Ntc-Iso-Iec 20000-1-2012
Ntc-Iso-Iec 20000-1-2012
Ntc-Iso-Iec 20000-1-2012
COLOMBIANA 20000-1
2012-12-12
TECNOLOGíA DE LA INFORMACiÓN.
GESTiÓN DEL SERVICIO. PARTE 1: REQUISITOS
DEL SISTEMA DE GESTiÓN DEL SERVICIO
~~.
icontec
Internacional
E: INFORMATION TECHNOLOGY. SERVICE MANAGEMENT.
PART 1: SERVICE MANAGEMENT SYSTEM REQUIREMENTS.
ICONTEC es una entidad de carácter privado, sin ánimo de lucro, cuya Misión es fundamental
para brindar soporte y desarrollo al productor y protección al consumidor. Colabora con el
sector gubernamental y apoya al sector privado del país, para lograr ventajas competitivas en
los mercados interno y externo.
AVIA KY
BAN NE TS.
BANC OUTSOURCI
CÁMARA SERVIENTR
YTELECO SOANSES L
CÁMARA DE SUN GEMINI
CENET SA TELMEX S.A
CROSS BORDER HN IVERSIDA
IQ INFORMATION QUALlT
ICONTEC cuenta con un Centro de Información que pone a disposición de los interesados
normas internacionales, regionales y nacionales y otros documentos relacionados.
DIRECCiÓN DE NORMALIZACiÓN
PRÓLOGO
mayor alineación co
combinación de las Secciones 3 y 4 de ISO/lEC 20000-1 :2005 para dejar todos los
requisitos del sistema de gestión en una sección;
aclaración de los requisitos sobre el gobierno de los procesos operados por otras
partes;
aclaración de los requisitos para definir el alcance del sistema de gestión del servicio
(SGS);
aclaración de que la metodología PHVA se aplica al SGS, incluyendo los procesos de
gestión del servicio, y los servicios;
La norma ISO/lEC 20000 consta de las siguientes partes, bajo el título general de Tecnología
de la información. Gestión del servicio:
Un modelo de evaluación de procesos para la gestión del servicio será tema de una futura
Parte 8.
NORMA TÉCNICA COLOMBIANA NTC-ISO/IEC 20000-1 (Primera actualización)
La Figura 1 ilustra la manera como se puede aplicar la metodología PHVA al SGS, incluyendo
los procesos de la gestión del servicio especificados en las secciones 5 a 9, y los servicios.
Cada elemento de la metodología PHVA es una parte vital de la implementación exitosa de un
SGS. El proceso de mejora utilizado en esta norma se basa en esta metodología.
Planificar
Sistema de Gestión
del Servicio
Procesos de la
Gestión del
Hacer Servicio Actuar
[ Servicios
)
Verificar
Esta norma le permite al prestador del servicio integrar su SGS con otros sistemas de gestión
en su organización. La adopción de un enfoque por procesos integrados y de la metodología
PHVA le permite al prestador alinear o integrar completamente varias normas de sistemas de
gestión. Por ejemplo, un SGS se puede integrar con un sistema de gestión de la calidad
basado en la NTC-ISO 9001 o con un sistema de gestión de la seguridad de la información
basado en la NTC-ISO/IEC 27001.
Los usuarios de una norma son responsables por su correcta aplicación. La norma no pretende
incluir todos los requisitos estatutarios y reglamentarios necesarios ni las obligaciones
contractuales del prestador del servicio. La conformidad con una norma no confiere por sí sola
inmunidad frente a requisitos estatutarios y reglamentarios.
Para propósitos de investigación sobre las normas de gestión de servicios, se alienta a los
usuarios a compartir sus puntos de vista sobre esta norma y sus prioridades en cuanto a
cambios en el resto de la serie ISO/lEC 20000. Siga el siguiente vínculo para participar de la
encuesta en línea:
www.surveymonkey.com/s/20000-1
ii
NORMA TÉCNICA COLOMBIANA NTC-ISOIIEC 20000-1 (Primera actualización)
CONTENIDO
Página
INTRODUCCiÓN . . i
1.2 . 2
2.
3. .. 3
4. EN .. 7
4.1
4.2
4.3
4.5 ...................................................... 11
5.1 GENERALIDADES 15
Página
7. PROCESOS DE RELACiÓN 22
8. PROCESOS DE SOLUCiÓN 24
9. PROCESOS DE CONTROL 26
BIBLIOGRAFíA 30
DOCUMENTO DE REFERENCiA 31
NORMA TÉCNICA COLOMBIANA NTC-ISO/IEC 20000-1 (Primera actualización)
Página
FIGURAS
TECNOLOGíA DE LA INFORMACiÓN.
GESTiÓN DEL SERVICIO.
PARTE 1: REQUISITOS DEL SISTEMA DE GESTiÓN DEL SERVICIO
1.1 GENERALIDADES
Esta parte de la norma es sobre sistemas de gestión del servicio (SGS). Se especifican los
requisitos para que un prestador del servicio planifique, establezca, implemente, opere,
monitoree, revise, mantenga y mejore un SGS. Los requisitos incluyen el diseño, transición,
prestación y mejora de los servicios para cumplir con los requisitos de servicio. Esta parte de la
norma puede ser utilizada:
a) por una organización que busca servicros de prestado res de servicios y exige la
garantía de que se cumplirán sus requisitos de servicio;
b) por una organización que exige un enfoque consistente por parte de todos sus
prestadores de servicios, incluyendo aquellos en la cadena de suministro;
d) por un prestador de servicios para monitorear, medir y revisar sus procesos y servicios
en la gestión del servicio;
f) por un evaluador o auditor, como criterio para una evaluación de la conformidad del
SGS de un prestador de servicios con los requisitos de esta parte de la norma.
La Figura 2 ilustra un SGS, que incluye los procesos de gestión del servicio. Estos procesos y
las relaciones entre ellos pueden implementarse de diversas formas por diferentes prestadores
de servicios. La naturaleza de la relación entre un prestador de servicios y el cliente influirá en
la manera en que se implementan los procesos de gestión del servicio.
1 de 31
NORMA TÉCNICA COLOMBIANA NTC-ISOIIEC 20000-1 (Primera actualización)
Presupuesto y
I Servicios I
contabilidad de
los servicios
1.2
El prestador de servicios puede demostrar conformidad con los requisitos de las secciones 5 a 9
presentando evidencia del cumplimiento de todos los requisitos. Como alternativa, el prestador
puede presentar evidencias del cumplimiento de la mayoría de los requisitos y evidencia del
gobierno de los procesos operados por otras partes para dichos procesos, o partes de los
procesos, que el prestador no opera directamente.
Se excluye del alcance de esta parte de la norma la especificación para un producto o una
herramienta. Sin embargo, la organización puede utilizar esta parte de la norma para facilitar el
desarrollo de productos o herramientas que soporten la operación de un SGS.
NOTA La norma ISO/lEC TR 20000-3 proporciona orientación para la definición del alcance y la aplicabilidad de
esta parte de la norma. Incluye explicación adicional acerca del gobierno de los procesos operados por otras partes.
2
NORMA TÉCNICA COLOMBIANA NTC-ISOIIEC 20000-1 (Primera actualización)
2. REFERENCIAS NORMATIVAS
Los siguientes documentos de referencia son indispensables para la aplicación de esta norma.
Para referencias con fecha, únicamente se aplica la edición citada. Para referencias sin fecha,
se aplica la edición más reciente del documento mencionado (incluyendo todas las enmiendas).
No se citan referencias normativas. Esta sección se incluye con el fin de asegurar que la
numeración de las secciones sea idéntica con aquella de la ISO/lEC 20000-2, Tecnología de la
información. Gestión del servicio. Parte 2: Directrices sobre la aplicación de los sistemas de
gestión de servicios.
3. TÉRMINOS Y DEFINICIONES
Para los propósitos de este documento, se aplican los siguientes términos y definiciones.
3.1 Acción correctiva (Corrective Action). Acción para eliminar la causa o reducir la
probabilidad de recurrencia de una no conformidad detectada o de otra situación indeseada.
3.2 Acción preventiva (Preventive Action). Acción para evitar o eliminar las causas o reducir
la probabilidad de ocurrencia de una no conformidad potencial o de otra situación potencial no
deseada.
3.3 Acuerdo de nivel de servicio (Service Level Agreement). Acuerdo documentado entre
un prestador de servicios y un cliente, el cual identifica los servicios y los objetivos del servicio.
NOTA 1 Un acuerdo de nivel de servicio también se puede establecer entre el prestador del servicio y un
proveedor externo, un grupo interno o un cliente que actúa como proveedor externo.
NOTA 2 Un acuerdo de nivel del servicio puede estar incluido en un contrato u otro tipo de acuerdo documentado.
3.4 Alta dirección (Top Management). Persona o grupo de personas que dirigen y controlan
al prestador del servicio al más alto nivel.
3.6 Cliente (Customer). Organización o parte de una organización que recibe el servicio o los
servicios.
NOTA 1 Un cliente puede ser interno o externo a la organización del prestador del servicio.
3.7 Componente del servicio (Service Component). Parte de un servicio que cuando se
combina con otras partes prestará un servicio completo.
3
NORMA TÉCNICA COLOMBIANA NTC-ISO/IEC 20000-1 (Primera actualización)
NOTA Un componente del servicio puede estar constituido por uno o más elementos de configuración.
3.8 Continuidad del servicio (Service Continuity). Capacidad para gestionar los riesgos y los
eventos que podrían tener un impacto grave en el servicio o los servicios, con el fin de prestar
continuamente tales servicios a los niveles acordados.
NOTA Por lo general, la disponibilidad se expresa como una relación o un porcentaje del tiempo en el que el
servicio o el componente del servicio están realmente disponibles para su uso por parte del cliente y el tiempo
acordado en el que el servicio debería estar disponible.
[ISO 9000:2005]
NOTA 1
NOTA 2
alcanzar.
[ISO
raíz identificada o un
a solución provisional.
3.15 Grupo interno (lnternal Gro organización del prestador del servicio que
participa en un acuerdo documentado estador del servicio para contribuir al diseño, la
transición, la prestación y la mejora de servicio o los servicios.
NOTA El grupo interno está fuera del alcance del SGS del prestador del servicio.
4
NORMA TÉCNICA COLOMBIANA NTC-ISO/IEC 20000-1 (Primera actualización)
[ISO/lEC 27000:2009]
NOTA 1 La línea base de la configuración, más los cambios aprobados para esta línea base, constituyen la
información de la configuración vigente.
[ISO 9000:2005]
EJEMPLOS Compañía, corporación, firma, empresa, institución, organización sin ánimo de lucro, empresa
unipersonal, asociación, institución, caridad, o partes o combinaciones de éstos.
[ISO 9000:2005]
3.22 Parte interesada (/nterested Party). Persona o grupo que tiene un interés específico en
el desempeño o el éxito de la actividad o las actividades del prestador del servicio.
EJEMPLOS Clientes, propietarios, gerencia, personas en la organización del prestador del servicio, proveedores
externos, banqueros, gremios o socios.
NOTA 1 Un grupo puede estar constituido por una organización, una parte de ella o más de una organización.
3.23 Prestador del servicio (Service Provider). Organización o parte de una organización
que gestiona y presta un servicio o varios servicios al cliente.
NOTA Un cliente puede ser interno o externo a la organización del prestador del servicio.
NOTA La causa raíz usualmente se desconoce en el momento en que se crea el registro de un problema. El
proceso de la gestión de problemas es responsable de la investigación posterior.
[ISO 9000:2005]
5
NORMA TÉCNICA COLOMBIANA NTC-ISO/IEC 20000-1 (Primera actualización)
[ISO 9000:2005]
3.27 Proveedor externo (Supplíer). Organización o parte de una organización que es externa
a la organización del prestador del servicio y participa en el contrato con el prestador del
servicio con el fin de contribuir al diseño, la transición, la prestación y la mejora del servicio o
los servicios o los procesos.
NOTA Los proveedores externos incluyen a veedores líderes designados pero no a sus proveedores
subcontratados.
[ISO 9000:2005]
3.30
[ISO 31000:2009]
NOTA 1 Además, también pueden estar involucradas otras propiedades como la autenticidad, la trazabilidad, el no
repudio y la confiabilidad.
NOTA 2 El término "disponibilidad" no se ha utilizado en esta definición debido a que éste es un término definido
en esta parte de la norma que no sería adecuado para esta definición.
3.32 Servicio (Service). Medio para entregar valor para el cliente facilitando los resultados que
el cliente quiere alcanzar.
6
NORMA TÉCNICA COLOMBIANA NTC-ISO/IEC 20000-1 (Primera actualización)
NOTA 2 Un servicio también puede ser prestado al prestador del servicio por un proveedor externo, un grupo
interno o un cliente que actúa como proveedor externo.
3.33 Sistema de gestión del servicio (Service Management System). Sistema de gestión
para dirigir y controlar las actividades para la gestión del servicio del prestador de servicios.
NOTA 1 Un sistema de gestión es un conjunto de elementos interrelacionados o que interactúan para establecer
las políticas y los objetivos, y para lograr dichos objetivos
NOTA 2 El SGS incluye todas las políticas, objetivos, planes, procesos, documentación y recursos de la gestión
del servicio requeridos para el diseño, la transición, la prestación y la mejora de los servicios, y para cumplir los
requisitos de esta parte de la norma.
NOTA Un cambio en un servicio incluye la provisión de un servicio nuevo o el retiro de un servicio que ya no se
requiere.
a) establecer y comunicar el alcance, la política y los objetivos para la gestión del servicio;
b) asegurar que el plan de gestión del servicio se crea, implementa y mantiene con el fin
de cumplir la política, alcanzar los objetivos para la gestión del servicio y cumplir con los
requisitos de servicio,
7
NORMA TÉCNICA COLOMBIANA NTC-ISOIIEC 20000-1 (Primera actualización)
e) incluye un compromiso para mejorar continuamente la eficacia del SGS y los servicios a
través de la política sobre la mejora continua, sección 4.5.5.1;
e) es comunicada y ent
f)
4.1.3
asegurar que:
a)
b) icación.
c) asegurar que los procesos del servicio están integrados con los otros
componentes del SGS;
d) asegurar que los bienes, incluyendo las licencias, utilizados para prestar servicios, son
gestionados según los requisitos estatutarios y reglamentarios, y las obligaciones
contractuales;
e) reportar a la alta dirección acerca del desempeño y las oportunidades para la mejora del
SGS y los servicios.
8
NORMA TÉCNICA COLOMBIANA NTC-ISO/IEC 20000-1 (Primera actualización)
Para los propósitos de las secciones 5 a 9, el prestador del servicio debe identificar todos los
procesos o partes de ellos que son operados por otras partes. Otras partes pueden ser un
grupo interno, un cliente o un proveedor externo. El prestador del servicio debe demostrar el
gobierno de los procesos operados por otras partes mediante:
e) la determinación del desempeño del proceso y la conformidad con los requisitos del
proceso;
Cuando un proveedor externo está operando partes de los procesos, el prestador del servicio
debe gestionar al proveedor externo a través del proceso de gestión de proveedores. Cuando
un grupo interno o un cliente están operando partes de los procesos, el prestador del servicio
debe gestionar al grupo interno o al cliente a través de los procesos de gestión del nivel de
servicio.
NOTA ISO/lEC TR 20000-3 proporciona orientación sobre la definición del alcance y la aplicabilidad de esta
parte de la norma. Esto incluye la explicación adicional acerca del gobierno de los procesos operados por otras
partes.
9
NORMA TÉCNICA COLOMBIANA NTC-ISO/IEC 20000-1 (Primera actualización)
Los documentos exigidos por el SGS deben estar controlados. Los registros son un tipo
especial de documento y deben controlarse de acuerdo con los requisitos que se indican en la
sección 4.3.3.
f)
g)
h) identificación
4.4
El prestador del servicio debe determinar y suministrar los recursos humanos, técnicos, de
información, y financieros necesarios para:
b) mejorar la satisfacción del cliente suministrando servicios que cumplan con los
requisitos de servicio.
10
NORMA TÉCNICA COLOMBIANA NTC-ISO/IEC 20000-1 (Primera actualización)
El personal del prestador del servicio que realice actividades que afectan la conformidad con
los requisitos de servicio debe ser competente con base en la educación, el entrenamiento, las
habilidades y la experiencia apropiados. El prestador del servicio debe:
El prestador del servicio debe definir e incluir el alcance del SGS en el plan para la gestión del
servicio. El alcance debe estar definido por el nombre de la unidad organizacional que presta
los servicios y por los servicios que se van a prestar.
El prestador del servicio también debe tomar en consideración otros factores que afectan a los
servicios que se van a prestar, incluyendo:
a) localización geográfica desde la cual el prestador del servicio presta los servicios;
b) el cliente y su localización;
NOTA ISOIIEC 20000-3 proporciona orientación sobre la definición del alcance y la aplicabilidad de esta parte de
la norma.
El prestador del servicio debe crear, implementar y mantener un plan para la gestión del
servicio. En la planificación se deben tomar en consideración la política de gestión del servicio,
los requisitos de servicio y los requisitos de esta parte de la norma. El plan para la gestión del
servicio debe contener o incluir referencia a los siguientes aspectos como mínimo:
a) Los objetivos de la gestión del servicio que el prestador del servicio debe lograr;
11
NORMA TÉCNICA COLOMBIANA NTC-ISO/IEC 20000-1 (Primera actualización)
f) Las autoridades y responsabilidades para los planes, los procesos de gestión del
servicio y los servicios;
h) El enfoque que se debe adoptar para trabajar con otras partes involucradas en el diseño
y la transición de procesos de servicios nuevos o modificados,
i) El enfoque que se debe adopt s interfaces entre los procesos de gestión del
servicio y su integración con tes del SGS;
k)
1)
n el plan para la
para procesos
actualizar.
4.5.3
a)
b) asignación de autori
d)
4.5.4.1 Generalidades
El prestador del servicio debe aplicar los métodos adecuados para monitorear y medir el SGS y
los servicios. Estos métodos deben incluir auditorías internas y revisiones por la dirección.
Los objetivos de todas las auditorías internas y las revisiones por la dirección deben estar
documentados. Las auditorías internas y las revisiones por la dirección deben demostrar la
12
NORMA TÉCNICA COLOMBIANA NTC-ISOIIEC 20000-1 (Primera actualización)
capacidad del SGS y los servicios para lograr los objetivos de la gestión del servicio y para
cumplir con los requisitos de servicio. Se deben identificar las no conformidades frente a los
requisitos de esta parte de la norma, los requisitos del SGS identificados por el prestador del
servicio o los requisitos de servicio.
Se deben registrar los resultados de las auditorías internas y las revisiones por la dirección,
incluyendo las no conformidades, los asuntos de interés y las acciones identificadas. Los
resultados y las acciones deben comunicarse a las partes interesadas.
El prestador del servicio debe realizar auditorías internas, a intervalos planificados, para
determinar si el SGS y los servicios:
b) cumplen los requisitos de servicio y los requisitos del SGS identificados por el prestador
del servicio;
El programa de auditoría debe estar planificado. Para ello se deben tener en cuenta el estado y
la importancia de los procesos y de las áreas que se van a auditar, así como los resultados de
auditorías previas. Se deben documentar los criterios, el alcance, la frecuencia y los métodos
de auditoría.
NOTA Véase la NTC-ISO 19011 para orientación sobre la auditoría de los sistemas de gestión.
La alta dirección debe revisar el SGS y los servicios a intervalos planificados para asegurar su
eficacia e idoneidad continuas. Esta revisión debe incluir la evaluación de las oportunidades de
mejora y la necesidad de efectuar cambios en el SGS, incluyendo la política y los objetivos
para la gestión del servicio.
Los elementos de entrada para las revisiones por la dirección deben incluir, por lo menos,
información sobre:
13
NORMA TÉCNICA COLOMBIANA NTC-ISO/IEC 20000-1 (Primera actualización)
e) riesgos;
i)
j) oportunidades para I
4.5.5
política debe
Las oportunidades para la mejora se deben priorizar. El prestador del servicio debe utilizar los
criterios de evaluación establecidos en la política sobre la mejora continua, cuando se toman
decisiones relacionadas con las oportunidades para la mejora.
El prestador del servicio debe gestionar actividades de mejora, que incluyan, por lo menos:
14
NORMA TÉCNICA COLOMBIANA NTC-ISO/IEC 20000-1 (Primera actualización)
a) establecer los objetivos para las mejoras en uno o más de los siguientes aspectos:
calidad, valor, capacidad, costo, productividad, utilización de recursos y reducción de
riesgos;
e) revisar las políticas, los planes, procesos y procedimientos de la gestión del servicio,
cuando sea necesario;
5.1 GENERALIDADES
El prestador del servicio debe utilizar este proceso para todos los servicios nuevos y los
cambios en los servicios que tengan potencial de tener un impacto mayor en los servicios o el
cliente. Los cambios que se encuentran en el alcance de la sección 5 deben estar
determinados por la política de la gestión del cambio acordada como parte del proceso de
gestión del cambio.
El prestador del servicio debe revisar los elementos de salida derivados de las actividades de
planificación y diseño para servicios nuevos o modificados frente a los requisitos de servicio
acordados y los requisitos pertinentes que se indican en las secciones 5.2 y 5.3. Con base en
la revisión, el prestador del servicio debe aceptar o rechazar las salidas. También debe
emprender las acciones necesarias para asegurar que el desarrollo y la transición de los
servicios nuevos o modificados se pueden realizar eficazmente, utilizando los elementos de
salida aceptados.
El prestador del servicio debe identificar los requisitos de servicio para los servicios nuevos o
los servicios modificados. Los servicios nuevos o modificados se deben planificar para que
cumplan con los requisitos de servicio. La planificación de servicios nuevos o modificados se
debe acordar con el cliente y las partes interesadas.
Como elemento de entrada para la planificación, el prestador del servicio debe tomar en
consideración el impacto potencial de la prestación de servicios nuevos o modificados en
términos financieros, organizacionales y técnicos. El prestador del servicio también debe tener
en cuenta el impacto potencial de los servicios nuevos o modificados en el SGS.
15
NORMA TÉCNICA COLOMBIANA NTC-ISO/IEC 20000-1 (Primera actualización)
La planificación de los servicios nuevos o modificados debe contener o incluir una referencia a
los siguientes aspectos, como mínimo:
b) las actividades que van a realizar el prestador del servicio y otras partes, incluyendo
actividades a través de las interfaces desde el prestador del servicio hasta las otras
partes,
f) la identificación, eval
g) las dependencias de ot
h)
i)
j) o modificados,
b) actividades que el prestador del servicio, el cliente y otras partes van a realizar para la
prestación de servicios nuevos o modificados;
e) requisitos de recursos humanos nuevos o modificados, que incluyan los requisitos para
educación, entrenamiento, habilidades y experiencia adecuados;
16
NORMA TÉCNICA COLOMBIANA NTC-ISOIIEC 20000-1 (Primera actualización)
El prestador de servicios debe asegurar que el diseño permite que los servicios nuevos o
modificados cumplan con los requisitos de servicio.
NOTA Para mayor información acerca del diseño, consulte los procesos de diseño Y desarrollo en la NTC-ISO 9001:2008,
sección 7.3, o el proceso de diseño arquitectónico en ISO/ lEC 15288:2008, sección 6.4.3.
Los servicios nuevos o modificados se deben someter a prueba para verificar que cumplen con
los requisitos de servicio y el diseño documentado. Los servicios nuevos o modificados se
deben verificar frente a los criterios de aceptación del servicio pactados anticipadamente por el
prestador del servicio y las partes interesadas. Si no se satisfacen los criterios de aceptación
del servicio, el prestador del servicio y las partes interesadas deben tomar una decisión sobre
las acciones necesarias y su implementación.
El prestador del servicio debe acordar con el cliente los servicios que se van a prestar.
El prestador del servicio debe acordar un catálogo de servicios con el cliente. El catálogo de
servicios debe incluir las dependencias entre los servicios y los componentes del servicio.
Para cada servicio que se presta, se debe acordar uno o más ANS con el cliente. Cuando se
crean los ANS, el prestador del servicio debe tener en cuenta los requisitos de servicio. Los
ANS deben incluir los objetivos del servicio, las características de la carga de trabajo y las
excepciones que se han acordado.
17
NORMA TÉCNICA COLOMBIANA NTC-ISO/IEC 20000-1 (Primera actualización)
El prestador del servicio debe revisar los servicios y los ANS con el cliente a intervalos
planificados.
Los cambios en los requisitos de servicio documentados, los catálogos de servicios, los ANS y
otros acuerdos documentados deben estar controlados por el proceso de gestión del cambio.
El catálogo de servicios debe mantenerse después de cambios en los servicios y los ANS para
asegurar que continúan estando alineados.
El prestador del servicio debe monitorear las tendencias y el desempeño frente a los objetivos
del servicio a intervalos planificados. Los resultados se deben registrar y revisar para identificar
las causas de las no conformidades y las oportunidades para la mejora.
Para los componentes del servicio su por un grupo interno o el cliente, el prestador
del servicio debe desarrollar, acord tener un acuerdo documentado para definir
las actividades y las interfaces en prestador del servicio debe monitorear el
desempeño del grupo interno to a los objetivos acordados para el
servicio y otros compromis ificados. Los resultados se deben
registrar y revisar con el de las no conformidades y las
oportunidades para la mejora.
6.2
a)
e) información de tendencias;
f) mediciones de la satisfacción del cliente, las quejas del servicio y los resultados del
análisis de las mediciones de la satisfacción y los reclamos.
El prestador del servicio debe tomar decisiones y emprender acciones con base en los
hallazgos de los informes del servicio. Las acciones acordadas se deben comunicar a las
partes interesadas.
18
NORMA TÉCNICA COLOMBIANA NTC-ISO/IEC 20000-1 (Primera actualización)
El prestador del servicio debe evaluar y documentar los riesgos para la continuidad y la
disponibilidad de los servicios. El prestador del servicio debe identificar y acordar con el cliente
y las partes interesadas los requisitos para la continuidad y disponibilidad del servicio. Los
requisitos acordados deben considerar, según sea aplicable, los planes de negocios, los
requisitos de servicio, los ANS y los riesgos
Los requisitos pactados para la continuidad y disponibilidad del servicio deben incluir, por lo
menos, los siguientes:
El prestador del servicio debe crear, implementar y mantener planes de continuidad del servicio
y planes de disponibilidad. Los cambios en estos planes deben estar controlados por el
proceso de gestión del cambio.
a) los procedimientos que se van a implementar en el evento de una pérdida mayor del
servicio, o referencia a ellos;
Los planes de continuidad del servicio, las listas de contactos y la base de datos de gestión de
la configuración deben estar disponibles cuando no sea posible el acceso normal a los lugares
de servicio.
Los planes de disponibilidad deben incluir por lo menos los requisitos y los objetivos de la
disponibilidad.
El prestador del servicio debe evaluar el impacto de las solicitudes de cambio sobre los planes
de continuidad del servicio y sobre los planes de disponibilidad.
NOTA Los planes de continuidad y de disponibilidad del servicio se pueden combinar en un documento.
19
NORMA TÉCNICA COLOMBIANA NTC-ISOIIEC 20000-1 (Primera actualización)
Los planes de continuidad del servicio se deben someter a prueba frente a los requisitos de la
continuidad del servicio. Los planes de disponibilidad se deben someter a prueba frente a los
requisitos de disponibilidad. Los planes de continuidad y de disponibilidad del servicio se deben
volver a probar después de cambios mayores en el entorno de servicio en el cual opera el
prestador del servicio.
Los resultados de las pruebas se deben registrar. Se deben realizar revisiones después de
cada prueba y después de que se ha invocado el plan de continuidad del servicio. Cuando se
encuentran deficiencias, el prestador del servicio debe emprender las acciones necesarias e
informar sobre las acciones tomadas.
1) rest
compartidos,
7)
c)
El prestador del servicio debe monitorear e informar los costos frente al presupuesto, revisar las
proyecciones financieras y administrar los costos.
Se debe suministrar información al proceso de gestión del cambio para soportar el costeo de
las solicitudes de cambio.
NOTA Muchos prestadores de servicios cobran por sus servicios. El alcance del presupuesto y la contabilidad de
los procesos de servicios excluyen el cobro.
20
NORMA TÉCNICA COLOMBIANA NTC-ISOIIEC 20000-1 (Primera actualización)
El prestador del servicio debe identificar y acordar los requisitos de capacidad y desempeño
con el cliente y las partes interesadas.
El prestador del servicio debe crear, implementar y mantener un plan de capacidad que tome
en consideración los recursos humanos, técnicos, de información y financieros. Los cambios en
el plan de la capacidad deben estar controlados por el proceso de gestión del cambio.
El prestador del servicio debe monitorear el uso de la capacidad, analizar los datos de
capacidad y afinar el desempeño. El prestador del servicio debe suministrar capacidad
suficiente para cumplir con los requisitos de desempeño y capacidad acordados.
e) definir el enfoque que se ha de tomar para la gestión de los riesgos para la seguridad de
la información y los criterios para la aceptación de riesgos;
d). asegurar que las valoraciones de riesgo para la seguridad de la información se realicen
a intervalos planificados;
f) asegurar que los resultados de la auditoría se revisen para identificar las oportunidades
para la mejora.
21
NORMA TÉCNICA COLOMBIANA NTC-ISO/IEC 20000-1 (Primera actualización)
NOTA Para mayor información consultar la NTC-ISO 31000 Gestión del riesgo. Principios y directrices y la norma
NTC-ISOIIEC 27005 Tecnología de la información. Técnicas de seguridad. Gestión del riesgo en la seguridad de la
información.
El prestador del servicio debe implementar y operar controles físicos, administrativos y técnicos
para la seguridad de la información con el fin de:
e) ridad de la información;
a)
b)
NOTA La familia de normas NTC-ISOIIEC 27000 especifica los requisitos y proporciona orientación para
soportar la implementación y la operación de un sistema de gestión de la seguridad de la información.
7. PROCESOS DE RELACiÓN
El prestador del servicio debe identificar y documentar los clientes, los usuarios y las partes
interesadas de los servicios.
22
NORMA TÉCNICA COLOMBIANA NTC-ISO/IEC 20000-1 (Primera actualización)
Para cada cliente, el prestador del servicio debe designar a un individuo como responsable de
gestionar la relación con el cliente y la satisfacción de éste.
El prestador del servicio debe establecer un mecanismo de comunicación con el cliente. Este
mecanismo debe promover el entendimiento del entorno del negocio en el cual operan los
servicios y los requisitos para los servicios nuevos o modificados. Esta información debe
permitirle al prestador del servicio responder a estos requisitos.
El prestador del servicio debe revisar con el cliente el desempeño de los servicios a intervalos
planificados.
Los cambios en los requisitos documentados del servicio deben estar controlados por el
proceso de gestión del cambio. Los cambios en los ANS se deben coordinar con el proceso de
gestión de nivel del servicio.
La definición de reclamo del servrcio debe ser acordada con el cliente. Debe existir un
procedimiento documentado para gestionar los reclamos del servicio del cliente. El prestador
del servicio debe registrar, investigar, tratar, reportar y cerrar los reclamos del servicio. Cuando
un reclamo del servicio no se resuelve a través de los canales normales, se deben suministrar
al cliente los mecanismos para su escalamiento.
El prestador del servicio debe medir la satisfacción del cliente a intervalos planificados, con
base en una muestra representativa de los clientes y usuarios de los servicios. Los resultados
se deben analizar y revisar para identificar las oportunidades para la mejora.
El prestador del servicio puede utilizar proveedores externos para implementar y operar
algunas partes de los procesos de gestión del servicio. En la Figura 3 se ilustra un ejemplo de
las relaciones de la cadena de suministro.
Proveedor externo 1
Proveedor externo
Proveedor externo líder
subcontratado
Para cada proveedor externo, el prestador del servicio debe designar a un individuo como
responsable de gestionar la relación, el contrato y el desempeño del proveedor externo.
a) el alcance de los servicios que van a ser prestados por el proveedor externo;
,23
NORMA TÉCNICA COLOMBIANA NTC-ISO/IEC 20000-1 (Primera actualización)
e) interfaces entre los procesos de la gestión del servicio operados por el proveedor
externo y otras partes;
k)
1)
s rel proveedores
os estén documen os. servicio debe
s estén gestionando ores externos
ligaciones contractual
NOTA 1 El alcance del proceso de gestión de proveedores excluye la selección de los proveedores externos y la
adquisición de servicios.
NOTA 2 La norma técnica ISO/lEC 20000-3 presenta ejemplos adicionales de las relaciones de la cadena de
suministro.
8. PROCESOS DE SOLUCiÓN
Debe existir un procedimiento documentado para todos los incidentes con el fin de definir:
, 24
NORMA TÉCNICA COLOMBIANA NTC-ISOIIEC 20000-1 (Primera actualización)
a) registro;
b) asignación de prioridad;
c) clasificación;
d) actualización de registros;
e) escalamiento;
f) solución;
g) cierre.
Cuando se priorizan los incidentes y las solicitudes de servicio, el prestador del servicio debe
tomar en consideración el impacto y la urgencia del incidente o la solicitud.
El prestador del servicio debe asegurar que el personal involucrado en el proceso de gestión de
incidentes y solicitudes de servicio puede tener acceso y utilizar la información pertinente. La
información pertinente debe incluir los procedimientos de gestión de las solicitudes de servicio,
los errores conocidos, la solución de problemas y la base de datos de gestión de la
configuración. El proceso de gestión de incidentes y solicitudes de servicio debe utilizar la
información sobre las versiones exitosas o fallidas y las fechas de las versiones futuras,
obtenida del proceso de gestión de versiones e implementaciones.
El prestador del servicio debe mantener informado al cliente acerca del progreso de los
incidentes que reportó o de las solicitudes de servicio. Si los objetivos del servicio no se
pueden satisfacer, el prestador debe informar al cliente y a las partes interesadas y realizar el
escalamiento según el procedimiento.
El prestador del servicio debe documentar y acordar con el cliente la definición de incidente
mayor. Los incidentes mayores se deben clasificar y gestionar de acuerdo con un
procedimiento documentado. La alta dirección debe estar informada de los incidentes mayores.
La alta dirección debe asegurar que se designe a un individuo responsable de la gestión de los
incidentes mayores. Después de restaurar el servicio acordado, los incidentes mayores deben
ser revisados con el fin de identificar las oportunidades para la mejora.
Debe existir un procedimiento documentado para identificar los problemas y minimizar o evitar
el impacto de los incidentes y los problemas. Este procedimiento debe definir:
a) identificación;
b) registro;
e) asignación de prioridad;
d) clasificación;
25
NORMA TÉCNICA COLOMBIANA NTC-ISO/IEC 20000-1 (Primera actualización)
e) actualización de registros;
f) escalamiento;
g) solución;
h) cierre.
El prestador del servicio debe analizar los datos y las tendencias de los incidentes y los
problemas para identificar las causas raíz y su acción preventiva potencial.
9.
9.1
a)
d) estado;
e) versión;
f) ubicación;
26
NORMA TÉCNICA COLOMBIANA NTC-ISOIIEC 20000-1 (Primera actualización)
El prestador del servicio debe auditar los registros almacenados en la base de datos de gestión
de la configuración, a intervalos planificados: Cuando se encuentran diferencias, el prestador
del servicio debe tomar las acciones necesarias y reportar sobre las acciones tomadas.
Los cambios en los elementos de configuración se deben poder rastrear y auditar para
asegurar la integridad de tales elementos y de la base de datos de gestión de la configuración.
Debe existir una interfaz definida entre el proceso de gestión de la configuración y el proceso
financiero de gestión de activos.
NOTA El alcance del proceso de gestión de la configuración excluye la gestión financiera de los activos.
a) los elementos de configuración que están bajo el control de la gestión del cambio;
b) los criterios para determinar los cambios con el potencial de causar un impacto mayor
en los servicios o en el cliente.
Debe existir un procedimiento documentado para registrar, clasificar, evaluar y aprobar las
solicitudes de cambio.
El prestador del servicio debe documentar y acordar con el cliente la definición de cambio de
emergencia. Debe existir un procedimiento documentado para la gestión de estos cambios.
Todos los cambios en un servicio o un componente del servicio deben formularse mediante una
solicitud de cambio. Las solicitudes de cambio deben tener un alcance definido.
27
NORMA TÉCNICA COLOMBIANA NTC-ISO/IEC 20000-1 (Primera actualización)
Los criterios de aceptación de las versiones deben acordarse con el cliente y las partes
interesadas. Las versiones deben verificarse frente a los criterios de aceptación acordados y se
deben aprobar antes de la implementación. Si no se satisfacen los criterios de aceptación, el
prestador del servicio, junto con las partes interesadas, deben tomar decisiones sobre las
acciones necesarias y la implementación.
Deben planificarse las actividades requeridas para revertir o remediar una implementación
fallida de una versión y, en la medida de lo posible, deben probarse. La implementación de una
versión se debe revertir o remediar si no se tiene éxito. Las versiones fallidas se deben
investigar y las acciones que se han de emprender se deben pactar.
El éxito o el fracaso de las versiones debe monitorearse y analizarse. Las mediciones deben
incluir los incidentes relacionados con la versión en el período inmediatamente después de la
implementación de tal versión. El análisis debe incluir la evaluación del impacto de la versión
en el cliente. Los resultados y las conclusiones que se derivan del análisis se deben registrar y
revisar con el fin de identificar las oportunidades para la mejora.
La información sobre el éxito o fracaso de las versiones y las fechas para futuras versiones
debe suministrarse a los procesos de gestión del cambio y de gestión de incidentes y
solicitudes de servicio.
Debe suministrarse información al proceso de gestión del cambio con el fin de dar soporte a la
evaluación del impacto de las solicitudes de cambio en versiones y planes para la
implementación.
29
NORMA TÉCNICA COLOMBIANA NTC-ISO/IEC 20000-1 (Primera actualización)
BIBLIOGRAFíA
[5]
[6]
[7]
[8]
[9] anagement.
[10] cesses.
[12]
[19] ISO/lEC 27005, Information Technology. Security Techniques. Information Security Risk
Management.
30
NORMA TÉCNICA COLOMBIANA NTC-ISO/IEC 20000-1 (Primera actualización)
DOCUMENTO DE REFERENCIA
31