Embed Size (px)
DESCRIPTION
Esta copia de la norma ISO20000 no tiene valor normativo es una traducción sin valor normativo
Citation preview
NORMA UNE-ISO/IEC INTERNACIONAL 20000-1:2011
UNE-ISO / IEC 20000-1:2011
Junio 2011
NO TIENE VALOR NORMATIVO
Tecnología de la información – Gestión del servicio –
Parte 1:
Requisitos del Sistema de Gestión del Servicio (SGS) PRESENTACIÓN 1) El examen del proyecto ha sido elaborado por la Comisión para el Estudio de las Operaciones Tecnología. Información (EC-21: 007,25) del ordenador brasileña y Procesamiento Datos (ABNT/CB-21), las reuniones de: 2) Se espera que la revisión del proyecto para cancelar y reemplazar la anterior edición (ABNT NBR ISO / IEC 20000:2008), cuando se apruebe, y mientras tanto esta norma todavía en la fuerza; 3) Se espera que sea equivalente a la norma ISO / IEC 20000-1:2011; 4) No tienen valor normativo; 5) Los que tengan conocimiento de cualquier patente debe presentar este información en sus comentarios, con la documentación; 6) Este Proyecto de Norma será diagramado según las normas de la ABNT al publicar su publicación como Norma Brasileña. 7) participaron en la preparación de este proyecto: Los siguientes representantes Brunise JOSE MARIA SOPORTE GLOBAL PONCE SILVANA SOPORTE GLOBAL Eliana BORGES ILUMNA GISELE VILLAS BOAS
Revisiones
04.02.2011 28.03.2011 30.05.2011
UNE-ISO / IEC 20000-1
Junio 2011 NO TIENE VALOR NORMATIVO
Tecnología de la información –
Gestión del servicio – Parte 1:
Servicios de gestión de los requisitos del sistema Tecnología de la información –
Gestión del servicio – Parte 1:
Sistema de gestión del servicio Requisitos Prefacio nacional La Asociación Brasileña de Normas Técnicas (ABNT) es el Foro Nacional de Normalización. Las Normas Brasil, cuyo contenido es responsabilidad de los Comités Brasileños (ABNT / CB), Sectorial Sector de Normalización (ABNT / ONS) y grupos especiales de estudio (ABNT / CEE), son preparado por Comisiones de Estudio (CE), formado por representantes de los sectores involucrados parte: productores, consumidores y neutrales (universidades, laboratorios y otros). Los documentos que se elaboran se subdividen de acuerdo con las reglas de Directivas ABNT, Parte 2. Las principales diferencias son las siguientes: una mayor alineación con la norma ISO 9001; una mayor alineación con la norma ISO / IEC 27001; cambiar la terminología para reflejar el uso internacional; además de muchas otras opciones, cambiar algunos ajustes y quitar dos definiciones; introducción de la expresión "servicios de sistemas de gestión"; combinando las secciones 3 y 4 de la ABNT NBR ISO / IEC 20000-1:2008 poner todo sistema de gestión de requisitos en una sección; clarificación de los requisitos para la gestión de los procesos operados por otras partes; clarificación de los requisitos para la definición del ámbito de aplicación del SGS; aclarar que la metodología PDCA se aplica a SGS, incluyendo la gestión de procesos y gestión de servicios;
introducción de nuevos requisitos para el diseño y la transición de servicios nuevos o modificados.
La ISO / IEC 20000 consta de las siguientes partes, bajo el título general de Tecnología Información –
Gestión de Servicios: Parte 1:
Requisitos del sistema de gestión de servicios
ABNT/CB-21 ISO / IEC 20000-1
Junio 2011 NO TIENE VALOR NORMATIVO
Parte 2: Guía para la aplicación de la gestión del servicio. Parte 3: Orientación para la definición del alcance y la aplicabilidad de la norma ISO / IEC 20000-1 [Informe Técnico] Parte 4: Modelo de referencia del proceso [Informe Técnico] Parte 5: Ejemplo de un plan de implementación de la norma ISO / IEC 20000-1 [Informe técnico] Un modelo para evaluar el proceso de gestión de servicios será objeto de un futuro Parte 8. El alcance de esta Norma Brasileña Inglés es el siguiente: Alcance General Esta parte de la Norma ISO / IEC 20000 es una norma de sistema de gestión del servicio (SGS). En él se especifica requisitos para el proveedor de servicios para planificar, establecer ellos mismos, en su lugar, operar, supervisar, revisar, mantener y mejorar un SGS(SMS). Los requisitos incluyen el diseño, la transición, la entrega y la mejora del servicio para cumplir con los requisitos del servicio. Esta parte de la norma ISO / IEC 20000 puede ser utilizado por: a) una organización que busca los servicios de los proveedores de servicios y que requieren Que Su garantía de servicio requisitos serán resplandeciente; b) Que una organización requiere de un enfoque coherente por todos sus proveedores de servicios, incluidos los de la la cadena de suministro; c) el prestador de servicios tiene la intención de Que Manda su capacidad para el diseño, transición, entrega y mejora de los servicios Que cumplan los requisitos de servicio; d) el proveedor de servicios para supervisar, medir y revisar sus procesos y servicios de gestión de servicios;
e) el proveedor de servicios para mejorar el diseño, la transición y la entrega de servicios a través de efectivo Implementación y operación de un SGS(SMS); f) Un asesor o auditor a los criterios para la evaluación de la conformidad de los SMS de los proveedores de servicios a la requisitos de esta parte de la norma ISO / IEC 20000. La Figura 2 ilustra un SGS(SMS), incluyendo los procesos de gestión de servicios. La gestión de los servicios los procesos y las relaciones entre los procesos que se pueden implementar de diferentes maneras por los diferentes proveedores de servicios. La naturaleza de la relación entre el prestador y el cliente influirá en cómo se implementan los procesos de gestión de servicios. ___________________ A publicarse (revisión técnica de la norma ISO / IEC 20000-2:2008)
UNE-ISO / IEC 20000-1
Junio 2011
NO TIENE VALOR NORMATIVO
Figura 1 - Sistema de Gestión del Servicio
Aplicación Todos los requisitos de esta parte de la norma ISO / IEC 20000 son genéricos y se pretende que sean aplicables a todos los proveedores de servicios, independientemente del tipo, el tamaño y la naturaleza de los servicios prestados. Exclusión de alguno de los requisitos establecidos en las cláusulas 4 a 9 no es aceptable cuando el proveedor de servicios asegura la conformidad con esta parte de la norma ISO / IEC 20000, independientemente de la naturaleza de la organización del proveedor de servicios. La conformidad con los requisitos establecidos en la cláusula 4 sólo puede ser demostrado por el proveedor de servicios que muestra pruebas de cumplimiento de todos los requisitos en la cláusula 4. El proveedor de servicios no puede basarse en la evidencia de la gobernabilidad de los procesos operados por otras partes de los requisitos establecidos en la cláusula 4. La conformidad con los requisitos establecidos en las cláusulas 5 a 9 se puede demostrar por el proveedor de servicios que muestra pruebas de cumplimiento de todos los requisitos. Alternativamente, el proveedor de servicio puede mostrar evidencia de cumplimiento La mayoría de los requisitos de sí mismos y la evidencia de la gestión de los procesos operados por Para las Partes que otros procesos, o partes de los procesos, que el proveedor de servicios no funciona directamente. El alcance de esta parte de la norma ISO / IEC 20000, excluye la especificación para el producto o herramienta. Sin embargo, las organizaciones pueden utilizar esta parte de la norma ISO / IEC 20000 para ayudar a desarrollar productos o los Herramientas Que apoyen la operación de un SMS. NOTA ISO / IEC TR 20000-3 Proporciona orientación sobre la definición del alcance y aplicabilidad de esta parte de la norma ISO / IEC 20000. Esto incluye una explicación más detallada sobre la gestión de los procesos operados por otras partes. Gestión del Servicio Sistema Servicio Administración Procesos Servicios Actuar HACER Verificar Planificar
UNE-ISO / IEC 20000-1 Junio 2011
NO TIENE VALOR NORMATIVO Introducción Los requisitos de esta parte de la norma ISO / IEC 20000 incluyen el diseño, transición, entrega y mejora de los servicios para satisfacer las necesidades de servicio y proporcionar un valor para el cliente y el proveedor de servicio. Esta parte de la Norma ISO / IEC 20000 requiere un enfoque integrado para procesar al el proveedor de servicios establece, implementa, opera, monitores, revisiones, mantiene y mejora una servicios de gestión de sistemas (SMS). La integración coordinada y la implementación de un sistema de gestión de la seguridad proporciona una corriente de control y oportunidades de mejora continua, una mayor eficiencia y eficacia. La operación de los procesos, como se especifica en esta parte de la norma ISO / IEC 20000 requiere que las personas estén bien organizado y coordinado. Herramientas adecuadas se pueden utilizar para permitir procesos son eficaces y eficientes. Los proveedores de servicios consideran más eficaz el impacto sobre los SMS a través de todas las etapas del ciclo de vida del servicio a través de la estrategia de transición diseño y operación, incluyendo la mejora continua. Esta parte de la Norma ISO / IEC 20000 requiere de la aplicación de la metodología conocida como "Planificar-Hacer-Verificar-Actuar "(PDCA) para todas las partes del SGS y servicios. Metodología PDCA aplicado en este parte de la norma ISO / IEC 20000, se puede describir brevemente como sigue. Programa: la creación, documentación y aprobación de SGS. El SGS incluye las políticas, objetivos, planes y procesos para satisfacer las necesidades del servicio. Marca: implementación y operación de los SMS en los servicios de diseño, transición, la entrega y la mejora de la. Comprobar: monitorear, medir y analizar los SGS y servicios contra las políticas, objetivos, planes y los requisitos de servicio y la información de los resultados. Actuar: tomar acciones para mejorar continuamente el rendimiento de SGS y servicios. Cuando se utiliza dentro de un SGS, los siguientes son los aspectos más importantes de un enfoque procesos integrados y la metodología de PDCA: a) la comprensión y el cumplimiento de los requisitos de servicio para lograr la satisfacción del cliente; b) establecer la política y objetivos de la gestión del servicio; c) el diseño y la prestación de servicios basados en SGS valor añadido para el cliente;
d) supervisar, medir y analizar el rendimiento de SGS y servicios; e) la mejora continua de SGS y servicios con base en mediciones objetivas. La Figura 1 ilustra cómo la metodología PHVA se puede aplicar a los SGS, incluyendo los procesos servicios de gestión, se refieren las cláusulas 5.9 y servicios. Cada elemento de la metodología PDCA es una parte vital de una implementación exitosa de un sistema de gestión de la seguridad. La mejora de procesos utiliza en esta parte de la norma ISO / IEC 20000 está basada en la metodología PDCA.
Junio 2011
NO TIENE VALOR NORMATIVO
Figura 1 - Metodología PDCA aplicado a la gestión de servicios
Esta parte de la Norma ISO / IEC 20000 permite a un proveedor de servicios para integrar su SGS con otros sistemas de gestión de la organización del proveedor de servicios. La adopción de un enfoque de procesos integrados y la metodología PDCA permite al proveedor de servicios alinear las normas e integrar plenamente múltiples sistemas de gestión. Por ejemplo, un SGS se puede integrar con un sistema de gestión de calidad basado en la norma ISO 9001 o sistema de gestión de seguridad de la información basada en la norma ISO / IEC 27001. La ISO / IEC 20000 es intencionalmente independiente de orientación específica. El proveedor servicios puede utilizar una combinación de orientación generalmente aceptadas y su propia experiencia.
Los usuarios de una norma son responsables de su correcta aplicación. Un estándar no pretende incluir todas las obligaciones requisitos legales y reglamentarios y contractuales necesarios del proveedor servicio. El cumplimiento de esta norma solo no confiere inmunidad y los requisitos legales regulaciones. Para la investigación sobre las normas de gestión de servicios, los usuarios alentados a compartir sus opiniones sobre la ABNT NBR ISO / IEC 20000-1 y sus prioridades para cambiar el resto de la serie ISO / IEC 20000.
1 Objeto/alcance 1.1 Generalidades Esta parte de la serie ISO/IEC 20000 es una norma que contiene un Sistema de Gestión del Servicio (SGS). Especifica al proveedor del servicio los requisitos para planificar, establecer, implementar, operar, monitorizar, revisar, mantener y mejorar un SGS. Los requisitos para el proveedor de servicios incluyen el diseño, transición, provisión, y la mejora de los servicios para satisfacer los requisitos de servicio. Esta parte de la serie ISO/IEC 20000 puede ser utilizada por:
NO TIENE VALOR NORMATIVO a) una organización que demande servicios a los proveedores del servicio y que necesite garantía de cumplimiento de sus requisitos de servicio; b) una organización que requiera un enfoque consistente de todos sus proveedores del servicio, incluidos los de una cadena de suministro; c) un proveedor del servicio que tiene la intención de demostrar su capacidad en el diseño, transición, provisión y mejora de los servicios que cumplen los requisitos del servicio; d) un proveedor del servicio para monitorizar, medir y revisar sus procesos de gestión del servicio y los servicios; e) un proveedor del servicio para mejorar el diseño, transición y provisión de los servicios mediante una implementación y operación eficaces del SGS; f) un asesor o auditor, para evaluar la conformidad del SGS de un proveedor del servicio respecto a los requisitos de esta parte de la serie ISO/IEC 20000. La figura 2 muestra el SGS, e incluye los procesos de gestión del servicio y las relaciones entre estos procesos se pueden implementar de diferentes formas por cada proveedor del servicio. La naturaleza de la relación entre cada proveedor del servicio y el cliente influirá en la forma de implementar los procesos de gestión
Figura 2 – Sistema de gestión del Servicio
NO TIENE VALOR NORMATIVO
1.2 Campo de aplicación Todos los requisitos contenidos en esta parte de la serie ISO/IEC 20000 son generales y están destinados a aplicarse a todos los proveedores del servicio, independientemente de su tipo, tamaño, o de la naturaleza de los servicios entregados. No es aceptable la exclusión de cualquiera de los requisitos contenidos en los capítulos 4 a 9 cuando un proveedor del servicio declara la conformidad con esta parte de la serie ISO/IEC 20000, independientemente de la naturaleza de la organización del proveedor del servicio. La conformidad con los requisitos del capítulo 4 sólo puede ser demostrada por un proveedor del servicio mostrando evidencias del cumplimiento de todos los requisitos del capítulo 4. Para los requisitos del capítulo 4, un proveedor del Servicio no puede delegar en evidencias de gobierno de procesos que sean operados por terceros. El proveedor del servicio puede demostrar la conformidad con los requisitos de los capítulos del 5 al 9 mostrando evidencias de cumplimiento de todos los requisitos. Como alternativa, el proveedor del servicio puede mostrar evidencias de cumplimiento de la mayoría de los requisitos y evidencias de gobierno de procesos, o parte de los procesos, operados Por terceros que el proveedor del servicio no opera directamente. El alcance de esta parte de la Norma ISO/IEEC 20000 excluye la especificación de un producto o herramienta. Sin embargo, las organizaciones pueden usar esta parte de la Norma ISO/IEC 20000 para ayudarles en el desarrollo de productos o herramientas que soporten la operación del SGS. NOTA El Informe Técnico ISO/IEC TR 20000-3 proporciona directrices en la definición del alcance y aplicabilidad de esta parte de la serie ISO/IEC 20000. Incluye una explicación ampliada sobre el gobierno de procesos operados por terceros.
2 Referencias normativas Las normas que a continuación se indican son indispensables para la aplicación de esta norma. Para las referencias con fecha, sólo se aplica la edición citada. Para las referencias sin fecha se aplica la última edición de la norma (incluyendo cualquier modificación de ésta). No se citan normas para consulta. Este capítulo se incluye para asegurar que la numeración de los capítulos de esta norma es idéntica a la Norma ISO/IEC 20000-2: Tecnologías de la Información. Gestión del Servicio. Parte 2: Guía para la Aplicación del Sistema de Gestión del Servicio (SGS)1). 3 Términos y definiciones A los efectos de este documento, se aplican los siguientes términos y definiciones. 3.1 Disponibilidad Capacidad de un componente de servicio o servicio para llevar a cabo su función deseada en un dado instantánea o durante un período de tiempo de vigilia NOTA La disponibilidad se expresa generalmente como una proporción o el porcentaje de tiempo que el servicio o servicio componente está realmente disponible para su uso por el cliente con respecto al tiempo de acuerdo en que el servicio debe estar disponible.
NO TIENE VALOR NORMATIVO 3.2 Configuración de línea de base Información de configuración designada formalmente en un momento determinado durante la vida útil servicio o componente NOTA 1 Líneas de base de configuración, además de los cambios aprobados en las líneas de base constituyen la información de configuración actual. NOTA 2 Adaptado de ISO / IEC / IEEE 24765:2010. 3.3 Elemento de configuración IC Elemento que necesita ser controlado para entregar un servicio o servicios 3.4 Gestión de la configuración de base de datos (CMDB)
Los datos almacenados para registrar los atributos de los elementos de configuración y las relaciones entre los elementos, configuración durante su ciclo de vida 3.5 Mejora continua Actividad recurrente para aumentar la capacidad de cumplir con los requisitos NOTA Adaptado de la Norma ISO 9000:2005. 3.6 Acciones correctivas Acción para eliminar la causa de una no conformidad detectada u otra situación indeseable identificada NOTA Adaptado de la Norma ISO 9000:2005. 3.7 Cliente Organización o parte de una organización que recibe un servicio o servicios NOTA 1 Un cliente puede ser interno o externo a la organización del proveedor de servicios NOTA 2 Adaptado de la Norma ISO 9000:2005. 3.8 Documento Información y el medio en el que está contenida [ISO 9000:2005] EJEMPLOS Políticas, planes, descripciones de procesos, procedimientos, acuerdos de nivel de servicio, Contratos o registros. NOTA 1 La documentación puede estar en cualquier formato o tipo de medio NOTA 2 En documentos de la ISO/IEC 20000, con la excepción de los expedientes, declaran su intención de ser alcanzado.
ISO / IEC 20000-1 Junio 2011
NO TIENE VALOR NORMATIVO 3.9 Eficacia Resultados de medida en la que se realizan las actividades planificadas y previstas alcanzados [ISO 9000:2005] 3:10 Incidente Interrupción no planificada de un servicio, una reducción en la calidad del servicio o de un evento que todavía no afectar el servicio al cliente. 3:11 Seguridad de la Información Preservación de la confidencialidad, integridad y accesibilidad de la información. NOTA 1 Además, otras propiedades tales como la autenticidad, la rendición de cuentas, no repudio y fiabilidad también pueden estar implicados. NOTA 2 El término "disponibilidad" no se utiliza en esta definición, ya que es un término con su definición esta parte de la norma ISO / IEC 20000 no sería apropiado en este contexto. NOTA 3 Adaptado de la Norma ISO / IEC 27000:2009. 3:12 Incidente de seguridad de la información Única seguridad de la información de eventos, o una serie de eventos que tienen inesperado y no deseado una probabilidad significativa de comprometer las operaciones comerciales y amenazar la seguridad de los Información [ISO / IEC 27000:2009] 3:13 Tenedor de apuestas Persona o grupo que tiene un interés específico en el desempeño o el éxito de la actividad o actividades del proveedor de servicios EJEMPLOS Los clientes, propietarios, administración, personal de la organización del proveedor de servicios, proveedores, banqueros, sindicatos o socios. NOTA 1 El grupo puede ser una organización, parte de ella, o más de una organización. NOTA 2
Adaptado de la Norma ISO 9000:2005. 03:14 Grupo Interna la organización del proveedor de servicios que tiene un acuerdo documentado con el proveedor servicio para contribuir al diseño, transición, y mejorar la prestación de uno o más servicios. NOTA El grupo interno se encuentra fuera del ámbito de aplicación del proveedor de servicio SMS. 03:15 Error conocido El problema en el que una causa de la raíz, o un método de reducir o eliminar su impacto en un servicio a través de una solución ha sido identificado. 3:16 Incumplimiento Incumplimiento de un requisito 3:17 Organización Grupo de personas e instalaciones con una serie de responsabilidades, autoridades y relaciones. Ejemplo Compañía, sociedad, firma, empresa, caridad, comerciantes, asociaciones o Partes o combinación de los mismos. NOTA 1 La disposición es generalmente ordenada. NOTA 2 La organización puede ser pública o privada. [ISO 9000:2005] 3:18 Acción preventiva Acción para evitar o eliminar la causa o reducir la probabilidad de un potencial no cumplimiento u otra situación potencialmente no deseado. NOTA Adaptado de la Norma ISO 9000:2005. 3:19 Problema Causa principal de uno o más incidentes NOTA
La causa no se conoce generalmente en el momento que se crea un registro y el problema proceso de administración de problemas se hace responsable de las futuras investigaciones. 3:20 Procedimiento Forma especificada para llevar a cabo una actividad o un proceso. [ISO 9000:2005] NOTA Los procedimientos pueden estar documentados o no. 3:21 Procesos Conjunto de actividades interrelacionadas que transforman entradas o interactivos (entradas) en Productos. [ISO 9000:2005] 3:22 Registro Documento presenta los resultados obtenidos o proporciona evidencia de actividades desempeñadas. [ISO 9000:2005] EJEMPLOS Los informes de auditoría, informes de incidentes, registro de formación o actas de las reuniones. 3:23 Liberación La agrupación de uno o más elementos de ajuste, nuevos o modificados implementada en el entorno producción como resultado de uno o más cambios. 3:24 Solicitud de cambio Propuesta de cambio que se hará en un servicio, componente de servicio o un sistema de servicios de gestión. NOTA Un cambio a un servicio incluye la provisión de un nuevo servicio o la extracción de un servicio que ya no es necesario 3:25 Riesgo Efecto de la incertidumbre en los objetivos NOTA 1 El efecto es una desviación de la esperada - positivo y / o negativo. NOTA 2 Los objetivos pueden tener diferentes aspectos (tales como financieros, de salud y seguridad, y las metas
Ambiental) y puede utilizar a diferentes niveles (como estratégica, en toda la organización, proyecto, producto y proceso). NOTA 3 Riesgo se caracteriza siempre por referencia a los acontecimientos y las consecuencias potenciales, o combinación. NOTA 4 Riesgo siempre se expresa en términos de un resultado de una combinación de evento (incluyendo cambios en las circunstancias) y probabilidades de ocurrencia asociada. [ISO 31000:2009] 3:26 Servicio Mediante la entrega de valor a los clientes, facilitando los resultados de los clientes quieren lograr. NOTA 1 El servicio es generalmente intangible. NOTA 2 El servicio también puede ser entregado a un proveedor de servicios de un proveedor, un grupo interno o cliente que actúa como proveedor. 3:27 Componente de servicio Una sola unidad de un servicio que, cuando se combina con otras unidades de entregar un servicio completar. EJEMPLOS Hardware, software, herramientas, aplicaciones, documentación, información, procesos o servicios apoyar. NOTA Un componente de servicio puede consistir en uno o más elementos de configuración 3:28 La continuidad del servicio Capacidad para gestionar los riesgos y eventos que podrían tener graves consecuencias para uno o más servicios, fin de ofrecer continuamente los niveles de servicio de acuerdo 3:29 Acuerdo de nivel de servicio SLA Acuerdo por escrito entre el proveedor de servicios y cliente que identifica los servicios y objetivos de servicio NOTA 1 Un acuerdo de nivel de servicio también se puede establecer entre un proveedor de servicios y proveedor, un grupo interno o un cliente que actúa como un proveedor.
NOTA 2 Un acuerdo de nivel de servicio se puede incluir en un contrato u otro acuerdo documentado. 3:30 Gestión del servicio Conjunto de habilidades y procesos para dirigir y controlar las actividades y recursos del proveedor y el servicio del dibujo, de transición, y la prestación de servicios mejorado para la consecución de los requisitos del servicio. 3:31 Servicios de administración - SGS Sistema de gestión para dirigir y controlar las actividades de gestión de servicios proveedor de servicios NOTA 1 Un sistema de gestión es un conjunto de elementos relacionados entre sí o interactuar a establecer la política y objetivos y para lograr dichos objetivos. NOTA 2 El SMS incluye todas las políticas, objetivos, planes, procesos, documentos y recursos servicios de gestión necesarios para el diseño, la transición, la entrega y la mejora de los servicios y lograr la requisitos de esta parte de la norma ISO / IEC 20000. NOTA 3 Adaptado de la definición de "sistema de gestión de la calidad" de la norma ISO 9000:2005. 3:32 Proveedor de servicios Organización o parte de una organización que gestiona y ofrece un servicio o servicios al cliente NOTA Un cliente puede ser interno o externo al proveedor de servicios de una organización. 3:33 Solicitud de servicio Solicitud de información, el asesoramiento, el acceso a un servicio o modificación pre-aprobado. 3:34 Requisitos de servicio Necesidad de un cliente y de los usuarios del servicio, incluidos los requisitos de nivel de servicio y necesidades del proveedor de servicios. 3:35 Proveedor
Organización o parte de una organización que es externo a la organización del proveedor de servicios y se rige en un contrato con el proveedor de servicios para ayudar con el diseño, transición, entrega y la mejora de un servicio o servicios o procesos. NOTA Los proveedores son los proveedores líderes designados, pero no a sus proveedores subcontratistas. 3:36 La alta dirección Persona o grupo de personas que dirige y controla el proveedor de servicios al más alto nivel NOTA Adaptado de la Norma ISO 9000:2005. 3:37 Transición Actividades involucradas en el movimiento de un servicio nuevo o modificado hacia o desde un entorno real. 4 Requisitos generales para los servicios de gestión de sistemas 4.1 Responsabilidad de la dirección 4.1.1 Compromiso de la dirección La alta dirección debe proporcionar evidencia de su compromiso con la planificación, creación, implementación, operación, monitorización, revisión, mantenimiento y mejora de la SGS y servicios: a) establecer y comunicar el alcance, los objetivos y políticas de gestión de los servicios; b) asegurarse de que el plan de gestión de los servicios que desea crear, implementar y mantener con el fin de unirse a la política, la consecución de los objetivos de los servicios de gestión y cumplir con los requisitos de servicio; c) comunicar la importancia de cumplir con los requisitos de servicio; d) Comunicar la importancia del cumplimiento de los requisitos y obligaciones legales y reglamentarias contrato; e) asegurar la provisión de los recursos; f) examen de la gestión a intervalos planificados; g) asegurarse de que los riesgos se evalúan y gestionan los servicios. 4.1.2 Los servicios de administración de directivas La alta dirección debe asegurarse de que los servicios de gestión de la política: a) es adecuada para el propósito del proveedor de servicios;
b) incluye un compromiso de cumplir con los requisitos de servicio; c) incluye un compromiso de mejora continua de la eficacia del SMS y los servicios a través de política de mejora continua en la sección 4.5.5.1; d) proporcionar un marco para establecer y revisar los objetivos de los servicios de gestión; e) ser comunicada y entendida por el personal del proveedor de servicios; f) es revisada para su continua adecuación. 4.1.3 Autoridad, responsabilidad y comunicación. La alta dirección debe asegurarse de que: a) las facultades y responsabilidades de los servicios de gestión se establecen y mantienen; b) los procedimientos documentados para la comunicación se establecen e implementan. 4.1.4 Representante de la dirección La alta dirección debe designar un miembro de la dirección del proveedor de servicios, independientemente de otras responsabilidades, tiene facultades y responsabilidades que incluyen: a) garantizar que las actividades se llevan a cabo para identificar, documentar y cumplir con los requisitos de servicio; b) asignar responsabilidades y autoridades para garantizar que el proceso de gestión servicios se diseñan, implementan y mejoran de acuerdo con la política y objetivos de la servicios de gestión; c) velar por que los servicios de gestión de procesos se integran con otros componentes del SGS; d) garantizar que los activos, incluidas las licencias, que se utiliza para entregar los servicios a cargo de la gestión de conformidad con los requisitos legales y reglamentarios y las obligaciones contractuales; e) informar a la alta dirección y las oportunidades de mejora del rendimiento y servicios de SGS. 4.2 Gobernabilidad de los procesos operados por otras partes Para los procesos de las secciones 5-9, el proveedor de servicios debe identificar todos los procesos o partes de los procesos, que son operados por otras partes. Otras partes pueden ser un grupo interno, un cliente o proveedor. El proveedor de servicios debe demostrar los procesos de gobernabilidad operados por otras partes de:
a) demostrar la responsabilidad de los procesos y la autoridad para exigir el cumplimiento de los procedimientos; b) el control de la definición de los procesos y las interfaces con otros procesos; c) determinar el rendimiento de los procesos y el cumplimiento de los requisitos del proceso; d) control de la planificación y priorización de las mejoras del proceso. Cuando un proveedor está funcionando partes del proceso, el proveedor de servicios debe gestionar la proveedor a través del proceso de gestión de proveedores. Cuando un grupo o un cliente interno procesos están operando partes, el proveedor de servicios debe gestionar el grupo interno o cliente a través del proceso de gestión de nivel de servicio. NOTA La ISO / IEC TR 20000-3 proporciona orientación sobre la definición del alcance y la aplicabilidad de esta parte de la norma ISO / IEC 20000. Esto incluye explicaciones sobre la gestión de los procesos operados por otras partes. 4.3 Gestión de la documentación 4.3.1 Establecer y mantener documentos El proveedor del servicio debe establecer y mantener los documentos, incluyendo los registros, para asegurar eficaz planificación, operación y control de la SGS. Estos documentos deben incluir: a) Las políticas y objetivos de la gestión de los servicios documentados; b) la gestión de los planes de servicio documentado c) Las políticas y planes documentados creados para los procesos específicos requeridos por esta parte de la norma ISO / IEC 20000; d) Catálogo de servicios documentados e) documentado SLAs; f) los procesos de gestión de servicios documentados; g) los procedimientos y los registros requeridos en esta parte de la norma ISO / IEC 20000 documentado; h) Otros documentos, incluidos los de origen externo determinados por el proveedor de servicios, si es necesario para garantizar el funcionamiento eficaz de los SGS y la prestación de servicios. 4.3.2 Control de los documentos Los documentos requeridos deben ser verificados por SGS. Los registros son un tipo especial de documento y se deben controlar de acuerdo con los requisitos establecidos en la sección 4.3.3
Un procedimiento documentado, incluyendo las autoridades y responsabilidades debe establecerse para definir los controles necesarios para: a) crear y aprobar los documentos antes de emitir b) comunicar a las partes interesadas sobre los documentos nuevos o modificados c) revisar y mantener los documentos en caso necesario d) asegurarse de que se identifican los cambios y el estado de revisión actual de los documentos e) asegurarse de que las versiones pertinentes de los documentos aplicables están disponibles en los puntos de utilizar f) asegurarse de que los documentos son fácilmente visibles y legibles; g) asegurarse de que los documentos de fuentes externas se identifican y se controla su distribución; h) el uso no intencionado de documentos obsoletos, y aplicarles una identificación adecuada si son mantenido. 4.3.3 Control de los registros Se deben mantener registros para demostrar el cumplimiento de los requisitos y la efectiva operación de SGS. Un procedimiento documentado debe ser establecido para definir los controles necesarios para identificación, almacenamiento, protección, recuperación, retención y disposición de registros. Los registros de deben ser legibles, fácilmente identificables y recuperables. 4.4 Gestión de los recursos 4.4.1 Provisión de recursos El proveedor de servicios debe determinar y proporcionar la información técnica y humanos necesarios financiación necesaria para: a) Establecer, implementar y mantener los SGS y servicios, y mejorar continuamente su eficacia; b) Aumentar la satisfacción del cliente de servicios que cumplen con los requisitos del servicio de la entrega. 4.4.2 Recursos humanos El personal del proveedor de servicios de la realización de trabajos que afecta a la conformidad con los requisitos de servicio debe ser competente con base en la educación, la formación y las habilidades y experimento. El proveedor del servicio deberá: a) determinar la competencia necesaria para el personal;
b) en su caso, proporcionar formación o tomar otras acciones para lograr la competencia requerida; c) evaluar la eficacia de las medidas adoptadas; d) asegurarse de que su personal es consciente de la forma en que contribuyen a la consecución de objetivos de gestión de servicios y el cumplimiento del servicio; e) mantener los registros apropiados de la educación, formación, habilidades y experiencia. 4.5 Creación y mejora de SGS 4.5.1 Definición del Alcance El proveedor de servicios deberá definir e incluir el alcance de los servicios del plan de gestión de SGS. El alcance debe ser definido por el nombre de la unidad organizativa que ofrece servicios y servicios a proporcionar. El proveedor de servicios también debe tener en cuenta otros factores que afectan a los servicios ser entregado, incluyendo: a) zonas geográficas en las que el proveedor de servicio ofrece los servicios; b) el cliente y su ubicación; c) la tecnología utilizada para prestar los servicios. NOTA La ISO / IEC TR 20000-3 proporciona orientación sobre la definición del alcance y aplicabilidad de esta parte de la norma ISO / IEC 20000. 4.5.2 Planificar el SGS (Planificar) El proveedor del servicio debe establecer, implementar y mantener un plan de gestión de servicios. La planificación debe tener en cuenta la política de los requisitos de gestión de servicios de servicio y los requisitos de esta parte de la norma ISO / IEC 20000. El plan de manejo servicios deben, al menos, contener o hacer referencia a lo siguiente: a) los objetivos de los servicios de gestión que se deben alcanzar por el proveedor de servicios; b) los requisitos de servicio; c) las limitaciones conocidas que pueden influir en los SGS; d) las políticas, normas, requisitos legales y reglamentarios y las obligaciones contractuales; e) la estructura de las autoridades y las responsabilidades y roles dentro del proceso;
f) Las autoridades y responsabilidades de los planes, procesos y servicios de gestión de servicios; g) la información humana, técnica y financiera necesaria para lograr los objetivos de servicios de gestión; h) el enfoque de trabajar con otros actores involucrados en el diseño y la transición servicios nuevos o modificados; i) aproximación a las interfaces entre los procesos de integración y gestión de servicios con los otros componentes del SMS; j) El enfoque de gestión de riesgo y el riesgo de los criterios de aceptación; k) la tecnología utilizada para apoyar SGS; l) que la eficacia del SMS y los servicios que se medirá, auditó e informó mejorado; Planes creados para los procesos específicos deben estar alineados con el plan de manejo servicios. El plan de manejo y planes de servicios diseñados para procesos específicos deben revisarse a intervalos planificados y actualizadas, en su caso. 4.5.3 Implementación y operación de los SGS (To - From) El proveedor de servicios debe implementar y operar los SMS en el diseño, la transición, la entrega y la mejora servicios de acuerdo con el plan de servicio, a través de actividades que incluyen al menos: a) la asignación y gestión de los fondos y presupuestos; b) la asignación de autoridades y responsabilidades y roles dentro del proceso; c) Gestión de los recursos humanos y los conocimientos técnicos; d) la identificación, evaluación y gestión de los riesgos de los servicios; e) La gestión de los procesos de gestión de servicios; f) el seguimiento y presentación de informes sobre el desempeño de las actividades de gestión de servicios. 4.5.4 Monitorear y revisar el SGS (Verificar - Comprobar) 4.5.4.1 Generalidades El proveedor de servicios debe aplicar métodos apropiados para el seguimiento y la medición de los SGS y servicios. Estos métodos deben incluir auditorías internas y revisiones de gestión de dirección. Los objetivos de todas las auditorías internas y las revisiones del Director deberán documentarse. Las auditorías internas y las revisiones llevadas a cabo por el Director deben demostrar la capacidad de SGS y servicios para lograr los objetivos de los servicios de gestión y satisfacer sus requisitos. El incumplimiento se debe
identificar en los requisitos de esta parte de la ABNT NBR ISO / IEC 20000, los requisitos señalados por el proveedor de servicios de SGS o de los requisitos de servicio. Los resultados de las auditorías y revisiones internas de gestión, incluidas las no conformidades, preocupaciones y acciones identificadas deben registrarse. Los resultados y las acciones deben ser comunicado a todas las partes interesadas. 4.5.4.2 Auditorías El prestador del servicio deberá realizar auditorías internas a intervalos planificados para determinar si el SGS y servicios: a) cumplir los requisitos de esta parte de la norma ISO / IEC 20000; b) responder a las necesidades del servicio y las necesidades identificadas por el proveedor de servicios de SGS; c) Se han implementado y mantenido eficazmente; Debe haber un procedimiento documentado que incluya a las autoridades y responsabilidades para planificar y realizar las auditorías, informar sobre los resultados y por el mantenimiento de los registros auditoría. Se debe planificar un programa de auditorías. Se debe tener en consideración el estado y importancia de los procesos y las áreas a auditar, así como los resultados de las auditorías anteriormente. Los criterios de auditoría, su alcance, frecuencia y métodos deberán ser documentados. Selección de los auditores y la realización de las auditorías deben asegurar la objetividad e imparcialidad de los auditoría. Los auditores no deben auditar su propio trabajo. Las no conformidades serán comunicadas de prioridades y responsabilidades deben definirse para las acciones. El gerente responsable del área que esté siendo auditada debe asegurarse de que las correcciones y las acciones correctivas que se tomen sin demora injustificada para eliminar las no conformidades y sus causas. Las actividades de seguimiento deben incluir la verificación de las acciones tomadas y el informe de resultados. NOTA Véase la Norma ISO 19011 para orientación sobre los sistemas de gestión de auditoría. 4.5.4.3 Análisis crítico de la dirección La alta dirección debe revisar el SGS y servicios a intervalos planificados para asegurar su idoneidad y eficiencia continua. La revisión debe incluir la evaluación de oportunidades la mejora y la necesidad de cambios en los SGS, incluyendo su política y sus objetivos servicios de gestión. Las entradas a revisiones por la dirección deben incluir, al menos, información sobre: a) los comentarios de los clientes;
b) los servicios y procesos de desempeño y el cumplimiento; c) los niveles actuales y previstos de la información humana, tecnológica y financiera. d) la capacidad actual y prevista de los recursos humanos y técnicos; e) los riesgos; f) los resultados y las acciones de seguimiento de las auditorías; g) los resultados y las acciones de seguimiento de revisiones por la dirección previas; h) estado de las acciones correctivas y preventivas; i) los cambios que podrían afectar a los SGS y servicios; j) las oportunidades de mejora. Registros de revisiones por la dirección deben incluir al menos las decisiones y acciones relacionadas con recursos, la mejora de la eficacia de los SMS y la mejora en los servicios. 4.5.5 Mantener y mejorar SGS (Actuar) 4.5.5.1 Generalidades Debe haber una política de mejora continua de la SGS y servicios. La política debe incluir criterios de evaluación de las oportunidades de mejora. Debe haber un procedimiento documentado que incluya autoridades y responsabilidades para identificación, documentación, evaluación, aprobación, priorización, gestión, medición y presentación de informes mejoras. Oportunidades de mejora, incluyendo las acciones correctivas y preventivas deben ser documentadas. La causa de las no conformidades identificadas debe ser corregida. Las acciones correctivas deben ser tomadas para eliminar la causa de no conformidades identificadas para prevenir su repetición. Participación se deben tomar medidas preventivas para eliminar las causas de no conformidades potenciales para prevenir su ocurrencia. NOTA Para obtener más información sobre las acciones correctivas y preventivas, consulte la norma ISO 9001:2008, apartado 8.5. 4.5.5.2 Mejoras de la gestión Oportunidades de mejora deben ser priorizadas. El proveedor del servicio deberá utilizar el criterio evaluación, que se define en la política de mejora continua, mientras que la toma de decisiones sobre la oportunidades de mejora. Se deben planificar las mejoras aprobadas. El proveedor de servicios debe gestionar las actividades mejoras que incluyen al menos:
a) la estipulación de uno o más objetivos de mejoras en la calidad, el valor, la capacidad, costo, productividad, utilización de recursos y la reducción de riesgos; b) la seguridad de que las mejoras aprobadas se implementan; c) la revisión de las políticas, planes, procesos y servicios de gestión de los procedimientos, cuando requerida; d) mejoras de medición aplicadas contra los objetivos fijados y que los objetivos no son se lograron, se adopten las medidas necesarias. 5 Diseño y transición de servicios nuevos o modificados 5.1 Generalidades El proveedor del servicio deberá utilizar este proceso para todos los nuevos servicios o realizar cambios en los servicios existentes que tienen un impacto potencialmente significativo en los servicios o cliente. Los cambios que están dentro del alcance de la Sección 5, se determinarán por la política cambios de gestión acordadas como parte del proceso de gestión del cambio. Evaluación, aprobación, la programación y el análisis crítico de los servicios nuevos o modificados en el ámbito de sección 5 debe ser controlada por el proceso de gestión del cambio. IC afectada por servicios nuevos o modificados deben ser controlados por el proceso de gestión configuración. El proveedor del servicio deberá revisar los resultados de las actividades de planificación y diseño para servicios nuevos o modificados en comparación con los requisitos de servicio acordados y requisitos pertinentes definidos en las secciones 5.2 y 5.3. En base a esta revisión, el proveedor de servicio debe aceptar o rechazar las salidas. El proveedor del servicio deberá tomar las medidas necesarias para asegurar que el desarrollo y la transición de los servicios nuevos o modificados se pueden realizar la utilización eficaz de las salidas aceptadas. NOTA La necesidad de un nuevo servicio o el cambio de un servicio puede ser originado por cliente, proveedor de servicios, un grupo interno o un proveedor con el fin de satisfacer las necesidades negocio o para mejorar la eficiencia de los servicios. 5.2 Planificación de servicios nuevos o modificados El proveedor de servicios debe identificar las necesidades de servicio de los servicios nuevos o modificados. Servicios nuevos o modificados deben ser diseñados para satisfacer las necesidades de servicio. La planificación de los servicios nuevos o modificados debe ser acordada con el cliente y con las partes interesadas. Como aportación a la planificación, el proveedor de servicios debe tener en cuenta los posibles impactos resultado financiero, organizativo y técnico de la
prestación de este servicio nuevo o modificado. La proveedor de servicios también debe tener en cuenta el impacto potencial de los servicios nuevos o modificados en SGS. La planificación de los servicios nuevos o modificados deberá contener o al menos incluir referencias a los artículos siguientes: a) las autoridades y responsabilidades para las actividades de diseño, desarrollo y en transición; b) Las actividades que se llevarán a cabo por el proveedor de servicios y otras partes, incluidas las actividades de interfaces entre el proveedor de servicios y otras partes; c) la comunicación con las partes interesadas; d) los recursos humanos, técnicos y financieros; e) la escala de tiempo de las actividades previstas; f) la identificación, evaluación y gestión de riesgos; g) depende de otros servicios; h) las pruebas requeridas para servicios nuevos o modificados; i) los criterios de aceptación del servicio; j) resultados de expedición previsto de servicios nuevos o modificados, expresados en términos medible. Para los servicios que deben ser eliminados, el proveedor de servicios debe planificar su retiro. La la planificación debe incluir la fecha (s) la eliminación, el archivo, la eliminación o la transferencia de los datos, Servicio de documentación y componentes. Los componentes de servicio pueden incluir infraestructura o aplicaciones con sus respectivas licencias. El proveedor de servicios debe identificar otras partes que contribuyan a la prestación de componentes de servicios para servicios nuevos o modificados. El proveedor de servicios debe evaluar sus habilidades para satisfacer las necesidades de servicio. Los resultados de la evaluación deben ser se deben tomar acciones registradas y necesario. 5.3 Diseño y desarrollo de servicios nuevos o modificados Los servicios nuevos o modificados deben ser diseñados y documentados para incluir, al menos: a) las autoridades y responsabilidades para la prestación de servicios nuevos o modificados; b) las actividades que deben ser realizadas por el proveedor de servicios, clientes y otras partes interesados en la prestación de servicios nuevos o modificados; c) los requisitos para los nuevos o modificados recursos humanos, incluyendo los requisitos de educación formación adecuada, las habilidades y la experiencia;
d) las necesidades de recursos financieros para la prestación de servicios nuevos o modificados; e) la tecnología nueva o modificada para apoyar la prestación de servicios nuevos o modificados; f) Políticas y planes nuevos o modificados de acuerdo a los requisitos de esta parte de la ISO ISO / IEC 20000; g) los contratos nuevos o modificados y otros acuerdos por escrito de los cambios de alineación en los requisitos de servicio; h) cambios en los SMS; i) SLAs nuevas o modificadas; j) actualiza el catálogo de servicios; k) los procedimientos, las medidas y la información que se utilizarán en la prestación de nuevos servicios o modificado. El proveedor del servicio debe asegurarse de que el diseño permite el servicio nuevo o modificado para cumplir con requisitos de servicio. Los servicios nuevos o modificados se deben desarrollar según el diseño documentado. NOTA Para obtener más información sobre el dibujo, ver el proceso de diseño y desarrollo ISO 9001:2008, Sección 7.3 o arquitectura de procesos en la norma ISO / IEC 15288:2008, sección 6.4.3. 5.4 Transición de servicios nuevos o modificados Los servicios nuevos o modificados deben ser evaluados para verificar que cumplen con los requisitos de servicio y documentado en el dibujo. Los servicios nuevos o modificados deben ser revisados sobre la base de los criterios de aceptación de servicios acordados previamente entre el proveedor de servicios y las partes interesados. Si los criterios de aceptación no se cumplen el servicio, el proveedor de servicios y los interesados deben tomar una decisión sobre las acciones y de entrega necesarias. El proceso de liberación y el despliegue se debe utilizar para el despliegue de nuevos servicios o modificaciones que han sido aprobados para su inserción en el entorno de producción. Tras la finalización de las actividades de transición, el proveedor del servicio deberá informar a las partes interesadas cuáles fueron los resultados obtenidos en relación con los resultados esperados.
6 Procesos de provisión del servicio 6.1 Gestión del nivel de servicio El proveedor de servicios y el cliente deberán acordar los servicios que se presten. El proveedor de servicios y el cliente deben acordar un catálogo de servicios. El catálogo de servicios debe incluir las interdependencias entre los servicios y componentes de servicio. Para cada servicio prestado, uno o más acuerdos de nivel de servicio (SLA) deben arreglarse con el cliente. Cuando se crea un ANS, el proveedor de servicios debe tener en cuenta las necesidades del servicio. SLAs debe incluir los objetivos de servicio, las características de la carga de trabajo y las excepciones. El proveedor de servicios, a intervalos planificados, para analizar críticamente los servicios al cliente y SLAs. Los cambios en los requisitos de servicio documentado, catálogo de servicios, SLAs y otros acuerdos documentado para ser controlado por el proceso de gestión del cambio. El catálogo servicios deben mantener después de los cambios en los servicios y SLAs para asegurarse de que están alineados. El proveedor de servicios, a intervalos planificados, para monitorear la tendencia y los resultados relación con los objetivos del servicio. Los resultados deben ser registrados y revisados para identificar las causas de las no conformidades y oportunidades de mejora. Para los componentes de servicio proporcionados por un grupo interno o por el cliente, el proveedor de servicios debe desarrollar, de acuerdo, revisar y mantener un acuerdo documentado para definir actividades y las interfaces entre los dos partidos. El proveedor de servicios debe, a intervalos planificados, supervisar el rendimiento del grupo interno o cliente en relación con los objetivos de servicio acordados y otros compromisos. Los resultados deben ser registrados y revisados para identificar las causas de las no conformidades y oportunidades de mejora. 6.2 Informes de servicio Una descripción de cada servicio de información, incluyendo su identidad, propósito, audiencia, frecuencia y detalles (s) fuente (s) de los datos debe ser documentada y aprobada por el proveedor de servicios y piezas interesados. Informes de servicios deben ser producidos por los servicios que utilizan la información de la entrega servicios y actividades de SGS, incluidos los servicios de administración de casos. Informes servicio debe incluir por lo menos:
a) Cumplimiento de los objetivos de servicio; b) la información pertinente acerca de eventos importantes, incluyendo al menos incidentes graves, la implementación de servicios nuevos o modificados y el plan de continuidad del servicio que es se dispare; c) características de la carga de trabajo, incluidos los volúmenes y los cambios periódicos en la carga trabajo; d) las no conformidades detectadas en relación con los requisitos de la norma ISO / IEC 20000, los requisitos de SGS o requisitos de servicio y sus causas identificadas; e) información sobre las tendencias; f) la medición de la satisfacción del cliente, quejas de servicio y resultados de las pruebas de mediciones de satisfacción y quejas. El proveedor de servicios debe tomar decisiones y actuar en función de las conclusiones de los informes de los servicios. Acciones acordadas deberán ser comunicadas a los interesados. 6.3 Gestión de continuidad y disponibilidad del servicio 6.3.1 Requisitos de continuidad y disponibilidad del servicio El proveedor de servicios debe evaluar y documentar los riesgos para la continuidad y disponibilidad de servicios. El proveedor de servicios debe identificar y acordar con el cliente y las partes interesadas de la requisitos de continuidad y disponibilidad de los servicios. Requisitos acordados deben tener en cuenta los planes de la empresa los requisitos aplicables de servicio, SLA y los riesgos. Los requisitos de continuidad y disponibilidad de los servicios acordados deberán incluir como mínimo: a) los derechos de acceso a los servicios; b) los tiempos de respuesta de servicio; c) la disponibilidad de servicios de extremo a extremo. 6.3.2 Planes de Continuidad y disponibilidad del servicio El proveedor del servicio debe establecer, implementar y mantener el plan (s) y el plan de continuidad del servicio (s) disponibilidad. Los cambios en estos planes deben ser controlados por el proceso de gestión cambios. El plan (s) (s) de la continuidad del servicio debe (m), como mínimo: a) los procedimientos que se aplicarán en el caso de una interrupción importante del servicio, o referencias a tales procedimientos; b) los objetivos de disponibilidad cuando se activa el plan; c) los requisitos de recuperación; d) enfoque para el retorno a condiciones normales de trabajo.
El plan (s) (s) de la continuidad del servicio, listas de contactos y CMDB debe ser accesible incluso cuando el acceso al local de servicio normal se evita. El plan (s) (s) la disponibilidad de (m) incluye, por lo menos, los requisitos y objetivos de disponibilidad. El proveedor de servicios debe evaluar el impacto de las órdenes de cambio en el plan (s) (s) la continuidad del servicio y el plan (s) (s) disponibilidad. NOTA El plan (s) (s) y el plan de continuidad del servicio (s) (s) la disponibilidad pueden combinar en un solo documento. 6.3.3 Monitorización y prueba de la continuidad y de la disponibilidad del servicio. La disponibilidad de los servicios debe ser monitoreado y se registran los resultados y se compara con los objetivos acordados. Interrupciones no planificadas deben ser investigadas y acciones necesarias se deben tomar. Los planes de continuidad de servicios deben ser probados según los requisitos de la continuidad del servicio. Disponibilidad planes deben ser probados en comparación con requisitos de disponibilidad. Planes de continuidad y disponibilidad del servicio se deben volver a analizarse después de cambios significativos en el entorno de servicio en el que opera el proveedor de servicios. Resultados de las pruebas deben ser registrados. Estas revisiones deben llevarse a cabo después de cada se activa la prueba y después del plan de continuidad del servicio. Cuando se encuentren deficiencias, el proveedor de servicios debe tomar las medidas necesarias y acciones tomadas del informe. 6.4 Elaboración de presupuesto y contabilidad de los servicios. Habrá una interfaz definida entre el presupuesto y el proceso de contabilización de los servicios y otros procesos de gestión financiera. Habrá políticas y procedimientos documentados para: a) elaboración de presupuestos y la contabilidad de los componentes del servicio, incluyendo, como mínimo: 1) activos - incluyendo las licencias - afectos a los servicios, 2) recursos compartidos, 3) costos indirectos 4) los gastos operativos y de capital 5) proveedor de servicios externo 6) personal 7) instalaciones;
b) el reparto y la asignación de los costos indirectos los costos directos de los servicios que ofrecen un coste total de cada servicio. c) el control financiero eficaz y aprobado los costos deben ser incluidos en el presupuesto para permitir un control financiero eficaz y la toma de la decisión de los servicios prestados. El proveedor de servicios debe supervisar e informar los costos de acuerdo con el presupuesto, la revisión de previsiones financieras y administrar los costos. La información debe ser proporcionada al proceso de gestión del cambio para apoyar el costo de las órdenes de cambio. NOTA Algunos proveedores de servicios cobran por sus servicios. El alcance del presupuesto y contabilidad de los procesos de servicio excluye cargos. 6.5 Gestión de la Capacidad El proveedor de servicios debe identificar y acordar los requisitos de capacidad y rendimiento con los clientes y las partes interesadas. El proveedor del servicio debe establecer, implementar y mantener un plan de capacidad, teniendo en consideración humana, técnica y financiera. Cambios en el plan de capacidad debe ser controlado por el proceso de gestión del cambio. El plan de capacidad debe incluir al menos: a) actual y la demanda de servicios prevista; b) el impacto esperado de los requisitos acordados para la disponibilidad, la continuidad de los servicios y los niveles de servicio; c) Los términos identificados, límites y costos para mejorar la capacidad de los servicios; d) el impacto potencial del cambio legal, reglamentaria, contractual o de organización; e) el posible impacto de las nuevas tecnologías y nuevas técnicas; f) procedimientos para el análisis predictivo, o referencia a ellos. El proveedor de servicios debe supervisar el uso de la capacidad, analizar los datos y ajustar la capacidad rendimiento. El proveedor de servicios debe proporcionar capacidad suficiente para cumplir los requisitos capacidad y el rendimiento pactado.
6.6 Gestión de la seguridad de la información 6.6.1 Política de seguridad de la información. La dirección de la autoridad competente debe aprobar una política de seguridad de la información que lleva en cuenta las necesidades del servicio, los requisitos legales y las obligaciones legales y contractuales. La dirección debe: a) comunicar la política de seguridad de la información y la importancia del cumplimiento de la política personal apropiado en el proveedor de servicios, clientes y proveedores. b) asegurarse de que se establecen los objetivos de la gestión de seguridad de la información. c) definir el enfoque que debe adoptarse para la gestión de riesgos y seguridad de la información criterios para la aceptación del riesgo. d) garantizar que las evaluaciones de riesgos de seguridad de la información se llevan a cabo a intervalos planeado; e) garantizar que las auditorías internas de seguridad de la información se llevó a cabo; f) garantizar que los resultados de auditoría se analizan críticamente para identificar oportunidades mejora. 6.6.2 Controles de seguridad de la información El proveedor de servicios debe implementar y operar los controles físicos, administrativos y técnicos seguridad de la información con el fin de: a) preservar la confidencialidad, integridad y accesibilidad de los recursos de información; b) cumplir los requisitos de la información de la política de seguridad; c) la consecución de los objetivos de la gestión de seguridad de la información; d) gestionar los riesgos relacionados con la seguridad de la información. Estos controles de seguridad de la información deben ser documentados y deben describir el riesgo de qué controles están conectados, su operación y mantenimiento. El proveedor del servicio deberá revisar la eficacia de los controles de seguridad de información. El proveedor del servicio deberá tomar las medidas necesarias y acciones tomadas del informe. El proveedor de servicios debe identificar las organizaciones externas que tienen una necesidad de acceder, utilizar y gestionar información o servicios del
proveedor de servicios. El proveedor de servicios debe documentar, acordar y aplicar controles de seguridad de información con estas organizaciones externas. 6.6.3 Cambios e incidencias de seguridad de la información Las solicitudes de cambio deben ser evaluadas para identificar: a) el riesgo de seguridad de la información nueva o modificada; b) el impacto potencial sobre la política de seguridad de la información y los controles existentes; Incidentes de seguridad de la información debe regularse mediante procedimientos gestión de incidentes con la prioridad adecuada a los riesgos de seguridad de la información. La proveedor del servicio deberá analizar los tipos, volúmenes y los efectos de los incidentes de seguridad de la información deben ser reportados y revisados para identificar oportunidades de mejora. NOTA La familia de la norma ISO / IEC 27000 especifica los requisitos y proporciona orientación para apoyar implementación y operación de un sistema de gestión de seguridad de la información 7 Procesos de relación 7.1 Gestión de relaciones con el negocio El proveedor del servicio deberá identificar y documentar los clientes, usuarios y partes interesadas en servicios. Para cada cliente, el proveedor de servicios debe designar a una persona responsable de la gestión al cliente y la satisfacción del cliente. El proveedor del servicio debe establecer mecanismos de comunicación con el cliente. El mecanismo comunicación para promover la comprensión del entorno empresarial en que los servicios operar y los requisitos para servicios nuevos o modificados. Esta información debe permitir que el proveedor de servicio para cumplir con estos requisitos. El proveedor de servicios, junto con el cliente, deberá revisar la actuación de Servicios a intervalos planificados. Los cambios en los requisitos de servicio documentados deben ser controlados por el proceso la gestión del cambio. Los cambios en los SLA´s deben coordinarse con el proceso de gestión del nivel de servicio. La definición de una queja en contra de un servicio debe ser acordado con el cliente. En caso de ser documentado el procedimiento para la gestión de quejas en contra del servicio emitido por el cliente. El proveedor servicio debe registrar, investigar, actuar, informar y cerrar las quejas contra los servicios. ¿Cuándo una queja no se resuelve a través de los canales normales, el análisis debe ser ofrecido a los clientes.
El proveedor de servicios debe medir la satisfacción del cliente a intervalos planificados sobre la base de una muestra representativa de los clientes y usuarios de servicios. Los resultados deben ser analizados y revisados para identificar oportunidades de mejora. 7.2 Gestión de Suministradores El proveedor de servicios puede utilizar proveedores para implementar y operar las partes de los procesos servicios de gestión. Se ilustra un ejemplo de la relación entre las cadenas de suministro en la Figura 3.
Figura 3 - Ejemplo de las relaciones entre la cadena de suministro Para cada proveedor, el proveedor de servicios debe designar a una persona para ser responsable de gestión de las relaciones, el contrato y el rendimiento del proveedor. El proveedor y el proveedor deben acordar un contrato documentado. El contrato debe contener o hacer referencia a: a) el alcance de los servicios que se entregarán por los proveedores; b) las dependencias entre servicios, procesos y personas; c) los requisitos que debe cumplir el proveedor; d) los objetivos de los servicios; e) las interfaces entre los procesos de gestión de procesos operados por el proveedor y otras partes; f) la integración de las actividades de la empresa con el SGS; g) las características de las cargas de trabajo; h) las excepciones previstas en el contrato y la forma en que se debe trabajar; i) las facultades y responsabilidades del proveedor de servicios y el proveedor; j) los informes y comunicaciones que ser proporcionados por el proveedor; k) las bases para la recuperación; l) las actividades y responsabilidades cuando la terminación normal del contrato y la prevista o la transferencia de servicios a terceros. El proveedor del servicio debe estar de acuerdo con los niveles de servicio de los proveedores para apoyar y alinearse con los SLAs entre el prestador y el cliente.
El proveedor de servicios debe asegurar que las funciones y las relaciones entre los proveedores y los principales subcontratistas están documentados. El proveedor de servicios debe verificar que los principales proveedores son la gestión de sus proveedores externos para cumplir con sus obligaciones contractuales. El proveedor de servicios debe supervisar el desempeño del proveedor a intervalos planificados. El desempeño debe medirse con los objetivos de servicio y otras obligaciones contractuales. Los resultados deben ser registrados y revisados para identificar las causas de la no cumplimiento y oportunidades de mejora. La revisión también debe garantizar que el contrato refleja la requisitos actuales. Las modificaciones del contrato deberán ser controlados por el proceso de gestión del cambio. Debe haber un procedimiento documentado para la gestión de desacuerdos contractuales entre el proveedor y el proveedor de servicios. NOTA 1 El alcance de los proveedores de gestión de procesos elimina la selección y contratación servicios. NOTA 2 Más ejemplos relativos a las relaciones entre las cadenas de suministro se muestran en la ABNT ISO / IEC TR 20000-3.
8 Procesos de Resolución 8.1 Gestión de incidencias y peticiones de servicio Debe haber un procedimiento documentado para todas las incidencias que definan: a) registro; b) el establecimiento de prioridades; c) la clasificación; d) la actualización de los registros; e) la escalada; f) Resolución; g) el cierre. Debe disponerse de procedimientos documentados para gestionar el cumplimiento de las solicitudes de servicio desde su grabación hasta su cierre. Los incidentes y solicitudes de servicio deben ser gestionados de acuerdo con estos procedimientos.
Al dar prioridad a los incidentes y solicitudes de servicio, el proveedor de servicios debe tener en cuenta la impacto y la urgencia de incidentes y solicitudes de servicio. El proveedor del servicio deberá garantizar que el personal involucrado en la gestión de procesos incidentes y solicitudes de servicio para tener acceso y utilizar la información pertinente. Información relevante debe incluir: procedimientos de gestión de solicitudes de servicio, errores sabido, la resolución de problemas y la CMDB (configuración de administración de base de datos). Información sobre el éxito o el fracaso de las emisiones y en fechas futuras de las emisiones, del proceso de gestión de la liberación y el despliegue, debe ser utilizado por los procesos de la gestión de incidencias y peticiones de servicio. El proveedor del servicio deberá mantener al cliente informado de los avances de sus incidentes o solicitudes de servicio. Si los objetivos de servicio no pueden ser alcanzados, el proveedor de servicios debe informar al cliente y las partes interesadas y escalar según el procedimiento. El proveedor del servicio deberá documentar y acordar con el cliente la definición de incidente grave. Graves incidentes deben ser clasificados y gestionados de acuerdo con un procedimiento documentado. La alta dirección debe ser informada de incidentes graves. La alta dirección debe asegurarse de a una persona a ser designada como responsable de la gestión de incidentes graves. Después acordó que se restablezca el servicio, incidentes graves deben ser revisados para identificar oportunidades de mejora. 8.2 Gestión de Problemas Debe haber un procedimiento documentado para identificar los problemas y minimizar o evitar el impacto incidentes y problemas. El procedimiento para los problemas que debe definir: a) la identificación; b) el registro; c) la asignación de prioridad; d) la clasificación; e) los registros de actualización; f) escalada / escala; g) solución / resolución; h) de cierre. Los problemas deben ser manejados de acuerdo con el procedimiento. El proveedor del servicio deberá analizar los datos y las tendencias de los incidentes y problemas para identificar causas y acciones preventivas posibles.
Problemas que requieren cambios en la IC deben resolverse a través de una solicitud de cambiar. Cuando la causa de la raíz ha sido identificada, pero el problema no ha sido resuelto Permanentemente / Definitivamente, el proveedor de servicios debe determinar acciones para reducir o eliminar el impacto del problema en los servicios. Errores conocidos deben ser registrados. La eficacia de la resolución de problemas debe ser monitoreado, revisado y reportó / informó. Información actualizada sobre los errores conocidos y solución de problemas / resolución de problemas debe ser proporcionado a los incidentes de gestión de procesos y solicitudes de servicio. 9 Procesos de control 9.1 Gestión de la Configuración Debe haber una definición documentado de cada tipo de IC. La información registrada para cada IC debe garantizar un control eficaz y, como mínimo: a) una descripción de la IC; b) relación (s) entre los circuitos integrados IC y otros; c) relación (s) entre la IC y componentes de servicio; d) Estado; e) versión; f) la ubicación; g) las solicitudes de cambio asociados; h) los problemas y errores conocidos asociados; IC debe ser identificada y registrada en la CMDB. La CMDB debe gestionarse para asegurar su fiabilidad y precisión, incluyendo el control de acceso para las actualizaciones. Debe haber un procedimiento documentado para las versiones de registro, control y seguimiento de Circuitos integrados. El nivel de control debe mantener la integridad de los servicios y componentes de servicios, teniendo en teniendo en cuenta las necesidades del servicio y los riesgos asociados a los circuitos integrados. El proveedor de servicios debe auditar los registros almacenados en la CMDB, a intervalos planificados. Cuando se detecten deficiencias, el proveedor de servicios debe tomar las medidas necesarias y informar de las acciones emprendidas. Información CMDB debe proporcionar al proceso de gestión del cambio para dar apoyar la evaluación de las solicitudes de cambio. Los cambios en la SIC debe ser trazable y auditable para asegurar la integridad de los circuitos integrados y datos de la CMDB.
Una configuración de línea de base de los IC afectada debe ser extraído antes de la introducción de los una liberación al ambiente de producción. Las copias maestras de circuitos integrados registrados en la CMDB deben ser almacenados en bibliotecas o físicos asegurar los registros electrónicos que hace referencia la configuración. Esto debe incluir, al menos, documentación, información de licencia, el software y cuando esté disponible, las imágenes de la instalación de hardware. Debe haber una interfaz definida entre el proceso de gestión de la configuración y el proceso de gestión de activos financieros. NOTA El alcance del proceso de gestión de la configuración excluye la gestión de activos financieros. 9.2 Gestión de cambios Una gestión del cambio de política debe establecer la definición de: a) integrados que están bajo el control de la gestión del cambio; b) los criterios para determinar los cambios con el potencial de causar un impacto significativo en servicios o el cliente; Eliminación de un servicio debe ser clasificado como un cambio en el impacto potencial significativo. La transferencia de un servicio, el proveedor de servicios al cliente o a otra parte también debe ser clasificado como un cambio en el potencial para un impacto significativo. Debe haber un procedimiento documentado para registrar, clasificar, evaluar y aprobar las solicitudes de cambios. El proveedor del servicio deberá documentar y llegar a un acuerdo con el cliente acerca de la definición de un cambiar emergencia. Debe haber un procedimiento documentado para la gestión de cambios de emergencia. Todos los cambios en un servicio o un componente de un servicio se deben crear utilizando un solicitud de cambio. Las solicitudes de cambio deben tener un alcance definido. Todas las solicitudes de cambio deben ser registradas y clasificadas. Las solicitudes de cambio clasificado con el potencial de causar un impacto significativo en los servicios y el cliente deben ser administradas por medio del proceso de diseño y el proceso de transición o de nuevos servicios o modificado. El resto de solicitudes de cambio de CIs definidos en el manejo de la política los cambios deben ser manejados por el proceso de gestión del cambio. Las solicitudes de cambio deben ser evaluados utilizando la información sobre el proceso de gestión del cambio y otros procesos. El proveedor de servicios y las partes deben tomar decisiones sobre la aceptación de las solicitudes de cambio. La decisión debe tener en cuenta los riesgos, impactos potencial en el servicio y los requisitos de servicio al cliente, los beneficios empresariales, y la viabilidad técnica impacto financiero.
Los cambios aprobados deben ser desarrollados y probados. Un calendario de cambios con los detalles de los cambios aprobados y las fechas propuestas para la liberación debe ser establecido y comunicado a las partes interesadas. El calendario cambios se deben utilizar como base para la planificación e implantación de las emisiones. Las actividades necesarias para revertir o remediar un cambio deben planificarse sin éxito y, cuando sea posible, la prueba. El cambio debe ser revertido o remediarse si no tiene éxito. Cambios sin éxito se deben investigar y tomar las medidas acordadas. Los registros de la CMDB deben actualizarse tan pronto como los cambios se han lanzado con éxito. El proveedor del servicio deberá revisar los cambios y tomar acciones de acuerdo con las partes interesadas. Las solicitudes de cambio deben ser revisados a intervalos planificados para detectar tendencias. La resultados y conclusiones derivadas de estos análisis deben ser registrados y revisados para identificar oportunidades de mejora. 9.3 Gestión de la entrega y despliegue El proveedor del servicio deberá establecer y llegar a un acuerdo con el cliente en una política de liberar indicando la frecuencia y tipos de lanzamientos. El proveedor de servicios debe planificar junto con el cliente y las partes interesadas la inserción los cambios en la producción de servicios nuevos o modificados y componentes de servicio. La planificación deben coordinarse con el proceso de gestión del cambio, e incluir referencias a las solicitudes de cambio, errores conocidos y problemas que están siendo cerradas por cambiar. La planificación debe incluir la fecha de inserción de cada versión, así como los entregables y los métodos de implementación. El proveedor del servicio deberá documentar y llegar a un acuerdo con el cliente acerca de la definición de un desbloqueo de emergencia. Comunicados de emergencia deben ser manejados de acuerdo con un procedimiento de liberación documentado que poseen interfaz de cambios en el procedimiento de emergencia. Lanzamientos deben ser construidos y probados antes de su despliegue. Un entorno de pruebas de aceptación controlada se debe utilizar para crear y liberar las pruebas. Los criterios de aceptación para publicación deben arreglarse con el cliente y las partes interesadas. El lanzamiento deberá cotejarse con los criterios de aceptación de acuerdo y aprobarse antes despliegue. Si no se cumplen los criterios de aceptación, el proveedor de servicios debe tener una decisión conjunta con las partes interesadas en lo que se requieren acciones a implementar.
La liberación debe ser desplegada en el entorno de producción de manera que la integridad del hardware, software y otros componentes del servicio se mantiene durante el despliegue de la liberación. Las actividades necesarias para revertir o remediar la liberación de despliegue debe, sin éxito, ser planificadas y, cuando sea posible, la prueba. La implementación de un comunicado debe ser revertida o remediada si no tiene éxito. Lanzamientos sin éxito deben ser investigados y acciones acordadas tomada. El éxito o el fracaso de las liberaciones deben ser monitoreados y analizados. Las mediciones deben incluir incidentes relacionados con un comunicado en el período posterior a su aplicación en la construcción. El análisis debe incluir la evaluación de las repercusiones de la liberación en el cliente. Los resultados y conclusiones derivado del análisis deberán registrarse y revisarse para identificar oportunidades mejora. Información sobre el éxito o el fracaso en las emisiones y fechas de futuras versiones debería ser proporcionada al proceso de gestión del cambio y el proceso de gestión de incidentes y solicitudes de servicio. La información debe ser proporcionada al proceso de gestión del cambio para apoyar evaluaciones de impacto de las solicitudes de cambio de emisiones y planes de implementación. BIBLIOGRAFÍA Parte 1:Conceptos y vocabulario [1] ISO / IEC 20000-2:2008, Tecnología de la información - Gestión del servicio – Parte2: Código de buenas prácticas [2] ISO / IEC TR 20000-3, Tecnología de la información - Gestión del servicio - Parte 3: Guía para la determinación del alcance y aplicabilidad de la norma ISO / IEC 20000-1 [3] ISO / IEC TR 20000-4, Tecnología de la información - Gestión del servicio - Parte 4: La referencia del proceso Modelo [4] ISO / IEC TR 20000-5, Tecnología de la información - Gestión del servicio - Parte 5: Ejemplo de un plan de implementación de la norma ISO / IEC 20000-1 [5] ISO 9000:2005, Sistemas de gestión de la calidad - Fundamentos y vocabulario [6] ISO 9001, sistemas de gestión de la calidad - Requisitos [7] ISO 9004:2000, Gestión para el éxito sostenido de una organización - Un
enfoque de la gestión de la calidad [8] ISO 10002, Gestión de la calidad - Satisfacción del cliente - Directrices para el tratamiento quejas en las organizaciones [9] ISO 10007, Sistemas de gestión de la calidad - Directrices para la gestión de configuración [10] ISO / IEC 15288, Ingeniería de Sistemas y Software - Procesos del ciclo de vida sistema [11] ISO / IEC 15504-1, Tecnología de la información - Evaluación del proceso - [12] ISO / IEC 15504-2, Tecnología de la información - Evaluación del proceso - Parte 2:Llevar a cabo una evaluación [13] ISO / IEC 15504-3, Tecnología de la información - Evaluación del proceso - Parte 3:Directrices para la realización de una evaluación [14] ISO 19011, Directrices para el sistema de gestión de calidad de la auditoría y / o ambiental [15] ISO / IEC 19770-1, Tecnología de la información - Gestión de activos de software - Parte 1: Procesos [16] ISO / IEC / IEEE 24765:2010, sistemas e ingeniería de software - Vocabulario [17] ISO / IEC 27000:2009, Tecnología de la información - Técnicas de seguridad - Seguridad de la información sistemas de gestión - Información general y vocabulario
