AENOR-GuiaOrientativa-ISO 20000-1 - 2011 PDF

GUA ORIENTATIVA.
CAMBIOS EN LA NORMA UNE-ISO/IEC 20000-1:2011

Pgina 1 de 24

GUIA ORIENTATIVA.
CAMBIOS REALIZADOS EN LA NUEVA VERSION
UNE-ISO/IEC 20000-1:2011 RESPECTO A
UNE-ISO/IEC 20000-1:2007

Nota: este documento es de carcter informativo.
Los requisitos necesarios para la certificacin en UNE-ISO/IEC 20000-1:2011 son los indicados en la propia norma.
Este documento ha sido realizado por AENOR Direccin de Desarrollo Estratgico de TICs, considerando las
sugerencias e indicaciones de los auditores de SGSTI, calificados por AENOR.

ltima versin: 2012-10-16

GUA ORIENTATIVA. CAMBIOS EN LA NORMA UNE-ISO/IEC 20000-1:2011

Pgina 2 de 24

INDICE

I. PRLOGO Pg.3
II. INTRODUCCION Pg.4
III. DIFERENCIAS ENTRE UNE-ISO/IEC 20000-1:2011 Y UNE-ISO/IEC 20000-1:2007 Pg.5
IV. TABLA COMPARATIVA DE VERSIONES (2007 vs. 2011) . Pg.8


Pgina 3 de 24

I. PROLOGO

El siguiente documento es una gua orientativa elaborada en la Direccin de Desarrollo de
AENOR para dar a conocer los principales cambios de la nueva versin de UNE-ISO/IEC 20000-
1:2011 con respecto a la anterior versin UNE-ISO/IEC 20000-1:2007. Los requisitos necesarios
para la certificacin en UNE-ISO/IEC 20000-1:2011 son los indicados en la propia norma.

La estructura es la siguiente:

II. INTRODUCCION.
Se indica el periodo de vigencia de la anterior versin de UNE-
ISO/IEC 20000-1:2007 y se enumeran como resumen los cambios a alto nivel en la nueva versin
de 2011.

III. DIFERENCIAS ENTRE UNE-ISO/IEC 20000-1:2011 y UNE-ISO/IEC 20000-1:2007.

Se incluyen un resumen y aspectos a resaltar en negrita y/o subrayado de los apartados 1 al 3 de
la nueva versin de la norma UNE-ISO/IEC 20000-1:2011.

Estos apartados de la norma son:
1. OBJETO
1.1 Generalidades
1.2 Campo de aplicacin
2. NORMAS PARA CONSULTA,
3. TRMINOS Y DEFINICIONES

IV. TABLA COMPARATIVA DE VERSIONES (2007 vs. 2011).

Se presenta una tabla desde el apartado 4 al 9 con los apartados y sub-apartados de la versin de
ISO 20000-1:2007 con respecto a la nueva ISO 20000-1:2011, considerando la numeracin de los
nuevos apartados as como los cambios para cada apartado/sub-apartado en la nueva versin
2011


Pgina 4 de 24

II. INTRODUCCION

La norma ISO/IEC 20000-1 ha sido elaborada por el comit tcnico AEN/CTN 71 Tecnologa de la
Informacin.

Esta segunda edicin (2011) anular y sustituir a las normas UNE-ISO/IEC 20000-1:2007 y UNE-
ISO/IEC 2000-1:2007/1M:2009 el 2014-01-01.

El ttulo completo de la norma es: UNE-ISO/IEC 20000-1:2011. Tecnologa de la Informacin.
Gestin de Servicio. Parte 1: requisitos del Sistema de Gestin del Servicio (SGS).

La norma UNE-ISO/IEC 20000-1:2011 es idntica a la norma ISO/IEC 20000-1:2011.

Las principales diferencias son las siguientes:

1. Mayor armonizacin con la Norma ISO 9001;
2. Mayor armonizacin con la Norma ISO/IEC 27001;
3. Cambio en la terminologa para reflejar usos internacionales;
4. Inclusin de muchas ms definiciones, modificacin de algunas, y eliminacin de dos
definiciones;
5. Inclusin del trmino "sistema de gestin del servicio";
6. Unificacin de los captulos 3 y 4 de la Norma ISO/IEC 20000-1:2005 para incluir todos los
requisitos del sistema de gestin en un solo captulo;
7. Clarificacin de los requisitos para el gobierno de los procesos operados por terceros;
8. Clarificacin de los requisitos para definir el alcance del Sistema de Gestin del Servicio
(SGS);
9. Clarificacin de que la metodologa PDCA aplica al SGS, incluyendo a los procesos de la
gestin del servicio, y a los servicios;
10. Inclusin de nuevos requisitos para el diseo y la transicin de servicios nuevos o
modificados.


Pgina 5 de 24

III. DIFERENCIAS ENTRE UNE-ISO/IEC 20000-1:2011 Y UNE-ISO/IEC 20000-1:2007

Los requisitos de esta parte de la Norma ISO/IEC 20000 incluyen el diseo, transicin, provisin, y
la mejora de los servicios para cumplir con los requisitos del servicio, y aportar un valor tanto
para el cliente como para el proveedor del servicio. Esta parte de la Norma ISO/IEC 20000
requiere al proveedor del servicio un enfoque basado en procesos integrados cuando planifica,
establece, implementa, opera, controla, revisa, mantiene y mejora un Sistema de Gestin del
Servicio (SGS).

Cuando se utiliza dentro de un SGS, los aspectos ms importantes de un enfoque de procesos
integrados y la metodologa PDCA son los siguientes (ver figura 1):

a) entender y cumplir los requisitos de servicio para lograr la satisfaccin del cliente;
b) establecer la poltica y objetivos de la gestin del servicio;
c) disear y proveer mediante el SGS, servicios que aportan valor al cliente;
d) monitorizar, medir y revisar el comportamiento del SGS y de los servicios;
e) mejorar de forma continua el SGS y los servicios utilizando mediciones objetivas

Figura 1 Metodologa PDCA aplicada a la gestin del servicio

La conformidad con una norma internacional no confiere inmunidad frente a requisitos legales y
regulatorios


Pgina 6 de 24

1. OBJETO
1.1 Generalidades

La norma UNE-ISO/IEC 20000-1:2011 (en adelante ISO 20000-1), especifica al proveedor del
servicio los requisitos para planificar, establecer, implementar, operar, monitorizar, revisar,
mantener y mejorar un SGS.

Los requisitos incluyen el diseo, transicin, provisin, y la mejora de los servicios para satisfacer
los requisitos de servicio. Esta parte de la serie ISO/IEC 20000 puede ser utilizada por:

a) una organizacin que demande servicios a los proveedores del servicio y que necesite garanta
de cumplimiento de sus requisitos de servicio;
b) una organizacin que requiera un enfoque consistente de todos sus proveedores del servicio,
incluidos los de una cadena de suministro;
c) un proveedor del servicio que tiene la intencin de demostrar su capacidad en el diseo,
transicin, provisin y mejora de los servicios que cumplen los requisitos del servicio;
d) un proveedor del servicio para monitorizar, medir y revisar sus procesos de gestin del servicio
y los servicios;
e) un proveedor del servicio para mejorar el diseo, transicin y provisin de los servicios
mediante una implementacin y operacin eficaces del SGS;
f) un asesor o auditor, para evaluar la conformidad del SGS de un proveedor del servicio respecto
a los requisitos de esta parte de la serie ISO/IEC 20000.

La figura 2 muestra el SGS, e incluye los procesos de gestin del servicio. Los procesos de gestin
del servicio y las relaciones entre los procesos se pueden implementar de diferentes formas por
cada proveedor del servicio. La naturaleza de la relacin:

Figura 2 Sistema de Gestin del Servicio


Pgina 7 de 24


Todos los requisitos contenidos en esta parte de la serie ISO/IEC 20000 son generales y estn
destinados a aplicarse a todos los proveedores del servicio, independientemente de su tipo,
tamao, o de la naturaleza de los servicios entregados.

No es aceptable la exclusin de cualquiera de los requisitos contenidos en los captulos 4 a 9
cuando un proveedor del servicio declara la conformidad con esta parte de la serie ISO/IEC 20000,
independientemente de la naturaleza de la organizacin del proveedor del servicio.

La conformidad con los requisitos del captulo 4 slo puede ser demostrada por un proveedor del
servicio mostrando evidencias del cumplimiento de todos los requisitos del captulo 4. Para los
requisitos del captulo 4, un proveedor del servicio no puede delegar en evidencias de gobierno
de procesos que sean operados por terceros.

El proveedor del servicio puede demostrar la conformidad con los requisitos de los captulos del
5 al 9 mostrando evidencias de cumplimiento de todos los requisitos. Como alternativa, el
proveedor del servicio puede mostrar evidencias de cumplimiento de la mayora de los
requisitos y evidencias de gobierno de procesos, o parte de los procesos, operados por terceros
que el proveedor del servicio no opera directamente.

El alcance de esta parte de la Norma ISO/IEC 20000 excluye la especificacin de un producto o
herramienta. Sin embargo, las organizaciones pueden usar esta parte de la Norma ISO/IEC 20000
para ayudarles en el desarrollo de productos o herramientas que soporten la operacin del SGS.

2 NORMAS PARA CONSULTA
Sin cambios relevantes.

3 TRMINOS Y DEFINICIONES

Se amplan, con respecto a UNE-ISO/IEC 20000-1:2007, de 13 a 37 las definiciones disponibles. En
algunos casos, las definiciones existentes se han redefinido.

Por ejemplo: CI (Elemento de Configuracin), CMDB, la inclusin del trmino accesibilidad en la
definicin de Seguridad de la Informacin, etc.


Pgina 8 de 24

IV. TABLA COMPARATIVA DE VERSIONES (2007 vs. 2011)
A continuacin se incluye el ndice de la nueva versin de la norma UNE-ISO/IEC 20000-1:2011

0 INTRODUCCIN
1 OBJETO
1.1 Generalidades
3 TRMINOS Y DEFINICIONES
4. REQUISITOS GENERALES DEL SISTEMA DE GESTIN DEL SERVICIO
4.1 Responsabilidad de la direccin
4.1.1 Compromiso de la direccin
4.1.2 Poltica de gestin del servicio
4.1.3 Autoridad, responsabilidad y comunicacin
4.1.4 Representante de la direccin
4.2 Gobierno de los procesos operados por terceros
4.3 Gestin de la documentacin
4.3.1 Establecimiento y mantenimiento de documentos
4.3.2 Control de documentos
4.3.3 Control de registros
4.4 Gestin de recursos
4.4.1 Provisin de recursos
4.4.2 Recursos humanos
4.5 Establecer y mejorar el SGS
4.5.1 Definir el alcance
4.5.2 Planificar el SGS (Planificar)
4.5.3 Implementar y operar el SGS (Hacer)
4.5.4 Monitorizar y revisar el SGS (Verificar)
4.5.4.1 Generalidades
4.5.4.2 Auditora interna
4.5.4.3 Revisin por la direccin
4.5.5 Mantener y mejorar el SGS ( Actuar)
4.5.5.2 Gestin de mejoras
5 DISEO Y TRANSICIN DE SERVICIOS NUEVOS O MODIFICADOS
5.1 Generalidades
5.2 Planificacin de servicios nuevos o modificados
5.3 Diseo y desarrollo de servicios nuevos o modificados
5.4 Transicin de servicios nuevos o modificados
6 PROCESOS DE PROVISIN DEL SERVICIO
6.1 Gestin del nivel de servicio
6.2 Informes del servicio
6.3 Gestin de la continuidad y disponibilidad del servicio
6.3.1 Requisitos de continuidad y disponibilidad del servicio
6.3.2 Planes de continuidad y disponibilidad
6.3.3 Monitorizacin y prueba de la continuidad y la disponibilidad del servicio
6.4 Elaboracin de presupuesto y contabilidad de los servicios
6.5 Gestin de la capacidad
6.6 Gestin de la seguridad de la informacin
6.6.1 Poltica de seguridad de la Informacin
6.6.2 Controles de seguridad de la Informacin
6.6.3 Cambios e incidencias de seguridad de la informacin
7 PROCESOS DE RELACIN
7.1 Gestin de relaciones con el negocio
7.2 Gestin de suministradores
8 PROCESOS DE RESOLUCION
8.1 Gestin de incidencias y peticiones de servicio
8.2 Gestin de problemas
9 PROCESOS DE CONTROL
9.1 Gestin de la configuracin
9.2 Gestin de cambios
9.3 Gestin de la entrega y despliegue


Pgina 9 de 24

La siguiente tabla comparativa relaciona los apartados y sub-apartados de la versin de ISO 20000-1:2007 con la nueva ISO 20000-1:2011, considerando la
numeracin de los nuevos apartados as como los cambios para cada apartado/sub-apartado en la nueva versin 2011.

Compuesto por 3 columnas:

o Primera columna UNE-ISO/IEC 20000-1:2007 ndice de la versin 2007
o Segunda columna UNE-ISO/IEC 20000-1:2011 ndice de la versin 2011
o Tercera columna CAMBIOS NUEVA VERSION se indican incorporaciones, aclaraciones de requisitos a la nueva versin 2011.

UNE-ISO/IEC 20000-1: 2007 UNE-ISO/IEC 20000-1: 2011 CAMBIOS NUEVA VERSION
0 INTRODUCCIN 0 INTRODUCCIN
1 OBJETO Y CAMPO DE APLICACIN

1 OBJETO
1.1 Generalidades

Apartado nuevo en versin 2011
2 TRMINOS Y DEFINICIONES 3 TRMINOS Y DEFINICIONES Ampliacin de la terminologa de 13 a 37 trminos
3. REQUISITOS DE UN SISTEMA DE GESTION 4. REQUISITOS GENERALES DEL SISTEMA DE
GESTIN DEL SERVICIO


Pgina 10 de 24

3.1 Responsabilidad de la direccin 4.1 Responsabilidad de la direccin
4.1.1 Compromiso de la direccin
4.1.2 Poltica de gestin del servicio
4.1.3 Autoridad, responsabilidad y comunicacin
4.1.4 Representante de la direccin
- Se ampla y detalla, incluyendo como parte del compromiso de la direccin:
* Comunicar la importancia de cumplir los requisitos legales y regulatorios, as
como las obligaciones contractuales.

- Se ampla y detallan las caractersticas de la Poltica de gestin del servicio:
* Es la apropiada para el propsito del proveedor del servicio.
* Incluye un compromiso de satisfaccin de los requisitos del servicio.
* Incluye un compromiso de mejora continua de la eficacia del SGS y de los
servicios a travs de la poltica de mejora continua.
* Proporciona un marco para el establecimiento y la revisin de los objetivos
de gestin del servicio.
* Es comunicada y entendida por el personal del proveedor del servicio.

- La direccin debe asegurar que se implementan y establecen procedimientos
documentados de comunicacin

- Se detallan las responsabilidades del representante de la direccin para la
provisin del servicio (resp. sistema de gestin):
* Asegurar que se realizan las actividades para identificar, documentar y
satisfacer los requisitos del servicio.
* Asignar autorizaciones y responsabilidades para asegurar que se disean,
implementan y mejoran los procesos de gestin del servicio conforme a la
poltica y objetivos de gestin del servicio.
* Asegurar que los procesos de gestin del servicio estn integrados con el
resto de los componentes del SGS.


Pgina 11 de 24

* Asegurar que los activos, incluyendo sus licencias, utilizados para proveer los
servicios, se gestionan conforme a los requisitos legales y regulatorios y a las
obligaciones contractuales.
* Informar a la alta direccin del comportamiento y mejoras del sistema de
gestin y los servicios.

Sub-apartado nuevo en versin 2011
4.2 Gobierno de los procesos operados por terceros - Se detalla como el proveedor de servicio puede demostrar la conformidad con
los requisitos de los captulo del 5 al 9 mostrando:
* evidencias de cumplimiento de todos los requisitos (el proveedor del
servicio opera todos los procesos directamente) :
* Evidencias de cumplimiento de la mayora de los requisitos, donde deben
existir evidencias de gobierno de los procesos, o parte de los procesos,
operados por terceros y que el proveedor de servicio no opera directamente.

- Debe:
* Demostrar responsabilidad sobre los procesos y autoridad para exigir
adhesin a los mismos
* Controlar la definicin de los procesos e interfaces con otros procesos.

* Determinar el comportamiento de los procesos y la conformidad con los
requisitos de los procesos
* Controla la planificacin y priorizando las mejoras de los procesos.


Pgina 12 de 24

Si el tercero es externo, se gestiona con el proceso de suministradores
Si el tercero es interno o cliente, se gestiona con el proceso de acuerdos de
nivel de servicio.
3.2 Requisitos de la documentacin 4.3 Gestin de la documentacin
4.3.1 Establecimiento y mantenimiento de
documentos
4.3.2 Control de documentos
4.3.3 Control de registros
- Se ampla y detalla el apartado de documentacin:
* Se incluye como documento obligatorio el catlogo de servicios.
* Documentacin adicional, incluyendo la externa, para la provisin eficaz del
servicio.
- Se debe establecer un procedimiento documentado para el control de
documentos y el control de registros
3.3 Competencia, concienciacin y formacin 4.4 Gestin de recursos
4.4.1 Provisin de recursos
4.4.2 Recursos humanos
- Se ampla y detalla la provisin de recursos (humanos, tcnicos, de
informacin, financieros) para el SGS y los servicios. Satisfaccin del cliente.
- Se ampla y detalla la competencia, concienciacin y formacin:
* Evaluar la eficacia de las acciones realizadas.
* Mantener registros apropiados de la educacin, formacin, habilidades y
experiencia.

4. PLANIFICACION E IMPLEMTNACIN DE LA GESTION DEL
SERVICIO
4.5 Establecer y mejorar el SGS
4.1 Planificacin de la gestin del servicio (Planificar) 4.5.1 Definir el alcance

4.5.2 Planificar el SGS (Planificar)
- Se detalla que debe contener la definicin de alcance:
* Unidad que provee los servicios y qu servicios.
* Localizacin geogrfica, cliente, tecnologa, etc.

- Se ampla y detalla el plan de gestin del servicio. La planificacin debe


Pgina 13 de 24

tener en cuenta:
* Poltica de gestin del servicio
* Requisitos del servicios y puede contener o hacer referencia a los contenidos
del plan de gestin del servicio
- Los nuevos contenidos:
* Limitaciones conocidas que pueden afectar al SGS
*Polticas, normas, requisitos legales y regulatorios y obligaciones contractuales.
* Estructura de autoridades, responsabilidades y roles del proceso
* Autoridades y responsabilidades de los planes, los procesos de gestin del
servicio y servicios.
* Enfoque a adoptar para trabajar con terceros involucrados en el proceso de
diseo y transicin de servicios nuevos o modificados.
- El plan de gestin de servicio alineado con los planes de los procesos.
4.2 Implementacin de la gestin del servicio y provisin
de los servicios (Hacer)
4.5.3 Implementar y operar el SGS (Hacer)

- El proveedor del servicio debe implementar y operar el SGS para el diseo,
transicin, provisin y mejora de los servicios de acuerdo al plan de gestin del
servicio.
4.3 Monitorizacin, medicin y revisin (Verificar) 4.5.4 Monitorizar y revisar el SGS (Verificar)
4.5.4.2 Auditora interna
4.5.4.3 Revisin por la direccin
- Se ampla y detallan las auditoras internas y revisin por direccin.
* La auditora interna: debe existir un procedimiento documentado que incluya
las autoridades y responsabilidades para planificar y realizar auditoras as
como para informar sobre los resultados y para el mantenimiento de los
registros de auditora.
- La revisin por direccin: aspectos mnimos que se deben ver en la revisin
por la direccin:
* Retroalimentacin del cliente
* Comportamiento y conformidad del servicio y de los procesos
* Niveles actuales y previstos de RRHH, tcnicos, de informacin y financieros.


Pgina 14 de 24

* Capacidades humanas y tcnicas actuales y previstas Riesgos
* Resultados y acciones de seguimiento de auditoras.
* Resultados y acciones de seguimiento de las revisiones de la gestin previas.
* Estado de las acciones correctivas y preventivas.
* Cambios que puedan afectar al SGS y a los servicios.
* Oportunidades de mejora
Se deben mantener registros de las revisiones por la direccin que deben
incluir, al menos, las decisiones y acciones relacionadas con los recursos, la
mejora de la eficacia del SGS y la mejora de los servicios
4.4 Mejora continua (Actuar) 4.5.5 Mantener y mejorar el SGS ( Actuar)
4.4.1 Poltica
4.4.2 Gestin de las mejoras del servicio
4.5.5.1 Generalidades - Debe existir un procedimiento documentado que incluya las autoridades y
responsabilidades para identificar, documentar, evaluar, aprobar, priorizar,
gestionar, medir e informar de las mejoras
4.4.2 Gestin de las mejoras del servicio
4.4.3 Actividades
4.5.5.2 Gestin de mejoras Se detalla la gestin de mejoras.
- Se deben priorizar las mejoras, y se deben planificar las mejoras aprobadas.
Las actividades de mejora deben incluir como mnimo:
* Establecimiento de objetivos de mejora en uno o ms de los siguientes
aspectos: calidad, valor, capacidad, coste, productividad, utilizacin de recursos
y reduccin de riesgos.
* Garantizar que las mejoras aprobadas se apliquen.
* Medicin de las mejoras implantadas frente a los objetivos establecidos. Y
donde estos no se hayan alcanzado tomar las acciones necesarias.
* Informe de las mejoras implementadas.


Pgina 15 de 24

5. PLANIFICACION E IMPLEMENTACION DE NUEVOS
SERVICIOS O DE SERVICIOS MODIFICADOS
5 DISEO Y TRANSICIN DE SERVICIOS NUEVOS O
MODIFICADOS
5.1 Generalidades
5.2 Planificacin de servicios nuevos o modificados
5.3 Diseo y desarrollo de servicios nuevos o
modificados
5.4 Transicin de servicios nuevos o modificados
- Se ampla el apartado dividiendo en planificacin, diseo y desarrollo, y
transicin de servicios nuevos o modificados.
- La planificacin de servicios nuevos o modificados deben incluir (o
referenciar):
* Las actividades a ser realizadas por el proveedor del servicio y terceros
incluyendo las actividades a realizar en la relacin entre el proveedor y los
terceros.
* Las fechas para las actividades planificadas.
* Las dependencias de otros servicios,
* Las pruebas requeridas para los servicios nuevos o modificados.
- Se debe planificar la retirada de servicios. Esta planificacin contempla las
fechas de retirada, archivo, eliminacin transferencia de datos,
documentacin y componentes de servicio.
- El diseo y desarrollo de servicios nuevos o modificados debe incluir:
* Autoridad y responsabilidad para la provisin de los servicios nuevos
modificados.
* Actividades del proveedor de servicio, el cliente y terceros.
* Requisitos de RRHH, financieros, etc.
* Tecnologa, contratos, SLAs, planes, polticas nuevos o modificados.
* Actualizacin del Catlogo de servicios.
- La transicin de nuevos servicios o modificados:
* se deben probar para verificar que cumplen con los requisitos del servicio, el
diseo y los criterios de aceptacin.
* Relacin con procesos de entrega y despliegue.
* Informar de los resultados obtenidos, una vez completas las actividades de
transicin.


Pgina 16 de 24

6. PROCESOS DE LA PROVISION DEL SERVICIO 6 PROCESOS DE PROVISIN DEL SERVICIO
6.1 Gestin de nivel de servicio 6.1 Gestin del nivel de servicio - Se debe acordar un catlogo de servicios con el cliente.
- El catlogo debe incluir las dependencias entre los servicios y los
componentes del servicio.
- En los SLAs acordados con el cliente se deben incluir adems de los objetivos
de servicio y la carga de trabajo, los requisitos del servicio las excepciones
acordadas.
- El proceso de gestin de cambios controla los cambios en el catlogo de
servicios, requisitos servicio, el SLA y otros acuerdos documentados.
- Para los componentes de un servicio proporcionados por un grupo interno o
cliente, el proveedor del servicio debe desarrollar, acordar, revisar y mantener
un acuerdo documentado, definiendo las actividades y las interfaces entre las
dos partes. De igual forma se debe monitorizar el desempeo del grupo
interno o cliente.

6.2 Generacin de informes de servicio 6.2 Informes del servicio - Los informes se deben documentar y acordar adems de entre el proveedor
del servicio y cliente, con las partes interesadas
- Los informes de servicio adems contendrn informacin sobre:
* El despliegue de servicios nuevos o modificados y las invocaciones del plan
de continuidad del servicio.
* Las quejas del servicio.

6.3 Gestin de la continuidad y disponibilidad del servicio

6.3 Gestin de la continuidad y disponibilidad del
servicio
6.3.1 Requisitos de continuidad y disponibilidad del
- Evaluar y documentar riesgos sobre Disponibilidad y Continuidad de los
servicios.
- Los requisitos de continuidad y disponibilidad se deben documentar y
acordar adems de entre el proveedor del servicio y cliente, con las partes


Pgina 17 de 24

servicio interesadas

6.3.2 Planes de continuidad y disponibilidad - El plan de continuidad del servicio debe incluir, al menos:
* Los procedimientos a implementar (aplicar) en caso de una prdida relevante
del servicio o referencia a ellos.
* Los objetivos de disponibilidad cuando se invoque el plan.
* Los requisitos de recuperacin.
* El enfoque para el retorno a las condiciones de trabajo normales. (se trata
anteriormente como Actividad de vuelta a la normalidad)

- El plan de disponibilidad del servicio debe incluir, al menos
* Requisitos de disponibilidad
* Objetivos de disponibilidad

6.3.3 Monitorizacin y prueba de la continuidad y la
disponibilidad del servicio
- Los planes de continuidad del servicio se prueban contra los requisitos de
continuidad del servicio (se elimina de acuerdo a las necesidades del negocio)
- Los planes de disponibilidad se prueban contra los requisitos de
disponibilidad.
6.4 Elaboracin del presupuesto y contabilidad de los
servicios de TI
6.4 Elaboracin de presupuesto y contabilidad de
los servicios
- Interfaz entre este proceso y otros procesos de gestin financiera
- En la elaboracin de presupuestos y contabilidad para los componentes del
servicio incluye al menos:

* Activos incluyendo licencias utilizados para proveer los servicios
* recursos compartidos


Pgina 18 de 24

* costes de estructura,
* inversiones y gastos,
* servicios suministrados externamente,
* Personal e instalaciones.
- Distribuir los costes indirectos y asignar los costes directos, a los servicios.
6.5 Gestin de la capacidad 6.5 Gestin de la capacidad - El plan de capacidad se debe elaborar, implementar y mantener considerando
recursos: humanos, tcnicos, de informacin y financieros.
- Se indica que el plan de capacidad debe contemplar adems, el impacto
potencial de cambios legales, regulatorios, contractuales u organizaciones.
6.6 Gestin de la Seguridad de la Informacin 6.6 Gestin de la seguridad de la informacin
6.6.1 Poltica de seguridad de la Informacin
- Se alinea con la ISO 27001.
- La poltica de seguridad debe tener en cuenta requisitos de los servicios y
legales.
- Se detallan nuevas responsabilidades de la direccin:
* Garantizar que se establecen los objetivos de seguridad.
* Definir el enfoque a tomar para la gestin de los riesgos de de la
informacin y sus criterios para asumir los riesgos.
* Asegurar que se llevan a cabo las evaluaciones de riesgos de seguridad de la
informacin a intervalos planificados.
* Asegurar que se realizan auditoras internas de seguridad de la informacin.
* Asegurar que se revisan los resultados de las auditorias para identificar
oportunidades de mejora.
6.6.2 Controles de seguridad de la Informacin - Implementar y operar controles de seguridad de informacin (fsicos,
administrativos y tcnicos):
* Preservar Confidencialidad, integridad y accesibilidad (ver glosario en la
norma) de los activos de informacin.


Pgina 19 de 24

* Cumplir con los requisitos de la poltica de seguridad de la informacin
* alcanzar los objetivos de gestin de la seguridad de la informacin
* gestionar los riesgos relacionados con la seguridad de la informacin
- El proveedor del servicio debe revisar la eficacia de los controles de seguridad
de la informacin, debe llevar a cabo las acciones necesarias e informar de las
acciones tomadas
- El proveedor del servicio debe documentar, acordar e implementar controles
de seguridad de la informacin con las organizaciones externas que tengan
que acceder o gestionar informacin o servicios del proveedor de servicios.
6.6.3 Cambios e incidencias de seguridad de la
informacin

- Evaluar las peticiones de cambio para identificar nuevos riesgos o riesgos
modificados y el impacto potencial sobre la poltica y controles de seguridad
de la informacin.
- Las incidencias de seguridad a travs del proceso de gestin de incidencias.
- La prioridad debe ser la adecuada a los riesgos de seguridad.

7. PROCESOS DE RELACIN
7.1 Generalidades
7 PROCESOS DE RELACIN

7.2 Gestin de las relaciones con el negocio 7.1 Gestin de relaciones con el negocio - El proveedor de servicios debe establecer un mecanismo de comunicacin
con los clientes.
- El proveedor de servicios debe revisar con los clientes el comportamiento de
los servicios a intervalos planificados
- Deben coordinarse los cambios de requisitos del servicio, con el proceso de
gestin de cambio y proceso de gestin de SLAs.

7.3 Gestin de suministradores 7.2 Gestin de suministradores - Se debe acordar un contrato documentado con el suministrador.
- Los aspectos a los que deben incluir o hacer referencia los contratos con los


Pgina 20 de 24

suministradores:
* Alcance de los servicios,
* Dependencias entre servicios, procesos y las partes.
* Requisitos a ser satisfechos por el suministrador
* Objetivos del servicio
* Interfaces entre los procesos de gestin del servicio ejecutados por el
suministrador y por terceros.
* Integracin de las actividades del suministrador dentro del sistema de
gestin del servicio.
* Caractersticas de carga de trabajo.
* Las excepciones del contrato y como se manejan
* Autoridades y responsabilidades del proveedor del servicio y del
suministrador
* Informacin y comunicacin a ser proporcionada por el suministrador.
* Actividades y responsabilidades para la finalizacin normal o anticipada del
contrato y la trasferencia de los servicios a terceros.

- Adems, el proveedor del servicio debe verificar que los suministradores
principales gestionan a sus suministradores subcontratados para cumplir las
obligaciones contractuales.
- El proveedor de servicios debe revisar el comportamiento del suministrador
frente al contrato a intervalos planificados

8.1 Antecedentes


Pgina 21 de 24

8.2 Gestin del incidente 8.1 Gestin de incidencias y peticiones de servicio - Se ajusta el trmino de incidente a incidencia. Procedimiento documentado.
- Se diferencia explcitamente entre incidencia y peticin de servicio.
- La priorizacin de una incidencia o peticin de servicio se realiza en base al
impacto y urgencia.
- Informacin de las entregas (xito, fracaso, fechas) debe estar disponible para
el proceso de gestin de incidencias.
- si los SLOs no se cumplen, informar al cliente y partes interesadas, realizando
escalado de acuerdo a procedimiento.
- Se debe acordar con el cliente que es una incidencia grave.
- La alta direccin debe ser informada de las incidencias graves y debe
asegurar que es nombrado un responsable de gestionar las incidencias graves.
- Una vez restaurado el servicio las incidencias graves deben ser revisadas para
identificar oportunidades para la mejora.
8.3 Gestin del problema 8.2 Gestin de problemas - Cuando la causa raz de un problema ha sido identificada pero el problema
no ha sido resuelto de manera permanente, el proveedor del servicio debe
identificar las acciones para reducir o eliminar el impacto del problema en los
servicios. Los errores conocidos deben ser registrados.

9. PROCESOS DE CONTROL 9 PROCESOS DE CONTROL


Pgina 22 de 24

9.1 Gestin de la Configuracin 9.1 Gestin de la configuracin - Se elimina el concepto de poltica por una definicin documentada de cada
tipo de CI.
- Se explicita la informacin mnima a registrar por CI:
* Descripcin del CI
* relaciones entre CIs (entre el CI y otros CIs)
* relaciones entre CI y otros componentes (ver definicin de componente)
* estado
* versin
* ubicacin
* peticiones de cambio asociadas
* problemas y errores conocidos asociados
- Se debe documentar un procedimiento para el registro, control y seguimiento
de las versiones de los CIs.
- Se indica que los cambios en los CIs deben ser trazables y auditables para
garantizar la integridad de CIs y CMDB
- Facilitar informacin al proceso de gestin de cambios para la evaluacin de
las peticiones de cambio.


Pgina 23 de 24

9.2 Gestin del cambio 9.2 Gestin de cambios - Debe existir una poltica documentada de gestin de cambios:
* defina los CI que estn bajo control de cambios
* los cambios con el potencial de tener un gran impacto en los servicios o en el
cliente.
- Los cambios con gran impacto en los servicios o cliente y su gestin a travs
del Diseo y transicin de Servicios nuevos o modificados
- La transferencia de un servicio al cliente o tercer, y la eliminacin de un
servicio se debe considerar como un cambio con alto impacto potencial.
- Peticiones de cambio clasificadas con gran impacto en los servicios o clientes,
se deben gestionar mediante el proceso de diseo y transicin de servicios
nuevos o modificados
- Se debe acordar y procedimentar con el cliente la definicin de los cambios
de emergencia.
- La toma de decisiones en el cambio debe tener en cuenta:
* Riesgos
* Impactos potenciales a servicios y clientes
* Requisitos del servicio
* Beneficios del negocio
* Viabilidad tcnica
* Impacto financiero
- Los cambios aprobados se deben probar, y el mecanismo de marcha atrs
siempre que se pueda tambin se debe probar.
- Los registros de la CMDB se deben actualizar tras el despliegue satisfactorio
de los cambios


Pgina 24 de 24

10. PROCESO DE ENTREGA
10.1 Proceso de gestin de la entrega
9.3 Gestin de la entrega y despliegue - Los criterios de aceptacin para las entregas se deben acordar con el cliente y
las partes interesadas.
- Si los criterios de aceptacin no se cumplen el proveedor del servicio debe
tomar la decisin junto a las partes interesadas sobre el despliegue y las
acciones necesarias.
- Las entregas de emergencia se deben gestionar segn un procedimiento
documentado que se relacione con el procedimiento de cambios de
emergencia.
- Siempre que sea posible deben probarse los mecanismos de marcha atrs.

AENOR-GuiaOrientativa-ISO 20000-1 - 2011 PDF

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

AENOR-GuiaOrientativa-ISO 20000-1 - 2011 PDF

Uploaded by

Copyright:

Available Formats

GUA ORIENTATIVA.

CAMBIOS EN LA NORMA UNE-ISO/IEC 20000-1:2011

You might also like