Estndar Internacional

ISO/IEC 20000-1
Primera Edicin 2005-12-15

Tecnologa de la Informacin Gestin de Servicio Parte 1: Especificacin

Nmero de Referencia ISO IEC 200001:2005(E)

ndice

Pg.

ISO IEC 20000-1:2005 (E)

Prefacio Introduccin . 1 Alcance 2 Trminos y definiciones 3 Requerimientos para un sistema de gestin . 3.1 Responsabilidad de Gestin 3.2 Requerimientos de documentacin 3.3 Capacidad, conocimiento, capacitacin 4 Planeacin e implementacin de la gestin de servicio . 4.1 Planear la gestin de servicio (Planear) 4.2 Implementar la gestin de servicio y proporcionar los servicios (Hacer) . 4.3 Monitorear, medir y revisar (Chequear) . 4.4 Mejoramiento continuo (Actuar) .. 4.4.1 Poltica . 4.4.2 Gestin de mejoramiento ..... 4.4.3 Actividades . 5 Planeacin e implementacin de servicios nuevos o cambiados . 6 Proceso de entrega del servicio .. 6.1 Gestin del nivel de servicio 6.2 Informe del servicio ... 6.3 Continuidad del servicio y gestin de disponibilidad ... 6.4 Presupuesto y contabilidad de los servicios TI . 6.5 Gestin de capacidad ... 6.6 Gestin de seguridad de la informacin 7 Procesos de relacin .... 7.1 General 7.2 Gestin de la relacin comercial . 7.3 Gestin del proveedor .. 8 Procesos de solucin 8.1 Antecedentes . 8.2 Gestin de incidentes ... 8.3 Gestin de problemas .. 9 Procesos de control .. 9.1 Gestin de configuracin . 9.2 Gestin del cambio 10 Proceso de liberacin ... 10.1 Proceso de gestin de liberacin ... Bibliografa .. iii iv 1 2 4 4 4 4 5 5 6 6 7 7 7 7 7 8 8 9 9 10 10 11 11 11 11 12 13 13 13 14 14 14 15 16 16 17

ii

ISO IEC 20000-1:2005 (E)

Prefacio
ISO (la Organizacin Internacional de Estandarizacin) e IEC (la Comisin Electrotcnica Internacional) forman el sistema especializado para la estandarizacin mundial. Los organismos internacionales miembros de ISO e IEC participan en el desarrollo de Estndares Internacionales a travs de los comits establecidos por la organizacin respectiva para lidiar con reas particulares de la actividad tcnica. Los comits tcnicos de ISO e IEC colaboran en campos de inters mutuo. Otras organizaciones internacionales, gubernamentales y no-gubernamentales, junto con ISO e IEC, tambin participan en el trabajo. En el campo de la tecnologa de la informacin. ISO e IEC han establecido un comit tcnico conjunto, ISO/IEC JTC 1. Los Estndares Internacionales son diseados en concordancia con las reglas dadas en las Directivas ISO/IEC, Parte 2. La tarea principal del comit tcnico conjunto es preparar Estndares Internacionales. Los anteproyectos de los Estndares Internacionales adoptados por el comit tcnico son presentados a los organismos nacionales para su votacin. La publicacin de un Estndar Internacional requiere de la aprobacin de por lo menos 75% de los organismos nacionales que emiten un voto. Se presta atencin a la posibilidad que algunos de los elementos de este documento puedan estar sujetos a derechos de patente. ISO e IEC no deben ser responsables de identificar todos o alguno de dichos de derechos de patente. ISO/IEC 20000-1 fue preparado por el BSI (como el BS 15000-1) y fue adoptado mediante un procedimiento acelerado por el Comit Tcnico Conjunto ISO/OEC JTC 1, Tecnologa de la informacin, en paralelo con la aprobacin de los organismos nacionales de ISO y IEC. ISO/IEC 20000 consiste de las siguientes partes, bajo el ttulo general de Tecnologa de la Informacin Gestin de Servicio: Parte 1: Especificaciones Parte 2: Cdigo de Prctica

iii

ISO IEC 20000-1:2005 (E)

Introduccin
Esta parte del ISO-IEC 20000 promueve la adopcin de un proceso integrado para la entrega efectiva de servicios gestionados para satisfacer los requerimientos comerciales y del cliente. Para que una organizacin funcione de manera efectiva tiene que identificar y manejar numerosas actividades vinculadas. Una actividad que utiliza recursos y es manejada de manera que permita la transformacin de insumos en resultados, puede ser considerada un proceso. Con frecuencia el resultado de un proceso forma el insumo de otro. La integracin y la implementacin coordinada de los procesos de gestin de servicios proporcionan un control constante, mayor eficiencia y oportunidades para el mejoramiento continuo. Realizar las actividades y los procesos requiere que las personas en el mostrador de servicios, soporte del servicio, entrega del servicio y los equipos de operaciones estn bien organizadas y coordinadas. Tambin se requieren las herramientas apropiadas para asegurar que los procesos sean efectivos y eficientes. Se asume que la ejecucin de las provisiones de esta parte del ISO/IEC 20000 se confa a un personal apropiadamente calificado y competente. Un Estndar Internacional no est diseado para incluir todas las provisiones necesarias de un contrato. Los usuarios de Estndares Internacionales son los responsables de su correcta aplicacin. El cumplimiento de este Estndar Internacional por s solo no confiere inmunidad de otras obligaciones legales.

iv

ISO IEC 20000-1:2005 (E)

Estndar Internacional

ISO/IEC 20000-1:2005 (E)

Tecnologa de la informacin Gestin de Servicio

Parte 1: Especificacin

1 Alcance
Esta parte del ISO/IEC 20000 define los requerimientos para un proveedor de servicio en la entrega de servicios gestionados de una calidad aceptable para sus clientes. Puede ser utilizado por: a) negocios que se preparan a brindar sus servicios; b) negocios que requieren un enfoque consistente para todos los proveedores de servicio en una cadena de abastecimiento; c) por proveedores de servicios para realizar un benchmark de su gestin de servicio TI; d) como la base para una evaluacin independiente; e) una organizacin que necesita demostrar la capacidad de proveer servicios que satisfagan los requerimientos del cliente; y f) una organizacin que busca mejorar su servicio a travs de una aplicacin efectiva de los procesos para monitorear y mejorar la calidad del servicio.

Figura 1 Procesos de la gestin de servicio

ISO IEC 20000-1:2005 (E)

Esta parte del ISO/IEC especifica un nmero de procesos de gestin de servicio estrechamente relacionados, como se muestra en la Figura 1. Estas relaciones entre los procesos dependen de la aplicacin dentro de una organizacin y generalmente son demasiado complejos para modelar y por lo tanto, en el diagrama no se muestran los procesos de relaciones. La lista de objetivos y controles contenidos en esta parte del ISO/IEC 20000 no son exhaustivos, y una organizacin puede considerar que son necesarios objetivos y controles adicionales para satisfacer necesidades comerciales particulares. La naturaleza de la relacin comercial entre el proveedor del servicio y el negocio determinarn cmo se implementan los requerimientos en esta parte del ISO/IEC 20000 para cumplir los objetivos generales. Como un estndar basado en el proceso, esta parte del ISO/IEC 20000 no est diseado como evaluacin del producto. Sin embargo, las organizaciones que desarrollan herramientas, productos y sistemas de gestin de servicio pueden utilizar tanto esta parte del ISO/IEC 20000 como el cdigo de prctica para ayudarlos a desarrollar herramientas, productos y sistemas que respalden una gestin de servicio con las mejores prcticas.

2 Trminos y definiciones
Para propsitos de este documento, se aplican los siguientes trminos y definiciones.

2.1 disponibilidad
disponibilidad de un componente o servicio para realizar su funcin requerida en un instante establecido o durante un perodo de tiempo establecido NOTA La disponibilidad se expresa usualmente como el ratio de tiempo en el cual el servicio est disponible para ser utilizados por el negocio sobre las horas de servicio acordadas.

2.2 Lnea base

Imagen del estado de los tems de una configuracin individual o de un servicio en un punto en el tiempo (ver 2.4)

2.3 Registro de cambio

Registro conteniendo detalles de los tems de configuracin (ver 2.4) afectados y cmo son afectados por un cambio autorizado

2.4 tem de configuracin (IC)

Componente de una infraestructura o un tem que est, o que estar, bajo el control de la gestin de configuracin NOTA Los tems de configuracin pueden variar mucho en complejidad, tamao y tipo; yendo desde todo un sistema incluyendo todo el hardware, software y documentacin, hasta un mdulo nico o un componente de hardware menor.

2.5 Base de datos de la gestin de configuracin (CMDB) 2

ISO IEC 20000-1:2005 (E)

Base de datos conteniendo todos los detalles relevantes de cada tem de configuracin y los detalles de las relaciones importantes entre ellos

2.6 Documento
Informacin y su medio de soporte NOTA 1 En este estndar, los registros (ver 2.9) se diferencian de los documentos por el hecho que funcionan como evidencia de actividades, en lugar de evidencia de intenciones. NOTA 2 Los ejemplos de documentos incluyen enunciados de polticas, planes, procedimientos, acuerdos y contrato de nivel de servicio.

2.7 Incidente
Cualquier evento que no es parte de una operacin estndar de un servicio y lo que causa o puede causar una interrupcin, o una reduccin, en la calidad de ese servicio NOTA Esto puede incluir requerir preguntas como las llamadas Cmo hago?

2.8 Problema
Causa subyacente desconocida de uno o ms incidentes

2.9 Registro
Documento que enuncia los resultados logrados o proporciona evidencia de las actividades realizadas NOTA 1 En este estndar, los registros se diferencian de los documentos por el hecho que funcionan como evidencia de actividades, en lugar de evidencia de intenciones NOTA 2 Los ejemplos de registros incluyen reportes de auditora, solicitudes de cambio, reportes de incidentes, registros de capacitacin individual y las facturas enviadas a los clientes.

2.10 liberacin
coleccin de tems de configuracin nuevos y/o cambiados, los cuales son probados e introducidos juntos en el ambiente en-vivo

2.11 Solicitud de cambio

Formato o pantalla utilizados para registrar los detalles de una solicitud de cambio de cualquier tem de configuracin dentro de un servicio o infraestructura

2.12 Mostrador de servicio

Cliente que enfrenta al grupo de soporte que realiza una alta proporcin de todo el trabajo de soporte

2.13 Acuerdo de nivel de servicio (ANS) 3

ISO IEC 20000-1:2005 (E)

Escrito entre un proveedor de servicio y un cliente que documenta los servicios y los niveles de servicio acordados

2.14 Gestin de servicio

Gestin de los servicios para satisfacer los requerimientos comerciales

2.15 Proveedor de servicio

La organizacin que intenta obtener el ISO/IEC 200000

3 Requerimientos para un sistema de gestin

Objetivo: Proporcionar un sistema de gestin, incluyendo polticas y un marco referencial para permitir una gestin e implementacin efectiva de todos los servicios TI.

3.1 Responsabilidad de Gestin

A travs de liderazgo y acciones, la gerencia ejecutiva/alta gerencia debe proporcionar evidencia de su compromiso con el desarrollo, implementacin y mejoramiento de su capacidad de servicio dentro del contexto del los requerimientos comerciales de la organizacin y sus clientes. La gerencia debe: a) establecer la poltica, objetivos y planes de la gestin de servicio; b) comunicar la importancia de cumplir los objetivos de la gestin de servicio y la necesidad de mejoramiento continuo; c) asegurar que se determinen y satisfagan los requerimientos del cliente con el objetivo de mejorar la satisfaccin del cliente; d) designar un miembro de la gerencia responsable de la coordinacin y la gestin de todos los servicios; e) determinar y proporcionar recursos para planear, implementar, monitorear, revisar y mejorar la entrega y la gestin del servicio; por ejemplo: seleccionar el personal apropiado, manejar la rotacin del personal; y f) manejar los riesgos para la organizacin y los servicios de la gestin de servicio; y g) realizar revisiones de la gestin de servicio, a intervalos planeados, para asegurar la continua idoneidad, propiedad y efectividad.

3.2 Requerimientos de documentacin

Los proveedores de servicio deben proporcionar los documentos y registros que aseguren una efectiva planeacin, operacin y control de la gestin de servicio. Esto debe incluir: a) polticas y planes documentados de la gestin de servicio; b) acuerdos documentados del nivel de servicio c) procesos y procedimientos documentados requeridos por este estndar; y d) los registros requeridos por este estndar. Se deben establecer los procedimientos y responsabilidades para la creacin, revisin, aprobacin, mantenimiento, eliminacin y control de varios tipos de documentos y registros. NOTA: La documentacin puede estar en cualquier forma o tipo de medio.

ISO IEC 20000-1:2005 (E) 3.3 Capacidad, conocimiento y capacitacin

Se deben definir todos los roles y responsabilidades y deben mantenerse junto con las capacidades requeridas para ejecutarlos de manera efectiva. Las capacidades y la capacitacin del personal auxiliar se deben revisar y manejar para permitir que el personal realice su rol de manera efectiva. La alta gerencia debe asegurarse que los empleados conozcan la relevancia e importancia de sus actividades y cmo contribuyen al logro de los objetivos de la gestin del servicio.

4 Planeacin e implementacin de la gestin de servicio

NOTA: La metodologa conocida como Planear-Hacer-Chequear-Actuar (PDCA, por sus siglas en ingles) se puede aplicar a todos los procesos. PDCA puede ser descrita de la siguiente manera: a) Planear: establecer los objetivos y procesos necesarios para entregar los resultados en concordancia con los requerimientos del cliente y las polticas de la organizacin; b) Hacer: implementar los procesos; c) Chequear: Monitorear y medir los procesos y servicios en comparacin con las polticas, objetivos y requerimientos e informar los resultados; d) Actuar: realizar acciones para mejorar continuamente el desempeo del proceso.

Figura 2 Metodologa Planea-Hacer-Chequear-Actuar para los procesos de gestin de servicio

4.1 Planear la gestin de servicio (Planear)

Objetivo: Planear la implementacin y entrega de la gestin de servicios. Se debe planear la gestin de servicios. Como mnimo, los planes deben definir: a) el alcance de la gestin de servicio del proveedor del servicio; b) los objetivos y requerimientos que debe lograr la gestin de servicio; c) los procesos a ejecutarse;

ISO IEC 20000-1:2005 (E)

el marco referencial de los roles y responsabilidades de gestin, incluyendo al propietario senior responsable, propietario del proceso y gestin de proveedores; e) la interface entre los procesos de gestin de servicio y la manera en que se deben coordinar las actividades; f) el enfoque a tomarse para identificar, evaluar y manejar los problemas y riesgos para lograr los objetivos definidos; g) el enfoque para la interface de los proyectos que estn creando o modificando servicios; h) los recursos, facilidades y presupuestos necesarios para lograr los objetivos definidos; i) las herramientas apropiadas para apoyar los procesos; y j) cmo se manejar, auditar y mejorar la calidad del servicio. Debe existir una clara direccin gerencial y responsabilidades documentadas para revisar, autorizar, comunicar, implementar y mantener los planes. Cualquier plan de proceso especfico debe ser compatible con este plan de gestin de servicio. d)

4.2 Implementar la gestin de servicio y proporcionar los servicios (Hacer)

Objetivo: Implementar los objetivos y plan de la gestin de servicios. El proveedor del servicio debe implementar el plan de gestin de servicio para manejar y entregar los servicios, incluyendo: a) la asignacin de fondos y presupuestos, b) la asignacin de roles y responsabilidades, c) documentar y mantener las polticas, planes, procedimientos y definiciones para cada proceso o conjunto de procesos, d) identificar y gestionar los riesgos para el servicio, e) manejar equipos; por ejemplo: reclutar y desarrollar el personal apropiado y manejar la continuidad del personal, f) manejar medios y presupuesto, g) manejar los equipos incluyendo el mostrador de servicios y las operaciones, h) informar el avanza en comparacin con los planes, y i) coordinacin de la gestin del proceso de servicio.

4.3 Monitorear, medir y revisar (Chequear)

Objetivo: Monitorear, medir y revisar que se estn logrando el plan y los objetivos de gestin de servicio. El proveedor de servicio debe aplicar los mtodos adecuados para monitorear y, donde sea aplicable, medir los procesos de gestin de servicio. Estos mtodos deben demostrar la capacidad de los procesos para lograr los resultados planeados. La gerencia debe realizar revisiones a intervalos planeados para determinar si los requerimientos de gestin de servicio: a) estn de acuerdo al plan de gestin de servicio y los requerimientos de este estndar; y b) si se implementan y mantienen de manera efectiva. Se debe planear un programa de auditoria, tomando en consideracin el estado e importancia de los procesos y reas a ser auditados, as como los resultados de auditorias previas. En un procedimiento se debe definir el criterio, alcance, frecuencia y mtodos de

ISO IEC 20000-1:2005 (E)

auditoria. La seleccin de auditores y la ejecucin de auditorias deben asegurar la objetividad e imparcialidad del proceso de auditoria. Los auditores no deben auditar su propio trabajo. Deben registrar el objetivo de las revisiones, evaluaciones y auditorias de la gestin de servicio junto con los descubrimientos de dichas auditorias y revisiones y cualquier accin de solucin identificada. Se debe comunicar cualquier rea de no-cumplimiento importante a las partes relevantes.

4.4 Mejoramiento Continuo (Actuar)

Objetivo: Mejorar la efectividad y eficiencia de la entrega y la gestin del servicio.

4.4.1 Poltica
Debe existir una poltica publicada sobre el mejoramiento del servicio. Se debe solucionar cualquier no-cumplimiento del estndar o los planes de gestin del servicio. Se deben definir claramente los roles y responsabilidades de las actividades de mejoramiento del servicio.

4.4.2 Gestin de mejoramientos

Se deben evaluar, registrar, priorizar y autorizar todas las mejoras de servicio sugeridas. Se debe utilizar un plan para controlar la actividad. El proveedor del servicio debe contar con un proceso para identificar, medir, informar y manejar las actividades de mejoramiento sobre una base constante. Este debe incluir: a) mejoramientos a un proceso individual que pueda ser implementado por el propietario del proceso con los recursos de personal usuales; por ejemplo, realizando acciones correctivas y preventivas individuales; y b) mejoramientos en toda la organizacin o en ms de un proceso.

4.4.3 Actividades
El proveedor del servicio debe realizar actividades para: a) recolectar y analizar la data para delinear y realizar un benchmark de la capacidad del proveedor del servicio para manejar y entregar servicio y procesos de gestin de servicio; b) identificar, planear e implementar mejoramientos; c) consultar con las partes involucradas; d) establecer objetivos para mejoramientos en calidad, costos y utilizacin de recursos; e) considerar insumos relevantes sobre mejoramientos de todos los procesos de gestin de servicio; f) medir, informar y comunicar los mejoramientos del servicio; g) revisar las polticas, procesos, procedimientos y planes de gestin de servicio cuando sea necesario; y h) asegurar que todas las acciones aprobadas sean entregadas y que logren los objetivos deseados.

5 Planeacin e implementacin de servicios nuevos o cambiados

Objetivo: Asegurar que los servicio nuevos y cambios en los servicios sean entregables y manejables al costo y la calidad de servicio acordados. Las propuestas para servicios nuevos y cambiados deben considerar el costo y el impacto organizacional, tcnico y comercial que podra resultar de la entrega y gestin del servicio.

ISO IEC 20000-1:2005 (E)

Se debe planear y aprobar la implementacin de los servicios nuevos o cambiados, incluyendo la terminacin del servicio, a travs de una gestin de cambio formal. La planeacin e implementacin deben incluir el financiamiento y los recursos adecuados para realizar los cambios necesarios a la entrega y gestin del servicio. Los planes deben incluir: a) los roles y responsabilidades para la implementacin, operacin y mantenimiento del servicio nuevo o cambiado incluyendo actividades a ser realizadas por los clientes y proveedores; b) cambios al marco referencial de la gestin de servicio y servicios existentes; c) comunicacin a las partes relevantes; d) contratos y acuerdos nuevos o cambiados para alinearse con los cambios en las necesidades comerciales; e) requerimientos de mano de obra y reclutamiento; f) requerimientos de capacidad y capacitacin; por ejemplo: usuarios, soporte tcnico; g) procesos, mediciones, mtodos y herramientas a utilizarse en conexin con el servicio nuevo o cambiado; por ejemplo: gestin de capacidad, gestin financiera; h) presupuestos y escalas de tiempo; i) criterios de aceptacin del servicio; y j) los resultados esperados de la operacin del servicio nuevo expresados en trminos mensurables. Los servicios nuevos o cambiados deben ser aceptados por el proveedor del servicio antes de ser implementados en el escenario en-vivo. El proveedor del servicio debe informar los resultados logrados por el servicio nuevo o cambiado en comparacin con aquellos planeados despus de su implementacin. A lo largo del proceso de gestin de cambio se debe realizar una revisin post-implementacin comparando los resultados reales con aquellos planeados.

6 Proceso de entrega del servicio

6.1 Gestin del nivel de servicio
Objetivo: Definir, acordar, registrar y manejar los niveles de servicio. Las partes interesadas deben acordar y registrar el rango total de los servicios a ser provistos junto con los correspondientes niveles de servicio deseados y las caractersticas de la carga laboral. Cada servicio provisto debe ser definido, acordado y documentado en uno o ms acuerdos de nivel de servicio (SLA, por sus siglas en ingls). Las partes relevantes deben acordar y registrar los SLAs, junto con los acuerdos de servicio de respaldo, contratos de proveedores y los procedimientos correspondientes. Los SLAs deben estar bajo el control del proceso de gestin del cambio. Las partes deben realizar revisiones de mantenimiento regulares a los SLAs para asegurar que estn actualizados y se mantengan efectivos a lo largo del tiempo. Los niveles de servicio deben ser monitoreados e informados en comparacin con los objetivos, mostrando tanto la informacin actual como las tendencias. Se deben informar y

ISO IEC 20000-1:2005 (E)

revisar las razones para el no-cumplimiento. Se deben registrar las acciones de mejoramiento identificadas durante este proceso y proporcionar el insumo para un plan de mejoramiento del servicio.

6.2 Informe del servicio

Objetivo: Elaborar informes acordados, oportunos, confiables y exactos para una toma de decisiones informada y una comunicacin efectiva. Debe existir una descripcin clara de cada informe de servicio incluyendo su identidad, propsito, audiencia y detalles de la fuente de la data. Se deben elaborar informes de servicio que cumplan con las necesidades identificadas y los requerimientos del cliente. El informe del servicio debe incluir: a) desempeo comparado con los niveles de servicio deseados; b) no-cumplimiento y problemas; por ejemplo: comparado con el SLA, problemas de seguridad, c) caractersticas de la carga laboral; por ejemplo: volumen, utilizacin de recursos; d) informe de desempeo despus de eventos importantes; por ejemplo: incidentes graves y cambios importantes, e) informacin de tendencias, f) anlisis de satisfaccin. Las decisiones y acciones correctivas de la gerencia deben tomar en consideracin los descubrimientos en los informes de servicio y se deben comunicar a las partes relevantes.

6.3 Continuidad del servicio y gestin de disponibilidad

Objetivo: Asegurar que se cumplan la continuidad de servicio acordada y los compromisos de disponibilidad con los clientes en toda circunstancia. Se deben identificar los requerimientos de disponibilidad y requerimiento del servicio sobre la base de los planes comerciales, SLAs y evaluaciones de riesgo. Los requerimientos deben incluir derechos de acceso y tiempos de respuesta as como la disponibilidad de principio a fin de los componentes del sistema. Se deben elaborar y revisar los planes de disponibilidad y continuidad del servicio por lo menos una vez al ao para asegurar que se cumplan los requerimientos segn lo acordado en todas las circunstancias desde lo normal hasta una prdida de servicio importante. Se debe dar mantenimiento a estos planes para asegurar que reflejen los cambios acordados requeridos por el negocio. Los planes de disponibilidad y continuidad del servicio deben ser re-probados durante cada cambio importante al escenario comercial. El proceso de gestin de cambio debe evaluar el impacto de cualquier cambio en a disponibilidad y el plan de continuidad del servicio. Se debe medir y registrar la disponibilidad. Se debe investigar la no-disponibilidad noplaneada y se deben tomar las acciones apropiadas. NOTA: Cuando sea posible, se deben predecir los problemas potenciales y se debe tomar una accin correctiva.

ISO IEC 20000-1:2005 (E)

Los planes de continuidad del servicio, listas de contacto y la base de datos de la gestin de configuracin deben estar disponibles cuando se evite el acceso normal a la oficina. El plan de continuidad del servicio debe incluir el retorno al trabajo normal. El plan de continuidad del servicio debe ser probado en concordancia con las necesidades comerciales. Las pruebas de continuidad deben ser registradas y las pruebas fallidas deben ser formuladas dentro de los planes de accin.

6.4 Presupuesto y contabilidad de los servicios TI

Objetivo: Elaborar el presupuesto y cuentas para el costo de la provisin del servicio. NOTA: Esta seccin abarca los presupuestos y contabilidad para los servicios TI. En la prctica, muchos proveedores de servicio cobraran por estos servicios. Sin embargo, dado el cobro es una actividad opcional, no esta cubierta por el estndar. Se recomienda a los proveedores de servicio que cuando se realice un cobro, el mecanismo para realizarlo este completamente definido y sea entendido por todas las partes. Todas las prcticas contables en uso deben ser alineadas con las prcticas contables ms amplias de la organizacin del proveedor del servicio. Se debe contar con polticas y procesos claros para: a) los presupuestos, y la contabilidad de todos los componentes incluyendo los activos TI, los recursos compartidos, los gastos generales, el servicio provisto externamente, el personal, los seguros y licencias; b) asignar costos indirectos y asignar costos directos a los servicios; c) control y autorizacin financiera efectiva. Los costos deben ser presupuestados con el detalle suficiente para permitir un control financiero y una toma de decisiones efectivos. El proveedor del servicio debe monitorear e informar los costos en comparacin con el presupuesto, revisar los pronsticos financieros y manejar los costos en concordancia. Los cambios en los servicios deben ser costeados y aprobados a travs del proceso de gestin de cambio.

6.5 Gestin de capacidad

Objetivo: Asegurar que el proveedor del servicio tenga, en todo momento, la capacidad suficiente para satisfacer las demandas acordadas actuales y futuras de las necesidades comerciales del cliente. La gestin de capacidad debe producir y mantener un plan de capacidad. La gestin de capacidad debe tratar las necesidades comerciales e incluir: a) los requerimientos de capacidad y desempeo actuales y pronosticados; b) escalas de tiempo, puntos objetivo y costos identificados para las actualizaciones del servicio; c) evaluacin de los efectos de las actualizaciones de servicio anticipadas, solicitudes de cambio, tecnologas nuevas y tcnicas sobre capacidad; d) impacto pronosticado de los cambios externos; por ejemplo, legislativos;

10

ISO IEC 20000-1:2005 (E)

e) data y procesos para permitir un anlisis de pronstico. Se deben identificar los mtodos, procedimientos y tcnicas para monitorear la capacidad de servicio, afinar el desempeo del servicio y proporcionar la capacidad adecuada.

6.6 Gestin de seguridad de la informacin

Objetivo: Manejar la seguridad de la informacin de manera efectiva dentro de todas las actividades del servicio. NOTA ISO/IEC 17799, Tecnologa de la Informacin Tcnicas de seguridad- Cdigo de prctica para la gestin de la seguridad de la informacin proporciona una gua sobre la gestin de seguridad de la informacin. La gerencia con la autoridad apropiada debe aprobar la poltica de seguridad de la informacin que debe ser comunicada a todo el personal y clientes relevantes cuando sea apropiado. Se deben operar los controles de seguridad apropiados para: a) implementar los requerimientos de la poltica de seguridad de la informacin; b) manejar los riesgos asociados con el acceso al servicio o los sistemas. Se deben documentar los controles de seguridad. La documentacin debe describir los riesgos con los cuales se relacionan los controles, y la manera en que se operan y se mantienen los controles. Se debe evaluar el impacto de los cambios sobre los controles antes de implementar los cambios. Los acuerdos que involucren organizaciones externas con acceso a los sistemas de informacin y servicios se deben basar en un acuerdo formal que defina todos los requerimientos de seguridad necesarios. Los incidentes de seguridad deben ser reportados y registrados en lnea con el procedimiento de gestin de incidentes tan pronto como sea posible. Se deben contar con procedimientos para asegurar que todos los incidentes de seguridad sean investigados, y se tome la accin gerencial. Se debe contar con los mecanismos para permitir que se califiquen y monitoreen los tipos, volmenes e impactos de los incidentes y fallas en la seguridad. Se deben registrar las acciones de mejoramiento identificadas durante este proceso y se debe proporcionar insumo para un plan de mejoramiento del servicio.

7 Procesos de relacin
7.1 General
Los procesos de relacin describen los dos aspectos relacionados de la Gestin del Proveedor y la Gestin de la Relacin Comercial.

7.2 Gestin de la relacin comercial

Objetivo: Establecer y mantener una buena relacin entre el proveedor del servicio y el cliente en base al entendimiento del cliente y sus conductores comerciales.

11

ISO IEC 20000-1:2005 (E)

El proveedor del servicio debe identificar y documentar a las partes interesadas y clientes de los servicios. El proveedor del servicio y el cliente deben asistir a una revisin del servicio para discutir cualquier cambio para el alcance del servicio, SLA, contrato (si lo hubiese) o las necesidades comerciales al menos una vez al ao y realizar reuniones interinas a intervalos acordados para discutir el desempeo, logros, problemas y planes de accin. Estas reuniones se deben documentar. Las partes interesadas en el servicio tambin deben ser invitadas a las reuniones. Los cambios en el(los) contrato(s), si los hubiese, y el(los) SLA(s) deben seguir a estas reuniones segn fuese apropiado. Estos cambios deben estar sujetos al proceso de gestin de cambio. El proveedor del servicio debe mantenerse al tanto de las necesidades comerciales y los cambios importantes para prepararse a responder a estas necesidades. Debe existir un proceso para las quejas. Se debe acordar con el cliente una definicin de queja formal del servicio. El proveedor debe registrar todas las quejas formales del servicio, las debe investigar, reaccionar ante ellas, informar y cerrar el caso formalmente. Cuando no se resuelva una queja a travs de de los canales normales, el cliente debe tener acceso a escalas superiores. El proveedor del servicio debe asignar una persona o personas que sean responsables de manejar la satisfaccin del cliente y todo el proceso de relaciones comerciales. Debe existir un proceso para obtener y reaccionar a la retroalimentacin de las mediciones regulares de la satisfaccin del cliente. Las acciones de mejoramiento identificadas durante este proceso deben ser registradas y servir de insumo para un plan de mejoramiento del servicio.

7.3 Gestin del proveedor

Objetivo: Manejo de los proveedores para asegurar la provisin continua de servicios de calidad. NOTA 1 El alcance de este estndar excluye el abastecimiento de los proveedores. NOTA 2 Los proveedores pueden ser utilizados por el proveedor principal del servicio para la provisin de alguna parte del servicio. Es el proveedor del servicio el que necesita demostrar conformidad con estos procesos de gestin del proveedor. Pueden existir relaciones complejas como se demuestra en el diagrama a continuacin el cual es utilizado como ejemplo:

12

ISO IEC 20000-1:2005 (E)

Figura 3 Ejemplo de una relacin entre proveedores del servicio y sus suministros El proveedor del servicio debe tener procesos documentados para la gestin de proveedores y debe nombrar un gerente de contrato responsable por cada uno de los proveedores. Los requerimientos, alcance, nivel de servicio y procesos de comunicacin a ser provistos por el(los) proveedor(es) deben estar documentados en los SLAs u otros documentos y ser acordados por todas las partes. Los SLAs con los proveedores deben estar alineados con los SLAs con el negocio. Se deben documentar y acordar las interfaces entre los procesos utilizados por cada parte. Se deben documentar claramente todos los roles y relaciones entre los proveedores principales y subcontratados. Los proveedores principales deben ser capaces de demostrar los procesos para asegurar que los proveedores subcontratados cumplan con los requerimientos contractuales. Debe existir un proceso para una revisin importante del contrato o acuerdo formal por lo menos una vez al ao para asegurar que se satisfagan las necesidades del negocio y las obligaciones contractuales. Los cambios en los contratos, si los hubiese, y los SLAs deben seguir a estas revisiones conforme sea apropiado o en otros momentos cuando sea requerido. Cualquier cambio debe estar sujeto al proceso de gestin del cambio. Debe existir un proceso para lidiar con las disputas contractuales. Debe existir un proceso para lidiar con el fin del servicio esperado, fin anticipado del servicio o transferencia del servicio a otra parte. Se debe monitorear y revisar el desempeo en comparacin con los objetivos de nivel de servicio. Se deben registrar las acciones para el mejoramiento identificadas durante este proceso y se deben introducir en el plan para el mejoramiento del servicio.

8 Procesos de solucin
8.1 Antecedentes
La gestin de incidentes y problemas son procesos separados, aunque estn estrechamente relacionados.

8.2 Gestin de incidentes

Objetivo: Restaurar el servicio acordado con el negocio lo antes posible o responder a solicitudes de servicio. Se deben registrar todos los incidentes. Se deben adoptar los procedimientos para manejar el impacto de los incidentes. Los procedimientos deben definir el registro, priorizacin, impacto comercial, clasificacin, actualizacin, escalamiento, ampliacin, solucin y cierre formal de todos los incidentes.

13

ISO IEC 20000-1:2005 (E)

Se debe mantener al cliente informado sobre el avance de su incidente reportado o solicitud de servicio y alertado por adelantado si no se va a poder cumplir con sus niveles de servicio y se debe acordar una accin. Todo el personal involucrado en la gestin de incidentes debe tener acceso a la informacin relevante como los errores conocidos, solucin de problemas y la base de datos de la gestin de configuracin (CMDB). Los incidentes importantes deben ser clasificados y manejados de acuerdo a un proceso.

8.3 Gestin de problemas

Objetivo: Minimizar la interrupcin para el negocio mediante la identificacin proactiva y el anlisis de la causa de incidentes y manejando los problemas hasta su cierre. Se deben registrar todos los problemas identificados. Se deben adoptar los procedimientos para identificar, minimizar o evitar el impacto de los incidentes o problemas. Deben definir el registro, clasificacin, actualizacin, ampliacin, escalamiento, solucin y cierre formal de todos los incidentes. Se deben tomar las acciones preventivas para reducir los problemas potenciales; por ejemplo, siguiendo el anlisis de tendencias de volmenes y tipos de incidentes. Se debe pasar al proceso de gestin de cambios los cambios requeridos para poder corregir la causa bsica de los problemas. Se debe monitorear, revisar e informar la solucin de problemas para lograr efectividad. La gestin de problemas debe ser responsable de asegurar la informacin actualizada sobre los errores conocidos y de los problemas corregidos est disponible para la gestin de incidentes. Las acciones para el mejoramiento identificadas durante este proceso deben ser registradas e introducidas en un plan para el mejoramiento del servicio.

9 Procesos de control
9.1 Gestin de configuracin
Objetivo: Definir y controlar los componentes del servicio e infraestructura y mantener una informacin de configuracin exacta. Debe existir un enfoque integrado para el cambio y la planeacin de la gestin de configuracin. El proveedor del servicio debe definir la interface con los procesos de contabilidad de activos financieros. NOTA La contabilidad de activos financieros cae fuera del alcance de esta seccin. Debe existir una poltica sobre lo que se define como un tem de configuracin y sus partes constituyentes.

14

ISO IEC 20000-1:2005 (E)

Se debe definir la informacin a registrarse sobre cada tem y debe incluir las relaciones y la documentacin necesaria par una gestin de servicio efectiva. La gestin de configuracin debe proporcionar los mecanismos para identificar, controlar y monitorear las versiones de los componentes identificables del servicio e infraestructura. Los cambios en los tems de configuracin deben ser monitoreados y auditados cuando sea apropiado; por ejemplo: para los cambios y movimientos en software y hardware. Los procedimientos de control de configuracin deben asegurar que se mantenga la integridad de los sistemas, los servicios y los componentes del servicio. Se debe elaborar una lnea base de los tems de la configuracin apropiada antes de lanzarla a un escenario vivo. Se deben controlar las copias maestras de la configuracin digital en bibliotecas fsicas o electrnicas seguras y tener una referencia de los registros de configuracin; por ejemplo, software, productos de prueba, documentos de soporte. Todos los tems de configuracin deben ser singularmente identificables y registrados en un CMDB el cual debe tener el acceso de actualizacin estrictamente controlado. El CMDB debe ser activamente manejado y verificado para asegurar su confiabilidad y exactitud. El estado de los tems de configuracin, sus versiones, ubicacin, cambios y problemas relacionados y la documentacin asociada deben estar visibles para aquellos que los requieren. Los procedimientos de la auditora de configuracin deben incluir el registro de deficiencias, el inicio de acciones correctivas y el informe del resultado.

9.2 Gestin del cambio

Objetivo: Asegurar que todos los cambios sean evaluados, aprobados, implementados y revisados de una manera controlada. Los cambios en el servicio e infraestructura deben ser definidos claramente y el alcance documentado. Todas las solicitudes de cambio deben ser registradas y clasificadas; por ejemplo: urgente, emergencia, importante, menor. Las solicitudes para cambios deben ser evaluadas por su riesgo, impacto y beneficio comercial. El proceso de gestin de cambio debe incluir la manera en la cual se debe revertir o remediar el cambio si no funciona. Los cambios deben ser aprobados y luego chequeados, y deben ser implementados de una manera controlada. Todos los cambios deben ser revisados para chequear su xito y cualquier accin tomada despus de su implementacin. Deben existir polticas y procedimientos para controlar la autorizacin y la implementacin de cambios de emergencia. Las fechas programadas para la implementacin de los cambios se deben utilizar como la base para el cambio y liberacin. Se debe mantener un cronograma que contenga los

15

ISO IEC 20000-1:2005 (E)

detalles de todos los cambios aprobados para su implementacin y sus fechas de implementacin propuestas y deben ser comunicados a las partes relevantes. Los registros de cambio deben ser analizados regularmente para detectar un incremento en los niveles de cambio, tipos recurrentes frecuentes, tendencias emergentes y otra informacin relevante. Se deben registrar los resultados y conclusiones tomadas de los anlisis de cambio. Se deben registrar las acciones de mejoramiento identificadas por la gestin de cambio y se deben introducir en un plan para el mejoramiento del servicio.

10 Proceso de liberacin
10.1 Proceso de gestin de liberacin
Objetivo: Entregar, distribuir y monitorear uno o ms cambios en un liberacin a un escenario en vivo. NOTA: El proceso de gestin de liberacin debe estar integrado con los procesos de configuracin y de gestin de cambio. Se debe documentar y acordar una poltica de liberacin que establezca la frecuencia y tipo de liberacins. El proveedor del servicio debe planear con el negocio el liberacin de los servicios, sistemas, software y hardware. Los planes sobre como realizar el liberacin deben ser acordados y autorizados por todas las partes relevantes; por ejemplo, clientes, usuarios, operaciones y personal de soporte. Los procesos deben incluir la manera en la cual se revertir o remediar el liberacin si no tiene xito. Los planes deben registrar las fechas de liberacin y los entregables y deben hacer referencia a las solicitudes de cambio, errores y problemas conocidos. Los liberacins de emergencia deben ser manejados de acuerdo a un proceso definido con una interface con el proceso de gestin de cambio de emergencia. Se debe establecer un escenario de prueba de aceptacin controlado para elaborar y probar todos los liberacins antes de su distribucin. El liberacin y distribucin deben ser diseados e implementados de manera que se mantenga la integridad del hardware y software durante la instalacin, manipuleo, empaque y entrega. Se debe medir el xito y fracaso de los liberacins. Las mediciones deben incluir los incidentes relacionados con un liberacin en el perodo despus del liberacin. El anlisis debe incluir la evaluacin del impacto en el negocio, las operaciones TI y los recursos del personal de soporte, y debe proporcionar insumo para un plan de mejoramiento del servicio.

16

ISO IEC 20000-1:2005 (E)

Bibliografa
(1) (2) (3) (4) (5) (6) (7) (8) (9) (10) (11) ISO/IEC 20000-2, Tecnologa de la Informacin Gestin de servicio Parte 2: Cdigo de Prctica ISO/IEC 17799, Tecnologa de la Informacin Tcnicas de seguridad Cdigo de prctica para la gestin de seguridad de la informacin ISO/IEC 12207, Tecnologa de la informacin Procesos del ciclo de vida del software ISO/IEC TR 15271, Tecnologa de la informacin Gua para ISO/IEC 12207 (Proceso del ciclo de vida del software) ISO/IEC TR 16326, Ingeniera de Software Gua para la aplicacin del ISO/IeC 12207 para la gerencia de proyectos ISO/IEC TR 15288, Ingeniera de sistemas Procesos de ciclo de vida del sistema ISO/IEC TR 19760, Ingeniera de sistemas Gua para la aplicacin del ISO/IEC 15288 (Procesos de ciclo de vida del sistema) ISO/IEC 15504-1, Tecnologa de la informacin Evaluacin del proceso Parte 1: Conceptos y vocabulario ISO/IEC 15504-2, Tecnologa de la informacin Evaluacin del proceso Parte 2: Realizar una evaluacin ISO/IEC 15504-3, Tecnologa de la informacin Evaluacin del proceso Parte 3: Gua para realizar una evaluacin ISO/IEC 15504-4, Tecnologa de la informacin Evaluacin del proceso Parte 4: Gua de uso para el mejoramiento del proceso y la determinacin de la capacidad del proceso ISO/IEC 15504-5, Tecnologa de la informacin Evaluacin del proceso Parte 5: Un modelo de evaluacin del proceso ejemplar ISO 10007, Sistemas de gestin de calidad Lineamientos para la gestin de configuracin ISO 9000, Sistemas de gestin de calidad Fundamentos y vocabulario ISO 9001, Sistemas de gestin de calidad Requerimientos ISO/IEC 90003, Ingeniera del software Lineamientos para la aplicacin del ISO 9001:2000 para software de computadora

(12) (13) (14) (15) (16)

17