GUIA ORIENTATIVA. CAMBIOS REALIZADOS EN LA NUEVA VERSION UNE-ISO/IEC 20000-1:2011 RESPECTO A UNE-ISO/IEC 20000-1:2007
Nota: este documento es de carcter informativo. Los requisitos necesarios para la certificacin en UNE-ISO/IEC 20000-1:2011 son los indicados en la propia norma. Este documento ha sido realizado por AENOR Direccin de Desarrollo Estratgico de TICs, considerando las sugerencias e indicaciones de los auditores de SGSTI, calificados por AENOR.
ltima versin: 2012-10-16
GUA ORIENTATIVA. CAMBIOS EN LA NORMA UNE-ISO/IEC 20000-1:2011
Pgina 2 de 24
INDICE
I. PRLOGO Pg.3 II. INTRODUCCION Pg.4 III. DIFERENCIAS ENTRE UNE-ISO/IEC 20000-1:2011 Y UNE-ISO/IEC 20000-1:2007 Pg.5 IV. TABLA COMPARATIVA DE VERSIONES (2007 vs. 2011) . Pg.8
GUA ORIENTATIVA. CAMBIOS EN LA NORMA UNE-ISO/IEC 20000-1:2011
Pgina 3 de 24
I. PROLOGO
El siguiente documento es una gua orientativa elaborada en la Direccin de Desarrollo de AENOR para dar a conocer los principales cambios de la nueva versin de UNE-ISO/IEC 20000- 1:2011 con respecto a la anterior versin UNE-ISO/IEC 20000-1:2007. Los requisitos necesarios para la certificacin en UNE-ISO/IEC 20000-1:2011 son los indicados en la propia norma.
La estructura es la siguiente:
II. INTRODUCCION. Se indica el periodo de vigencia de la anterior versin de UNE- ISO/IEC 20000-1:2007 y se enumeran como resumen los cambios a alto nivel en la nueva versin de 2011.
III. DIFERENCIAS ENTRE UNE-ISO/IEC 20000-1:2011 y UNE-ISO/IEC 20000-1:2007.
Se incluyen un resumen y aspectos a resaltar en negrita y/o subrayado de los apartados 1 al 3 de la nueva versin de la norma UNE-ISO/IEC 20000-1:2011.
Estos apartados de la norma son: 1. OBJETO 1.1 Generalidades 1.2 Campo de aplicacin 2. NORMAS PARA CONSULTA, 3. TRMINOS Y DEFINICIONES
IV. TABLA COMPARATIVA DE VERSIONES (2007 vs. 2011).
Se presenta una tabla desde el apartado 4 al 9 con los apartados y sub-apartados de la versin de ISO 20000-1:2007 con respecto a la nueva ISO 20000-1:2011, considerando la numeracin de los nuevos apartados as como los cambios para cada apartado/sub-apartado en la nueva versin 2011
GUA ORIENTATIVA. CAMBIOS EN LA NORMA UNE-ISO/IEC 20000-1:2011
Pgina 4 de 24
II. INTRODUCCION
La norma ISO/IEC 20000-1 ha sido elaborada por el comit tcnico AEN/CTN 71 Tecnologa de la Informacin.
Esta segunda edicin (2011) anular y sustituir a las normas UNE-ISO/IEC 20000-1:2007 y UNE- ISO/IEC 2000-1:2007/1M:2009 el 2014-01-01.
El ttulo completo de la norma es: UNE-ISO/IEC 20000-1:2011. Tecnologa de la Informacin. Gestin de Servicio. Parte 1: requisitos del Sistema de Gestin del Servicio (SGS).
La norma UNE-ISO/IEC 20000-1:2011 es idntica a la norma ISO/IEC 20000-1:2011.
Las principales diferencias son las siguientes:
1. Mayor armonizacin con la Norma ISO 9001; 2. Mayor armonizacin con la Norma ISO/IEC 27001; 3. Cambio en la terminologa para reflejar usos internacionales; 4. Inclusin de muchas ms definiciones, modificacin de algunas, y eliminacin de dos definiciones; 5. Inclusin del trmino "sistema de gestin del servicio"; 6. Unificacin de los captulos 3 y 4 de la Norma ISO/IEC 20000-1:2005 para incluir todos los requisitos del sistema de gestin en un solo captulo; 7. Clarificacin de los requisitos para el gobierno de los procesos operados por terceros; 8. Clarificacin de los requisitos para definir el alcance del Sistema de Gestin del Servicio (SGS); 9. Clarificacin de que la metodologa PDCA aplica al SGS, incluyendo a los procesos de la gestin del servicio, y a los servicios; 10. Inclusin de nuevos requisitos para el diseo y la transicin de servicios nuevos o modificados.
GUA ORIENTATIVA. CAMBIOS EN LA NORMA UNE-ISO/IEC 20000-1:2011
Pgina 5 de 24
III. DIFERENCIAS ENTRE UNE-ISO/IEC 20000-1:2011 Y UNE-ISO/IEC 20000-1:2007
Los requisitos de esta parte de la Norma ISO/IEC 20000 incluyen el diseo, transicin, provisin, y la mejora de los servicios para cumplir con los requisitos del servicio, y aportar un valor tanto para el cliente como para el proveedor del servicio. Esta parte de la Norma ISO/IEC 20000 requiere al proveedor del servicio un enfoque basado en procesos integrados cuando planifica, establece, implementa, opera, controla, revisa, mantiene y mejora un Sistema de Gestin del Servicio (SGS).
Cuando se utiliza dentro de un SGS, los aspectos ms importantes de un enfoque de procesos integrados y la metodologa PDCA son los siguientes (ver figura 1):
a) entender y cumplir los requisitos de servicio para lograr la satisfaccin del cliente; b) establecer la poltica y objetivos de la gestin del servicio; c) disear y proveer mediante el SGS, servicios que aportan valor al cliente; d) monitorizar, medir y revisar el comportamiento del SGS y de los servicios; e) mejorar de forma continua el SGS y los servicios utilizando mediciones objetivas
Figura 1 Metodologa PDCA aplicada a la gestin del servicio
La conformidad con una norma internacional no confiere inmunidad frente a requisitos legales y regulatorios
GUA ORIENTATIVA. CAMBIOS EN LA NORMA UNE-ISO/IEC 20000-1:2011
Pgina 6 de 24
1. OBJETO 1.1 Generalidades
La norma UNE-ISO/IEC 20000-1:2011 (en adelante ISO 20000-1), especifica al proveedor del servicio los requisitos para planificar, establecer, implementar, operar, monitorizar, revisar, mantener y mejorar un SGS.
Los requisitos incluyen el diseo, transicin, provisin, y la mejora de los servicios para satisfacer los requisitos de servicio. Esta parte de la serie ISO/IEC 20000 puede ser utilizada por:
a) una organizacin que demande servicios a los proveedores del servicio y que necesite garanta de cumplimiento de sus requisitos de servicio; b) una organizacin que requiera un enfoque consistente de todos sus proveedores del servicio, incluidos los de una cadena de suministro; c) un proveedor del servicio que tiene la intencin de demostrar su capacidad en el diseo, transicin, provisin y mejora de los servicios que cumplen los requisitos del servicio; d) un proveedor del servicio para monitorizar, medir y revisar sus procesos de gestin del servicio y los servicios; e) un proveedor del servicio para mejorar el diseo, transicin y provisin de los servicios mediante una implementacin y operacin eficaces del SGS; f) un asesor o auditor, para evaluar la conformidad del SGS de un proveedor del servicio respecto a los requisitos de esta parte de la serie ISO/IEC 20000.
La figura 2 muestra el SGS, e incluye los procesos de gestin del servicio. Los procesos de gestin del servicio y las relaciones entre los procesos se pueden implementar de diferentes formas por cada proveedor del servicio. La naturaleza de la relacin:
Figura 2 Sistema de Gestin del Servicio
GUA ORIENTATIVA. CAMBIOS EN LA NORMA UNE-ISO/IEC 20000-1:2011
Pgina 7 de 24
1.2 Campo de aplicacin
Todos los requisitos contenidos en esta parte de la serie ISO/IEC 20000 son generales y estn destinados a aplicarse a todos los proveedores del servicio, independientemente de su tipo, tamao, o de la naturaleza de los servicios entregados.
No es aceptable la exclusin de cualquiera de los requisitos contenidos en los captulos 4 a 9 cuando un proveedor del servicio declara la conformidad con esta parte de la serie ISO/IEC 20000, independientemente de la naturaleza de la organizacin del proveedor del servicio.
La conformidad con los requisitos del captulo 4 slo puede ser demostrada por un proveedor del servicio mostrando evidencias del cumplimiento de todos los requisitos del captulo 4. Para los requisitos del captulo 4, un proveedor del servicio no puede delegar en evidencias de gobierno de procesos que sean operados por terceros.
El proveedor del servicio puede demostrar la conformidad con los requisitos de los captulos del 5 al 9 mostrando evidencias de cumplimiento de todos los requisitos. Como alternativa, el proveedor del servicio puede mostrar evidencias de cumplimiento de la mayora de los requisitos y evidencias de gobierno de procesos, o parte de los procesos, operados por terceros que el proveedor del servicio no opera directamente.
El alcance de esta parte de la Norma ISO/IEC 20000 excluye la especificacin de un producto o herramienta. Sin embargo, las organizaciones pueden usar esta parte de la Norma ISO/IEC 20000 para ayudarles en el desarrollo de productos o herramientas que soporten la operacin del SGS.
2 NORMAS PARA CONSULTA Sin cambios relevantes.
3 TRMINOS Y DEFINICIONES
Se amplan, con respecto a UNE-ISO/IEC 20000-1:2007, de 13 a 37 las definiciones disponibles. En algunos casos, las definiciones existentes se han redefinido.
Por ejemplo: CI (Elemento de Configuracin), CMDB, la inclusin del trmino accesibilidad en la definicin de Seguridad de la Informacin, etc.
GUA ORIENTATIVA. CAMBIOS EN LA NORMA UNE-ISO/IEC 20000-1:2011
Pgina 8 de 24
IV. TABLA COMPARATIVA DE VERSIONES (2007 vs. 2011) A continuacin se incluye el ndice de la nueva versin de la norma UNE-ISO/IEC 20000-1:2011
0 INTRODUCCIN 1 OBJETO 1.1 Generalidades 1.2 Campo de aplicacin 2 NORMAS PARA CONSULTA 3 TRMINOS Y DEFINICIONES 4. REQUISITOS GENERALES DEL SISTEMA DE GESTIN DEL SERVICIO 4.1 Responsabilidad de la direccin 4.1.1 Compromiso de la direccin 4.1.2 Poltica de gestin del servicio 4.1.3 Autoridad, responsabilidad y comunicacin 4.1.4 Representante de la direccin 4.2 Gobierno de los procesos operados por terceros 4.3 Gestin de la documentacin 4.3.1 Establecimiento y mantenimiento de documentos 4.3.2 Control de documentos 4.3.3 Control de registros 4.4 Gestin de recursos 4.4.1 Provisin de recursos 4.4.2 Recursos humanos 4.5 Establecer y mejorar el SGS 4.5.1 Definir el alcance 4.5.2 Planificar el SGS (Planificar) 4.5.3 Implementar y operar el SGS (Hacer) 4.5.4 Monitorizar y revisar el SGS (Verificar) 4.5.4.1 Generalidades 4.5.4.2 Auditora interna 4.5.4.3 Revisin por la direccin 4.5.5 Mantener y mejorar el SGS ( Actuar) 4.5.5.1 Generalidades 4.5.5.2 Gestin de mejoras 5 DISEO Y TRANSICIN DE SERVICIOS NUEVOS O MODIFICADOS 5.1 Generalidades 5.2 Planificacin de servicios nuevos o modificados 5.3 Diseo y desarrollo de servicios nuevos o modificados 5.4 Transicin de servicios nuevos o modificados 6 PROCESOS DE PROVISIN DEL SERVICIO 6.1 Gestin del nivel de servicio 6.2 Informes del servicio 6.3 Gestin de la continuidad y disponibilidad del servicio 6.3.1 Requisitos de continuidad y disponibilidad del servicio 6.3.2 Planes de continuidad y disponibilidad 6.3.3 Monitorizacin y prueba de la continuidad y la disponibilidad del servicio 6.4 Elaboracin de presupuesto y contabilidad de los servicios 6.5 Gestin de la capacidad 6.6 Gestin de la seguridad de la informacin 6.6.1 Poltica de seguridad de la Informacin 6.6.2 Controles de seguridad de la Informacin 6.6.3 Cambios e incidencias de seguridad de la informacin 7 PROCESOS DE RELACIN 7.1 Gestin de relaciones con el negocio 7.2 Gestin de suministradores 8 PROCESOS DE RESOLUCION 8.1 Gestin de incidencias y peticiones de servicio 8.2 Gestin de problemas 9 PROCESOS DE CONTROL 9.1 Gestin de la configuracin 9.2 Gestin de cambios 9.3 Gestin de la entrega y despliegue
GUA ORIENTATIVA. CAMBIOS EN LA NORMA UNE-ISO/IEC 20000-1:2011
Pgina 9 de 24
La siguiente tabla comparativa relaciona los apartados y sub-apartados de la versin de ISO 20000-1:2007 con la nueva ISO 20000-1:2011, considerando la numeracin de los nuevos apartados as como los cambios para cada apartado/sub-apartado en la nueva versin 2011.
Compuesto por 3 columnas:
o Primera columna UNE-ISO/IEC 20000-1:2007 ndice de la versin 2007 o Segunda columna UNE-ISO/IEC 20000-1:2011 ndice de la versin 2011 o Tercera columna CAMBIOS NUEVA VERSION se indican incorporaciones, aclaraciones de requisitos a la nueva versin 2011.
UNE-ISO/IEC 20000-1: 2007 UNE-ISO/IEC 20000-1: 2011 CAMBIOS NUEVA VERSION 0 INTRODUCCIN 0 INTRODUCCIN 1 OBJETO Y CAMPO DE APLICACIN
1 OBJETO 1.1 Generalidades 1.2 Campo de aplicacin
Apartado nuevo en versin 2011 2 NORMAS PARA CONSULTA 2 TRMINOS Y DEFINICIONES 3 TRMINOS Y DEFINICIONES Ampliacin de la terminologa de 13 a 37 trminos 3. REQUISITOS DE UN SISTEMA DE GESTION 4. REQUISITOS GENERALES DEL SISTEMA DE GESTIN DEL SERVICIO
GUA ORIENTATIVA. CAMBIOS EN LA NORMA UNE-ISO/IEC 20000-1:2011
Pgina 10 de 24
UNE-ISO/IEC 20000-1: 2007 UNE-ISO/IEC 20000-1: 2011 CAMBIOS NUEVA VERSION 3.1 Responsabilidad de la direccin 4.1 Responsabilidad de la direccin 4.1.1 Compromiso de la direccin 4.1.2 Poltica de gestin del servicio 4.1.3 Autoridad, responsabilidad y comunicacin 4.1.4 Representante de la direccin - Se ampla y detalla, incluyendo como parte del compromiso de la direccin: * Comunicar la importancia de cumplir los requisitos legales y regulatorios, as como las obligaciones contractuales.
- Se ampla y detallan las caractersticas de la Poltica de gestin del servicio: * Es la apropiada para el propsito del proveedor del servicio. * Incluye un compromiso de satisfaccin de los requisitos del servicio. * Incluye un compromiso de mejora continua de la eficacia del SGS y de los servicios a travs de la poltica de mejora continua. * Proporciona un marco para el establecimiento y la revisin de los objetivos de gestin del servicio. * Es comunicada y entendida por el personal del proveedor del servicio.
- La direccin debe asegurar que se implementan y establecen procedimientos documentados de comunicacin
- Se detallan las responsabilidades del representante de la direccin para la provisin del servicio (resp. sistema de gestin): * Asegurar que se realizan las actividades para identificar, documentar y satisfacer los requisitos del servicio. * Asignar autorizaciones y responsabilidades para asegurar que se disean, implementan y mejoran los procesos de gestin del servicio conforme a la poltica y objetivos de gestin del servicio. * Asegurar que los procesos de gestin del servicio estn integrados con el resto de los componentes del SGS.
GUA ORIENTATIVA. CAMBIOS EN LA NORMA UNE-ISO/IEC 20000-1:2011
Pgina 11 de 24
UNE-ISO/IEC 20000-1: 2007 UNE-ISO/IEC 20000-1: 2011 CAMBIOS NUEVA VERSION * Asegurar que los activos, incluyendo sus licencias, utilizados para proveer los servicios, se gestionan conforme a los requisitos legales y regulatorios y a las obligaciones contractuales. * Informar a la alta direccin del comportamiento y mejoras del sistema de gestin y los servicios.
Sub-apartado nuevo en versin 2011 4.2 Gobierno de los procesos operados por terceros - Se detalla como el proveedor de servicio puede demostrar la conformidad con los requisitos de los captulo del 5 al 9 mostrando: * evidencias de cumplimiento de todos los requisitos (el proveedor del servicio opera todos los procesos directamente) : * Evidencias de cumplimiento de la mayora de los requisitos, donde deben existir evidencias de gobierno de los procesos, o parte de los procesos, operados por terceros y que el proveedor de servicio no opera directamente.
- Debe: * Demostrar responsabilidad sobre los procesos y autoridad para exigir adhesin a los mismos * Controlar la definicin de los procesos e interfaces con otros procesos.
* Determinar el comportamiento de los procesos y la conformidad con los requisitos de los procesos * Controla la planificacin y priorizando las mejoras de los procesos.
GUA ORIENTATIVA. CAMBIOS EN LA NORMA UNE-ISO/IEC 20000-1:2011
Pgina 12 de 24
UNE-ISO/IEC 20000-1: 2007 UNE-ISO/IEC 20000-1: 2011 CAMBIOS NUEVA VERSION Si el tercero es externo, se gestiona con el proceso de suministradores Si el tercero es interno o cliente, se gestiona con el proceso de acuerdos de nivel de servicio. 3.2 Requisitos de la documentacin 4.3 Gestin de la documentacin 4.3.1 Establecimiento y mantenimiento de documentos 4.3.2 Control de documentos 4.3.3 Control de registros - Se ampla y detalla el apartado de documentacin: * Se incluye como documento obligatorio el catlogo de servicios. * Documentacin adicional, incluyendo la externa, para la provisin eficaz del servicio. - Se debe establecer un procedimiento documentado para el control de documentos y el control de registros 3.3 Competencia, concienciacin y formacin 4.4 Gestin de recursos 4.4.1 Provisin de recursos 4.4.2 Recursos humanos - Se ampla y detalla la provisin de recursos (humanos, tcnicos, de informacin, financieros) para el SGS y los servicios. Satisfaccin del cliente. - Se ampla y detalla la competencia, concienciacin y formacin: * Evaluar la eficacia de las acciones realizadas. * Mantener registros apropiados de la educacin, formacin, habilidades y experiencia.
4. PLANIFICACION E IMPLEMTNACIN DE LA GESTION DEL SERVICIO 4.5 Establecer y mejorar el SGS 4.1 Planificacin de la gestin del servicio (Planificar) 4.5.1 Definir el alcance
4.5.2 Planificar el SGS (Planificar) - Se detalla que debe contener la definicin de alcance: * Unidad que provee los servicios y qu servicios. * Localizacin geogrfica, cliente, tecnologa, etc.
- Se ampla y detalla el plan de gestin del servicio. La planificacin debe
GUA ORIENTATIVA. CAMBIOS EN LA NORMA UNE-ISO/IEC 20000-1:2011
Pgina 13 de 24
UNE-ISO/IEC 20000-1: 2007 UNE-ISO/IEC 20000-1: 2011 CAMBIOS NUEVA VERSION tener en cuenta: * Poltica de gestin del servicio * Requisitos del servicios y puede contener o hacer referencia a los contenidos del plan de gestin del servicio - Los nuevos contenidos: * Limitaciones conocidas que pueden afectar al SGS *Polticas, normas, requisitos legales y regulatorios y obligaciones contractuales. * Estructura de autoridades, responsabilidades y roles del proceso * Autoridades y responsabilidades de los planes, los procesos de gestin del servicio y servicios. * Enfoque a adoptar para trabajar con terceros involucrados en el proceso de diseo y transicin de servicios nuevos o modificados. - El plan de gestin de servicio alineado con los planes de los procesos. 4.2 Implementacin de la gestin del servicio y provisin de los servicios (Hacer) 4.5.3 Implementar y operar el SGS (Hacer)
- El proveedor del servicio debe implementar y operar el SGS para el diseo, transicin, provisin y mejora de los servicios de acuerdo al plan de gestin del servicio. 4.3 Monitorizacin, medicin y revisin (Verificar) 4.5.4 Monitorizar y revisar el SGS (Verificar) 4.5.4.1 Generalidades 4.5.4.2 Auditora interna 4.5.4.3 Revisin por la direccin - Se ampla y detallan las auditoras internas y revisin por direccin. * La auditora interna: debe existir un procedimiento documentado que incluya las autoridades y responsabilidades para planificar y realizar auditoras as como para informar sobre los resultados y para el mantenimiento de los registros de auditora. - La revisin por direccin: aspectos mnimos que se deben ver en la revisin por la direccin: * Retroalimentacin del cliente * Comportamiento y conformidad del servicio y de los procesos * Niveles actuales y previstos de RRHH, tcnicos, de informacin y financieros.
GUA ORIENTATIVA. CAMBIOS EN LA NORMA UNE-ISO/IEC 20000-1:2011
Pgina 14 de 24
UNE-ISO/IEC 20000-1: 2007 UNE-ISO/IEC 20000-1: 2011 CAMBIOS NUEVA VERSION * Capacidades humanas y tcnicas actuales y previstas Riesgos * Resultados y acciones de seguimiento de auditoras. * Resultados y acciones de seguimiento de las revisiones de la gestin previas. * Estado de las acciones correctivas y preventivas. * Cambios que puedan afectar al SGS y a los servicios. * Oportunidades de mejora Se deben mantener registros de las revisiones por la direccin que deben incluir, al menos, las decisiones y acciones relacionadas con los recursos, la mejora de la eficacia del SGS y la mejora de los servicios 4.4 Mejora continua (Actuar) 4.5.5 Mantener y mejorar el SGS ( Actuar) 4.4.1 Poltica 4.4.2 Gestin de las mejoras del servicio 4.5.5.1 Generalidades - Debe existir un procedimiento documentado que incluya las autoridades y responsabilidades para identificar, documentar, evaluar, aprobar, priorizar, gestionar, medir e informar de las mejoras 4.4.2 Gestin de las mejoras del servicio 4.4.3 Actividades 4.5.5.2 Gestin de mejoras Se detalla la gestin de mejoras. - Se deben priorizar las mejoras, y se deben planificar las mejoras aprobadas. Las actividades de mejora deben incluir como mnimo: * Establecimiento de objetivos de mejora en uno o ms de los siguientes aspectos: calidad, valor, capacidad, coste, productividad, utilizacin de recursos y reduccin de riesgos. * Garantizar que las mejoras aprobadas se apliquen. * Medicin de las mejoras implantadas frente a los objetivos establecidos. Y donde estos no se hayan alcanzado tomar las acciones necesarias. * Informe de las mejoras implementadas.
GUA ORIENTATIVA. CAMBIOS EN LA NORMA UNE-ISO/IEC 20000-1:2011
Pgina 15 de 24
UNE-ISO/IEC 20000-1: 2007 UNE-ISO/IEC 20000-1: 2011 CAMBIOS NUEVA VERSION 5. PLANIFICACION E IMPLEMENTACION DE NUEVOS SERVICIOS O DE SERVICIOS MODIFICADOS 5 DISEO Y TRANSICIN DE SERVICIOS NUEVOS O MODIFICADOS 5.1 Generalidades 5.2 Planificacin de servicios nuevos o modificados 5.3 Diseo y desarrollo de servicios nuevos o modificados 5.4 Transicin de servicios nuevos o modificados - Se ampla el apartado dividiendo en planificacin, diseo y desarrollo, y transicin de servicios nuevos o modificados. - La planificacin de servicios nuevos o modificados deben incluir (o referenciar): * Las actividades a ser realizadas por el proveedor del servicio y terceros incluyendo las actividades a realizar en la relacin entre el proveedor y los terceros. * Las fechas para las actividades planificadas. * Las dependencias de otros servicios, * Las pruebas requeridas para los servicios nuevos o modificados. - Se debe planificar la retirada de servicios. Esta planificacin contempla las fechas de retirada, archivo, eliminacin transferencia de datos, documentacin y componentes de servicio. - El diseo y desarrollo de servicios nuevos o modificados debe incluir: * Autoridad y responsabilidad para la provisin de los servicios nuevos modificados. * Actividades del proveedor de servicio, el cliente y terceros. * Requisitos de RRHH, financieros, etc. * Tecnologa, contratos, SLAs, planes, polticas nuevos o modificados. * Actualizacin del Catlogo de servicios. - La transicin de nuevos servicios o modificados: * se deben probar para verificar que cumplen con los requisitos del servicio, el diseo y los criterios de aceptacin. * Relacin con procesos de entrega y despliegue. * Informar de los resultados obtenidos, una vez completas las actividades de transicin.
GUA ORIENTATIVA. CAMBIOS EN LA NORMA UNE-ISO/IEC 20000-1:2011
Pgina 16 de 24
UNE-ISO/IEC 20000-1: 2007 UNE-ISO/IEC 20000-1: 2011 CAMBIOS NUEVA VERSION 6. PROCESOS DE LA PROVISION DEL SERVICIO 6 PROCESOS DE PROVISIN DEL SERVICIO 6.1 Gestin de nivel de servicio 6.1 Gestin del nivel de servicio - Se debe acordar un catlogo de servicios con el cliente. - El catlogo debe incluir las dependencias entre los servicios y los componentes del servicio. - En los SLAs acordados con el cliente se deben incluir adems de los objetivos de servicio y la carga de trabajo, los requisitos del servicio las excepciones acordadas. - El proceso de gestin de cambios controla los cambios en el catlogo de servicios, requisitos servicio, el SLA y otros acuerdos documentados. - Para los componentes de un servicio proporcionados por un grupo interno o cliente, el proveedor del servicio debe desarrollar, acordar, revisar y mantener un acuerdo documentado, definiendo las actividades y las interfaces entre las dos partes. De igual forma se debe monitorizar el desempeo del grupo interno o cliente.
6.2 Generacin de informes de servicio 6.2 Informes del servicio - Los informes se deben documentar y acordar adems de entre el proveedor del servicio y cliente, con las partes interesadas - Los informes de servicio adems contendrn informacin sobre: * El despliegue de servicios nuevos o modificados y las invocaciones del plan de continuidad del servicio. * Las quejas del servicio.
6.3 Gestin de la continuidad y disponibilidad del servicio
6.3 Gestin de la continuidad y disponibilidad del servicio 6.3.1 Requisitos de continuidad y disponibilidad del - Evaluar y documentar riesgos sobre Disponibilidad y Continuidad de los servicios. - Los requisitos de continuidad y disponibilidad se deben documentar y acordar adems de entre el proveedor del servicio y cliente, con las partes
GUA ORIENTATIVA. CAMBIOS EN LA NORMA UNE-ISO/IEC 20000-1:2011
Pgina 17 de 24
UNE-ISO/IEC 20000-1: 2007 UNE-ISO/IEC 20000-1: 2011 CAMBIOS NUEVA VERSION servicio interesadas
6.3.2 Planes de continuidad y disponibilidad - El plan de continuidad del servicio debe incluir, al menos: * Los procedimientos a implementar (aplicar) en caso de una prdida relevante del servicio o referencia a ellos. * Los objetivos de disponibilidad cuando se invoque el plan. * Los requisitos de recuperacin. * El enfoque para el retorno a las condiciones de trabajo normales. (se trata anteriormente como Actividad de vuelta a la normalidad)
- El plan de disponibilidad del servicio debe incluir, al menos * Requisitos de disponibilidad * Objetivos de disponibilidad
6.3.3 Monitorizacin y prueba de la continuidad y la disponibilidad del servicio - Los planes de continuidad del servicio se prueban contra los requisitos de continuidad del servicio (se elimina de acuerdo a las necesidades del negocio) - Los planes de disponibilidad se prueban contra los requisitos de disponibilidad. 6.4 Elaboracin del presupuesto y contabilidad de los servicios de TI 6.4 Elaboracin de presupuesto y contabilidad de los servicios - Interfaz entre este proceso y otros procesos de gestin financiera - En la elaboracin de presupuestos y contabilidad para los componentes del servicio incluye al menos:
* Activos incluyendo licencias utilizados para proveer los servicios * recursos compartidos
GUA ORIENTATIVA. CAMBIOS EN LA NORMA UNE-ISO/IEC 20000-1:2011
Pgina 18 de 24
UNE-ISO/IEC 20000-1: 2007 UNE-ISO/IEC 20000-1: 2011 CAMBIOS NUEVA VERSION * costes de estructura, * inversiones y gastos, * servicios suministrados externamente, * Personal e instalaciones. - Distribuir los costes indirectos y asignar los costes directos, a los servicios. 6.5 Gestin de la capacidad 6.5 Gestin de la capacidad - El plan de capacidad se debe elaborar, implementar y mantener considerando recursos: humanos, tcnicos, de informacin y financieros. - Se indica que el plan de capacidad debe contemplar adems, el impacto potencial de cambios legales, regulatorios, contractuales u organizaciones. 6.6 Gestin de la Seguridad de la Informacin 6.6 Gestin de la seguridad de la informacin 6.6.1 Poltica de seguridad de la Informacin - Se alinea con la ISO 27001. - La poltica de seguridad debe tener en cuenta requisitos de los servicios y legales. - Se detallan nuevas responsabilidades de la direccin: * Garantizar que se establecen los objetivos de seguridad. * Definir el enfoque a tomar para la gestin de los riesgos de de la informacin y sus criterios para asumir los riesgos. * Asegurar que se llevan a cabo las evaluaciones de riesgos de seguridad de la informacin a intervalos planificados. * Asegurar que se realizan auditoras internas de seguridad de la informacin. * Asegurar que se revisan los resultados de las auditorias para identificar oportunidades de mejora. 6.6.2 Controles de seguridad de la Informacin - Implementar y operar controles de seguridad de informacin (fsicos, administrativos y tcnicos): * Preservar Confidencialidad, integridad y accesibilidad (ver glosario en la norma) de los activos de informacin.
GUA ORIENTATIVA. CAMBIOS EN LA NORMA UNE-ISO/IEC 20000-1:2011
Pgina 19 de 24
UNE-ISO/IEC 20000-1: 2007 UNE-ISO/IEC 20000-1: 2011 CAMBIOS NUEVA VERSION * Cumplir con los requisitos de la poltica de seguridad de la informacin * alcanzar los objetivos de gestin de la seguridad de la informacin * gestionar los riesgos relacionados con la seguridad de la informacin - El proveedor del servicio debe revisar la eficacia de los controles de seguridad de la informacin, debe llevar a cabo las acciones necesarias e informar de las acciones tomadas - El proveedor del servicio debe documentar, acordar e implementar controles de seguridad de la informacin con las organizaciones externas que tengan que acceder o gestionar informacin o servicios del proveedor de servicios. 6.6.3 Cambios e incidencias de seguridad de la informacin
- Evaluar las peticiones de cambio para identificar nuevos riesgos o riesgos modificados y el impacto potencial sobre la poltica y controles de seguridad de la informacin. - Las incidencias de seguridad a travs del proceso de gestin de incidencias. - La prioridad debe ser la adecuada a los riesgos de seguridad.
7. PROCESOS DE RELACIN 7.1 Generalidades 7 PROCESOS DE RELACIN
7.2 Gestin de las relaciones con el negocio 7.1 Gestin de relaciones con el negocio - El proveedor de servicios debe establecer un mecanismo de comunicacin con los clientes. - El proveedor de servicios debe revisar con los clientes el comportamiento de los servicios a intervalos planificados - Deben coordinarse los cambios de requisitos del servicio, con el proceso de gestin de cambio y proceso de gestin de SLAs.
7.3 Gestin de suministradores 7.2 Gestin de suministradores - Se debe acordar un contrato documentado con el suministrador. - Los aspectos a los que deben incluir o hacer referencia los contratos con los
GUA ORIENTATIVA. CAMBIOS EN LA NORMA UNE-ISO/IEC 20000-1:2011
Pgina 20 de 24
UNE-ISO/IEC 20000-1: 2007 UNE-ISO/IEC 20000-1: 2011 CAMBIOS NUEVA VERSION suministradores: * Alcance de los servicios, * Dependencias entre servicios, procesos y las partes. * Requisitos a ser satisfechos por el suministrador * Objetivos del servicio * Interfaces entre los procesos de gestin del servicio ejecutados por el suministrador y por terceros. * Integracin de las actividades del suministrador dentro del sistema de gestin del servicio. * Caractersticas de carga de trabajo. * Las excepciones del contrato y como se manejan * Autoridades y responsabilidades del proveedor del servicio y del suministrador * Informacin y comunicacin a ser proporcionada por el suministrador. * Actividades y responsabilidades para la finalizacin normal o anticipada del contrato y la trasferencia de los servicios a terceros.
- Adems, el proveedor del servicio debe verificar que los suministradores principales gestionan a sus suministradores subcontratados para cumplir las obligaciones contractuales. - El proveedor de servicios debe revisar el comportamiento del suministrador frente al contrato a intervalos planificados
8 PROCESOS DE RESOLUCION 8.1 Antecedentes 8 PROCESOS DE RESOLUCION
GUA ORIENTATIVA. CAMBIOS EN LA NORMA UNE-ISO/IEC 20000-1:2011
Pgina 21 de 24
UNE-ISO/IEC 20000-1: 2007 UNE-ISO/IEC 20000-1: 2011 CAMBIOS NUEVA VERSION 8.2 Gestin del incidente 8.1 Gestin de incidencias y peticiones de servicio - Se ajusta el trmino de incidente a incidencia. Procedimiento documentado. - Se diferencia explcitamente entre incidencia y peticin de servicio. - La priorizacin de una incidencia o peticin de servicio se realiza en base al impacto y urgencia. - Informacin de las entregas (xito, fracaso, fechas) debe estar disponible para el proceso de gestin de incidencias. - si los SLOs no se cumplen, informar al cliente y partes interesadas, realizando escalado de acuerdo a procedimiento. - Se debe acordar con el cliente que es una incidencia grave. - La alta direccin debe ser informada de las incidencias graves y debe asegurar que es nombrado un responsable de gestionar las incidencias graves. - Una vez restaurado el servicio las incidencias graves deben ser revisadas para identificar oportunidades para la mejora. 8.3 Gestin del problema 8.2 Gestin de problemas - Cuando la causa raz de un problema ha sido identificada pero el problema no ha sido resuelto de manera permanente, el proveedor del servicio debe identificar las acciones para reducir o eliminar el impacto del problema en los servicios. Los errores conocidos deben ser registrados.
9. PROCESOS DE CONTROL 9 PROCESOS DE CONTROL
GUA ORIENTATIVA. CAMBIOS EN LA NORMA UNE-ISO/IEC 20000-1:2011
Pgina 22 de 24
UNE-ISO/IEC 20000-1: 2007 UNE-ISO/IEC 20000-1: 2011 CAMBIOS NUEVA VERSION 9.1 Gestin de la Configuracin 9.1 Gestin de la configuracin - Se elimina el concepto de poltica por una definicin documentada de cada tipo de CI. - Se explicita la informacin mnima a registrar por CI: * Descripcin del CI * relaciones entre CIs (entre el CI y otros CIs) * relaciones entre CI y otros componentes (ver definicin de componente) * estado * versin * ubicacin * peticiones de cambio asociadas * problemas y errores conocidos asociados - Se debe documentar un procedimiento para el registro, control y seguimiento de las versiones de los CIs. - Se indica que los cambios en los CIs deben ser trazables y auditables para garantizar la integridad de CIs y CMDB - Facilitar informacin al proceso de gestin de cambios para la evaluacin de las peticiones de cambio.
GUA ORIENTATIVA. CAMBIOS EN LA NORMA UNE-ISO/IEC 20000-1:2011
Pgina 23 de 24
UNE-ISO/IEC 20000-1: 2007 UNE-ISO/IEC 20000-1: 2011 CAMBIOS NUEVA VERSION 9.2 Gestin del cambio 9.2 Gestin de cambios - Debe existir una poltica documentada de gestin de cambios: * defina los CI que estn bajo control de cambios * los cambios con el potencial de tener un gran impacto en los servicios o en el cliente. - Los cambios con gran impacto en los servicios o cliente y su gestin a travs del Diseo y transicin de Servicios nuevos o modificados - La transferencia de un servicio al cliente o tercer, y la eliminacin de un servicio se debe considerar como un cambio con alto impacto potencial. - Peticiones de cambio clasificadas con gran impacto en los servicios o clientes, se deben gestionar mediante el proceso de diseo y transicin de servicios nuevos o modificados - Se debe acordar y procedimentar con el cliente la definicin de los cambios de emergencia. - La toma de decisiones en el cambio debe tener en cuenta: * Riesgos * Impactos potenciales a servicios y clientes * Requisitos del servicio * Beneficios del negocio * Viabilidad tcnica * Impacto financiero - Los cambios aprobados se deben probar, y el mecanismo de marcha atrs siempre que se pueda tambin se debe probar. - Los registros de la CMDB se deben actualizar tras el despliegue satisfactorio de los cambios
GUA ORIENTATIVA. CAMBIOS EN LA NORMA UNE-ISO/IEC 20000-1:2011
Pgina 24 de 24
UNE-ISO/IEC 20000-1: 2007 UNE-ISO/IEC 20000-1: 2011 CAMBIOS NUEVA VERSION 10. PROCESO DE ENTREGA 10.1 Proceso de gestin de la entrega 9.3 Gestin de la entrega y despliegue - Los criterios de aceptacin para las entregas se deben acordar con el cliente y las partes interesadas. - Si los criterios de aceptacin no se cumplen el proveedor del servicio debe tomar la decisin junto a las partes interesadas sobre el despliegue y las acciones necesarias. - Las entregas de emergencia se deben gestionar segn un procedimiento documentado que se relacione con el procedimiento de cambios de emergencia. - Siempre que sea posible deben probarse los mecanismos de marcha atrs.