Post on 05-Dec-2014
Conociendo la norma ISO 20000
www.telefonica.es/empresas
� Presentación de la Norma ISO 20000
� ¿Qué es la norma ISO 20000?
� Evolución y Transición de ITIL a ISO 20000
� Entorno de Certificación
� ISO 20000: Una Norma en Dos Partes
� Contenidos de la Norma
� Esquema General de ISO 20000
� Diferencias entre ITIL & ISO 20000
� El Sistema de Gestión (SGSIT)
� La Mejora Continua y el PDCA
� Detalle de Procesos
� Beneficios de la Certificación
Índice
ISO 20000 es el primer estándar internacional
específico para la Administración de Servicios de TI en el que se describen
una serie de procesos orientados a lograr una
entrega efectiva de servicios a los clientes/usuarios de TI,
además proporciona un sistema reconocido y probado de gestión.
ISO20000 ISO20000
¿Qué es la norma ISO 20000?
Los principios básicos de ITIL se han incorporado en primer lugar en BS15000 y ahora ISO20000.
Gracias a ello, las organizaciones pueden medir la efectividad de sus servicios de TI con un estándar
internacional específicamente diseñado para cada función de los servicios TI. Un gran número de
organizaciones están ahora adoptando ISO 20000 como un requisito clave para conseguir o al menos
medir la eficiencia de su Gestión de Servicio en TI.
Los principios básicos de ITIL se han incorporado en primer lugar en BS15000 y ahora ISO20000.
Gracias a ello, las organizaciones pueden medir la efectividad de sus servicios de TI con un estándar
internacional específicamente diseñado para cada función de los servicios TI. Un gran número de
organizaciones están ahora adoptando ISO 20000 como un requisito clave para conseguir o al menos
medir la eficiencia de su Gestión de Servicio en TI.
ITIL es el marco de mejores practicas que sirvió de base
principal a la elaboración de las normas BS 15000 y ISO 20000.
ITILITIL(Gestión Servicios)
2000 2005 2006
BS15000 ISO20000 UNE-ISO20000
2007
Evolución del estándar ISO
20000
Evolución y Transición de ITIL a ISO 20000
20071985
19891998
2007
Primera publicación ITIL:Service Level Management
2001
ITIL v.1:42 Libros
ITIL v.2:7 Libros
ITIL v.3:5 Libros
Entorno de Certificación
Entidades Relevantes en el Entorno de la Certificación ISO 20000. Entidades Relevantes en el Entorno de la Certificación ISO 20000.
Organización Internacional para la Estandarización (En inglés: International Organization for Standardization - ISO) es una
Organización Internacional para la Estandarización, creada en Febrero de 1947 y con sede en Ginebra, que cuenta con la
representación de 153 países con el objetivo de lograr la coordinación internacional y la unificación de estándares en la industria.
La ISO Coopera estrechamente con la IEC que es responsable de la estandarización de equipos eléctricos.
Britich Standards Institute (BSI), es la compañía líder mundial en inspecciones y certificaciones. Como el primer cuerpo nacional
de normas de Reino Unido y uno de los miembros fundadores de la Organización Internacional para la Estandarización
(International Organization for Standardization ISO), BSI facilitó y publicó las primeras normas comerciales para dirigir sistemas
administrativos de calidad, medio ambiente, seguridad y salud ocupacional, y administración de proyectos.
Asociación Española de Normalización y Certificación (AENOR), es una entidad dedicada al desarrollo de la normalización y la
certificación (N+C) en todos los sectores industriales y de servicios. AENOR se autodefine como una "entidad española, privada,
independiente, sin ánimo de lucro, reconocida en los ámbitos nacional, comunitario e internacional, y que contribuye, mediante el
desarrollo de las actividades de normalización y certificación (N+C) a mejorar la calidad en las empresas, sus productos y
servicios, así como a proteger el medio ambiente y, con ello, el bienestar de la sociedad".
Entidad Nacional de Acreditación (ENAC) es una entidad privada, independiente y sin ánimo de lucro cuya función es coordinar y
dirigir en el ámbito nacional un Sistema de Acreditación conforme a criterios y normas internacionales.
ENAC acredita organismos que realizan actividades de evaluación de la conformidad, sea cual sea el sector en que desarrolle su
actividad, su tamaño, su carácter público o privado, o su pertenencia a asociaciones o empresas, universidades u
organizaciones de investigación.
El IT Service Management Forum (itSMF) es una red mundial de grupos de usuarios de las TI que ofrecen mejores prácticas y
guías basadas en estándares para la provisión de Servicios de TI sin compromisos con ningún proveedor.
El itSMF es la única organización internacional independiente reconocida, dedicada a la gestión de servicios de TI, que ejerce
una gran influencia en el desarrollo y promoción de un código estandarizado de mejores prácticas mundiales en este ámbito y
trabaja con un gran abanico de organismos gubernamentales.
ISO 20000: Una Norma en Dos Partes
Descripción de IS20000:
El estándar se compone de dos documentos y la conjunción con disciplinas como ITIL®, Seguridad, ISO17799, COBIT® y planeación estratégica de TI, además de una fuerte dosis de calidad y su proceso formal de planear-hacer-verificar-actual (plan-do-check-act) como parte de una estrategia de mejora continua para TI.
ISO 20000:1 - Especificaciones
ISO 20000:2 - Código de prácticasUNE/ISO-IEC 20000
Norma Española para la Gestión de TI
Próximamente
Contenidos de la Norma
Idénticos índices para
ambas partes de la norma
Proceso de Provisión de
Nuevos Servicios o
Evolución de los
ExistentesCinco Grupos de Procesos
(13 Procesos en Total)
Sistema de Gestión
(Similar a ISO 9000)
Y
PDCA
Sistema de Gestión Servicios TI (SGSIT)Sistema de Gestión Servicios TI (SGSIT)
Planificación e implementación de la gestión del servicioPlanificación e implementación de la gestión del servicio
Esquema General de ISO 20000
Planificación e implementación de servicios, nuevos o modificados
Procesos de provisión de servicio
Procesos de control
Proceso de
entrega Procesos de
resolución
Procesos de
relaciones
Gestión de la capacidad
Gestión de la
continuidad y
disponibilidad del
servicio
Gestión de la seguridad
de la información
Presupuestos y
contabilidad de
servicios de TI
Gestión del nivel de servicio
Informes del servicio
Gestión de la entregaGestión del incidente
Gestión de relaciones
con el negocio
Gestión de suministradoresGestión del problema
Gestión de la configuración
Gestión del cambio
Sistema de GestiSistema de Gestióón Servicios TI (SGSIT)n Servicios TI (SGSIT)Sistema de GestiSistema de Gestióón Servicios TI (SGSIT)n Servicios TI (SGSIT)
PlanificaciPlanificacióón e implementacin e implementacióón de la gestin de la gestióón del servicion del servicioPlanificaciPlanificacióón e implementacin e implementacióón de la gestin de la gestióón del servicion del servicio
Planificación e implementación de servicios, nuevos o modificadosPlanificación e implementación de servicios, nuevos o modificados
Procesos de provisión de servicio
Procesos de control
Proceso de
entrega Procesos de
resolución
Procesos de
relaciones
Gestión de la capacidad
Gestión de la
continuidad y
disponibilidad del
servicio
Gestión de la seguridad
de la información
Presupuestos y
contabilidad de
servicios de TI
Gestión del nivel de servicio
Informes del servicio
Gestión de la entregaGestión del incidente
Gestión de relaciones
con el negocio
Gestión de suministradoresGestión del problema
Gestión de la configuración
Gestión del cambio
Diferencias entre ITIL & ISO 20000
GestiGestióón de Aplicacionesn de Aplicaciones
Provisión del Servicio
Gestión del Nivel de Servicio
Gestión de la Disponibilidad
Gestión de la Capacidad
Gestión de la Continuidad
Gestión Financiera
Provisión del Servicio
Gestión del Nivel de Servicio
Gestión de la Disponibilidad
Gestión de la Capacidad
Gestión de la Continuidad
Gestión Financiera
Soporte del Servicio
Gestión del Incidente
Gestión del Problema
Gestión de la Configuración
Gestión del Cambio
Gestión de la Entrega
Soporte del Servicio
Gestión del Incidente
Gestión del Problema
Gestión de la Configuración
Gestión del Cambio
Gestión de la Entrega
Gestión de Infraestructuras TIC
Diseño y Planificación
Despliegue
Operaciones
Soporte Técnico
Gestión de Infraestructuras TIC
Diseño y Planificación
Despliegue
Operaciones
Soporte Técnico
Gestión de la SeguridadGestión de la Seguridad
PlanificaciPlanificacióón para la Implantacin para la Implantacióón de la Gestin de la Gestióón del Servicion del Servicio
Perspectiva del Negocio
El Sistema de GestiónSGSIT - Sistema de Gestión de Servicios IT
Objetivo: Proveer un
sistema de gestión que
incluya políticas y un
marco de trabajo para
hacer posible una
efectiva gestión e
implementación de
todos los servicios TI.
Objetivo: Proveer un
sistema de gestión que
incluya políticas y un
marco de trabajo para
hacer posible una
efectiva gestión e
implementación de
todos los servicios TI.
Planes
SLAs
Objetivos
procesos y procedimientos
Registros
Sistema de
Gestión
PlanificaciPlanificacióón e implementacin e implementacióón de la gestin de la gestióón del servicion del servicioPlanificaciPlanificacióón e implementacin e implementacióón de la gestin de la gestióón del servicion del servicio
Planificación e implementación de servicios, nuevos o modificadosPlanificación e implementación de servicios, nuevos o modificados
Procesos de provisión de servicio
Procesos de control
Proceso de
entrega Procesos de
resolución
Procesos de
relaciones
Gestión de la capacidad
Gestión de la
continuidad y
disponibilidad del
servicio
Gestión de la seguridad
de la información
Presupuestos y
contabilidad de
servicios de TI
Gestión del nivel de servicio
Informes del servicio
Gestión de la entregaGestión del incidente
Gestión de relaciones
con el negocio
Gestión de suministradoresGestión del problema
Gestión de la configuración
Gestión del cambio
Políticas de gestión de servicios
La Mejora Continua y el PDCA
Sistema de GestiSistema de Gestióón Servicios TI (SGSIT)n Servicios TI (SGSIT)Sistema de GestiSistema de Gestióón Servicios TI (SGSIT)n Servicios TI (SGSIT)
PlanificaciPlanificacióón e implementacin e implementacióón de la gestin de la gestióón del servicion del servicioPlanificaciPlanificacióón e implementacin e implementacióón de la gestin de la gestióón del servicion del servicio
Planificación e implementación de servicios, nuevos o modificadosPlanificación e implementación de servicios, nuevos o modificados
Procesos de provisión de servicio
Procesos de control
Proceso de
entrega Procesos de
resolución
Procesos de
relaciones
Gestión de la capacidad
Gestión de la continuidad y
disponibilidad del
servicio
Gestión de la seguridad
de la información
Presupuestos y contabilidad de
servicios de TI
Gestión del nivel de servicio
Informes del servicio
Gestión de la entregaGestión del incidente
Gestión de relaciones
con el negocio
Gestión de suministradoresGestión del problema
Gestión de la configuración
Gestión del cambio
ISO 20000:1
8.2 Gestión del incidente
Objetivo: Restaurar el servicio acordado con el negocio tan pronto como sea posible o responder a peticiones de servicio.
Se deben registrar todos los incidentes.
Se deben adoptar procedimientos para gestionar el impacto de los incidentes.
Los procedimientos deben definir: el registro, la priorización, el impacto en el negocio, la clasificación, la actualización, el escalado, la resolución y el cierre formal, de todos los incidentes.
Se debe mantener informado al cliente del progreso del incidente del que haya informado o de su solicitud de servicio, y se le debe alertar por adelantado sobre si sus niveles de servicio no se pueden satisfacer, acordando con él las acciones a tomar.
Todo el personal implicado en la gestión del incidente debe tener acceso a información relevante como, por ejemplo: errores conocidos, resoluciones de problemas y la base de datos de gestión de la configuración.
Los incidentes graves se deberán clasificar y gestionar de acuerdo con un proceso.
ISO 20000: Detalle de Procesos - Incidente
ISO 20000:2
8.2 Gestión del incidente
Objetivo: Restaurar el servicio acordado con el negocio tan pronto como sea posible o responder a peticiones de servicio.
8.2.1 Generalidades
……………
El proceso de gestión del incidente debería incluir lo siguiente:
a) la recepción, el registro, la asignación de prioridad y la clasificación de llamadas;b) la resolución de primera línea o la derivación;
c) la consideración de cuestiones de seguridad;d) el seguimiento y la gestión del ciclo de vida de los incidentes;
e) la verificación y el cierre de los incidentes;f) el contacto de primera línea con los clientes;
g) el escalado.
……………
8.2.2 Incidentes graves
……………
ISO 20000:1
6.1 Gestión del nivel de servicio
Objetivo: Definir, acordar, registrar y gestionar los niveles de servicio.
Se deben acordar por las partes, y registrar, el conjunto total de los servicios a ser provistos, junto a los correspondientes objetivos de nivel de servicio y las características de la carga de trabajo que deben soportar.
Cada servicio ofrecido se debe definir, acordar y documentar en uno o más Acuerdos de Nivel de Servicio (ANSs).
Se deben acordar y registrar por todas las partes relevantes: los ANSs, junto con los acuerdos de servicios de soporte, los contratos con suministradores y los correspondientes procedimientos.
Los ANSs deben estar bajo el control de la gestión del cambio.
Los ANSs se deben mantener mediante revisiones periódicas por las partes, para asegurar que se encuentran actualizados y son efectivos con el transcurso del tiempo.
Los niveles de servicio se deben monitorizar y se deben generar informes de ellos con relación a los objetivos, mostrando tanto la información actual, como las tendencias. Las razones de los incumplimientos se deben comunicar y revisar. Las acciones de mejora definidas durante este proceso se deben registrar y constituyen unas entradas al plan de mejora del servicio.
ISO 20000: Detalle de Procesos – Nivel de Servicio
ISO 20000:2
6.1 Gestión del nivel de servicio
Objetivo: Definir, acordar, registrar y gestionar los niveles de servicio.
6.1.1 Catálogo de servicios
6.1.2 Acuerdos de nivel de servicio (ANS)
Todo servicio debería ser formalmente documentado en un acuerdo de nivel de servicio(ANS). El ANS debería estar autorizado formalmente por la dirección del cliente y los representantes del proveedor del servicio. El ANS debería estar sujeto a la gestión de cambios, así como el servicio que describe.
……………
El contenido mínimo que debería tener un ANS, o que se debería referenciar desde él, es el siguiente:
a) descripción breve del servicio;
b) periodo de validez y/o mecanismo de control de cambios del ANS;
c) detalles sobre autorizaciones;
d) descripción breve de las comunicaciones, incluida la generación de informes;
e) datos de contacto de las personas autorizadas a actuar ante emergencias, participar en la resolución de incidentes y problemas, en la recuperación del servicio o en la aplicación de soluciones temporales;
f) horario de servicio, p. e. de 9:00 a 17:00, y excepciones al mismo (p. e. fines de semana o periodos vacacionales), periodos críticos para el negocio y cobertura fuera del horario;
g) interrupciones planificadas y acordadas, incluido el aviso que debería hacerse, el número por periodo;
………………
t) las excepciones a las cláusulas incluidas en el ANS.
20 Criterios…
ISO 20000:1
7.3 Gestión de suministradores
Objetivo: Gestionar los suministradores para garantizar la provisión sin interrupciones de servicios de calidad.
NOTA 1 El ámbito de esta norma excluye la selección de suministradores.
NOTA 2 Los suministradores pueden ser utilizados por el proveedor de servicio para el suministro de alguna parte del servicio. Es el proveedor del servicio quien debe demostrar el cumplimiento de estos procesos de gestión de suministradores. Pueden existir relaciones complejas, como demuestra el siguiente diagrama utilizado a modo de ejemplo:
El proveedor de servicio debe tener documentados los procesos de gestión de suministradores y debe designar un gestor responsable del contacto para cada suministrador.
Los requisitos, alcance, nivel de servicio y procesos de comunicación a ser proporcionados por el suministrador(es) se deben documentar en ANSs u otros documentos, y acordados por todas las partes.
Los ANSs con los suministradores se deben alinear con los ANSs con el negocio.
Las interfaces entre los procesos utilizados por cada parte se deben documentar y acordar.
Todos los roles y relaciones entre suministradores principales y subcontratados se deben documentar claramente. Los suministradores principales deben ser capaces de demostrar que tienen procesos para garantizar que los subcontratistas cumplen con los requisitos contractuales.
Se debe disponer de un proceso, de periodicidad mínima anual, para la revisión detallada del contrato o del acuerdo formal, que garantice que las necesidades y obligaciones contractuales del negocio se siguen cumpliendo.
Los cambios al contrato(s), si existen, y al ANS(s) deben ser el resultado de estas revisiones, según proceda o cuando sea requerido en cualquier otro momento. Cualquier cambio debe estar sujeto al proceso de gestión del cambio.
Debe existir un proceso para el tratamiento de desacuerdos contractuales.
Debe existir un proceso para gestionar la finalización normal o anticipada de un servicio, o la transferencia del mismo a un tercero.
Se deben monitorizar y revisar el rendimiento y prestaciones frente a los objetivos de nivel de servicio. Las acciones de mejora identificadas durante este proceso se deben registrar y utilizar como información de entrada al plan de mejora del servicio.
ISO 20000: Detalle de Procesos – Gestión de Suministradores
Suministrador 1
Suministrador 2
SuministradorPrincipal 3
SuministradorSubcontratado 4
Servicio (internoo externo)
Negocio
Suministrador 1
Suministrador 2
SuministradorPrincipal 3
SuministradorSubcontratado 4
Proveedor del Servicio (interno
o externo)Negocio
ISO 20000:2
7.3 Gestión de suministradores
Objetivo: Gestionar los suministradores para garantizar la provisión sin interrupciones de servicios de calidad.
7.3.1 Introducción
Los procedimientos de gestión de suministradores deberían garantizar que:
a) el suministrador entiende sus obligaciones frente al proveedor del servicio;
b) los requisitos acordados y legítimos son cumplidos dentro del alcance y los niveles de servicio acordados;
c) los cambios son gestionados;
d) se registran las transacciones de negocio entre todas las partes;
e) se puede controlar la información sobre el desempeño de todos los suministradores y actuar en consecuencia.
7.3.2 Gestión de contratos
El proveedor del servicio debería designar un responsable para hacerse cargo de los contratos y acuerdos con los suministradores. En el caso de que haya todo un grupo de gestión involucrado en esta tarea, debería haber un proceso común para asegurar que la información sobre el desempeño de los suministradores se controla y se actúa consecuentemente.
……..
7.3.3 Definición del servicio
Para cada servicio y suministrador el proveedor del servicio debería mantener:
a) una definición de servicios, roles y responsabilidades;
……..
7.3.4 Gestión de múltiples suministradores
Debería quedar claro si el proveedor del servicio trata con todos los suministradores de forma directa o mediante un suministrador principal que toma la responsabilidad de los suministradores subcontratados.
……..
7.3.5 Gestión de los conflictos contractuales
Tanto el proveedor del servicio como el suministrador deberían funcionar conforme a un proceso para gestionar los conflictos, el cual se debería definir o referenciar dentro del contrato.
……..
7.3.6 Fin del contrato
El proceso de gestión de contratos debería contemplar la extinción del contrato (tanto planificada, como prematura). También debería proporcionar un mecanismo de transferencia del servicio a otra organización.
ISO 20000:1
6.2 Generación de informes del servicio
Objetivo: Generar los informes acordados, en plazo, fiables y precisos, para una toma de decisiones bien informada y para una comunicación efectiva.
Se debe describir claramente cada informe de servicio, incluyendo: su identificador, el propósito, la audiencia y los detalles del origen los datos.
Los informes del servicio se deben generar para verificar si se cumplen los requisitos y necesidades de los usuarios. Los informes de servicio deben incluir:
a) el rendimiento y prestaciones frente a los objetivos de nivel de servicio;
b) los incumplimientos y asuntos relacionados, por ejemplo: de los ANS o agujeros de seguridad;
c) las características de la carga de trabajo, por ejemplo: volúmenes o utilización de recursos;
d) los informes de resultados de los principales eventos, por ejemplo: principales incidentes graves y cambios;
e) información sobre tendencias;
f) análisis de satisfacción.
Las decisiones de gestión y las acciones correctoras deben tener en cuenta los aspectos destacados en los informes de servicio y deben comunicarse a las partes implicadas.
ISO 20000: Detalle de Procesos – Informes
ISO 20000:2
6.2 Generación de informes del servicio
Objetivo: generar los informes acordados, a tiempo, fiables y reales para una toma de decisiones basada en la información y una comunicación efectiva
……………
6.2.1 Política
Los requisitos de la generación de informes para clientes y gestión interna se deberían acordar y registrar.
La supervisión del servicio y la generación de informes abarca todos los aspectos medibles del servicio, proporcionando datos actuales e históricos.
…………..
6.2.2 Propósito de los informes de servicio y verificación de su calidad
Los informes de servicio se deberían generar a tiempo, claros, fiables y concisos.
……………
Se deberían generar distintos tipos de informes:
a) informes reactivos, que muestran lo que ha ocurrido;
b) informes proactivos, que avisen por adelantado de eventos significativos con objeto de permitir que se puedan realizar acciones preventivas de antemano (por ejemplo, informes sobre inminentes rupturas de los ANSs);
c) informes planificados previamente que señalen actividades planificadas.
6.2.3 Informes de servicio
El proveedor del servicio debería generar informes para los clientes y la dirección que cubran los siguientes aspectos:
a) rendimiento y prestaciones frente a objetivos de nivel de servicio, p. e. informes de caídas del servicio, logros;
b) no conformidades frente a estándares;
c) características de la carga de trabajo y volúmenes de la información, p. e. incidentes, problemas, cambios y tareas, clasificaciones, ubicaciones, clientes, tendencias estacionales, mezcla de prioridades, número de peticiones de ayuda;
d) informes de resultados tras eventos de alto nivel, por ejemplo cambios y entregas;
e) información de tendencias por periodos (p. e. diaria, semanal, mensual, anual);
f) informes que incluyan información de cada proceso, p. e. número de incidentes y preguntas más frecuentes, componentes de la infraestructura poco fiables, tareas que consumen gran número de recursos económicos, técnico o humanos;
g) informes para destacar cargas de trabajo futuras o planificadas.
Beneficios de la Certificación
Modificar una organización de TI para alinearla con los requisitos expresados en la norma ISO20000
tomará cierto tiempo y conducirá con frecuencia hacia cambios organizacionales. Sin embargo, los
beneficios de tener comprobadas las mejores prácticas para la provisión de los Servicios de TI son los
siguientes:
Modificar una organización de TI para alinearla con los requisitos expresados en la norma ISO20000
tomará cierto tiempo y conducirá con frecuencia hacia cambios organizacionales. Sin embargo, los
beneficios de tener comprobadas las mejores prácticas para la provisión de los Servicios de TI son los
siguientes:
�Tener un negocio más competitivo
�Contar con estrategias de TI alineadas con las
estrategias del negocio
�Administración y reducción de riesgos
�Administración y reducción de costos
�Mayor agilidad para la implementación de cambios
�Mejoras en la confiabilidad y disponibilidad de los
servicios, lo que conduce a mejoras en la satisfacción
de los clientes
�Proveedores y socios más integrados y enfocados en
los servicios que se prestan
�Posibilidad de comparar con otras organizaciones
�Tener un negocio más competitivo
�Contar con estrategias de TI alineadas con las
estrategias del negocio
�Administración y reducción de riesgos
�Administración y reducción de costos
�Mayor agilidad para la implementación de cambios
�Mejoras en la confiabilidad y disponibilidad de los
servicios, lo que conduce a mejoras en la satisfacción
de los clientes
�Proveedores y socios más integrados y enfocados en
los servicios que se prestan
�Certificación por un tercero imparcial
�Reconocimiento en el mercado
Muchas gracias por su atención
David BATHIELY FERNANDEZ
David.bathiely@telefonica.es
http://www.telefonica.es/empresas