Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
20 12-12-12
TECNOLOGIA DE LA INFORMACION.
ha GESTION DEL SERVICIO. PARTE 1: REQUISITOS
DEL SISTEMA DE GESTION DEL SERVICIO
ICONTEC es una entidad de caracter privado, sin ánimo de lucro, cuya Misión es fundamental
para brindar soporte y desarrollo at productor y protecciOn at consumidor. Colabora con el
sector gubernamental y apoya al sector privado del pals, para lograr ventajas competitivas en
los mercados interno y externo.
V TELECOMI!JNC SOANSES L
CAMARA DE Olv SUN GEMIN
CENET S.A. TELMEX 5)
CROSS BORDER DE OCCIDENTE
IQ INFORMATION
ICONTEC cuenta con Un Centro de Informacion que pone a disposiciori de los interesados
normas internacionales, regionales y nacionates y otros documentos relacionados.
DIRECCION DE NORMALIZACION
PROLOGO
- cambio en Ia terininol I
aclaración de los requisitos sobre el gobierno de los procesos operados por otras
partes;
aclaracion de los requisitos para definir el alcance del sistema de gestiOn del servicio
(SGS);
- aclaraciOn de que Ia metodologia PHVA se aplica al SGS, incluyendo los procesos de
gestiôn del servicio, y los servicios;
La norma ISO/IEC 20000 consta de las siguientes partes, bajo el titulo general de Teenologia
de Ia informaciOn. Gestion dcl seriicio:
Un modelo de evaluacion de procesos para Ia gestion del servicio será tema de una futura
Parte 8.
NORMA TECNICA COLOMBIANA NTC-ISOIIEC 20000-1 (Primera actualizaciôn)
INTRODUCCION
Los requisitos de esta parte de Ia norma ISO/IEC 20000 incluyen el diseño, transiciôn,
prestaciôn y mejora de servicios que satisfagan los requisitos de servicio y brinden valor tanto
para el cliente coma para el prestadar del servicio. Esta parte de ISO/IEC 20000 exige un
enfoque par pracesas integradas Cu I prestadar del servicio planifica, establece,
implementa, opera, manitarea, revis , mantiene mejora un sistema de gestiOn del servicio
(SGS).
Planifica esta6lecer, Jocu entary apr__ar el SGS. El SGS Inc ye lTh3llt' as, los abjetivos,
los planes as proce as p ra cumplir con s requisitos de servi 10.
Verificar: monitorear, medir&JFisar el SGS y losIseryitips frente a las paliticas, las abjetivos,
los planes y las requisitas dgsevicio, y repartar loslresultThios.
Cuando se utilizan dentro de un SGS, l5fltUientes son los aspectos más importantes de un
enfoque par procesas integrados y de Ia metadalagia PHVA:
camprender y cumplir con los requisitas de servicio para lagrar Ia satisfaccion del cliente;
disenar y prestar servicios basados en el SGS para dar valor agregado al cliente;
La Figura 1 ilustra Ia manera coma se puede aplicar Ia metodologia PHVA al SGS, incluyendo
los procesos de Ia gestiôn del servicio especificados en' las secciones 5 a 9, y los servicios.
Cada elemento cle Ia rnetodologia PHVA as una parte vital de Ia implementaciOn exitosa de un
SGS. El proceso de mejora utilizado an esta norma se basa en esta metodologia.
Esta norma le permite at prestador del servicio integrar su SGS con otros sistemas de gestiôn
an su organizaciOn. La adopciOn de un enfoque por procesos integrados y de Ia metodologia
PHVA le permite al prestador alinear a integrar completamente varias normas de sistemas de
gestión. Por ejemplo, un SGS se puede integrar con un sistema de gestión de Ia calidad
basado en Ia NTC-ISO 9001 o con un sistema de gestiOn de Ia seguridad de Ia informacion
basado en Ia NTC-ISO/IEC 27001.
Los usuarios de una norma son responsables por su correcta aplicacion. La norma no pretende
incluir todos los requisitos estatutarios y reglamentarios necesarios ni las obligaciones
contractuales del prestador del servicio. La conformidad con una norma no confiere por Si sola
inmunidad frente a requisitos estatutarios y reglamentarios.
Para propósitos de investigaciOn sabre las normas de gestión de servicios, se alienta a los
usuarios a cornpartir sus puntos de vista sobre esta norma y sus prioridades en cuanto a
cambios an el resto de Ia serie ISOIIEC 20000. Siga el siguiente vinculo para participar de Ia
encuesta an linea:
www.surveymonkey.com/s/20000-1
NORMA TECNICA COLOMBIANA NTC-ISO/IEC 20000-1 (Primera actualización)
CONTENIDO
Pagina
3. AERMINQS1VJGEFINONES ................................... 3
Pagina
BIBLIOGRAFIA...................................................................................................................... 30
Pagina
FIGURAS
TECNOLOGIA DE LA INFORMACION.
GESTIôN DEL SERVICIO.
PARTE 1: REQUISITOS DEL SISTEMA DE GESTIÔN DEL SERVICIO
1.1 GENERALIDADE5
Esta parte de Ia norma es sobre sistemas de gestiOn del servicio (SGS). Se especifican los
requisitos para que un prestador del servicio planifique, establezca, implemente, opere,
monitoree, revise, mantenga y mejore un SGS. Los requisitos incluyen el diseno, transiciOn,
prestaciOn y mejora de los servicios para cumplir con los requisitos de servicio. Esta pane de Ia
norma puede ser utilizada:
por una organizaciOn que exige un enfoque consistente por parte de todos sus
prestadores de servicios, incluyendo aquellos an Ia cadena de suministro;
por un prestador de servicios para monitorear, medir y revisar sus procesos y servicios
en Ia gestiOn del servicio;
por un evaluador o auditor, como criterio pam una evaluaciOn de Ia conformidad del
SGS de un prestador de servicios con los requisitos de esta parte de Ia norma.
La Figura 2 ilustra un SGS, que incluye los procesos de gestión del serviclo. Estos procesos y
las relaciones entre ellos pueden implementarse de diversas formas por diferentes prestadores
de servicios. La naturaleza de Ia relatiOn entre un prestador de servicios y el cliente influira en
Ia manera en que se implementan los procesos de gestiOn del servicio.
1 de 31
NORMA TECNICA COLOMBIANA NTC-ISO/IEC 20000-1 (Primera actualización)
las
Un 2. Sistema do
El prestador de servicios puede demostrar conformidad can los requisitos de las secciones 5 a 9
presentanda evidencia del cumplimiento de todos las requisitos. Como alternativa, el prestador
puede presentar evidencias del cumplimiento de Ia mayoria de los requisitos y evidencia del
gobierna de los procesos operados par atras partes para dichos procesas, 0 partes de los
procesos, que el prestador no opera directamente.
Se excluye del alcance de esta parte de Ia norma Ia especificacion pam un producto 0 una
herramienla. Sin embargo, Ia arganizaciôn puede utilizar esta parte de Ia norma pam tacilitar el
desarrollo de productos 0 herramientas que soparten Ia operacion de un SGS.
NOTA La norma ISO/IEC TR 20000-3 proporciona orientacion para Ia deflniciOn dol alcance y la aplicabilidad de
esta parte de la norma. Incluye eplicacion adicional acerca del gobierno do los procesos operados pot otras partes.
NORMA TECNICA COLOMBIANA NTC-ISO/IEC 20000-1 (Primera actualizac ion)
REFERENCIAS NORMATIVAS
Los siguientes documentos de referencia son indispensables para Ia aplicaciOn de esta norma.
Para referencias con fecha, ünicamente se aplica Ia edicion citada. Para referencias sin fecha,
se aplica Ia edicion más reciente del documento mencionado (incluyendo todas las enmiendas).
No se citan referencias nonnativas. Esta seccion se incluye con el fin de asegurar que Ia
numeración de las secciones sea idénticacon aquella de Ia ISO/IEC 20000-2, Tecnologia de Ia
inforrnacion. GestiOn del servicio. Parte 2: Directrices sobre Ia aplicación de los sistemas de
gestion de servicios.
TERMINOS Y DEFINICIONES
Para los propOsitos de este documento, se aplican los siguientes términos y definiciones.
3.1 Acción correctiva (Corrective Action). Acción para eliminar Ia causa o reducir Ia
probabilidad de recurrencia de una no conforrnidad detectada o de otra situación indeseada.
3.2 AcciOn preventiva (Preventive Action). Accion para evitar o eliminar las causas o reducir
Ia probabilidad de ocurrencia de una no confomiidad potencial 0 de otra situaciOn potencial no
deseada.
3.3 Acuerdo de nivel de servicio (Service Level Agreement). Acuerdo documentado entre
un prestador de servicios y un cliente, el cual identifica los servicios y los objetivos del sèrvicio.
NOTA 1 Un acuerdo do nivel do servicio tambien so puede establecer entre el prestador del serviclo y un
proveedor externo, Un grupo interno 0 Ufl cliente quo actUa comb proveedor externo.
NOTA 2 Un acuordo do nivel del servicio puodo estar incluido on un contrato u otro tipo de acuerdo documentado.
3.4 Alta direcciOn (Top Management). Persona o grupo de personas que dirigen y controlan
al prestador del servicio at más alto nivel.
NOTA 1 Un clionte puedo sor interno o externo a Ia organizaciOn del prestador del serviclo.
3.7 Componente del servicio (Service Component). Parte de un servicia que cuando se
combina con otras partes prestaré un servicio completo.
NOTA Un coniponcnte del servicio puede estar constituido per unoo mas eleinentos de configuracion.
3.8 Continuidad del servicio (Service Continuity). Capacidad para gestionar los riesgos y los
eventos que podrian tener un impacto grave en el servicio o los servicios, con el fin de prestar
continuamente tales servicios a los niveles acordados.
NOTA Per to general. Ia disponibilidad se expresa como una relacion 0 Ufl porcentaje dci tiempo en ci que ci
servicio o ci componente del serviclo estân realmente disponibics para su uso par pane dci clicntc y ci ticmpo
acordado an ci quc ci scrvicio debcrta estar disponibie.
[Iso 9000:20051
EJEMPLOS Pouticas. planes. de acuerdos de nivel de servicio, contratos
0 rcgistros.
3.15 Grupo interno (Internal Crc del prestador del servicio que
participa en un acuerdo dor del servicio para contribuir at diseno, Ia
transición, Ia prestaciôn y Ia mejora de servicio o los servicios.
NOTA El grupo intemo está fuera dci aicance del SGS dci prestador dci servicio.
[ISO/lEG 27000:20091
NOTA 1 La Urea base de Ia configuracion, mas los carnbios aprobados para esta Ilnea base, constituyen Ia
informacion de Ia confuguracion vigente.
[ISO 9000:20051
EJEMPLOS Companla, corporacion, firma, empresa, institucion, organizacion sin animo de lucro, empresa
unipersonal, asociacion, instituciôn. caridad, 0 partes 0 combinaciones de éstos.
[ISO 9000:20051
3.22 Parte interesada (Interested Party). Persona a grupo que tiene un interés especifico en
el desempeno o el éxito de Ia actividad o las actividades del prestador del servicio.
EJEMPLOS Clientes, propietarios, gerencia, personas en Ia organizacian del prestador del serviclo, proveedores
externos, banqueros, gremios o socios.
NOTA 1 Un grupo puede estar constituido por una organizacion, una parte de ella o más de una organizacion.
3.23 Prestador del servicio (Service Provider). Organizacion a parte de una organizacion
que gestiona y presta un servicio 0 varios servicios al cliente.
NOTA Un cliente puede ser interno 0 externo a Ia organizacion del prestador del servicio.
[ISO 9000:20051
Ij
NORMA TECNICA COLOMBIANA NTC-ISO/IEC 20000-1 (Primera actualización)
[ISO 9000:2005]
3.27 Proveedor externo (Supplier). Organizacion a parte de una organizacion que es externa
a Ia organización del prestador del servicio y participa en el contrato con el prestador del
servicio con el fin de contribuir al diseño, Ia transición, Ia prestaciOn y Ia mejora del servicio a
los servicios o los procesos.
NOTA Los proveedores externos incluyen a lideres designados pero no a sus proveedores
subeontratados.
[ISO 9000:20051
NOTA 2 L!s obifrvos ed ener aspe diferentes (por ejerrplo fin I y metas
ambientale se pueden plic it n niveles djfe_ tes (estrategico, en toda Ia productos
y procesos).
[ISO 31000:20091
NOTA 1 Ademas, tambien pueden estar involucradas otras propiedades como Ia autenticidad, Ia trazabilidad, ci no
repudio y Ia confiabilidad.
NOTA 2 El térniino disponibilidad no se ha utilizado en esta defuniciOn debido a que este es un tennino definido
en esta parte de Ia norma que no serla adecuado para esta definiciOn.
3.32 Servicio (Service). Media para entregar valor para el cliente facilitando los resultados que
el cliente quiere alcanzar.
Li
NORMA TECNICA COLOMBIANA NTC-ISO/IEC 20000-1 (Primera actualizacion)
NOTA 2 Un servicio tambiAn puode ser prostado al prestador del servicio por Un proveodor extomo, un grupo
intorno a un cliente quo actüa como provoodor extorno.
3.33 Sistema de gestiôn del serviclo (Service Management System). Sistema de gestiOn
para dirigir y controlar las actividades pam Pa gestiOn del servicio del prestador de servicios.
NOTA 1 Un sistoma do gostiOn Cs Ufl conjunto de etomentos intorrelacionados o que interactüan para establocer
las politicas y los objet Wos, y para lograr dichos objetivos
NOTA 2 El SGS induye todas las poilticas, objet Was, planes, procesos, documentaciOn y recursos do Ia gestiOn
del servicio roqueridos para el diseflo, Is transicion, Ia prestaciOn y Is mejora do los serviôios, y pam cumplir los
roquisitos do esta pane de Is norma.
NOTA Un cambio en un servicio incluyo Ia provision de Un servicio nuovo 0 el retiro de un sorvicio quo ya nose
roquiore.
La alta dirección debe evidenciar sti campromiso para planificar, establecer, implementar,
operar, manitarear, reviser, mantener y mejarar el SGS y las servicios a través de:
establecer y camunicar el alcance, Ia palitica y los objetivas para Ia gestion del servicia;
asegurar que el plan de gestiOn del servicia se crea, implementa y mantiene con el fin
de cumplir Ia politica, alcanzar los objetivos para Ia gestiOn del serviclo y cumplir can las
requisitos de servicio,
incluye un compromiso pam mejorar continuarnente Ia eficacia del SGS y los servicios a
través de Ia politica sabre Ia mejora continua, secciOn 4.5.5.1:
La alta ión deb desi naJunJm bro de Ia direccion d I prestJor el serviclo quien,
independie emente e su demaslresp sabilidades, tenga I autorid y responsabilidad
para:
asegurar que los procesosdiaIqestiti del servicio estan integrados con los otros
componentes del SGS;
asegurar que los bienes, incluyendo las licencias, utilizados pam prestar servicios, son
gestionados segUn los requisitos estatutarios y reglamentarios, y las obligaciones
contractuales:
reportar a ia alta dirección acerca del desempeño y las oportunidades pam ia mejora dei
SGS y los servicios.
r1
NORMA TECNICA COLOMBIANA NTC-l$O/IEC 20000-1 (Primera actualizacion)
Pam las propósitas de las secciones 5 a 9, el prestador del servicio debe identificar todos los
procesos o partes de ellas que son operados par atras partes. Otras partes pueden ser Un
grupa interno, un cliente a un praveedor extemo. El prestadar del servicia debe demastrar el
gabierna de las procesas operadas par otras partes mediante:
Ia determinacion del desempena del praceso y Ia confarmidad con los requisitas del
procesa;
Cuando un proveedar externo está aperando partes de los procesas, el prestadar del servicia
debe gestionar al proveedar externo a traves del proceso de gestiOn de proveedores. Cuando
un grupo interno o un cliente están operando partes de los pracesas, el prestadar del servicio
debe gestionar at grupo intemo o al cliente a través de las procesas de gestion del nivel de
servicia.
NOTA ISO/IEC TR 20000-3 proporciona arientacion sabre Ia definicion del alcance y Ia aplicabilidad de esta
parte de Ia nanna. Esto incluye Ia explicaciOn adicianal acerca del gobierno de las procesos aperados par atras
partes.
Los documentos exigidos por el SGS deben estar controlados. Los registros son un tipo
especial de documento y deben controlarse de acuerdo con los requisitos que se indican en Ia
sección 4.3.3.
tossea
revisal Y mantener los dQ necesario;
entenlegibles;
asegura ue I s documentos Se4puedãfihidëiitifiMacilA
NOTA Pam mayor informacion ase la 1S0j30300:201 i1. In7orflwdon and Documentation. Management Systems
for Records. Fundamentals and Vocajy.
El prestador del servicio debe determinar y suministrar los recursos humanos, técnicos, de
informaciôn, y financieros necesarios pam:
rnejorar Ia satisfacciOn del cliente suministrando servicios que cumplan con los
requisitos de servicio.
10
NORMA TECNICA COLOMBIANA NTC-I5O/IEC 20000-1 (Primera actualizac iOn)
El personal del prestador del servicio que realice actividades que afectan Ia conformidad con
los requisitos de servicio debe ser competente con base an Ia educacion, el entrenamiento, las
habilidades y Ia experiencia apropiados. El prestador del servicio debe:
El prestador del servicio debe definir e incluir el alcance del SGS an el plan para Ia gestiôn del
servicio. El alcance debe estar definido por el nombre de Ia unidad organizacional que presta
los servicios y por los servicios que se van a prestar.
El prestador del serviclo tambien debe tomar en consideraciôn otros factores que afectan a los
servicios que se van a prestar, incluyendo:
localizacion geografica desde Ia cual el prestador del servicio presta los servicios;
el cliente y su localizaciOn;
NOTA ISO/IEC 20000-3 proporciona oriontacion sobre Ia dofunicion dcl alcance y la aplicabilidad do esta parte de
Ia norma.
El prestador del servicio debe crear, implementar y mantener un plan para Ia gestiOn del
servicio. En Ia planificacion se deben tomar an consideracion Ia politica de gestiOn del servicio,
los requisitos de servicio y los requisitos de esta parte de Ia norma. El plan para Ia gestion del
servicio debe contener o incluir referencia a los siguientes aspectos como minimo:
Los objetivos de Ia gestion del servicio que el prestador del servicio debe lograr;
11
NORMA TECNICA COLOMBIANA NTC-ISOIIEC 20000-1 (Primera actualización)
Las autoridades y responsabilidades para los planes, los procesos de gestiOn del
servicio y los servicios;
El enfoque que se debe adoptar para trabajar con otras partes involucradas en el diseno
y Ia transición de procesos de servicios nuevas 0 modificados,
El enfoque que se debe adoptaç_pwaJjs interfaces entre los procesos de gestión del
servicio y su integracion con oisttcompo ntes del SGS;
perGS (Hacer)
I..
a)
gestion de los
4.5.4.1 Generalidades
El prestador del servicio debe aplicar los métodos adecuados para monitorear y medir el SOS y
los servidios. Estos metodos deben incluir auditorias intemas y revisiones por Ia dirección.
Los objetivos de todas las auditorias internas y las revisiones par Ia dirección deben estar
documentados. Las auditorias internas y las revisiones por Ia direcciOn deben demostrar Ia
12
NORMA TECNICA COLOMBIANA NTC-l$O/IEC 20000-1 (Primera actualizacion)
capacidad del SGS y los servicios para lograr los objetivos de Ia gestiOn del servicio y para
cumplir con los requisitos de servicio. Se deben identificar las no conformidades frente a los
requisitos de esta parte de Ia norma, los requisitos del SGS identificados por el prestador del
servicio o los requisitos de servicio.
Se deben registrar los resultados de las auditorias internas y las revisiones por Ia direcciôn,
incluyendo las no conformidades los asuntos de interes y las acciones identificadas. Los
resultados y las acciones deben comunicarse a las partes interesadas.
El prestador del servicio debe realizar auditorias internas, a intervalos planificados, pam
determinar si el SGS y los servicios:
cumplen los requisitos de servicio y los requisitos del SGS identificados par el prestador
del servicia;
El programa de auditoria debe estar planificado. Pam ello se deben tener en cuenta el estado y
Ia importancia de los procesos y de las areas que se van a auditar, asi como los resultados de
auditorias previas. Se deben documentar los criterios, el alcance, Ia frecuencia y. losmetodos
de auditoria.
NOTA Vease Ia NTC-ISo 19011 para orientacion sabre Ia auditoria de los sistemas de gestion.
La alta dirección debe revisar el SGS y los servicios a intervalos planificados para asegurar su
eficacia e idoneidad continuas. Esta revision debe incluir Ia evaluaciOn de las oportunidades de
mejora y Ia necesidad de efectuar cambios en el SGS, incluyendo Ia politica y los objetivos
pam Ia gestión del servicio.
Los elementos de entrada para las revisiones par Ia direcciOn deben incluir, par lo menos,
informacion sobre:
13
NORMA TECNICA COLOMBIANA NTC-ISO!IEC 20000-1 (Primera actualizaciôn)
riesgas;
iL
Los registras de I e isbn par Ia iijë&iàn dben iZlir, par cisianes y las
accianes relacia das con recursas, Mjora 41IrficaciJ SG servicbas.
4.5.5.1aterueraliaad -
NOTA Para más infonnadon sabre aAjrrecti('ay preve a, vease Ia norma Nit-ISO 9001:2008. secciOn 8.5.
Las oportunidades para Ia mejara se deben priorizar. El prestador del servicio debe utilizar los
criterios de evaluación establecidos en Ia politica sabre Ia mejora continua, cuando se taman
decisiones relacionadas can las oportunidades para Ia mejora.
El prestador del serviclo debe gestionar actividades de mejora, que incluyan, par Ia menos:
14
NORMA TECNICA COLOMBIANA NIC-ISO/IEC 20000-1 (Primera actualizacion)
establecer los objetivos para las mejoras en uno a más de los siguientes aspectos:
calidad, valor, capacidad, costo, productividad, utilizaciOn de recursos y reducciOn de
riesgos;
revisar las politicas, los planes, procesos y procedimientos de Ia gestiOn del servicio,
cuando sea necesarlo;
5.1 GENERALIDADES
El prestador del servicio debe utilizar este proceso para todos los servicios nuevos y los
cambios en los servicios qua tengan potencial de tener un impacto mayor en los servicios 0 el
cliente. Los cambios que se encuentran en el alcance de Ia secciOn 5 deben estar
determinados por Ia politica de Ia gestión del cambio acordada como parte del proceso de
gestiOn del cambio.
El prestador del servicio debe revisar los elementos de salida derivados de las actividades de
planificaciOn y diseno para servicios nuevos a modificados frente a los requisitos de servicio
acordados y los requisitos pertinentes que se indican en las secciones 5.2 y 5.3. Con base en
Ia revisiOn, el prestador del servicio debe aceptar a rechazar las salidas. Tambien debe
emprender las acciones necesarias para asegurar que el desarrollo y Ia transiciOn de los
servicios nuevos a modificados se pueden realizar eficazmente, utilizando los elementas de
salida aceptados.
El prestador del servicio debe identificar los requisitos de servicio para los servicios nuevos a
los servicios modificados. Los servicios nuevos a modificados se deben planificar para que
cumplan con los requisitos de servicio. La planificaciOn de servicios nuevos o modificados se
debe acardar con el cliente y las partes interesadas.
Como elemento de entrada para Ia planificacion, el prestador del servicio debe tomar en
consideraciOn el impacto potencial de Ia pfestaciOn de servicios nuevos o modificados en
terminos financieros, arganizacionales y técnicos. El prestador del servicio tambien debe tener
en cuenta el irnpacto potencial de los servicios nuevos o modificados en el SGS.
15
NORMA TECNICA COLOMBIANA NTC-ISO/IEC 20000-1 (Primera actualizaciôn)
La planificaciOn de los servicios nuevos 0 moditicados debe contener o incluir una referencia a
los siguientes aspectos, como minimo:
las actividades que van a realizar el prestador del servicio y otras partes, incluyendo
actividades a traves de las interfaces desde el prestador del servicio hasta las otras
partes,
t) Ia identificaciOn,
El prestador
componente
capacidad pa
N
N er
o de é1JiitifiiJlãI5frqs partes que cont 'biiiiã on Ia provisiOn de los
cia p im1iosiserviiosjniayps o rnodifica os. demâs debe evaluar su
con os requiitbTE1eserviEP Los resutta de Ia evaluaciOn se deben
registrar y se deben empren ler laslaccionesinecesana gi
actividades que at prestador del servicio, el cliente y otras partes van a realizar para Ia
prestaciôn de servicios nuevos o moditicados;
requisitos de recursos humanos nuevos o modificados, que incluyan los requisitos pam
educaciOn, entrenamiento, habilidades y experiencia adecuados;
11.1
NORMA TECNICA COLOMBIANA NIC-ISO/lEC 20000-1 (Primera actualizacjon)
El prestador de servicios debe asegurar que el diseno permite que los servicios nuevos o
modificados cumplan con los requisitos de serviclo.
NOTA Pam ma.0 infamaSn aoerca del dSsIO, wufta Cs procesos de dsno y desanvOo en b Nit-ISO 90012008,
seccion 7.3. o el proceso de diseflo arquitectOnico en ISO! IEC 15288:2008, seccion 6.4.3.
Los servicios nuevos a modificados se deben someter a prueba para verificar que cumplen con
los requisitos de servicio y el diseno documentado. Los servicios nuevos a modificados se
deben verificar frente a los criterios de aceptaciOn del servicio pactados anticipadarnente por el
prestador del servicio y las partes interesadas. Si no se satisfacen los criterios de aceptación
del servicio, el prestador del servicio y las partes interesadas deben tomar una decision sobre
las acciones necesarias y su implementaciOn.
El prestador del servicio debe acordar con el cliente los servicios que se van a prestar.
El prestador del servicio debe acordar un catélogo de servicios con el cliente. El catãlogo de
servicios debe incluir las dependencias entre los servicios y los componentes del servicio.
Pam cada servicio que se presta, se debe acordar uno 0 mas ANS con el cliente. Cuando se
crean los ANS, el prestador del servicio debe tener en cuenta los requisitos de servicio. Los
ANS deben incluir los objetivos del servicio, las caracteristicas de Ia carga de trabajo y las
excepciones que se han acordado.
17
NORMA TECNICA COLOMBIANA NTC-ISO/IEC 20000-1 (Primera actualización)
El prestador del servicio debe revisar los servicios y los ANS con el cliente a intervalos
planificados.
Los cambios en los requisitos de servicio documentados, los catálogos de servicios, los ANS y
otros acuerdos documentados deben estar controlados por el proceso de gestión del cambio.
El catálogo de servicios debe mantenerse después de cambios en los servicios y los ANS para
asegurar que continUan estando alineados.
El prestador del servicio debe monitorear las tendencias y el desempeno frente a los objetivos
del servicio a intervalos planificados. Los resultados se deben registrar y revisar para identificar
las causas de las no conformidades y las oportunidades para Ia mejora.
Para los componentes del servicio por un grupo interno o el cliente, el prestador
del servicio debe desarrollar, acorc ntener Un acuerdo documentado para definir
las actividades y las interfaces en s. I prestador del servicio debe monitorear el
P
desempeño del grupo interno cto a los objetivos acordados para el
serviclo y otros compromis e pac nificados. Los resultados se deben
registrar y revisar con el i sa de las no conforrnidades y las
oportunidades para Ia mejora.
6.2 PRESENTACION DE
inIormación de tendencias;
mediciones de Ia satisfacciOn del cliente, las quejas del servicio y los resultados del
analisis de las mediciones de Ia satisfacción y los reclamos.
El prestador del servicio debe tomar decisiones y emprender acciones con base en los
hallazgos de los informes del servicio. Las acciones acordadas se deben comunicar a las
partes interesadas.
18
NORMA TECNICA COLOMBIANA NTC-l5O/IEC 20000-1 (Primera actualización)
El prestador del servicio debe evaluar y documentar los riesgos para Ia continuidad y Ia
disponibilidad de los servicios. El prestador del servicio debe identificar y acordar con el cliente
y las partes interesadas los requisitos para Ia continuidad y disponibilidad del servicio. Los
requisitos acordados deben considerar, segUn sea aplicable, los planes de negocios, los
requisitos de servicio, los ANS y los riesgos
Los requisitos pactados para Ia continuidad y disponibilidad del servicio deben incluir, por lo
menos, los siguientes:
El prestador del servicio debe crear, implementar y mantener planes de continuidad del servicio
y planes de disponibilidad. Los cambios en estos planes deben estar controlados por el
proceso de gestión del cambio.
los procedimientos que se van a implementar en at evento de una pérdida mayor del
servicio, o referenda a ellos;
Los planes de continuidad del servicio, las listas de contactos y Ia base de datos de gestiOn de
Ia configuracion deben estar disponibles cuando no sea posibte el acceso normal a los lugares
de servicio.
Los planes de disponibilidad deben incluir por lo menos los requisitos y los objetivos de Ia
disponibilidad.
El prestador del servicio debe evaluar at impacto de las solicitudes de cambio sobre los planes
de continuidad del servicio y sobre los planes de disponibilidad.
NOTA Los planes de continuidad y de disponibilidad del seMcio se pueden combinar en un documento.
19
NORMA TECNICA COLOMBIANA NTC-ISO/IEC 20000-1 (Primera actualización)
Los planes de continuidad del servicio se deben someter a prueba frente a los requisitos de Ia
continuidad del serviclo. Los planes de disponibilidad se deben someter a prueba frente a los
requisitos de disponibilidad. Los planes de continuidad y de disponibilidad del servicio se deben
volver a probar después de cambios mayores en el entorno de servicio en el cual opera el
prestador del servicio.
Los resultados de las pruebas se deben registrar. Se deben realizar revisiones despues de
cada prueba y después de que se he invocado el plan de continuidad del servicio. Cuando se
encuentran deficiencias, el prestador del servicio debe emprender las acciones necesarias e
informar sobre las acciones tomadas.
precu4so6 compartidos,
aprobacion y control
El prestador del servicio debe monitorear e informar los costos frente at presupuesto, revisar las
proyecciones financieras y administrar los costos.
Se debe suministrar inforrnación al proceso de gestión del cambio para soportar el costeo de
las solicitudes de cambio.
NOTA Muchos prestadores de servicios cobran par sus servicios. El alcance del presupuesto y Ia contabilidad de
los procesos de servicios excluyen el cobra.
20
NORMA TECNICA COLOMBIANA NTC-ISO!IEC 20000-1 (Primera actualizacion)
El prestador del servicio debe identificar y acordar los requisitos de capacidad y desempeno
con el cliente y las partes interesadas.
El prestador del servicio debe crear, implementar y mantener un plan de capacidad que tome
en consideracion los recursos humanos, tecnicos, de informaciOn y financieros. Los cambios en
el plan de Ia capacidad deben estar controlados par el proceso de gestion del cambio.
El prestador del servicio debe monitorear el usa de Ia capacidad, analizar los datos de
capacidad y afinar el desempeno. El prestador del servicio debe suministrar capacidad
suficiente pam cumplir con los requisitos de desempeno y capacidad acordados.
definir el enfoque que se ha de lamar para Ia gestiOn de los riesgos para Ia seguridad de
Ia informacion y los criterios para Ia aceptacion de riesgos;
U asegurar que los resultados de Ia auditoria se revisen para identificar las oportunidades
para Ia mejora.
21
NORMA TECNICA COLOMBIANA NTC-ISO/IEC 20000-1 (Primera actualización)
NOTA Para mayor inforrnacion consultar Ia Nit-ISO 31000 Gestion del riesgo. Principios y directrices y Ia norma
NTC-ISO/IEC 27005 Tecnologla de Ia infonnacion. Tecnicas do soguridad. Gostion del riosgo en Ia seguridad do Ia
iriformaciOn.
El prestador del servicio debe implementar y operar controles fisicos, administrativos y técnicos
para Ia seguridad de Ia informacion con el fin de:
6.6.3 tCä?flbiã de Pa
riesgos nuevos 0
NOTA La familia do nonnas NTC-ISOREC 27000 ospecifica los requisitos y proporciona orientacion para
soportar Ia implomentacion y Ia oporacion do un sistoma do gostion do Ia soguddad do Ia infomiacion.
7. PROCESOS DE RELACIÔN
El prestador del serviclo debe identificar y documentar los clientes, los usuarios y las partes
interesadas de los servicios.
NORMA TECNICA COLOMBIANA NTC-ISO/IEC 20000-1 (Primera actualizacion)
Pam cada cliente, el prestador del servicio debe designar a un individuo coma responsable de
gestionar Ia relación con el cliente y Ia satisfacción de éste.
El prestador del servicio debe establecer Un mecanismo de comunicaciOn con el cliente. Este
mecanisrrjo debe promover el entendirniento del entomb del negoclo en el cual operan los
servicios y los requisitos pam los servicios nuevos o modificados. Esta informaciOn debe
perrnitirle al prestador del servicio responder a estos requisitos.
El prestador del servicio debe revisar con el cliente el desempeno de los servicios a intervalos
planificados.
Los cambios en los requisitos documentados del servicio deben estar controlados par el
proceso de gestión del cambio. Los cambios en los ANS se deben coordinar con el proceso de
gestion de nivel del servicio.
La defunicion de reclamo del servicia debe ser acordada con el cliente. Debe existir Un
procedimiento documentado para gestionar los reclamos del servicio del cliente. El prestador
del servicia debe registrar, investigar, tratar, reportar y cerrar los reclarnos del servicio. Cuando
un reclamo del servicio no se resuelve a traves de los canales normales, se deben suministrar
al cliente los mecanismos pam su escalamiento.
El prestador del servicio debe medir Ia satisfaccion del cliente a intervalos planiuucados, con
base en una muestra representativa de los clientes y usuarios de los servicios. Los resultadas
se deben analizar y revisar pam identificar las oportunidades pam Ia mejora.
El prestador del servicio puede utilizar proveedores externos pam implementar y operar
algunas partes de los procesos de gestion del servicia. En Ia Figura 3 se ilustra un ejemplo de
las relacianes de Ia cadena de suministro.
Proveedor externo 1
Proveedorextemo
subcontnnado
I
J Pmeedme4emolider
Para cada proveedor extema, el prestador del servicio debe designar a un individuo como
responsable de gestionar Ia relacion, el contrata y el desempeno del praveedor externo.
a) el alcance de los servicios que van a ser prestados por el proveedor externo;
23
NORMA TECNICA COLOMBIANA NTC-ISO/IEC 20000-1 (Primera actualizaciôn)
interfaces entre los procesos de Ia gestiOn del servicio operadas por el proveedor
externo y alias partes;
I) o anticipada del
de los
Debe existir un procedimiento docbmentJo para stionar las disputas contractuales entre el
prestador del servicio y el proveedor kerno.
NOTA 1 El alcance dcl praceso do gcstiOn do proveedares excluye Ia sciccciOn de las proveedares externos y Ia
adquisicion do seMcios.
NOTA 2 La norma técnica ISO/IEC 20000-3 presenta ejemplos adicionales de las relaciones de Ia cadena de
suministro.
S. PROCESOS DE SOLUCIôN
Debe existir un procedimiento documentado para todos los incidentes con el fin de definir:
24
NORMA TECNICA COLOMBIANA NTC-l$O/IEC 20000-1 (Primera actualización)
registro;
asignacion de prioridad;
clasificación;
actualizacion de registros;
escalamiento;
solucion;
cierre.
Cuando se priorizan los incidentes y las solicitudes de servicio, el prestador del serviclo debe
tomar en consideraciOn el impacto y Ia urgencia del incidente o Ia solicitud.
El prestador del servicio debe asegurar que el personal involucrado en el proceso de gestion de
incidentes y solicitudes de servicio puede tener acceso y utilizar Ia informacion pertinente. La
intormacion pertinente debe incluir los procedimientos de gestion de las solicitudes de servicio,
los errores conocidos, Ia soluciOn de problemas y Ia base de datos de gestion de Pa
configuracion. El proceso de gestión de incidentes y solicitudes de servicio debe utilizar Ia
informacion sobre las versiones exitosas o fallidas y las fechas de las versiones futuras,
obtenida del proceso de gestiOn de versiones e implementaciones.
El prestador del servicio debe mantener informado al cliente acerca del progreso de los
incidentes que reportó o de las solicitudes de servicio. Si los objetivos del servicio no se
pueden satisfacer, el prestador debe informar at cliente y a las partes interesadas y realizar el
escalamiento segUn el procedimiento.
El prestador del servicio debe documentar y acordar con el cliente Ia definicion de incidente
mayor. Los incidentes mayores se deben clasificar y gestionar de acuerdo con un
procedimiento documentado. La alta direcciOn debe estar informada de los incidentes mayores.
La alta direccion debe asegurar que se designe a un individuo responsable de Ia gestion de los
incidentes mayores. Despues de restaurar el servicio acordado, los incidentes mayores deben
ser revisados con el fin de identificar las oportunidades para Ia mejora.
Debe existir un procedimiento documentado para identificar los problemas y minimizar o evitar
el impacto de los incidentes y los problemas. Este procedimiento debe definir:
identificacion;
registro;
asignacion de prioridad;
clasificacion;
25
NORMA TECNICA COLOMBIANA NTC-ISOIIEC 20000-1 (Primera actualizaciôn)
e) actualizaciOn de registros;
I) escalamiento;
solución;
cierre.
El prestador del servicio debe analizar los datos y las tendencias de los incidentes y los
problemas para identificar las causas raIz y su acciOn preventiva potencial.
9. eROCESOS 9E COOL
9.1 GESililÔi DE
k CIN4GOACIÔN 14
Debe el€Jirjuna_d4niciotkJ%iocumenjka de .cada tipo de eeffiiito de
informacioMueJsefrgistr]paraIcadãTëIbcnento debe asegurjijël con
Fn;
iguraciOn. La
eficz e incluir lo
siguiente:
descripci
estado;
version;
U ubicación;
El prestador del servicio debe auditar los registros almacenados en Ia base de datos de gestion
de Ia configuraciOn, a intervalos planificados. Cuando se encuentran diferencias, el prestador
del servicio debe tomar las acciones necesarias y reportar sobre las acciones tomadas.
Los cambios en los elementos de configuracion se deben poder rastrear y auditar para
asegurar Ia integridad de tales elementos y de Ia base de datos de gestiórt de Ia configuracion.
Debe existir una interfaz definida entre el proceso de gestion de Ia configuracion y el proceso
financiero de gestiOn de activos.
NOTA El alcance del proceso de gestion de Ia confuguracion excluye Ia gestiOn financiera de los activos.
los elementos de configuracion que están bajo el control de Ia gestion del cambio;
los criterios para determinar los cambios con el potencial de causar un impacto mayor
en los servicios o en el cliente.
Debe existir un procedimiento documentado para registrar, clasificar, evaluar y aprobar las
solicitudes de cambio.
El prestador del servicio debe documentar y acordar con el cliente Ia definicion de cambio de
emergencia. Debe existir un procedimiento documentado pam Ia gestión de estos cambios.
Todos los cambios en un servicio o un componente del servicio deben forrnularse mediante una
solicitud de cambio. Las solicitudes de cambio deben tener un alcance definido.
27
NORMA TECNICA COLOMBIANA NTC-ISO/IEC 20000-1 (Primera actualización)
Todas las solicitudes de cambio se deben registrar y clasificar. Las solicitudes de cambio
clasificadas con potencial de impacto mayor en los servicios 0 el cliente se deben gestionar
utilizando el proceso de diseno y transiciOn de servicios nuevos 0 modificados. Todas las otras
solicitudes de cambio en los elementos de configuracion definidos en Ia politica de gestión de
cambios se deben gestionar utilizando el proceso de gestiôn del cambio.
Las solicitudes de cambio se deben evaluar utilizando Ia informatiOn derivada del proceso de
gestión del cambio y otros procesos.
El prestador del servicio y las partes interesadas deben tomar decisiones sobre Ia aceptación
de las solicitudes de cambio. En Ia toma de decisiones se deben tomar en consideracion los
riesgos, los impactos potenciales para los servicios y el cliente, los requisitos de servicio, los
beneficios pam el negocio, Ia factibilidadjEcaicj y el impacto financiero.
28
NORMA TECNICA COLOMBIANA NTC-ISOIIEC 20000-1 (Primera actualización)
Las criterios de aceptación de las versiones deben acardarse con el cliente y las partes
interesadas. Las versiones deben verificarse frente a los criterios de aceptaciOn acordados y se
deben aprobar antes de Ia implementaciOn. Si no se satisfacen las criterios de aceptaciOn, el
prestador del servicio, junta can las partes interesadas, deben tamar decisiones sabre las
accianes necesarias y Ia implementaciOn.
Deben planificarse las actividades requeridas para revertir o remediar una irnplementaciOn
fallida de una versiOn y, en Ia medida de to pasible, deben prabarse. La implementaciOn de una
version se debe revertir a remediar si no se tiene exito. Las versiones fallidas se deben
investigar y las acciones que se han de eniprender se deben pactar.
El éxito o el fracasa de las versiones debe monitorearse y analizarse. Las medicianes deben
incluir las incidentes relacionados can Ia version en el periada inmediatamente después de Ia
implementaciOn de tal versiOn. El análisis debe incluir Ia evaluaciOn del impacto de Ia version
en el cliente. Los resultados y las conclusiones que se derivan del análisis se deben registrar y
revisar con el fin de identificar las oportunidades para Ia mejara.
La informaciOn sobre el exito a fracaso de las versiones y las fechas para futuras versiones
debe suministrarse a los procesas de gestiOn del canibio y de gestiOn de incidentes y
solicitudes de servicio.
Debe suministrarse inforrnaciOn at proceso de gestiOn del cambio con el fin de dar soparte a Ia
evaluaciOn del impacto de las solicitudes de cambio en versiones y planes para Ia
in,plementaciOn.
29
NORMA TECNICA COLOMBIANA NTC-ISO/IEC 20000-1 (Primera actualizacion)
BIBLIOGRAFIA
1191 ISOIIEC 27005, Information Technology. Security Techniques. Information Security Risk
Management.
30
NORMA TECNICA COLOMBIANA NTC-ISO/IEC 20000-1 (Primera actualización)
DOCUMENTO DE REFERENdA
31
icontec
Internaclo no I
BOGOTA MANIZALES
Carrera 37 No. 52 - 95 CalIe 20 No. 22 - 27
Telétono: (1) 6078888 Edificio Cumanday Oticina 806
Fax: (1) 222 1435 Telét one: (576) 8845172
bogota@icontec.oro Fax: (6) 8808289
Celular: 313 8872026
manizaIesicontec.oro
www.icontec.org I