Norma Tecnica Colombiana - ISO 20000

4I
NORMA TECNICA NTC-ISO/IEC

COLOMBIANA 20000-1
20 12-12-12
TECNOLOGIA DE LA INFORMACION.
ha GESTION DEL SERVICIO. PARTE 1: REQUISITOS
DEL SISTEMA DE GESTION DEL SERVICIO
o l E: INFORMATION TECHNOLOGY. SERVICE MANAGEMENT.

PART 1: SERVICE MANAGEMENT SYSTEM REQUIREMENTS.
ucon tec
Internaclonal
CORRESPONDENCIA: esta norma es una adopciOn idéntica
(IDT) de Ia norma ISO/IEC 20000-1:
2011.
DESCRIPTORES: tecnologla de Ia informaciOn; sistema

de gestiOn, sistema de gestiOn del
servicio; servicio; informacion.
I.C.5.: 03.080.99: 35.020

Is
Editada par el Instituto Colornbiano de Normas Técnicas y Cerlificacion (ICONTEC)
Aparlado 14237 Bogota, D.C. . Tel. (571) 6078888 - Fax (571) 2221435
Prohibida su reproduccion Primera actualizaciOn

Editada 201 2.12.21
0 ICONTEC 2015
Reservados todos los derechos. Ninguna parte de esta publicaciOn

puede set reproducida o utilizada en cualquier forma 0 por cualquier
medio, electronico o mecânico incluyendo fotocopiado y
microfilmaciOn, sin permiso por escrito del editor.
Instituto Colombiano de NorTuas Tecnicas y Certificacion, ICONTEC

PROLOGO
El Instituto Colombiano de Normas Tecnicas y Certificacion, ICONTEC, es el organismo

nacional de normalizaciOn, segUn el Decreto 2269 de 1993.
ICONTEC es una entidad de caracter privado, sin ánimo de lucro, cuya Misión es fundamental
para brindar soporte y desarrollo at productor y protecciOn at consumidor. Colabora con el
sector gubernamental y apoya al sector privado del pals, para lograr ventajas competitivas en
los mercados interno y externo.
La representaciôn de todos los en el proceso de Normalizacion Técnica

estâ garantizada por los Con pdo de Consulta PUblica, este Ultimo
caracterizado por Ia participap
La NTC-ISO/IEC 20000-1 por el Consejo Directivo de

2012-12-12.
Esta norma estw-u-i-elp a ser de que responda en

todo moment a las n cesidai
A continSion1seJre4onan las empresas que el e diötdëTëtãN.orrna a traves de

su par p 'HjeniI[Cmfte tecnico 181 Gestion
V TELECOMI!JNC SOANSES L
CAMARA DE Olv SUN GEMIN
CENET S.A. TELMEX 5)
CROSS BORDER DE OCCIDENTE
IQ INFORMATION
Ademâs de las anteriores, se puso a consideracion de las

siguientes empresas:
A TODA HORA S.A ATH _ tAJA COLOMBIANA DE SUBSIDIO FAMILIAR

ACH COLOMBIA S.A. -COLSUBSIDIO-
ACTUAUZACIONES DE SISTEMA CENRO DE INVES11GACI6N V
AERO\AAS DEL CONTINENTE AMERICANO DESARROLLO EN ThCNOLOGS DE LA
S.A. -AVIANCA S.A.- INFORMACION V LAS COMUNICPLCIONES
AGENDA DE CONECTIVIDAD CENTRO POLICLINICO DEL OLAVA C.P.O.
ALIANZA SINERTIC S.A.
ARCHIVO GENERAL DE LA NACION CHOUCAIR TESTING S.A.
BANCO CAJA SOCIAL CIBERCALL S.A.
BANCO COMERCIAL AV VILLAS COLOMBIA TELECOMUNICACIONES SA
BANCO DAVIVIENDA S.A. E.S.P.
BANCO DE BOGOTA COMERCIO ELECTRONICO EN INTERNEE
BANCO GNB SUDAMERIS CENET SA
BRANCH OF MICROSOFT COLOMBLA INC COMPUREDES S.A.
CONTRALORIA DE CUNDINAMARCA MICROCOM COMUNICACION Y SEGURIDAD
COOPERATIVA IDE PROFESIONALES DE LTDA.
LA SALUD -PROSALCO I.P.S.- MINISTERIO DE TECNOLOGIAS DE LA
CREDIBANCO INFORMACION V LAS COMUNICACIONES
DAKYA LTDA. NEGOTEC NEGOCIOS Y TECNOLOGIA LTDA
ECOPETROL S.A. NEXOS SOFTWARE S.A.S.
ENLACE OPERATIVO S.A. PARQUES Y FUNERARIAS S.A. JARDINES
ETB S.A. E.S.P. DEL RECUERDO
FLUIDSIGNAL GROUP S.A. PIRAMIDE ADMINISTRACION DE
FONDO DE EMPLEADOS DEL INFORMACION LTDA.
DEPARTAMENTO DE AN1100ULAL POLITECNICO MAYOR AGENCIA
FUNDACION PARQUE TECNOLOGICO CRISnANA IDE SERVICIO Y EDtJCACION LTI
DEL SOFTWARE DE CALl -PARQUESOFT- PONTIFICIA UNIVERSIDAD JAVERIANA
FUNDACION UNIVERSITARIA INPAHU PROJECT ADVANCED MANAGEMENT
GESTION & ESTRATEGIA S.A.S. QUALITY SYSTEMS LTDA.
GETRONICS COLOMBIA LTDA. SISTEMAS Y FORMACION S.A.S.
GIT LTDA. SOCIEDAD COLOMBIANA DE ARCHMSTAS
HERRAMIENTAS PARA EL MEJORAMIENTO SYNAPSIS COLOMBIA LTDA.
DEL TRABAJO LTDA. TEAM FOODS COLOMBIA S.A.
HOSPITAL SAN VICENTE ESE DE TECNOLOGIAS DE INFORMACION Y
MONTENEGRO COMUNICACIONES DE COLOMBIA LTDA.
INFOCOMUNICACIONE5 S.A.S. TELMEX COLOMBIA S.A.
INFOTRACK S.A. TIQAL S.A.S.
INSTITUTO DE ORTOPEDIA INFANTIL TOMAS MORENO CRUZ Y CIA. LTDA.
ROOSEVELT TOP FACTORY
INSTITUTO ROOSEVELT TRANSFIRIENDO S.A.
IPX LTDA. TRANSPORTADORA DE VALORES
10 CONSULTORES ATLAS LTDA.
IT SERVICE LTDA. TUS COMPETENCIAS LTDA.
JAIME TORRES C. Y CIA. S.A. UNIVERSIDAD DISTRITAL FRANCISCO
JIMMY EXENOVER ESPINOSA LOPEZ JOSE DE CALDAS
KEXTAS LTDA. UNIVERSIDAD JAVERIANA
LOGIN LEE LTOA. UNIVERSIDAD NACIONAL ABIERTA Y A
MAKRO SUPERMAYORISTA S.A. DISTANCIA
MAREIGUA LTDA. UNIVERSIDAD NACIONAL DE COLOMBIA
MEGABANCO UNIVERSIDAD SANTIAGO DE CALl
ICONTEC cuenta con Un Centro de Informacion que pone a disposiciori de los interesados
normas internacionales, regionales y nacionates y otros documentos relacionados.
DIRECCION DE NORMALIZACION
PROLOGO
ISO (Ia Organizacion Internacional para Ia Normalizacion) a IEC (Comisiôn Electrotecnica

Internacional) fomian et sistema especializado de normalizacion mundial. Los organismos
nacionales que son miembros de ISO o de lEG participan en el desarrollo de nomias
internacionales a haves de los comites establecidos por Ia respectiva organizaciOn para tratar
los campos particulares de Ia actividad técnica. Los comites técnicos de ISO e IEC colaboran
en los campos de interes mutuo. Otras organizaciones internacionales, gubemamentales y no
gubernamentales, en union con ISO e , bién toman parte en el trabajo. En el campo de
Ia tecnologia de Ia informacion,IS a lEG h establecido un comité técnico conjunto, el
comite ISO/lEG JTC 1.
Las norrnas internacionales.s€T?Jãëtiiifdejacuerd5T63hjas reglas establecidas en Ia Parte 2

de las directivas de ISO/lEG.
La principal labor I comité 'WbicolconjiThto es pie arar ormas internacionales. Las

versiones prelimi e de las norTnt]iñternacionales ado ada p el comité técnico conjunto
se r a dos los organl'h039,!jpacionalesJpa su ota n. La publicaciôn como
una A nacio al requiere Ia apr3kaci6fdinini el 7 %T'de I organismos miembro
lernacio
que _____________
Se 'Ei5n obrej posibilidad de qu lgunosje losreleffiat6me te documento

pue jeto ados de patente. IS e IEEj no 4sumerlrespon bilidad por Ia
iden cua uieraFoltaacs los derechos de o entè.
La por el comité tecijionjiThtöIJtO/lEC JTC 1,

SC 7, Software a ngenii?ia Sistemas. Esta
segunda E edicion (ISO/lEG 0000Y1 5), Ia cual se ha
sometido a Werencias son las sIiët
- mayor alineaJ5n Co lS(
- mayor alineación co IS(
- cambio en Ia terininol I
- adiciOn de muchas más de algunas definiciones y retiro de

dos de ellas;
- introducciOn del término "sistema de gestiOn del servicio";
- combinacion de las Secciones 3 y 4 de ISO/lEG 20000-1:2005 para dejar todos los

requisitos del sistema de gestiOn en una sección;
aclaración de los requisitos sobre el gobierno de los procesos operados por otras
partes;
aclaracion de los requisitos para definir el alcance del sistema de gestiOn del servicio
(SGS);
- aclaraciOn de que Ia metodologia PHVA se aplica al SGS, incluyendo los procesos de
gestiôn del servicio, y los servicios;
- introduccion de nuevos requisitos para el diseno y Ia transicion de servicios nuevos o

rnodificados.
La norma ISO/IEC 20000 consta de las siguientes partes, bajo el titulo general de Teenologia
de Ia informaciOn. Gestion dcl seriicio:
- Parte 1: Requisitos del sistema de gestion del servicio.
- Parte 2: Directrices sabre Ia aplicacion de los sistemas de gestion del servicio.
Parte 3: Directrices Sabre Pa definiciOn del alcance y Ia apticabilidad de ISO/IEC 20000-1

(Informe Tecnico)
Parte 4: Modelo de referencia de procesos (Infarme Tecnico)
- Parte 5: Ejemplo de plan de implementacion para ISO/lEG 20000-1 (Informe Tecnico)
Un modelo de evaluacion de procesos para Ia gestion del servicio será tema de una futura
Parte 8.
NORMA TECNICA COLOMBIANA NTC-ISOIIEC 20000-1 (Primera actualizaciôn)
INTRODUCCION
Los requisitos de esta parte de Ia norma ISO/IEC 20000 incluyen el diseño, transiciôn,
prestaciôn y mejora de servicios que satisfagan los requisitos de servicio y brinden valor tanto
para el cliente coma para el prestadar del servicio. Esta parte de ISO/IEC 20000 exige un
enfoque par pracesas integradas Cu I prestadar del servicio planifica, establece,
implementa, opera, manitarea, revis , mantiene mejora un sistema de gestiOn del servicio
(SGS).
La integracion y Ia impleme ciOnIcoordi'äias de un GS proporcionan control continuo y

oportunidades para Ia mejo continua, mayorefucacia y iciencia. La operaciOn de procesas
tal como se especifica en Jnorma requieregue el personal esté bien organizado y
caordinada. Se pued utilizar hkramitas!api9piadas p ra a gurar que los procesas sean
eficaces y eficiente
Los prestador de SE rvicias más efectiVsJconsiaeranI!fi1pact_en el*GS a través de todas

las etapas _I ciclo da vida del servicio, de jë1lãitThtegpasa do porett4iseno, Ia transición
y Ia oper on, incluye ido Ia mejara continua.____________
Esta ormaçexige Ia iplica de Ia metodologi nod a ca_a Plifi31 cer-Verificar-

Actu r (PlV.) a tod is Ia pa s del SGS y a los rvi as. ta met8logia tal coma se
aplic en estajnorma, e pu de de ibir brevemente de iguie_te manera
Planifica esta6lecer, Jocu entary apr__ar el SGS. El SGS Inc ye lTh3llt' as, los abjetivos,
los planes as proce as p ra cumplir con s requisitos de servi 10.
Hacer: impleme r y per r el SGS pam el di no, Ia transició , Ia restaciôn y Ia mejara de

las servicias.
Verificar: monitorear, medir&JFisar el SGS y losIseryitips frente a las paliticas, las abjetivos,
los planes y las requisitas dgsevicio, y repartar loslresultThios.
Actuar: emprender las accione(para rnejorarcontjamente el desempeño del SGS y los

servicios.
Cuando se utilizan dentro de un SGS, l5fltUientes son los aspectos más importantes de un
enfoque par procesas integrados y de Ia metadalagia PHVA:
camprender y cumplir con los requisitas de servicio para lagrar Ia satisfaccion del cliente;
establecer Ia politica y las objetivos para Ia gestion del servicio,
disenar y prestar servicios basados en el SGS para dar valor agregado al cliente;
manitorear, medir y revisar el desempeño del SGS y las servicias;
mejarar cantinuamente el SGS y los servicios can base en mediciones abjetivas.

NORMA TECNICA COLOMBIANA NTC-ISOIIEC 20000-1 (Primera actualizacion)
La Figura 1 ilustra Ia manera coma se puede aplicar Ia metodologia PHVA al SGS, incluyendo
los procesos de Ia gestiôn del servicio especificados en' las secciones 5 a 9, y los servicios.
Cada elemento cle Ia rnetodologia PHVA as una parte vital de Ia implementaciOn exitosa de un
SGS. El proceso de mejora utilizado an esta norma se basa en esta metodologia.
Figura 1. Metodologia PHVA aplicada a Ia gestión del servicio
Esta norma le permite at prestador del servicio integrar su SGS con otros sistemas de gestiôn
an su organizaciOn. La adopciOn de un enfoque por procesos integrados y de Ia metodologia
PHVA le permite al prestador alinear a integrar completamente varias normas de sistemas de
gestión. Por ejemplo, un SGS se puede integrar con un sistema de gestión de Ia calidad
basado en Ia NTC-ISO 9001 o con un sistema de gestiOn de Ia seguridad de Ia informacion
basado en Ia NTC-ISO/IEC 27001.
Esta norma as deliberadamente independiente de directrices especificas. El prestador del

servicio puede utilizar una combinaciOn de directrices aceptadas generalmente y de su propia
experiencia.
Los usuarios de una norma son responsables por su correcta aplicacion. La norma no pretende
incluir todos los requisitos estatutarios y reglamentarios necesarios ni las obligaciones
contractuales del prestador del servicio. La conformidad con una norma no confiere por Si sola
inmunidad frente a requisitos estatutarios y reglamentarios.
Para propósitos de investigaciOn sabre las normas de gestión de servicios, se alienta a los
usuarios a cornpartir sus puntos de vista sobre esta norma y sus prioridades en cuanto a
cambios an el resto de Ia serie ISOIIEC 20000. Siga el siguiente vinculo para participar de Ia
encuesta an linea:
www.surveymonkey.com/s/20000-1
NORMA TECNICA COLOMBIANA NTC-ISO/IEC 20000-1 (Primera actualización)
CONTENIDO
Pagina
1. OBJETO V CAMPO DE WCACIONi ................. 1
1.1 GENERALIDADES... .4 ....................... I
1.2 APLICACION ....................... 2
2. REFEBEN NORMATIVAS ..................

.....,.... 3
3. AERMINQS1VJGEFINONES ................................... 3
4. SISTEMA DE' ............. 7

TJÔP4IDELSERVICIQ'.
4.1 ONSa4IDAcII!A'IDICCIÔN ............................................. 7
4.2 GOBIERLNOJD LOOCESOSOe'ERADOS POR OT S P4RTES ................... 9
4.3 GESTIONA D MENACIÔN. 9
4.4 GESTIÔN DE LOS RSOS ................................................. 10
4.5 ESTABLECER V MER1EL SGSI.. .................................................... 11
S. DISEf4O V TRANSICIÔN DE Q$VJC1OS NUEVOS 0 MODIFICADOS .......... 15
5.1 GENERAUDADES ..................................................................................................... 15
5.2 PLANIFICAR LOS SERVICIOS NUEVOS 0 MODIFICADOS ................................... 15
5.3 DISESO V DESARROLLO DE SERVICIOS NUEVOS 0 MODIFICADOS ................ 16
5.4 TRANSICIÔN DE SERVICIOS NUEVOS 0 MODIFICADOS ..................................... 17

NORMA TECNICA COLOMBIANA NTC-ISO1IEC 20000-1 (Primera actualización)
Pagina
6. PROCESO DE PRESTACION DEL SERVICIO ......................................................... 17
6.1 CESTIÔN DEL NIVEL DE SERVICIO ........................................................................ 17
6.2 PRESENTACION DE INFORMES DEL SERVICIO ................................................... 18
6.3 GESTION DE LA CONTINUIDAD V LA DISPONIBILIDAD DEL SERVICIO ............ 19
6.4 PRESUPUESTO V CONTABILJDAD DE LOS SERVICIOS ..................................... 20
6.5 GESTION DE LA CAPACIDAD.................................................................................. 21
6.6 GESTIÔN DE LA SEGURIDAD DE LA INFORMACIÔN ........................................... 21
PROCESOS DE RELACIóN ......................................................................................22
7.1 GESTION DE LAS RELACIONES CON EL NEGOCIO.............................................22
7.2 GESTIÔN DE LOS PROVEEDORES .........................................................................23
PROCESOS DE SOLUCION ......................................................................................24
8.1 GESTION DE INCIDENTES V SOLICITUDES DE SERVICIO ..................................24
8.2 GESTIÔN DE PROBLEMAS ......................................................................................25
PROCESOS DECONTROL ........................................ 26
9.1 GESTION DE LA CONFIGURACION ......................... 26
9.2 GESTIÔN DEL CAMBIO ............................................. 27
9.3 GESTIôN DE VERSIONES E IMPLEMENTACIONES 28
BIBLIOGRAFIA...................................................................................................................... 30
DOCUMENTO DE REFERENCIA ..........................................................................................31

Pagina
FIGURAS
Figura 1. Metodologia PHVA aplicada ala gestion del servicio ..........................................
Figura 2. Sistema de gestión del 4
Figura 3. Ejemplo de las

NORMA TECNICA COLOMBIANA NTC-ISO/IEC 20000-1 (Primera actualizacion)
TECNOLOGIA DE LA INFORMACION.
GESTIôN DEL SERVICIO.
PARTE 1: REQUISITOS DEL SISTEMA DE GESTIÔN DEL SERVICIO
1. OBJETO V CAMPO DE APLICACION
1.1 GENERALIDADE5
Esta parte de Ia norma es sobre sistemas de gestiOn del servicio (SGS). Se especifican los
requisitos para que un prestador del servicio planifique, establezca, implemente, opere,
monitoree, revise, mantenga y mejore un SGS. Los requisitos incluyen el diseno, transiciOn,
prestaciOn y mejora de los servicios para cumplir con los requisitos de servicio. Esta pane de Ia
norma puede ser utilizada:
por una organization que busca servicios de prestadores de servicios y exige Ia

garantia de que se cumplirán sus requisitos de servicio;
por una organizaciOn que exige un enfoque consistente por parte de todos sus
prestadores de servicios, incluyendo aquellos an Ia cadena de suministro;
por un prestador de servicios que pretende demostrar su capacidad para el diseño,

transiciOn, prestación y mejora de servicios que cumplen con los requisitos de servicio;
por un prestador de servicios para monitorear, medir y revisar sus procesos y servicios
en Ia gestiOn del servicio;
por un prestador de servicios pare mejorar el diseño, Ia transiciOn y Ia prestaciOn de los

servicios a traves de Ia implementation y Ia operaciOn eficaces de un SGS;
por un evaluador o auditor, como criterio pam una evaluaciOn de Ia conformidad del
SGS de un prestador de servicios con los requisitos de esta parte de Ia norma.
La Figura 2 ilustra un SGS, que incluye los procesos de gestión del serviclo. Estos procesos y
las relaciones entre ellos pueden implementarse de diversas formas por diferentes prestadores
de servicios. La naturaleza de Ia relatiOn entre un prestador de servicios y el cliente influira en
Ia manera en que se implementan los procesos de gestiOn del servicio.
1 de 31
Slstoma do Gestlon del Servicio (505) I
Clientes Responsabilidad Gobjomo do los procosos Cliontos

I (y otras panes
interesadas)
I do Ia diroión operados par otras paitos (y otras panes
ntor)
Establecer el GostiOr, documental
50$ Gostion do los recursos I
Diseño y transiciOn do los
servicios nuovos o modificados
Pracesos do Ia prestaciOn del servicio
GostiOn do Ia Geslion del nivel Gestion do Ia

capacidad del servicio seguridad do
to intormacion
Requlsitos do Sorvicios
del servicio G to Presuptjosto y
vido
contabiUdad do
losseruidos
las
Un 2. Sistema do
Todos IoN requiitos norma son genéri s y tien coma objeto su

aplicación a odos lo los, independiente ente d tipo, el tamaño y Ia
naturaleza de a., S anda un presV dr. servicios declara Ia
conformidad con s e aceptable Ia de cualquiera de los
requisitos de las Se ntem te de Ia na de Ia arganización del
prestador del servicio.
El prestador del servicio so puei afjconf I d con los requisitos de Ia secciOn 4

ünicarnente presentando evid cii limiëñto todos los requisitos de dicha secciOn.
Un prestador de servicios no p ier de evidencia de gobierno de los procesas
operados par otras partes para los il'ellg8ecciltln 4.
El prestador de servicios puede demostrar conformidad can los requisitos de las secciones 5 a 9
presentanda evidencia del cumplimiento de todos las requisitos. Como alternativa, el prestador
puede presentar evidencias del cumplimiento de Ia mayoria de los requisitos y evidencia del
gobierna de los procesos operados par atras partes para dichos procesas, 0 partes de los
procesos, que el prestador no opera directamente.
Se excluye del alcance de esta parte de Ia norma Ia especificacion pam un producto 0 una
herramienla. Sin embargo, Ia arganizaciôn puede utilizar esta parte de Ia norma pam tacilitar el
desarrollo de productos 0 herramientas que soparten Ia operacion de un SGS.
NOTA La norma ISO/IEC TR 20000-3 proporciona orientacion para Ia deflniciOn dol alcance y la aplicabilidad de
esta parte de la norma. Incluye eplicacion adicional acerca del gobierno do los procesos operados pot otras partes.
NORMA TECNICA COLOMBIANA NTC-ISO/IEC 20000-1 (Primera actualizac ion)
REFERENCIAS NORMATIVAS
Los siguientes documentos de referencia son indispensables para Ia aplicaciOn de esta norma.
Para referencias con fecha, ünicamente se aplica Ia edicion citada. Para referencias sin fecha,
se aplica Ia edicion más reciente del documento mencionado (incluyendo todas las enmiendas).
No se citan referencias nonnativas. Esta seccion se incluye con el fin de asegurar que Ia
numeración de las secciones sea idénticacon aquella de Ia ISO/IEC 20000-2, Tecnologia de Ia
inforrnacion. GestiOn del servicio. Parte 2: Directrices sobre Ia aplicación de los sistemas de
gestion de servicios.
TERMINOS Y DEFINICIONES
Para los propOsitos de este documento, se aplican los siguientes términos y definiciones.
3.1 Acción correctiva (Corrective Action). Acción para eliminar Ia causa o reducir Ia
probabilidad de recurrencia de una no conforrnidad detectada o de otra situación indeseada.
NOTA Adaptado do Iso 9000:2005.
3.2 AcciOn preventiva (Preventive Action). Accion para evitar o eliminar las causas o reducir
Ia probabilidad de ocurrencia de una no confomiidad potencial 0 de otra situaciOn potencial no
deseada.
NOTA Adaptado do ISO 9000:2005.
3.3 Acuerdo de nivel de servicio (Service Level Agreement). Acuerdo documentado entre
un prestador de servicios y un cliente, el cual identifica los servicios y los objetivos del sèrvicio.
NOTA 1 Un acuerdo do nivel do servicio tambien so puede establecer entre el prestador del serviclo y un
proveedor externo, Un grupo interno 0 Ufl cliente quo actUa comb proveedor externo.
NOTA 2 Un acuordo do nivel del servicio puodo estar incluido on un contrato u otro tipo de acuerdo documentado.
3.4 Alta direcciOn (Top Management). Persona o grupo de personas que dirigen y controlan
al prestador del servicio at más alto nivel.
NOTA Adaptado de ISO 9000:2005.
3.5 Base de datos de gestion de Ia configuraciOn (Configuration Management DataBase).

Base de datos utilizada para registrar los atributos de los elementos de configuración, y las
relaciones entre los elementos de configuracion durante todo su ciclo de vida.
3.6 Cliente (Customer). Organizacion a parte de una organizacion que recibe el servicio o los
servicios.
NOTA 1 Un clionte puedo sor interno o externo a Ia organizaciOn del prestador del serviclo.
NOTA 2 Adaptado do ISO 9000:2005.
3.7 Componente del servicio (Service Component). Parte de un servicia que cuando se
combina con otras partes prestaré un servicio completo.
EJEMPLOS Hardware, software, herramiontas. aplicaciones, documentacion, infonnacion, procesos 0 servicios

do soporte.
NORMA TECNICA COLOMBIANA NTC-ISO!IEC 20000-1 (Primera actualización)
NOTA Un coniponcnte del servicio puede estar constituido per unoo mas eleinentos de configuracion.
3.8 Continuidad del servicio (Service Continuity). Capacidad para gestionar los riesgos y los
eventos que podrian tener un impacto grave en el servicio o los servicios, con el fin de prestar
continuamente tales servicios a los niveles acordados.
3.9 Disponibilidad (Availability). Capacidad de Un servicio 0 de Un componente del servicio

para Ilevar a cabo su funciOn requerida en un instante detemiinado o durante un periodo de
tiempo que ha sido acordado.
NOTA Per to general. Ia disponibilidad se expresa como una relacion 0 Ufl porcentaje dci tiempo en ci que ci
servicio o ci componente del serviclo estân realmente disponibics para su uso par pane dci clicntc y ci ticmpo
acordado an ci quc ci scrvicio debcrta estar disponibie.
3.10 Documento (Document). de soporte.
[Iso 9000:20051
EJEMPLOS Pouticas. planes. de acuerdos de nivel de servicio, contratos
0 rcgistros.
NOTA 1 La documjEjn puede estar
NOTA 2 En Ia I C0000, los do' intcncion que se quicrc

aicanzar.
3.11 Ef'uffcliaUEffëEiil'eness). Extension en y se
3.12 Item). ElemecJqueJes1nepGsario controlar

con el
3.13 Error que tiene un4Icaua'raiz identifcada o un

método para rvicio medianf!a soluciOn provisional.
3.14 Gestion del servicio to de capacidades y procesos pam

dirigir y controlar las acti' dor del servicio para el diseno, Ia
transiciOn, Ia prestacion y I fin de cumplir con los requisites de
servicio.
3.15 Grupo interno (Internal Crc del prestador del servicio que
participa en un acuerdo dor del servicio para contribuir at diseno, Ia
transición, Ia prestaciôn y Ia mejora de servicio o los servicios.
NOTA El grupo intemo está fuera dci aicance del SGS dci prestador dci servicio.
3.16 Incidente (Incident). lnterrupciôn no planificada de un servicio, reducciOn en Ia calidad de

un serviclo 0 un evento que aCm no ha tenido impacto en el servicio para el cliente.
3.17 Incidente de seguridad de Ia información (Information Security Incident). Un evento 0

serie de eventos de seguridad de Ia informaciOn no deseados o inesperados, que tienen una
probabilidad significativa de comprometer las operaciones del negoclo y amenazar Ia seguridad
de Ia informacion.
[ISO/lEG 27000:20091
3.18 Linea base de Ia configuracion (Configuration Baseline). Informacion de Ia

configuracion fornialmente establecida en un momento especitico de Ia vida de un servicio a de
un componente del servicio.
NOTA 1 La Urea base de Ia configuracion, mas los carnbios aprobados para esta Ilnea base, constituyen Ia
informacion de Ia confuguracion vigente.
NOTA 2 Adaptado de ]SOJIEC/IEEE 24765:2010.
3.19 Mejora continua (Continual Improvement). Actividad recurrente para aumentar Ia

capacidad para cumplir los requisitos de servicio.
NOTA Adaptado de ISO 9000:2005.
3.20 No conformidad (Nonconformity). Incumplimiento de un requisito.
[ISO 9000:20051
3.21 Organizacion (Organization). Conjunto de personas e instalaciones con una disposicion

de responsabilidades, autoridades y relaciones.
EJEMPLOS Companla, corporacion, firma, empresa, institucion, organizacion sin animo de lucro, empresa
unipersonal, asociacion, instituciôn. caridad, 0 partes 0 combinaciones de éstos.
NOTA 1 Generatmente Ia estructura es ordenada.
NOTA 2 Una organizacion puede ser pUblica 0 privada.
[ISO 9000:20051
3.22 Parte interesada (Interested Party). Persona a grupo que tiene un interés especifico en
el desempeno o el éxito de Ia actividad o las actividades del prestador del servicio.
EJEMPLOS Clientes, propietarios, gerencia, personas en Ia organizacian del prestador del serviclo, proveedores
externos, banqueros, gremios o socios.
NOTA 1 Un grupo puede estar constituido por una organizacion, una parte de ella o más de una organizacion.
NOTA 2 Adaptado de ISO 9000:2005.
3.23 Prestador del servicio (Service Provider). Organizacion a parte de una organizacion
que gestiona y presta un servicio 0 varios servicios al cliente.
NOTA Un cliente puede ser interno 0 externo a Ia organizacion del prestador del servicio.
3.24 Problema (Problem). Causa raiz de uno a mas incidentes.

NOTA La causa raiz usualmente se desconoce an el momento en que se crea el registro de un problema. El
proceso de Ia gestion de problemas es responsable de Ia investigatiOn posterior.
3.25 Procedimiento (Procedure). Forma especiflcada de Ilevar a caba una actividad 0 un

proceso.
[ISO 9000:20051
Ij
NOTA Los procedimientos pueden o no estar documentados.
3.26 Proceso (Process). Conjunto de actividades mutuamente interrelacionadas a que

interactüan, las cua?es transforman elementos de entrada en resultados.
[ISO 9000:2005]
3.27 Proveedor externo (Supplier). Organizacion a parte de una organizacion que es externa
a Ia organización del prestador del servicio y participa en el contrato con el prestador del
servicio con el fin de contribuir al diseño, Ia transición, Ia prestaciOn y Ia mejora del servicio a
los servicios o los procesos.
NOTA Los proveedores externos incluyen a lideres designados pero no a sus proveedores
subeontratados.
3.28 Registro (Record). Doc_ento resultados obtenidos a proporciona

evidencia de actividades dese enadas
[ISO 9000:20051
EJEMPLOS Inforrnes 44%uditorla, infonTai1 o actas de reuniones.
3.29 jo (Service Nece y de los usuarios

del 5 los requisitos dNiveIrdeIseiiviio1 y Ia del prestador de
3.30 D Ia incertidumbre so)5ë1los ob etiv
vi dOn quello que se espera, itivo,
NOTA 2 L!s obifrvos ed ener aspe diferentes (por ejerrplo fin I y metas
ambientale se pueden plic it n niveles djfe_ tes (estrategico, en toda Ia productos
y procesos).
NOTA3 Amenu nine go st*TiictéiidOTbr1 larrTcrencia a los eventu ylas consecuenc4as o a

una combinacion de e S.
NOTA 4 Con frecuencia ci ru iaciOn de las consecuencias de un evento

(incluyendo los cambios an las suceda.
[ISO 31000:20091
3.31 Seguridad. de Ia Security). Preservacion de Ia

confidencialidad, integridad y
NOTA 1 Ademas, tambien pueden estar involucradas otras propiedades como Ia autenticidad, Ia trazabilidad, ci no
repudio y Ia confiabilidad.
NOTA 2 El térniino disponibilidad no se ha utilizado en esta defuniciOn debido a que este es un tennino definido
en esta parte de Ia norma que no serla adecuado para esta definiciOn.
NOTA 3 Adaptado de ISO/IEC 27000:2009.
3.32 Servicio (Service). Media para entregar valor para el cliente facilitando los resultados que
el cliente quiere alcanzar.
NOTA 1 El servicio generalmente es intangible.
Li
NOTA 2 Un servicio tambiAn puode ser prostado al prestador del servicio por Un proveodor extomo, un grupo
intorno a un cliente quo actüa como provoodor extorno.
3.33 Sistema de gestiôn del serviclo (Service Management System). Sistema de gestiOn
para dirigir y controlar las actividades pam Pa gestiOn del servicio del prestador de servicios.
NOTA 1 Un sistoma do gostiOn Cs Ufl conjunto de etomentos intorrelacionados o que interactüan para establocer
las politicas y los objet Wos, y para lograr dichos objetivos
NOTA 2 El SGS induye todas las poilticas, objet Was, planes, procesos, documentaciOn y recursos do Ia gestiOn
del servicio roqueridos para el diseflo, Is transicion, Ia prestaciOn y Is mejora do los serviôios, y pam cumplir los
roquisitos do esta pane de Is norma.
NOTA 3 Adaptado do Ia dofiniciOn do sistema do gostiOn do Ia calidad" de ISO 9000:2005.
3.34 Solicitud de cambio (Request for Change). Propuesta de un cambio en un servicio, Un

componente del servicio 0 en el sistema de gestiôn del serviclo.
NOTA Un cambio en un servicio incluyo Ia provision de Un servicio nuovo 0 el retiro de un sorvicio quo ya nose
roquiore.
3.35 Solicitud de servicio (Service Request). Solicitud de informacion, asesoria, acceso a un

servicio a Un cambio aprobado previamente.
3.36 Transicion (Transition). Actividades involucradas en el paso de Ufl servicio nuevo a

modificado hacia a desde el ambiente de producción (Live Environment).
3.37 Version (Release). Conjunto de uno a más elementos de configuracion nuevos a

modificados, implementados en el ambiente de produccion (Live Envimnment) coma resultado
de uno a más cambios.
4. REQUISITOS GENERALES DEL SISTEMA DE GESTION DEL SERVICIO
4.1 RESPONSABILIDAD DE LA DIRECCIÔN
4.1.1 Compromiso de Ia direccion
La alta dirección debe evidenciar sti campromiso para planificar, establecer, implementar,
operar, manitarear, reviser, mantener y mejarar el SGS y las servicios a través de:
establecer y camunicar el alcance, Ia palitica y los objetivas para Ia gestion del servicia;
asegurar que el plan de gestiOn del servicia se crea, implementa y mantiene con el fin
de cumplir Ia politica, alcanzar los objetivos para Ia gestiOn del serviclo y cumplir can las
requisitos de servicio,
comunicar Pa impartancia de cumplir los requisitos de servicia;
comunicar Ia importancia de cumplir los requisitos estatutarias y reglamentarias, asi

coma las abligacianes contractuales;
asegurar que las recursos se pravean;
canducir revisianes par Ia direcciOn a intervalas planificados;

NORMA TECNICA COLOMBIANA NTC-ISO!IEC 20000-1 (Primera actualizaciôn)
g) asegurar que los riesgos pam los servicios se evalUan y se gestionan.
4.1.2 Politica de gestiOn del servicio
La aita dirección debe asegurar que Ia politics de gestion del servicio:
sea adecuada at proposito del prestador del servicio;
incluye el compromiso de cumplir los requisitos de servicio;
incluye un compromiso pam mejorar continuarnente Ia eficacia del SGS y los servicios a
través de Ia politica sabre Ia mejora continua, secciOn 4.5.5.1:
proporciona un marco de refedEiaraJstablecer y revisar los objetivos de Ia gestion

del servicio;
es comunicada y ent a o e erm

sona e r tador del servicio;
o es revisada pam su co?tnua adecuaciön.
4.1.3 Autoridad ponsabilidabtyjcomuni3iëi6n
La alta direcc' n debe asegurar que:
finenjy in ntienen las autoridade'%jrponsab lidad s dlIâTTt' del servicio;
se estt5IEcen impi ntan procedimientoocuenta os parapalcomuicación.
4.1.4 Representäiit del direc 'on
La alta ión deb desi naJunJm bro de Ia direccion d I prestJor el serviclo quien,
independie emente e su demaslresp sabilidades, tenga I autorid y responsabilidad
para:
asegurar q' s actEiardesJparalja?iiftEi\documentarrnplir con los requisitos de

seivicio se lie en a bo,
asignar autoridades responsat5iliardesjparalasegurar que los procesos de ia gestion

del servicio se disena , implementanIyjjoran1cWacuerdo con Ia politics y los objetivos
pam ia gestion del servic____________________
asegurar que los procesosdiaIqestiti del servicio estan integrados con los otros
componentes del SGS;
asegurar que los bienes, incluyendo las licencias, utilizados pam prestar servicios, son
gestionados segUn los requisitos estatutarios y reglamentarios, y las obligaciones
contractuales:
reportar a ia alta dirección acerca del desempeño y las oportunidades pam ia mejora dei
SGS y los servicios.
r1
NORMA TECNICA COLOMBIANA NTC-l$O/IEC 20000-1 (Primera actualizacion)
4.2 GOBIERNO DE LOS PROCESOS OPERADOS POR OTRAS PARTES
Pam las propósitas de las secciones 5 a 9, el prestador del servicio debe identificar todos los
procesos o partes de ellas que son operados par atras partes. Otras partes pueden ser Un
grupa interno, un cliente a un praveedor extemo. El prestadar del servicia debe demastrar el
gabierna de las procesas operadas par otras partes mediante:
Ia demostraciOn de Ia rendiciOn de cuentas de los procesas y Ia autaridad para exigir el

cumplimiento de las pracesas,
el control de Ia deftnicion de las pracesas y las interfaces con atros procesos;
Ia determinacion del desempena del praceso y Ia confarmidad con los requisitas del
procesa;
el control de Ia planificaciOn y Ia priarizacion de las mejaras al proceso.
Cuando un proveedar externo está aperando partes de los procesas, el prestadar del servicia
debe gestionar al proveedar externo a traves del proceso de gestiOn de proveedores. Cuando
un grupo interno o un cliente están operando partes de los pracesas, el prestadar del servicio
debe gestionar at grupo intemo o al cliente a través de las procesas de gestion del nivel de
servicia.
NOTA ISO/IEC TR 20000-3 proporciona arientacion sabre Ia definicion del alcance y Ia aplicabilidad de esta
parte de Ia nanna. Esto incluye Ia explicaciOn adicianal acerca del gobierno de las procesos aperados par atras
partes.
4.3 GESTIÔN DE LA DOCUMENTACION
4.3.1 Establecer y mantener los documentos
Los prestadores de servicios deben establecer y mantener dacumentos, incluyendo registros,

que garanticen Ia planificacion, operación y control eficaces del SGS. Estas dacumentas deben
incluir:
politica y objetivas documentadas para Ia gestion del servicio;
plan dacumentado para Ia gestiOn del servicio;
politicas y planes documentados creados para procesas especificos, segUn Ia exige

esta parte de Ia norma;
catalago documentado de las servicias;
acuerdas de nivel del servicio (ANS) documentadas;
procesos documentadas para Ia gestiOn del servicia;
procedimientos documentadas y registros exigidas par esta pane de Ia norma;
dacumentos adicionales, incluyendo aquellos de origen externo, que segün el prestadar

del servicio sean necesarias pam asegurar el funcianamiento eficaz del SGS y para
prestar los servicios.
NORMA TECNICA COLOMBIANA NTC-ISOIIEC 20000-1 (Primera actualización)
4.3.2 Control de documentos
Los documentos exigidos por el SGS deben estar controlados. Los registros son un tipo
especial de documento y deben controlarse de acuerdo con los requisitos que se indican en Ia
sección 4.3.3.
Se debe establecer un procedimiento documentado, que incluya las autoridades y

responsabilidades, con el fin de definir los controles necesarios para:
crear y aprobar documentos antes de su publicación;
comunicar a las partes interesadas acerca de los documentos nuevos 0 modificados;
tossea
revisal Y mantener los dQ necesario;
asegurar que se ident estado de Ia version vigente de los

documentos; _______
e) asegurar que las vers aplicables se encuentren

disponibles elos punto
entenlegibles;
asegura ue I s documentos Se4puedãfihidëiitifiMacilA
asiirar_que os documentos de 3jenIexterno13e id ue se controle su
h) U tI!Esono irionado de documtbsole _licarla

adecuadaisuise les retiene.
identificaciôn
!j!
4.3.3 'C6iiff6l[de re istro5 _______
Se deben OQnseryarj gistrbgparaIdëTh1iqar Ia conformidad c qs1'sitos y Ia operaciOn

eficaz del SG'S.
Se debe establec proiit5jdocumentidc para definintroles necesarios para

identificar, almacena protgerie9er disponerregistros.
F elos Los registros
deben ser legibles, f6cilme4tidentificables!Y(L9eras.
NOTA Pam mayor informacion ase la 1S0j30300:201 i1. In7orflwdon and Documentation. Management Systems
for Records. Fundamentals and Vocajy.
4.4 GESTIÔN DE LOS RECURQS
4.4.1 ProvisiOn de recursos
El prestador del servicio debe determinar y suministrar los recursos humanos, técnicos, de
informaciôn, y financieros necesarios pam:
establecer, implementar y mantener el SGS y los servicios, y mejorar continuamente su

eficacia;
rnejorar Ia satisfacciOn del cliente suministrando servicios que cumplan con los
requisitos de servicio.
10
NORMA TECNICA COLOMBIANA NTC-I5O/IEC 20000-1 (Primera actualizac iOn)
4.4.2 Recursos humanos
El personal del prestador del servicio que realice actividades que afectan Ia conformidad con
los requisitos de servicio debe ser competente con base an Ia educacion, el entrenamiento, las
habilidades y Ia experiencia apropiados. El prestador del servicio debe:
determinar Ia competencia necesaria del personal;
cuando corresponda, proporcionar el entrenamiento o tomar otras acciones pars lograr

Ia competencia necesaria;
evaluar Ia eficacia de las acciones realizadas;
asegurar que su personal es consciente de cOmo contribuyen al logro de los objetivos

de Ia gestiôn del servicio y para el cumplimiento con los requisitos de servicio.
mantener registros apropiados de educacion, entrenamiento, habilidades y experiencia.
4.5 ESTABLECER Y MEJORAR EL SGS
4.5.1 Definir el alcance
El prestador del servicio debe definir e incluir el alcance del SGS an el plan para Ia gestiôn del
servicio. El alcance debe estar definido por el nombre de Ia unidad organizacional que presta
los servicios y por los servicios que se van a prestar.
El prestador del serviclo tambien debe tomar en consideraciôn otros factores que afectan a los
servicios que se van a prestar, incluyendo:
localizacion geografica desde Ia cual el prestador del servicio presta los servicios;
el cliente y su localizaciOn;
tecnologia utilizada para prestar los servicios.
NOTA ISO/IEC 20000-3 proporciona oriontacion sobre Ia dofunicion dcl alcance y la aplicabilidad do esta parte de
Ia norma.
4.5.2 Planificar el SGS (Planificar)
El prestador del servicio debe crear, implementar y mantener un plan para Ia gestiOn del
servicio. En Ia planificacion se deben tomar an consideracion Ia politica de gestiOn del servicio,
los requisitos de servicio y los requisitos de esta parte de Ia norma. El plan para Ia gestion del
servicio debe contener o incluir referencia a los siguientes aspectos como minimo:
Los objetivos de Ia gestion del servicio que el prestador del servicio debe lograr;
Los requisitos de servicio;
Las limitaciones conocidas que puedan tener impacto an el SGS;
Las politicas, normas, requisitos estatutarios y reglamentarios, y obligaciones

contractuales;
11
El marco de referenda para las autaridades, las responsabilidades y las funciones en

los procesos;
Las autoridades y responsabilidades para los planes, los procesos de gestiOn del
servicio y los servicios;
Los recursas humanos, técnicas, de información y financieras necesarios para alcanzar

los objetivas de Ia gestion del servicio;
El enfoque que se debe adoptar para trabajar con otras partes involucradas en el diseno
y Ia transición de procesos de servicios nuevas 0 modificados,
El enfoque que se debe adoptaç_pwaJjs interfaces entre los procesos de gestión del
servicio y su integracion con oisttcompo ntes del SGS;
El enfoque que se dePe11oppara Ia g tión de los riesgos y los criterios de

aceptacion de riesgos
La tecnologia utilizada ra soportiThlLSGS;
I) Ia manera A se va a 0 a ejor&eficacia del SOS y de los
Las ra procesos especiq el plan para Ia

plan para Ia gestión 1 los para procesos
tisar a intervalos planil
perGS (Hacer)
El y operar el SOS transición, Ia

ri el plan para Ia a través de
I..
a)
asignacion de los procesos;
gestion de los
identificacion, evaluacion'flgestn ries para el servicio;
gestiOn de los procesos para I estiáfrd,t'seMcio;
monitoreo y reporte sobre el desempeno de las actividades en Ia gestion del servicio.
4.5.4 Monitorear y revisar el SOS (Verificar)
4.5.4.1 Generalidades
El prestador del servicio debe aplicar los métodos adecuados para monitorear y medir el SOS y
los servidios. Estos metodos deben incluir auditorias intemas y revisiones por Ia dirección.
Los objetivos de todas las auditorias internas y las revisiones par Ia dirección deben estar
documentados. Las auditorias internas y las revisiones por Ia direcciOn deben demostrar Ia
12
NORMA TECNICA COLOMBIANA NTC-l$O/IEC 20000-1 (Primera actualizacion)
capacidad del SGS y los servicios para lograr los objetivos de Ia gestiOn del servicio y para
cumplir con los requisitos de servicio. Se deben identificar las no conformidades frente a los
requisitos de esta parte de Ia norma, los requisitos del SGS identificados por el prestador del
servicio o los requisitos de servicio.
Se deben registrar los resultados de las auditorias internas y las revisiones por Ia direcciôn,
incluyendo las no conformidades los asuntos de interes y las acciones identificadas. Los
resultados y las acciones deben comunicarse a las partes interesadas.
4.5.4.2 Auditoria interna
El prestador del servicio debe realizar auditorias internas, a intervalos planificados, pam
determinar si el SGS y los servicios:
cumplen los requisitos de esta pate de Ia norma;
cumplen los requisitos de servicio y los requisitos del SGS identificados par el prestador
del servicia;
estan implementados y mantenidos de manera eficaz.
Debe existir un procedimiento documentado que incluya las autaridades y responsabilidades

para planificar y realizar auditorias, presentar inforrne de los resultados y mantener los registros
de auditoria.
El programa de auditoria debe estar planificado. Pam ello se deben tener en cuenta el estado y
Ia importancia de los procesos y de las areas que se van a auditar, asi como los resultados de
auditorias previas. Se deben documentar los criterios, el alcance, Ia frecuencia y. losmetodos
de auditoria.
La seleccion de los auditores y Ia realizacian de las auditorias deben asegurar Ia objetividad e

imparcialidad de Ia auditoria. Los auditores no deben auditar su propio trabajo.
Las no conformidades se deben comunicar y priorizar, y se debe asignar Ia responsabilidad en

las acciones. La direcciOn responsable del area auditada debe asegurar que se realizan las
correcciones y se toman las acciones correctivas sin demora injustificada para eliminar las no
conformidades y sus causas. Las actividades de seguimiento deben incluir Ia verificacian de las
acciones tomadas y el informe de los resultados.
NOTA Vease Ia NTC-ISo 19011 para orientacion sabre Ia auditoria de los sistemas de gestion.
4.5.4.3 Revision por Ia dirección
La alta dirección debe revisar el SGS y los servicios a intervalos planificados para asegurar su
eficacia e idoneidad continuas. Esta revision debe incluir Ia evaluaciOn de las oportunidades de
mejora y Ia necesidad de efectuar cambios en el SGS, incluyendo Ia politica y los objetivos
pam Ia gestión del servicio.
Los elementos de entrada para las revisiones par Ia direcciOn deben incluir, par lo menos,
informacion sobre:
retroalimentacion de los clientes;
desempeno y conformidad de los procesos y los servicios;
13
NORMA TECNICA COLOMBIANA NTC-ISO!IEC 20000-1 (Primera actualizaciôn)
niveles actuales y previstas para recursas humanas, tecnicos, de infarmaciôn y

financieros;
capacidades humanas y técnicas actuales y previstas;
riesgas;
resultados y seguimienta de las accianes derivadas de las auditarias;
resultados y seguimienta de las accianes derivadas de revisianes par Ia direction

p rev Ia s
estado de las accianes preventiv ectivas;
I) cambios que padrian afecta4i[SGS y los selvjcias;
j) aportunidades para Ia_ejara.
Se deben mantener registras la9reviionesIpar Ia1aiFi15n.
iL
Los registras de I e isbn par Ia iijë&iàn dben iZlir, par cisianes y las
accianes relacia das con recursas, Mjora 41IrficaciJ SG servicbas.
4,5_5 Maqtbner1s1mjorar el SGS (Actua
4.5.5.1aterueraliaad -
.-Debe(itlrJuna_politi sol re I ejora continua deI'4QJy de losseviiaiThTpolitica debe

incluirijos crit?ios de alu MOn pa las oportunidades biiejo W ____
Se deb est6lecer un procedumie documentado que autandades - y

responsabul des pa Ia ii entificacion, d umentacuon, evalua in cuon, prioruzacuon,
gestiOn, medi n y re orte sJe1lãjmejoras. s oportunidades ra, incluyendo las
acciones correctu S y revE entar.
ltuvastifeben d
La causa de las no confi rmidades iatifucadas debe corregir. Se deben emprender
acciones correctivas para el inar Pa causa e-jIa-sTn-oT3cTkformidades identificadas con el fin de
prevenir que vuelvan a oc r. Se dben emprender a lanes preventivas para eliminar Ia
4 causa de las no confarmidade otenciales can elWun de evenir su ocurrencia.
NOTA Para más infonnadon sabre aAjrrecti('ay preve a, vease Ia norma Nit-ISO 9001:2008. secciOn 8.5.
4.5.5.2 GestiOn de las mejoras
Las oportunidades para Ia mejara se deben priorizar. El prestador del servicio debe utilizar los
criterios de evaluación establecidos en Ia politica sabre Ia mejora continua, cuando se taman
decisiones relacionadas can las oportunidades para Ia mejora.
Las mejaras aprobadas se deben planificar.
El prestador del serviclo debe gestionar actividades de mejora, que incluyan, par Ia menos:
14
NORMA TECNICA COLOMBIANA NIC-ISO/IEC 20000-1 (Primera actualizacion)
establecer los objetivos para las mejoras en uno a más de los siguientes aspectos:
calidad, valor, capacidad, costo, productividad, utilizaciOn de recursos y reducciOn de
riesgos;
asegurar qua se implementan las mejoras aprobadas;
revisar las politicas, los planes, procesos y procedimientos de Ia gestiOn del servicio,
cuando sea necesarlo;
medir las mejoras implementadas frente a los objetivos establecidos y, cuando no se

han logrado dichos objetivos, emprender las acciones necesarias;
informar sabre las mejoras implementadas.
5. DISESO V TRANSICION DE LOS SERVICIOS NUEVOS 0 MODIFICADOS
5.1 GENERALIDADES
El prestador del servicio debe utilizar este proceso para todos los servicios nuevos y los
cambios en los servicios qua tengan potencial de tener un impacto mayor en los servicios 0 el
cliente. Los cambios que se encuentran en el alcance de Ia secciOn 5 deben estar
determinados por Ia politica de Ia gestión del cambio acordada como parte del proceso de
gestiOn del cambio.
La evaluaciOn, aprobaciôn, programaciOn y revision de servicios nuevos a servicios modificados

en el alcance de Ia secciOn 5 deben estar controladas por el proceso de gestiOn del cambio.
Los elementos de configuraciOn afectados por servicios nuevos a modificados en el alcance de
Ia secciOn 5 deben estar controlados par el proceso de gestiOn de Ia configuraciOn.
El prestador del servicio debe revisar los elementos de salida derivados de las actividades de
planificaciOn y diseno para servicios nuevos a modificados frente a los requisitos de servicio
acordados y los requisitos pertinentes que se indican en las secciones 5.2 y 5.3. Con base en
Ia revisiOn, el prestador del servicio debe aceptar a rechazar las salidas. Tambien debe
emprender las acciones necesarias para asegurar que el desarrollo y Ia transiciOn de los
servicios nuevos a modificados se pueden realizar eficazmente, utilizando los elementas de
salida aceptados.
NOTA La necesidad de un swvicio nuevo 0 de Un cambio an un serviclo se puede originar en el cliente, el

prestador del servicio, tin grupo intemo 0 tin proveedor extemo can elfin de satisfacer las necesidades del negocio o
mejorar Ia eficacia de los servicios.
5.2 PLANIFICAR LOS SERVICIOS NUEVOS 0 MODIFICADOS
El prestador del servicio debe identificar los requisitos de servicio para los servicios nuevos a
los servicios modificados. Los servicios nuevos a modificados se deben planificar para que
cumplan con los requisitos de servicio. La planificaciOn de servicios nuevos o modificados se
debe acardar con el cliente y las partes interesadas.
Como elemento de entrada para Ia planificacion, el prestador del servicio debe tomar en
consideraciOn el impacto potencial de Ia pfestaciOn de servicios nuevos o modificados en
terminos financieros, arganizacionales y técnicos. El prestador del servicio tambien debe tener
en cuenta el irnpacto potencial de los servicios nuevos o modificados en el SGS.
15
NORMA TECNICA COLOMBIANA NTC-ISO/IEC 20000-1 (Primera actualizaciôn)
La planificaciOn de los servicios nuevos 0 moditicados debe contener o incluir una referencia a
los siguientes aspectos, como minimo:
las autoridades y responsabilidades de las actividades de diseño, desarrollo y

transiciôn;
las actividades que van a realizar el prestador del servicio y otras partes, incluyendo
actividades a traves de las interfaces desde el prestador del servicio hasta las otras
partes,
Ia comunicación con las partes interesadas;
los recursos humanos, técnicos, 1Ienfcjnaci6n ' financieros;
los cronogramas pam las atiiaadeiJlanifidas;
t) Ia identificaciOn,
las dependencias de oti'e$!serviEios;
las pruebas I pidas pam lo'kii6ios]nuevosIo]mificak
I) loscri 0 de1 ceptación del seriLo;
j) lgresultados esperados de Ia prtEi'óiiL11 serviil 1noko modificados,

xpresad7 ermi s mensurables.
-Para s s vii6ijque se v n a tirar, el prestador deIsicios bi e retiro de los

servi os. La planificac on d be inc •r Ia fecha o fechas'Ja el tiro, el archivo a disposiciOn
final o t nsfere,ci de d tos, docu entaciOn y componentes at seo L componentes
del servi puedep inc luir I infraestiiiEt y las aplicaciones co las licenci asociadas.
El prestador
componente
capacidad pa
N
N er
o de é1JiitifiiJlãI5frqs partes que cont 'biiiiã on Ia provisiOn de los
cia p im1iosiserviiosjniayps o rnodifica os. demâs debe evaluar su
con os requiitbTE1eserviEP Los resutta de Ia evaluaciOn se deben
registrar y se deben empren ler laslaccionesinecesana gi
5.3 OISENO V DESARROUI!O]DEISERVICIOSINUEVQS 0 MODIFICADOS
Los servicios nuevos o los mo Biric

— ad5sTs—eTd6b7nTd9e har y documentar de manera que se
incluya at menos:
autoridades y responsabilidadesära Ia prestaciOn de los servicios nuevos 0

modificados;
actividades que at prestador del servicio, el cliente y otras partes van a realizar para Ia
prestaciôn de servicios nuevos o moditicados;
requisitos de recursos humanos nuevos o modificados, que incluyan los requisitos pam
educaciOn, entrenamiento, habilidades y experiencia adecuados;
requisitos de recursos financieros pam Ia prestaciOn de servicios nuevos a modificados;
11.1
NORMA TECNICA COLOMBIANA NIC-ISO/lEC 20000-1 (Primera actualizacjon)
e) tecnologia nueva a modificada para soportar Pa prestación de los servicios nuevos o

modificados;
U planes y politicas, nuevos o modificados, segUn lo requiera esta parte de Ia norma;
contratos nuevos o modificados y otros acuerdos documentados para el alineamiento

con los cambios en los requisitos de servicia;
cambios en el SGS;
acuerdos del nivel del servicio (ANS) nuevos o modificados;
actualizaciones de los catalogos de servicios;
k) procedimientos, medidas e infomiacion que se han de utilizar para Ia prestacion de

servicios nuevos a modificados.
El prestador de servicios debe asegurar que el diseno permite que los servicios nuevos o
modificados cumplan con los requisitos de serviclo.
Los servicios nuevos o modificados se deben desarrollar de acuerdo con el diseno

documentado.
NOTA Pam ma.0 infamaSn aoerca del dSsIO, wufta Cs procesos de dsno y desanvOo en b Nit-ISO 90012008,
seccion 7.3. o el proceso de diseflo arquitectOnico en ISO! IEC 15288:2008, seccion 6.4.3.
5.4 TRANSICIÔN DE SERVICIOS NUEVOS 0 MODIFICADOS
Los servicios nuevos a modificados se deben someter a prueba para verificar que cumplen con
los requisitos de servicio y el diseno documentado. Los servicios nuevos a modificados se
deben verificar frente a los criterios de aceptaciOn del servicio pactados anticipadarnente por el
prestador del servicio y las partes interesadas. Si no se satisfacen los criterios de aceptación
del servicio, el prestador del servicio y las partes interesadas deben tomar una decision sobre
las acciones necesarias y su implementaciOn.
Se debe utilizar el proceso de gestion de versiones e implementacion para implementar

servicios nuevos o modificados en el ambiente de produccion (Live Environment).
Inmediatamente después de completar las actividades de transiciOn, el prestador del servicio

debe informar a las partes interesadas sobre los resultados alcanzados con respecto a los
resultados esperados.
6. PROCESO DE PRESTACIÔN DEL SERVICIO
6.1 GESTIÔN DEL NIVEL DE SERVICIO
El prestador del servicio debe acordar con el cliente los servicios que se van a prestar.
El prestador del servicio debe acordar un catélogo de servicios con el cliente. El catãlogo de
servicios debe incluir las dependencias entre los servicios y los componentes del servicio.
Pam cada servicio que se presta, se debe acordar uno 0 mas ANS con el cliente. Cuando se
crean los ANS, el prestador del servicio debe tener en cuenta los requisitos de servicio. Los
ANS deben incluir los objetivos del servicio, las caracteristicas de Ia carga de trabajo y las
excepciones que se han acordado.
17
El prestador del servicio debe revisar los servicios y los ANS con el cliente a intervalos
planificados.
Los cambios en los requisitos de servicio documentados, los catálogos de servicios, los ANS y
otros acuerdos documentados deben estar controlados por el proceso de gestión del cambio.
El catálogo de servicios debe mantenerse después de cambios en los servicios y los ANS para
asegurar que continUan estando alineados.
El prestador del servicio debe monitorear las tendencias y el desempeno frente a los objetivos
del servicio a intervalos planificados. Los resultados se deben registrar y revisar para identificar
las causas de las no conformidades y las oportunidades para Ia mejora.
Para los componentes del servicio por un grupo interno o el cliente, el prestador
del servicio debe desarrollar, acorc ntener Un acuerdo documentado para definir
las actividades y las interfaces en s. I prestador del servicio debe monitorear el
P
desempeño del grupo interno cto a los objetivos acordados para el
serviclo y otros compromis e pac nificados. Los resultados se deben
registrar y revisar con el i sa de las no conforrnidades y las
oportunidades para Ia mejora.
6.2 PRESENTACION DE
El prestador servi io y las partes inteNdebëfijdöurr Ia descripciOn de

cada info del seji io, incluyendo su idificaci6nst]pJop ;ia. su frecuencia
y los de es de l fuE ite o fuentes de datos.__________
'p __
Se d ben Droducr nf rrne servicio utilizando'lnjorma_101 ciOn de los
sérvi ios de las act vidad s SGS, incluyendo I pr ce servicio. El
info e del servicio di be in luir al nos bo siguiente:
_I
empeno er comi aracionjconjlQs objetivos del servi
inform ion rtine ite sobjjvents significativos, por lo menos los

incidente ma ores. Ia implementEiôfbe servicios nu icados y el plan de
caracteristicas de Ia carga el volumen y los cambios periódicos

en dicha carga;
no conformidades det 'uisitos de esta parte de Ia norma, los

requisitos del SGS o los re y sus causas identificadas;
inIormación de tendencias;
mediciones de Ia satisfacciOn del cliente, las quejas del servicio y los resultados del
analisis de las mediciones de Ia satisfacción y los reclamos.
El prestador del servicio debe tomar decisiones y emprender acciones con base en los
hallazgos de los informes del servicio. Las acciones acordadas se deben comunicar a las
partes interesadas.
18
NORMA TECNICA COLOMBIANA NTC-l5O/IEC 20000-1 (Primera actualización)
6.3 GESTION DE LA CONTINUIDAD Y LA DISPONIBILIDAD DEL SERVICIO
6.3.1 Requisitos de continuidad y disponibilidad del servicio
El prestador del servicio debe evaluar y documentar los riesgos para Ia continuidad y Ia
disponibilidad de los servicios. El prestador del servicio debe identificar y acordar con el cliente
y las partes interesadas los requisitos para Ia continuidad y disponibilidad del servicio. Los
requisitos acordados deben considerar, segUn sea aplicable, los planes de negocios, los
requisitos de servicio, los ANS y los riesgos
Los requisitos pactados para Ia continuidad y disponibilidad del servicio deben incluir, por lo
menos, los siguientes:
derechos de acceso a los servicios;
tiempos de respuesta de los servicios;
disponibilidad extremo a extremo de los servicios.
6.3.2 Planes de continuidad y disponibilidad del servicio
El prestador del servicio debe crear, implementar y mantener planes de continuidad del servicio
y planes de disponibilidad. Los cambios en estos planes deben estar controlados por el
proceso de gestión del cambio.
Los planes de continuidad del servicio deben incluir, por to menos:
los procedimientos que se van a implementar en at evento de una pérdida mayor del
servicio, o referenda a ellos;
los objetivos de Ia disponibilidad cuando se invoca el plan;
los requisitos de recuperaciôn;
el enfoque pam el regreso a las condiciones normales de trabajo.
Los planes de continuidad del servicio, las listas de contactos y Ia base de datos de gestiOn de
Ia configuracion deben estar disponibles cuando no sea posibte el acceso normal a los lugares
de servicio.
Los planes de disponibilidad deben incluir por lo menos los requisitos y los objetivos de Ia
disponibilidad.
El prestador del servicio debe evaluar at impacto de las solicitudes de cambio sobre los planes
de continuidad del servicio y sobre los planes de disponibilidad.
NOTA Los planes de continuidad y de disponibilidad del seMcio se pueden combinar en un documento.
6.3.3 Monitorea y ensayo de Ia continuidad y Ia disponibilidad del servicio
La disponibilidad de los servicios se debe monitorear y los resultados se deben registrar y

comparar con los objetivos acordados. La indisponibilidad no planificada se debe investigar y
se deben emprender las acciones necesarias.
19
Los planes de continuidad del servicio se deben someter a prueba frente a los requisitos de Ia
continuidad del serviclo. Los planes de disponibilidad se deben someter a prueba frente a los
requisitos de disponibilidad. Los planes de continuidad y de disponibilidad del servicio se deben
volver a probar después de cambios mayores en el entorno de servicio en el cual opera el
prestador del servicio.
Los resultados de las pruebas se deben registrar. Se deben realizar revisiones despues de
cada prueba y después de que se he invocado el plan de continuidad del servicio. Cuando se
encuentran deficiencias, el prestador del servicio debe emprender las acciones necesarias e
informar sobre las acciones tomadas.
6.4 PRESUPUESTO V CONTABILIDAD DE LOS SERVICIOS
Debe existir una interfaz definida de presupuesto y contabilidad de los

servicios y otros procesos de gestj
Debe haber politicas y
a) presupuestâr y del servicia, incluyendo por to

menos:
precu4so6 compartidos,
distribucion d a los servicios; para

suministrar un
aprobacion y control
Se deben presupuestar los control financiero y Ia toma efectiva de

decisiones sabre los servicios
El prestador del servicio debe monitorear e informar los costos frente at presupuesto, revisar las
proyecciones financieras y administrar los costos.
Se debe suministrar inforrnación al proceso de gestión del cambio para soportar el costeo de
las solicitudes de cambio.
NOTA Muchos prestadores de servicios cobran par sus servicios. El alcance del presupuesto y Ia contabilidad de
los procesos de servicios excluyen el cobra.
20
NORMA TECNICA COLOMBIANA NTC-ISO!IEC 20000-1 (Primera actualizacion)
6.5 GESTIÔN DE LA CAPACIDAD
El prestador del servicio debe identificar y acordar los requisitos de capacidad y desempeno
con el cliente y las partes interesadas.
El prestador del servicio debe crear, implementar y mantener un plan de capacidad que tome
en consideracion los recursos humanos, tecnicos, de informaciOn y financieros. Los cambios en
el plan de Ia capacidad deben estar controlados par el proceso de gestion del cambio.
El plan de capacidad debe incluir al menos:
demanda actual y prevista de servicios;
impacto esperado de los requisitos acordados pam Is disponibilidad, Ia continuidad del

servicia y los niveles del servicio;
cronogramas, umbrales y costos para las mejoras de Ia capacidad de servicio;
impacto potencial de los cambios estatutarios, reglamentarios, contractuales U

organizacionales;
impacto potencial de tecnologias y tecnicas nuevas;
procedimientos para habilitar el analisis predictivo, a referencia a ellos.
El prestador del servicio debe monitorear el usa de Ia capacidad, analizar los datos de
capacidad y afinar el desempeno. El prestador del servicio debe suministrar capacidad
suficiente pam cumplir con los requisitos de desempeno y capacidad acordados.
6.6 GESTION DE LA SEGURIDAD DE LA INFORMACIóN
6.6.1 Politica de seguridad de Ia informacion
La direccion con Ia autoridad adecuada debe aprobar una politica de seguridad de Ia

informaciOn que tome en consideracion los requisitos de servicio, los requisitos estatutarios y
reglamentarios y las obligaciones contractuales. La direccion debe:
comunicar Ia politica de seguridad de Ia informacion y Ia importancia de su cumplimiento

al personal apropiado del prestador del servicio, del cliente y de los proveedores
externos;
asegurar que se establecen los objetivos para Ia gestion de Ia seguridad de Ia

infarmacion;
definir el enfoque que se ha de lamar para Ia gestiOn de los riesgos para Ia seguridad de
Ia informacion y los criterios para Ia aceptacion de riesgos;
asegurar que las valoraciones de riesgo pam Ia seguridad de Ia información se realicen

a intervalos planificados;
asegurar que las auditorias internas para Ia seguridad de Ia informacion se realicen;
U asegurar que los resultados de Ia auditoria se revisen para identificar las oportunidades
para Ia mejora.
21
NOTA Para mayor inforrnacion consultar Ia Nit-ISO 31000 Gestion del riesgo. Principios y directrices y Ia norma
NTC-ISO/IEC 27005 Tecnologla de Ia infonnacion. Tecnicas do soguridad. Gostion del riosgo en Ia seguridad do Ia
iriformaciOn.
6.6.2 Controles para Pa seguridad de Ia información
El prestador del servicio debe implementar y operar controles fisicos, administrativos y técnicos
para Ia seguridad de Ia informacion con el fin de:
preservar Ia confidencialidad, integridad y accesibilidad de los activos de informaciôn;
cumplir con los requisitos de Ia politica de seguridad de Ia información:
lograr los objetivos de Ia de Ia informaciôn;
gestionar los riesgos de Ia informaciOn.
Estos controles de segu documentados y deben describir

los riesgos con los ct y Pa forma de operaciOn y el
mantenimiento de éstos.
El prestador del rvi 10 debe debe tomar las

acciones nece rias V oresenti
El presta r de servi 10 debe identificar a necesitan tener

acceso sar o gestlo ar los servicios o Ia info jo. El prestador
de s idc debe d ume, acordar e iii buridad de Ia
info aciôn con estas rqar1iibiones externas.
6.6.3 tCä?flbiã de Pa
Las soliciffi es identificar.
riesgos nuevos 0
impacto de sequijifèd de Ia informaciôn.
Los incidentes de segurida de I stionar utilizando los procedimientos

para Ia gestion de incidente cc h los riesgos para Ia seguridad de Pa
informacion. El prestador del tipos, volümenes e impactos de los
incidentes de Ia seguridad de Ia es de Ia seguridad de Pa inforrnaciôn
se deben reportar y revisar para es para Ia mejora.
NOTA La familia do nonnas NTC-ISOREC 27000 ospecifica los requisitos y proporciona orientacion para
soportar Ia implomentacion y Ia oporacion do un sistoma do gostion do Ia soguddad do Ia infomiacion.
7. PROCESOS DE RELACIÔN
7.1 GESTI6N IDE LAS RELACIONES CON EL NECOCIO
El prestador del serviclo debe identificar y documentar los clientes, los usuarios y las partes
interesadas de los servicios.
Pam cada cliente, el prestador del servicio debe designar a un individuo coma responsable de
gestionar Ia relación con el cliente y Ia satisfacción de éste.
El prestador del servicio debe establecer Un mecanismo de comunicaciOn con el cliente. Este
mecanisrrjo debe promover el entendirniento del entomb del negoclo en el cual operan los
servicios y los requisitos pam los servicios nuevos o modificados. Esta informaciOn debe
perrnitirle al prestador del servicio responder a estos requisitos.
El prestador del servicio debe revisar con el cliente el desempeno de los servicios a intervalos
planificados.
Los cambios en los requisitos documentados del servicio deben estar controlados par el
proceso de gestión del cambio. Los cambios en los ANS se deben coordinar con el proceso de
gestion de nivel del servicio.
La defunicion de reclamo del servicia debe ser acordada con el cliente. Debe existir Un
procedimiento documentado para gestionar los reclamos del servicio del cliente. El prestador
del servicia debe registrar, investigar, tratar, reportar y cerrar los reclarnos del servicio. Cuando
un reclamo del servicio no se resuelve a traves de los canales normales, se deben suministrar
al cliente los mecanismos pam su escalamiento.
El prestador del servicio debe medir Ia satisfaccion del cliente a intervalos planiuucados, con
base en una muestra representativa de los clientes y usuarios de los servicios. Los resultadas
se deben analizar y revisar pam identificar las oportunidades pam Ia mejora.
7.2 CESTION DE LOS PROVEEDORES
El prestador del servicio puede utilizar proveedores externos pam implementar y operar
algunas partes de los procesos de gestion del servicia. En Ia Figura 3 se ilustra un ejemplo de
las relacianes de Ia cadena de suministro.
Proveedor externo 1
Praveedor extemo 2 Preslador del seMóo I Clients
Proveedorextemo
subcontnnado
I
J Pmeedme4emolider
Figura 3. Ejemplo de las relaciones de Ia cadena de suministro
Para cada proveedor extema, el prestador del servicio debe designar a un individuo como
responsable de gestionar Ia relacion, el contrata y el desempeno del praveedor externo.
El prestador del servicia y el praveedor extemo deben acordar un contrato documentado. El

contrato debe contener 0 incluir referencia a:
a) el alcance de los servicios que van a ser prestados por el proveedor externo;
23
NORMA TECNICA COLOMBIANA NTC-ISO/IEC 20000-1 (Primera actualizaciôn)
dependencias entre servicios, procesos y las partes;
requisitos que debe cumplir el proveedor externo;
objetivos del servicio;
interfaces entre los procesos de Ia gestiOn del servicio operadas por el proveedor
externo y alias partes;
lntegración de las aclividades del proveedor externo dentro del SGS:
9) caracteristicas de Ia carga de trabajo;
excepciones del contralo y fo ~a en c van a tratar;
auloridades y responsab)nzlrdes dl p servicio y del proveedor extemo;
I) informes y comunicadipnesjque el p9 debe suministrar,
k) bases para elobro;
I) o anticipada del
de los
El debe acordar cc servicio que

su ntes con los ANS
El que los role'IIjs i proveedares

estén documeiitqos rvicio debe
estén gestionando s extemos
El prestadorN eflo del I externo a intervalos

planificados. Ees a los s del servicio y otras
obligaciones registrar y vl'sar can el fin de identificar
las causas de las nc igl es para mejora. La revision tarnbien
debe asegurar que el
Los cambios en el contrato ddkenfestarcont?oIrdoslpor proceso de gestiOn del cambio.
Debe existir un procedimiento docbmentJo para stionar las disputas contractuales entre el
prestador del servicio y el proveedor kerno.
NOTA 1 El alcance dcl praceso do gcstiOn do proveedares excluye Ia sciccciOn de las proveedares externos y Ia
adquisicion do seMcios.
NOTA 2 La norma técnica ISO/IEC 20000-3 presenta ejemplos adicionales de las relaciones de Ia cadena de
suministro.
S. PROCESOS DE SOLUCIôN
8.1 GESTION DE INCIDENTES Y SOLICITUDES DE SERVICIO
Debe existir un procedimiento documentado para todos los incidentes con el fin de definir:
24
NORMA TECNICA COLOMBIANA NTC-l$O/IEC 20000-1 (Primera actualización)
registro;
asignacion de prioridad;
clasificación;
actualizacion de registros;
escalamiento;
solucion;
cierre.
Se debe establecer un procedimiento documentado pam Ia gestión de Ia atencion de las

solicitudes de servicio, desde el registro hasta el cierre. Los incidentes y las solicitudes de
servicio se deben gestionar de acuerdo con los procedimientos.
Cuando se priorizan los incidentes y las solicitudes de servicio, el prestador del serviclo debe
tomar en consideraciOn el impacto y Ia urgencia del incidente o Ia solicitud.
El prestador del servicio debe asegurar que el personal involucrado en el proceso de gestion de
incidentes y solicitudes de servicio puede tener acceso y utilizar Ia informacion pertinente. La
intormacion pertinente debe incluir los procedimientos de gestion de las solicitudes de servicio,
los errores conocidos, Ia soluciOn de problemas y Ia base de datos de gestion de Pa
configuracion. El proceso de gestión de incidentes y solicitudes de servicio debe utilizar Ia
informacion sobre las versiones exitosas o fallidas y las fechas de las versiones futuras,
obtenida del proceso de gestiOn de versiones e implementaciones.
El prestador del servicio debe mantener informado al cliente acerca del progreso de los
incidentes que reportó o de las solicitudes de servicio. Si los objetivos del servicio no se
pueden satisfacer, el prestador debe informar at cliente y a las partes interesadas y realizar el
escalamiento segUn el procedimiento.
El prestador del servicio debe documentar y acordar con el cliente Ia definicion de incidente
mayor. Los incidentes mayores se deben clasificar y gestionar de acuerdo con un
procedimiento documentado. La alta direcciOn debe estar informada de los incidentes mayores.
La alta direccion debe asegurar que se designe a un individuo responsable de Ia gestion de los
incidentes mayores. Despues de restaurar el servicio acordado, los incidentes mayores deben
ser revisados con el fin de identificar las oportunidades para Ia mejora.
8.2 CESTIÔN DE PROBLEMAS
Debe existir un procedimiento documentado para identificar los problemas y minimizar o evitar
el impacto de los incidentes y los problemas. Este procedimiento debe definir:
identificacion;
registro;
asignacion de prioridad;
clasificacion;
25
NORMA TECNICA COLOMBIANA NTC-ISOIIEC 20000-1 (Primera actualizaciôn)
e) actualizaciOn de registros;
I) escalamiento;
solución;
cierre.
Los problemas se deben gestionar segUn el procedirniento.
El prestador del servicio debe analizar los datos y las tendencias de los incidentes y los
problemas para identificar las causas raIz y su acciOn preventiva potencial.
Los problemas que requieren camp IeTnflIrnento de configuración se deben resolver

presentando una solicitud de cam4b.
Cuando se ha identiticado laus!1raiz. pero eli ro6liiino se ha resuelto permanentemente,

el prestador del servicio de6aiaentiftcar las accionesipa a reducir 0 eliminar el impacto del
problema en los servicios. errores; iocidos.
lasn de probleMs se deb' mtiitorea rejareportar.

La eficaciaA
Se debe s omiaciôn actualiz a sobre1losrro s las soluciones de los

problemas e gestiOn de inciden ' S yjsoli8itudëde.
9. eROCESOS 9E COOL
9.1 GESililÔi DE
k CIN4GOACIÔN 14
Debe el€Jirjuna_d4niciotkJ%iocumenjka de .cada tipo de eeffiiito de
informacioMueJsefrgistr]paraIcadãTëIbcnento debe asegurjijël con
Fn;
iguraciOn. La
eficz e incluir lo
siguiente:
descripci
relaciones entre el element4iie confuTi?5ëion y Os elementos de configuraciOn;
relaciones entre el ele't5fde configuraciOn y I componentes del servicio;
estado;
version;
U ubicación;
solicitudes de cambio asociadas;
problemas y errores conocidos asociados.
Los elementos de configuraciOn deben definirse de manera (mica y registrarse an Ia base de

datos de gestiOn de Ia configuraciOn. Esta base se debe gestionar para asegurar su
confiabilidad y precisiOn, incluyendo el control de acceso actualizado.
Se debe disponer de un procedimiento documentado pam registrar, controlar y rastrear las

versiones de los elementos de configuracion. El grado de control debe conservar Ia integridad
de los servicios y los componentes del servicio tomando en consideración los requisitos de
servicio y los riesgos asociados a los elementos de configuracion.
El prestador del servicio debe auditar los registros almacenados en Ia base de datos de gestion
de Ia configuraciOn, a intervalos planificados. Cuando se encuentran diferencias, el prestador
del servicio debe tomar las acciones necesarias y reportar sobre las acciones tomadas.
Se debe suministrar Ia infomiacion de Ia base de datos de gestión de Ia configuracion at

proceso de gestiôn del cambio con el fin de dar soporte a Ia evaluación de las solicitudes de
cambio.
Los cambios en los elementos de configuracion se deben poder rastrear y auditar para
asegurar Ia integridad de tales elementos y de Ia base de datos de gestiórt de Ia configuracion.
Se debe establecer una linea base de Ia configuracion de los elementos de configuracion

afectados antes de implementar una version en el ambiente de producciOn (Live Environment).
Copias maestras de los elementos de configuraciOn registrados an Ia base de datos de gestion

de Ia configuracion se deben almacenar en bibliotecas electrônicas 0 fisicas seguras
referenciadas a los registros de configuracion. Estas copias deben incluir, por lo menos, Ia
documentacion, informacion sobre licencias, software y, cuando estén disponibles, imágenes
de Ia configuracion de hardware.
Debe existir una interfaz definida entre el proceso de gestion de Ia configuracion y el proceso
financiero de gestiOn de activos.
NOTA El alcance del proceso de gestion de Ia confuguracion excluye Ia gestiOn financiera de los activos.
9.2 GESTION DEL CAMBIO
Se debe establecer una politica de gestion del cambio que defina:
los elementos de configuracion que están bajo el control de Ia gestion del cambio;
los criterios para determinar los cambios con el potencial de causar un impacto mayor
en los servicios o en el cliente.
El retiro de un servicio se debe clasificar como un cambio en el servicio con el potencial de

causar un impacto mayor. La transferencia de un servicio desde el prestador del servicio hacia
at cliente o a una parte diferente se debe clasificar como un cambio con potencial de causar un
impacto mayor.
Debe existir un procedimiento documentado para registrar, clasificar, evaluar y aprobar las
solicitudes de cambio.
El prestador del servicio debe documentar y acordar con el cliente Ia definicion de cambio de
emergencia. Debe existir un procedimiento documentado pam Ia gestión de estos cambios.
Todos los cambios en un servicio o un componente del servicio deben forrnularse mediante una
solicitud de cambio. Las solicitudes de cambio deben tener un alcance definido.
27
Todas las solicitudes de cambio se deben registrar y clasificar. Las solicitudes de cambio
clasificadas con potencial de impacto mayor en los servicios 0 el cliente se deben gestionar
utilizando el proceso de diseno y transiciOn de servicios nuevos 0 modificados. Todas las otras
solicitudes de cambio en los elementos de configuracion definidos en Ia politica de gestión de
cambios se deben gestionar utilizando el proceso de gestiôn del cambio.
Las solicitudes de cambio se deben evaluar utilizando Ia informatiOn derivada del proceso de
gestión del cambio y otros procesos.
El prestador del servicio y las partes interesadas deben tomar decisiones sobre Ia aceptación
de las solicitudes de cambio. En Ia toma de decisiones se deben tomar en consideracion los
riesgos, los impactos potenciales para los servicios y el cliente, los requisitos de servicio, los
beneficios pam el negocio, Ia factibilidadjEcaicj y el impacto financiero.
Los cambios aprobados deben
Se debe establecer y o Un programa de cambios que

contenga los detalles y sus fechas propuestas de
implementaciOn. El proc como base para planificar Ia
implementación de Ia ver
Las acciones q se qu eren pam se deben planificar y,

cuando sea sible, om ter a prueba. ,ertir 0 remediar. Los
cambios fa oslse!de en investigar y se
Los ritros de Ia as datos de actualizar

inmetamente_desp és
El prtëi servi 10 C los cambios las

accionordadas c n l
Las solicitl4es d mt a intervalos para detectar las

tendencias. L result do vados del an i registrar y revisar
conelfindeide Ca las
9.3 GESTION DE'VER
El prestador del servicio dell una politica de versiones que

establezca Ia frecuencia y el
El prestador del servicio debeIThficarcon I cliente y las panes interesadas Ia

implementatiOn de servicios nuevos modifi Os y de los componentes del servicio en el
ambiente de producciOn (Live Environ La planificacion debe ser coordinada con el
proceso de gestiOn del cambio e incluir referencias a las solicitudes de cambio pertinentes, a
los errores conocidos y a los problemas que se han cerrado a través de las versiones. Los
planes deben incluir las fechas para Ia implementaciOn de cada version, los entregables y los
métodos de implementacion.
El prestador también debe documentar y acordar con el cliente Ia definiciOn de version de

emergencia. Las versiones de emergencia se deben manejar de acuerdo con un proceso
documentado que tenga interfaces con el procedimiento para cambios de emergencia.
28
Las versiones se deben desarrallar y probar antes de su irnplenientaciOn. Debe utilizarse Un

entorno controlada de pruebas de aceptaciOn para construir y probar todas las versiones antes
de su distribución.
Las criterios de aceptación de las versiones deben acardarse con el cliente y las partes
interesadas. Las versiones deben verificarse frente a los criterios de aceptaciOn acordados y se
deben aprobar antes de Ia implementaciOn. Si no se satisfacen las criterios de aceptaciOn, el
prestador del servicio, junta can las partes interesadas, deben tamar decisiones sabre las
accianes necesarias y Ia implementaciOn.
La version se debe implementar en el ambiente de production (Live Envimnment) de manera

que se conserve Ia integridad del hardware, el software y atros componentes del servicio
durante Ia implernentaciOn de Ia version.
Deben planificarse las actividades requeridas para revertir o remediar una irnplementaciOn
fallida de una versiOn y, en Ia medida de to pasible, deben prabarse. La implementaciOn de una
version se debe revertir a remediar si no se tiene exito. Las versiones fallidas se deben
investigar y las acciones que se han de eniprender se deben pactar.
El éxito o el fracasa de las versiones debe monitorearse y analizarse. Las medicianes deben
incluir las incidentes relacionados can Ia version en el periada inmediatamente después de Ia
implementaciOn de tal versiOn. El análisis debe incluir Ia evaluaciOn del impacto de Ia version
en el cliente. Los resultados y las conclusiones que se derivan del análisis se deben registrar y
revisar con el fin de identificar las oportunidades para Ia mejara.
La informaciOn sobre el exito a fracaso de las versiones y las fechas para futuras versiones
debe suministrarse a los procesas de gestiOn del canibio y de gestiOn de incidentes y
solicitudes de servicio.
Debe suministrarse inforrnaciOn at proceso de gestiOn del cambio con el fin de dar soparte a Ia
evaluaciOn del impacto de las solicitudes de cambio en versiones y planes para Ia
in,plementaciOn.
29
BIBLIOGRAFIA
ISO/IEC 20000-2:2005, Information Technology. Service Management Part 2: Code of

Practice.
ISO/IEC TR 20000-3, Information Technology. Service management Part 3: Guidance

on Scope Definition and Applicability for ISO/IEC 20000-1.
ISO/IEC TR 20000-4 Information Technology. Service Management Part 4: Process

Reference ModeL
(4] ISO/IEC TR 20000-5, lnformatio oloqy. Service Management Part 5: Exemplar

Implementation Plan for ISO/I 20000-
ISO 9000:2005, Quality acgement Systems. undamentals and Vocabulary.
Iso 9001, Quality MaYagement Systems. I?equirem nts.
ISO 9004:2Q0, Quali?(ØjnagementSyite s. (3jiidelines for Performance
ISO 1,92JaIity managemeiTlCi7tomerjS5ti5facticjIGThVelines for Complaints
191 SbL1tOO7, Qu lity Management System . Guidelin s for 5flhiJThti5flMnagement
ISO(IEC1 5288 Sys d Software Engine 'rig. Syst m Life1C73le11'?tesses.
SOJ1EC 155 1, In ormatiô'ñKlechnology. Process Asse5srnent!?ä?tiIConcepts and
[121 Process Assejffijj,9Part 2: Performing an
[13] ISOIIEC 1 550-3, InoTh'Thtio75}TëTch7rol3cfrgcess Ass(ssment Part 3: Guidance on

Performing an Asses_,ñëñt
[141 ISO 19011 Guidelines ua an ntal Management Systems Auditing.
[151 ISO/IEC 19770-1, InformtLon TiEhnoI5Q7 Software Asset Management Part 1:

Processes.
(161 ISO/IEC/IEEE 24765:2010, Systems and Software Engineering. Vocabulary.
ISO/IEC 27000:2009, Information Technology. Security Techniques. Information Security

Management Systems. Overview and Vocabulary.
ISO/IEC 27001, Information Technology. Security Techniques. Information Security

Management Systems. Requirements.
1191 ISOIIEC 27005, Information Technology. Security Techniques. Information Security Risk
Management.
[20) ISO 31000, Risk Management Principles and Guidelines.
30
DOCUMENTO DE REFERENdA
INTERNATIONAL ORGANIZATION FOR STANDARDIZATION. Information Technology.

Service Management Part 1: Service Management System Requirements. Geneva: ISO, 2011,
26 p. (ISOIIEC 20000-1: 2011).
31
icontec
Internaclo no I
BOGOTA MANIZALES
Carrera 37 No. 52 - 95 CalIe 20 No. 22 - 27
Telétono: (1) 6078888 Edificio Cumanday Oticina 806
Fax: (1) 222 1435 Telét one: (576) 8845172
bogota@icontec.oro Fax: (6) 8808289
Celular: 313 8872026
manizaIesicontec.oro
BARRANO VILLA MEDELLIN

Calle 5 A No. 39- 90
Carrera 57 No. 70 - 89
Telétono: (4) 319 8020
Telétono: (5) 3615400
Fax: (4) 314 0378
Fax: (5) 3615499
medellin@icontec.om
barranguilla@icontec.org
CALl
BUCARAMANGA Avenida 4 A None No. 45 - 30
CaVe 42 No.28 - 19 Teléfono: (2) 664 0121
Telétono: (7) 6343322 Fax: (2) 664 1554
Fax: (7) 6452098 cali@icontec.om
Celular: 3108518960
bycaramanpa@icpntec.om
PER EIRA
Carrera 17 No.5-57 Local 2
N El VA Editicio Montecarto. Barrio
Carrera 5 No. 10-49 Oticina 108 Pinares de San Martin
Centro Comercial Plaza Real Telétono: (6) 3317154
leléfono: (8) 87158 33 Ext. 118 pereira@icontec.org
Celular: 313 8872006
Fax: (8)8713666 Ext. 152 CU C VIA
neiva@icontec.org Avenida Cero No. 13-31 Local 3
Edit icio FaraOn
Teletono: (7) 572 0969
CARTAGENA
Celular: 313 8872036
Bocagrande Carrera 4 No.5 A - 17 Piso 2
cucuta@icontec.org
Telétono: (5)6925115
Celular: 313 887 20 29
mcano@la.icontec.org
CaIle 48 No.18 A -22
Barrio Colombia de Barrancabermeja
Telétono: (7) 6021168
IBAGLJE Celular: 320 3336210
Carrara 3 No. 3 - 47 local 1 osarmiento@iconlec.om
Hotel Internacional Casa Morales
Telétono: (8) 2613462 ARMENIA
Celular: 313 8872 004 Carrera 14 No.23-15, Piso 2
ibague@icontec.org Editicio Camara de Comercio
Teléfono: (6) 741 1423
Fax: (6) 741 1423
PASTO
arnienia@icontec.org
CaVe 18 No.28-84 Piso 8 Oficina 804
Editicio CAmara de Comercio de Pasto
Telétono: (2) 7315643 A PA RTAD U
Fax: (2) 7310593 Carrara 107 No. 98A -20
pasto@icontec.orri Edit icio de Serempresa, Barrio Ortiz - ApartadO
Telétono: (4)8283803- directo: ext. 4195
apartado@icont?c.orQ
VII LAVICENCIO
Carrera 48 No. 128-30 Piso 1 MONTERIA
Barrio La Esperanza. Etapa 11 Centre Comercial Plaza de la Castellana
Telétono: (8) 6825002 locales 204 y 212
Celular: 313 887 2003 Telétono: (4) 785 2097
vfla'4cenSO4contec.oro monteria@icontec.org
www.icontec.org I

Norma Tecnica Colombiana - ISO 20000

Caricato da

Informazioni sul documento

Descrizione originale:

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Norma Tecnica Colombiana - ISO 20000

Caricato da

Copyright:

Formati disponibili

4I

NORMA TECNICA NTC-ISO/IEC

o l E: INFORMATION TECHNOLOGY. SERVICE MANAGEMENT.

DESCRIPTORES: tecnologla de Ia informaciOn; sistema

I.C.5.: 03.080.99: 35.020

Prohibida su reproduccion Primera actualizaciOn

Reservados todos los derechos. Ninguna parte de esta publicaciOn

Instituto Colombiano de NorTuas Tecnicas y Certificacion, ICONTEC

El Instituto Colombiano de Normas Tecnicas y Certificacion, ICONTEC, es el organismo

La representaciôn de todos los en el proceso de Normalizacion Técnica

La NTC-ISO/IEC 20000-1 por el Consejo Directivo de

Esta norma estw-u-i-elp a ser de que responda en

A continSion1seJre4onan las empresas que el e diötdëTëtãN.orrna a traves de

Ademâs de las anteriores, se puso a consideracion de las

A TODA HORA S.A ATH _ tAJA COLOMBIANA DE SUBSIDIO FAMILIAR

ISO (Ia Organizacion Internacional para Ia Normalizacion) a IEC (Comisiôn Electrotecnica

Las norrnas internacionales.s€T?Jãëtiiifdejacuerd5T63hjas reglas establecidas en Ia Parte 2

La principal labor I comité 'WbicolconjiThto es pie arar ormas internacionales. Las

Se 'Ei5n obrej posibilidad de qu lgunosje losreleffiat6me te documento

La por el comité tecijionjiThtöIJtO/lEC JTC 1,

- mayor alineaJ5n Co lS(

- mayor alineación co IS(

- adiciOn de muchas más de algunas definiciones y retiro de

- introducciOn del término "sistema de gestiOn del servicio";

- combinacion de las Secciones 3 y 4 de ISO/lEG 20000-1:2005 para dejar todos los

- introduccion de nuevos requisitos para el diseno y Ia transicion de servicios nuevos o

- Parte 1: Requisitos del sistema de gestion del servicio.

- Parte 2: Directrices sabre Ia aplicacion de los sistemas de gestion del servicio.

Parte 3: Directrices Sabre Pa definiciOn del alcance y Ia apticabilidad de ISO/IEC 20000-1

Parte 4: Modelo de referencia de procesos (Infarme Tecnico)

- Parte 5: Ejemplo de plan de implementacion para ISO/lEG 20000-1 (Informe Tecnico)

La integracion y Ia impleme ciOnIcoordi'äias de un GS proporcionan control continuo y

Los prestador de SE rvicias más efectiVsJconsiaeranI!fi1pact_en el*GS a través de todas

Esta ormaçexige Ia iplica de Ia metodologi nod a ca_a Plifi31 cer-Verificar-

Hacer: impleme r y per r el SGS pam el di no, Ia transició , Ia restaciôn y Ia mejara de

Actuar: emprender las accione(para rnejorarcontjamente el desempeño del SGS y los

establecer Ia politica y las objetivos para Ia gestion del servicio,

manitorear, medir y revisar el desempeño del SGS y las servicias;

mejarar cantinuamente el SGS y los servicios can base en mediciones abjetivas.

Figura 1. Metodologia PHVA aplicada a Ia gestión del servicio

Esta norma as deliberadamente independiente de directrices especificas. El prestador del

1. OBJETO V CAMPO DE WCACIONi ................. 1

1.1 GENERALIDADES... .4 ....................... I

1.2 APLICACION ....................... 2

2. REFEBEN NORMATIVAS ..................

4. SISTEMA DE' ............. 7

4.1 ONSa4IDAcII!A'IDICCIÔN ............................................. 7

4.2 GOBIERLNOJD LOOCESOSOe'ERADOS POR OT S P4RTES ................... 9

4.3 GESTIONA D MENACIÔN. 9

4.4 GESTIÔN DE LOS RSOS ................................................. 10

4.5 ESTABLECER V MER1EL SGSI.. .................................................... 11

S. DISEf4O V TRANSICIÔN DE Q$VJC1OS NUEVOS 0 MODIFICADOS .......... 15

5.1 GENERAUDADES ..................................................................................................... 15

5.2 PLANIFICAR LOS SERVICIOS NUEVOS 0 MODIFICADOS ................................... 15

5.3 DISESO V DESARROLLO DE SERVICIOS NUEVOS 0 MODIFICADOS ................ 16

5.4 TRANSICIÔN DE SERVICIOS NUEVOS 0 MODIFICADOS ..................................... 17

6. PROCESO DE PRESTACION DEL SERVICIO ......................................................... 17

6.1 CESTIÔN DEL NIVEL DE SERVICIO ........................................................................ 17

6.2 PRESENTACION DE INFORMES DEL SERVICIO ................................................... 18

6.3 GESTION DE LA CONTINUIDAD V LA DISPONIBILIDAD DEL SERVICIO ............ 19

6.4 PRESUPUESTO V CONTABILJDAD DE LOS SERVICIOS ..................................... 20

6.5 GESTION DE LA CAPACIDAD.................................................................................. 21

6.6 GESTIÔN DE LA SEGURIDAD DE LA INFORMACIÔN ........................................... 21