Iso 20000 1- desayuno espiral-aenor chile
-
Upload
siigroupcvteamchile -
Category
Marketing
-
view
348 -
download
2
Transcript of Iso 20000 1- desayuno espiral-aenor chile
AENOR
MODELO TICs AENOR UNE-ISO 20000-1:2011
SGSTI - Sistema de Gestión de Servicios de TI
1
Carlos Manuel FERNÁNDEZ. CISA, CISM
Ingeniero en Informática.
Gerente de TICs (AENOR)
Profesor Máster (UNIR) Vocal del Colegio Profesional de Ingenieros de Informática de Madrid (CPIICM)
Boris DELGADO. CISA, CISM
Ingeniero en Informática.
Auditor Jefe de TICs (AENOR)
Profesor Máster (UNIR)
Antonio José SEGOVIA
Ingeniero Informático
Máster en Seguridad de la Información
Auditor Jefe de TICs (Calificado por AENOR)
Madelein CELIS AZOCAR
Gerente Comercial - AENOR CHILE Tel.: +562 2 499 9200 Cel.: +569 9 642 9383 [email protected] - www.aenorchile.com
AENOR 2
0. Índice
1. AENOR
2. Calidad y Seguridad en las TICs. Modelo de AENOR
3. Sistema de Gestión del Servicio – UNE-ISO/IEC 20000-1:2011. Principales diferencias.
4. Comparativa y diferencias. Cambios en la versión 2011
5. Conclusiones finales
6. Herramientas
7. Bibliografía
AENOR
1. AENOR
3
AENOR
• Asociación privada • Sin ánimo de lucro • Constitución: 1986 • Real decreto 2200/95 • AENOR Corporación • AENOR INTERNACIONAL (10 Sociedades) • Multisectorial • Normalización • Certificación productos, servicios, sistemas
de gestión y personal • Servicios de Formación
1. AENOR
4
AENOR
1. AENOR
ASOCIACIÓN ESPAÑOLA DE NORMALIZACIÓN Y CERTIFICACIÓN
Entidad privada, independiente, sin ánimo de lucro
ACTIVIDADES -Elaborar normas técnicas nacionales (UNE) y participar en la elaboración de normas internacionales -Certificar productos, servicios y empresas (sistemas de gestión)
Entidad designada por el Ministerio de Industria y Energía (R.D. 1614/1985), como entidad para desarrollar las actividades de N+C. Reconocida como Organismo de Normalización y para
actuar como Entidad de Certificación (R.D. 2200/1995)
5
AENOR
29.300 Certificados ISO 9001 1.900 Certificados OHSAS 18001 + 400 Certificados IS0 27001 + 120 Certificados ISO 20000-1 + 40 Certificados SPICE nivel 2 3 Certificados SPICE nivel 3
7.220 Certificados ISO 14000 558 Certificados EMAS
Calidad y Seguridad Medioambiente
Internacional Recursos Humanos
Más de 45 Acuerdos internacionales para certificación de sistemas
Más de 67 Países donde AENOR concedido certificados
500 Auditores/25 auditores TICs
Producto
Más de 100.570 Certificados
Normalización
Más de 30.000 Normas (UNE y Ratificadas)
Cambio Climático
Más de 200 proyectos MDL, AC y Voluntarios
6
1. AENOR : Datos relevantes
AENOR
Normalización
International Standardisation Organisation (ISO)
International Electro-technique Commission (IEC)
European Committee for Electro-technique Standardisation (CENELEC)
Comisión Pan-Americana Normas Técnicas (COPANT)
Certificación
International Certification Network (IQNet)
European Institute for Telecommunications Standardisation (ETSI)
AENOR N+C
3. AENOR N+C
7
European Committee for Standardisation (CEN)
AENOR 8
†
Oficina en República Dominicana
Oficina en Bulgaria
Oficina en Marruecos
CEIS & † laboratorio
Estructura
3. AENOR INTERNACIONAL
AENOR
3. AENOR CHILE
� CONSTITUCIÓN:
Octubre de 2001
� CERTIFICADOS VIGENTES:
786
� CLIENTES DESTACADOS:
• SUPERVISIÓN DE OBRAS E INSTALACIONES : Proyectos 3G y 2G (Nokia, ATC SITIOS DE CHILE y ATC SITIOS DE CHILE)
AENOR
2. Calidad y Seguridad en las TICs. Modelo de AENOR
10
AENOR
2. Calidad y Seguridad en las TICs. Modelo de AENOR
SGCN ISO 22301
Sistema de Gestión Continuidad del Negocio.
Nivel de Madurez. Ciclo de Vida de SW
SPICE ISO 15504 Modelo de Evaluación, Mejora y Madurez de Software
SGAS - SAM ISO 19770-1
Sistema de Gestión Activos Software (Licencias de Software)
SGSI ISO 27001
Sistema de Gestión Seguridad de la Información
ISO 27002 Guía de Controles
ISO 12207 Ciclo de Vida de Desarrollo de
Software
SGSTI ISO 20000-1
Sistema de Gestión Servicios TI
ISO 20000-2 Guía de Buenas Prácticas
Desarrollo de Software Procesos / Servicios
Adicionalmente:
• BPCE – Buenas Práctica Comercio Electrónico
Copyright AENOR. Diciembre 2006
Objetivo: Gobierno y Gestión de las TICs con estándares ISO.
Gobierno de TI ISO / IEC 38500
IT Governance
ISO 25000 Calidad del Producto Software
Funciones del director de TI
Calidad y seguridad en servicios de TI (el día a día)
Creación de Software
La empresa y su continuidad según procesos críticos
Nota: tiene PDCA / Control interno Tecnologías de Información
Datacenter Green. Sostenibilidad Energética en CPDs- SE CPD-
AENOR
PDCA
SGSTI ISO 20000-1
ISO27002 ISO 20000-2
(ITIL)
LIBRERÍA INFRAESTRUCTURA
CPD ?
SGSI ISO 27001
Motor
Conocimiento
ISO.. ISO..
GUIA
S
DE
IMPLANTACION
M
E
T
R
I
C
A
S
2. Concepto de Motor – Conocimiento en TICs
Fte: Tesis doctoral – Carlos Manuel Fernández
12
AENOR
2. Descripción genérica de un proceso
PROCESO -Tareas / Actividades - Procedimientos -Instrucciones Técnicas - Registros (evidencias)
Entradas Salidas
Indicadores / métricas
Relaciones con otros procesos
Un proceso es un conjunto estructurado de actividades diseñado para cumplir un objetivo concreto. Un proceso tiene entradas y salidas. Las organizaciones que persiguen la eficacia en su funcionamiento tienen que identificar y gestionar numerosos procesos que están relacionados entre sí, ya que es frecuente que la salida de un proceso pase directamente a ser la entrada del siguiente proceso.
Nota: es conveniente la utilización de workflows en el proceso 13
AENOR
3. Sistema de Gestión del Servicio – UNE-ISO/IEC 20000-1:2011.
Principales diferencias.
14
AENOR
Formada por dos partes bajo el mismo título: Tecnologías de la Información. Gestión del Servicio
– UNE-ISO/IEC 20000-1:2011. Tecnología de la Información. Gestión del Servicio. Parte 1:
Requisitos del Sistema de Gestión del Servicio (SGS)
• Promueve la adopción de un marco de procesos de gestión, para una provisión de servicios gestionados que están en línea con:
– las necesidades del negocio – con los requisitos de los clientes
• Motor
– ISO/IEC 20000-2:2011 Tecnología de la Información. Gestión del Servicio. Parte 2: Guía de Aplicación del Sistema de Gestión del Servicio (SGS)
• Guía y recomendaciones relativas a las buenas prácticas de la Gestión del Servicio • Conocimiento
Nota : La norma ISO/IEC 20000-2 está actualmente en proceso de traducción al español sin fecha definitiva para su
publicación como norma UNE.
3. UNE -ISO 20000 – Gestión del Servicio
15
AENOR
• Alcance: Que un proveedor de servicios preste servicios gestionados de una calidad aceptable para sus clientes.
• Se basa en ITIL, que es un conjunto de buenas prácticas en la Gestión del
Servicio de TI, desarrollado por la Office of Goverment Comerce (UK).
• Beneficios de ISO 20000-ITIL: – Maximizar la Calidad del servicio – Alinear los servicios de TI a las necesidades del negocio – Reducir Costes – Aumentar la satisfacción del Cliente – Visión clara de la capacidad del departamento de TI – Minimizar el tiempo de ciclo de cambios y mejorar resultados en base a
métricas – Toma de decisiones en base a indicadores de negocio y de TI
Nota: La nueva versión 2011 amplía el concepto de servicio.
3. UNE -ISO 20000 – Sistema de Gestión del Servicio (SGS)
16
AENOR
1.- Gestión del Nivel de Servicio 2-.Informes del Servicio 3.-Gestión de la Capacidad 4.-Gestión de la continuidad y de la disponibilidad del servicio 5.-Gestión de la Seguridad de la Información 6.- Gestión de Presupuestos y contabilidad de los servicios 7.- Gestión de relaciones con el Negocio 8.- Gestión de Proveedores 9.-Gestión de Incidencias y peticiones de servicio 10.- Gestión de Problemas 11.- Gestión de Configuración 12.- Gestión del Cambio 13: Gestión de la entrega y despliegue
ISO 20000-parte 2 (Procesos-Guía)
“P”
“D”
“C”
“A”
Política, Alcance, Catálogo, Plan de Gestión Servicio
Implementar los objetivos y plan de gestión de los servicios Formación, Concienciación.
Revisión por Dirección Auditorías Internas, Métricas e Indicadores, etc.
Mejorar la eficacia y la eficiencia de la prestación y gestión de los servicios Adoptar las acciones correctivas Adoptar las acciones preventivas
3. SGSTI - ISO 20000-1: MODELO PDCA “Plan-Do-Check-Act”
17
AENOR Fte: ISO / IEC 20000-1:2011
3. UNE-ISO/IEC 20000-1:2011 Sistema de Gestión del Servicio (SGS)
Sistema de Gestión del Servicio (SGS)
Diseño y transición de servicios nuevos o modificados
Procesos de control
• Gestión de la configuración • Gestión de cambios
• Gestión de la entrega y despliegue
• Gestión del nivel de servicio
• Informes del servicio
• Gestión de la Seguridad de la Información
• Elaboración de presupuestos y contabilidad de los servicios
Procesos de resolución • Gestión de incidencias y peticiones de servicio
• Gestión de problemas
Procesos de relación • Gestión de relaciones con el negocio
• Gestión de suministradores
• Gestión de la capacidad
• Gestión de la continuidad y disponibilidad del servicio
Procesos de Provisión del Servicio
• Responsabilidad de la Dirección
•Establecer el SGS
•Gobierno de los procesos operados por terceros
•Gestión de la documentación
•Gestión de los recursos
Clientes (y otras partes interesadas)
REQUISITOS DEL SERVICIO
Clientes (y otras partes interesadas)
SERVICIO
18
AENOR
Aspectos más importantes:
– Ciclo de Mejora continua - PDCA (Plan,Do,Check,Act). – Catálogo de Servicios. – Acuerdos de nivel de servicio (SLA’s internos y/ó externos). – CMDB – Base de Datos de Gestión de la Configuración. – Los 13 procesos de ISO 20000-1.
3. UNE -ISO 20000 -1. Sistema de Gestión del Servicio
19
AENOR
Procedimientos
Registros
Manual de SGS
Política(s), objetivos, alcance Plan del Servicio, Catálogo, SLAs
Describe procesos - quién, qué,
cuándo,)
Describe las tareas y las actividades específicas y cómo se realizan
Proporciona las pruebas objetivas del cumplimiento con las exigencias del SGS
Nivel 2
Nivel 3
Nivel 4
Nivel 1
Instrucciones de trabajo, listas de comprobación,
formularios, etc.
3. Documentación del SGS
20
AENOR
1. Mayor armonización con la Norma ISO 9001; 2. Mayor armonización con la Norma ISO/IEC 27001; 3. Cambio en la terminología para reflejar usos internacionales
(referencias a otras ISO); 4. Inclusión de más términos, modificación de algunos, y eliminación
de otros; (de 15 términos en 2007 a 37 términos en 2011). Por ejemplo: CI (Elemento de Configuración), CMDB, la inclusión del término accesibilidad en la
definición de Seguridad de la Información, etc. VER ANEXO I
5. Inclusión del término "sistema de gestión del servicio"; 6. Unificación de los capítulos 3 y 4 de la Norma ISO/IEC 20000-1:2007
para incluir todos los requisitos del sistema de gestión en un solo capítulo;
7. Clarificación de los requisitos para el gobierno de los procesos operados por terceros (solo del 5 al 9);
3. Principales diferencias en la versión 2011
21
AENOR
8. Clarificación de los requisitos para definir el alcance del Sistema de Gestión del Servicio (SGS);
9. Clarificación de que la metodología PDCA aplica al SGS, incluyendo a los procesos de la gestión del servicio, y a los servicios;
10. Inclusión de nuevos requisitos para el diseño y la transición de servicios nuevos o modificados.
11. En la descripción de cada proceso se elimina el párrafo: objetivo 12. El proveedor de servicios considera siempre a “los clientes y partes
interesadas”
13. Se tiende a sustituir “necesidades y/o requisitos del negocio” por “necesidades y/o requisitos del cliente y partes interesadas”
14. En muchos casos se indica explícitamente “debe existir un procedimiento/proceso documentado”. En algunos casos habla de procedimientos o referencias a ellos.
3. Principales diferencias en la versión 2011
22
AENOR
4. Comparativa y diferencias. Cambios en la versión 2011
23
AENOR Fte: ISO / IEC 20000-1:2011
4. UNE-ISO/IEC 20000-1:2011 Sistema de Gestión de Servicios (SGS)
Sistema de Gestión del Servicio (SGS)
Diseño y transición de servicios nuevos o modificados
Procesos de control
• Gestión de la configuración • Gestión de cambios
• Gestión de la entrega y despliegue
• Gestión del nivel de servicio
• Informes del servicio
• Gestión de la Seguridad de la Información
• Elaboración de presupuestos y contabilidad de los servicios
Procesos de resolución • Gestión de incidencias y peticiones de servicio
• Gestión de problemas
Procesos de relación • Gestión de relaciones con el negocio
• Gestión de suministradores
• Gestión de la capacidad
• Gestión de la continuidad y disponibilidad del servicio
Procesos de Provisión del Servicio
• Responsabilidad de la Dirección
•Establecer el SGS
•Gobierno de los procesos operados por terceros
•Gestión de la documentación
•Gestión de los recursos
Clientes (y otras partes interesadas)
REQUISITOS DEL SERVICIO
Clientes (y otras partes interesadas)
SERVICIO
24
AENOR
4. Ejemplos. UNE – ISO/IEC 20000-1: Apartado 4. REQUISITOS GENERALES
1. Ejemplo de Alcance
2. Ejemplo de plantilla de Catálogo de Servicios
3. Ejemplo de Objetivos de Gestión de Servicios
4. Ejemplo de plantilla de un Plan de Gestión del Servicio
25
AENOR
4. Ejemplo de Alcance
“El sistema de gestión para la prestación de servicios (de TI) de hosting, housing, correo colaborativo y mantenimiento correctivo/preventivo de aplicaciones tipo ERP, de acuerdo al catálogo de servicios vigente.” Nota1: diferenciar la redacción breve del alcance, con la definición en detalle del alcance. Así en el apartado 4.5.1 Definir el alcance de UNE-ISO/IEC 20000-1:2011, indica que el proveedor de servicio debe definir e incluir el alcance del SGS en el plan de gestión de servicio. Se deben considerar los siguiente parámetros en la definición:
a) unidades organizativas que prestan el servicio, por ejemplo, un solo departamento, grupo de departamentos o todos los departamentos; b) servicios que se ofrecen, por ejemplo, un solo grupo, o todos los servicios, servicios financieros, servicios de correo electrónico; c) lugar geográfico en que el proveedor de servicios presta los servicios, por ejemplo, un solo emplazamiento o un grupo de emplazamientos, local o global; d) clientes y su ubicación, por ejemplo, uno de los clientes, varios clientes, los clientes externos o internos; e) La tecnología utilizada para prestar los servicios.
Nota2: se recomienda la lectura de UNE-ISO 20000-3-2011. Directrices para la definición del alcance y aplicabilidad de la norma ISO/IEC 20000-1 26
AENOR
4. Ejemplo de plantilla de Catálogo de Servicios
El catálogo de servicios debería incluir la siguiente información: a) el nombre y la descripción del servicio; b) objetivos de servicio, por ejemplo, tiempo para cumplir con una solicitud de tiempo para restablecer un servicio después de una incidencia; c) los puntos de contacto; d) horas de servicio, horas de soporte y excepciones; e) medidas de seguridad; f) servicios actuales; g) dependencias entre los servicios y componentes de servicios, por ejemplo, un Centro de Atención a Usuarios incluye soporte de aplicaciones, soporte para acceso a Internet y soporte de los equipos, cada uno de los cuales pueden ser proporcionados por diferentes proveedores o grupos internos.
27
AENOR
4. Ejemplo de Objetivos de Gestión de Servicios
Los objetivos deben estar alineados con los objetivos del negocio y con la política de gestión del servicio. Por ejemplo, los objetivos de gestión de servicios pueden incluir lo siguiente: Objetivo1: Desplegar en producción de forma más rápida los servicios nuevos o modificados; Objetivo2: optimizar el coste de los servicios prestados reduciendo costes operativos; Objetivo3: mejorar en un 0.1% los SLAs de los servicios más críticos;
28
AENOR
4. Ejemplo de plantilla de un Plan de Gestión del Servicio
Debe contener (o referenciar): 1. objetivos de la gestión del servicio a alcanzar por el proveedor del servicio; 2. requisitos del servicio; 3. limitaciones conocidas que pueden afectar al SGS; 4. las políticas, normas, requisitos legales y regulatorios, y obligaciones
contractuales; 5. estructura de autoridades, responsabilidades y roles del proceso; 6. autoridades y responsabilidades de los planes, los procesos de gestión del
servicio y servicios; 7. recursos humanos, técnicos, financieros y de información necesarios para
alcanzar los objetivos de gestión del servicio; 8. enfoque a adoptar para trabajar con terceros involucrados en el proceso de
diseño y transición de servicios nuevos o modificados; 9. enfoque a adoptar para las interfaces entre los procesos de gestión del servicio y
su integración con el resto de componentes del SGS; 10. enfoque a adoptar para la gestión de riesgos y los criterios para la aceptación de
riesgos; 11. tecnología utilizada para soportar el SGS; 12. cómo se medirá, auditará, informará y mejorará la eficacia del SGS y los servicios
29
AENOR Fte: ISO / IEC 20000-1:2011
4. UNE-ISO/IEC 20000-1:2011 Sistema de Gestión de Servicios (SGS)
Sistema de Gestión del Servicio (SGS)
Diseño y transición de servicios nuevos o modificados
Procesos de control
• Gestión de la configuración • Gestión de cambios
• Gestión de la entrega y despliegue
• Gestión del nivel de servicio
• Informes del servicio
• Gestión de la Seguridad de la Información
• Elaboración de presupuestos y contabilidad de los servicios
Procesos de resolución • Gestión de incidencias y peticiones de servicio
• Gestión de problemas
Procesos de relación • Gestión de relaciones con el negocio
• Gestión de suministradores
• Gestión de la capacidad
• Gestión de la continuidad y disponibilidad del servicio
Procesos de Provisión del Servicio
• Responsabilidad de la Dirección
•Establecer el SGS
•Gobierno de los procesos operados por terceros
•Gestión de la documentación
•Gestión de los recursos
Clientes (y otras partes interesadas)
REQUISITOS DEL SERVICIO
Clientes (y otras partes interesadas)
SERVICIO
30
AENOR Fte: ISO / IEC 20000-1:2011
4. UNE-ISO/IEC 20000-1:2011 Sistema de Gestión de Servicios (SGS)
Sistema de Gestión del Servicio (SGS)
Diseño y transición de servicios nuevos o modificados
Procesos de control
• Gestión de la configuración • Gestión de cambios
• Gestión de la entrega y despliegue
• Gestión del nivel de servicio
• Informes del servicio
• Gestión de la Seguridad de la Información
• Elaboración de presupuestos y contabilidad de los servicios
Procesos de resolución • Gestión de incidencias y peticiones de servicio
• Gestión de problemas
Procesos de relación • Gestión de relaciones con el negocio
• Gestión de suministradores
Procesos de Provisión del Servicio
• Responsabilidad de la Dirección
•Establecer el SGS
•Gobierno de los procesos operados por terceros
•Gestión de la documentación
•Gestión de los recursos
• Gestión de la capacidad
• Gestión de la continuidad y disponibilidad del servicio
Clientes (y otras partes interesadas)
REQUISITOS DEL SERVICIO
Clientes (y otras partes interesadas)
SERVICIO
31
AENOR
4. Ejemplos. Registros y documentos del proceso de SI
Deberían obtenerse los siguientes registros y documentos:
1) política de seguridad de la información; 2) procedimientos de gestión de seguridad de la información; 3) registros de incidentes de seguridad de la información; 4) análisis de riesgos de seguridad de la información; 5) Controles aplicados.
32
AENOR Fte: ISO / IEC 20000-1:2011
4. UNE-ISO/IEC 20000-1:2011 Sistema de Gestión de Servicios (SGS)
Sistema de Gestión del Servicio (SGS)
Diseño y transición de servicios nuevos o modificados
Procesos de control
• Gestión de la configuración • Gestión del cambio
• Gestión de la entrega y despliegue
• Gestión del nivel de servicio
• Informes del servicio
• Gestión de la Seguridad de la Información
• Elaboración de presupuestos y contabilidad de los servicios
Procesos de resolución • Gestión de incidencias y peticiones de servicio
• Gestión del problema
Procesos de relación • Gestión de relaciones con el negocio
• Gestión de suministradores
• Gestión de la capacidad
• Gestión de la continuidad y disponibilidad del servicio
Procesos de Provisión del Servicio
• Responsabilidad de la Dirección
•Establecer el SGS
•Gobierno de los procesos operados por terceros
•Gestión de la documentación
•Gestión de los recursos
Clientes (y otras partes interesadas)
REQUISITOS DEL SERVICIO
Clientes (y otras partes interesadas)
SERVICIO
33
AENOR Fte: ISO / IEC 20000-1:2011
4. ISO/IEC 20000-1:2011 Sistema de Gestión de Servicios (SGS)
Sistema de Gestión del Servicio (SGS)
Diseño y transición de servicios nuevos o modificados
Procesos de control
• Gestión de la configuración • Gestión del cambio
• Gestión de la entrega y despliegue
• Gestión del nivel de servicio
• Informes del servicio
• Gestión de la Seguridad de la Información
• Elaboración de presupuestos y contabilidad de los servicios
Procesos de resolución • Gestión de incidencias y peticiones de servicio
• Gestión de problemas
Procesos de relación • Gestión de relaciones con el negocio
• Gestión de suministradores
• Gestión de la capacidad
• Gestión de la continuidad y disponibilidad del servicio
Procesos de Provisión del Servicio
• Responsabilidad de la Dirección
•Establecer el SGS
•Gobierno de los procesos operados por terceros
•Gestión de la documentación
•Gestión de los recursos
Clientes (y otras partes interesadas)
REQUISITOS DEL SERVICIO
Clientes (y otras partes interesadas)
SERVICIO
34
AENOR
4. Ejemplo de matriz para el tiempo de resolución de incidencias (impacto, urgencia).
IMPACTO
URGENCIA Grave Alta Medio Bajo
Alto P1: Resolución en 2 horas P2: Resolución en 4 horas P3: Resolución en 1 día P4: Resolución en 2 días
Medio P2: Resolución en 4 horas
P3: Resolución en 1 día P4: Resolución en 2 días P5: Resolución en 3 días
Bajo P3: Resolución en 1 día
P4: Resolución en 2 días
P5: Resolución en 3 días
P6: Resolución en 5 días
35
AENOR Fte: ISO / IEC 20000-1:2011
4. ISO/IEC 20000-1:2011 Sistema de Gestión de Servicios (SGS)
Sistema de Gestión del Servicio (SGS)
Diseño y transición de servicios nuevos o modificados
Procesos de control
• Gestión de la configuración • Gestión de cambios
• Gestión de la entrega y despliegue
• Gestión del nivel de servicio
• Informes del servicio
• Gestión de la Seguridad de la Información
• Elaboración de presupuestos y contabilidad de los servicios
Procesos de resolución • Gestión de incidencias y peticiones de servicio
• Gestión de problemas
Procesos de relación • Gestión de relaciones con el negocio
• Gestión de suministradores
• Gestión de la capacidad
• Gestión de la continuidad y disponibilidad del servicio
Procesos de Provisión del Servicio
• Responsabilidad de la Dirección
•Establecer el SGS
•Gobierno de los procesos operados por terceros
•Gestión de la documentación
•Gestión de los recursos
Clientes (y otras partes interesadas)
REQUISITOS DEL SERVICIO
Clientes (y otras partes interesadas)
SERVICIO
36
AENOR
4. Ejemplo de tipos de CI’s en una CMDB
En la CMDB podrían identificarse los siguientes elementos de configuración: 1. los servicios que se enumeran en el catálogo de servicios, su información y los
documentos relacionados, por ejemplo, SLA, acuerdo, contrato, requisitos de servicio, etc.
2. componentes de servicio, incluyendo hardware, software y licencias, herramientas, aplicaciones, documentación, servicios de apoyo y personas (roles);
3. líneas de base de configuración de software
37
AENOR
5. Conclusiones finales
38
AENOR
La nueva versión 2011 no ha cambiado tanto con respecto a la versión 2007. Amplía y aclara requisitos de la anterior versión 2007. A modo de resumen:
1. Mayor armonización con la Norma ISO 9001;
2. Mayor armonización con la Norma ISO/IEC 27001; 3. Cambio en la terminología para reflejar usos internacionales
(referencias a otras ISO); 4. Inclusión de más términos, modificación de algunos, y eliminación
de otros; (de 15 términos en 2007 a 37 términos en 2011). 5. Inclusión del término "sistema de gestión del servicio";
6. Unificación de los capítulos 3 y 4 de la Norma ISO/IEC 20000-1:2007 para incluir todos los requisitos del sistema de gestión en un solo capítulo;
7. Clarificación de los requisitos para el gobierno de los procesos operados por terceros (solo del 5 al 9);
5. Conclusiones y futuro en Sistemas de Gestión en las TICs.
39
AENOR
8. Clarificación de los requisitos para definir el alcance del Sistema de Gestión del Servicio (SGS);
9. Clarificación de que la metodología PDCA aplica al SGS, incluyendo a los procesos de la gestión del servicio, y a los servicios; (p.e. revisión por dirección más clara).
10. Inclusión de nuevos requisitos para el diseño y la transición de servicios nuevos o modificados.
11. En la descripción de cada proceso se elimina el párrafo: objetivo 12. El proveedor de servicios considera siempre a “los clientes y
partes interesadas” 13. Se tiende a sustituir “necesidades y/o requisitos del negocio”
por “necesidades y/o requisitos del cliente y partes interesadas” 14. En muchos casos se indica explícitamente “debe existir un
procedimiento/proceso documentado”. En algunos casos habla de procedimientos o referencias a ellos.
5. Conclusiones y futuro en Sistemas de Gestión en las TICs.
40
AENOR
Recordemos que los aspectos más importantes en un SGS:
9 PDCA. 9 Catálogo de Servicios. 9 SLA’s (intenos y externos). 9 CMDB. 9 Los 13 procesos de ISO 20000-1.
5. Conclusiones y futuro en Sistemas de Gestión en las TICs.
41
AENOR
Aspectos a considerar: • El control interno de Tecnologías de Información no es una
moda. • El Sistema de Gestión en las TICs ayuda a gestionar el control
interno de Tecnologías de la Información alineado e integrado con los objetivos del negocio y el cumplimiento normativo legal y sectorial.
• El PDCA-motor y el conocimiento-control interno de TI,
cumpliendo objetivos de negocio. • CEO y CIO desean calidad y seguridad en los servicios de TI.
• CEO y CIO desean aplicaciones implementadas que cumplan
con los objetivos de negocio/requisitos de servicios y clientes.
5. Conclusiones y futuro en Sistemas de Gestión en las TICs.
42