlos Enrique Juárez Jiménez Andrés Hernández Hernández. Qué es ISO 9000?

FORMATO PROCEDIMIENTOS Código REVISIÓN POR LA DIRECCIÓN

Quito Ecuador EXTRACTO GESTIÓN DE LA CALIDAD. SATISFACCIÓN DEL CLIENTE. DIRECTRICES PARA EL SEGUIMIENTO Y LA MEDICIÓN (ISO/TS 10004:2010, IDT)

ISO 50001:2011 SISTEMAS DE GESTIÓN DE LA ENERGÍA

Transcripción:

norma española UNE-ISO/IEC 20000-1 Diciembre 2011 TÍTULO Tecnología de la información Gestión del Servicio Parte 1: Requisitos del Sistema de Gestión del Servicio (SGS) Information technology. Service management. Part 1: Service Management System requirements. Technologies de l'information. Gestion des services. Partie 1: Exigences du Système de Management des Services CORRESPONDENCIA Esta norma es idéntica a la Norma Internacional ISO/IEC 20000-1:2011. OBSERVACIONES Esta norma anulará y sustituirá a las Normas UNE-ISO/IEC 20000-1:2007 y UNE-ISO/IEC 20000-1:2007/1M:2009 el 2014-01-01. ANTECEDENTES Esta norma ha sido elaborada por el comité técnico AEN/CTN 71 Tecnología de la información cuya Secretaría desempeña AMETIC. Editada e impresa por AENOR Depósito legal: M 48586:2011 LAS OBSERVACIONES A ESTE DOCUMENTO HAN DE DIRIGIRSE A: 36 Páginas AENOR 2011 Reproducción prohibida Génova, 6 info@aenor.es 28004 MADRID-España www.aenor.es Tel.: 902 102 201 Fax: 913 104 032 Grupo 22

S

- 3 - ISO/IEC 20000-1:2011 ÍNDICE Página PRÓLOGO... 5 INTRODUCCIÓN... 7 1 OBJETO... 8 1.1 Generalidades... 8 1.2 Campo de aplicación... 9 2 NORMAS PARA CONSULTA... 10 3 TÉRMINOS Y DEFINICIONES... 10 4 REQUISITOS GENERALES DEL SISTEMA DE GESTIÓN DEL SERVICIO... 14 4.1 Responsabilidad de la dirección... 14 4.1.1 Compromiso de la dirección... 14 4.1.2 Política de gestión del servicio... 15 4.1.3 Autoridad, responsabilidad y comunicación... 15 4.1.4 Representante de la dirección... 15 4.2 Gobierno de los procesos operados por terceros... 15 4.3 Gestión de la documentación... 16 4.3.1 Establecimiento y mantenimiento de documentos... 16 4.3.2 Control de documentos... 16 4.3.3 Control de registros... 17 4.4 Gestión de recursos... 17 4.4.1 Provisión de recursos... 17 4.4.2 Recursos humanos... 17 4.5 Establecer y mejorar el SGS... 17 4.5.1 Definir el alcance... 17 4.5.2 Planificar el SGS (Planificar)... 18 4.5.3 Implementar y operar el SGS (Hacer)... 18 4.5.4 Monitorizar y revisar el SGS (Verificar)... 19 4.5.5 Mantener y mejorar el SGS (Actuar)... 20 5 DISEÑO Y TRANSICIÓN DE SERVICIOS NUEVOS O MODIFICADOS... 21 5.1 Generalidades... 21 5.2 Planificación de servicios nuevos o modificados... 21 5.3 Diseño y desarrollo de servicios nuevos o modificados... 22 5.4 Transición de servicios nuevos o modificados... 22 6 PROCESOS DE PROVISIÓN DEL SERVICIO... 23 6.1 Gestión del nivel de servicio... 23 6.2 Informes del servicio... 23 6.3 Gestión de continuidad y disponibilidad del servicio... 24 6.3.1 Requisitos de continuidad y disponibilidad del servicio... 24 6.3.2 Planes de continuidad y disponibilidad... 24 6.3.3 Monitorización y prueba de la continuidad y de la disponibilidad del servicio... 24 6.4 Elaboración de presupuesto y contabilidad de los servicios... 25 6.5 Gestión de la capacidad... 25 6.6 Gestión de la seguridad de la información... 26 6.6.1 Política de seguridad de la información... 26

ISO/IEC 20000-1:2011-4 - 6.6.2 Controles de seguridad de la información... 26 6.6.3 Cambios e incidencias de seguridad de la información... 27 7 PROCESOS DE RELACIÓN... 27 7.1 Gestión de relaciones con el negocio... 27 7.2 Gestión de suministradores... 27 8 PROCESOS DE RESOLUCIÓN... 29 8.1 Gestión de incidencias y peticiones de servicio... 29 8.2 Gestión de problemas... 30 9 PROCESOS DE CONTROL... 30 9.1 Gestión de la configuración... 30 9.2 Gestión de cambios... 31 9.3 Gestión de la entrega y despliegue... 32 BIBLIOGRAFÍA... 36 Figuras Figura 1 Metodología PDCA aplicada a la gestión del servicio... 8 Figura 2 Sistema de Gestión del Servicio... 9 Figura 3 Ejemplo de relaciones en una cadena de suministro... 28

- 5 - ISO/IEC 20000-1:2011 PRÓLOGO ISO (Organización Internacional de Normalización) e IEC (la Comisión Electrotécnica Internacional) constituyen el sistema especializado para la normalización a nivel mundial. Los organismos nacionales que son miembros de ISO o IEC participan en el desarrollo de normas internacionales a través de comités técnicos establecidos por las organizaciones respectivas para realizar acuerdos en los campos específicos de la actividad técnica. Los comités técnicos de ISO e IEC colaboran en campos de interés mutuo. Otras organizaciones internacionales, públicas y privadas, en coordinación con ISO e IEC, también participan en el trabajo. En el campo de tecnologías de la información, ISO e IEC han establecido un comité técnico conjunto, el denominado ISO/IEC JTC 1. Las normas internacionales se redactan de acuerdo con las reglas establecidas en la Parte 2 de las Directivas ISO/IEC La tarea principal de los comités técnicos es preparar normas internacionales. Los proyectos de normas internacionales adoptados por los comités técnicos se envían a los organismos miembros para votación. La publicación como norma internacional requiere la aprobación por al menos el 75% de los organismos miembros que emiten voto. Se llama la atención sobre la posibilidad de que algunos de los elementos de este documento puedan estar sujetos a derechos de patente. ISO e IEC no asumen la responsabilidad por la identificación de cualquiera o todos los derechos de patente. La Norma ISO/IEC 20000-1 fue preparada por el Comité Técnico conjunto ISO/IEC JTC 1 Tecnología de la Información, Subcomité SC 7, Ingeniería del software y sistemas. Esta segunda edición anula y sustituye a la primera edición (Norma ISO/IEC 20000-1:2005) que ha sido revisada técnicamente. Las principales diferencias son las siguientes: mayor armonización con la Norma ISO 9001; mayor armonización con la Norma ISO/IEC 27001; cambio en la terminología para reflejar usos internacionales; inclusión de muchas más definiciones, modificación de algunas, y eliminación de dos definiciones; inclusión del término "sistema de gestión del servicio"; unificación de los capítulos 3 y 4 de la Norma ISO/IEC 20000-1:2005 para incluir todos los requisitos del sistema de gestión en un solo capítulo; clarificación de los requisitos para el gobierno de los procesos operados por terceros; clarificación de los requisitos para definir el alcance del Sistema de Gestión del Servicio (SGS); clarificación de que la metodología PDCA aplica al SGS, incluyendo a los procesos de la gestión del servicio, y a los servicios; inclusión de nuevos requisitos para el diseño y la transición de servicios nuevos o modificados.

ISO/IEC 20000-1:2011-6 - La Norma ISO/IEC 20000 consiste en las siguientes partes, bajo el título general Tecnología de la información. Gestión del Servicio: Parte 1: Requisitos del Sistema de Gestión del Servicio (SGS). Parte 2: Directrices 1). Parte 3: Directrices para la definición del alcance y la aplicabilidad de la Norma ISO/IEC 20000-1 [Informe Técnico]. Parte 4: Modelo de referencia de procesos [Informe Técnico]. Parte 5: Modelo de plan de implementación de la Norma ISO/IEC 20000-1 [Informe Técnico]. Un modelo de evaluación de procesos para la gestión del servicio será objeto de una futura parte 8. 1) Pendiente de publicación a la fecha de edición de esta norma. (Revisión técnica de la Norma ISO/IEC 20000-2:2005).

- 7 - ISO/IEC 20000-1:2011 INTRODUCCIÓN Los requisitos de esta parte de la Norma ISO/IEC 20000 incluyen el diseño, transición, provisión, y la mejora de los servicios para cumplir con los requisitos del servicio, y aportar un valor tanto para el cliente como para el proveedor del servicio. Esta parte de la Norma ISO/IEC 20000 requiere al proveedor del servicio un enfoque basado en procesos integrados cuando planifica, establece, implementa, opera, controla, revisa, mantiene y mejora un Sistema de Gestión del Servicio (SGS). La integración e implementación coordinada de un SGS proporciona un control continuo y una serie de oportunidades para la mejora continua, así como una mayor eficacia y eficiencia. La operación de los procesos según lo especificado en esta parte de la Norma ISO/IEC 20000 requiere que el personal esté bien organizado y coordinado. Pueden utilizarse las herramientas que se consideren apropiadas para posibilitar que los procesos sean eficaces y eficientes. Los proveedores de servicios más eficaces consideran el impacto sobre el SGS a lo largo de todas las etapas del ciclo de vida del servicio, comenzando desde la estrategia y continuando por el diseño, transición y operación, incluyendo la mejora continua. Esta parte de la Norma ISO/IEC 20000 requiere la aplicación de la metodología conocida como "Planificar-Hacer-Verificar-Actuar" (PDCA, del inglés Plan-Do-Check-Act) para todas las partes del SGS y para los servicios. La metodología PDCA, tal como se aplica en esta parte de la Norma ISO/IEC 20000, se puede describir brevemente como sigue: Planificar: establecer, documentar y acordar el SGS. El SGS incluye las políticas, objetivos, planes y procesos para cumplir con los requisitos de los servicios. Hacer: implementar y operar el SGS para el diseño, transición, provisión y mejora de los servicios. Verificar: monitorizar, medir y revisar el SGS y los servicios contra las políticas, objetivos, planes y requisitos del servicio e informar de los resultados. Actuar: adoptar medidas para mejorar de una manera continua el comportamiento del SGS y los servicios. Cuando se utiliza dentro de un SGS, los aspectos más importantes de un enfoque de procesos integrados y la metodología PDCA son los siguientes: a) entender y cumplir los requisitos de servicio para lograr la satisfacción del cliente; b) establecer la política y objetivos de la gestión del servicio; c) diseñar y proveer mediante el SGS, servicios que aportan valor al cliente; d) monitorizar, medir y revisar el comportamiento del SGS y de los servicios; e) mejorar de forma continua el SGS y los servicios utilizando mediciones objetivas. La figura 1 ilustra cómo se puede aplicar la metodología PDCA al SGS, incluidos los procesos de gestión del servicio que se especifican en los capítulos 5 a 9, y los servicios. Cada elemento de la metodología PDCA es una parte vital para la implementación exitosa de un SGS. El proceso de mejora utilizado en esta parte de la Norma ISO/IEC 20000 se basa en la metodología PDCA.

ISO/IEC 20000-1:2011-8 - Figura 1 Metodología PDCA aplicada a la gestión del servicio Esta parte de la Norma ISO/IEC 20000 permite a un proveedor del servicio integrar su SGS con otros sistemas de gestión de su organización. La adopción de un enfoque de procesos integrados y de la metodología PDCA permite al proveedor del servicio alinear, o integrar plenamente, las múltiples normas de sistemas de gestión. Por ejemplo, un SGS se puede integrar con un sistema de gestión de calidad basado en la Norma ISO 9001 o un sistema de gestión de la seguridad de la información basado en la Norma ISO/IEC 27001. La Norma ISO/IEC 20000 es intencionadamente independiente de guías específicas. El proveedor del servicio puede utilizar una combinación de guías generalmente aceptadas por el sector junto a su propia experiencia. Los usuarios de una norma internacional son responsables de su correcta aplicación. Una norma internacional no pretende incluir todas las obligaciones necesarias, requisitos legales y obligaciones contractuales del proveedor del servicio. La conformidad con una norma internacional no confiere inmunidad frente a requisitos legales y regulatorios. Con el propósito de investigar sobre las normas de gestión del servicio, los usuarios están invitados a compartir sus puntos de vista sobre la Norma ISO/IEC 20000-1 y sus prioridades para los cambios en el resto de documentos de la serie ISO/IEC 20000. Seleccione el enlace siguiente para participar en la encuesta en línea. Encuesta ISO/IEC 20000-1 1 OBJETO 1.1 Generalidades Esta parte de la serie ISO/IEC 20000 es una norma que contiene un Sistema de Gestión del Servicio (SGS). Especifica al proveedor del servicio los requisitos para planificar, establecer, implementar, operar, monitorizar, revisar, mantener y mejorar un SGS. Los requisitos incluyen el diseño, transición, provisión, y la mejora de los servicios para satisfacer los requisitos de servicio. Esta parte de la serie ISO/IEC 20000 puede ser utilizada por: a) una organización que demande servicios a los proveedores del servicio y que necesite garantía de cumplimiento de sus requisitos de servicio; b) una organización que requiera un enfoque consistente de todos sus proveedores del servicio, incluidos los de una cadena de suministro;

- 9 - ISO/IEC 20000-1:2011 c) un proveedor del servicio que tiene la intención de demostrar su capacidad en el diseño, transición, provisión y mejora de los servicios que cumplen los requisitos del servicio; d) un proveedor del servicio para monitorizar, medir y revisar sus procesos de gestión del servicio y los servicios; e) un proveedor del servicio para mejorar el diseño, transición y provisión de los servicios mediante una implementación y operación eficaces del SGS; f) un asesor o auditor, para evaluar la conformidad del SGS de un proveedor del servicio respecto a los requisitos de esta parte de la serie ISO/IEC 20000. La figura 2 muestra el SGS, e incluye los procesos de gestión del servicio. Los procesos de gestión del servicio y las relaciones entre los procesos se pueden implementar de diferentes formas por cada proveedor del servicio. La naturaleza de la relación entre cada proveedor del servicio y el cliente influirá en la forma de implementar los procesos de gestión del servicio. Figura 2 Sistema de Gestión del Servicio 1.2 Campo de aplicación Todos los requisitos contenidos en esta parte de la serie ISO/IEC 20000 son generales y están destinados a aplicarse a todos los proveedores del servicio, independientemente de su tipo, tamaño, o de la naturaleza de los servicios entregados. No es aceptable la exclusión de cualquiera de los requisitos contenidos en los capítulos 4 a 9 cuando un proveedor del servicio declara la conformidad con esta parte de la serie ISO/IEC 2000, independientemente de la naturaleza de la organización del proveedor del servicio. La conformidad con los requisitos del capítulo 4 sólo puede ser demostrada por un proveedor del servicio mostrando evidencias del cumplimiento de todos los requisitos del capítulo 4. Para los requisitos del capítulo 4, un proveedor del servicio no puede delegar en evidencias de gobierno de procesos que sean operados por terceros

ISO/IEC 20000-1:2011-10 - El proveedor del servicio puede demostrar la conformidad con los requisitos de los capítulos del 5 al 9 mostrando evidencias de cumplimiento de todos los requisitos. Como alternativa, el proveedor del servicio puede mostrar evidencias de cumplimiento de la mayoría de los requisitos y evidencias de gobierno de procesos, o parte de los procesos, operados por terceros que el proveedor del servicio no opera directamente. El alcance de esta parte de la Norma ISO/IEC 20000 excluye la especificación de un producto o herramienta. Sin embargo, las organizaciones pueden usar esta parte de la Norma ISO/IEC 20000 para ayudarles en el desarrollo de productos o herramientas que soporten la operación del SGS. NOTA El Informe Técnico ISO/IEC TR 20000-3 proporciona directrices en la definición del alcance y aplicabilidad de esta parte de la serie ISO/IEC 20000. Incluye una explicación ampliada sobre el gobierno de procesos operados por terceros. 2 NORMAS PARA CONSULTA Las normas que a continuación se indican son indispensables para la aplicación de esta norma. Para las referencias con fecha, sólo se aplica la edición citada. Para las referencias sin fecha se aplica la última edición de la norma (incluyendo cualquier modificación de ésta). No se citan normas para consulta. Este capítulo se incluye para asegurar que la numeración de los capítulos de esta norma es idéntica a la Norma ISO/IEC 20000-2: Tecnologías de la Información. Gestión del Servicio. Parte 2: Guía para la aplicación del Sistema de Gestión del Servicio (SGS) 2). 3 TÉRMINOS Y DEFINICIONES Para los fines de este documento, se aplican los términos y definiciones siguientes: 3.1 disponibilidad (availability): Capacidad de un servicio, o componente de un servicio, de realizar la función requerida en un momento acordado o durante un periodo de tiempo acordado. NOTA La disponibilidad se expresa normalmente como un ratio o porcentaje de tiempo en el que el servicio o componente del servicio está efectivamente disponible para su uso por parte del cliente en relación con el tiempo acordado en que el servicio debería estar disponible. 3.2 línea base de configuración (configuration baseline): Información de configuración formalmente designada en un momento específico durante la vida de un servicio o de un componente del servicio. NOTA 1 Las líneas base de configuración, junto con los cambios aprobados para esas líneas base, constituyen la información de configuración actual. NOTA2 Adaptado de ISO/IEC/IEEE 24765:2010. 3.3 elemento de configuración, CI (configuration item): Elemento que es necesario controlar para proveer uno o varios servicios. 3.4 base de datos de la configuración, CMDB (configuration management database): Base de datos utilizada para registrar atributos de los elementos de configuración, y las relaciones entre los elementos de configuración, a lo largo del ciclo de vida del servicio. 3.5 mejora continua (continual improvement): Actividad recurrente para aumentar la capacidad de cumplir con los requisitos del servicio. NOTA Adaptado de ISO 9000:2005. 2) Pendiente de publicación, a la fecha de edición de esta norma

- 11 - ISO/IEC 20000-1:2011 3.6 acción correctiva (corrective action): Acción tomada para eliminar la causa, o reducir la probabilidad de recurrencia, de una no conformidad detectada u otra situación indeseable. NOTA Adaptado de ISO 9000:2005. 3.7 cliente (customer): Organización o parte de una organización que recibe uno o varios servicios. NOTA 1 Un cliente puede ser interno o externo a la organización del proveedor del servicio. NOTA 2 Adaptado de ISO 9000:2005. 3.8 documento (document): Información y su medio de soporte. [ISO 9000:2005] EJEMPLOS Políticas, planes, descripción de procesos, procedimientos, acuerdos de nivel de servicio, contratos o registros. NOTA 1 La documentación puede estar en cualquier formato o tipo de medio. NOTA 2 En la Norma ISO/IEC 20000, los documentos, excepto en el caso de los registros, establecen la intención de lograr algo. 3.9 eficacia (effectiveness): Grado en que se realizan las actividades planificadas y se alcanzan los resultados planificados. [ISO 9000:2005] 3.10 incidencia (incident): Interrupción inesperada de un servicio, reducción en la calidad de un servicio o fallo de un elemento de configuración que aún no ha tenido impacto en el servicio. 3.11 seguridad de la información (information security): La preservación de la confidencialidad, integridad y accesibilidad de la información. NOTA 1 Además, pueden estar involucradas otras propiedades como la autenticidad, responsabilidad, no repudio y fiabilidad. NOTA 2 El término "disponibilidad" no se ha utilizado en esta definición porque es un término definido en esta parte de la Norma ISO/IEC 20000 lo que hace que no sea apropiado para esta definición. 3.12 incidencia de seguridad de la información (information security incident): Un único evento o una serie de eventos de seguridad de la información inesperados o no deseados, que tienen una probabilidad significativa de comprometer las operaciones del negocio y de amenazar la seguridad de la información. [ISO/IEC 27000:2009] 3.13 parte interesada (interested party): Persona o grupo que tiene un interés específico en el comportamiento o éxito de la actividad o actividades del proveedor del servicio. EJEMPLOS Clientes, propietarios, la dirección, personas en la organización del proveedor del servicio, suministradores, entidades financieras, sindicatos o socios empresariales. NOTA 1 Un grupo puede constar de una organización, una parte de la misma, o más de una organización. NOTA 2 Adaptado de la ISO 9000:2005.

ISO/IEC 20000-1:2011-12 - 3.14 grupo interno (internal group): Parte de la organización del proveedor del servicio incluido en un acuerdo documentado con el proveedor del servicio para contribuir al diseño, transición, provisión y mejora de uno o varios servicios. NOTA El grupo interno está fuera del alcance del SGS del proveedor del servicio. 3.15 error conocido (known error): Problema que tiene identificados una causa raíz o un método para reducir o eliminar su impacto sobre un servicio mediante un arreglo provisional. 3.16 no conformidad (nonconformity): Incumplimiento de un requisito. [ISO 9000:2005] 3.17 organización (organization): Conjunto de personas e instalaciones con una disposición de responsabilidades, autoridades y relaciones. EJEMPLOS Compañía, corporación, firma, empresa, institución, institución de beneficencia, empresa unipersonal, asociación, o parteo una combinación de las anteriores. NOTA 1 Dicha disposición es generalmente ordenada. NOTA 2 Una organización puede ser pública o privada. [ISO 9000:2005] 3.18 acción preventiva (preventive action): Acción tomada para evitar o eliminar la causa, o para reducir la probabilidad de ocurrencia de una no conformidad potencial u otra situación no deseada. NOTA Adaptada de la ISO 9000:2005. 3.19 problema (problem): Causa raíz de una o más incidencias. NOTA La causa raíz normalmente no es conocida en el momento que se crea un registro del problema y el proceso de gestión de problemas es responsable de una investigación en profundidad. 3.20 procedimiento (procedure): Forma específica para llevar a cabo una actividad o un proceso. [ISO 9000:2005] NOTA Los procedimientos pueden ser documentados o no. 3.21 proceso (process): Conjunto de actividades mutuamente relacionadas o que interactúan, las cuales transforman elementos de entrada en resultados. [ISO 9000:2005] 3.22 registro: Documento (3.8) que presenta resultados alcanzados o proporciona evidencia de actividades desempeñadas. [ISO 9000:2005]

- 13 - ISO/IEC 20000-1:2011 EJEMPLOS Informes de auditoría, informes de incidencias, registros de formación o actas de reuniones. 3.23 entrega (release): Recopilación, de uno o más elementos de configuración nuevos o modificados desplegada en el entorno de producción como consecuencia de uno o más cambios. 3.24 petición de cambio (request for change): Propuesta de modificación a aplicar a un servicio, a un componente del servicio o al sistema de gestión del servicio. NOTA Un cambio en un servicio incluye la provisión de un servicio nuevo o la retirada de un servicio que ya no es necesario. 3.25 riesgo (risk): Efecto de la incertidumbre sobre la consecución de los objetivos. NOTA 1 Un efecto es una desviación positiva y/o negativa frente a previsto. NOTA 2 Los objetivos pueden tener diferentes aspectos (tales como financieros, de salud y seguridad, y ambientales) y se pueden aplicar a diferentes niveles (tales como nivel estratégico, nivel de un proyecto, de un producto, de un proceso o de una organización completa). NOTA 3 Con frecuencia, el riesgo se caracteriza por referencia a sucesos potenciales y a sus consecuencias, o a una combinación de ambos. NOTA 4 Con frecuencia, el riesgo se expresa en términos de combinación de las consecuencias de un suceso (incluyendo los cambios en las circunstancias) y de su probabilidad. [ISO 31000:2009] 3.26 servicio (service): Medio de entrega de valor al cliente facilitando que alcance los resultados que quiere lograr. NOTA 1 El servicio es generalmente intangible. NOTA 2 Un servicio puede también ser provisto al proveedor del servicio por un suministrador, un grupo interno o un cliente actuando como suministrador. 3.27 componente del servicio (service component): Unidad individual de un servicio que cuando se combina con otras unidades provee un servicio completo. EJEMPLOS Hardware, software, herramientas, aplicaciones, documentación, información, procesos o servicios de soporte. NOTA Un componente del servicio puede constar de uno o más elementos de configuración. 3.28 continuidad del servicio (service continuity): Capacidad de gestionar los riesgos y sucesos que puedan tener un grave impacto en el servicio con el fin de prestar de forma continua los servicios en los niveles acordados. 3.29 acuerdo de nivel de servicio, SLA (service level agreement): Acuerdo documentado entre el proveedor del servicio y el cliente que identifica los servicios y sus objetivos. NOTA 1 Un acuerdo de nivel de servicio puede también establecerse entre un proveedor del servicio y un suministrador, un grupo interno o un cliente actuando como suministrador. NOTA 2 Un acuerdo de nivel de servicio puede ser incluido en un contrato u otro tipo de acuerdo documentado. 3.30 gestión del servicio (service management): Conjunto de capacidades y procesos para dirigir y controlar las actividades del proveedor del servicio y los recursos para el diseño, transición, provisión y mejora de los servicios para cumplir los requisitos del servicio.

ISO/IEC 20000-1:2011-14 - 3.31 Sistema de Gestión del Servicio, SGS (service management system): Sistema de gestión para dirigir y controlar las actividades de gestión de los servicios del proveedor del servicio. NOTA 1 Un sistema de gestión es un conjunto de elementos interrelacionados o que interactúan para establecer la política y objetivos y para lograr dichos objetivos. NOTA 2 El SGS incluye todas las políticas de gestión del servicio, objetivos, planes, procesos, documentación y recursos requeridos para el diseño, transición, provisión y mejora de los servicios para el cumplimiento de los requisitos en esta parte de la Norma ISO/IEC 20000. NOTA 3 Adaptado de la definición de "sistema de gestión de calidad" de la Norma la ISO 9000:2005. 3.32 proveedor del servicio (service provider): Organización o parte de una organización que gestiona y provee uno o varios servicios al cliente. NOTA Un cliente puede ser interno o externo a la organización del proveedor del servicio. 3.33 petición de servicio (service request): Solicitud de información, consulta, de acceso a un servicio o un cambio previamente aprobado. 3.34 requisitos del servicio (service requirement): Necesidades del cliente y los usuarios del servicio, incluyendo los requisitos de nivel de servicio, y las necesidades del proveedor del servicio. 3.35 suministrador (supplier): Organización o parte de una organización, externa a la del proveedor del servicio, que establece un contrato con éste para contribuir al diseño, transición, provisión y mejora de los servicios o procesos. NOTA Suministradores se refiere a los suministradores designados como principales, pero no a los subcontratados por ellos. 3.36 alta dirección (top management): Persona o grupo de personas que dirigen y controlan al más alto nivel al proveedor del servicio. NOTA Adaptado de la Norma ISO 9000:2005. 3.37 transición (transition): Actividades involucradas en el traslado de un servicio nuevo o modificado desde o hasta el entorno de producción. 4 REQUISITOS GENERALES DEL SISTEMA DE GESTIÓN DEL SERVICIO 4.1 Responsabilidad de la dirección 4.1.1 Compromiso de la dirección La alta dirección debe proporcionar evidencias de su compromiso con la planificación, establecimiento, implementación, operación, monitorización, revisión, mantenimiento y mejora del SGS y de los servicios: a) estableciendo y comunicando el alcance, política y objetivos de la gestión del servicio; b) asegurando que el plan de gestión del servicio se crea, implementa y mantiene con el propósito de mostrar adhesión a la política, alcanzar los objetivos de gestión del servicio y satisfacer los requisitos del servicio; c) comunicando la importancia de satisfacer los requisitos del servicio; d) comunicando la importancia de satisfacer los requisitos legales y regulatorios, así como las obligaciones contractuales;

- 15 - ISO/IEC 20000-1:2011 e) asegurando la provisión de los recursos; f) realizando revisiones de la gestión a intervalos planificados; g) asegurando que los riesgos del servicio son evaluados y gestionados. 4.1.2 Política de gestión del servicio La alta dirección debe asegurar que la política de gestión del servicio: a) es la apropiada para el propósito del proveedor del servicio; b) incluye un compromiso de satisfacción de los requisitos del servicio; c) incluye un compromiso de mejora continua de la eficacia del SGS y de los servicios a través de la política de mejora continua establecida en el apartado 4.5.5.1; d) proporciona un marco para el establecimiento y revisión de los objetivos de gestión del servicio; e) es comunicada y entendida por el personal del proveedor del servicio; f) es revisada para su continua adecuación. 4.1.3 Autoridad, responsabilidad y comunicación La alta dirección debe asegurar que: a) se definen y mantienen los autorizaciones y responsabilidades de la gestión del servicio; b) se establecen e implementan procedimientos documentados de comunicación. 4.1.4 Representante de la dirección La alta dirección debe designar un miembro de la dirección del proveedor del servicio que, al margen de otras responsabilidades, tenga la autoridad y responsabilidad para: a) asegurar que se realizan las actividades para identificar, documentar y satisfacer los requisitos del servicio; b) asignar autorizaciones y responsabilidades para asegurar que se diseñan, implementan y mejoran los procesos de gestión del servicio conforme a la política y objetivos de gestión del servicio; c) asegurar que los procesos de gestión del servicio están integrados con el resto de componentes del SGS; d) asegurar que los activos, incluyendo sus licencias, utilizados para proveer los servicios, se gestionan conforme a los requisitos legales y regulatorios, y a las obligaciones contractuales; e) informar a la alta dirección sobre el comportamiento y oportunidades de mejora del SGS y de los servicios. 4.2 Gobierno de los procesos operados por terceros El proveedor del servicio debe identificar todos los procesos -o partes de procesos- operados por terceros para los cuáles se han especificado requisitos en los capítulos 5 a 9. "Terceros" pueden ser un grupo interno, un cliente o un suministrador. El proveedor del servicio debe demostrar que gobierna los procesos operados por terceros: a) demostrando responsabilidad sobre los procesos y autoridad para exigir adhesión a los mismos; b) controlando la definición de los procesos e interfaces con otros procesos;

ISO/IEC 20000-1:2011-16 - c) determinando el comportamiento de los procesos y la conformidad con los requisitos de los procesos; d) controlando la planificación y priorizando las mejoras de los procesos. Cuando un suministrador opera parte de los procesos, el proveedor del servicio debe gestionar al suministrador mediante el proceso de gestión de suministradores. Cuando un grupo interno o un cliente opera partes de los procesos, el proveedor del servicio debe gestionar al grupo interno o al cliente a través del proceso de gestión del nivel de servicio. NOTA El Informe Técnico ISO/IEC TR 20000-3 proporciona orientación sobre la definición del alcance y la aplicabilidad de esta parte de la serie ISO/IEC 20000. Incluye una explicación más detallada sobre el gobierno de los procesos operados por terceros. 4.3 Gestión de la documentación 4.3.1 Establecimiento y mantenimiento de documentos El proveedor del servicio debe establecer y mantener documentos, incluyendo registros, para asegurar la planificación, operación y control efectivos del SGS. Estos documentos deben incluir: a) política y objetivos de gestión del servicio documentados; b) plan de gestión del servicio documentado; c) políticas y planes documentados creados para procesos específicos, conforme a lo requerido por esta parte de la Norma ISO/IEC 20000; d) catálogo de servicios documentado; e) acuerdos SLA documentados; f) procesos de gestión del servicio documentados; g) procedimientos y registros requeridos por esta parte de la Norma ISO/IEC 20000 documentados; h) documentos adicionales, incluyendo los de origen externo, determinados por el proveedor del servicio como necesarios para asegurar la operación eficaz del SGS y la provisión de servicios." 4.3.2 Control de documentos Los documentos requeridos por el SGS deben estar controlados. Los registros son un tipo especial de documento y deben ser controlados conforme a los requisitos establecidos en el apartado 4.3.3. Se debe establecer un procedimiento documentado que incluya niveles de autoridad y responsabilidades, al objeto de definir los controles necesarios para: a) crear y aprobar los documentos antes de publicarlos; b) informar a las partes interesadas acerca de documentos nuevos o modificados; c) revisar y mantener los documentos conforme sea necesario; d) asegurar que se identifican tanto los cambios a los documentos como el estado actual de revisión de los mismos; e) garantizar que las versiones pertinentes de los documentos aplicables se encuentran disponibles allá donde se usen; f) asegurar que los documentos son fácilmente identificables y legibles; g) asegurar que los documentos de origen externo están identificados y su distribución controlada;

- 17 - ISO/IEC 20000-1:2011 h) evitar el uso no intencionado de documentos obsoletos y aplicarles la identificación adecuada si son conservados. 4.3.3 Control de registros Se deben mantener registros para demostrar la conformidad con los requisitos y la operación eficaz del SGS. Se debe establecer un procedimiento documentado que defina los controles necesarios para la identificación, almacenamiento, protección, recuperación, conservación y retirada de registros. Los registros deben ser legibles, fácilmente identificables y recuperables. 4.4 Gestión de recursos 4.4.1 Provisión de recursos El proveedor del servicio debe determinar y proporcionar los recursos humanos, técnicos, de información y financieros necesarios para: a) establecer, implementar y mantener el SGS y los servicios, y mejorar de manera continua su eficacia; b) aumentar la satisfacción del cliente proporcionándole servicios que satisfagan los requisitos del servicio. 4.4.2 Recursos humanos El personal del proveedor del servicio cuyo trabajo afecte a la conformidad con los requisitos del servicio debe ser competente en lo que se refiere a una adecuada educación, formación, competencias y experiencia. El proveedor del servicio debe: a) determinar el nivel de competencia necesario para el personal; b) cuando se requiera, proporcionar capacitación o llevar a cabo otras acciones para alcanzar el nivel de competencia necesario; c) evaluar la eficacia de las acciones realizadas; d) garantizar que su personal es consciente de la forma en que contribuyen a la consecución de los objetivos de gestión del servicio y el cumplimiento de los requisitos del servicio; e) mantener registros apropiados de la educación, formación, habilidades y experiencia. 4.5 Establecer y mejorar el SGS 4.5.1 Definir el alcance El proveedor del servicio debe definir e incluir el alcance del SGS en el plan de gestión del servicio. El alcance se debe definir con el nombre de la unidad organizativa que provee los servicios, y los servicios que se entregarán. El proveedor del servicio también debe tener en cuenta otros factores que afectan a los servicios que se proveen incluyendo: a) localización(es) geográfica(s) desde la (s) que el proveedor del servicio proporciona los servicios; b) el cliente y su(s) ubicación(es); c) la tecnología utilizada para prestar los servicios. NOTA El Informe Técnico ISO/IEC TR 20000-3 proporciona orientación sobre la definición del alcance y la aplicabilidad de esta parte de la serie ISO/IEC 20000.

ISO/IEC 20000-1:2011-18 - 4.5.2 Planificar el SGS (Planificar) El proveedor del servicio debe crear, implementar y mantener un plan de gestión del servicio. La planificación debe tener en cuenta la política de gestión del servicio, los requisitos del servicio y los requisitos en esta parte de la serie ISO/IEC 20000. El plan de gestión del servicio debe contener o hacer referencia al menos a lo siguiente: a) objetivos de la gestión del servicio a alcanzar por el proveedor del servicio; b) requisitos del servicio; c) limitaciones conocidas que pueden afectar al SGS; d) las políticas, normas, requisitos legales y regulatorios, y obligaciones contractuales; e) estructura de autoridades, responsabilidades y roles del proceso; f) autoridades y responsabilidades de los planes, los procesos de gestión del servicio y servicios; g) recursos humanos, técnicos, financieros y de información necesarios para alcanzar los objetivos de gestión del servicio; h) enfoque a adoptar para trabajar con terceros involucrados en el proceso de diseño y transición de servicios nuevos o modificados; i) enfoque a adoptar para las interfaces entre los procesos de gestión del servicio y su integración con el resto de componentes del SGS; j) enfoque a adoptar para la gestión de riesgos y los criterios para la aceptación de riesgos; k) tecnología utilizada para soportar el SGS; l) cómo se medirá, auditará, informará y mejorará la eficacia del SGS y los servicios. Los planes creados para procesos específicos se deben alinear con el plan de gestión del servicio. El plan de gestión del servicio y los planes creados para procesos específicos se deben revisar a intervalos planificados y, si procede, se deben actualizar. 4.5.3 Implementar y operar el SGS (Hacer) El proveedor del servicio debe implementar y operar el SGS para el diseño, transición, provisión y mejora de los servicios de acuerdo con el plan de gestión del servicio, como mínimo a través de las siguientes actividades: a) asignación y gestión de fondos y presupuestos; b) asignación de autoridades, responsabilidades y roles del proceso; c) gestión de los recursos humanos, técnicos y de información; d) identificación, evaluación y gestión de los riesgos sobre los servicios; e) gestión de los procesos de gestión del servicio; f) monitorización y envío de informes sobre el comportamiento de las actividades de gestión del servicio.

- 19 - ISO/IEC 20000-1:2011 4.5.4 Monitorizar y revisar el SGS (Verificar) 4.5.4.1 Generalidades El proveedor del servicio debe utilizar los métodos adecuados para el seguimiento y la medición del SGS y los servicios. Estos métodos deben incluir auditorías internas y revisiones por parte de la dirección. Los objetivos de todas las auditorías internas y revisiones de por parte de la dirección se deben documentar. Las auditorías internas y evaluaciones de la dirección deben demostrar la capacidad del SGS y los servicios para alcanzar los objetivos de la gestión del servicio y cumplir los requisitos del servicio. Las no conformidades se deben identificar contra los requisitos de esta parte de la Norma ISO/IEC 20000, contra los requisitos del SGS identificados por el proveedor del servicio o contra los requisitos de servicio. Se deben registrar los resultados de las auditorías internas y de las revisiones por parte de la dirección, incluyendo las no conformidades, las observaciones y las acciones identificadas. Los resultados y las acciones se deben comunicar a las partes interesadas. 4.5.4.2 Auditoría interna El proveedor del servicio debe realizar auditorías internas, a intervalos planificados, para determinar si el SGS y los servicios: a) cumplen con los requisitos de esta parte de la serie ISO/IEC 20000; b) cumplen con los requisitos de servicio y los requisitos del SGS identificados por el proveedor del servicio; c) son implementados y mantenidos de una manera eficaz. Debe existir un procedimiento documentado que incluya las autoridades y responsabilidades para planificar y realizar auditorías, así como para informar sobre los resultados y para el mantenimiento de los registros de auditoría. Se debe planificar un programa de auditoría. Este programa debe tener en cuenta el estado y la importancia de los procesos y áreas a auditar, así como los resultados de las auditorías previas. Se deben documentar los criterios, el alcance, la frecuencia y los métodos de auditoría. La selección de los auditores y la realización de las auditorías deben asegurar la objetividad e imparcialidad de la auditoría. Los auditores no deben auditar su propio trabajo. Se deben comunicar las no conformidades, priorizarlas y asignar responsabilidad sobre las acciones. La dirección responsable del área auditada debe asegurar que las correcciones y acciones correctivas para eliminar las no conformidades, y sus causas, se realizan sin demora injustificada. Las actividades de seguimiento deben incluir la verificación de las acciones realizadas y el informe de los resultados. NOTA Véase la serie ISO 19011 que proporciona orientación sobre la auditoría de los sistemas de gestión. 4.5.4.3 Revisión por la dirección La alta dirección debe revisar el SGS y los servicios, a intervalos planificados para asegurar su adecuación y eficacia. Esta revisión debe incluir la evaluación de oportunidades de mejora y la necesidad de cambios en el SGS, incluida la política y objetivos de la gestión del servicio. El alcance de las revisiones por la dirección debe incluir, como mínimo, información sobre: a) retroalimentación del cliente; b) comportamiento y conformidad del servicio y de los procesos; c) niveles actuales y previstos de recursos humanos, técnicos, de información, y financieros;

ISO/IEC 20000-1:2011-20 - d) capacidades humanas y técnicas actuales y previstas; e) riesgos; f) resultados y acciones de seguimiento de las auditorías; g) resultados y acciones de seguimiento de las revisiones de la gestión previas; h) estado de las acciones preventivas y correctivas; i) cambios que puedan afectar al SGS y los servicios; j) oportunidades de mejora. Se deben mantener registros de las revisiones por la dirección. Los registros de las revisiones por la dirección deben incluir, al menos, las decisiones y acciones relacionadas con los recursos, la mejora de la eficacia del SGS y la mejora de los servicios. 4.5.5 Mantener y mejorar el SGS (Actuar) 4.5.5.1 Generalidades Debe existir una política de mejora continua del SGS y los servicios. La política debe incluir criterios de evaluación de las oportunidades de mejora. Debe existir un procedimiento documentado que incluya las autoridades y responsabilidades para identificar, documentar, evaluar, aprobar, priorizar, gestionar, medir e informar de las mejoras. Se deben documentar las oportunidades de mejora, incluyendo las acciones correctivas y preventivas. Se debe corregir la causa de las no conformidades identificadas. Se deben adoptar acciones correctivas para eliminar la causa de las no conformidades identificadas con el fin de prevenir la recurrencia. Se deben adoptar acciones preventivas con el fin de eliminar la causa potencial de no conformidades y prevenir su ocurrencia. NOTA Para obtener más información sobre las medidas correctivas y preventivas, véase la Norma ISO 9001:2008, apartado 8.5. 4.5.5.2 Gestión de mejoras Se deben priorizar las oportunidades de mejora. El proveedor del servicio debe utilizar los criterios de evaluación de la política de mejora continua en la toma de decisiones sobre las oportunidades de mejora. Se deben planificar las mejoras aprobadas. El proveedor del servicio debe gestionar las actividades de mejora, que incluyen como mínimo: a) el establecimiento de objetivos de mejora en uno o más de los siguientes aspectos de calidad, valor, capacidad, coste, productividad, utilización de recursos y reducción de riesgos; b) garantizar que las mejoras aprobadas se apliquen; c) revisión de las políticas de gestión del servicio, planes, procesos y procedimientos, cuando sea necesario; d) medición de las mejoras implementadas frente a los objetivos establecidos, y donde éstos no se hayan alcanzado tomar las acciones necesarias. e) informe de las mejoras implementadas.

- 21 - ISO/IEC 20000-1:2011 5 DISEÑO Y TRANSICIÓN DE SERVICIOS NUEVOS O MODIFICADOS 5.1 Generalidades El proveedor del servicio debe utilizar este proceso para todos los servicios nuevos y para cambios de los servicios que potencialmente tengan un impacto importante sobre los servicios o el cliente. Los cambios que están en el alcance del capítulo 5 deben estar determinados por la política de gestión de cambios acordada como parte del proceso de gestión de cambios. En el ámbito del capítulo 5, el proceso de gestión de cambios debe controlar la evaluación, la aprobación, la planificación y la revisión de los servicios nuevos o modificados. Dentro del alcance del capítulo 5, los elementos de configuración (CI) afectados por un servicio nuevo o modificado deben estar controlados por el proceso de gestión de la configuración. El proveedor del servicio debe revisar los resultados de las actividades de planificación y diseño de servicios nuevos o modificados frente a los requisitos acordados y a los requisitos pertinentes determinados en los apartados 5.2 y 5.3. Fundamentándose en la revisión, el proveedor del servicio debe aceptar o rechazar los productos. El proveedor del servicio debe tomar las acciones necesarias para asegurar que el desarrollo y transición de los servicios nuevos o modificados se puedan realizar de manera eficaz utilizando los resultados aceptados. NOTA La necesidad de un servicio nuevo o un cambio sobre un servicio puede originarse desde el cliente, el proveedor del servicio, un grupo interno o desde un suministrador para satisfacer necesidades del negocio o para mejorar la eficiencia de los servicios. 5.2 Planificación de servicios nuevos o modificados El proveedor del servicio debe identificar los requisitos de servicio para los servicios nuevos o modificados. Los servicios nuevos o modificados se deben planificar para cumplir los requisitos de servicio. La planificación de los servicios nuevos o modificados se debe acordar con los clientes y las partes interesadas. Como entrada a la planificación, el proveedor del servicio debe tener en consideración el potencial impacto financiero, organizativo, y técnico de la provisión de los servicios nuevos o modificados. El proveedor del servicio también debe tener en consideración el impacto potencial de los servicios nuevos o modificados sobre el SGS. La planificación de los servicios nuevos o modificados debe contener o incluir como mínimo una referencia a lo siguiente: a) las autoridades y responsabilidades para las actividades de diseño, desarrollo y transición; b) las actividades a ser realizadas por el proveedor del servicio y terceros incluyendo las actividades a realizar en la relación entre el proveedor del servicio y terceros; c) la comunicación a las partes interesadas; d) los recursos humanos, técnicos, de información y financieros; e) las fechas para las actividades planificadas; f) la identificación, evaluación y gestión de riesgos; g) las dependencias de otros servicios; h) las pruebas requeridas para los servicios nuevos o modificados; i) los criterios de aceptación de los servicios; j) los resultados esperados de la provisión de los servicios nuevos o modificados, expresados en términos medibles.

ISO/IEC 20000-1:2011-22 - Para los servicios que vayan a ser retirados, el proveedor del servicio debe planificar la retirada de los servicios. La planificación debe incluir la(s) fecha(s) de la retirada, archivo, eliminación o transferencia de los datos, documentación y componentes del servicio. Los componentes del servicio pueden incluir infraestructura y aplicaciones con licencias asociadas. El proveedor del servicio debe identificar terceros que contribuirán al suministro de componentes del servicio para los servicios nuevos o modificados. El proveedor del servicio debe evaluar su capacidad para cumplir con los requisitos de servicio. Los resultados de la evaluación se deben registrar y tomar las acciones necesarias. 5.3 Diseño y desarrollo de servicios nuevos o modificados Los servicios nuevos o modificados deben diseñarse y documentarse incluyendo al menos: a) la autoridad y responsabilidades para la provisión de los servicios nuevos o modificados; b) las actividades a ser realizadas por el proveedor del servicio, el cliente y terceros para la provisión de los servicios nuevos o modificados; c) los requisitos de recursos humanos nuevos o modificados, incluyendo los requisitos de educación, formación, competencia y experiencia adecuados; d) los requisitos de recursos financieros para la provisión de los servicios nuevos o modificados; e) la tecnología nueva o modificada para dar soporte a la provisión de servicios nuevos o modificados; f) los planes y políticas nuevos o modificados de acuerdo con lo requerido en esta parte de la serie ISO/IEC 20000; g) los contratos nuevos o modificados y otros acuerdos documentados para alinear con cambios en los requisitos del servicio; h) los cambios en el SGS; i) los SLA nuevos o modificados; j) las actualizaciones al catálogo de servicios; k) los procedimientos, mediciones e información a ser utilizados para la provisión de los servicios nuevos o modificados. El proveedor del servicio debe asegurar que el diseño posibilita que los servicios nuevos o modificados cumplan los requisitos de servicio. Los servicios nuevos o modificados se deben desarrollar de acuerdo con el documento de diseño. NOTA Para más información sobre diseño, ver el proceso de diseño y desarrollo dentro de la Norma ISO 9001:2008, apartado 7.3 o el proceso de diseño de la arquitectura en la Norma ISO/IEC 15288:2008, apartado 6.4.3. 5.4 Transición de servicios nuevos o modificados Los servicios nuevos o modificados se deben probar para verificar que cumplen con los requisitos del servicio y con el diseño documentado. Los servicios nuevos o modificados se deben verificar frente a los criterios de aceptación acordados previamente entre el proveedor del servicio y las partes interesadas. Si no se cumplen los criterios de aceptación del servicio, el proveedor del servicio y las partes interesadas deben tomar una decisión sobre las acciones necesarias y sobre el despliegue. Se debe utilizar el proceso de gestión de la entrega y del despliegue para hacer uso de los servicios nuevos o modificados aprobados en el entorno operativo. Tras la finalización de las actividades de transición, el proveedor del servicio debe informar a las partes interesadas sobre los resultados obtenidos frente a los resultados esperados.

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback