Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
DE 250-18
TITULO Tecnología de la información. Gestión del servicio.
Parte 1: Requisitos del sistema de gestión del servicio – Segunda
actualización
ETAPA Consulta Pública
INICIO 2018-10-01
FINALIZACIÓN 2018-12-01
El CTN agradece cualquier observación a este documento, el cual debe ser enviado antes de la
fecha de finalización de Consulta Pública en el formato de observaciones adjunto o a través del
enlace proporcionado. De igual manera, al comité le gustaría conocer su concepto (aprobación,
aprobación con observaciones, desaprobación (indicando la causa) o abstención (indicando la
causa)) con respecto al documento. En caso de no recibir respuesta, consideraremos su
conformidad con el proyecto propuesto.
Toda observación (eliminación, modificación o inclusión de texto) debe ser relacionada con un
numeral, tener un sustento técnico y estar acompañado de la propuesta respectiva. En caso de
no presentar el sustento técnico o propuesta, su observación puede no ser considerada.
Este documento está sujeto a cambios y no debe ser utilizado como una Norma Técnica.
Toda la información relacionada con este documento debe ser enviada a lpallares@icontec.org
E: X 22
CORRESPONDENCIA: X
DESCRIPTORES: X
I.C.S.: 48
PRÓLOGO
ICONTEC es una entidad de carácter privado, sin ánimo de lucro, cuya Misión es fundamental
para brindar soporte y desarrollo al productor y protección al consumidor. Colabora con el
sector gubernamental y apoya al sector privado del país, para lograr ventajas competitivas en
los mercados interno y externo.
Esta norma está sujeta a ser actualizada permanentemente con el objeto de que responda en
todo momento a las necesidades y exigencias actuales.
ICONTEC cuenta con un Centro de Información que pone a disposición de los interesados
normas internacionales, regionales y nacionales y otros documentos relacionados.
DIRECCIÓN DE NORMALIZACIÓN
PROYECTO DE
NORMA TÉCNICA COLOMBIANA NTC-ISO/IEC 20000-1 (Segunda actualización)DE 250-18
TECNOLOGÍA DE LA INFORMACIÓN.
GESTIÓN DEL SERVICIO.
PARTE 1: REQUISITOS DEL SISTEMA DE GESTIÓN DEL SERVICIO
PRÓLOGO
Los procedimientos usados para desarrollar este documento, y los previstos para su
mantenimiento posterior se describen en las Directivas ISO/IEC, Parte 1. En particular, es
conveniente tener en cuenta los diferentes criterios de aprobación necesarios para los
diferentes tipos de documentos. Este documento se redactó de acuerdo con las reglas
editoriales establecidas en la Parte 2 de las directivas de ISO/IEC.
Se llama la atención sobre la posibilidad de que algunos de los elementos de este documento
puedan estar sujetos a derechos de patente. ISO e IEC no asumen responsabilidad por la
identificación de cualquiera o todos los derechos de patente. Los detalles de los derechos de
patente identificados durante el desarrollo del documento se encontrarán en la Introducción y/o
en la lista de declaraciones de patente recibidas (véase www.iso.org/patents).
Cualquier nombre comercial usado en este documento es información que se suministra para
conveniencia de los usuarios y no constituye respaldo a él.
Para una explicación de la naturaleza voluntaria de las normas, el significado de los términos y
expresiones de ISO relacionados con la evaluación de la conformidad, así como la información
acerca de la adhesión a los principios de la Organización Mundial del Comercio (OMC) sobre
Obstáculos Técnicos al Comercio, consulte la siguiente URL: www.iso.org/iso/foreword.html .
Este documento fue elaborado por ISO/IEC JTC 1, Information technology, SC 40, IT Service
Management and IT Governance.
En el sitio web de ISO se puede encontrar una lista de todas las partes de la serie
ISO/IEC 20000.
PROYECTO DE
NORMA TÉCNICA COLOMBIANA NTC-ISO/IEC 20000-1 (Segunda actualización)DE 250-18
Esta tercera edición cancela y reemplaza la segunda edición (ISO/IEC 20000-1:2011) cuyo
contenido técnico ha sido actualizado.
a) Se reestructuró de acuerdo con la estructura de alto nivel utilizada para todas las
normas de sistema de gestión (del Anexo SL del Suplemento ISO Consolidado, de las
Directivas ISO / IEC Parte 1). Se han introducido nuevos requisitos comunes para el
contexto de la organización, la planificación para alcanzar objetivos y acciones para
abordar los riesgos y las oportunidades. Existen algunos requisitos comunes que han
actualizado requisitos previos, por ejemplo, información documentada, recursos,
competencia y toma de conciencia.
1) se agregaron algunos términos nuevos para el Anexo SL, por ejemplo, "objetivo",
"política", y se han agregado algunos específicamente para la gestión del servicio,
por ejemplo, "activo", "usuario";
INTRODUCCIÓN
Este documento ha sido elaborado para especificar los requisitos para establecer, implementar,
mantener y mejorar continuamente un sistema de gestión de servicios (SGS). Un SGS respalda
la gestión del ciclo de vida del servicio, incluida la planificación, el diseño, la transición, la
entrega y la mejora de los servicios, que cumplen los requisitos acordados y ofrecen valor para
los clientes, los usuarios y la organización que presta los servicios.
La adopción de un SGS es una decisión estratégica para una organización y está influenciada
por los objetivos de la organización, el organismo de gobierno, otras partes involucradas en el
ciclo de vida del servicio y la necesidad de servicios eficaces y resilientes.
La estructura de los numerales (es decir, la secuencia de numerales), los términos del numeral
3.1 y muchos de los requisitos se tomaron del Anexo SL del Suplemento ISO Consolidado de
las Directivas ISO/IEC Parte 1, conocido como la estructura común de alto nivel (HLS) para las
normas de sistemas de gestión. La adopción de la HLS permite a la organización alinear o
integrar múltiples normas de sistemas de gestión. Por ejemplo, un SGS se puede integrar con
un sistema de gestión de la calidad basado en la ISO 9001 ó un sistema de gestión de
seguridad de la información basado en la ISO/IEC 27001.
La Figura 1 ilustra un SGS que muestra el contenido de los numerales de este documento. No
representa una jerarquía estructural, niveles de secuencia o autoridad. No hay ningún requisito
en este documento en relación con su estructura y con la terminología que se apliquen al SGS
de una organización. No hay ningún requisito para que los términos utilizados por una
organización sean reemplazados por los términos utilizados en este documento. Las
organizaciones pueden usar los términos que se adapten mejor a sus operaciones.
La estructura de los numerales está prevista para permitir la presentación coherente de los
requisitos, en lugar de un modelo para documentar las políticas, los objetivos y los procesos de
una organización. Cada organización puede elegir cómo combinar los requisitos en los
2
PROYECTO DE
NORMA TÉCNICA COLOMBIANA NTC-ISO/IEC 20000-1 (Segunda actualización)DE 250-18
procesos. La relación entre cada organización y sus clientes, usuarios y otras partes
interesadas influye en la manera en que se implementan los procesos. Sin embargo, un SGS
diseñado por una organización no puede excluir ninguno de los requisitos especificados en
este documento.
3
PROYECTO DE
NORMA TÉCNICA COLOMBIANA NTC-ISO/IEC 20000-1 (Segunda actualización)DE 250-18
1.1 GENERALIDADES
Este documento especifica requisitos para que una organización establezca, implemente,
mantenga y mejore continuamente un sistema de gestión de servicios (SGS). Los requisitos
especificados en este documento incluyen la planificación, el diseño, la transición, la prestación
y mejora de los servicios para cumplir con los requisitos de servicio y entregar valor. Este
documento lo puede usar:
a) un cliente que busque servicios y que exija el aseguramiento en relación con la calidad
de estos servicios;
b) un cliente que exija un enfoque consistente en relación con el ciclo de vida de los
servicios, a todos sus proveedores de servicios, incluyendo aquellos en la cadena de
suministro;
d) una organización, para hacer seguimiento, medir y revisar su SGS y los servicios;
f) una organización u otra parte que lleve a cabo evaluaciones de la conformidad con base
en los requisitos especificados en este documento.
El término “servicio” como se usa en este documento hace referencia al servicio o servicios en
el alcance del SGS. El término “organización” como se usa en este documento hace referencia
a la organización en el alcance de la SGS que gestiona y presta servicios a los clientes. Una
organización o una parte de una organización que gestiona o que presta uno o varios servicios
a clientes internos o externos se puede conocer como un proveedor de servicios. Una
organización dentro del alcance del SGS puede ser parte de una organización mayor, por
ejemplo, un departamento o corporación de gran tamaño. En este documento se distingue
claramente cualquier uso de los términos “servicio” u “organización” con una intención
diferente.
1.2 APLICACIÓN
Todos los requisitos especificados en este documento son genéricos y están previstos de
manera que sean aplicables a todas las organizaciones, independientemente del tipo, el
tamaño o la naturaleza de los servicios que presten. Cuando una organización declara la
conformidad con este documento, no es aceptable la exclusión de ninguno de los requisitos de
los numerales 4 a 10, independientemente de la naturaleza de la organización.
4
PROYECTO DE
NORMA TÉCNICA COLOMBIANA NTC-ISO/IEC 20000-1 (Segunda actualización)DE 250-18
La conformidad con los requisitos especificados en este documento puede ser demostrada por
una organización que demuestre que cumple dichos requisitos.
Como alternativa, una organización puede mostrar evidencia de que rinde cuentas por los
requisitos especificados en este documento y demuestra control cuando hay otras partes
involucradas en el cumplimiento de los requisitos de los numerales 6 a 10 (véase el numeral
8.2.3). Por ejemplo, la organización puede demostrar evidencia de controles a otra parte que
está suministrando componentes de servicios de infraestructura u operando la mesa de
servicio, incluido el proceso de gestión de incidentes.
2. REFERENCIAS NORMATIVAS
3. TÉRMINOS Y DEFINICIONES
Para los propósitos de este documento, se aplican los siguientes términos y definiciones.
ISO e IEC mantienen bases de datos terminológicos para uso en normalización, en las
siguientes direcciones:
3.1
auditoría (audit). Proceso sistemático, independiente y documentado (3.1.18) para obtener
evidencia de auditoría y evaluarla objetivamente para determinar el grado en que se cumplen
los criterios de auditoría.
Nota 1 a la entrada: una auditoría puede ser una auditoría interna (primera parte) o una auditoría externa (segunda
parte o tercera parte), y puede ser una auditoría combinada (combinación de dos o más disciplinas).
Nota 2 a la entrada: la organización (numeral 3.1.14) o una parte externa en su nombre lleva a cabo una auditoría
interna.
Nota 3 a la entrada: "Evidencia de auditoría" y "criterios de auditoría" se definen en la norma ISO 19011.
3.1.2
5
PROYECTO DE
NORMA TÉCNICA COLOMBIANA NTC-ISO/IEC 20000-1 (Segunda actualización)DE 250-18
3.1.3
conformidad (conformity). Cumplimiento de un requisito (numeral 3.1.19).
Nota 1 a la entrada: La conformidad se relaciona con los requisitos de este documento, así como con los requisitos
de SGS de la organización.
Nota 2 a la entrada: La definición original del Anexo SL se modificó mediante la adición de la Nota 1 a la entrada.
3.1.4
mejora continua (continual improvement). Actividad recurrente para mejorar el desempeño
(numeral 3.1.16).
3.1.5
acción correctiva (corrective action).
Acción para eliminar la causa o reducir la probabilidad de recurrencia de una no conformidad
(numeral 3.1.12) detectada o de otra situación indeseada.
Nota 1 a la entrada La definición original del Anexo SL se ha modificado adicionando texto al original “acción
para eliminar la causa de una no conformidad”.
3.1.6
información documentada (documented information). Información que una organización
(numeral 3.1.14) requiere controlar y mantener, y el medio en el que está contenida.
EJEMPLO Políticas (numeral 3.1.17), planes, descripciones de procesos, procedimientos (numeral 3.2.11), acuerdos
de nivel de servicio (numeral 3.2.20) o contratos.
Nota 1 a la entrada: la información documentada puede estar en cualquier formato y medio y provenir de cualquier
fuente.
- el sistema de gestión (numeral 3.1.9), incluidos los procesos (numeral 3.1.18) relacionados;
3.1.7
eficacia (effectiveness). Grado en que se realizan las actividades planificadas y se logran los
resultados planificados.
3.1.8
parte interesada (interested party). Persona u organización (numeral 3.1.14) que puede
afectar, verse afectada o percibirse a sí misma como afectada por una decisión o actividad
relacionada con el SGS (numeral 3.2.23) o los servicios (numeral 3.2.15)
Nota 1 a la entrada: una parte interesada puede ser interna o externa a la organización.
Nota 2 a la entrada: las partes interesadas pueden incluir partes de la organización que están fuera del alcance del
SGS, los clientes (numeral 3.2.3), los usuarios (numeral 3.2.28), la comunidad, los proveedores externos (numeral
3.2.4), los organismos de reglamentación, los organismos del sector público, las organizaciones no
gubernamentales, los inversionistas o los empleados.
Nota 3 a la entrada: Cuando las partes interesadas se especifican en los requisitos (numeral 3.1.19) de este
documento, las partes interesadas pueden ser diferentes dependiendo del contexto del requisito.
6
PROYECTO DE
NORMA TÉCNICA COLOMBIANA NTC-ISO/IEC 20000-1 (Segunda actualización)DE 250-18
Nota 4 a la entrada: la definición original del anexo SL se ha modificado al eliminar en la definición el término
admitido "parte interesada" y al agregar "relacionado con el SGS o los servicios" y agregando las Notas 1, 2 y 3 a la
entrada.
3.1.9
sistema de gestión (management system). Conjunto de elementos de una organización
(numeral 3.1.14) interrelacionados o que interactúan para establecer políticas (numeral 3.1.17),
objetivos (numeral 3.1.13) y procesos (numeral 3.1.18) para lograr esos objetivos.
Nota 1 a la entrada: un sistema de gestión puede abordar una única disciplina o varias disciplinas.
Nota 2 a la entrada: los elementos del sistema de gestión incluyen la estructura, los roles y las responsabilidades de
la organización, la planificación, la operación, las políticas, los objetivos, los planes, los procesos y los
procedimientos (numeral 3.2.11).
Nota 3 a la entrada: El alcance de un sistema de gestión puede incluir la totalidad de la organización, funciones
específicas e identificadas de la organización, secciones específicas e identificadas de la organización o una o más
funciones en un grupo de organizaciones.
Nota 4 a la entrada: La definición original del Anexo SL se modificó aclarando que el sistema es un sistema de
gestión y se enumeran otros elementos en la Nota 2 a la entrada.
3.1.10
medición (measurement). proceso (numeral 3.1.18) para determinar un valor.
3.1.11
seguimiento (monitoring). Determinación del estado de un sistema, un proceso (numeral
3.1.18) o una actividad.
Nota 1 a la entrada: para determinar el estado puede ser necesario verificar, supervisar u observar con sentido
crítico.
3.1.12
no conformidad (nonconformity). Incumplimiento de un requisito (numeral 3.1.19)
Nota 1 a la entrada: No conformidad se refiere a los requisitos de este documento, así como a los requisitos de SGS
de la organización.
3.1.13
objetivo (objective). Resultado por lograr.
Nota 2 a la entrada: los objetivos se pueden relacionar con diferentes disciplinas (como finanzas, salud y seguridad,
gestión de servicios (numeral 3.2.22) y metas ambientales) y se pueden aplicar a diferentes niveles (estratégico, a
nivel de toda la organización, servicio (numeral 3.2.15) proyecto, producto y proceso (numeral 3.1.18)).
Nota 3 a la entrada: un objetivo se puede expresar de otras maneras, por ejemplo, como un resultado previsto, un
propósito, un criterio operacional, como un objetivo de gestión del servicio o mediante el uso de otras palabras con
un significado similar (por ejemplo, propósito o meta).
Nota 4 a la entrada: en el contexto de un SGS (numeral 3.2.23), la organización establece los objetivos de gestión
de servicios de conformidad con la política (numeral 3.1.17) de gestión de servicios para lograr resultados
específicos.
Nota 5 a la entrada: La definición del Anexo SL original se modificó agregando la gestión de servicios y el servicio a
la Nota 2 a la entrada.
3.1.14
organización (organization). Persona o grupo de personas que tiene sus propias funciones
con responsabilidades, autoridades y relaciones para lograr sus objetivos (numeral 3.1.13).
7
PROYECTO DE
NORMA TÉCNICA COLOMBIANA NTC-ISO/IEC 20000-1 (Segunda actualización)DE 250-18
Nota 1 a la entrada: El concepto de organización incluye, entre otros, un comerciante individual, compañía, firma,
empresa, autoridad, sociedad, institución benéfica o de caridad, o parte o combinación de ellas, ya sea constituida o
no, pública o privada.
Nota 2 a la entrada: una organización o parte de una organización que gestiona y presta un servicio (numeral 3.2.15)
o servicios a clientes (numeral 3.2.3) internos o externos se puede conocer como un proveedor de servicios (numeral
3.2.24).
Nota 3 a la entrada: Si el alcance del SGS (numeral 3.2.23) comprende solo una parte de una organización, cuando
la organización utiliza en este documento hace referencia a la parte de la organización que está dentro del alcance
del SGS.
Nota 4 a la entrada: la definición original del Anexo SL se modificó mediante la adición de las Notas 2 y 3 a la
entrada.
3.1.15
contratación externa (outsource). Adoptar disposiciones para que una organización (numeral
3.1.14) externa realice parte de una función o proceso (numeral 3.1.18) de una organización.
Nota 1 a la entrada: Una organización externa está fuera del alcance del SGS (numeral 3.2.23), aunque la función o
el proceso contratado externamente esté dentro del alcance.
3.1.16
desempeño (performance). Resultado medible.
Nota 2 a la entrada: El desempeño se puede relacionar con la gestión de actividades, procesos (numeral 3.1.18),
productos, servicios (numeral 3.2.15), sistemas u organizaciones (numeral 3.1.14).
Nota 3 a la entrada: La definición original del Anexo SL original se modificó al agregar “servicios” a la Nota 2 a la
entrada.
3.1.17
política (policy). Las intenciones y dirección de una organización (numeral 3.1.14), tal como
las expresa formalmente su alta dirección (numeral 3.1.21).
3.1.18
proceso (process). Conjunto de actividades interrelacionadas o que interactúan, las cuales
usan entradas para entregar un resultado previsto.
Nota 1 a la entrada: Si el "resultado previsto" de un proceso se denomina salida, el producto o servicio (numeral
3.2.15) depende del contexto de la referencia.
Nota 2 a la entrada: las entradas a un proceso generalmente son las salidas de otros procesos, y los resultados de
un proceso generalmente son las entradas de otros procesos.
Nota 3 a la entrada: Dos o más procesos interrelacionados y que interactúan en serie también pueden denominarse
proceso.
Nota 4 a la entrada: Los procesos en una organización (numeral 3.1.14) generalmente se planifican y se llevan a
cabo en condiciones controladas para agregar valor.
Nota 5 a la entrada: La definición original del Anexo SL original se modificó de "conjunto de actividades
interrelacionadas o que interactúan, que transforma entradas en salidas". La definición original del Anexo SL también
se modificó al agregar las Notas 1 a 4 a la entrada. La definición actualizada y las Notas 1 a 4 a la entrada provienen
de la norma ISO 9000: 2015.
3.1.19
requisito (requirement). Necesidad o expectativa establecida, generalmente implícita u
obligatoria.
8
PROYECTO DE
NORMA TÉCNICA COLOMBIANA NTC-ISO/IEC 20000-1 (Segunda actualización)DE 250-18
Nota 1 a la entrada: "Generalmente implícita" significa que es una costumbre o práctica común de la organización
(numeral 3.1.14) y de las partes interesadas (numeral 3.1.8) que la necesidad o expectativa que se considera sea
implícita.
Nota 2 a la entrada: Un requisito específico es uno que se establece, por ejemplo, en información documentada
(numeral 3.1.6).
Nota 3 a la entrada: En el contexto de un SGS (numeral 3.2.23) los requisitos del servicio (numeral 3.2.26) están
documentados y acordados, no son generalmente implícitos. También puede haber otros requisitos tales como los
requisitos legales y de reglamentaciones.
Nota 4 a la entrada: La definición original del Anexo SL se modificó al añadir la Nota 3 a la entrada.
3.1.20
riesgo (risk). Efecto de la incertidumbre.
Nota 2 a la entrada: La incertidumbre es el estado, incluso parcial, de deficiencia de información relacionada con la
comprensión o el conocimiento de un evento, su consecuencia o su probabilidad.
Nota 3 a la entrada: El riesgo se caracteriza a menudo por la referencia a eventos (como se define en la Guía ISO
73:2009, numeral 3.5.1.3) potenciales y consecuencias (como se define en Guía ISO 73:2009, numeral 3.6.1.3), o a
una combinación de estos.
Nota 4 a la entrada: El riesgo se expresa a menudo en términos de una combinación de las consecuencias de un
evento (incluidos los cambios en las circunstancias) y la probabilidad asociada (como se define en la Guía ISO 73:
2009, numeral 3.6.1.1) de que ocurra.
3.1.21
alta dirección (top management). Persona o grupo de personas que dirigen y controlan una
organización (numeral 3.1.14) al más alto nivel.
Nota 1 a la entrada: La alta dirección tiene el poder de delegar autoridad y de proporcionar recursos dentro de la
organización.
Nota 2 a la entrada: Si el alcance del sistema de gestión (numeral 3.1.9) comprende solo una parte de una
organización, la alta dirección se refiere a quienes dirigen y controlan esa parte de la organización.
3.2.1
activo (asset). Elemento, cosa o entidad que tiene valor potencial o real para una organización
(numeral 3.1.14).
Nota 1 a la entrada: El valor puede ser tangible o intangible, financiero o no financiero, e incluye la consideración de
los riesgos (3.1.20) y la responsabilidad civil. Puede ser positivo o negativo en diferentes etapas de la vida del activo.
Nota 2 a la entrada: Los activos físicos generalmente hacen referencia a equipos, inventarios y las propiedades de la
organización. Los activos físicos son lo opuesto a los activos intangibles, que son activos no físicos tales como
arrendamientos, marcas, activos digitales, derechos de uso, licencias, derechos de propiedad intelectual, reputación
o acuerdos.
Nota 3 a la entrada: Un grupo de activos que se conoce como un sistema de activos también se puede considerar
como un activo.
Nota 4 a la entrada: Un activo también puede ser un elemento de configuración (numeral 3.2.2). Algunos elementos
de configuración no son activos.
[FUENTE: ISO / IEC 19770-5: 2015, numeral 3.2, modificado. Se incluyó contenido nuevo en la
Nota 4 a la entrada].
9
PROYECTO DE
NORMA TÉCNICA COLOMBIANA NTC-ISO/IEC 20000-1 (Segunda actualización)DE 250-18
3.2.2
elemento de configuración, EC (configuration item, CI). Elemento que es necesario
controlar para prestar uno o varios servicios (numeral 3.2.15).
3.2.3
cliente (customer). organización (numeral 3.1.14) o parte de una organización que recibe uno
o varios servicios (numeral 3.2.15).
Nota 1 a la entrada: Un cliente puede ser interno o externo a la organización que presta uno o varios servicios.
Nota 2 a la entrada: Un cliente también puede ser un usuario (numeral 3.2.28). Un cliente también puede actuar
como proveedor.
3.2.4
proveedor externo (external supplier). Parte que es externa a la organización con la cual
celebra un contrato para contribuir a la planificación, al diseño, a la transición (numeral 3.2.27),
a la entrega o a la mejora de un servicio (numeral 3.2.15), componente del servicio (numeral
3.2.18) o proceso (numeral 3.1.18).
Nota 1 a la entrada: Los proveedores externos incluyen a los proveedores principales designados, pero no a sus
proveedores contratados externamente.
Nota 2 a la entrada: Si la organización que está dentro del alcance del SGS es parte de una organización más
grande, la otra parte es externa a la organización más grande.
3.2.5
incidente (incident). Interrupción no planificada de un servicio (numeral 3.2.15), reducción en
la calidad de un servicio, o evento que aún no ha afectado el servicio al cliente (numeral 3.2.3)
o a los usuarios (numeral 3.2.28).
3.2.6
seguridad de información (information security). Preservación de la confidencialidad, de la
integridad y de la disponibilidad de la información.
Nota 1 a la entrada: Además, pueden estar involucradas otras propiedades tales como la autenticidad, la rendición
de cuentas, el no repudio y la confiabilidad.
[FUENTE: ISO / IEC 27000: 2018, numeral 3.28]
3.2.7
incidente de seguridad de la información (information security incident). Un evento o una
serie de eventos de seguridad de la información (numeral 3.2.6) no deseados o inesperados
que tienen una probabilidad significativa de comprometer las operaciones del negocio y de
amenazar la seguridad de la información
3.2.8
proveedor interno (internal supplier). Parte de una organización (numeral 3.1.14) más
grande que está por fuera del alcance del SGS (numeral 3.2.23), que formaliza un acuerdo
documentado para contribuir a la planificación, al diseño, a la transición (numeral 3.2.27), a la
entrega o a la mejora de un servicio (numeral 3.2.15), componente de servicio (numeral 3.2.18)
o proceso (numeral 3.1.18).
10
PROYECTO DE
NORMA TÉCNICA COLOMBIANA NTC-ISO/IEC 20000-1 (Segunda actualización)DE 250-18
Nota 1 a la entrada: El proveedor interno y la organización que está dentro del alcance del SGS son ambos parte de
la misma organización más grande.
3.2.9
error conocido (known error). problema (numeral 3.2.10) que tiene una causa raíz
identificada o un método para reducir o eliminar su impacto en un servicio (numeral 3.2.15)
3.2.10
problema (problem). Causa de uno o más incidentes (numeral 3.2.5) reales o potenciales.
3.2.11
procedimiento (procedure). Forma especificada para llevar a cabo una actividad o un proceso
(numeral 3.1.18).
3.2.12
Registro (record). Documento que presenta los resultados obtenidos o proporciona evidencia
de las actividades realizadas.
EJEMPLO, Informes de auditoría (numeral 3.1.1), detalles de incidentes (numeral 3.2.5), detalles de formación o
actas de reuniones.
Nota 1 a la entrada: Los registros se pueden usar, por ejemplo, para formalizar la trazabilidad y proporcionar
evidencia de verificaciones, acciones preventivas y acciones correctivas (numeral 3.1.5).
Nota 2 a la entrada: En general, los registros no necesitan tener control de las actualizaciones.
3.2.13
versión (release). Conjunto de uno o más servicios (numeral 3.2.15) nuevos o modificados, o
de componentes del servicio (numeral 3.2.18) implementados en el ambiente de producción
como resultado de uno o más cambios.
3.2.14
solicitud de cambio (request for change). Propuesta de cambio en un servicio (numeral
3.2.15), componente del servicio (numeral 3.2.18) o en el SGS (numeral 3.2.23).
Nota 1 a la entrada: Un cambio en un servicio incluye la prestación de un servicio nuevo, la transferencia de un
servicio o la eliminación de un servicio que ya no se requiere.
3.2.15
servicio (service). Medio para entregar valor al cliente (numeral 3.2.3) facilitando los
resultados que el cliente quiere alcanzar.
Nota 2 a la entrada: El término servicio como se usa en este documento hace referencia al servicio o servicios que
están dentro del alcance del SGS (numeral 3.2.23). Cualquier uso del término servicio con una intención diferente se
distingue claramente.
3.2.16
11
PROYECTO DE
NORMA TÉCNICA COLOMBIANA NTC-ISO/IEC 20000-1 (Segunda actualización)DE 250-18
Nota 1 a la entrada: La disponibilidad del servicio se puede expresar como una proporción o porcentaje del tiempo
que el servicio o componente de servicio está disponible realmente para ser utilizado, en comparación con el tiempo
acordado.
3.2.17
catálogo de servicios (service catalogue). Información documentada sobre los servicios que
una organización brinda a sus clientes.
3.2.18
componente del servicio (service component). Parte de un servicio (numeral 3.2.15) que
cuando se combina con otros elementos prestará un servicio completo.
EJEMPLO Infraestructura, aplicaciones, documentación, licencias, información, recursos o servicios de apoyo.
Nota 1 a la entrada: Un componente del servicio puede incluir elementos de configuración (numeral 3.2.2), activos
(numeral 3.2.1) u otros elementos.
3.2.19
continuidad del servicio (service continuity). Capacidad para prestar un servicio (numeral
3.2.15) sin interrupción, o con disponibilidad compatible con lo que se haya acordado.
Nota 1 a la entrada: La gestión de la continuidad del servicio puede ser un subconjunto de la gestión de la
continuidad del negocio. La norma ISO 22301 proporciona los requisitos (numeral 3.1.19) para la gestión de la
continuidad del negocio.
3.2.20
acuerdo de nivel de servicio, ANS (service level agreement, SLA). Acuerdo documentado
entre la organización (numeral 3.1.14) y el cliente (numeral 3.2.3), en el que se identifican los
servicios (3.2.15) y su desempeño acordado.
Nota 1 a la entrada: También se puede establecer un acuerdo de nivel de servicio entre la organización y un
proveedor externo (numeral 3.2.4), un proveedor interno (numeral 3.2.8) o un cliente que actúa como proveedor.
Nota 2 a la entrada: Un acuerdo de nivel del servicio puede estar incluido en un contrato o en otro tipo de acuerdo
documentado.
3.2.21
objetivo del nivel de servicio (service level target). Característica medible específica de un
servicio (numeral 3.2.15) al que se compromete una organización (numeral 3.1.14).
3.2.22
gestión del servicio (service management). Conjunto de capacidades y procesos (numeral
3.1.18) para dirigir y controlar las actividades y recursos de la organización (numeral 3.1.14)
relacionados con la planificación, el diseño, la transición (numeral 3.2.27), la prestación y la
mejora de servicios (numeral 3.2.15) con el fin de entregar valor (numeral 3.2.29).
Nota 1 a la entrada: Este documento proporciona un conjunto de requisitos en diferentes numerales. Cada
organización puede elegir cómo combinar los requisitos en los procesos. Los numerales se pueden usar para definir
los procesos de SGS de la organización.
3.2.23
sistema de gestión del servicio, SGS (service management system, SMS). sistema de
gestión (numeral 3.1.9) para dirigir y controlar las actividades de gestión del servicio (numeral
3.2.22) de la organización (numeral 3.1.14)
12
PROYECTO DE
NORMA TÉCNICA COLOMBIANA NTC-ISO/IEC 20000-1 (Segunda actualización)DE 250-18
Nota 1 a la entrada: Un SGS incluye políticas de gestión del servicio (numeral 3.1.17), objetivos (numeral 3.1.13),
planes, procesos (numeral 3.1.18), información documentada y recursos requeridos para la planificación, el diseño,
la transición (numeral 3.2.27), la prestación y la mejora de servicios para cumplir los requisitos (numeral 3.1.19)
especificados en este documento.
3.2.24
proveedor de servicios (service provider). organización (numeral 3.1.14) que gestiona y
presta uno o varios servicios (3.2.15) a clientes (numeral 3.2.3).
3.2.25
solicitud de servicio (service request). Solicitud de información, asesoría, acceso a un
servicio (numeral 3.2.15) o un cambio aprobado previamente.
3.2.26
requisito del servicio (service requirement). Las necesidades de los clientes (numeral 3.2.3),
los usuarios (numeral 3.2.28) y la organización (numeral 3.1.14) relacionadas con los servicios
(numeral 3.2.15) y el SGS (numeral 3.2.23), que son declaradas u obligatorias.
Nota 1 a la entrada: En el contexto de un SGS (numeral 3.2.23), los requisitos del servicio se documentan y
acuerdan, en lugar de estar generalmente implícitos. También puede haber otros requisitos, tales como los legales y
los de reglamentaciones.
3.2.27
transición (transition). Actividades involucradas en el paso de un servicio (numeral 3.1.25)
nuevo o modificado hacia el ambiente de producción o desde él.
3.2.28
usuario (user). Individuo o grupo que interactúa o se beneficia de uno o varios servicios
numeral 3.2.15).
Nota 1 a la entrada: Algunos ejemplos de usuarios pueden ser una persona o una comunidad de personas. Un
cliente (numeral 3.2.3) también puede ser un usuario.
3.2.29
valor (value). Importancia, beneficio o utilidad.
EJEMPLO Valor monetario, logro de los resultados del servicio, logro de los objetivos (numeral 3.1.13) de la gestión
del servicio (numeral 3.2.22), retención de clientes o eliminación de restricciones.
Nota 1 a la entrada: La creación de valor de los servicios (numeral 3.2.15) incluye la obtención de beneficios a un
nivel óptimo de recursos mientras se gestiona el riesgo (numeral 3.1.20). Un activo (numeral 3.2.1) y un servicio
(numeral 3.2.15) son ejemplos de ítems a los que se puede asignar un valor.
4. CONTEXTO DE LA ORGANIZACIÓN
La organización debe determinar las cuestiones internas y externas que son pertinentes para
su propósito y que afectan su capacidad para lograr los resultados previstos de su SGS.
NOTA La palabra "cuestión" en este contexto puede hacer referencia a los factores que tienen un impacto positivo o
negativo. Estos son factores importantes para la organización en el contexto de su capacidad para prestar servicios
de la calidad acordada a sus clientes.
13
PROYECTO DE
NORMA TÉCNICA COLOMBIANA NTC-ISO/IEC 20000-1 (Segunda actualización)DE 250-18
a) las partes interesadas que son pertinentes para el SGS y para los servicios;
NOTA Los requisitos de las partes interesadas pueden incluir requisitos de servicio, de desempeño, legales y de
reglamentaciones, y las obligaciones contractuales relacionadas con el SGS y los servicios.
La organización debe determinar los límites y la aplicabilidad del SGS para establecer su
alcance.
a) las cuestiones externas e internas a las que se hace referencia en el numeral 4.1;
La definición del alcance del SGS debe incluir los servicios en el alcance, y el nombre de la
organización que gestiona y presta los servicios.
El alcance del SGS debe estar disponible y se debe mantener como información documentada.
NOTA 1 La norma ISO/IEC 20000-3 proporciona orientación sobre la definición del alcance.
NOTA 2 La definición del alcance del SGS establece los servicios que están dentro del alcance. Puede corresponder
a todos los servicios prestados por la organización, o a algunos de ellos.
5 LIDERAZGO
14
PROYECTO DE
NORMA TÉCNICA COLOMBIANA NTC-ISO/IEC 20000-1 (Segunda actualización)DE 250-18
c) asegurando que se asignen los niveles apropiados de autoridad para tomar decisiones
relacionadas con el SGS y los servicios;
d) asegurando que se determine qué constituye valor para la organización y para sus
clientes;
e) asegurando que haya control de otras partes involucradas en el ciclo de vida del
servicio;
g) asegurando que los recursos necesarios para el SGS y para los servicios estén
disponibles;
j) dirigiendo y apoyando a las personas para que contribuyan a la eficacia del SGS y de
los servicios;
NOTA La referencia a "negocios" en este documento puede interpretarse en términos generales como aquellas
actividades que son esenciales para los propósitos de la existencia de la organización.
5.2 POLÍTICA
La alta dirección debe establecer una política de gestión del servicio que:
15
PROYECTO DE
NORMA TÉCNICA COLOMBIANA NTC-ISO/IEC 20000-1 (Segunda actualización)DE 250-18
La alta dirección se debe asegurar de que las responsabilidades y las autoridades para los
roles pertinentes al SGS y a los servicios se asignen y comuniquen dentro de la organización.
6 PLANIFICACIÓN
1) la organización;
b) el impacto de los riesgos y las oportunidades para los SGS y los servicios a los clientes;
16
PROYECTO DE
NORMA TÉCNICA COLOMBIANA NTC-ISO/IEC 20000-1 (Segunda actualización)DE 250-18
b) la manera para:
NOTA 1 Las opciones para abordar los riesgos y las oportunidades pueden incluir: evitar el riesgo, tomar o
incrementar el riesgo para buscar oportunidades, eliminar la fuente de riesgo, cambiar la probabilidad o la
consecuencia del riesgo, mitigar el riesgo mediante acciones acordadas, compartir el riesgo con otra parte o aceptar
el riesgo con base en decisiones bien fundamentadas.
NOTA 2 La norma ISO 31000 proporciona principios y orientación genérica sobre la gestión del riesgo.
La organización debe establecer objetivos de la gestión del servicio en las funciones y en los
niveles pertinentes. Los objetivos de la gestión del servicio deben:
b) ser medibles;
e) comunicarse;
La organización debe conservar información documentada sobre los objetivos de la gestión del
servicio.
Al planificar cómo lograr sus objetivos de gestión del servicio, la organización debe determinar:
a) lo qué se hará;
17
PROYECTO DE
NORMA TÉCNICA COLOMBIANA NTC-ISO/IEC 20000-1 (Segunda actualización)DE 250-18
El plan de gestión del servicio debe incluir los siguientes ítems o contener una referencia a
ellos:
c) las obligaciones tales como las políticas, las normas, los requisitos legales, de
reglamentaciones y contractuales pertinentes, y cómo estas obligaciones se aplican al
SGS y a los servicios;
f) el enfoque que se asume para trabajar con otras partes involucradas en el ciclo de vida del
servicio;
h) cómo se medirá, auditará, informará y mejorará la eficacia del SGS y de los servicios.
Otras actividades de planificación deben mantener la alineación con el plan de gestión del
servicio.
7.1 RECURSOS
7.2 COMPETENCIA
La organización debe:
a) determinar la competencia necesaria de las personas que realizan trabajos bajo su control
que afectan el rendimiento y la eficacia del SGS y de los servicios;
b) asegurarse de que estas personas sean competentes, tomando como base una educación,
formación o experiencia apropiadas;
c) cuando sea aplicable, emprender acciones para adquirir la competencia necesaria, y evaluar
la eficacia de las acciones realizadas;
18
PROYECTO DE
NORMA TÉCNICA COLOMBIANA NTC-ISO/IEC 20000-1 (Segunda actualización)DE 250-18
NOTA Las acciones aplicables pueden incluir, por ejemplo: la formación, la tutoría o la reasignación de las personas
empleadas actualmente, o la contratación de personas competentes.
Las personas que realizan el trabajo bajo el control de la organización deben tomar conciencia
de:
7.4 COMUNICACIÓN
a) qué comunicar;
b) cuándo comunicar;
c) a quién comunicar;
d) cómo comunicar;
7.5.1 Generalidades
NOTA El alcance de la información documentada para un SGS puede ser diferente de una organización a otra
debido a:
19
PROYECTO DE
NORMA TÉCNICA COLOMBIANA NTC-ISO/IEC 20000-1 (Segunda actualización)DE 250-18
b) formato (por ejemplo, idioma, versión del software, gráficos) y sus medios de soporte (por
ejemplo, papel, electrónico);
7.5.3.1 La información documentada requerida por el SGS y por este documento se debe
controlar para asegurarse de que:
d) conservación y disposición.
NOTA El acceso puede implicar una decisión concerniente al permiso solamente para consultar la información
documentada, o el permiso y la autoridad para consultar y modificar la información documentada.
j) los acuerdos con proveedores internos o clientes que actúan como proveedores;
l) los registros exigidos para demostrar evidencia de conformidad con los requisitos de este
documento o con el SGS de la organización.
NOTA Esta es una lista de los documentos clave para un SGS. En este documento existen otros requisitos
especificados para que la información se mantenga como información documentada, por documentar o por registrar.
La norma ISO/IEC 20000-2 proporciona orientación guía adicional.
7.6 CONOCIMIENTO
El conocimiento debe ser pertinente, utilizable y estar disponible para las personas apropiadas.
La organización debe planificar, implementar y controlar los procesos necesarios para cumplir
los requisitos y para implementar las acciones determinadas en el numeral 6 mediante lo
siguiente:
a) estableciendo criterios de desempeño para los procesos con base en los requisitos;
La organización debe controlar los cambios planificados en el SGS y revisar las consecuencias
de los cambios no previstos, tomando acciones para mitigar los efectos adversos, cuando sea
necesario (véase el numeral 8.5.1).
La organización debe asegurar que los procesos subcontratados estén controlados (véase el
numeral 8.2.3).
21
PROYECTO DE
NORMA TÉCNICA COLOMBIANA NTC-ISO/IEC 20000-1 (Segunda actualización)DE 250-18
NOTA Un portafolio de servicios se utiliza para gestionar el ciclo de vida de todos los servicios, incluidos los servicios
propuestos, los que están en desarrollo, los que se están prestando y están definidos en los catálogos de servicios y
los que se van a eliminar. La gestión del portafolio de servicios garantiza que el proveedor del servicio tenga la
combinación adecuada de servicios. Las actividades del portafolio de servicios en este documento incluyen la
planificación de los servicios, el control de las partes involucradas en el ciclo de vida del servicio, la gestión del
catálogo de servicios, la gestión de activos y la gestión de la configuración.
Se deben determinar y documentar los requisitos del servicio para los servicios existentes, los
servicios nuevos y los cambios hechos a los servicios.
La organización debe proponer cambios cuando sea necesario para alinear los servicios con la
política de gestión del servicio, los objetivos de la gestión del servicio y los requisitos del
servicio teniendo en cuenta las limitaciones y los riesgos conocidos.
La organización debe priorizar las solicitudes de cambio y las propuestas de servicios nuevos o
modificados, para alinearse con las necesidades del negocio y con los objetivos de la gestión
del servicio teniendo en cuenta los recursos disponibles.
8.2.3.1 La organización es la que debe rendir cuentas por los requisitos especificados en este
documento y por la prestación de los servicios, independientemente de qué parte esté
involucrada en la realización de actividades que apoyen el ciclo de vida del servicio.
Las otras partes no deben prestar ni operar todos los servicios, componentes o procesos de
servicio dentro del alcance del SGS.
c) los procesos o partes de ellos en el SGS de la organización, que son operados por otras
partes.
22
PROYECTO DE
NORMA TÉCNICA COLOMBIANA NTC-ISO/IEC 20000-1 (Segunda actualización)DE 250-18
La organización debe integrar en el SGS los servicios, los componentes del servicio y los
procesos que presta u opera la organización u otras partes para cumplir con los requisitos del
servicio. La organización debe coordinar las actividades con otras partes involucradas en el
ciclo de vida del servicio, incluida la planificación, el diseño, la transición, la prestación y la
mejora de los servicios.
8.2.3.2 La organización debe definir y aplicar controles pertinentes a otras partes, a partir de lo
siguiente:
NOTA La norma ISO / IEC 20000-3 brinda orientación sobre el control de otras partes involucradas en el ciclo
de vida del servicio.
La organización debe crear y mantener uno o más catálogos de sus servicios. Estos catálogos
de servicios deben incluir información para la organización, los clientes, los usuarios y otras
partes interesadas, en los que se describan los servicios, los resultados esperados y las
dependencias entre los servicios.
La organización se debe asegurar de que los activos utilizados para prestar los servicios se
gestionen para el cumplimiento con los requisitos del servicio y las obligaciones del numeral 6.3
c).
NOTA 1 Las normas ISO 55001 e ISO/IEC 19770-1 especifican requisitos para apoyar la implementación y la
operación de activos y la gestión de activos de TI.
NOTA 2 Además, consulte la gestión de la configuración cuando el activo sea también un elemento de configuración
(EC).
Se deben definir los tipos de elementos de configuración. Los servicios se deben clasificar
como EC.
b) el tipo de EC;
23
PROYECTO DE
NORMA TÉCNICA COLOMBIANA NTC-ISO/IEC 20000-1 (Segunda actualización)DE 250-18
e) su estado.
Los EC se deben controlar. Los cambios en los EC deben ser trazables y auditables para
mantener la integridad de la información de la configuración.
La información de la configuración debe estar disponible para otras actividades de gestión del
servicio, según sea apropiado.
8.3.1 Generalidades
La Figura 2 ilustra el uso, los acuerdos y las relaciones entre la gestión de las
relaciones de negocio, la gestión de nivel de servicio y la gestión de proveedores.
Cliente
externo
Proveedor Contrato
externo
Organización
Proveedor
Acuerdo Cliente
interno
documentado interno
Cliente que
actúa como
proveedor
Acuerdo
documentado
24
PROYECTO DE
NORMA TÉCNICA COLOMBIANA NTC-ISO/IEC 20000-1 (Segunda actualización)DE 250-18
NOTA 1 La norma ISO/IEC 20000-3 incluye ejemplos de relaciones de la cadena de suministro con su
posible aplicabilidad y alcance.
NOTA 2 En este documento, la gestión de proveedores excluye las compras de los proveedores.
Se deben identificar y documentar los clientes y los usuarios de los servicios y otras
partes interesadas en ellos. La organización debe asignar una o más personas
responsables de gestionar las relaciones con los clientes y mantener la satisfacción de
estos.
Las quejas sobre el servicio se deben registrar, gestionar hasta que se solucionen, e
informar. Cuando una queja sobre el servicio no se resuelva a través de los canales
normales, se debe proporcionar un método de escalamiento.
Para cada servicio prestado, la organización debe crear uno o más ANS con base en
los requisitos de servicio documentados. Los ANS deben incluir los objetivos del nivel
de servicio, los límites de carga de trabajo y las excepciones.
25
PROYECTO DE
NORMA TÉCNICA COLOMBIANA NTC-ISO/IEC 20000-1 (Segunda actualización)DE 250-18
NOTA El acuerdo sobre los servicios que se prestarán, establecido entre la organización y sus clientes, puede ser de
muchas formas, por ejemplo, puede ser: un acuerdo documentado, actas de un acuerdo verbal realizado en una
reunión, un acuerdo informado por correo electrónico o un acuerdo con los términos del servicio.
a) el alcance de los servicios, los componentes del servicio, los procesos o partes de
los procesos que va a entregar u operar el proveedor externo;
Para cada proveedor interno o cliente que actúe como proveedor, la organización debe
desarrollar, acordar y mantener un acuerdo documentado para definir los objetivos del nivel de
servicio, otros compromisos, actividades e interfaces entre las partes.
26
PROYECTO DE
NORMA TÉCNICA COLOMBIANA NTC-ISO/IEC 20000-1 (Segunda actualización)DE 250-18
Los costos se deben presupuestar para posibilitar un control financiero y toma de decisiones
eficaces en relación con los servicios.
La organización debe, a intervalos planificados, hacer seguimiento e informar los costos reales
en comparación con el presupuesto, revisar las previsiones financieras y gestionar los costos.
NOTA Muchas organizaciones, no todas, cobran por sus servicios. El presupuesto y la contabilidad de los
servicios, mencionados en este documento, excluyen el cobro para garantizar la aplicabilidad a todas las
organizaciones.
NOTA La gestión de la demanda es responsable de comprender la demanda actual y futura de los clientes en
relación con los servicios. La gestión de la capacidad trabaja con la gestión de la demanda para planificar y
proporcionar la capacidad suficiente para satisfacer la demanda.
Los requisitos de capacidad en relación con los recursos humanos, técnicos, de información y
financieros se deben determinar, documentar y mantener teniendo en cuenta los requisitos del
servicio y de desempeño.
b) el impacto esperado sobre la capacidad de los objetivos del nivel de servicio acordados,
sobre los requisitos de disponibilidad del servicio y sobre la continuidad del servicio;
Se debe establecer y documentar una política de gestión del cambio que defina:
27
PROYECTO DE
NORMA TÉCNICA COLOMBIANA NTC-ISO/IEC 20000-1 (Segunda actualización)DE 250-18
a) los componentes del servicio y otros elementos que están bajo el control de la gestión del
cambio;
b) las categorías de cambio, que incluya los cambios de emergencia, y cómo se han de
gestionar;
c) los criterios para determinar los cambios con el potencial de tener un impacto importante en
los clientes o servicios.
Las solicitudes de cambio, incluidas las propuestas para agregar, eliminar o transferir servicios,
se deben registrar y clasificar.
b) cambios en los servicios con potencial de tener un impacto importante en los clientes, u otros
servicios según lo determinado por la política de gestión del cambio;
c) categorías de cambio que van a ser gestionadas mediante el diseño y la transición del
servicio de acuerdo con la política de gestión del cambio;
d) eliminación de un servicio;
Las solicitudes de cambio que no se gestionen aplicando el numeral 8.5.2 se deben gestionar
mediante las actividades de gestión del cambio mencionadas en el numeral 8.5.1.3.
28
PROYECTO DE
NORMA TÉCNICA COLOMBIANA NTC-ISO/IEC 20000-1 (Segunda actualización)DE 250-18
Los cambios aprobados se deben preparar, verificar y, cuando sea posible, ponerse a prueba.
Las fechas propuestas para la implementación y otros detalles de ella en relación con los
cambios aprobados se deben comunicar a las partes interesadas.
Las actividades para revertir o corregir un cambio no exitoso se deben planificar y, cuando sea
posible, se deben poner a prueba. Los cambios no exitosos se deben investigar y se deben
emprender las acciones acordadas.
La organización debe revisar los cambios para determinar su eficacia y tomar las medidas
acordadas con las partes interesadas.
En la planificación se deben usar los requisitos del servicio para los servicios nuevos o
modificados determinados en el numeral 8.2.2 y se deben incluir los siguientes elementos o
una referencia a ellos:
b) las actividades que realizará la organización u otras partes, con sus cronogramas;
h) el impacto en el SGS, en otros servicios, en los cambios planificados, en los clientes, en los
usuarios y en otras partes interesadas.
Para los servicios que se vayan a retirar, la planificación debe incluir además las fechas para el
retiro de los servicios y para las actividades de archivo, eliminación o transferencia de datos,
información documentada y componentes del servicio.
29
PROYECTO DE
NORMA TÉCNICA COLOMBIANA NTC-ISO/IEC 20000-1 (Segunda actualización)DE 250-18
Para los servicios que se vayan a transferir, la planificación debe incluir además las fechas para
la transferencia de los servicios y las actividades para la transferencia de datos, información
documentada, conocimiento y componentes del servicio.
Los EC afectados por los servicios nuevos o modificados se deben abordar por medio de la
gestión de la configuración.
8.5.2.2 Diseño
Los servicios nuevos o modificados se deben diseñar y documentar para cumplir con los
requisitos del servicio determinados en el numeral 8.2.2. El diseño debe incluir los elementos
pertinentes de los siguientes:
b) los requisitos relativos a los cambios en los recursos humanos, técnicos, de información y
financieros;
d) ANS, contratos y otros acuerdos documentados, nuevos y modificados, que respaldan los
servicios;
e) cambios en el SGS, incluidas las políticas, los planes, los procesos, los procedimientos, las
medidas y los conocimientos, nuevos o modificados;
Los servicios nuevos o modificados se deben construir y poner a prueba para verificar que
cumplen con los requisitos del servicio, con el diseño documentado y con los criterios de
aceptación del servicio acordados. Si no se cumplen los criterios de aceptación del servicio, la
organización y las partes interesadas deben tomar una decisión sobre las acciones necesarias
y su implementación.
Una vez finalizadas las actividades de transición, la organización debe informar a las partes
interesadas sobre los logros en relación con los resultados previstos.
30
PROYECTO DE
NORMA TÉCNICA COLOMBIANA NTC-ISO/IEC 20000-1 (Segunda actualización)DE 250-18
incluir las fechas de implementación de cada versión, los entregables y los métodos de
implementación.
Antes de implementar una versión en el entorno de producción, se debe tomar una línea base
de los elementos de configuración afectados.
Se debe hacer seguimiento y controlar el éxito o el fracaso de las versiones. Las mediciones
deben incluir los incidentes relacionados con una versión en el período posterior a la
implementación de una versión. Los resultados y conclusiones extraídos del análisis se deben
registrar y revisar para identificar oportunidades de mejora.
La información sobre el éxito o el fracaso de las versiones y las fechas de las futuras versiones
se debe poner a disposición para otras actividades de gestión del servicio, según corresponda.
a) registrar y clasificar;
c) escalar, si es necesario;
d) solucionar;
e) cerrar.
La organización debe determinar los criterios para identificar un incidente importante. Los
incidentes mayores se deben clasificar y gestionar de acuerdo con un procedimiento
documentado. Se debe mantener informada a la alta dirección sobre incidentes importantes. La
organización debe asignar la responsabilidad de la gestión de cada incidente importante. Una
vez resuelto el incidente, el incidente principal se debe informar y revisar para identificar
oportunidades de mejora.
a) registrar y clasificar;
b) priorizar;
31
PROYECTO DE
NORMA TÉCNICA COLOMBIANA NTC-ISO/IEC 20000-1 (Segunda actualización)DE 250-18
c) cumplir;
d) cerrar.
Los registros de las solicitudes de servicio se deben actualizar con las acciones tomadas.
Para identificar los problemas, la organización debe analizar los datos y las tendencias en los
incidentes. La organización debe llevar a cabo un análisis de la causa raíz y determinar las
posibles acciones para prevenir que ocurran incidentes o que se repitan.
a) registrar y clasificar;
b) priorizar;
c) escalar, si es necesario;
d) resolver, si es posible;
e) cerrar.
Los registros de los problemas se deben actualizar con las acciones tomadas. Los cambios
necesarios para la resolución de los problemas se deben gestionar de acuerdo con la política
de gestión del cambio.
Cuando se haya identificado la causa raíz pero no se haya resuelto el problema en forma
permanente, la organización debe determinar las acciones para reducir o eliminar el impacto
del problema sobre los servicios. Se deben registrar los errores conocidos y se debe poner a
disposición de las otras actividades de gestión la información actualizada sobre los errores
conocidos y la resolución de problemas, según corresponda.
Se deben evaluar y documentar los riesgos para la disponibilidad del servicio, a intervalos
planificados. La organización debe determinar los requisitos y los requisitos de disponibilidad
del servicio. Los requisitos acordados deben tener en cuenta los requisitos de negocio
pertinentes, los requisitos del servicio, los ANS y los riesgos.
Se deben documentar y mantener los requisitos y los objetivos de disponibilidad del servicio.
32
PROYECTO DE
NORMA TÉCNICA COLOMBIANA NTC-ISO/IEC 20000-1 (Segunda actualización)DE 250-18
Se debe hacer seguimiento de la disponibilidad del servicio, y los resultados se deben registrar
y comparar con los objetivos. Se debe investigar la falta de disponibilidad no planificada y
emprender las acciones necesarias.
NOTA Los riesgos identificados en el numeral 6.1 pueden proporcionar entradas sobre los riesgos para la
disponibilidad del servicio, la continuidad del servicio y la seguridad de la información.
Se deben evaluar y documentar los riesgos para la continuidad del servicio, a intervalos
planificados. La organización debe determinar los requisitos para la continuidad del servicio.
Los requisitos acordados deben tener en cuenta los requisitos pertinentes al negocio, los
requisitos del servicio, los ANS y los riesgos.
La organización debe crear, implementar y mantener uno o más planes de continuidad del
servicio. El (los) plan (es) de continuidad del servicio deben incluir los siguientes elementos o
contener una referencia a ellos:
c) los objetivos de la disponibilidad del servicio cuando se invoca el plan de continuidad del
servicio;
El(los) plan(es) de continuidad del servicio y la lista de contactos deben estar accesibles
cuando se impida el acceso a la ubicación del servicio normal.
El(los) plan(es) de continuidad del servicio se debe(n) poner a prueba contra los requisitos para
la continuidad del servicio, a intervalos planificados. El plan de continuidad del servicio se debe
poner a prueba nuevamente después de realizar cambios importantes en el entorno del
servicio, y se deben registrar los resultados de estas pruebas. Se deben hacer revisiones
después de cada prueba y después de que se hayan invocado los planes de continuidad del
servicio. Cuando se encuentren deficiencias, la organización debe tomar las medidas
necesarias.
Cuando se haya(n) invocado el(los) plan(es) de continuidad del servicio, la organización debe
informar sobre la causa, el impacto y la recuperación.
33
PROYECTO DE
NORMA TÉCNICA COLOMBIANA NTC-ISO/IEC 20000-1 (Segunda actualización)DE 250-18
a) en la organización;
Se deben evaluar y documentar los riesgos de seguridad de la información para el SGS y los
servicios, a intervalos planificados. Los controles de seguridad de la información se deben
determinar, implementar y operar para respaldar la política de seguridad de la información y
hacer frente a los riesgos de seguridad de la información identificados. Las decisiones sobre
los controles de seguridad de la información se deben documentar.
a) registrar y clasificar;
c) escalar, si es necesario;
d) resolver;
e) cerrar.
La organización debe analizar los incidentes de seguridad de la información por tipo, volumen e
impacto en el SGS, en los servicios y en las partes interesadas. Los incidentes de seguridad de
la información se deben informar y revisar para identificar oportunidades de mejora.
NOTA La serie ISO/IEC 27000 especifica los requisitos y proporciona orientación para apoyar la implementación y
la operación de un sistema de gestión de la seguridad de la información. La norma ISO/IEC 27013 proporciona
orientación sobre la integración de las normas ISO/IEC 27001 e ISO/IEC 20000-1 (este documento).
- a qué es necesario hacer seguimiento y qué es necesario medir para el SGS y los servicios:
34
PROYECTO DE
NORMA TÉCNICA COLOMBIANA NTC-ISO/IEC 20000-1 (Segunda actualización)DE 250-18
- los métodos de seguimiento, medición, análisis y evaluación, según sea aplicable, para
asegurar resultados válidos;
La organización debe evaluar el desempeño del SGS contra los objetivos de la gestión del
servicio y evaluar la eficacia del SGS.
a) cumple:
35
PROYECTO DE
NORMA TÉCNICA COLOMBIANA NTC-ISO/IEC 20000-1 (Segunda actualización)DE 250-18
c) la información sobre el desempeño y la eficacia del SGS, incluidas las tendencias en:
k) los resultados de la evaluación del riesgo y la eficacia de las medidas adoptadas para
abordar los riesgos y las oportunidades;
Las salidas de la revisión por la dirección deben incluir las decisiones relacionadas con las
oportunidades de mejora continua y cualquier necesidad de cambios en el SGS y en los
servicios.
Los informes sobre el rendimiento y la eficacia del SGS y los servicios se deben elaborar
utilizando la información de las actividades del SGS y de la prestación de los servicios. Los
informes de servicios deben incluir las tendencias.
36
PROYECTO DE
NORMA TÉCNICA COLOMBIANA NTC-ISO/IEC 20000-1 (Segunda actualización)DE 250-18
La organización debe tomar decisiones y emprender acciones basadas en los hallazgos en los
informes de servicios. Las acciones acordadas se deben comunicar a las partes interesadas.
NOTA Los informes que se exigen se especifican en los numerales pertinentes de este documento. También se
pueden elaborar Informes adicionales.
10 MEJORA
b) evaluar la necesidad de acciones para eliminar las causas de la no conformidad, con el fin
de que no vuelva a ocurrir ni ocurra en otra parte, mediante:
1) la revisión de la no conformidad;
Las acciones correctivas deben ser adecuadas a los efectos de las no conformidades
encontradas.
Las oportunidades de mejora deben estar documentadas. La organización debe gestionar las
actividades de mejora aprobadas, que incluyen:
37
PROYECTO DE
NORMA TÉCNICA COLOMBIANA NTC-ISO/IEC 20000-1 (Segunda actualización)DE 250-18
d) medir las mejoras implementadas contra los objetivos establecidos y cuando no se cumplan
los objetivos, tomar las medidas necesarias;
NOTA Las mejoras pueden incluir acciones reactivas y proactivas tales como corrección, acción correctiva, acción
preventiva, mejoras, innovación y reorganización.
DOCUMENTO DE REFERENCIA
38