NTC-ISO-IEC 20000-2 v2008

NORMA TÉCNICA NTC-ISO/IEC
COLOMBIANA 20000-2
2008-11-26
TECNOLOGÍA DE LA INFORMACIÓN.
GESTIÓN DEL SERVICIO. PARTE 2: CÓDIGO DE
PRÁCTICA
E: INFORMATION TECHNOLOGY. SERVICE MANAGEMENT.

PART 2: CODE OF PRACTICE
CORRESPONDENCIA: esta norma es una adopción idéntica

por traducción (IDT), respecto al
documento de referencia, la norma
ISO/IEC 20000-2:2005.
DESCRIPTORES: protección de la información; tecnología

de la información; gestión del servicio;
intercambio de información;
satisfacción; seguimiento – mejora.
I.C.S.: 35.020.00; 03.100.99
Editada por el Instituto Colombiano de Normas Técnicas y Certificación (ICONTEC)

Apartado 14237 Bogotá, D.C. - Tel. (571) 6078888 - Fax (571) 2221435
Prohibida su reproducción Editada 2008-12-10

PRÓLOGO
El Instituto Colombiano de Normas Técnicas y Certificación, ICONTEC, es el organismo

nacional de normalización, según el Decreto 2269 de 1993.
ICONTEC es una entidad de carácter privado, sin ánimo de lucro, cuya Misión es fundamental
para brindar soporte y desarrollo al productor y protección al consumidor. Colabora con el
sector gubernamental y apoya al sector privado del país, para lograr ventajas competitivas en
los mercados interno y externo.
La representación de todos los sectores involucrados en el proceso de Normalización Técnica

está garantizada por los Comités Técnicos y el período de Consulta Pública, este último
caracterizado por la participación del público en general.
La NTC-ISO/IEC 20000-2 fue ratificada por el Consejo Directivo de 2008-11-26.
Esta norma está sujeta a ser actualizada permanentemente con el objeto de que responda en
todo momento a las necesidades y exigencias actuales.
A continuación se relacionan las empresas que colaboraron en el estudio de esta norma a

través de su participación en el Comité Técnico 181 Técnicas de seguridad de la información.
AVIANCA PIRÁMIDE ADMINISTRACIÓN DE

BANCO AGRARIO DE COLOMBIA INFORMACIÓN LTDA.
BANCO DE LA REPÚBLICA SOCIEDAD COLOMBIANA DE ARCHIVISTAS
CHOUCAIR TESTING S.A SUN GEMINI
DAKYA LTDA. TELEFÓNICA TELECOM
–E.T.B– EMPRESA DE TELÉFONOS DE BOGOTA UNIVERSIDAD JAVERIANA
JTCCIA LTDA. WORLDCAD
MAREIGUA LTDA.
Además de las anteriores, en Consulta Pública el Proyecto se puso a consideración de las

siguientes empresas:
ABN AMRO BANK BANCAFÉ

AGENDA CONECTIVIDAD BANCO AV VILLAS
AGP COLOMBIA BANCO COLMENA BCSC
ALIANZA SINERTIC BANCO COLPATRÍA RED MULTIBANCA
ARCHIVO DE BOGOTÁ BANCO DAVIVIENDA
ASIC S.A. BANCO DE BOGOTÁ
ASOCIACIÓN ALIANZA SIENRTIC BANCO DE CRÉDITO
ASOCIACIÓN BANCARIA DE COLOMBIA BANCO DE OCCIDENTE
ASOCIACIÓN GREMIAL DE BANCO GNB SUDAMERIS
INSTITUCIONES FINANCIERAS BANCO POPULAR
CREDIBANCO BANCO STANDARD CHARTERED
ASOCIACIÓN LATINOAMERICANA DE COLOMBIA
PROFESIONALES DE SEGURIDAD BANCOLOMBIA
INFORMÁTICA COLOMBIA BANISTMO
ATH BBVA COLOMBIA
BFR S.A LITIGAR ABOGADOS
BRANCH OF MICROSOFT COLOMBIA LLOYDS TSB BANK
INC MATPEL DE COLOMBIA S.A.
BUREAU VERITAS CERTIFICATION MEGABANCO
CATI MINISTERIO DE COMERCIO, INDUSTRIA
CIBERCALL S.A Y TURISMO
CITIBANK COLOMBIA MONOMEROS
CITIDENT N.C.R.
COINFIN NEWNET S.A.
COLEGIO LA PRESENTACIÓN - DUITAMA NEXOS SOFTWARE
COLGRABAR LTDA. PARKING INTERNATIONAL LTDA.
COLSUBSIDIO PARQUE TECNOLÓGICO DEL
COMPAÑÍA AGRÍCOLA DE SEGUROS DE SOFTWARE-PARQUESOFT
VIDA S.A. PARTNERS SYSTEM TECHNOLOGICAL
CONSULTAMOS LTDA. OUTSOURCING
CONSULTORES ASOCIADOS LTDA PROSALCO I.P.S
CONTRALORIA GENERAL DE LA QUALITY SISTEMS INTERNATIONAL &
REPÚBLICA CÍA LTDA
CORPORACIÓN AUTÓNOMA REGIONAL REDEBAN MULTICOLOR
DE CUNDINAMARCA – CAR SECRETARIA GENERAL DE LA
CORPORACIÓN FINANCIERA COLOMBIA ALCALDIA MAYOR
S.A SERVIMETERS S.A.
D.S SISTEMAS LTDA. SINGLAR CONSULTORES
EXTRUCOL SOCIEDAD COLOMBIANA DE
FEDEPALMA ARCHIVISTAS
FEDESOFT SOLUCIONES EN CUMPLIMIENTO
FLUIDSIGNAL GROUP LEGAL & ASOC. S.A.
FRUTICS EXOTICS SUPERINTENDENCIA DE INDUSTRIA Y
FUNDACION SANTA FE COMERCIO
HONOR SERVICIOS DE SEGURIDAD SYNAPSIS
HSBC TERPEL
IDEAL NETWORK CORPORATION – INC TMC & CIA
IGI LTDA TRANSFIRIENDO S.A.
IMAICOD S.A TRONEX BATTERY COMPANY S.A.
INDUSTRIAS ALIADAS UNIDAD DE SERVICIOS TECNOLÓGICOS
INFOCOMUNICACIONES LTDA. LTDA.
INTERBANCO UNIVERSIDAD AUTÓNOMA DE
IPX LTDA. OCCIDENTE
IQ CONSULTORES UNIVERSIDAD DE ANTIOQUIA
IQ INFORMATION QUALITY UNIVERSIDAD DE LOS ANDES
IQ OUTSOURCING UNIVERSIDAD DEL QUNDÍO
ISAGEN S.A. E.S.P. UNIVERSIDAD DEL VALLE
KEXTAS LTDA. UNIVERSIDAD LIBRE
LABINTEX UNIVERSIDAD NACIONAL DE COLOMBIA
ICONTEC cuenta con un Centro de Información que pone a disposición de los interesados
normas internacionales, regionales y nacionales y otros documentos relacionados.
DIRECCIÓN DE NORMALIZACIÓN
NORMA TÉCNICA COLOMBIANA NTC-ISO/IEC 20000-2
CONTENIDO
Página
INTRODUCCIÓN
1. OBJETO Y CAMPO DE APLICACIÓN ........................................................................1
2. TÉRMINOS Y DEFINICIONES .....................................................................................2
3. SISTEMA DE GESTIÓN...............................................................................................2
3.1 RESPONSABILIDAD DE LA DIRECCIÓN ..................................................................2
3.2 REQUISITOS DE DOCUMENTACIÓN ........................................................................2
3.3 COMPETENCIA, CONCIENCIA Y ENTRENAMIENTO ...............................................3
4. PLANIFICACIÓN E IMPLEMENTACIÓN DE LA GESTIÓN DEL SERVICIO .............4
4.1 PLANIFICACIÓN DE LA GESTIÓN DEL SERVICIO (PLANIFICAR) .........................4
4.2 IMPLEMENTAR LA GESTIÓN DEL SERVICIO Y PRESTAR EL SERVICIO

(HACER).......................................................................................................................6
4.3 MONITOREAR, MEDIR, Y REVISAR (VERIFICAR)....................................................7
4.4 MEJORA CONTINUA (ACTUAR) ................................................................................7
5. PLANIFICACIÓN E IMPLEMENTACIÓN DE NUEVOS SERVICIOS O

SERVICIOS MODIFICADOS CON...............................................................................8
5.1 TEMAS QUE SE DEBEN CONSIDERAR ....................................................................8
5.2 REGISTROS DE CAMBIOS.........................................................................................8
6. PROCESO DE PRESTACIÓN DEL SERVICIO ...........................................................9
6.1 GESTIÓN DEL NIVEL DEL SERVICIO........................................................................9

Página
6.2 PRESTACIÓN DE INFORMES DEL SERVICIO ........................................................11
6.3 GESTIÓN DE LA CONTINUIDAD Y DISPONIBILIDAD DEL SERVICIO .................13
6.4 PRESUPUESTO Y CONTABILIDAD DE LOS SERVICIOS DE TECNOLOGÍA

DE LA INFORMACIÓN...............................................................................................15
6.5 GESTIÓN DE LA CAPACIDAD .................................................................................16
6.6 GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN ...........................................17
7. PROCESOS DE RELACION......................................................................................19
7.1 INFORMACIÓN GENERAL........................................................................................19
7.2 GESTIÓN DE LAS RELACIONES PROVEEDOR-CLIENTE ....................................20
7.3 GESTIÓN DE PROVEEDORES EXTERNOS ............................................................22
8. PROCESOS DE SOLUCIÓN......................................................................................23
8.1 ANTECEDENTES.......................................................................................................23
8.2 GESTIÓN DE INCIDENTES .......................................................................................24
8.3 GESTIÓN DE PROBLEMAS......................................................................................26
9. PROCESOS DE CONTROL.......................................................................................29
9.1 GESTIÓN DE LA CONFIGURACIÓN ........................................................................29
9.2 GESTIÓN DE CAMBIOS............................................................................................32
10. PROCESO DE PUESTA EN PRODUCCIÓN.............................................................34
10.1 PROCESO DE GESTIÓN DE VERSIONES...............................................................34
BIBLIOGRAFÍA......................................................................................................................39
DOCUMENTO DE REFERENCIA..........................................................................................40
Página
FIGURAS
Figura 1. Procesos de prestación del servicio ....................................................................2
Figura 2. Procesos de relación............................................................................................20

INTRODUCCIÓN
Siendo un código de práctica, esta parte de la norma NTC-ISO/IEC 20000 toma la forma de
guía y recomendaciones. No debe considerarse como una especificación y se recomienda
tener particular cuidado para garantizar que las declaraciones de conformidad no son erradas.
Esta parte de la norma NTC-ISO/IEC 20000 se debería utilizar junto con NTC-ISO/IEC 20000-1,
la especificación asociada a este código de práctica.
Se asume que la ejecución de las disposiciones de esta parte de NTC-ISO/IEC 20000 es

confiada a personal competente y apropiadamente calificado. Una norma internacional no
pretende incluir todas las disposiciones necesarias de un contrato. Los usuarios de estas
normas son responsables de su correcta aplicación.
El cumplimiento de una norma internacional no confiere inmunidad contra las obligaciones

legales.
Esta parte de la norma NTC-ISO/IEC 20000 describe las mejores prácticas para los procesos
de gestión del servicio dentro del alcance de NTC-ISO/IEC 20000-1.
La prestación del servicio crece en importancia a medida que los clientes demandan servicios
cada vez más avanzados (con un costo mínimo) para satisfacer las necesidades de sus
negocios. También reconoce que los servicios y la gestión del servicio son esenciales para
facilitar a las organizaciones a generar ganancias y ser eficaces en términos de costos.
NTC-ISO/IEC 20000-1 es una especificación para la gestión del servicio y se debería leer junto
con esta parte de NTC-ISO/IEC 20000.
La serie NTC-ISO/IEC 20000 permite a los proveedores de servicios entender la manera de

mejorar la calidad del servicio que entregan a sus clientes, tanto internos como externos.
Con la creciente dependencia en los servicios de soporte y la diversa gama de tecnologías

disponibles, los proveedores de servicios pueden tener dificultades para mantener altos niveles
de servicio al cliente. Trabajando de manera reactiva, gastan muy poco tiempo planificando,
entrenando, revisando, investigando, y trabajando con los clientes. El resultado es una falla en
adoptar prácticas de trabajo estructuradas y proactivas.
A estos mismos proveedores de servicios se les solicita calidad mejorada, disminuir los costos,
mayor flexibilidad y una respuesta más rápida a sus clientes. La gestión eficaz del servicio
proporciona niveles altos de servicio y de satisfacción del cliente.
La serie NTC-ISO/IEC 20000 presenta una diferenciación entre las mejores prácticas de los
procesos, que son independientes de la forma o el tamaño de la organización, y los nombres y
estructuras organizacionales. La serie NTC-ISO/IEC 20000 se aplica a proveedores de
servicios tanto grandes como pequeños y los requisitos para los procesos de gestión del
servicio con buenas prácticas no cambian según la forma de la organización, lo cual suministra
una estructura de gestión dentro de la cual se cumplen los procesos.
Se llama la atención sobre la posibilidad de que algunos de los elementos de este documento
puedan estar sujetos a derechos de patente. ICONTEC no asume responsabilidad por la
identificación de cualquiera o todos los derechos de patente.
La norma NTC-ISO/IEC 20000 consta de las siguientes partes, bajo el título general de
Tecnología de la información - Gestión del servicio:
- Parte 1: Especificación.
- Parte 2: Código de práctica.

TECNOLOGÍA DE INFORMACIÓN.
GESTIÓN DEL SERVICIO. PARTE 2: CÓDIGO DE PRÁCTICA
1. OBJETO Y CAMPO DE APLICACIÓN
Esta parte de NTC-ISO/IEC 20000 representa un consenso industrial sobre las normas de
calidad para los procesos de gestión del servicio de tecnología de la información. Estos
procesos de gestión del servicio proporcionan el mejor servicio posible para satisfacer las
necesidades del negocio de un cliente a niveles de recursos pactados, es decir, un servicio que
es profesional, eficaz en términos de costos y con riesgos que son comprendidos y
gestionados.
La variedad de términos utilizados para el mismo proceso, y entre los procesos y los grupos
funcionales (y los títulos de los trabajos) pueden hacer que el tema de la gestión del servicio
sea confuso para un nuevo gerente. El fracaso en entender la terminología puede ser una
barrera para establecer procesos eficaces. Entender la terminología es un beneficio tangible y
significativo que proporciona esta norma. Esta parte de la norma NTC-ISO/IEC 20000
recomienda que los proveedores de servicios adopten en la gestión del servicio una
terminología común y un enfoque más consistente. También proporciona una base común para
las mejoras en los servicios y una estructura para ser utilizada por los proveedores de tercera
parte de herramientas de gestión del servicio.
Como norma basada en procesos, este código de práctica no está destinado a la evaluación de
producto. Sin embargo, las organizaciones que desarrollan herramientas, productos y sistemas
pueden utilizar tanto la especificación como el código de práctica para facilitarles el desarrollo
de herramientas, productos, sistemas y brindar soporte a la gestión del servicio con las
mejores prácticas.
Esta parte de la norma suministra una guía para auditores y ofrece asistencia a los
proveedores de servicios que planifican mejoras en el servicio o servicios que se van a auditar
frente a la norma NTC-ISO/IEC 20000-1.
NTC-ISO/IEC 20000-1 especifica varios procesos de gestión del servicio relacionados, como
se ilustra la Figura 1.
1 de 40
Procesos de la entrega del servicio

Gestión de la seguridad
Gestión de la capacidad Gestión de nivel del servicio de la información
Continuidad del servicio y Presentación de informes Presupuesto y contabilidad
gestión de la disponibilidad sobre el servicio para los servicios de
tecnológia de la información
Procesos de control
Gestión de la configuración
Procesos de Gestión de cambios Procesos de
publicación relaciones
Gestión de la publicación Procesos de Gestión de las relaciones
la solución proveedor - cliente
Gestión de proveedores
Gestión de incidentes externos
Gestión de problemas
Figura 1. Procesos de prestación del servicio
2. TÉRMINOS Y DEFINICIONES
Para los propósitos de este documento, se aplican los términos y las definiciones que se
encuentran en la norma NTC-ISO/IEC 20000-1.
3. SISTEMA DE GESTIÓN
Objetivo: brindar un sistema de gestión, que incluya políticas y una estructura que permita la
gestión y la implementación eficaz de todos los servicios de la tecnología de la información.
3.1 RESPONSABILIDAD DE LA DIRECCIÓN
La función de la alta dirección es garantizar que se adopten y mantengan procesos de mejores

prácticas, lo que es fundamental para que cualquier proveedor del servicio satisfaga los
requisitos de la NTC-ISO/IEC 20000-1.
Para garantizar el compromiso, se recomienda designar a un miembro de la alta dirección

como responsable de los planes de gestión del servicio. Este responsable debería estar a
cargo de la entrega global del plan de gestión del servicio.
La función del responsable, debería involucrar la gestión de los recursos para las actividades
de mejora del servicio, bien sea continuas o con base en un proyecto.
Este mismo responsable debería estar apoyado por un grupo de toma de decisiones con
suficiente autoridad para definir políticas y hacer cumplir sus decisiones.
3.2 REQUISITOS DE DOCUMENTACIÓN
El responsable designado de la alta dirección, debería garantizar que la evidencia esté

disponible para una auditoría de las políticas, planes y procedimientos de la gestión del servicio
y todas las actividades relacionadas con estas.
2
La mayoría de la evidencia de la planificación y las operaciones de la gestión del servicio,

deberían existir en forma de documentos, los cuales pueden ser de cualquier tipo, formulario o
medio adecuado para sus propósitos.
Por lo general, los siguientes documentos se consideran adecuados como evidencia de la

planificación de la gestión del servicio:
a) políticas y planes;
b) documentación del servicio;
c) procedimientos;
d) procesos;
e) registros de control del proceso.
Debería existir un proceso para la creación y la gestión de documentos para ayudar a

garantizar que se cumplen las características descritas.
La documentación debería estar protegida contra daños, por ejemplo, debido a condiciones
ambientales deficientes y a desastres en sistemas informáticos.
3.3 COMPETENCIA, CONCIENCIA Y ENTRENAMIENTO
3.3.1 Generalidades
El personal que realiza labores de gestión del servicio debería ser competente con base en
educación, entrenamiento, habilidades y experiencia adecuados.
El proveedor del servicio debería:
a) determinar la competencia necesaria para cada función en la gestión del servicio;
b) garantizar que el personal tome conciencia de la conveniencia y la importancia de sus

actividades dentro del contexto más amplio del negocio y la forma en que ellos
contribuyen al logro de los objetivos de calidad;
c) conservar registros adecuados de educación, entrenamiento, habilidades y experiencia;
d) proporcionar entrenamiento o emprender otra acción para satisfacer estas necesidades;
e) evaluar la eficacia de la acción emprendida.
3.3.2 Desarrollo profesional
El proveedor del servicio debería desarrollar y mejorar la competencia profesional de su fuerza

laboral. Entre las medidas que se toman para lograrlo, el proveedor del servicio debería
abordar los siguientes aspectos:
a) selección y contratación: con el objetivo de verificar la validez de los detalles de los

candidatos al puesto (incluyendo sus calificaciones profesionales) e identificar las
fortalezas, debilidades y capacidades potenciales de los candidatos frente a la
descripción/ perfil del puesto, las metas de la gestión del servicio y los objetivos globales
de calidad del servicio;
3
b) planificación: con el objetivo de asignar personal a los servicios nuevos o aquellos

ampliados (también la contratación de servicios), utilizando nuevas tecnologías,
asignando personal a la gestión del servicio para el desarrollo de equipos de proyecto,
planificando la continuidad y llenando los vacíos generados por los cambios previstos
de personal;
c) entrenamiento y desarrollo: con el objetivo de identificar los requisitos de

entrenamiento y desarrollo que permitan generar un plan de desarrollo profesional y
suministrar una entrega oportuna y eficaz.
El personal debería estar entrenado en los aspectos relevantes de la gestión del servicio (por
ejemplo, a través de cursos de entrenamiento, auto-educación, tutorías y entrenamiento en el
trabajo) y se debería desarrollar sus habilidades de liderazgo y de trabajo en equipo. Se
debería conservar un registro cronológico de entrenamiento para cada individuo, junto con las
descripciones del entrenamiento suministrado.
3.3.3 Enfoques a considerar
Con el propósito de tener equipos de personal con los niveles de competencia correctos, el
proveedor del servicio debería decidir acerca de la proporción óptima de contratación entre
termino fijo e indefinido. El proveedor del servicio también debería decidir sobre la proporción
óptima entre el personal nuevo con las habilidades que se requieren y volver a entrenar al
personal existente.
NOTA El equilibrio óptimo entre la contratación a termino fijo e indefinido es particularmente importante cuando el
proveedor del servicio planifica la forma de brindar un servicio durante y después de los cambios importantes en el
número y en las habilidades del personal de soporte.
Los factores que se deberían considerar cuando se establece la combinación más adecuada
de enfoques incluyen los siguientes:
a) naturaleza de corto o largo plazo de competencias nuevas o modificadas;
b) medida de cambio en las habilidades y competencias;
c) los picos y las disminuciones esperados en la carga de trabajo y la proporción de

habilidades que se requieren, con base en la gestión y la planificación de la mejora del
servicio;
d) disponibilidad de personal competente idóneo;
e) medición de la rotación de personal;
f) planes de entrenamiento.
Para todo el personal, el proveedor del servicio debería revisar el desempeño de cada individuo
por lo menos una vez al año y tomar las acciones correspondientes.
4. PLANIFICACIÓN E IMPLEMENTACIÓN DE LA GESTIÓN DEL SERVICIO
4.1 PLANIFICACIÓN DE LA GESTIÓN DEL SERVICIO (PLANIFICAR)
Objetivo: Planificar la implementación y la gestión de la prestación del servicio.
4
4.1.1 Alcance de la gestión del servicio
El alcance de la gestión del servicio se debería definir como parte del plan de gestión del
servicio.
Por ejemplo, éste debería estar definido por:
a) organización;
b) ubicación;
c) servicio.
La alta dirección debería definir el alcance como parte de sus responsabilidades de gestión (y
como parte del plan de gestión del servicio). De este modo el alcance se debería verificar para
determinar su idoneidad según la norma NTC-ISO/IEC 20000-1
NOTA La planificación para los cambios operativos se describe en la sección 9.2.
4.1.2 Enfoques para la planificación
Se pueden utilizar planes múltiples de gestión del servicio en lugar de un plan o un programa
global. Cuando éste es el caso, los procesos subyacentes de gestión del servicio deberían ser
consistentes entre sí. También, debería ser posible demostrar la forma en que se realiza la
gestión de cada requisito de planificación, conectándolo con las funciones, las
responsabilidades y los procedimientos correspondientes.
La planificación de la gestión del servicio debería formar parte del proceso para traducir en
servicios los requisitos del cliente y las intenciones de la alta dirección, y de suministrar una
guía para dirigir el progreso.
Un plan de gestión del servicio debería incluir:
a) la gestión de la implementación del servicio (o parte de la gestión del servicio);
b) los procesos de gestión de la prestación del servicio;
c) los procesos de gestión de los cambios del servicio;
d) los procesos de gestión de las mejoras del servicio;
e) servicios nuevos (en la medida en que afecten los procesos dentro del alcance pactado
de la gestión del servicio).
4.1.3 Eventos a considerar
El plan de gestión del servicio debería contemplar los procesos de gestión del servicio y los
cambios en los servicios ocasionados por eventos como:
a) mejora del servicio;
b) cambios en el servicio;
c) normalización de la infraestructura;
5
d) cambios en la legislación;
e) cambios en la reglamentación, por ejemplo cambios locales en las tasas de impuestos;
f) falta de regulación o regulación de las industrias;
g) fusiones y adquisiciones.
4.1.4 Alcance y contenido del plan
Un plan de gestión del servicio debería definir:
a) el alcance de la gestión del servicio del proveedor de servicios;
b) los objetivos y requisitos que se deben alcanzar por parte de la gestión del servicio;
c) los recursos, instalaciones y presupuestos necesarios para lograr los objetos definidos;
d) la estructura de las funciones y responsabilidades de la gestión, incluyendo el dueño

con alta responsabilidad, los dueños del proceso y la gestión de proveedores de tercera
parte;
e) las interfaces entre los procesos de gestión del servicio y la manera en que las
actividades y/o los procesos se deben coordinar;
f) el enfoque que se debe tomar en la identificación, evaluación, gestión de problemas y

riesgos para lograr los objetos definidos;
g) un cronograma de recursos expresado en términos de fechas en las cuales los fondos,

las habilidades y los recursos deberían estar disponibles;
h) el enfoque para el cambio del plan y del servicio definido por el plan;
i) la forma en que el proveedor del servicio demostrará el control continuo de la calidad

(por ejemplo auditorías internas);
j) los procesos que se han de ejecutar;
k) herramientas adecuadas para dar soporte a los procesos.
4.2 IMPLEMENTAR LA GESTIÓN DEL SERVICIO Y PRESTAR EL SERVICIO (HACER)
Objetivo: Implementar los objetivos y el plan de la gestión del servicio.
El logro de procesos de gestión del servicio con buenas prácticas que puedan satisfacer los
requisitos de NTC-ISO/IEC 20000 no se podrá alcanzar si los servicios originales no satisfacen
los requisitos indicados para la implementación en la norma NTC-ISO/IEC 20000-1.
Una vez se implementan el servicio y los procesos de gestión del servicio, éstos se deberían
mantener.
Las revisiones deberían tener lugar según lo que se indica en el numeral 4.3.
NOTA La persona que es adecuada para la planificación y la implementación inicial puede no ser adecuada para
la operación continua.
6
4.3 MONITOREAR, MEDIR, Y REVISAR (VERIFICAR)
Objetivo: Monitorear, medir y revisar el logro de los objetivos y el plan de la gestión del servicio.
El proveedor del servicio debería planificar e implementar el monitoreo, la medición, el análisis

y la revisión del servicio, los procesos de gestión del servicio y los sistemas asociados. Los
aspectos que se deberían monitorear, medir y revisar incluyen:
a) los logros frente a las metas del servicio definidas;
b) satisfacción del cliente;
c) utilización de recursos;
d) tendencias;
e) No conformidades mayores.
Los resultados del análisis deberían proporcionar entradas para un plan de mejora del servicio.
Al igual que para las actividades de gestión del servicio, acerca de la medición y el análisis,
puede ser necesario que la alta dirección utilice auditorías internas y otras verificaciones. Al
decidir la frecuencia de tales auditorías y verificaciones internas, se recomienda tomar en
consideración el grado del riesgo involucrado en un proceso, su frecuencia de operación y su
historia anterior de problemas. Las auditorías y verificaciones internas se deberían planificar y
realizar de manera competente y quedar registradas.
4.4 MEJORA CONTINUA (ACTUAR)
Objetivo: Mejorar la eficacia y la eficiencia de la gestión y la prestación del servicio.
4.4.1 Política
Los proveedores de servicios deberían reconocer que siempre existe el potencial de entregar
servicios más eficaces y eficientes. Debería haber una política publicada sobre la calidad y la
mejora del servicio.
Todos aquellos implicados en la gestión del servicio y en la mejora de éste deberían ser
conscientes de la política de calidad del servicio y de su contribución personal al logro de los
objetivos establecidos en esta política.
En particular, todo el personal del proveedor del servicio involucrado en la gestión del servicio
debería tener un conocimiento detallado de las implicaciones de ésta en los procesos de
gestión del servicio.
Se recomienda que haya un vínculo eficaz entre la estructura de gestión propia del proveedor
del servicio, los clientes y los proveedores de tercera parte de éste, acerca de temas que
afectan la calidad del servicio y los requisitos del cliente.
4.4.2 Planificación de las mejoras del servicio
Los proveedores de servicios deberían adoptar un enfoque metódico y coordinado para que la
mejora del servicio satisfaga los requisitos de la política, desde su propia perspectiva y desde
la perspectiva del cliente.
7
Antes de implementar un plan para la mejora del servicio, se recomienda registrar como línea
base los niveles y la calidad del servicio frente a los cuales se puedan comparar las mejoras
reales. La mejora real se debería comparar con la mejora predicha para evaluar la eficacia del
cambio.
NOTA 1 Los requisitos para la mejora del servicio pueden venir de todos los procesos.
Los proveedores de servicios deberían animar a su personal y sus clientes para que sugieran
formas de mejorar el servicio.
NOTA 2 Esto se puede llevar a cabo utilizando esquemas de sugerencias, círculos de calidad, grupo de usuarios y
reuniones de vinculación.
Las metas de la mejora del servicio deberían ser medibles, ligadas a los objetivos del negocio y
estar documentadas en un plan.
La mejora del servicio se debería gestionar de manera activa y el progreso se debería

monitorear frente a los objetivos pactados formalmente.
5. PLANIFICACIÓN E IMPLEMENTACIÓN DE NUEVOS SERVICIOS O SERVICIOS

MODIFICADOS CON
Objetivo: Garantizar que los nuevos servicios y los cambios a los servicios se pondrán entregar
y gestionar con el costo y la calidad del servicio acordados.
5.1 TEMAS QUE SE DEBEN CONSIDERAR
Es recomendable que la planificación de un servicio nuevo o de servicios con cambios incluyen

la revisión de:
a) presupuestos;
b) recursos de personal;
c) niveles existentes de servicio;
d) SLA (Service Level Agreement) Acuerdos de nivel de servicio y otras metas o

compromisos de servicio;
e) procesos, procedimientos y documentación existentes sobre la gestión del servicio;
f) alcance de la gestión del servicio, incluyendo la implementación de procesos de gestión

del servicio previamente excluidos del alcance.
5.2 REGISTROS DE CAMBIOS
Todos los cambios en el servicio se deberían reflejar en los registros de gestión de cambios.
Ello incluye planes para:
a) contratación/reentrenamiento del personal;
b) reubicación;
8
c) entrenamiento de usuarios;
d) comunicaciones acerca de los cambios;
e) cambios en la naturaleza de la tecnología soportada y,
f) cierre formal de servicios.
6. PROCESO DE PRESTACIÓN DEL SERVICIO
6.1 GESTIÓN DEL NIVEL DEL SERVICIO
Objetivo: Definir, acordar, registrar y gestionar los niveles de servicio.
6.1.1 Catálogo de servicios
Un catálogo de servicios debería definir todos los servicios. Este catálogo se puede referenciar
desde el SLA y se debería usar para mantener información considerada variable por el propio
SLA.
Es recomendable que el catalogo de servicios se mantenga y se actualice.
NOTA El catálogo de servicios puede incluir información genérica como:
a) nombre del servicio;
b) metas, por ejemplo tiempo de respuesta para instalar una impresora, tiempo para
restituir un servicio después de una falla mayor;
c) puntos de contacto;
d) horas de servicio y excepciones;
e) acuerdos de seguridad.
El catálogo de servicios es un documento clave para establecer la expectativa del cliente y

debería ser de fácil acceso y estar disponible ampliamente tanto para clientes como para el
personal de soporte.
6.1.2 Acuerdos de nivel del servicio (SLA)
Un servicio debería estar documentado formalmente en un acuerdo de nivel del servicio (SLA).
Este acuerdo debería estar autorizado formalmente por los representantes del proveedor del
servicio y del cliente. El acuerdo debería estar sujeto a gestión de cambios, así como el servicio
que el describe.
Las necesidades y el presupuesto de negocio del cliente deberían ser la base que define el
contenido, la estructura y las metas de este acuerdo. Las metas, frente a las cuales conviene
medir el servicio que se entrega, deberían estar definidas desde la perspectiva del cliente.
Los acuerdos deberían incluir únicamente un grupo adecuado de metas para enfocar la
atención en los aspectos más importantes del servicio.
NOTA 1 Demasiadas metas pueden crear confusión y llevar a gastos generales excesivos.
9
El contenido mínimo que debería estar o que se puede referir a partir de un SLA es el
siguiente:
a) descripción breve del servicio;
b) período de validez y/o mecanismo de control de cambios del SLA;
c) detalles de autorización;
d) descripción breve de las comunicaciones, incluyendo la presentación de informes;
e) detalles de contacto de las personas autorizadas para actuar en emergencias, para

participar en la corrección de incidentes y problemas, recuperación o soluciones
temporales;
f) horas de servicio, por ejemplo 09:00 h a 17:00 h, excepciones de la fecha (por ejemplo
fines de semana, festividades públicas), periodos críticos para el negocio y cubrimiento
fuera de las horas laborales;
g) interrupciones programadas y pactadas, que incluyen la notificación que se debe dar y

la cantidad por período;
h) responsabilidades del cliente, por ejemplo con respecto a seguridad;
i) responsabilidades y obligaciones del proveedor del servicio, por ejemplo con respecto a
seguridad;
j) impacto y directrices de prioridad;
k) escalamiento y proceso de notificación;
l) procedimiento de reclamos;
m) metas del servicio;
n) límites de la carga de trabajo (más alta y más baja) por ejemplo la capacidad del
servicio para dar soporte a la cantidad pactada de usuarios/volumen de trabajo,
producción del sistema;
o) detalles de la gestión financiera de alto nivel, por ejemplo los códigos de cobros, etc.;
p) acción que se debe emprender en el evento de una interrupción del servicio;
q) procedimientos internos;
r) glosario de términos;
s) soporte y servicios relacionados;
t) toda excepción a los términos indicados en el SLA.
NOTA 2 Información variable o información común a varios SLA (por ejemplo los detalles de contacto) se puede
referenciar desde el SLA sin impactar la calidad de los procesos de gestión de nivel del servicio (SLM – Service
Level Management) siempre y cuando los documentos referenciados también estén bajo el control del proceso de
gestión de cambios.
10
NOTA 3 El plan de continuidad y los detalles de contabilidad y presupuesto por lo general se infieren a partir del
SLA.
NOTA 4 Por lo general, un glosario de términos esta disponible y es común para todos los documentos, incluyendo
el catálogo de servicios.
6.1.3 Procesos de gestión de nivel del servicio (SLM)
Los cambios mayores en los negocios generados, entre otros, por crecimiento, reorganización
y fusiones de los negocios y cambios en los requisitos del cliente pueden requerir que los
niveles de servicio se ajusten, redefinan o incluso se suspendan temporalmente. El proceso de
SLM debería ser flexible para adaptarse a estos cambios. Este proceso también debería
garantizar que el proveedor del servicio permanezca enfocado en el cliente durante toda la
planificación, implementación y gestión continua de la prestación del servicio.
Al proveedor del servicio se le debería dar información adecuada que le permita entender los
requisitos y objetivos del negocio de sus clientes.
El proceso SLM debería gestionar y coordinar a quienes contribuyen al nivel del servicio, para
incluir:
a) acuerdo de los requisitos del servicio y las características esperadas de la carga de

trabajo del servicio;
b) acuerdo sobre las metas del servicio;
c) mediciones y presentación de informes sobre los niveles de servicio alcanzados, las

cargas de trabajo y una explicación en caso de incumplimiento de las metas pactadas
(véase el numeral 6.2);
d) iniciación de la acción correctiva;
e) entradas para un plan para la mejora del servicio.
El proceso debería animar tanto al proveedor del servicio como al cliente a desarrollar una
actitud proactiva que garantice que ellos tienen una responsabilidad conjunta del servicio.
La satisfacción del cliente es una parte importante de la gestión del nivel de servicio, pero
conviene reconocerla como una medición subjetiva, mientras que las metas del servicio dentro
de un SLA deberían ser mediciones objetivas. El proceso de SLM debería trabajar
estrechamente con los procesos de gestión de proveedores de tercera parte y de relaciones del
negocio.
6.1.4 Acuerdos sobre el servicio de soporte
Los servicios de soporte de los cuales depende el servicio que se presta, deberían estar
documentados y pactados con cada proveedor de tercera parte. Esto incluye grupos internos
que proporcionan parte del servicio de proveedores de servicios.
6.2 PRESENTACIÓN DE INFORMES DEL SERVICIO
Objetivo: Producir informes exactos, pactados, oportunos y confiables para la toma de

decisiones y para una comunicación eficaz.
NOTA El éxito de todos los procesos de gestión del servicio depende del uso de la información suministrada en los
informes del servicio.
11
6.2.1 Política
Los requisitos para la presentación de informes del servicio, se deberían pactar y registrar para
los clientes y la gestión interna.
El monitoreo y la presentación de informes del servicio comprende todos los aspectos medibles
del servicio que proporcionan tanto análisis actual como histórico.
Cuando existen múltiples proveedores de tercera parte, proveedores líderes de tercera parte y
los subcontratados, los informes deberían reflejar las relaciones entre los proveedores de
tercera parte. Por ejemplo, un proveedor líder de tercera parte debería informar sobre la
totalidad del servicio que presta, incluyendo todos los servicios prestados por proveedores de
tercera parte subcontratados que ellos manejan como parte del servicio el cliente.
6.2.2 Propósito y verificaciones de calidad en los informes del servicio
Los informes del servicio deberían ser oportunos, claros, confiables y concisos.
Deberían ser adecuados a las necesidades del receptor y con suficiente exactitud como para
ser utilizados como una herramienta de apoyo a la toma de decisiones.
La presentación debería facilitar la comprensión de los informes de manera que éstos se

pueden asimilar con facilidad, por ejemplo utilizar diagramas.
Se recomienda producir diversos tipos de informes:
a) informes reactivos que presentan lo que ha sucedido;
b) informes proactivos que presentan advertencia anticipada de eventos significativos,

permitiendo así tomar acciones preventivas (por ejemplo informes sobre
incumplimientos inminentes en los SLAs);
c) informes programados a futuro que presentan las actividades planificadas.
6.2.3 Informes del servicio
El proveedor del servicio debería producir informes para los clientes y la gestión, que incluyan:
a) desempeño frente a las metas de nivel del servicio, por ejemplo informes sobre
interrupciones, logros;
b) no conformidades con las normas;
c) características de la carga de trabajo e información sobre el volumen, por ejemplo

incidentes, problemas, cambios y tareas, clasificación, ubicación, cliente, tendencias
temporales, mezcla de prioridades, cifras sobre solicitudes de ayuda;
d) informes del desempeño inmediatamente después de eventos mayores, por ejemplo

cambios y nuevas versiones;
e) información de tendencias por periodo (por ejemplo: diario, semanal, mensual);

f) información proveniente de cada proceso, por ejemplo, la cantidad de incidentes y las
preguntas que se plantean con más frecuencia, los componentes no confiables de la
infraestructura y las tareas con mayor consumo de recursos;
12
g) reportes para enfatizar cargas laborales futuras y programadas.
6.3 GESTIÓN DE LA CONTINUIDAD Y DISPONIBILIDAD DEL SERVICIO
Objetivo: Garantizar que la continuidad acordada del servicio y los compromisos de

disponibilidad para los clientes se pueden cumplir en todas las circunstancias.
NOTA Fallas importantes en el servicio o desastres pueden ocurrir por muchas razones incluyendo negación del
servicio, ataque, parálisis por virus importantes, acceso no permitido a las instalaciones o por desastres naturales.
6.3.1 Información general
Los requisitos de continuidad del servicio y disponibilidad se deberían identificar con base en
las prioridades del negocio del cliente, los acuerdos de nivel de servicio y los riesgos
evaluados. El proveedor del servicio debería mantener suficiente capacidad de servicio junto
con los planes viables diseñados para garantizar que los requisitos pactados se puedan cumplir
en todas las circunstancias, desde el servicio normal hasta la pérdida importante del servicio. El
proveedor del servicio debería planificar con relación a: datos conocidos; aumentos o
disminuciones en volumen de usuarios; máximos y mínimos esperados en la carga de trabajo y
cualquier otro cambio futuro conocido. Los requisitos deberían incluir los derechos de acceso y
los tiempos de respuesta así como la disponibilidad total de los componentes del sistema.
La gestión de la disponibilidad de servicio y la continuidad del servicio deberían trabajar juntas

con el objeto de garantizar que se mantienen los niveles de servicio pactados. Estos requisitos
deberían tener una influencia importante en las acciones, los esfuerzos y los recursos
asignados para alcanzar la disponibilidad de servicios que la soportan.
Los procesos para garantizar que se mantiene la disponibilidad requerida deberían incluir
aquellos elementos de la prestación del servicio que están bajo el control del cliente o de otros
proveedores de servicios.
6.3.2 Monitoreo de la disponibilidad y actividades
La gestión de la disponibilidad debería:
a) monitorear y registrar la disponibilidad del servicio;
b) mantener la exactitud de los datos históricos;
c) hacer comparaciones con los requisitos definidos en los SLA para identificar las no
conformidades con las metas pactadas de disponibilidad;
d) documentar y revisar la no conformidad;
e) predecir la disponibilidad futura;
f) cuando sea posible, los problemas potenciales se deberían predecir y se debería tomar
acción preventiva.
Esto debería garantizar la disponibilidad de todos los componentes del servicio, con acciones
correctivas que se registran y sobre las cuales se actúa.
13
6.3.3 Estrategia para la continuidad del servicio
El proveedor del servicio debería desarrollar y mantener una estrategia que defina el enfoque
general que se va a tomar para satisfacer las obligaciones de la continuidad del servicio. Esta
estrategia debería incluir la evaluación de riesgos y tomar en consideración las horas de
servicio pactadas y los períodos críticos del negocio. El proveedor del servicio debería pactar
para cada grupo de clientes y servicios:
a) período continuo aceptable máximo de pérdida del servicio;
b) períodos aceptables máximos de degradación del servicio;
c) niveles aceptables de servicio degradado durante un período de recuperación del

servicio.
La estrategia de continuidad se debería revisar según intervalos pactados, por lo menos

anualmente.
Todos los cambios en la estrategia se deberían pactar formalmente.
6.3.4 Planificación y prueba de la continuidad del servicio
El proveedor del servicio debería garantizar que.
a) los planes de continuidad tengan en cuenta las dependencias entre el servicio y los
componentes del sistema;
b) los planes para la continuidad del servicio y otros documentos que se requieran para la
continuidad del servicio de soporte, estén registrados y se les haga mantenimiento;
c) la responsabilidad de invocar los planes de continuidad este claramente asignada y que

los planes asignen con claridad la responsabilidad de tomar acción frente a cada
objetivo;
d) las copias de seguridad de los datos, los documentos y el software, así como el equipo
y el personal necesario para restaurar el servicio estén a disposición con rapidez,
inmediatamente después de una falla importante del servicio o de un desastre;
e) por lo menos una copia de todos los documentos sobre la continuidad del servicio esté
almacenada y se mantenga en un lugar lejano y seguro, junto con el equipo que sea
necesario para habilitar su utilización;
f) el personal entienda su función al invocar y/o ejecutar los planes, y sea capaz de tener
acceso a los documentos de continuidad del servicio.
Los planes de continuidad del servicio y los documentos relacionados (por ejemplo, contratos)
se deberían vincular con el proceso de gestión de cambio y el proceso de gestión de contratos.
Se deberían evaluar los planes de continuidad del servicio y los documentos relacionados (por
ejemplo, contratos), para determinar el impacto antes de que se aprueben cambios en el
sistema y en el servicio, y antes de que se acuerden requisitos significativos del cliente, nuevos
o modificados.
14
El sometimiento a prueba se debería realizar con una frecuencia suficiente para tener
seguridad de que los planes de continuidad son eficaces, y permanecen así frente a los
cambios en los sistemas, los procesos, el personal y las necesidades del negocio. Esta prueba
debería ser un compromiso conjunto entre cliente y el proveedor del servicio con base en un
conjunto de objetivos pactado. Las fallas de las pruebas se deberían documentar y revisar para
ingresar al plan de mejorar el servicio.
6.4 PRESUPUESTO Y CONTABILIDAD DE LOS SERVICIOS DE TECNOLOGÍA DE LA

INFORMACIÓN
Objetivo: Realizar el presupuesto y la contabilidad para el costo de la prestación del servicio.
Esta sección comprende el presupuesto y la contabilidad para los servicios de tecnología de

información. En la práctica muchos proveedores de servicios estarán involucrados en
determinar los costos de tales servicios. Sin embargo dado que el establecimiento de costos es
una actividad opcional, no se trata en esta norma. Se recomienda a los proveedores de
servicios que cuando se esté utilizando la actividad de establecimiento de costos, el
mecanismo para hacerlo esté totalmente definido y todas las partes lo entiendan claramente.
La responsabilidad de la mayoría de las decisiones financieras estará fuera de la esfera de la

gestión del servicio y de los requisitos para los cuales se suministre información financiera, en
qué forma y con qué frecuencia se pueden dictar desde el exterior. Las disposiciones de esta
sección se enfocan en las prácticas que se deberían seguir para cumplir los requisitos de la
norma. Sin embargo, también se recomienda tomar en consideración requisitos más amplios ya
que ellos tendrán impacto en algunas de las políticas y procedimientos definidos. Todas las
prácticas de contabilidad utilizadas, deberían estar acordes con las prácticas de contabilidad
más amplias globales de la organización proveedora del servicio.
6.4.2 Política
Debería existir una política sobre la gestión financiera de los servicios. La política debería
definir los objetivos que se deben cumplir por parte del presupuesto y la contabilidad.
La política también debería definir los detalles con los cuales se llevan a cabo los presupuestos
y la contabilidad, teniendo en cuenta los siguientes aspectos:
a) tipos de costos que se deben contabilizar;
b) división de costos generales, por ejemplo, tasa de interés fija, porcentaje fijo o basado
en el tamaño del elemento variable;
c) estructura granular del negocio del cliente por ejemplo, unidades de negocios tomadas
como una sola , subdividida en departamentos o en ubicaciones;
d) reglas que rigen el manejo de las variaciones frente a los presupuestos, por ejemplo
tamaño de la variación que se va a escalar hasta la alta dirección;
e) vínculos con la gestión del nivel de servicio.
El nivel de inversión en los procesos de presupuesto y contabilidad se debería basar en las

necesidades de detalles financieros, de los clientes, del proveedor del servicio y de los
proveedores de tercera parte, según se define en la política.
15
NOTA Los proveedores de servicios que funcionan en un ambiente comercial pueden tener la necesidad de invertir
considerablemente más tiempo y esfuerzo en su gestión financiera. Por el contrario, para los proveedores de
servicios para los cuales la identificación sencilla de los costos es suficiente, la gestión financiera puede ser mucho
más simple.
El presupuesto y la contabilidad se deberían llevar a cabo por parte de todos los proveedores
de servicios, independientemente de sus otras políticas sobre gestión financiera.
6.4.3 Presupuesto
El presupuesto debería tener en cuenta los cambios planificados en los servicios durante el
periodo de presupuesto y cuando los requisitos de presupuesto exceden los fondos
disponibles, planificar la gestión de los recortes.
El presupuesto debería tomar en consideración factores tales como las variaciones temporales
y los cambios planificados a corto plazo en los costos y cobros del servicio.
El seguimiento de los costos frente al presupuesto debería brindar una advertencia temprana
de las variaciones frente a los presupuestos.
Es recomendable que exista un proceso de gestión de las implicaciones de las variaciones

frente al presupuesto.
Ese seguimiento del presupuesto y de los costos debería dar apoyo a la planificación para
operar y cambiar los servicios de tal manera que se puedan conservar los niveles de servicio
durante todo el año.
6.4.4 Contabilidad
Los procesos de contabilidad se deberían utilizar para el seguimiento de costos hasta un nivel
pactado de detalle en un periodo de tiempo acordado.
Las decisiones sobre la prestación del servicio se deberían basar en las comparaciones de
eficacia del costo.
Los modelos del costo deberían tener la capacidad de demostrar el costo de la prestación del
servicio.
Los estados de cuentas deberían demostrar las situaciones de exceso y defectos de gasto, así
como las recuperaciones de dichas situaciones , y deberían permitir al lector entender los
costos de los niveles bajos de servicio o de la pérdida del servicio.
6.5 GESTIÓN DE LA CAPACIDAD
Objetivo: Garantizar que el proveedor del servicio tiene, en todo momento, la capacidad
suficiente para satisfacer las demandas pactadas actuales y futuras de las necesidades del
negocio del cliente.
Los requisitos actuales y esperados del negocio para los servicios se deberían entender en
términos de lo que el negocio necesitará para poder entregarlo a sus clientes.
Las predicciones del negocio y las estimaciones de la carga de trabajo se deberían traducir en
requisitos específicos y documentados. El resultado de las variaciones en la carga de trabajo o
en el ambiente debería ser predecible; los datos sobre los componentes actuales y previos y
16
sobre la utilización de los recursos en un nivel adecuado, se deberían capturar y analizar para
dar soporte a proceso.
La gestión de la capacidad debería ser el punto focal para todos los aspectos de capacidad y
desempeño.
El proceso debería brindar apoyo directo al desarrollo de servicios nuevos o modificados, al

brindar estimación y modelado de los servicios.
Se recomienda elaborar un plan de capacidad que documente el desempeño real de la

infraestructura y los requisitos esperados con una frecuencia adecuada tomando en
consideración la velocidad de cambio en los servicios y los volúmenes del servicio, la
información en los informes de gestión de cambios y el negocio del cliente.
Dicho plan se debería elaborar como mínimo anualmente. También deberían documentar las
opciones de costos para cumplir los requisitos del negocio y las soluciones que se
recomiendan para garantizar el logro de las metas acordadas para el nivel de servicio definidas
en el SLA.
La infraestructura técnica y sus capacidades actuales y proyectadas también se deberían

entender.
6.6 GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
Objetivo: Gestionar la seguridad de la información de manera eficaz dentro de todas las

actividades del servicio.
La seguridad de la información es el resultado de un sistema de políticas y procedimientos

diseñados para identificar, controlar y proteger la información y el equipo utilizado en conexión
con su almacenamiento, transmisión y procesamiento.
El personal especializado del proveedor del servicio con funciones de seguridad de la

información debería estar familiarizado con la norma NTC-ISO/IEC 27002, Tecnología de la
Información. Técnicas de Seguridad - Código de practica para la gestión de la seguridad de la
Información.
6.6.2 Identificación y clasificación de los bienes de la información
El proveedor del servicio debería:
a) conservar un inventario de los bienes de información (por ejemplo computadores,

comunicaciones, equipos, documentos y otra información) que son necesarios para la
entrega de los servicios;
b) clasificar cada uno de los bienes de acuerdo con su importancia para el servicio y el
nivel de protección que requiere, así como asignar a un dueño que sea responsable de
brindar dicha protección;
c) la responsabilidad de la protección de los bienes debería estar en el dueño del bien,

aunque él puede delegar las responsabilidades de la gestión diaria de la seguridad.
17
6.6.3 Prácticas de evaluación del riesgo de seguridad
La evaluación del riesgo de seguridad se debería:
a) realizar a intervalos acordados;
b) registrar;
c) mantener durante los cambios (de las necesidades del negocio, los procesos y las
configuraciones);
d) ayudar a comprender lo que podría ser un impacto para un servicio gestionado;
e) informar las decisiones relacionadas con los tipos de controles que se deben operar.
6.6.4 Riesgos para los bienes de información
Los riesgos para los bienes de la información se deberían evaluar con respecto a:
a) su naturaleza (por ejemplo mal funcionamiento del software, errores operativos, fallas
en las comunicaciones);
b) probabilidad;
c) impacto potencial para el negocio;
d) experiencias anteriores.
6.6.5 Seguridad y disponibilidad de la información
Al evaluar los riesgos, es recomendable poner atención a los siguientes aspectos:
a) divulgación de información sensible a las partes no autorizadas;
b) información inexacta, incompleta o no valida.
EJEMPLO Fraudulenta.
c) información que no está disponible para su utilización (por ejemplo: debido a fallas de
energía);
d) daño físico o destrucción del equipo necesario para prestar los servicios.
También es conveniente tener en cuenta los objetivos de la política de la seguridad de la

información, la necesidad de cumplir los requisitos de seguridad especificados por el cliente.
EJEMPLO Niveles de disponibilidad, y los requisitos estatutarios o reglamentarios correspondientes.
6.6.6 Controles
Además de otros controles que se pueden justificar y de recomendaciones que se encuentran

en otras partes de NTC-ISO/IEC 20000 (por ejemplo sobre la continuidad del servicio), los
proveedores de servicios deberían operar los siguientes controles como un tema de buenas
prácticas de gestión de la seguridad de la información:
18
a) la alta dirección debería definir su política de seguridad de información, comunicársela

al personal y los clientes, y actuar para garantizar su implementación eficaz;
b) es recomendable definir las funciones y responsabilidades de la gestión de seguridad

de la información así como asignarlas a los titulares de los cargos;
c) un grupo representativo de la dirección (la función puede ser del dueño responsable
designado por la alta dirección) debería monitorear y mantener la eficacia de la política
de la seguridad de la información;
d) el personal con funciones significativas en la seguridad debería recibir entrenamiento en

seguridad de la información;
e) todo el personal debería conocer la política de seguridad de la información;
f) se recomienda que este disponible la ayuda experta sobre la evaluación del riesgo y la
implementación de los controles;
g) los cambios no deberían comprometer la operación eficaz de los controles;
h) los incidentes de seguridad de la información se deberían reportar en concordancia con

los procedimientos de gestión de incidentes y se debería iniciar una respuesta.
6.6.7 Documentos y registros
Los registros se deberían analizar periódicamente para brindar gestión con información sobre:
a) eficacia de la política de seguridad de información,
b) tendencias emergentes en los incidentes de seguridad de la información,
c) entradas a un plan de mejora del servicio;
d) control del acceso a la información, los bienes y los sistemas.
El sistema de gestión de seguridad de la información debería estar documentado de manera

confiable.
7. PROCESOS DE RELACION
7.1 INFORMACIÓN GENERAL
Los procesos de relaciones describen los dos aspectos relacionados de gestión del proveedor
de tercera parte y gestión de relaciones del negocio. Esta norma aborda la función de un
proveedor de servicios, quien lógicamente cumple una función entre los proveedores de tercera
parte, que entregan bienes o servicios al proveedor del servicio, y el cliente que recibe los
servicios.
Tanto el proveedor de tercera parte como el cliente pueden ser internos o externos a la
organización prestadora del servicio. Las relaciones externas se formalizarán a través de un
contrato. Las relaciones internas se formalizarán a través de un servicio o un acuerdo interno
de soporte, con frecuencia denominado acuerdo de nivel operativo (OLA).
19
La Figura 2 ilustra una representación sencilla de las relaciones
Gestión del Gestión de las

proveedor del relaciones
servicio proveedor-cliente
Proveedor Proveedor del Negocio

externo servicio
Figura 2. Procesos de relación
Como lo ilustra la Figura 2, el proveedor del servicio cumple una función dentro de una cadena
de suministro donde cada etapa de la cadena debería adicionar beneficio, con el proveedor del
servicio recibiendo bienes o servicios por parte del proveedor de tercera parte y entregando
un servicio mejorado el cliente.
Por razones de claridad, en esta sección el término proveedor del servicio se utiliza siempre
para describir a la organización a la cual se dirige éste documento, independientemente de la
función o la dirección en la cadena, que asimila el proceso que se está describiendo.
En la práctica, las relaciones rara vez son tan sencillas, sino que comprenden múltiples
participantes, que tienen funciones tanto de proveedores de tercera parte, como de clientes, y
con conexiones de negocio entre muchos de ellos de forma directa, así como a través del
proveedor del servicio.
Los procesos de relación deberían garantizar que todas las partes:
a) entiendan y satisfagan las necesidades del negocio;
b) entiendan las capacidades y las restricciones;
c) entiendan las responsabilidades y obligaciones.
Estos procesos deberían garantizar que los niveles de satisfacción del cliente son adecuados y
que las necesidades futuras del negocio se comunican y entienden.
El alcance, las funciones y responsabilidades de las relaciones del negocio y de las relaciones
del proveedor de tercera parte se deberían definir y pactar. Ello debería incluir la identificación
de las partes involucradas, los contactos y las líneas y frecuencia de comunicación.
7.2 GESTIÓN DE LAS RELACIONES PROVEEDOR-CLIENTE
Objetivo: Establecer y conservar una buena relación entre el proveedor del servicio y el cliente
con base en el entendimiento del cliente y el motor de su negocio.
20
7.2.1 Revisiones del servicio
El proveedor del servicio y el cliente deberían mantener revisiones del servicio, por lo menos
anualmente y antes y después de los cambios importantes. La revisión debería considerar el
desempeño pasado, discutir las necesidades actuales y proyectadas del negocio y proponer
cualquier cambio del alcance del servicio y los SLA. Otras partes involucradas, por ejemplo los
subcontratistas, los clientes, los grupos de usuarios y otros organismos representativos puede
estar invitados a participar en las reuniones de revisión.
El proveedor del servicio y el cliente también deberían pactar un procedimiento de revisión

interino para discutir el progreso, los logros y los problemas. Estas reuniones se deberían
programar y notificar a las partes involucradas correspondientes.
El proveedor del servicio debería planificar y registrar todas las reuniones formales, publicar los
registros y hacer seguimiento a las acciones pactadas.
El proveedor del servicio debería establecer una relación con sus clientes, de tal manera que
estos puedan estar al tanto de las necesidades del negocio y de los cambios importantes para
poder prepararse a responder a esas necesidades.
7.2.2 Reclamos del servicio
El proveedor del servicio y el cliente deberían pactar un procedimiento formal de reclamos de

tal manera que no exista ambigüedad sobre lo que constituye un reclamo y como se debería
manejar. El proveedor del servicio debería operar un proceso para emprender la acción
adecuada para tratar los problemas.
El proceso debería Identificar al contacto del proveedor del servicio para los reclamos
formales.
El proveedor del servicio debería registrar, investigar, actuar, informar y cerrar formalmente
todos los reclamos del servicio.
Los reclamos pendientes se deberían revisar con regularidad y escalar hasta un nivel superior
de gestión si no se resuelven dentro de las fechas límites pactadas con el cliente.
Los proveedores de servicios deberían analizar periódicamente el registro de reclamos para

identificar las tendencias e informar este análisis a los clientes.
Los resultados de dicho análisis se deberían utilizar, cuando así corresponda, para brindar
información para el plan de mejora del servicio.
7.2.3 Medición de la satisfacción del cliente
La satisfacción del cliente se debería medir para permitir que el proveedor del servicio compare
el desempeño con las metas de satisfacción del cliente y encuestas previas. El alcance y la
complejidad de la encuesta se debería diseñar de manera tal que los clientes puedan
responder con facilidad y sin requerir tiempo excesivo para completarla de manera precisa.
Se deberían investigar las variaciones significativas en los niveles de satisfacción para llegar a
entender las razones de las mismas. Las tendencias u otras comparaciones deberían
realizarse únicamente con preguntas comparables en cuanto a la satisfacción y a través de
métodos de muestreo comparables.
21
Los resultados y conclusiones de las encuestas de satisfacción del cliente se deberían discutir
con el cliente. Se debería pactar un plan de acción, utilizándolo como entrada para un plan de
mejora del servicio, y reportar el progreso al cliente.
Los cumplimientos acerca del servicio se deberían documentar e informar al equipo de

prestación del servicio.
7.3 GESTIÓN DE PROVEEDORES EXTERNOS
Objetivo: Gestionar los proveedores de tercera parte para garantizar la prestación del servicio
con calidad y sin interrupciones.
7.3.1 Introducción
Los procedimientos de gestión de proveedores de tercera parte deberían garantizar que:
a) el proveedor de tercera parte entiende sus obligaciones para con el proveedor del
servicio;
b) los requisitos pactados y legítimos se cumplen dentro del alcance y los niveles
acordados del servicio;
c) se hace gestión de los cambios;
d) se registran todas las transacciones del negocio entre todas las partes;
e) se puede observar y actuar sobre la información acerca del desempeño de todos los
proveedores de tercera parte.
7.3.2 Gestión de contratos
El proveedor del servicio debería asignar a un director responsable de los contratos y acuerdos
con los proveedores de tercera parte. Cuando una cantidad de personal está implicada en ésta
labor, debería existir un proceso común que garantice que la información sobre el desempeño
del proveedor de tercera parte se cumple y se actúa sobre ella.
Debería existir un contacto definido con el proveedor del servicio responsable de la relación
con cada proveedor de tercera parte.
Todos los contratos de proveedores de tercera parte deberían contener un plan de revisión
para evaluar si los objetivos del negocio para la contratación de un servicio permanecen
válidos.
Se debería definir claramente un proceso de gestión para cada contrato. El proceso de

enmiendas a los contratos debería ser claramente definido. Todos los cambios en este
procedimiento se deberían notificar formalmente a todos los proveedores de tercera parte
afectados.
Se debería conservar una lista de los puntos de contacto dentro de las organizaciones
respectivas (la del proveedor de tercera parte y la del proveedor del servicio). Si un contrato
incluye penalizaciones o bonificaciones, se debería indicar con claridad sus fundamentos y
elaborar un informe del cumplimiento de los requisitos.
22
7.3.3 Definición del servicio
Para cada servicio y proveedor de tercera parte, el proveedor del servicio debería mantener:
a) una definición de los servicios, las funciones y las responsabilidades;
b) alcance del servicio;
c) proceso de gestión de contratos, niveles de autorización y plan de salida del contrato;
d) términos de pago, si es pertinente;
e) parámetros pactados para la presentación de informes y registros del desempeño

alcanzado.
7.3.4 Gestión de proveedores de tercera parte múltiples
Es recomendable que se aclare si el proveedor del servicio trata directamente con todos los
proveedores de tercera parte o con el proveedor líder de tercera parte que tiene
responsabilidad de los proveedores de tercera parte subcontratados.
El proveedor líder de tercera parte debería registrar los nombres, responsabilidades y

relaciones entre todos los proveedores de tercera parte subcontratados y hacer que esta
información esté disponible para el proveedor del servicio cuando lo requiera.
El proveedor del servicio debería obtener evidencia de que los proveedores líderes de tercera
parte realizan la gestión formal de los proveedores de tercera parte subcontratados, guiados,
cuando así corresponda, por los requisitos de la norma NTC-ISO/IEC 20000-1.
7.3.5 Gestión de los conflictos contractuales
Tanto el proveedor del servicio como el proveedor externo deberían aplicar un proceso para la
gestión de los conflictos y este proceso debería estar definido o referenciado dentro del
contrato.
Es conveniente que esté disponible una ruta de escalamiento para los conflictos que no se
pueden resolver a través de la ruta normal.
El procedimiento debería garantizar que los conflictos se registran, investigan, se actúa sobre
ellos y se cierran de manera formal.
7.3.6 Finalización del contrato
El proceso de gestión de contratos debería incluir disposiciones para la finalización del

contrato, bien sea el final esperado o un final anticipado. También debería suministrar
disposiciones para la transferencia del servicio a otra organización.
8. PROCESOS DE SOLUCIÓN
8.1 ANTECEDENTES
La gestión de incidentes y problemas son procesos separados aunque están estrechamente

vinculados. Los incidentes tienen que ver con la restauración del servicio para los usuarios,
23
mientras que los problemas tienen que ver con la identificación y eliminación de las causas de
los incidentes.
8.1.1 Establecimiento de las prioridades
Las metas de solución se deberían basar en la prioridad. Es conveniente que la prioridad a su

vez se base en el impacto y la urgencia. El impacto se debería basar en la escala del daño
potencial o real para el negocio del cliente. La urgencia se debería basar en el tiempo que
transcurre entre la detección del incidente o el problema y el tiempo en que el negocio del
cliente sufre el impacto.
La programación de la solución del problema o el incidente debería tener en cuenta los

siguientes aspectos como mínimo:
a) prioridad;
b) habilidades disponibles;
c) requisitos de competencia para los recursos;
d) esfuerzo/costo para brindar el método de solución;
e) tiempo que transcurre para suministrar un método de solución.
NOTA La prioridad se utiliza en toda la gestión del servicio pero es muy importante para la gestión de problemas e
incidentes.
8.1.2 Soluciones temporales
Cuando así convenga, el proceso de gestión de problemas debería desarrollar y mantener

soluciones temporales que permitan que la gestión de incidentes ayude a la restauración del
servicio por parte del personal a cargo.
Un error conocido sólo se debería cerrar cuando se ha aplicado con éxito un cambio correctivo
o cuando el error ya no es aplicable, por ejemplo porque el servicio ya no se utiliza.
La gestión de problemas debería tener acceso a la información sobre las áreas de negocio
afectadas por los problemas.
Se recomienda almacenar y conservar la información sobre las soluciones temporales

recopiladas en la base de conocimiento, su aplicabilidad y eficacia.
8.2 GESTIÓN DE INCIDENTES
Objetivo: Restaurar el servicio estipulado para el negocio tan pronto sea posible o responder a
las solicitudes del servicio.
NOTA 1 El proceso de gestión de incidentes puede ser entregado por una mesa de servicios, el cual actúa como
el contacto diario con los usuarios.
NOTA 2 La gestión de incidentes debería ser:
a) un proceso tanto proactivo como reactivo que responda a los incidentes que afectan o que podrían
potencialmente afectar al servicio;
24
b) de interés en el restablecimiento del servicio para los clientes sin determinar la causa de los incidentes.
El proceso de gestión de incidentes debería incluir los siguientes aspectos:
a) recepción de llamadas, registro y asignación de prioridades, clasificación;
b) la primera línea de solución o referencia;
c) consideración de los problemas de seguridad;
d) seguimiento del incidente y gestión del ciclo de vida;
e) verificación y cierre del incidente;
f) primera línea de vínculo con el cliente;
g) escalamiento.
Los incidentes pueden ser reportados mediante llamadas telefónicas, correos de voz, visitas,
cartas, faxes o correos electrónicos o pueden ser registrado directamente por los usuarios con
acceso al sistema de registro de incidentes o por el software de monitoreo automático.
Se recomienda registrar todo los incidentes en una manera que permita que la información
pertinente se recupere y analice.
El progreso (o la falta de este) en la solución de incidentes se debería comunicar a todos

aquellos que están real o potencialmente afectados. Todas las acciones se deberían registrar
en el registro de incidentes.
El personal de gestión de incidentes debería tener acceso a una base de conocimiento

actualizada que contenga información sobre los especialistas técnicos, los incidentes previos,
los problemas relacionados y los errores conocidos, las soluciones temporales y las listas de
verificación que ayudarán a restablecer el servicio para el negocio.
Siempre que sea posible, el cliente debería contar con los medios para continuar el negocio
incluso únicamente con un servicio degradado, por ejemplo inhabilitando una característica
fallida. La razón es minimizar el impacto en las actividades del negocio del cliente. Cuando la
causa permanece sin diagnosticar, pero se establece una solución temporal, los detalles se
deberían registrar para ser utilizados durante el diagnóstico continuo de problemas y cuando se
vuelvan a presentar incidentes similares.
El cierre final de un incidente sólo debería tener lugar cuando el usuario que lo inició ha tenido
la oportunidad de confirmar que el incidente se ha resuelto y el servicio se ha restaurado.
8.2.2 Incidentes mayores
Es recomendable que exista una definición clara de lo que constituye un incidente mayor y
quien tiene la autoridad para invocar los cambios en el funcionamiento normal del proceso de
problemas/incidentes.
Todos los incidentes mayores deberían tener un director responsable claramente definido en
todo momento.
25
La designación como director de incidentes mayores debería suministrar al individuo los niveles
de autoridad que son convenientes para la función de coordinar y controlar todos los aspectos
de la solución. Se debería incluir la responsabilidad en la escalada eficaz y de la comunicación
en todas las áreas implicadas en la solución y con los clientes afectados por el incidente mayor.
NOTA Este nivel de autoridad puede ser temporal y aplicarse únicamente durante el incidente mayor.
El proceso para un incidente mayor debería incluir una revisión, la cual brindará información al
plan de mejora del servicio.
8.3 GESTIÓN DE PROBLEMAS
Objetivo: Minimizar la interrupción del negocio mediante la identificación proactiva y el análisis

de la causa de los incidentes y mediante la gestión de los problemas hasta sus cierre.
8.3.1 Alcance de la gestión de problemas
El proceso de gestión de problemas debería investigar las causas subyacentes de los

incidentes.
El proceso de gestión de problemas debería evitar proactivamente la recurrencia o repetición

de incidentes o errores conocidos, de acuerdo con los requisitos del negocio.
8.3.2 Iniciación de la gestión de problemas
Los incidentes se deberían clasificar para facilitar la determinación de las causas de los
problemas. La clasificación puede hacer referencia a problemas y cambios existentes.
NOTA En el registro inicial, la categorización de los incidentes tendrá la influencia de otros factores que incluyen
también el servicio, el área de negocios afectada y los síntomas que presenta.
8.3.3 Errores conocidos
Cuando la investigación de la gestión de problemas ha identificado la causa raíz del incidente y

un método para resolverlo, el problema se debería clasificar como un error conocido.
Se recomienda que todos los errores conocidos se registren con referencia a los servicios
afectados actual y potencialmente, además del elemento de configuración que se sospecha ha
fallado.
La información sobre los errores conocidos en los servicios que se introducen en el entorno
activo se debería transferir a la gestión del servicio y registrar en la base de conocimiento junto
con todas las soluciones temporales.
Un error conocido no se debería cerrar hasta su solución exitosa.
NOTA El cliente o el proveedor del servicio pueden decidir que la solución es demasiado costosa o que no es
benéfica para el negocio. Si éste es el caso, esto se debería documentar con toda claridad. Sin embargo, el registro
del error conocido se debería mantener abierto dado que los incidentes consecuentes probablemente ocurran
todavía y pueden requerir de soluciones temporales y/o reevaluación de la decisión de solución.
8.3.4 Solución de problemas
Cuando se ha identificado la causa raíz, y se ha tomado la decisión de resolver, la solución

debería avanzar mediante el proceso de gestión de cambios.
26
8.3.5 Comunicación
La información sobre soluciones temporales, permanentes o el progreso de los problemas se

debería comunicar a todos aquellos afectados o que requieren dar soporte a los servicios
afectados.
8.3.6 Seguimiento y escalamiento
Se recomienda hacer seguimiento del progreso de los problemas.
Todos los inconvenientes se deberían escalar hasta las partes correspondientes. El proceso
debería comprender:
a) registro de cambios en las identidades de aquellos responsables de la solución de

problemas durante el ciclo vida de cada problema;
b) identificación de los incidentes que ponen en peligro las metas del nivel de servicio;
c) disposición en cascada de la información para los clientes y los colegas de tal forma que
puedan emprender las acciones adecuadas para minimizar el impacto del problema no
resuelto;
d) definición de los puntos de escalamiento;
e) registro de los recursos utilizados y de todas las acciones llevadas a cabo.
8.3.7 Cierre del registro de problemas e incidentes
El procedimiento de cierre del registro debería incluir la verificación para garantizar que:
a) los detalles de la soluciones se han registrado de manera exacta;
b) la causa está clasificada para facilitar el análisis;
c) si así corresponde, tanto el cliente como el personal de soporte conocen la solución;
d) el cliente está de acuerdo en que se ha logrado la solución;
e) si no se logra la solución o ésta no es posible, se informa al cliente.
8.3.8 Revisiones de problemas
Las revisiones de los problemas se deberían llevar a cabo cuando la investigación de

problemas no resueltos, inusuales, o de alto impacto así lo justifique. Su propósito es buscar
mejoras para los procesos y evitar que se vuelvan a presentar los incidentes o los errores.
Normalmente las revisiones de los problemas son:
a) revisiones de los niveles de incidentes individuales y del estado de los problemas en

comparación con los niveles de servicio;
b) revisiones por la dirección para enfatizar aquellos problemas que requieren acción
inmediata;
27
c) revisión por la dirección para determinar y analizar las tendencias y brindar entradas
para otros procesos como la educación y el entrenamiento del usuario.
8.3.9 Temas para las revisiones
Las revisiones deberían incluir la identificación de:
a) tendencias, por ejemplo recurrencia de problemas incidentes, errores conocidos, etc.;
b) repetición de problemas con un componente o ubicación de clasificación particular;
c) deficiencias causadas por recursos, entrenamiento o documentación;
d) no conformidades, por ejemplo con la norma, las políticas y la legislación;
e) errores conocidos en las versiones planificadas;
f) compromiso del personal en la solución de incidentes y problemas;
g) repetición de problemas o incidentes no resueltos.
Se recomienda que las mejoras al servicio o al proceso de gestión de problemas se registren y

sirvan de entrada al plan de mejora del servicio.
La información se debería agregar a la base de conocimientos sobre gestión de problemas.
Es recomendable que toda la documentación pertinente esté actualizada, por ejemplo las guías
usuario y la documentación del sistema.
8.3.10 Prevención de problemas
La gestión proactiva de problemas debería conducir a la reducción de incidentes y problemas.

Debería incluir referencia a la información que facilite el análisis por ejemplo:
a) bienes y configuración;
b) gestión de cambios;
c) error conocido publicado, información de soluciones temporales provenientes de los

proveedores de tercera parte;
d) información histórica sobre problemas similares.
Es conveniente que la prevención de los problemas tenga un rango amplio desde la prevención
de incidentes individuales, como las dificultades repetidas con una característica particular del
sistema, hasta las decisiones estratégicas. Estas últimas pueden requerir de un mayor gasto de
implementación, tal como la inversión en una mejor red, en este nivel la gestión proactiva de
problemas se integra con la gestión de disponibilidad.
La prevención de problemas también incluye la información que se entrega a los clientes que
implica que no es necesario que ellos soliciten asistencia en el futuro.
EJEMPLO prevención de incidentes causados por falta de conocimiento o entrenamiento del usuario.
28
9. PROCESOS DE CONTROL
9.1 GESTIÓN DE LA CONFIGURACIÓN
Objetivo: Definir y controlar los componentes del servicio y la infraestructura, así como
mantener información exacta sobre la configuración.
9.1.1 Planificación e implementación de la gestión de la configuración
La gestión de la configuración se debería planificar e implementar con la gestión de cambios y

de versiones para garantizar que el proveedor del servicio puede hacer la gestión de sus
bienes de tecnología de la información y de las configuraciones de manera eficaz.
Es recomendable que esté disponible la información sobre la configuración exacta para dar
soporte a la planificación y el control de los cambios a medida que se publican y distribuyen
servicios y sistemas nuevos y actualizados. El resultado debería ser un sistema eficiente que
integre los procesos de información de configuración de proveedor del servicio con los de sus
clientes y proveedores externos, cuando así corresponda.
Todos los bienes principales y las configuraciones se deberían tener en cuenta y deberían
tener un director responsable que garantice el mantenimiento de protección y control
adecuados, por ejemplo que los cambios se autorizan antes de la implementación.
La responsabilidad de la implementación de los controles se puede delegar, pero la

responsabilidad debería permanecer en el director responsable. Este director debería tener
toda información necesaria para cumplir con esta responsabilidad, por ejemplo, la persona que
autoriza un cambio puede requerir información sobre costos, riesgos, impacto del cambio y
recursos para la implementación.
La infraestructura y/o los servicios deberían tener un plan actualizado de gestión de la

configuración que pueda ser independiente o formar parte de los documentos de planificación.
Dicho plan debe incluir o describir:
a) alcance, objetivos, políticas, normas, funciones y responsabilidades;
b) los procesos de gestión de la configuración para definir los elementos de la

configuración en el servicio e infraestructura, el control de cambios en las
configuraciones, el registro y reporte del estado de los elementos de configuración y la
verificación de la integridad y exactitud de los elementos de configuración;
c) los requisitos para contabilidad, trazabilidad, auditoría, por ejemplo con propósitos de
seguridad, legal, reglamentario o del negocio;
d) control de la configuración (controles de acceso, protección, versión, desarrollo y puesta

en producción);
e) proceso de control de interfaz para identificar, registrar y gestionar los elementos de

configuración y la información en la frontera común de dos o más organizaciones, por
ejemplo interfaces de sistema, versiones;
f) planificación y establecimiento de los recursos para que los bienes y las configuraciones
estén bajo control y para mantener el sistema de gestión de configuración, por ejemplo
el entrenamiento;
29
g) gestión de proveedores de tercera parte y subcontratistas que llevan a cabo la gestión

de la configuración.
NOTA Es conveniente la implementación de un nivel adecuado de automatización para garantizar que los
procesos no se vuelvan ineficientes, propensos a errores o que no se puedan cumplir.
9.1.2 Identificación de la configuración
Todos los elementos de configuración deberían tener una identificación única y estar definidos
por atributos que describan sus características físicas y funcionales. La información debería ser
pertinente y poder de ser sometida a auditoría.
Se recomienda utilizar rótulos adecuados u otros métodos de identificación y registrarlos en la

base de datos de gestión de la configuración.
Los elementos que se han de gestionar se deberían identificar utilizando criterios de selección
establecidos y deberían incluir:
a) todos los aspectos y versiones de los sistemas y el software de información (incluyendo

el software de tercera parte) y la documentación relacionada del sistema, por ejemplo
especificaciones de requisitos, diseños, informe de pruebas, y documentos;
b) líneas base de configuración o declaraciones de conformación para cada entorno

aplicable, conformaciones estándar de hardware y de puesta en producción;
c) copia física maestra y bibliotecas electrónicas, por ejemplo biblioteca de software definitivo;
d) paquetes o herramientas para la gestión de la configuración que se están utilizando;
e) licencias;
f) componentes de seguridad, por ejemplo firewalls;
g) bienes físicos que necesitan trazabilidad para la gestión financiera de los bienes o por
razones del negocio, por ejemplo medios magnéticos seguros, equipos;
h) documentación relacionada con el servicio, por ejemplo SLA, procedimientos;
i) recursos que apoyan al servicio, por ejemplo energía eléctrica para el recinto de
computadores;
j) relaciones y dependencias entre los elementos de configuración.
NOTA Otros elementos que se pueden considerar elementos de configuración incluyen:
a) otra documentación;
b) otros bienes;
c) otros recursos; por ejemplo el lugar;
d) unidades de negocios;
e) personas.
30
Es necesario identificar las relaciones adecuadas y las dependencias entre los elementos de
configuración para proporcionar un grado necesario de control.
Cuando se requiere de trazabilidad, el proceso debería garantizar que los elementos de

configuración se puedan rastrear durante todo el ciclo de vida, desde los documentos de
requisitos hasta los registros de puesta en producción, utilizando por ejemplo, una matriz de
trazabilidad.
9.1.3 Control de la configuración
El proceso debería garantizar que solamente se acepten y se registren los elementos de

configuración autorizados e identificables desde la recepción hasta la eliminación.
Ningún elemento de configuración se debería agregar, modificar, reemplazar/retirar sin la

documentación de control adecuada, como las solicitudes aprobadas de cambios, la
información actualizada sobre versiones.
Para proteger la integridad de los sistemas, los servicios y la infraestructura, los elementos de
la configuración deberían permanecer en un entorno adecuado y seguro que:
a) los protejan del acceso, el cambio o la corrupción no autorizados, por ejemplo de virus;
b) brinde los medios para la recuperación de desastres;
c) permita la recuperación controlada de una copia de una matriz controlada, por ejemplo
de software.
9.1.4 Seguimiento del estado de la configuración y presentación de informes.
Los registros actuales y exactos de la configuración se deberían mantener para reflejar los
cambios en el estado, la ubicación y las versiones de los elementos de configuración.
El seguimiento del estado debería proporcionar información sobre los datos actuales e
históricos involucrados con cada elemento de configuración durante todo el ciclo de vida . Este
seguimiento debería permitir que los cambios en los elementos de configuración se puedan
rastrear durante todos los diversos estados, por ejemplo solicitado, recibido, en pruebas de
aceptación, activo, en condiciones de cambio, retirado, y en disposición final.
La información de la configuración se debería conservar actualizada y estar disponible para

planificación, toma de decisiones y cambios en la gestión de las configuraciones definidas.
Cuando así se requiera, la información de la configuración debería ser accesible a los usuarios,
clientes, proveedores de tercera parte y socios para facilitarles la planificación y la toma de
decisión. Por ejemplo, un proveedor de servicio externo puede hacer que la información de la
configuración esté accesible al cliente y a otras partes con el fin de apoyar los procesos de
gestión de otros servicios para un servicio total.
Los informes de gestión de la configuración deberían estar disponibles para todas las partes
pertinentes. Estos informes deberían comprender la identificación y el estado de los elementos
de configuración, sus versiones y documentación asociada.
Estos informes deberían incluir:
a) versiones más recientes de los elementos de configuración;
31
b) localización del elemento de configuración y, para el software, la localización de las

versiones maestras;
c) interdependencias;
d) historial de la versión;
e) estado de los elementos de configuración que, en conjunto, constituye:
1) configuración del servicio o sistemas;
2) un cambio, una línea base, una conformación o puesta en producción;
3) versión o variante.
9.1.5 Verificación y auditoría de la configuración
La verificación de la configuración de los procesos de auditoría, tanto físicos como funcionales,

se deberían programar y verificar para garantizar que los procesos y los recursos adecuados
están implementados con el fin de:
a) proteger las configuraciones físicas y el capital intelectual de la organización;
b) garantizar que el proveedor del servicio controla sus configuraciones, copias maestras y
licencias;
c) proporcionar confianza en que la información de configuración es exacta, está bajo

control y es visible;
d) garantizar que un cambio, una puesta en producción, un sistema o un entorno cumple

los requisitos contratados o especificados y que los registros de configuración son
exactos.
Es recomendable que las auditoría de la configuración se realicen de manera regular, antes y

después de cambios mayores, después de un desastre y a intervalos al azar.
Las deficiencias en las no conformidades se deberían registrar, evaluar y emprender acciones

correctivas, actuar en ellas y retroalimentar a las partes pertinentes, así como planificar la
mejora el servicio.
NOTA Por lo general, existen dos tipos de auditoría de la configuración:
a) auditoría de configuración funcional: examen formal para verificar que un elemento de

configuración ha logrado el desempeño y las características funcionales especificadas
en sus documentos de configuración;
b) auditoría de configuración física: examen formal de la configuración "tal como se

construye/produce" de un elemento de configuración para verificar que cumple con los
documentos de configuración del producto.
9.2 GESTIÓN DE CAMBIOS
Objetivo: Garantizar que todos los cambios se evalúan, aprueban, implementan y revisan de
manera controlada.
32
9.2.1 Planificación e implementación
Los procesos y procedimientos de gestión de cambios deberían garantizar que:
a) los cambios se han definido y se ha documentado el alcance de manera clara;
b) únicamente se aprueban los cambios que brindan beneficios para el negocio, por
ejemplo comerciales, legales, reglamentarios, estatutarios;
c) los cambios se programan con base en la prioridad y el riesgo;
d) los cambios en las configuraciones se pueden verificar durante la implementación del

cambio;
e) el tiempo para implementar los cambios se monitorea y mejora según se requiera;
f) se puede demostrar la manera en que un cambio se:
1) produce, registra y clasifica (con referencia a los documentos que originan el

cambio);
2) evalúa para determinar el impacto, la urgencia, el costo, los beneficios y el riesgo

de los cambios para el servicio, el cliente y los planes de la puesta en
producción;
3) revierte o corrige si no tiene éxito;
4) documenta, por ejemplo la solicitud de cambio que está vinculada a los

elementos de configuración afectados y a la versión actualizada de los planes de
implementación y de puesta en producción;
5) aprueba o rechaza por parte de la autoridad encargada de los cambios,

dependiendo del tipo, tamaño y riesgo del cambio;
6) implementa por parte del dueño asignado, dentro de los grupos responsables de
los componentes que se someten a cambios;
7) prueba, verifica y firma;
8) cierra y revisa;
9) programa, monitorea y reporta;
10) vincula a incidentes, problemas, u otro cambio y registros de elementos de

configuración, cuando así corresponda.
El estado de los cambios y las fechas de implementación programadas se deberían utilizar

como base para la programación del cambio y de la puesta en producción.
Es conveniente que la información del cronograma esté disponible para las personas que se
van a ver afectadas por el cambio.
Cuando existe la posibilidad de que se produzca una interrupción durante las horas de servicio
normal, las personas afectadas deberían pactar el cambio antes de la implementación.
33
9.2.2 Cierre y revisión de las solicitudes de cambio
Todos los cambios se deberían revisar para determinar su éxito o fracaso después de la
implementación y se deberían registrar todas las mejoras. Es conveniente realizar una revisión
posterior a la implementación de los cambios mayores para verificar que:
a) el cambio cumple sus objetivos;
b) los clientes están satisfechos con los resultados;
c) no se han presentado efectos colaterales inesperados.
Es necesario registrar cualquier no conformidad y emprender acción.
Todas las debilidades o deficiencias identificadas en una revisión del proceso de gestión de
cambios deberían servir como entradas para los planes de mejora del servicio.
9.2.3 Cambios de emergencia
En algunas ocasiones se requieren cambios de emergencia y, cuando sea posible, se debería

cumplir el proceso de cambios pero algunos detalles se pueden documentar de manera
retrospectiva. Cuando los procesos de emergencia eluden otros requisitos de la gestión de
cambio, el cambio debería cumplir con estos requisitos de la forma más práctica que sea
posible.
El responsable de implementar los cambios de emergencia debería justificarlos y revisarlos

posteriormente para verificar que realmente se trató de una emergencia.
9.2.4 Presentación de informes de la gestión de cambios, análisis y acciones
Los registros de cambios se deberían analizar regularmente para detectar los niveles
crecientes de cambios, los tipos que se repiten con frecuencia, las tendencias emergentes y
otra información relevante. Los resultados y conclusiones que se obtiene a partir de este
análisis de cambios se deberían registrar y se aconseja emprender acciones acordes.
10. PROCESO DE PUESTA EN PRODUCCIÓN
10.1 PROCESO DE GESTIÓN DE VERSIONES
Objetivo: Entregar, distribuir y rastrear uno o más cambios en el ambiente de producción.
La gestión de puesta en producción debería coordinar las actividades del proveedor del
servicio, de muchos proveedores externos y del negocio para planificar y entregar una versión
en todo un entorno distribuido.
La buena planificación y gestión son esenciales para empaquetar y distribuir exitosamente una
versión y gestionar el impacto y riesgo asociado al negocio y a la tecnología de información. La
puesta en producción de sistemas de información afectados, su infraestructura, servicios y
documentación se deberían planificar con el negocio.
34
Todas las actualizaciones asociadas a la documentación deberían ser incluidas en la versión,

por ejemplo los procesos del negocio, los documentos de soporte y los acuerdos de nivel de
servicio.
Es conveniente evaluar el impacto de los elementos de configuración nuevos o modificados

requeridos para efectuar los cambios autorizados.
El proveedor del servicio debería garantizar que se han considerado tanto los aspectos
técnicos como los no técnicos de la puesta en producción.
Los elementos de la versión deberían ser trazables y evitar su modificación. Únicamente se

deberían aceptar en el ambiente de producción las versiones adecuadamente probadas y
aprobadas.
10.1.2 Política de gestión de versiones
Debería existir una política de puesta en producción que incluya:
a) la frecuencia y el tipo de versión;
b) las funciones y responsabilidades de la gestión de versiones;
c) la autoridad para pasar la versión a pruebas de aceptación y al ambiente de producción;
d) la identificación única y la descripción de todas las versiones;
e) el enfoque para agrupar los cambios en una versión;
f) el enfoque para automatizar los procesos de desarrollo, instalación, distribución de la

versión para facilitar su repetibilidad y eficiencia;
g) verificación y aceptación de una versión.
10.1.3 Planificación de la puesta en producción
El proveedor del servicio debería trabajar con el negocio para garantizar que los elementos de
configuración que se van a colocar en producción sean compatibles entre sí y con los
elementos de configuración en el entorno objeto.
La planificación de la puesta en producción debería garantizar que los cambios que afectan a
los sistemas de información, la infraestructura, los servicios y la documentación se hayan
pactado, autorizado, programado, coordinado y sometido a seguimiento.
La puesta en producción y la transferencia se deberían planificar en etapas, ya que los detalles

de la transferencia tal vez no se conozcan inicialmente.
La planificación para la puesta en producción y transferencia comúnmente incluye:
a) fechas de puesta en producción y descripción de entregables;
b) cambios relacionados, problemas y errores conocidos cerrados o resueltos por la

versión y errores conocidos que se han identificado durante la prueba de la versión;
35
c) procesos relacionados para implementar una versión en todo el negocio y las unidades
geográficas;
d) la manera en que la versión se va a retirar o corregir si no tiene éxito;
e) verificación y proceso de aceptación;
f) comunicación, preparación, documentación y entrenamiento para el cliente y el personal

de soporte;
g) logística y procesos para adquirir, almacenar, despachar, conectar, aceptar y disponer

los productos;
h) recursos de soporte que se requieren para garantizar que se mantienen los niveles de
servicio;
i) Identificación de dependencias, cambios relacionados y riesgos asociados que pueden

afectar la transferencia fluida de una versión en la prueba de aceptación y los entornos
de producción;
j) cierre de la puesta en producción;
k) programa de auditorías del ambiente de producción requeridas por cambios mayores,

que garanticen que el ambiente de producción está en el estado esperado cuando se
instala la versión.
10.1.4 Desarrollo y adquisición de software
Las versiones de software y sistemas de información elaboradas por los equipos internos, los
creadores de sistemas, los integradores de sistemas u otras organizaciones se deberían
verificar en el momento de recibirlos.
El proceso global se debería documentar en el plan de gestión de configuración.
10.1.5 Diseño, desarrollo y configuración de la versión
La versión y distribución se deberían diseñar e implementar con el fin de:
a) cumplir las normas de la arquitectura del servicio, la gestión del servicio y la

infraestructura del proveedor del servicio;
b) garantizar que se conserva la integridad durante el desarrollo, instalación, manejo,

empaque y entrega;
c) utilizar las bibliotecas de software y repositorios relacionados para la gestión y el control

de los componentes durante el proceso de desarrollo y gestión de la version;
d) los riesgos se identifican con claridad y se ha emprendido acción correctiva cuando así
se requiere;
e) permitir la verificación de que la plataforma objeto satisface los prerrequisitos antes de

la instalación;
f) permitir la verificación de que la versión está completa cuando llega a su destino.
36
Las salidas de este proceso deberían incluir notas de la versión, instrucciones de instalación,
software instalado y hardware con la línea base de configuración relacionada.
Las salidas de la versión se deberían distribuir a todo el grupo responsable de las pruebas.
Los procesos de desarrollo, instalación, versión y distribución se podrían automatizar para

reducir errores, garantizar que el proceso es repetible y que las nuevas versiones se pueden
transferir rápidamente.
10.1.6 Verificación y aceptación de la versión
El resultado final debería ser una aprobación sobre la totalidad del paquete de la versión en
comparación con los requisitos. En el proceso de verificación y aceptación se debería:
a) verificar que el entorno de prueba de aceptación controlado cumple los requisitos del
entorno de producción objeto;
b) garantizar que la versión final se ha creado a partir de versiones que están bajo la
gestión de configuración y que se han instalado en el entorno de prueba de aceptación
usando el proceso de producción planificado;
c) garantizar que la versión final se somete a prueba a satisfacción de los clientes del
negocio y el personal del proveedor del servicio;
e) garantizar que la autoridad correspondiente en cuanto a la gestión de la versión

aprueba cada etapa de la prueba de aceptación;
f) verificar que la plataforma objeto satisface los prerrequisitos de hardware y software

antes de la instalación;
g) verificar que la versión está completa cuando llega a su destino.
10.1.7 Documentación
Se recomienda que la documentación correspondiente una vez finalizada esté a disposición y

almacenada según la gestión de configuración de acuerdo con el elemento de configuración
publicado. Esta documentación debería incluir:
a) documentación de soporte, por ejemplo acuerdos de nivel de servicio;
b) documentación de soporte, por ejemplo medición general del sistema, procedimientos

de instalación y soporte, ayudas diagnósticas, instrucciones de operación y
administración;
c) procesos de desarrollo, versión, instalación y distribución;
d) planes de contingencia y de soporte;
e) programa de entrenamiento para la gerencia del servicio, el personal de soporte y los

clientes;
f) línea base de configuración para la versión, incluyendo elementos de configuración

asociados tales como documentación del sistema, entornos de prueba, documentación
de pruebas, versiones de herramientas de construcción y desarrollo,
37
g) cambios relacionados, problemas y errores conocidos;
h) evidencia de autorización de la versión y evidencia relacionada de verificación y

aceptación.
Un sistema o servicio que no cumpla por completo con sus requisitos especificados se debería
identificar y registrar a través de la gestión de configuración y la gestión de problemas antes de
estar activo.
La información sobre errores conocidos debería comunicarse a la gestión incidentes.
Si la versión se rechaza, retrasa o cancela se debería informar de ello a la gestión de cambios.
10.1.8 Transferencia, distribución e instalación
El plan de transferencia se debería revisar y se deberían añadir detalles, según sea necesario,
para garantizar que todas las actividades requeridas se van a llevar a cabo.
Es importante que la versión se entregue de manera segura a su destino, en el estado

esperado. Los procesos de transferencia, distribución e instalación deberían garantizar que:
a) todas las áreas de almacenamiento de hardware y software son seguras;
b) existen procedimientos adecuados para almacenamiento, despacho, recibo y

disposición de productos;
c) las verificaciones de instalación, ambiente, eléctricas y de las instalaciones se planifican

y completan;
d) se notifica al personal del negocio y del proveedor del servicio sobre las nuevas
versiones;
e) los productos, servicios y licencias redundantes se retiran del servicio.
Después de la distribución de software en una red, es esencial verificar que la versión esté
completa y sea operativa cuando llegué a su destino.
Después de una instalación exitosa, los registros de gestión de bienes y de configuración se

deberían actualizar con la ubicación y el dueño del hardware y el software.
Se puede utilizar un cuestionario de satisfacción y aceptación de la instalación por el cliente

para registrar el éxito o la falla. Los resultados de todas las encuestas de clientes se deberían
retroalimentar a la gestión de relaciones proveedor-cliente.
10.1.9 Después de la puesta en producción y la transferencia
La cantidad de incidentes relacionados con la puesta en producción en el periodo

inmediatamente después de una transferencia se deberían medir y analizar para determinar su
impacto en el negocio, las operaciones y los recursos del personal de soporte.
El proceso de gestión de cambios debería incluir una revisión posterior a la implementación.
Conviene incluir recomendaciones en un plan para la mejora del servicio.
38
BIBLIOGRAFÍA
[1] NTC-ISO/IEC 9000, Sistemas de Gestión de la Calidad. Fundamentos y Vocabulario
[2] NCT-ISO/IEC 9001, Sistemas de Gestión de la Calidad. Requisitos
[3] NTC-ISO/IEC 20000-1, Tecnología de la Información. Gestión del Servicio. Parte 1:

Especificación
[4] NTC ISO/IEC 27002, Tecnología de la Información - Técnicas de Seguridad – Código de

práctica para gestión de la seguridad de la información
[5] NTC 4243 , Tecnología de la Información. Procesos del Ciclo de vida del software
[6] ISO/IEC TR 15271, Information Technology - Guide for ISO/IEC 12207 (Software Life
Cycle Processes).
[7] ISO/IEC TR 16326, Software Engineering - Guide for the Application of ISO/IEC 12207
to Project Management.
[8] ISO/IEC 15288, System Engineering - System Life Cycle Processes.
[9] ISO/IEC TR 19760, System Engineering - A Guide for the Application of ISO/IEC 15288
(System Life Cycle Processes).
[10] ISO/IEC 15504-1, Information Technology - Process Assessment - Part 1: Concepts and
Vocabulary.
[11] ISO/IEC 15504-2, Information Technology - Process Assessment - Part 2: Performing an

Assessment.
[12] ISO/IEC 15504-3, Information Technology - Process Assessment - Part 3: Guidance on

Performing An Assessment.
[13] ISO/IEC 15504-4, Information Technology - Process Assessment - Part 4: Guidance on

use for Process Improvement and Process Capability Determination.
[14] ISO/IEC 15504-5, Information Technology - Process Assessment - Part 5: An Exemplar

Process Assessment Model.
[15] ISO/IEC 10007, Quality Management Systems - Guidelines for Configuration

Management.
[16] ISO/IEC 9003, Software Engineering - Guidelines for the Application of ISO 9001:2000
to Computer Software.
39
DOCUMENTO DE REFERENCIA
INTERNATIONAL ORGANIZATION FOR STANDARDIZATION. Information Technology -

Service Management - Part 2: Code of Practice. Geneva: ISO, 2005, 34 p.
( I S O / I E C 20000 - 2:2005 (E)).
40

NTC-ISO-IEC 20000-2 v2008

Cargado por

Copyright:

Formatos disponibles

NTC-ISO-IEC 20000-2 v2008

Cargado por

Información del documento

Descripción original:

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

NTC-ISO-IEC 20000-2 v2008

Cargado por

Copyright:

Formatos disponibles

NORMA TÉCNICA NTC-ISO/IEC

E: INFORMATION TECHNOLOGY. SERVICE MANAGEMENT.

CORRESPONDENCIA: esta norma es una adopción idéntica

DESCRIPTORES: protección de la información; tecnología

I.C.S.: 35.020.00; 03.100.99

Editada por el Instituto Colombiano de Normas Técnicas y Certificación (ICONTEC)

Prohibida su reproducción Editada 2008-12-10

El Instituto Colombiano de Normas Técnicas y Certificación, ICONTEC, es el organismo

La representación de todos los sectores involucrados en el proceso de Normalización Técnica

La NTC-ISO/IEC 20000-2 fue ratificada por el Consejo Directivo de 2008-11-26.

A continuación se relacionan las empresas que colaboraron en el estudio de esta norma a

AVIANCA PIRÁMIDE ADMINISTRACIÓN DE

Además de las anteriores, en Consulta Pública el Proyecto se puso a consideración de las

ABN AMRO BANK BANCAFÉ

1. OBJETO Y CAMPO DE APLICACIÓN ........................................................................1

2. TÉRMINOS Y DEFINICIONES .....................................................................................2

3.1 RESPONSABILIDAD DE LA DIRECCIÓN ..................................................................2

3.2 REQUISITOS DE DOCUMENTACIÓN ........................................................................2

3.3 COMPETENCIA, CONCIENCIA Y ENTRENAMIENTO ...............................................3

4. PLANIFICACIÓN E IMPLEMENTACIÓN DE LA GESTIÓN DEL SERVICIO .............4

4.1 PLANIFICACIÓN DE LA GESTIÓN DEL SERVICIO (PLANIFICAR) .........................4

4.2 IMPLEMENTAR LA GESTIÓN DEL SERVICIO Y PRESTAR EL SERVICIO

4.3 MONITOREAR, MEDIR, Y REVISAR (VERIFICAR)....................................................7

4.4 MEJORA CONTINUA (ACTUAR) ................................................................................7

5. PLANIFICACIÓN E IMPLEMENTACIÓN DE NUEVOS SERVICIOS O

5.1 TEMAS QUE SE DEBEN CONSIDERAR ....................................................................8

5.2 REGISTROS DE CAMBIOS.........................................................................................8

6. PROCESO DE PRESTACIÓN DEL SERVICIO ...........................................................9

6.1 GESTIÓN DEL NIVEL DEL SERVICIO........................................................................9

6.2 PRESTACIÓN DE INFORMES DEL SERVICIO ........................................................11

6.3 GESTIÓN DE LA CONTINUIDAD Y DISPONIBILIDAD DEL SERVICIO .................13

6.4 PRESUPUESTO Y CONTABILIDAD DE LOS SERVICIOS DE TECNOLOGÍA

6.5 GESTIÓN DE LA CAPACIDAD .................................................................................16

6.6 GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN ...........................................17

7.1 INFORMACIÓN GENERAL........................................................................................19

7.2 GESTIÓN DE LAS RELACIONES PROVEEDOR-CLIENTE ....................................20

7.3 GESTIÓN DE PROVEEDORES EXTERNOS ............................................................22

8.2 GESTIÓN DE INCIDENTES .......................................................................................24

8.3 GESTIÓN DE PROBLEMAS......................................................................................26

9.1 GESTIÓN DE LA CONFIGURACIÓN ........................................................................29

9.2 GESTIÓN DE CAMBIOS............................................................................................32

10. PROCESO DE PUESTA EN PRODUCCIÓN.............................................................34

10.1 PROCESO DE GESTIÓN DE VERSIONES...............................................................34

Figura 1. Procesos de prestación del servicio ....................................................................2

Figura 2. Procesos de relación............................................................................................20

Se asume que la ejecución de las disposiciones de esta parte de NTC-ISO/IEC 20000 es

El cumplimiento de una norma internacional no confiere inmunidad contra las obligaciones

La serie NTC-ISO/IEC 20000 permite a los proveedores de servicios entender la manera de

Con la creciente dependencia en los servicios de soporte y la diversa gama de tecnologías

- Parte 2: Código de práctica.

1. OBJETO Y CAMPO DE APLICACIÓN

Procesos de la entrega del servicio

Figura 1. Procesos de prestación del servicio

3.1 RESPONSABILIDAD DE LA DIRECCIÓN

La función de la alta dirección es garantizar que se adopten y mantengan procesos de mejores

Para garantizar el compromiso, se recomienda designar a un miembro de la alta dirección

3.2 REQUISITOS DE DOCUMENTACIÓN

El responsable designado de la alta dirección, debería garantizar que la evidencia esté

La mayoría de la evidencia de la planificación y las operaciones de la gestión del servicio,