ARTÍCULO

ISO 20000-2 e ISO 20000-3


imagen iso20000

La ISO 22000 tiene documentos técnicos que forman la familia de ISO20000, donde la ISO/IEC 20000-1 es la referencia para la implantación y posible certificación de un Sistema de Gestión de Servicios de TI.

Destacar la relevancia, entre toda la familia de documento de ISO 20000, de la ISO 20000-2, que es la guía de implantación de los requisitos de la ISO 20000-1. Esta orienta y permite profundizar e implantar con mayor detalle los requisitos exigidos en la ISO 20000-1, de forma sencilla y pragmática. Además tenemos la ISO/IEC 20000-3, que es la guía de buenas prácticas que se debe considerar por los CTOs/CPOs para definir correctamente el alcance y ámbito del SGSTI, en relación con los servicios que provee de forma interna a su organización o de forma externa a sus clientes, ya sea en modalidad on-premise o en cloud. A lo largo del artículo se describirán ambas partes, sus objetivos y como se deben considerar para su correcta aplicación, para obtener una mejor y más adecuada gestión de los servicios de TI en las organizaciones, orientado a objetivos de negocio y considerando las nuevas tecnologías emergentes y disruptivas ya presentes en las organizaciones. Así confirmaremos que segundas y terceras partes siempre son buenas.

1. Segundas y terceras partes de ISO 20000, son referencias obligadas en la Gestión de Servicios de TI

Las actuales tecnologías emergentes y tendencias del mercado en la gestión de servicios como son Cloud, Agile, DevSecOps o Servitización, obligan a que los marcos de referencia en la gestión de servicios de TI se adapten a estas nuevas realidades.

El estándar/norma ISO 20000-1:2018 ó ITIL4 son referencias obligadas en la gestión de servicios de TI. Como es sabido, la ISO 20000-1 detalla los requisitos que se deben cumplir tanto para la mejora continua (PDCA) como para los procesos que dan soporte al servicio (Gestión de Incidentes, Problemas, Cambios, Acuerdos de Nivel de Servicio, etc.). Los requisitos expresan el QUE hacer, pero no COMO hacerlo. Para que las organizaciones tengan un mayor detalle y/o explicación/aclaración de los QUE de la ISO/IEC 20000-1, se desarrolló la Guía de Implantación denominada ISO/IEC 20000-2. La ISO/IEC 20000-2 complementa y desarrolla con más profundidad y con ejemplos, los requisitos de la ISO/IEC 20000-1.  Es decir, detalla el COMO se podría hacer, siempre considerando la estructura, tecnología y los servicios de TI que provee la organización. No olvidemos, que la norma/estándar se debe adaptar a las organizaciones. La ISO/IEC 20000-3, es una guía/documento técnico que orienta sobre la definición del alcance y la aplicabilidad a los requisitos especificados en ISO/IEC 20000-1. Este documento técnico, para el alcance de un SGSTI, propone diferentes escenarios para la provisión de servicios y que procesos se pueden prestar en outsourcing por otros proveedores (por ejemplo, gestión de incidencias, problemas, etc.), salvo el ciclo de mejora continua (Sistema de Gestión de Servicios de TI) que debe estar implantado en la organización responsable de la provisión de los servicios de TI.

2. ISO/IEC 20000-2: Guidance on the application of service management systems.

Esta parte 2 de ISO/IEC 20000 proporciona una guía práctica y con ejemplos (por ejemplo, incluye una posible plantilla para los Acuerdos de Nivel de Servicio (SLA)). La estructura de esta parte 2 (es decir, la numeración, apartados y secuencia de las cláusulas) se alinea con ISO/IEC 20000-1:2018 y los términos utilizados en este documento están en consonancia con los apartados de ISO / IEC 20000-1: 2018.

Para aportar valor, la estructura de la ISO/IEC 20000-2, a partir de la cláusula 4, ofrece tres secciones por cláusula o subcláusula:

a) Actividades requeridas: un resumen de las actividades requeridas por esta cláusula en la norma ISO 20000-1. Tenga en cuenta que este resumen no reproduce las declaraciones de requisitos de la norma ISO 20000-1 ni añade nuevos requisitos, sino que simplemente describe las actividades;

b) Explicación: una explicación del propósito de la cláusula y una orientación práctica sobre el contenido de la misma, incluyendo ejemplos y recomendaciones sobre cómo implementar los requisitos de la norma ISO 20000-1. Cuando es oportuno, se remite a otras partes de la norma ISO 20000 y a otras normas pertinentes;

c) Otra información: orientación sobre las funciones y responsabilidades y sobre la información documentada que apoya la aplicación de un SGSTI. También puede incluirse más información relevante.

Si recordamos la estructura de la serie o familia de normas/estándares de ISO 20000 podremos ver en la Figura 1, en qué punto se ubica a la ISO/IEC 20000-2:

imagen iso v2

Figura 1. Conjunto de normas, guías y documentos de ISO 20000 que componen la serie de normas ISO 20000-1 (Fuente: ISO/IEC 20000-10)

3. ISO/IEC 20000-3: Directrices para la definición del alcance y aplicación de ISO/IEC 20000-1

La ISO/IEC 20000-1 tiene un apartado que trata el alcance del SGSTI dentro del catálogo y portfolio de servicios de TI

Adicionalmente la ISO/IEC 20000-3 como guía técnica nos orienta a que el alcance tenga que:

  • ser tan simple como sea posible;
  • ser entendible sin el conocimiento detallado de la organización del proveedor de servicios de TI;
  • incluir suficiente información para utilizarla en la evaluación de conformidad (posible certificación);
  • estar redactada de manera que todas las exclusiones queden claras;

Y las características a considerar por el proveedor de servicios de TI son las siguientes:

  • unidades organizativas que prestan servicios, por ejemplo, un único departamento, un grupo de departamentos o todos los departamentos;
  • servicios ofrecidos, por ejemplo, un único servicio, un grupo de servicios o todos los servicios, servicios financieros, servicios de distribución, servicios de e-mail;

Un ejemplo de alcance podría ser:

  • El SGSTI de <nombre de la unidad organizativa del proveedor del servicio> que presta el servicio de <servicio(s)>.
  • El SGSTI del área de servicios gestionados de red para los servicios de Cloud Call Center, Virtual SOC, y Hosting de acuerdo al catálogo de servicios TI vigente[1]

El proveedor del servicio no debería incluir los nombres de terceros u organizaciones externas, aunque contribuyan en el SGSTI y los servicios.

El proveedor del servicio puede definir el alcance de su SGSTI geográfica u organizacionalmente idéntico al alcance de otros sistemas de gestión. Por ejemplo, un Sistema de Gestión de Seguridad de la Información (SGSI) – ISO 27001

Si recordamos la estructura de la serie o familia de normas/estándares de ISO 20000 podremos ver en la Figura 1, en qué punto se ubica a la ISO/IEC 20000-3:

   4. Conclusiones.

Un adecuada implantación de la ISO 20000-1 debe apoyarse utilizando como referencia y consulta,  la ISO/IEC 20000-2 para disponer de las mejores prácticas a través de orientaciones y ejemplos. Y considerando, que se ha estructurado en 3 secciones anteriormente indicadas, por cada clausula o subclaúsula de la ISO/IEC 20000-1.

Por su lado, la ISO 20000-3  describe los elementos básicos para una correcta definición de alcance para un Sistema de Gestión de Servicios de TI.

Destacar, que la ISO/IEC 20000-3 Ilustra cómo puede ser definido el alcance de un SGSTI con ejemplos sencillos y otros más complejos basados en escenarios (ver artículo específico en números anteriores de itSMF España).

Por lo tanto, podemos constatar, que las segundas y terceras partes de ISO 20000-1, no solo son buenas, sino necesarias para a permitir implantar un SGSTI orientado a los objetivos del negocio, involucrando a los stakeholders, a la Alta Dirección y personal de las organizaciones; y optimizar recursos y costes, orientando los presupuestos de TI donde la organización tiene mayores riesgos según sus procesos de negocio, lo que permite un ahorro de costes en TIC superfluos.

900 897 931|info@ingertec.com

Ingertec.com Logo

Nueva ISO 20000 2018

Nueva ISO 20000 2018

En la reciente publicación de la norma ISO 20000 en su versión 2018, nos encontramos una versión completamente revisada de la norma internacional para la gestión de servicios ISO 20000 2011

Como ya adelantamos en artículos anteriores en la nueva redacción de la norma se han introducido nuevos requisitos especialmente en las áreas de planificación y entrega del servicio

También se han eliminado las referencias directas al ciclo PDCA en sintonía con las nuevas redacciones de las normas ISO que incorporan la nueva estructura basada en el anexo A. Sin embargo, esto no significa un cambio en la filosofía de la norma en cuanto a su implicación en el ciclo de mejora continua sino al contrario. En las nuevas redacciones el ciclo de mejora continúa se asume de forma implícita dentro de la estructura de la propia norma, dejando abierto el sistema para la aplicación de la mejora continua sin restringirse al modelo PDCA

Por otro lado se pretende que la norma sea un referente en la gestión de la prestación de servicios de una forma más genérica y no restringida solamente a los servicios TI

Resumen de las principales diferencias entre ISO / IEC 20000: 2018 y la edición anterior de 2011

TERMINOS Y DEFINICIONES

Se incluyen nuevos términos específicos comunes a los estándares de sistemas de gestión. Se ha agregado como referencia un documento que recoge la nueva terminología: ISO / IEC 20000-10.

PROVEEDORES

Se han revisado o agregado cláusulas para tener en cuenta la tendencia en la administración de servicios como la gestión de múltiples proveedores de servicios por parte de un integrador de servicios.

FLEXIBILIDAD

Se introduce el concepto de aplicación flexible de ciertos requisitos basándose en los análisis de aplicabilidad en la adopción de procesos. De esta forma se facilita la aplicación del marco normativo en las empresas

MEJORA CONTINUA

Se da más importancia aun si cabe a la mejora continua. Para ello se ha introducido un requisito explícito para «establecer, implementar, mantener y mejorar continuamente un sistema de gestión de servicios (SMS Service Management System)».

CICLO PDCA

Se han suprimido las referencias a la metodología «PDCA» («Planificar-Hacer-Verificar-Actuar») no porque no se tengan en cuenta sino para dar la posibilidad de utilizar otros métodos de mejora continua compatibles con el sistema de gestión.

CONTEXTO DE LA ORGANIZACION

Se da mayor importancia mediante nuevos requisitos a la identificación del  contexto de la organización y a las acciones para abordar los riesgos y oportunidades.

DOCUMENTACION

Se han actualizado los requisitos de información documentada en cuanto a que no se requieren una serie de procedimientos documentados y registros concretos. La norma va especificando la necesidad de documentar como la forma de evidenciar los cumplimientos de los requisitos de la misma

SOPORTE

Se añaden nuevos requisitos para la gestión de los recursos, la competencia y el conocimiento

GESTION DE SERVICIOS

Nuevas clausulas par la:

  • Planificación del Servicio
  • Gestión de activos
  • Gestión de la demanda
  • Gestión de solicitudes de servicio
  • Gestión de la entrega de servicio

GESTION DE INCIDENTES

Se considera un apartado especial para la gestión de incidentes independiente de los requisitos para la gestión de las solicitudes de servicio

Estructura de la nueva norma ISO 20000:2018

4. CONTEXTO DE LA ORGANIZACION

Este apartado constituye una novedad como tal, si bien incluye requisitos de la versión anterior de 2011 se refiere a la necesidad de identificar el contexto de la organización de una forma más amplia y genérica. EL contexto de la organización debe tener en cuenta:

  • Cualquier factor interno y externo que afecte a la organización y su capacidad para lograr los resultados esperados
  • Cualquier parte interesada y sus requerimientos.

5. LIDERAZGO

En la nueva redaccion de la norma

  • Entregar servicios de valor a los clientes
  • La calidad y la gestión del ciclo de vida completo del producto, desde su diseño hasta la post-venta
  • La responsabilidad de integrar el sistema de gestión dentro de los procesos de la organización
  • La responsabilidad en la asignación de los roles, tareas y obligaciones en los procesos del sistema de gestión y de toda la organización
  • El liderazgo en la comunicación e implicación de toda la empresa en los objetivos de la organización y en concreto del sistema de Gestión de servicios
  • Asegurar el compromiso de toda la organización en el proceso de mejora continua

6. Planificación

Como novedad sobre la versión anterior, la planificación de los servicios debe tener en cuenta:

  • Se deben establecer objetivos para cada nivel de servicio
  • Debe tener en cuenta el análisis de riesgos en la planificación de los servicios así como realizar un análisis de oportunidades
  • Se debe realizar un análisis de riesgos con requisitos específicos definidos en la norma

7. Soporte

En cuanto a los temas de soporte relacionados con el soporte del sistema de gestión debe tenerse en cuenta

  • La necesidad de implicación, concienciación y conocimiento de todo el personal de sus responsabilidades, deberes y tareas a desempeñas para contribuir a los resultados del sistema de gestión y del nivel de calidad de los servicios prestados
  • La elaboración de un plan detallado de comunicación donde se consideren requisitos específicos para la comunicación interna y externa recogidos en la norma
  • Se elimina el requisito de documentación para referirse a la información documentada como requisito de cada proceso como evidencia de cumplimiento a los requisitos de la norma. No se distingue entre documentación procedimental y registros
  • Los requisitos de control documental se reducen al control de la disponibilidad, accesibilidad y protección
  • Se incluyen requisitos para considerar dentro de la información documentada los contratos y acuerdos con proveedores
  • La gestión del conocimiento debe gestionarse en cuanto a:
    • Cubrir las necesidades de conocimientos determinadas por los servicios
    • La adquisición de conocimientos ante cambios en los servicios

8. Operación

  • Requisitos para el control de cambios en el
    • SGS (sistema de Gestión de Servicios)
    • Planificación y diseño de servicios
    • Prestación de servicios
  • Requisitos la integración de servicios prestados por terceros
  • Requisitos para la planificación de servicios
    • Identificación de servicios críticos
    • Operación de servicios por terceras partes
    • Elaboración de catálogos de servicios
  • Requisitos para la Gestión de la configuración
    • Se elimina el requisito de bases de datos CMDB para la gestión de la configuración introduciendo el termino más amplio de “información de la configuración”
    • Los datos de configuración deben estar en consonancia con la criticidad y clasificación de los servicios
  • Requisitos en acuerdos con proveedores
    • Se quitan clausulas demasiado detalladas
    • Se establecen procesos genéricos que garanticen la inclusión de requisitos sobre servicios así como las responsabilidades y obligaciones contractuales
  • Requisitos sobre la oferta y la demanda
    • Se eliminan los requisitos sobre los planes de capacidad
    • Requisitos mas genéricos para la gestión de la capacidad
    • Desaparecen los factores específicos que controlaban la capacidad del servicio
    • Sobre presupuestos y contabilidad de servicios se exige realizar esta tarea pero con menos requisitos específicos
  • Diseño de servicios
    • El control de nuevos servicios y servicios modificados se integra en el concepto de “Gestión del Cambio”
    • La evaluación de cambios considerara los impactos y los riesgos potenciales de los nuevos servicios y modificados en todo su ciclo de vida (Diseño, desarrollo, implementación y post venta)
    • Se introducen requisitos para la transferencia de servicios
    • Nuevos requisitos para considerar la seguridad de la información en todas las fases del ciclo de vida de los servicios
    • Nuevos requisitos para evaluar la seguridad de la información en proveedores externos

9. Evaluación del desempeño

  • Nuevos requisitos para el monitoreo y medición de la eficacia del SGS
  • El proceso de revisión por la dirección debe incluir evaluaciones del rendimiento medio además de la efectividad del SGS y de los servicios
  • El apartado sobre informes se reforma para quitar obligaciones demasiado específicas de la versión anterior

10. Mejora

  • Aunque ya se incluían clausulas sobre las acciones correctivas y no conformidades en la nueva versión se estructura de forma más coherente las clausulas sobre estos aspectos en el apartado de mejora continua
  • La guía para realizar la evaluación del sistema de gestión SGS debe ser el cumplimiento de los objetivos del negocio

[1] Fuente: AENOR establece en sus alcances la traza del SGSTI y los servicios, de acuerdo con el catálogo de servicios que son vigentes cuando se realizan las auditorías de certificación.

Series ISO 22000:2018: cambios fundamentales de la versión 2011

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies