NORMA INTERNACIONAL
UNE-ISO/IEC 20000-1:2011
UNE-ISO / IEC 20000-1:2011
Junio 2011
NO TIENE VALOR NORMATIVO
Tecnología de la información – Gestión del servicio – Parte 1: Requisitos del Sistema de Gestión del Servicio (SGS) PRESENTACIÓN 1) El examen del proyecto proye cto ha sido elaborado por la Comisión para el Estudio de las Operaciones Tecnología. Información (EC-21: 007,25) del ordenador brasileña y Procesamiento Pro cesamiento Datos (ABNT/CB-21), las reuniones de: 2) Se espera que la revisión del proyecto p royecto para cancelar y reemplazar la anterior edición (ABNT NBR ISO / IEC 20000:2008), 200 00:2008), cuando se apruebe, y mientras tanto esta norma todavía en la fuerza; 3) Se espera que sea equivalente a la norma ISO / IEC 20000-1:2011; 20000-1 :2011; 4) No tienen valor normativo; 5) Los que tengan conocimiento de cualquier patente debe presentar este información en sus comentarios, con la documentación; 6) Este Proyecto de Norma será diagramado según las normas de la ABNT al publicar su publicación como Norma Brasileña. 7) participaron en la preparación de este proyecto: Los siguientes representantes Brunise JOSE MARIA SOPORTE GLOBAL PONCE SILVANA SOPORTE GLOBAL Eliana BORGES ILUMNA GISELE VILLAS BOAS Revisiones 04.02.2011
28.03.2011
30.05.2011
UNE-ISO / IEC 20000-1 Junio 2011 NO TIENE VALOR NORMATIVO Tecnología de la información – Gestión del servicio – Parte 1: Servicios de gestión de los requisitos del sistema Tecnología de la información – Gestión del servicio – Parte 1: Sistema de gestión del servicio Requisitos
Prefacio nacional La Asociación Brasileña de Normas Técnicas (ABNT) es el Foro Nacional de Normalización. Las Normas Brasil, cuyo contenido es responsabilidad de los Comités Brasileños (ABNT / CB), Sectorial Sector de d e Normalización (ABNT / ONS) y grupos especiales de estudio es tudio (ABNT / CEE), son preparado por Comisiones de Estudio (CE), formado por representantes de los sectores involucrados parte: productores, consumidores y neutrales (universidades, laboratorios y otros). Los documentos que se elaboran se subdividen de acuerdo con las reglas de Directivas ABNT, Parte 2. Las principales diferencias son las siguientes: una mayor alineación con la norma ISO 9001; una mayor alineación con la norma ISO / IEC 27001; cambiar la terminología para reflejar el uso internacional; además de muchas otras opciones, cambiar algunos ajustes a justes y quitar dos definiciones; introducción de la expresión "servicios de sistemas de gestión"; combinando las secciones 3 y 4 de la ABNT ABN T NBR ISO / IEC 20000-1:2008 20000-1 :2008 poner todo sistema de gestión de requisitos en una sección; clarificación de los requisitos para la gestión de los procesos operados por otras partes; clarificación de los requisitos para la definición del ámbito de aplicación a plicación del SGS; aclarar que la metodología PDCA PDC A se aplica a SGS, incluyendo la gestión de procesos y gestión de servicios;
introducción de nuevos requisitos para el diseño y la transición de servicios nuevos o modificados. La ISO / IEC 20000 consta co nsta de las siguientes partes, bajo el título general de Tecnología Información – Gestión de Servicios: Parte 1: Requisitos del sistema de gestión de servicios
ABNT/CB-21 ISO / IEC 20000-1 Junio 2011 NO TIENE VALOR NORMATIVO Parte 2: Guía para la aplicación de la gestión del servicio. Parte 3: Orientación para la definición del alcance y la aplicabilidad de la norma ISO / IEC 20000-1 [Informe Técnico] Parte 4: Modelo de referencia del proceso [Informe Técnico] Parte 5: Ejemplo de un plan p lan de implementación de la norma ISO / IEC 20000-1 [Informe técnico] Un modelo para evaluar el proceso de gestión de servicios será objeto de un futuro Parte 8. El alcance de esta Norma Brasileña Inglés es el siguiente: Alcance General Esta parte de la Norma ISO / IEC 20000 20000 es una norma de sistema de gestión del servicio (SGS). En (SGS). En él se especifica requisitos para el proveedor de servicios para planificar, establecer ellos mismos, mismos, en su lugar, operar, supervisar, supervisar, revisar, mantener y mejorar un SGS(SMS). Los SGS(SMS). Los requisitos incluyen el diseño, la transición, la entrega y la mejora del servicio para cumplir con los requisitos del servicio. Esta parte de la norma ISO / IEC IEC 20000 puede ser utilizado por: a) una organización que busca los servicios de los proveedores de servicios y que requieren Que Su garantía de servicio requisitos serán resplandeciente; b) Que una organización requiere de un enfoque coherente por todos sus proveedores de servicios, incluidos los de la la cadena de suministro; c) el prestador de servicios tiene la intención de Que Manda su capacidad ca pacidad para el diseño, transición, entrega y mejora de los servicios Que cumplan los requisitos de servicio; d) el proveedor de servicios para supervisar, medir y revisar sus procesos y servicios de gestión de servicios;
e) el proveedor de servicios para mejorar el diseño, la transición y la entrega de de servicios a través de efectivo Implementación y operación de un SGS(SMS); f) Un asesor o auditor a los los criterios para la evaluación de la conformidad conformidad de los SMS de los proveedores de servicios a la requisitos de esta parte de la norma ISO / IEC 20000. La Figura 2 ilustra un SGS(SMS), SGS(SMS), incluyendo los procesos de gestión gestión de servicios. La servicios. La gestión de los servicios los procesos y las relaciones entre los procesos que se pueden implementar de diferentes maneras por los diferentes proveedores de servicios. La servicios. La naturaleza de la relación relación entre el prestador y el cliente influirá en cómo se implementan los procesos de gestión de servicios. ___________________
A publicarse (revisión técnica de la norma ISO / IEC 20000-2:2008)
UNE-ISO / IEC 20000-1 Junio 2011 NO TIENE VALOR NORMATIVO
Figura 1 - Sistema de Gestión del Servicio
Aplicación Todos los requisitos de esta parte de la norma ISO / IEC 20000 son genéricos y se pretende que sean aplicables a todos los proveedores de servicios, independientemente del tipo, el tamaño y la naturaleza de los servicios prestados. Exclusión de alguno de los requisitos establecidos en las cláusulas 4 a 9 no es aceptable cuando el proveedor de servicios asegura la conformidad con esta parte de la norma ISO / IEC 20000, independientemente de la naturaleza de la organización del proveedor de servicios. La conformidad con los requisitos requisitos establecidos en la cláusula 4 sólo puede ser demostrado por el proveedor de servicios que muestra pruebas de cumplimiento de todos los requisitos en la cláusula 4. El 4. El proveedor de servicios no puede basarse en la evidencia de la gobernabilidad de los procesos operados por otras partes pa rtes de los requisitos establecidos en la cláusula 4. La conformidad con los requisitos requisitos establecidos en las cláusulas 5 a 9 se puede demostrar por el proveedor de servicios que muestra pruebas de cumplimiento de todos los los requisitos. Alternativamente, el proveedor de servicio puede mostrar mostra r evidencia de cumplimiento La mayoría de los requisitos de sí mismos mismos y la evidencia de la gestión de los procesos operados por Para las Partes que otros procesos, o partes de los procesos, que el proveedor de servicios no funciona directamente. El alcance de esta parte de la norma norma ISO / IEC 20000, excluye la especificación para el producto o herramienta. herramienta. Sin embargo, las organizaciones pueden utilizar esta parte de la norma ISO / IEC 20000 para ayudar a desarrollar desarrollar productos o los Herramientas Que apoyen la operación operación de un SMS. NOTA ISO / IEC TR 20000-3 Proporciona orientación sobre sobre la definición del alcance y aplicabilidad de esta parte de la norma ISO / IEC 20000. Esto 20000. Esto incluye una explicación más detallada detallada sobre la gestión de los procesos operados por otras partes. Gestión del Servicio Sistema Servicio Administración Procesos Servicios Actuar HACER Verificar Planificar
UNE-ISO / IEC 20000-1 Junio 2011 NO TIENE VALOR NORMATIVO Introducción Los requisitos de esta parte de la norma ISO / IEC 20000 incluyen el diseño, transición, entrega y mejora de los servicios para satisfacer sa tisfacer las necesidades de servicio y proporcionar un valor para el cliente y el proveedor proveedo r de servicio. Esta parte de la Norma ISO / IEC 20000 requiere un enfoque integrado para procesar pro cesar al el proveedor de servicios establece, implementa, opera, op era, monitores, revisiones, mantiene y mejora una servicios de gestión de sistemas (SMS). La integración coordinada y la implementación de un sistema de gestión de la seguridad proporciona una corriente de control y oportunidades de mejora continua, una mayor eficiencia y eficacia. La operación op eración de los procesos, como se especifica en esta parte de la norma ISO / IEC 20000 requiere que las personas estén bien organizado y coordinado. Herramientas adecuadas se pueden p ueden utilizar para permitir procesos son eficaces y eficientes. ef icientes. Los proveedores de servicios consideran más eficaz el impacto sobre los SMS a través de todas las etapas del ciclo de vida del servicio a través de d e la estrategia de transición diseño y operación, incluyendo la mejora continua. Esta parte de la Norma ISO / IEC 20000 requiere de la aplicación de la metodología conocida como "Planificar-Hacer-Verificar-Actuar "(PDCA) para todas las partes del SGS y servicios. Metodología PDCA aplicado ap licado en este parte de la norma ISO / IEC 20000, se puede describir brevemente como sigue. Programa: la creación, documentación docum entación y aprobación de SGS. El SGS incluye las políticas, objetivos, planes y procesos para satisfacer las necesidades del servicio. Marca: implementación y operación de los SMS en los servicios de diseño, transición, la entrega y la mejora de la. Comprobar: monitorear, medir y analizar los SGS y servicios contra las políticas, objetivos, planes y los requisitos de servicio y la información de los resultados. Actuar: tomar acciones para mejorar continuamente el rendimiento de SGS y servicios. Cuando se utiliza dentro de un SGS, los siguientes son los aspectos más m ás importantes de un enfoque procesos integrados y la metodología de PDCA: PDC A: a) la comprensión y el cumplimiento de los requisitos req uisitos de servicio para lograr la satisfacción del cliente; b) establecer la política y objetivos de la gestión del servicio; c) el diseño y la prestación de servicios basados en SGS valor añadido añ adido para el cliente;
d) supervisar, medir y analizar el rendimiento de SGS y servicios; e) la mejora continua de SGS y servicios con base en mediciones objetivas. La Figura 1 ilustra cómo la metodología PHVA se puede p uede aplicar a los SGS, incluyendo los procesos servicios de gestión, se refieren las cláusulas 5.9 y servicios. Cada elemento de la metodología PDCA es una parte p arte vital de una implementación exitosa de un sistema de gestión de la seguridad. La mejora m ejora de procesos utiliza utiliza en esta es ta parte de la norma ISO / IEC 20000 está basada en la metodología PDCA.
Junio 2011 NO TIENE VALOR NORMATIVO
Figura 1 - Metodología Metodolog ía PDCA aplicado a la gestión de servicios Esta parte de la Norma ISO / IEC 20000 permite a un proveedor de servicios para integrar su SGS con otros sistemas de gestión de la organización o rganización del proveedor de servicios. La adopción de un enfoque de procesos integrados y la metodología PDCA permite al proveedor de servicios s ervicios alinear las normas e integrar plenamente múltiples sistemas de gestión. Por ejemplo, un SGS se puede pued e integrar con un sistema de gestión de calidad basado en la norma ISO 9001 o sistema de gestión de seguridad de la información basada en la norma ISO / IEC 27001. La ISO / IEC 20000 es intencionalmente independiente de orientación específica. El proveedor servicios puede utilizar una combinación de orientación generalmente aceptadas y su propia experiencia.
Los usuarios de una norma son responsables de su correcta aplicación. Un estándar no pretende incluir todas las obligaciones requisitos legales y reglamentarios y contractuales necesarios del proveedor servicio. El cumplimiento de esta norma solo no confiere conf iere inmunidad y los requisitos legales regulaciones. Para la investigación sobre las normas de gestión de servicios, los usuarios alentados a compartir sus opiniones sobre la ABNT NBR ISO / IEC 20000-1 y sus s us prioridades para cambiar el resto de la serie ISO / IEC 20000.
1 Objeto/alcance 1.1 Generalidades Esta parte de la serie ISO/IEC 20000 20 000 es una norma que contiene un Sistema de Gestión del Servicio (SGS). Especifica al proveedor p roveedor del servicio los requisitos para planificar, establecer, implementar, operar, monitorizar, mo nitorizar, revisar, mantener y mejorar un SGS. Los requisitos para el proveedor pro veedor de servicios incluyen el diseño, transición, provisión, y la mejora de los servicios para satisfacer los requisitos requisitos de servicio. Esta parte de la serie ISO/IEC 20000 puede p uede ser utilizada por: NO TIENE VALOR NORMATIVO a) una organización que demande servicios servicios a los proveedores del servicio servicio y que necesite garantía de cumplimiento de sus requisitos de servicio; b) una organización que requiera un enfoque consistente de todos sus proveedores del servicio, incluidos los de una cadena de suministro; c) un proveedor del servicio servicio que tiene la intención de demostrar su capacidad en el diseño, transición, provisión y mejora de los servicios que cumplen los requisitos del servicio; d) un proveedor del servicio para monitorizar, medir y revisar sus procesos de gestión del servicio y los servicios; serv icios; e) un proveedor del servicio servicio para mejorar el diseño, transición transición y provisión provisión de los servicios mediante una implementación y operación eficaces del SGS; f) un asesor o auditor, auditor, para evaluar la conformidad del SGS de un proveedor del servicio respecto a los requisitos de esta parte de la serie ISO/IEC 20000. La figura 2 muestra el SGS, e incluye los procesos de gestión del servicio y las relaciones entre estos procesos se pueden implementar de diferentes formas por cada proveedor del servicio. La naturaleza de la relación entre cada proveedor del servicio y el cliente influirá en la forma de implementar los procesos de gestión
Figura 2 – Sistema de gestión del Servicio NO TIENE VALOR NORMATIVO 1.2 Campo de aplicación Todos los requisitos contenidos en esta parte de la serie ISO/IEC 20000 son generales y están destinados destinados a aplicarse a todos los proveedores del servicio, dientemente de su tipo, servicio , indepen dientemente tamaño, o de la naturaleza de los servicios entrega dos. No No es aceptable la exclusión exclusió n de cualquiera de los requisitos contenidos en los capítulos 4 a 9 cuando un proveedor del servicio declara la conformidad con est a parte de la serie ISO/IEC 20000, independientemente de la naturaleza naturaleza de la organización del proveedor del servicio.
La conformidad
con los requisitos del capí tulo 4 sólo puede ser demostrada por un proveedor del servicio servicio mostrando evidencias del cumplimiento de todos los r equisitos del capítulo 4. Para los requisitos requisitos del capítulo 4, un proveedor del Servicio no puede delegar en evidencias de gobierno de procesos que sean operados por terceros. conformidad con los requisitos requisitos de los capítulos El proveedor proveedor del servicio puede puede de demostrar mostrar la conformidad del 5 al 9 mostrando evi dencias de cumplimiento de todos los requi sitos. Como alternativa, el proveedor del servicio puede mostrar mostra r evidencias de cumplimiento de la mayoría de los requisitos y evidencias de gobierno de procesos, o parte de los procesos, operados servicio no opera directamente. directamente. Por terceros que el proveedor del servicio El alcance de esta parte de la Norma ISO/I EEC 20000 excluye la especificación especificac ión de un un producto o herramienta. herram ienta. Sin em bargo, las organizaciones pueden usar esta parte de la Norma Norma ISO/IEC 20000 para ayudarles en el desarrollo de de produc tos o herramientas que soporten la operación del SGS. NOTA El Informe Técnico ISO/I EC TR 20000-3 20000-3 proporciona directrices en la definición del alcance y aplicabilidad de esta parte parte de la serie ISO/IEC 20000. 20000. Incluye una explicación explicación ampliada sobre sobre el gobierno gobierno de procesos operados por terceros.
2 Referencias normativas Las normas que a continuación continuación se indican son son indispensables indispensables para la aplicación de esta esta norma. Para las referencias con f echa, sólo se aplica la edición edición citada. Para las referencias referencias sin
fecha se aplica la última edición de la norma (incluyendo (incluyendo cualquier modificación modificación de ésta). que la la nu numeración meración No se citan normas para consulta. Este capítulo se incluye pa ra asegurar que de los capítulos de esta nor ma es idéntica a la Norma ISO/IEC 20000-2: Tecnologías de la Información. Gestión del Servicio. Parte 2: Guía para la Aplicación del Sistema de Gestión del Servicio (SGS) 1).
3 Términos y definiciones A los efectos de este documento, doc umento, se aplican los siguientes siguientes términos y definiciones. 3.1 Disponibilidad Capacidad de un componente de servicio o servicio para llevar a cabo su función deseada en un dado instantánea o durante un período de d e tiempo de vigilia NOTA La disponibilidad se expresa generalmente como una proporción o el e l porcentaje de tiempo que el servicio o servicio componente compo nente está realmente disponible para su uso por el cliente con respecto al tiempo de d e acuerdo en que el servicio debe estar disponible. NO TIENE VALOR NORMATIVO 3.2 Configuración de línea de base Información de configuración designada formalmente en un momento determinado durante la vida útil servicio o componente NOTA 1 Líneas de base de configuración, además de los cambios aprobados en las líneas de base constituyen la información de configuración actual. NOTA 2 Adaptado de ISO / IEC / IEEE 24765:2010.
3.3 Elemento de configuración IC Elemento que necesita ser controlado para entregar un servicio o servicios s ervicios 3.4 Gestión de la configuración de base de datos (CMDB)
Los datos almacenados para registrar los atributos de los elementos de configuración y las relaciones entre los elementos, configuración durante su ciclo de vida 3.5 Mejora continua Actividad recurrente para aumentar la capacidad de cumplir con los requisitos NOTA Adaptado de la Norma ISO 9000:2005.
3.6 Acciones correctivas Acción para eliminar la causa de una no conformidad c onformidad detectada u otra situación indeseable identificada NOTA Adaptado de la Norma ISO 9000:2005. 3.7 Cliente Organización o parte de una organización que recibe un servicio o servicios NOTA 1 Un cliente puede ser interno o externo a la organización del proveedor p roveedor de servicios NOTA 2 Adaptado de la Norma ISO 9000:2005. 3.8 Documento Información y el medio en el que está e stá contenida [ISO 9000:2005] EJEMPLOS Políticas, planes, descripciones de procesos, procedimientos, acuerdos de nivel de servicio, Contratos o registros. NOTA 1 La documentación puede estar en cualquier formato forma to o tipo de medio NOTA 2 En documentos de la ISO/IEC 20000, con la excepción de los expedientes, declaran su intención de ser alcanzado.
NO TIENE VALOR NORMATIVO
ISO / IEC 20000-1 Junio 2011
3.9 Eficacia Resultados de medida en la que se s e realizan las actividades planificadas y previstas alcanzados [ISO 9000:2005] 3:10 Incidente Interrupción no planificada de un servicio, una reducción en la calidad del d el servicio o de un evento que todavía no afectar af ectar el servicio al cliente. 3:11 Seguridad de la Información Preservación de la confidencialidad, integridad y accesibilidad de la información. NOTA 1 Además, otras propiedades tales como la autenticidad, la rendición de cuentas, no repudio y fiabilidad también pueden estar implicados. NOTA 2 El término "disponibilidad" no se utiliza en esta definición, ya que es un término con su definición esta parte de la norma ISO / IEC 20000 no sería apropiado en este contexto. NOTA 3 Adaptado de la Norma ISO / IEC 27000:2009.
3:12 Incidente de seguridad de la información Única seguridad de la información de eventos, o una serie de eventos que tienen inesperado y no deseado una probabilidad significativa de comprometer las operaciones comerciales y amenazar la seguridad de los Información [ISO / IEC 27000:2009] 3:13 Tenedor de apuestas Persona o grupo que tiene un interés específico en el desempeño o el éxito de la actividad o actividades del proveedor de servicios EJEMPLOS Los clientes, propietarios, administración, personal de la organización del proveedor de servicios, proveedores, banqueros, sindicatos o socios. NOTA 1 El grupo puede ser una organización, parte de ella, o más de una organización. NOTA 2
Adaptado de la Norma ISO 9000:2005. 03:14 Grupo Interna la organización del proveedor de servicios que tiene un acuerdo documentado do cumentado con el proveedor servicio para contribuir al diseño, transición, y mejorar la prestación de uno o más servicios. NOTA El grupo interno se encuentra fuera del ámbito ámb ito de aplicación del proveedor de servicio SMS. 03:15 Error conocido El problema en el que una causa de la raíz, o un método de reducir red ucir o eliminar su impacto en un servicio a través de una solución ha sido identificado. 3:16 Incumplimiento Incumplimiento de un requisito 3:17 Organización Grupo de personas e instalaciones con una serie de responsabilidades, autoridades y relaciones. Ejemplo Compañía, sociedad, firma, empresa, caridad, ca ridad, comerciantes, asociaciones o Partes o combinación de los mismos. NOTA 1 La disposición es generalmente ordenada. NOTA 2 La organización puede ser pública o privada. [ISO 9000:2005] 3:18 Acción preventiva Acción para evitar o eliminar la causa o reducir red ucir la probabilidad de un potencial no cumplimiento u otra situación potencialmente no deseado. NOTA Adaptado de la Norma ISO 9000:2005. 3:19 Problema Causa principal de uno o más incidentes NOTA
La causa no se conoce generalmente en el momento que se crea un registro y el problema proceso de administración de problemas se hace h ace responsable de las futuras investigaciones. 3:20 Procedimiento Forma especificada para llevar a cabo cab o una actividad o un proceso. [ISO 9000:2005] NOTA Los procedimientos pueden estar documentados o no. 3:21 Procesos Conjunto de actividades interrelacionadas que transforman entradas o interactivos (entradas) en Productos. [ISO 9000:2005] 3:22 Registro Documento presenta los resultados obtenidos ob tenidos o proporciona evidencia de actividades desempeñadas. [ISO 9000:2005] EJEMPLOS Los informes de auditoría, informes de incidentes, incidentes, registro de formación fo rmación o actas de las reuniones. 3:23 Liberación La agrupación de uno o más elementos de ajuste, nuevos o modificados implementada en el entorno producción como resultado de uno o más cambios. 3:24 Solicitud de cambio Propuesta de cambio que se hará en un servicio, componente de servicio o un sistema de servicios de gestión. NOTA Un cambio a un servicio incluye la provisión de un u n nuevo servicio o la extracción de un servicio que ya no es necesario ne cesario 3:25 Riesgo Efecto de la incertidumbre en los objetivos NOTA 1 El efecto es una desviación de la esperada esp erada - positivo y / o negativo. NOTA 2 Los objetivos pueden tener diferentes aspectos (tales como financieros, de salud y seguridad, y las metas
Ambiental) y puede utilizar a diferentes niveles (como estratégica, en toda tod a la organización, proyecto, producto y proceso). p roceso). NOTA 3 Riesgo se caracteriza siempre por referencia ref erencia a los acontecimientos y las consecuencias potenciales, o combinación. NOTA 4 Riesgo siempre se expresa en términos de un resultado de una combinación de evento (incluyendo cambios en las circunstancias) y probabilidades de ocurrencia asociada. [ISO 31000:2009] 3:26 Servicio Mediante la entrega de valor a los clientes, facilitando fac ilitando los resultados de los clientes quieren lograr. NOTA 1 El servicio es generalmente intangible. NOTA 2 El servicio también puede ser entregado a un proveedor p roveedor de servicios de un proveedor, un grupo interno o cliente que actúa como proveedor. p roveedor. 3:27 Componente de servicio Una sola unidad de un servicio que, cuando se combina co mbina con otras unidades de entregar un servicio completar. EJEMPLOS Hardware, software, herramientas, aplicaciones, documentación, información, procesos o servicios apoyar. NOTA Un componente de servicio puede consistir en uno o más elementos de configuración 3:28 La continuidad del servicio Capacidad para gestionar los riesgos y eventos que podrían tener graves g raves consecuencias para uno o más servicios, s ervicios, fin de ofrecer continuamente los niveles de servicio de acuerdo 3:29 Acuerdo de nivel de servicio SLA Acuerdo por escrito entre el proveedor de servicios y cliente que identifica los servicios y objetivos de servicio NOTA 1 Un acuerdo de nivel de servicio también se puede establecer entre un proveedor de servicios y proveedor, un grupo interno o un cliente que actúa como c omo un proveedor.
NOTA 2 Un acuerdo de nivel de servicio se puede p uede incluir en un contrato u otro acuerdo documentado. 3:30 Gestión del servicio Conjunto de habilidades y procesos para dirigir y controlar las actividades y recursos del proveedor y el servicio del dibujo, de transición, y la prestación de servicios mejorado para la consecución de los requisitos del servicio. 3:31 Servicios de administración - SGS Sistema de gestión para dirigir y controlar las actividades de gestión de servicios proveedor de servicios NOTA 1 Un sistema de gestión es un conjunto de elementos relacionados entre sí o interactuar a establecer la política y objetivos y para lograr dichos objetivos. ob jetivos. NOTA 2 El SMS incluye todas las políticas, objetivos, planes, procesos, documentos y recursos servicios de gestión necesarios para el diseño, la transición, la entrega y la mejora de los servicios y lograr la requisitos de esta parte de la norma ISO / IEC 20000. NOTA 3 Adaptado de la definición de "sistema de d e gestión de la calidad" de la norma ISO 9000:2005. 3:32 Proveedor de servicios Organización o parte de una organización que gestiona y ofrece of rece un servicio o servicios al cliente NOTA Un cliente puede ser interno o externo al proveedor de d e servicios de una organización. 3:33 Solicitud de servicio Solicitud de información, el asesoramiento, el acceso a un servicio s ervicio o modificación pre-aprobado. 3:34 Requisitos de servicio Necesidad de un cliente y de los usuarios del servicio, incluidos los requisitos de nivel de servicio y necesidades del proveedor de servicios. 3:35 Proveedor
Organización o parte de una organización que es externo ex terno a la organización del proveedor de servicios y se rige en un contrato con co n el proveedor de servicios para ayudar con el diseño, transición, entrega y la mejora de un servicio o servicios o procesos. NOTA Los proveedores son los proveedores líderes designados, pero no a sus proveedores subcontratistas. 3:36 La alta dirección Persona o grupo de personas que dirige y controla el proveedor de d e servicios al más alto nivel NOTA Adaptado de la Norma ISO 9000:2005. 3:37 Transición Actividades involucradas en el movimiento de un servicio nuevo o modificado mod ificado hacia o desde un entorno real.
4 Requisitos generales para los servicios de gestión de sistemas 4.1 Responsabilidad de la dirección 4.1.1 Compromiso de la dirección La alta dirección debe proporcionar evidencia de su compromiso comp romiso con la planificación, creación, implementación, operación, monitorización, mo nitorización, revisión, mantenimiento y mejora de la SGS y servicios: se rvicios: a) establecer y comunicar el alcance, los objetivos ob jetivos y políticas políticas de gestión de los servicios; b) asegurarse de que el plan de gestión de los servicios que desea crear, implementar y mantener con el fin de d e unirse a la política, la consecución de los objetivos de los servicios de gestión y cumplir con los requisitos de servicio; c) comunicar la importancia de cumplir con los requisitos de servicio; d) Comunicar la importancia del cumplimiento de los requisitos y obligaciones legales y reglamentarias contrato; e) asegurar la provisión de los recursos; f) examen de la gestión ge stión a intervalos planificados; g) asegurarse de que los riesgos se evalúan y gestionan los servicios.
4.1.2 Los servicios de administración de directivas La alta dirección debe asegurarse de que q ue los servicios de gestión de la política: a) es adecuada para el propósito propó sito del proveedor de servicios;
b) incluye un compromiso de cumplir con los requisitos de servicio; c) incluye un compromiso de mejora m ejora continua de la eficacia del SMS y los servicios a través de política de mejora continua en la sección 4.5.5.1; d) proporcionar un marco para establecer y revisar r evisar los objetivos de los servicios de gestión; e) ser comunicada y entendida por el personal pe rsonal del proveedor de servicios; f) es revisada para su continua co ntinua adecuación.
4.1.3 Autoridad, responsabilidad y comunicación. La alta dirección debe asegurarse de que: a) las facultades y responsabilidades de los servicios de gestión se establecen y mantienen; b) los procedimientos documentados para la comunicación se establecen e stablecen e implementan. 4.1.4 Representante de la dirección La alta dirección debe designar un miembro de la dirección del proveedor de servicios, independientemente de otras responsabilidades, tiene facultades y responsabilidades que incluyen: a) garantizar que las actividades se llevan a cabo c abo para identificar, documentar y cumplir con los requisitos de servicio; b) asignar responsabilidades y autoridades para garantizar que el proceso d e gestión servicios se diseñan, implementan y mejoran de acuerdo con co n la política y objetivos de la servicios de gestión; c) velar por que los servicios de gestión de d e procesos se integran con otros componentes del SGS; d) garantizar que los activos, incluidas las licencias, que se utiliza para entregar los servicios a cargo de la gestión de conformidad con los requisitos legales y reglamentarios y las obligaci ob ligaciones ones contractuales; co ntractuales; e) informar a la alta dirección y las oportunidades o portunidades de mejora del rendimiento y servicios de SGS.
4.2 Gobernabilidad de los procesos operados por otras partes Para los procesos de las secciones 5-9, 5-9 , el proveedor de servicios debe identificar todos los procesos o partes de los procesos, que son operados por otras partes. Otras partes pueden ser un grupo interno, un cliente o proveedor. p roveedor. El proveedor de servicios debe demostrar los procesos proc esos de gobernabilidad operados por otras partes de:
a) demostrar la responsabilidad de los procesos y la autoridad para p ara exigir el cumplimiento de los procedimientos; b) el control de la definición def inición de los procesos y las interfaces con otros procesos; c) determinar el rendimiento de los procesos y el cumplimiento de los requisitos del proceso; d) control de la planificación y priorización de las mejoras del de l proceso. Cuando un proveedor está funcionando partes del proceso, el proveedor p roveedor de servicios debe gestionar la proveedor a través del proceso de gestión de proveedores. Cuando un grupo o un cliente interno procesos pro cesos están operando partes, el proveedor de servicios debe gestionar el grupo interno o cliente cliente a través del proceso de gestión de nivel de servicio. NOTA La ISO / IEC TR 20000-3 proporciona orientación sobre la definición del alcance y la aplicabilidad de esta parte de la norma ISO / IEC 20000. Esto incluye explicaciones sobre la gestión de los procesos operados por otras partes.
4.3 Gestión de la documentación 4.3.1 Establecer y mantener documentos El proveedor del servicio debe establecer y mantener los documentos, do cumentos, incluyendo los registros, para asegurar eficaz planificación, operación y control de la SGS. Estos documentos deben incluir: a) Las políticas y objetivos de la gestión de los servicios documentados; b) la gestión de los planes de servicio se rvicio documentado c) Las políticas y planes documentados creados para los procesos p rocesos específicos requeridos por esta parte de la norma ISO / IEC 20000; d) Catálogo de servicios documentados e) documentado SLAs; f) los procesos de gestión de servicios documentados; g) los procedimientos y los registros requeridos en esta parte de la norma ISO / IEC 20000 documentado; h) Otros documentos, incluidos los de origen externo determinados por el proveedor de servicios, si es necesario para garantizar el funcionamiento eficaz ef icaz de los SGS y la prestación de servicios. 4.3.2 Control de los documentos Los documentos requeridos deben ser verificados por SGS. Los registros son un tipo especial de documento y se deben controlar de acuerdo con los requisitos establecidos en la sección 4.3.3
Un procedimiento documentado, incluyendo las autoridades y responsabilidades debe establecerse para definir los controles necesarios para: a) crear y aprobar los documentos do cumentos antes de emitir b) comunicar a las partes interesadas sobre los documentos do cumentos nuevos o modificados c) revisar y mantener los documentos docume ntos en caso necesario d) asegurarse de que se identifican los cambios camb ios y el estado de revisión actual de los documentos e) asegurarse de que las versiones pertinentes de los documentos do cumentos aplicables están disponibles en los puntos de utilizar f) asegurarse de que los documentos documen tos son fácilmente visibles y legibles; g) asegurarse de que los documentos doc umentos de fuentes externas se identifican y se controla su distribución; h) el uso no intencionado de documentos obsoletos, y aplicarles una identificación adecuada si son mantenido.
4.3.3 Control de los registros Se deben mantener registros para demostrar d emostrar el cumplimiento de los requisitos y la efectiva operación de SGS. Un procedimiento documentado debe ser establecido para definir def inir los controles necesarios para identificación, almacenamiento, protección, recuperación, retención y disposición de registros. Los registros de deben ser legibles, fácilmente identificables y recuperables. 4.4 Gestión de los recursos 4.4.1 Provisión de recursos El proveedor de servicios debe determinar y proporcionar la información info rmación técnica y humanos necesarios financiación necesaria para: a) Establecer, implementar y mantener los SGS SG S y servicios, y mejorar continuamente su eficacia; b) Aumentar la satisfacción del cliente de servicios que cumplen cump len con los requisitos del servicio de la entrega.
4.4.2 Recursos humanos El personal del proveedor de servicios de la realización de trabajos que afecta a la conformidad con los requisitos de servicio debe ser competente con base en la educación, la formación y las habilidades y experimento. El proveedor p roveedor del servicio deberá: a) determinar la competencia necesaria para el personal;
b) en su caso, proporcionar formación fo rmación o tomar otras acciones para lograr la competencia requerida; c) evaluar la eficacia de las medidas m edidas adoptadas; d) asegurarse de que su personal pe rsonal es consciente de la forma en que contribuyen co ntribuyen a la consecución de objetivos de gestión de servicios y el cumplimiento del servicio; e) mantener los registros apropiados de la educación, formación, forma ción, habilidades y experiencia.
4.5 Creación y mejora de SGS 4.5.1 Definición del Alcance El proveedor de servicios deberá definir e incluir el alcance de los servicios del plan de gestión de SGS. El alcance debe ser definido def inido por el nombre de la unidad organizativa que ofrece servicios y servicios a proporcionar. p roporcionar. El proveedor de servicios también debe tener en cuenta otros factores f actores que afectan a los servicios ser entregado, incluyendo: a) zonas geográficas en las que el proveedor de servicio ofrece los servicios; b) el cliente y su ubicación; c) la tecnología utilizada para prestar los servicios. NOTA La ISO / IEC TR 20000-3 proporciona orientación sobre la definición del alcance y aplicabilidad de esta parte de la norma ISO / IEC 20000.
4.5.2 Planificar el SGS (Planificar) El proveedor del servicio debe establecer, implementar y mantener un plan p lan de gestión de servicios. La planificación debe tener en cuenta la política de los requisitos de gestión de servicios de servicio y los requisitos de esta parte de la norma ISO / IEC 20000. El E l plan de manejo servicios deben, al menos, contener o hacer referencia a lo siguiente: a) los objetivos de los servicios de gestión que se deben alcanzar por po r el proveedor de servicios; b) los requisitos de servicio; c) las limitaciones conocidas que pueden influir en los SGS; d) las políticas, normas, requisitos legales y reglamentarios y las obligaciones contractuales; e) la estructura de las autoridades y las responsabilidades resp onsabilidades y roles dentro del proceso;
f) Las autoridades y responsabilidades de los planes, procesos y servicios se rvicios de gestión de servicios; g) la información humana, técnica y financiera necesaria para p ara lograr los objetivos de servicios de gestión; h) el enfoque de trabajar con otros actores involucrados en el diseño y la transición servicios nuevos o modificados; i) aproximación a las interfaces entre los procesos de d e integración y gestión gestión de servicios con los otros componentes del SMS; j) El enfoque de gestión de riesgo riesgo y el riesgo de los criterios de aceptación; k) la tecnología utilizada para apoyar SGS; l) que la eficacia del SMS y los servicios que se medirá, auditó e informó mejorado; Planes creados para los procesos específicos deben estar alineados con el plan de manejo servicios. El plan de manejo y planes p lanes de servicios servicios diseñados para procesos específicos deben revisarse a intervalos planificados y actualizadas, en su caso.
4.5.3 Implementación y operación de los SGS (To - From) El proveedor de servicios debe implementar y operar los SMS en el diseño, la transición, la entrega y la mejora servicios de acuerdo con el plan de servicio, a través de actividades que incluyen al menos: a) la asignación y gestión de los fondos y presupuestos; b) la asignación de autoridades y responsabilidades y roles dentro del proceso; pro ceso; c) Gestión de los recursos humanos y los conocimientos conocimientos técnicos; d) la identificación, evaluación y gestión de los riesgos de los servicios; e) La gestión de los procesos de gestión de servicios; f) el seguimiento y presentación de informes sobre el desempeño d esempeño de las actividades de gestión de servicios.
4.5.4 Monitorear y revisar el SGS (Verificar - Comprobar) 4.5.4.1 Generalidades El proveedor de servicios debe aplicar métodos apropiados para el seguimiento y la medición de los SGS y servicios. se rvicios. Estos métodos deben incluir auditorías internas y revisiones de gestión de dirección. Los objetivos de todas las auditorías internas y las revisiones del Director deberán documentarse. Las auditorías internas y las revisiones llevadas a cabo por el Director deben demostrar la capacidad de SGS y servicios para lograr los objetivos de los servicios de gestión y satisfacer sus requisitos. El incumplimiento se debe
identificar en los requisitos de esta parte de la ABNT ABN T NBR ISO / IEC 20000, 20000 , los requisitos señalados por el proveedor de servicios de SGS o de d e los requisitos de servicio. Los resultados de las auditorías y revisiones internas de gestión, incluidas las no conformidades, preocupaciones y acciones identificadas deben registrarse. Los resultados y las acciones deben ser comunicado a todas las partes interesadas.
4.5.4.2 Auditorías El prestador del servicio deberá realizar auditorías internas a intervalos planificados para determinar si el SGS y servicios: a) cumplir los requisitos de esta parte de la norma ISO / IEC 20000; b) responder a las necesidades del servicio y las necesidades necesidad es identificadas por el proveedor de servicios de SGS; c) Se han implementado y mantenido eficazmente; Debe haber un procedimiento documentado que incluya a las autoridades autoridad es y responsabilidades para planificar y realizar las auditorías, informar sobre los resultados y por el mantenimiento de los registros auditoría. Se debe planificar un programa de d e auditorías. Se debe tener en consideración el estado y importancia de los procesos y las áreas a auditar, así como los resultados de las auditorías anteriormente. Los criterios de auditoría, su alcance, frecuencia y métodos deberán ser documentados. docum entados. Selección de los auditores y la realización de las auditorías deben deb en asegurar la objetividad e imparcialidad de los auditoría. Los auditores no deben auditar su propio trabajo. Las no conformidades serán comunicadas de prioridades y responsabili respons abilidades dades deben definirse para las acciones. El gerente responsable respon sable del área que esté siendo auditada debe asegurarse de que las correcciones correccion es y las acciones correctivas que se tomen sin demora injustificada para eliminar las no conformidades conform idades y sus causas. Las actividades de seguimiento deben incluir la verificación de las acciones tomadas y el informe de resultados. NOTA Véase la Norma ISO 19011 para p ara orientación sobre los sistemas de gestión de auditoría. 4.5.4.3 Análisis crítico de la dirección La alta dirección debe revisar el SGS y servicios se rvicios a intervalos planificados para asegurar su idoneidad y eficiencia continua. La revisión debe incluir la evaluación de oportunidades la mejora y la necesidad de cambios c ambios en los SGS, incluyendo su política y sus objetivos ob jetivos servicios de gestión. Las entradas a revisiones por la dirección deben debe n incluir, al menos, información sobre: a) los comentarios de los clientes;
b) los servicios y procesos de desempeño y el cumplimiento; c) los niveles actuales y previstos de la información humana, tecnológica y financiera. d) la capacidad actual y prevista de los recursos recurso s humanos y técnicos; e) los riesgos; f) los resultados y las acciones de seguimiento se guimiento de las auditorías; g) los resultados y las acciones de seguimiento de revisiones por la dirección previas; h) estado de las acciones correctivas y preventivas; i) los cambios que podrían afectar a los SGS y servicios; j) las oportunidades de mejora. Registros de revisiones por la dirección deben incluir al menos las decisiones y acciones relacionadas con recursos, la mejora de la eficacia efica cia de los SMS y la mejora en los servicios. s ervicios.
4.5.5 Mantener y mejorar SGS (Actuar) 4.5.5.1 Generalidades Debe haber una política de mejora continua de la SGS y servicios. La política debe incluir criterios de evaluación de las oportunidades de mejora. Debe haber un procedimiento documentado que incluya autoridades y responsabilidades para identificación, documentación, evaluación, aprobación, priorización, gestión, medición y presentación de informes mejoras. Oportunidades de mejora, incluyendo las acciones correctivas y preventivas deben ser documentadas. La causa de las no conformidades conformidad es identificadas debe ser corregida. Las acciones correctivas deben ser tomadas para eliminar la causa de no conformidades identificadas para prevenir su repetición. Participación se deben tomar medidas med idas preventivas para eliminar las causas de no conformidades potenciales para prevenir su ocurrencia. NOTA Para obtener más información sobre las acciones correctivas co rrectivas y preventivas, consulte la norma ISO 9001:2008, apartado 8.5.
4.5.5.2 Mejoras de la gestión Oportunidades de mejora deben ser priorizadas. El proveedor pro veedor del servicio deberá utilizar el criterio evaluación, que se define en la política de mejora m ejora continua, mientras que la toma de decisiones sobre la oportunidades de d e mejora. Se deben planificar las mejoras aprobadas. aprobad as. El proveedor de servicios debe gestionar las actividades mejoras que incluyen al menos:
a) la estipulación de uno o más má s objetivos de mejoras en la calidad, el valor, la capacidad, costo, productividad, utilización de recursos y la reducción de riesgos; b) la seguridad de que las mejoras m ejoras aprobadas se implementan; c) la revisión de las políticas, planes, procesos y servicios de gestión de los procedimientos, cuando requerida; d) mejoras de medición aplicadas ap licadas contra los objetivos fijados y que los objetivos no son se lograron, se adopten las medidas necesarias.
5 Diseño y transición de servicios nuevos o modificados 5.1 Generalidades El proveedor del servicio deberá utilizar este proceso proc eso para todos los nuevos servicios o realizar cambios en los servicios existentes que tienen un impacto potencialmente significativo en los servicios o cliente. Los cambios que están dentro del alcance de la Sección 5, se determinarán por la política cambios de gestión acordadas como parte del proceso proc eso de gestión del cambio. Evaluación, aprobación, la programación y el análisis crítico de los servicios nuevos o modificados en el ámbito de sección s ección 5 debe ser controlada por el proceso de gestión del cambio. IC afectada af ectada por servicios nuevos o modificados deben ser controlados por po r el proceso de gestión g estión configuración. El proveedor del servicio deberá revisar los resultados de las actividades de planificación y diseño para servicios nuevos o modificados en comparación con los requisitos de servicio acordados y requisitos pertinentes definidos en las secciones 5.2 y 5.3. En base a esta e sta revisión, el proveedor de servicio debe aceptar o rechazar las salidas. El proveedor del de l servicio deberá tomar las medidas necesarias para asegurar que el desarrollo y la transición de los servicios nuevos o modificados se pueden realizar la utilización eficaz de d e las salidas aceptadas. NOTA La necesidad de un nuevo servicio o el cambio camb io de un servicio puede ser originado por cliente, proveedor de servicios, un grupo interno o un proveedor pro veedor con el fin de satisfacer las necesidades negocio o para mejorar la eficiencia ef iciencia de los servicios.
5.2 Planificación de servicios nuevos o modificados El proveedor de servicios debe identificar las necesidades de servicio de los servicios nuevos o modificados. Servicios nuevos o modificados deben ser diseñados para satisfacer las necesidades de servicio. La planificación de los servicios nuevos o modificados mod ificados debe ser acordada con el cliente y con co n las partes interesadas. Como aportación a la planificación, el proveedor de servicios debe tener en cuenta los posibles impactos resultado financiero, organizativo y técnico de la
prestación de este servicio nuevo o modificado. La proveedor de servicios también debe tener en cuenta el impacto potencial po tencial de los servicios nuevos o modificados en SGS. La planificación de los servicios nuevos o modificados deberá contener o al menos incluir referencias a los artículos siguientes: a) las autoridades y responsabilidades para las actividades de diseño, desarrollo y en transición; b) Las actividades que se llevarán a cabo por el proveedor de servicios y otras partes, incluidas las actividades de interfaces entre el proveedor de servicios y otras partes; c) la comunicación con las partes pa rtes interesadas; d) los recursos humanos, técnicos y financieros; e) la escala de tiempo de las actividades a ctividades previstas; f) la identificación, evaluación y gestión de riesgos; g) depende de otros servicios; h) las pruebas requeridas para servicios nuevos o modificados; i) los criterios de aceptación del servicio; j) resultados de expedición previsto previsto de servicios nuevos o modificados, expresados en términos medible. Para los servicios que deben ser eliminados, el proveedor proveedo r de servicios debe planificar su retiro. La la planificación debe incluir la fecha (s) la eliminación, el archivo, la eliminación o la transferencia de los datos, datos , Servicio de documentación y componentes. Los componentes de servicio pueden puede n incluir infraestructura o aplicaciones ap licaciones con sus respectivas licencias. El proveedor de servicios debe identificar otras partes que contribuyan co ntribuyan a la prestación de componentes de servicios para servicios nuevos o modificados. modificados . El proveedor de servicios debe evaluar sus habilidades para satisfacer las necesidades de servicio. Los resultados de la evaluación deben ser se deben tomar acciones registradas y necesario.
5.3 Diseño y desarrollo de servicios nuevos nue vos o modificados Los servicios nuevos o modificados deben ser diseñados y documentados para incluir, al menos: a) las autoridades y responsabilidades para la prestación de servicios se rvicios nuevos o modificados; b) las actividades que deben ser realizadas por el proveedor proveed or de servicios, clientes y otras partes interesados en la prestación de servicios nuevos o modificados; mod ificados; c) los requisitos para los nuevos o modificados recursos humanos, incluyendo incluyendo los requisitos de educación formación adecuada, las habilidades y la experiencia; expe riencia;
d) las necesidades de recursos financieros para la prestación de servicios nuevos o modificados; e) la tecnología nueva o modificada para apoyar la prestación p restación de servicios nuevos o modificados; f) Políticas y planes nuevos o modificados de acuerdo a los requisitos de esta parte de la ISO ISO / IEC 20000; g) los contratos nuevos o modificados y otros acuerdos por escrito de los cambios de alineación en los requisitos de servicio; h) cambios en los SMS; i) SLAs nuevas o modificadas; j) actualiza el catálogo de servicios; k) los procedimientos, las medidas y la información que qu e se utilizarán en la prestación de nuevos servicios o modificado. El proveedor del servicio debe asegurarse de que q ue el diseño permite el servicio nuevo o modificado para cumplir con requisitos de servicio. Los servicios nuevos o modificados se deben desarrollar según el diseño documentado. NOTA Para obtener más información sobre el dibujo, ver el proceso de diseño y desarrollo ISO 9001:2008, Sección 7.3 o arquitectura de procesos en la norma ISO / IEC 15288:2008, sección 6.4.3.
5.4 Transición de servicios nuevos o modificados Los servicios nuevos o modificados deben ser evaluados para verificar que cumplen con los requisitos de servicio y documentado en el dibujo. d ibujo. Los servicios nuevos o modificados deben ser revisados sobre la base de d e los criterios de aceptación de servicios acordados previamente entre el proveedor proveedo r de servicios y las partes interesados. Si los criterios de aceptación no se cumplen cump len el servicio, el proveedor de servicios y los interesados deben tomar una decisión sobre las acciones y de entrega necesarias. El proceso de liberación y el despliegue se debe utilizar para el despliegue d espliegue de nuevos servicios o modificaciones que han sido aprobados para su inserción en el entorno de producción. Tras la finalización de las actividades de transición, el proveedor del servicio deberá informar a las partes interesadas cuáles fueron los resultados obtenidos en relación con los resultados esperados.
6 Procesos de provisión del de l servicio 6.1 Gestión del nivel de servicio El proveedor de servicios y el cliente deberán acordar aco rdar los servicios que se presten. El proveedor de servicios y el cliente deben acordar acord ar un catálogo de servicios. El catálogo de servicios debe incluir las interdependencias entre los servicios y componentes de servicio. Para cada servicio prestado, uno o más m ás acuerdos de nivel de servicio (SLA) deben arreglarse con el cliente. Cuando se crea un ANS, el proveedor de servicios debe tener en cuenta las necesidades del d el servicio. SLAs debe incluir los objetivos de servicio, las características de la carga de trabajo t rabajo y las excepciones. El proveedor de servicios, a intervalos planificados, para analizar críticamente los servicios al cliente y SLAs. Los cambios en los requisitos de servicio documentado, catálogo de servicios, SLAs y otros acuerdos documentado para ser controlado co ntrolado por el proceso de gestión del cambio. El catálogo servicios deben mantener después de d e los cambios en los servicios y SLAs para asegurarse de que están alineados. El proveedor de servicios, a intervalos planificados, para monitorear la tendencia y los resultados relación con los objetivos del servicio. Los resultados deben ser registrados y revisados para identificar las causas de las no conformidades y oportunidades de mejora. Para los componentes de servicio proporcionados por un grupo interno o por el cliente, el proveedor de servicios debe desarrollar, de acuerdo, revisar y mantener un acuerdo documentado para definir actividades y las interfaces entre e ntre los dos partidos. El proveedor de servicios debe, a intervalos planificados, supervisar el rendimiento del grupo interno o cliente en relación con los objetivos ob jetivos de servicio acordados y otros compromisos. Los resultados deben ser registrados y revisados para identificar las causas de las no conformidades y oportunidades de mejora. 6.2 Informes de servicio Una descripción de cada servicio de información, incluyendo su identidad, propósito, audiencia, frecuencia y detalles (s) fuente (s) de los datos d atos debe ser documentada y aprobada por el proveedor de servicios y piezas p iezas interesados. Informes de servicios deben ser producidos por los servicios que util u tilizan izan la información de la entrega servicios y actividades de SGS, incluidos los servicios de administración de casos. Informes servicio debe incluir por lo menos:
a) Cumplimiento de los objetivos de servicio; b) la información pertinente acerca de eventos importantes, impo rtantes, incluyendo al menos incidentes graves, la implementación de servicios nuevos o modificados y el plan p lan de continuidad del servicio que es se dispare; c) características de la carga de trabajo, incluidos los volúmenes y los cambios periódicos en la carga trabajo; d) las no conformidades detectadas en relación con los requisitos de la norma ISO / IEC 20000, los requisitos de SGS o requisitos de servicio y sus causas identificadas; e) información sobre las tendencias; f) la medición de la satisfacción del cliente, quejas de servicio y resultados de las pruebas de mediciones de satisfacción y quejas. El proveedor de servicios debe tomar decisiones dec isiones y actuar en función de las conclusiones de los informes de los servicios. Acciones acordadas deberán ser comunicadas a los interesados.
6.3 Gestión de continuidad y disponibilidad del servicio 6.3.1 Requisitos de continuidad y disponibilidad del servicio El proveedor de servicios debe evaluar y documentar los riesgos para la continuidad y disponibilidad de servicios. El proveedor de servicios debe identificar y acordar con el cliente y las partes interesadas de la requisitos de continuidad y disponibilidad de los servicios. Requisitos Req uisitos acordados deben tener en cuenta los planes de la empresa los requisitos aplicables de servicio, SLA y los riesgos. Los requisitos de continuidad y disponibili d isponibilidad dad de los servicios acordados deberán incluir como mínimo: a) los derechos de acceso a los servicios; b) los tiempos de respuesta de servicio; c) la disponibilidad de servicios de extremo a extremo. ex tremo. 6.3.2 Planes de Continuidad y disponibilidad del servicio El proveedor del servicio debe establecer, implementar y mantener el plan p lan (s) y el plan de continuidad del servicio (s) disponibilidad. Los cambios en estos planes deben ser controlados por el proceso de gestión cambios. El plan (s) (s) de la continuidad del servicio debe (m), como mínimo: a) los procedimientos que se aplicarán en el caso de d e una interrupción importante del servicio, o referencias a tales procedimientos; proced imientos; b) los objetivos de disponibilidad cuando c uando se activa el plan; c) los requisitos de recuperación; d) enfoque para el retorno a condiciones co ndiciones normales de trabajo.
El plan (s) (s) de la continuidad del servicio, listas de contactos co ntactos y CMDB debe ser accesible incluso cuando el acceso al local de servicio normal se evita. El plan (s) (s) la disponibilidad de (m) incluye, por lo menos, meno s, los requisitos y objetivos de disponibilidad. El proveedor de servicios debe evaluar el impacto impac to de las órdenes de cambio en el plan (s) (s) la continuidad del servicio y el plan (s) (s) disponibilidad. disp onibilidad. NOTA El plan (s) (s) y el plan de continuidad del servicio (s) (s) la disponibilidad pueden combinar en un solo documento.
6.3.3 Monitorización y prueba de la continuidad y de la disponibilidad del servicio. La disponibilidad de los servicios debe ser monitoreado y se registran registran los resultados y se compara con los objetivos acordados. Interrupciones no planificadas deben ser investigadas y acciones necesarias se deben tomar. to mar. Los planes de continuidad de servicios deben ser probados según los requisitos de la continuidad del servicio. Disponibilidad planes deben ser probados en comparación con requisitos requisitos de d e disponibilidad. Planes de continuidad y disponibilidad del servicio se deben volver a analizarse después de cambios ca mbios significativos en el entorno de servicio en el que opera el proveedor prove edor de servicios. Resultados de las pruebas deben ser registrados. Estas revisiones deben llevarse a cabo después de cada se activa la prueba y después del plan de continuidad del servicio. Cuando se encuentren deficiencias, el proveedor de servicios debe tomar las medidas necesarias y acciones tomadas tomad as del informe. 6.4 Elaboración de presupuesto y contabilidad de los servicios. Habrá una interfaz definida entre el presupuesto y el e l proceso de contabilización de los servicios y otros procesos de gestión financiera. Habrá políticas y procedimientos documentados para: a) elaboración de presupuestos y la contabilidad de los componentes del servicio, incluyendo, como mínimo: 1) activos - incluyendo las licencias - afectos a los servicios, 2) recursos compartidos, 3) costos indirectos 4) los gastos operativos y de capital 5) proveedor de servicios externo 6) personal 7) instalaciones;
b) el reparto y la asignación de los costos indirectos los costos directos de los servicios que ofrecen un coste total de cada servicio. c) el control financiero eficaz y aprobado los costos co stos deben ser incluidos en el presupuesto para permitir un control financiero eficaz ef icaz y la toma de la decisión de los servicios prestados. El proveedor de servicios debe supervisar e informar los costos co stos de acuerdo con el presupuesto, la revisión de previsiones financieras y administrar los costos. La información debe ser proporcionada al proceso pro ceso de gestión del cambio para apoyar el costo de las órdenes de cambio. NOTA Algunos proveedores de servicios cobran por sus servicios. El alcance del presupuesto y contabilidad de los procesos de servicio excluye cargos.
6.5 Gestión de la Capacidad El proveedor de servicios debe identificar y acordar acord ar los requisitos de capacidad y rendimiento con los clientes y las partes interesadas. El proveedor del servicio debe establecer, implementar y mantener un plan p lan de capacidad, teniendo en consideración humana, técnica y financiera. Cambios en el plan de capacidad debe ser controlado por el proceso de gestión del cambio. El plan de capacidad debe incluir al menos: a) actual y la demanda de d e servicios prevista; b) el impacto esperado de los requisitos requisitos acordados para la disponibili dispo nibilidad, dad, la continuidad de los servicios y los niveles de servicio; c) Los términos identificados, límites y costos para mejorar la capacidad capacid ad de los servicios; d) el impacto potencial del cambio legal, reglamentaria, contractual o de organización; e) el posible impacto de las nuevas tecnologías y nuevas técnicas; f) procedimientos para el análisis predictivo, o referencia ref erencia a ellos. El proveedor de servicios debe supervisar el uso de la capacidad, cap acidad, analizar los datos y ajustar la capacidad rendimiento. El proveedor de servicios debe proporcionar capacidad suficiente para cumplir los requisitos capacidad y el rendimiento pactado.
6.6 Gestión de la seguridad de la información 6.6.1 Política de seguridad de la información. La dirección de la autoridad competente debe aprobar una política po lítica de seguridad de la información que lleva en cuenta las necesidades nec esidades del servicio, los requisitos legales y las obligaciones legales y contractuales. La dirección debe: a) comunicar la política de seguridad de la información info rmación y la importancia del cumplimiento de la política personal apropiado en el proveedor de servicios, clientes y proveedores. b) asegurarse de que se establecen los objetivos de la gestión de seguridad de la información. c) definir el enfoque que debe adoptarse para la gestión de d e riesgos y seguridad de la información criterios para la aceptación del riesgo. d) garantizar que las evaluaciones de riesgos de d e seguridad de la información se llevan a cabo a intervalos planeado; e) garantizar que las auditorías internas de seguridad de la información se llevó a cabo; f) garantizar que los resultados de auditoría auditoría se analizan críticamente para identificar oportunidades mejora.
6.6.2 Controles de seguridad de la información El proveedor de servicios debe implementar y operar los controles c ontroles físicos, administrativos y técnicos seguridad de la información con el fin de: a) preservar la confidencialidad, integridad y accesibilidad de los recursos de de información; b) cumplir los requisitos de la información de la política de seguridad; c) la consecución de los objetivos de la gestión de seguridad s eguridad de la información; d) gestionar los riesgos relacionados con la seguridad de la información. Estos controles de seguridad de la información deben ser documentados y deben deb en describir el riesgo de qué controles están conectados, su operación y mantenimiento. El proveedor del servicio deberá revisar la eficacia de los controles de seguridad de información. El proveedor del servicio deberá tomar las medidas necesarias n ecesarias y acciones tomadas del informe. El proveedor de servicios debe identificar las organizaciones externas que tienen una necesidad de acceder, utilizar y gestionar información info rmación o servicios del
proveedor de servicios. El proveedor de servicios debe documentar, acordar y aplicar controles de seguridad de información con estas organizaciones externas.
6.6.3 Cambios e incidencias de seguridad de la información Las solicitudes de cambio deben ser evaluadas para identificar: a) el riesgo de seguridad de la información nueva o modificada; b) el impacto potencial sobre la política de seguridad de la información y los controles existentes; Incidentes de seguridad de la información debe regularse mediante procedimientos gestión de incidentes con la prioridad adecuada a los riesgos de seguridad de la información. La proveedor p roveedor del servicio deberá analizar los tipos, volúmenes y los efectos de los incidentes de seguridad de la información deben ser reportados y revisados para identificar oportunidades de mejora. NOTA La familia de la norma ISO / IEC 27000 especifica los requisitos y proporciona orientación para apoyar implementación y operación de un sistema de gestión de seguridad de la información
7 Procesos de relación 7.1 Gestión de relaciones con el negocio El proveedor del servicio deberá identificar y documentar los clientes, usuarios y partes interesadas en servicios. Para cada cliente, el proveedor de d e servicios debe designar a una persona responsable de la gestión al cliente y la satisfacción del d el cliente. El proveedor del servicio debe establecer mecanismos de comunicación con el cliente. El mecanismo comunicación para promover la comprensión del d el entorno empresarial en que los servicios operar y los requisitos para p ara servicios nuevos o modificados. Esta información debe permitir que el proveedor de servicio para cumplir con estos requisitos. El proveedor de servicios, junto con el cliente, deberá revisar la actuación de Servicios a intervalos planificados. Los cambios en los requisitos de servicio documentados deben ser controlados co ntrolados por el proceso la gestión del cambio. Los cambios en los SLA´s deben coordinarse con el proceso de gestión del nivel de servicio. La definición de una queja en contra de un servicio debe ser acordado con el cliente. En caso de ser documentado doc umentado el procedimiento para la gestión de quejas en contra del servicio emitido por el cliente. El proveedor servicio debe d ebe registrar, investigar, actuar, informar y cerrar las quejas contra los servicios. ¿Cuándo una queja no se resuelve a través de los canales normales, el análisis debe ser se r ofrecido a los clientes.
El proveedor de servicios debe medir la satisfacción del cliente a intervalos planificados sobre la base de una muestra mue stra representativa de los clientes y usuarios de servicios. Los resultados deben ser analizados y revisados para identificar oportunidades de mejora.
7.2 Gestión de Suministradores El proveedor de servicios puede utilizar proveedores para implementar y operar op erar las partes de los procesos servicios de gestión. Se ilustra un ejemplo de d e la relación entre las cadenas de suministro en la Figura 3.
Figura 3 - Ejemplo de las relaciones entre la cadena de suministro Para cada proveedor, el proveedor de d e servicios debe designar a una persona para ser responsable de gestión de las relaciones, el contrato y el rendimiento rend imiento del proveedor. El proveedor y el proveedor deben acordar un contrato documentado. d ocumentado. El contrato debe contener o hacer referencia a: a) el alcance de los servicios que se s e entregarán por los proveedores; b) las dependencias entre servicios, procesos y personas; c) los requisitos que debe cumplir el proveedor; d) los objetivos de los servicios; e) las interfaces entre los procesos de gestión de procesos operados por el proveedor y otras partes; f) la integración de las actividades de la empresa em presa con el SGS; g) las características de las cargas de trabajo; h) las excepciones previstas en el contrato y la forma fo rma en que se debe trabajar; i) las facultades y responsabilidades del proveedor de servicios y el proveedor; j) los informes y comunicaciones que ser proporcionados por el proveedor; k) las bases para la recuperación; l) las actividades y responsabilidades cuando la terminación normal del contrato y la prevista o la transferencia de servicios a terceros. El proveedor del servicio debe estar de acuerdo con los niveles de servicio de los proveedores para apoyar y alinearse con los SLAs entre el prestador p restador y el cliente.
El proveedor de servicios debe asegurar que las funciones f unciones y las relaciones entre los proveedores y los principales subcontratistas están documentados. El proveedor de servicios debe verificar que los principales proveedores son la gestión de sus proveedores externos para cumplir con sus obligaciones contractuales. El proveedor de servicios debe supervisar el desempeño del proveedor p roveedor a intervalos planificados. El desempeño debe medirse con los objetivos de servicio y otras obligaciones contractuales. Los resultados deben ser registrados y revisados para identificar las causas de la no cumplimiento cump limiento y oportunidades de mejora. La revisión también debe garantizar que el contrato co ntrato refleja la requisitos actuales. Las modificaciones del contrato deberán ser controlados con trolados por el proceso de gestión del cambio. Debe haber un procedimiento documentado para la gestión de desacuerdos de sacuerdos contractuales entre el proveedor y el proveedor de servicios. NOTA 1 El alcance de los proveedores de gestión de procesos elimina e limina la selección y contratación servicios. NOTA 2 Más ejemplos relativos a las relaciones entre las cadenas cade nas de suministro se muestran en la ABNT ISO / IEC TR 20000-3.
8 Procesos de Resolución 8.1 Gestión de incidencias inciden cias y peticiones de servicio Debe haber un procedimiento documentado para todas las incidencias que q ue definan: a) registro; b) el establecimiento de prioridades; c) la clasificación; d) la actualización de los registros; e) la escalada; f) Resolución; g) el cierre. Debe disponerse de procedimientos documentados para gestionar el cumplimiento de las solicitudes de servicio desde su grabación hasta su cierre. Los incidentes y solicitudes de servicio deben ser gestionados de acuerdo con estos procedimientos.
Al dar prioridad a los incidentes y solicitudes de servicio, el proveedor de servicios debe tener en cuenta la impacto y la urgencia de incidentes y solicitudes de servicio. El proveedor del servicio deberá garantizar que el personal p ersonal involucrado en la gestión de procesos incidentes y solicitudes de servicio para tener acceso y utilizar la información pertinente. Información relevante debe incluir: procedimientos de gestión de solicitudes de servicio, errores sabido, la resolución de problemas y la CMDB (configuración de administración administración de base de datos). Información sobre el éxito o el fracaso fraca so de las emisiones y en fechas futuras de las emisiones, del proceso de gestión de la liberación y el despliegue, debe deb e ser utilizado por los procesos de la gestión de incidencias y peticiones de servicio. El proveedor del servicio deberá mantener al cliente c liente informado de los avances de sus incidentes o solicitudes de servicio. Si los objetivos de servicio no pueden ser alcanzados, el proveedor de servicios debe informar al cliente y las partes interesadas y escalar según el procedimiento. El proveedor del servicio deberá documentar y acordar con c on el cliente la definición de incidente grave. Graves incidentes deben ser clasificados y gestionados de acuerdo con un procedimiento documentado. La alta dirección debe ser informada info rmada de incidentes graves. La alta dirección debe asegurarse a segurarse de a una persona a ser designada de signada como responsable de la gestión de incidentes graves. Después acordó que q ue se restablezca el servicio, incidentes graves deben ser revisados para identificar oportunidades de mejora.
8.2 Gestión de Problemas Debe haber un procedimiento documentado para identificar los problemas p roblemas y minimizar o evitar el impacto incidentes y problemas. El procedimiento pro cedimiento para los problemas que debe definir: def inir: a) la identificación; b) el registro; c) la asignación de prioridad; d) la clasificación; e) los registros de actualización; f) escalada / escala / escala;; g) solución / solución / resolución; resolución; h) de cierre. Los problemas deben ser manejados de acuerdo con el procedimiento. El proveedor del servicio deberá analizar los datos d atos y las tendencias de los incidentes y problemas para identificar causas y acciones preventivas posibles.
Problemas que requieren cambios en la IC deben resolverse a través de una solicitud de cambiar. Cuando la causa de la raíz ha sido identificada, pero el problema no ha sido resuelto Permanentemente / Definitivamente, el proveedor de servicios s ervicios debe determinar acciones para reducir o eliminar el impacto impa cto del problema en los servicios. Errores conocidos deben ser registrados. La eficacia de la resolución de problemas p roblemas debe ser monitoreado, revisado y reportó / informó. Información actualizada sobre los errores conocidos y solución de problemas / resolución de problemas debe ser proporcionado a los incidentes de gestión de procesos y solicitudes de servicio.
9 Procesos de control 9.1 Gestión de la Configuración Debe haber una definición documentado de cada tipo de IC. La información registrada para cada IC debe d ebe garantizar un control eficaz y, como mínimo: m ínimo: a) una descripción de la IC; b) relación (s) entre los circuitos integrados IC y otros; c) relación (s) entre la IC y componentes co mponentes de servicio; d) Estado; e) versión; f) la ubicación; g) las solicitudes de cambio asociados; h) los problemas y errores conocidos cono cidos asociados; IC debe ser identificada y registrada en la CMDB. La CMDB debe d ebe gestionarse para asegurar su fiabilidad y precisión, incluyendo el control de acceso para las actualizaciones. Debe haber un procedimiento documentado para las versiones de d e registro, control y seguimiento de Circuitos integrados. El nivel de control debe mantener ma ntener la integridad de los servicios y componentes de servicios, teniendo en teniendo en cuenta las necesidades del servicio y los riesgos asociados asoc iados a los circuitos integrados. El proveedor de servicios debe auditar los registros almacenados en la CMDB, a intervalos planificados. Cuando se detecten deficiencias, el proveedor de servicios debe tomar las medidas necesarias y informar de las acciones emprendidas. Información CMDB debe proporcionar al proceso proc eso de gestión del cambio para dar apoyar la evaluación de las solicitudes de cambio. Los cambios en la SIC debe ser s er trazable y auditable para asegurar la integridad de los circuitos integrados y datos de la CMDB.
Una configuración de línea de base de los lo s IC afectada debe ser extraído antes de la introducción de los una liberación al ambiente de producción. Las copias maestras de circuitos integrados registrados en la CMDB CM DB deben ser almacenados en bibliotecas o físicos asegurar los registros electrónicos que hace referencia la configuración. Esto debe incluir, al menos, documentación, docu mentación, información de licencia, el software y cuando esté disponible, las imágenes de la instalación de hardware. Debe haber una interfaz definida def inida entre el proceso de gestión de la configuración y el proceso de gestión de activos financieros. NOTA El alcance del proceso de gestión de la configur co nfiguración ación excluye la gestión de activos financieros.
9.2 Gestión de cambios Una gestión del cambio de política debe establecer la definición de: a) integrados que están bajo el control co ntrol de la gestión del cambio; b) los criterios para determinar los cambios con el potencial de causar un impacto significativo en servicios o el cliente; Eliminación de un servicio debe ser clasificado como un cambio c ambio en el impacto potencial significativo. La transferencia de un servicio, el proveedor de d e servicios al cliente o a otra parte también debe deb e ser clasificado como un cambio en el potencial para un impacto significativo. Debe haber un procedimiento documentado para registrar, clasificar, evaluar y aprobar las solicitudes de cambios. El proveedor del servicio deberá documentar y llegar a un acuerdo con el cliente acerca de la definición de un cambiar cam biar emergencia. Debe haber un procedimiento pro cedimiento documentado para la gestión de cambios de emergencia. Todos los cambios en un servicio o un componente de d e un servicio se deben crear utilizando un solicitud de cambio. Las solicitudes de cambio deben tener un alcance definido. Todas las solicitudes de cambio deben ser registradas y clasificadas. Las solicitudes de cambio clasificado con el potencial de causar un impacto impa cto significativo en los servicios y el cliente deben ser administradas por medio del proceso de diseño y el proceso de transición o de d e nuevos servicios o modificado. El resto de solicitudes de cambio de CIs definidos def inidos en el manejo de la política los cambios deben ser manejados por el proceso de d e gestión del cambio. Las solicitudes de cambio deben ser evaluados utilizando la información sobre el proceso de gestión del cambio y otros procesos. pro cesos. El proveedor de servicios y las partes deben tomar tom ar decisiones sobre la aceptación de las solicitudes de cambio. La decisión de cisión debe tener en cuenta los riesgos, impactos potencial en el servicio y los requisitos de servicio al cliente, los beneficios empresariales, y la viabilidad técnica impacto financiero. f inanciero.
Los cambios aprobados deben ser desarrollados y probados. Un calendario de cambios con los detalles de los cambios ca mbios aprobados y las fechas propuestas para la liberación debe ser establecido y comunicado a las partes interesadas. El calendario cambios se deben utilizar como base para la planificación e implantación de las emisiones. Las actividades necesarias para revertir o remediar reme diar un cambio deben planificarse sin éxito y, cuando sea posible, la prueba. El cambio debe d ebe ser revertido o remediarse si no tiene éxito. Cambios sin éxito se deben investigar y tomar las medidas acordadas. ac ordadas. Los registros de la CMDB deben d eben actualizarse tan pronto como los cambios se han lanzado con éxito. El proveedor del servicio deberá revisar los cambios cam bios y tomar acciones de acuerdo con las partes interesadas. Las solicitudes de cambio deben ser revisados a intervalos planificados para detectar tendencias. La resultados y conclusiones derivadas de estos análisis deben ser registrados y revisados para identificar oportunidades de mejora.
9.3 Gestión de la entrega y despliegue El proveedor del servicio deberá establecer y llegar a un acuerdo ac uerdo con el cliente en una política de liberar indicando la frecuencia y tipos de d e lanzamientos. El proveedor de servicios debe planificar junto con el cliente y las partes par tes interesadas la inserción los cambios en la producción de servicios nuevos o modificados y componentes de servicio. La planificación deben coordinarse coord inarse con el proceso de gestión del cambio, e incluir referencias a las solicitudes de cambio, errores conocidos y problemas que están siendo cerradas c erradas por cambiar. La planificación debe incluir la fecha de d e inserción de cada versión, así como los entregables y los métodos de implementación. El proveedor del servicio deberá documentar y llegar a un acuerdo con el cliente acerca de la definición de un desbloqueo de sbloqueo de emergencia. Comunicados de emergencia deben ser manejados de d e acuerdo con un procedimiento de liberación documentado que poseen interfaz de cambios en el procedimiento pro cedimiento de emergencia. Lanzamientos deben ser construidos y probados antes de su despliegue. Un entorno de pruebas de aceptación controlada se debe utilizar para crear y liberar las pruebas. Los criterios de aceptación para publicación deben arreglarse con el cliente c liente y las partes interesadas. El lanzamiento deberá cotejarse con los criterios de aceptación a ceptación de acuerdo y aprobarse antes despliegue. Si no se cumplen los criterios de d e aceptación, el proveedor de servicios debe tener una decisión conjunta con las partes interesadas en lo que se requieren acciones a implementar. imp lementar.
La liberación debe ser desplegada en el entorno de producción de manera que la integridad del hardware, software y otros componentes del d el servicio se mantiene durante el despliegue de la liberación. Las actividades necesarias para revertir o remediar reme diar la liberación de despliegue debe, sin éxito, ser planificadas y, cuando sea posible, posib le, la prueba. La implementación de un comunicado debe ser revertida o remediada si no tiene éxito. Lanzamientos sin éxito deben ser investigados y acciones acordadas tomada. El éxito o el fracaso de las liberaciones deben ser monitoreados mo nitoreados y analizados. Las mediciones deben incluir incidentes relacionados con un comunicado com unicado en el período posterior a su aplicación en la construcción. El análisis debe incluir la evaluación de las repercusiones repe rcusiones de la liberación en el cliente. Los resultados y conclusiones derivado del análisis deberán registrarse y revisarse para identificar oportunidades mejora. Información sobre el éxito o el fracaso fraca so en las emisiones y fechas de futuras versiones debería ser proporcionada al proceso de gestión del cambio y el proceso de gestión de incidentes y solicitudes de servicio. La información debe ser proporcionada al proceso pro ceso de gestión del cambio para apoyar evaluaciones de impacto de las solicitudes so licitudes de cambio de emisiones y planes de implementación.
BIBLIOGRAFÍA Parte 1:Conceptos y vocabulario vocabu lario [1] ISO / IEC 20000-2:2008, Tecnología de la información - Gestión G estión del servicio – Parte2: Código de buenas prácticas [2] ISO / IEC TR 20000-3, Tecnología de la información - Gestión del servicio Parte 3: Guía para la determinación del alcance y aplicabilidad de la norma ISO / IEC 20000-1
[3] ISO / IEC TR 20000-4, 20000-4 , Tecnología de la información - Gestión del servicio Parte 4: La referencia del proceso proce so Modelo
[4] ISO / IEC TR 20000-5, Tecnología de la información - Gestión del servicio Parte 5: Ejemplo de un plan de implementación de la norma ISO / IEC 20000-1 [5] ISO 9000:2005, Sistemas de gestión de la calidad - Fundamentos y vocabulario [6] ISO 9001, sistemas de gestión de la calidad - Requisitos [7] ISO 9004:2000, Gestión para el éxito sostenido de una organización - Un
enfoque de la gestión de la calidad [8] ISO 10002, Gestión de la calidad - Satisfacción del cliente - Directrices para el tratamiento quejas en las organizaciones o rganizaciones [9] ISO 10007, Sistemas de gestión de la calidad - Directrices para la gestión gestión de configuración
[10] ISO / IEC 15288, Ingeniería de Sistemas y Software - Procesos del d el ciclo de vida sistema [11] ISO / IEC 15504-1, Tecnología de la información - Evaluación del proceso [12] ISO / IEC 15504-2, Tecnología de la información - Evaluación del proceso Parte 2:Llevar a cabo una evaluación [13] ISO / IEC 15504-3, Tecnología de la información - Evaluación del proceso Parte 3:Directrices para la realización de una evaluación [14] ISO 19011, Directrices para el sistema sistema de gestión de calidad de la auditoría y / o ambiental
[15] ISO / IEC 19770-1, Tecnología de la información inf ormación - Gestión de activos de software - Parte 1: Procesos [16] ISO / IEC / IEEE 24765:2010, sistemas e ingeniería de software Vocabulario [17] ISO / IEC 27000:2009, Tecnología de la información informac ión - Técnicas de seguridad - Seguridad de la información sistemas de gestión - Información general gen eral y vocabulario