NORMA TÉCNICA NTC-ISO/IEC
COLOMBIANA 20000-2
2008-11-26
TECNOLOGÍA DE LA INFORMACIÓN.
GESTIÓN DEL SERVICIO. PARTE 2: CÓDIGO DE
PRÁCTICA
E: INFORMATION TECHNOLOGY. SERVICE MANAGEMENT. PART 2: CODE OF PRACTICE
CORRESPONDENCIA: esta norma es una adopción idéntica por traducción (IDT), respecto al documento de referencia, la norma ISO/IEC 20000-2:2005.
DESCRIPTORES: protección de la información; tecnología de la información; gestión del servicio; intercambio de información; satisfacción; seguimiento – mejora.
I.C.S.: 35.020.00; 03.100.99
Editada por el Instituto Colombiano de Normas Técnicas y Certificación (ICONTEC) Apartado 14237 Bogotá, D.C. - Tel. (571) 6078888 - Fax (571) 2221435
PRÓLOGO
El Instituto Colombiano de Normas Técnicas y Certificación, ICONTEC, es el organismo nacional de normalización, según el Decreto 2269 de 1993.
ICONTEC es una entidad de carácter privado, sin ánimo de lucro, cuya Misión es fundamental para brindar soporte y desarrollo al productor y protección al consumidor. Colabora con el sector gubernamental y apoya al sector privado del país, para lograr ventajas competitivas en los mercados interno y externo.
La representación de todos los sectores involucrados en el proceso de Normalización Técnica está garantizada por los Comités Técnicos y el período de Consulta Pública, este último caracterizado por la participación del público en general.
La NTC-ISO/IEC 20000-2 fue ratificada por el Consejo Directivo de 2008-11-26.
Esta norma está sujeta a ser actualizada permanentemente con el objeto de que responda en todo momento a las necesidades y exigencias actuales.
A continuación se relacionan las empresas que colaboraron en el estudio de esta norma a través de su participación en el Comité Técnico 181 Técnicas de seguridad de la información. AVIANCA
BANCO AGRARIO DE COLOMBIA BANCO DE LA REPÚBLICA
CHOUCAIR TESTING S.A
DAKYA LTDA.
–E.T.B– EMPRESA DE TELÉFONOS DE BOGOTA JTCCIA LTDA.
MAREIGUA LTDA.
PIRÁMIDE ADMINISTRACIÓN DE INFORMACIÓN LTDA.
SOCIEDAD COLOMBIANA DE ARCHIVISTAS
SUN GEMINI
TELEFÓNICA TELECOM
UNIVERSIDAD JAVERIANA
WORLDCAD
Además de las anteriores, en Consulta Pública el Proyecto se puso a consideración de las siguientes empresas:
ABN AMRO BANK
AGENDA CONECTIVIDAD AGP COLOMBIA
ALIANZA SINERTIC ARCHIVO DE BOGOTÁ ASIC S.A.
ASOCIACIÓN ALIANZA SIENRTIC
ASOCIACIÓN BANCARIA DE COLOMBIA
ASOCIACIÓN GREMIAL DE INSTITUCIONES FINANCIERAS CREDIBANCO ASOCIACIÓN LATINOAMERICANA DE PROFESIONALES DE SEGURIDAD INFORMÁTICA COLOMBIA ATH BANCAFÉ BANCO AV VILLAS BANCO COLMENA BCSC
BANCO COLPATRÍA RED MULTIBANCA BANCO DAVIVIENDA BANCO DE BOGOTÁ BANCO DE CRÉDITO BANCO DE OCCIDENTE BANCO GNB SUDAMERIS BANCO POPULAR
BANCO STANDARD CHARTERED COLOMBIA
BANCOLOMBIA BANISTMO BBVA COLOMBIA
BFR S.A
BRANCH OF MICROSOFT COLOMBIA INC
BUREAU VERITAS CERTIFICATION CATI
CIBERCALL S.A CITIBANK COLOMBIA CITIDENT
COINFIN
COLEGIO LA PRESENTACIÓN - DUITAMA COLGRABAR LTDA.
COLSUBSIDIO
COMPAÑÍA AGRÍCOLA DE SEGUROS DE VIDA S.A.
CONSULTAMOS LTDA.
CONSULTORES ASOCIADOS LTDA
CONTRALORIA GENERAL DE LA REPÚBLICA
CORPORACIÓN AUTÓNOMA REGIONAL DE CUNDINAMARCA – CAR
CORPORACIÓN FINANCIERA COLOMBIA S.A D.S SISTEMAS LTDA. EXTRUCOL FEDEPALMA FEDESOFT FLUIDSIGNAL GROUP FRUTICS EXOTICS FUNDACION SANTA FE
HONOR SERVICIOS DE SEGURIDAD HSBC
IDEAL NETWORK CORPORATION – INC IGI LTDA IMAICOD S.A INDUSTRIAS ALIADAS INFOCOMUNICACIONES LTDA. INTERBANCO IPX LTDA. IQ CONSULTORES IQ INFORMATION QUALITY IQ OUTSOURCING
ISAGEN S.A. E.S.P. KEXTAS LTDA. LABINTEX
LITIGAR ABOGADOS LLOYDS TSB BANK
MATPEL DE COLOMBIA S.A. MEGABANCO
MINISTERIO DE COMERCIO, INDUSTRIA Y TURISMO
MONOMEROS N.C.R.
NEWNET S.A. NEXOS SOFTWARE
PARKING INTERNATIONAL LTDA.
PARQUE TECNOLÓGICO DEL SOFTWARE-PARQUESOFT
PARTNERS SYSTEM TECHNOLOGICAL OUTSOURCING
PROSALCO I.P.S
QUALITY SISTEMS INTERNATIONAL & CÍA LTDA REDEBAN MULTICOLOR SECRETARIA GENERAL DE LA ALCALDIA MAYOR SERVIMETERS S.A. SINGLAR CONSULTORES SOCIEDAD COLOMBIANA DE ARCHIVISTAS SOLUCIONES EN CUMPLIMIENTO LEGAL & ASOC. S.A.
SUPERINTENDENCIA DE INDUSTRIA Y COMERCIO SYNAPSIS TERPEL TMC & CIA TRANSFIRIENDO S.A.
TRONEX BATTERY COMPANY S.A.
UNIDAD DE SERVICIOS TECNOLÓGICOS LTDA.
UNIVERSIDAD AUTÓNOMA DE OCCIDENTE
UNIVERSIDAD DE ANTIOQUIA UNIVERSIDAD DE LOS ANDES UNIVERSIDAD DEL QUNDÍO UNIVERSIDAD DEL VALLE UNIVERSIDAD LIBRE
UNIVERSIDAD NACIONAL DE COLOMBIA
ICONTEC cuenta con un Centro de Información que pone a disposición de los interesados normas internacionales, regionales y nacionales y otros documentos relacionados.
NORMA TÉCNICA COLOMBIANA
NTC-ISO/IEC 20000-2
CONTENIDO
Página
INTRODUCCIÓN
1. OBJETO Y CAMPO DE APLICACIÓN ... 1
2. TÉRMINOS Y DEFINICIONES ... 2
3. SISTEMA DE GESTIÓN ... 2
3.1 RESPONSABILIDAD DE LA DIRECCIÓN ... 2
3.2 REQUISITOS DE DOCUMENTACIÓN ... 2
3.3 COMPETENCIA, CONCIENCIA Y ENTRENAMIENTO ... 3
4. PLANIFICACIÓN E IMPLEMENTACIÓN DE LA GESTIÓN DEL SERVICIO ... 4
4.1 PLANIFICACIÓN DE LA GESTIÓN DEL SERVICIO (PLANIFICAR) ... 4
4.2 IMPLEMENTAR LA GESTIÓN DEL SERVICIO Y PRESTAR EL SERVICIO (HACER) ... 6
4.3 MONITOREAR, MEDIR, Y REVISAR (VERIFICAR) ... 7
4.4 MEJORA CONTINUA (ACTUAR) ... 7
5. PLANIFICACIÓN E IMPLEMENTACIÓN DE NUEVOS SERVICIOS O SERVICIOS MODIFICADOS CON ... 8
5.1 TEMAS QUE SE DEBEN CONSIDERAR ... 8
5.2 REGISTROS DE CAMBIOS ... 8
6. PROCESO DE PRESTACIÓN DEL SERVICIO ... 9
NORMA TÉCNICA COLOMBIANA
NTC-ISO/IEC 20000-2
Página
6.2 PRESTACIÓN DE INFORMES DEL SERVICIO ... 11
6.3 GESTIÓN DE LA CONTINUIDAD Y DISPONIBILIDAD DEL SERVICIO ... 13
6.4 PRESUPUESTO Y CONTABILIDAD DE LOS SERVICIOS DE TECNOLOGÍA DE LA INFORMACIÓN ... 15
6.5 GESTIÓN DE LA CAPACIDAD ... 16
6.6 GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN ... 17
7. PROCESOS DE RELACION ... 19
7.1 INFORMACIÓN GENERAL ... 19
7.2 GESTIÓN DE LAS RELACIONES PROVEEDOR-CLIENTE ... 20
7.3 GESTIÓN DE PROVEEDORES EXTERNOS ... 22
8. PROCESOS DE SOLUCIÓN ... 23 8.1 ANTECEDENTES ... 23 8.2 GESTIÓN DE INCIDENTES ... 24 8.3 GESTIÓN DE PROBLEMAS ... 26 9. PROCESOS DE CONTROL ... 29 9.1 GESTIÓN DE LA CONFIGURACIÓN ... 29 9.2 GESTIÓN DE CAMBIOS ... 32
10. PROCESO DE PUESTA EN PRODUCCIÓN ... 34
10.1 PROCESO DE GESTIÓN DE VERSIONES ... 34
BIBLIOGRAFÍA ... 39
NORMA TÉCNICA COLOMBIANA
NTC-ISO/IEC 20000-2
Página
FIGURAS
Figura 1. Procesos de prestación del servicio ... 2 Figura 2. Procesos de relación ... 20
NORMA TÉCNICA COLOMBIANA
NTC-ISO/IEC 20000-2
INTRODUCCIÓN
Siendo un código de práctica, esta parte de la norma NTC-ISO/IEC 20000 toma la forma de guía y recomendaciones. No debe considerarse como una especificación y se recomienda tener particular cuidado para garantizar que las declaraciones de conformidad no son erradas. Esta parte de la norma NTC-ISO/IEC 20000 se debería utilizar junto con NTC-ISO/IEC 20000-1, la especificación asociada a este código de práctica.
Se asume que la ejecución de las disposiciones de esta parte de NTC-ISO/IEC 20000 es confiada a personal competente y apropiadamente calificado. Una norma internacional no pretende incluir todas las disposiciones necesarias de un contrato. Los usuarios de estas normas son responsables de su correcta aplicación.
El cumplimiento de una norma internacional no confiere inmunidad contra las obligaciones legales.
Esta parte de la norma NTC-ISO/IEC 20000 describe las mejores prácticas para los procesos de gestión del servicio dentro del alcance de NTC-ISO/IEC 20000-1.
La prestación del servicio crece en importancia a medida que los clientes demandan servicios cada vez más avanzados (con un costo mínimo) para satisfacer las necesidades de sus negocios. También reconoce que los servicios y la gestión del servicio son esenciales para facilitar a las organizaciones a generar ganancias y ser eficaces en términos de costos.
NTC-ISO/IEC 20000-1 es una especificación para la gestión del servicio y se debería leer junto con esta parte de NTC-ISO/IEC 20000.
La serie NTC-ISO/IEC 20000 permite a los proveedores de servicios entender la manera de mejorar la calidad del servicio que entregan a sus clientes, tanto internos como externos.
Con la creciente dependencia en los servicios de soporte y la diversa gama de tecnologías disponibles, los proveedores de servicios pueden tener dificultades para mantener altos niveles de servicio al cliente. Trabajando de manera reactiva, gastan muy poco tiempo planificando, entrenando, revisando, investigando, y trabajando con los clientes. El resultado es una falla en adoptar prácticas de trabajo estructuradas y proactivas.
A estos mismos proveedores de servicios se les solicita calidad mejorada, disminuir los costos, mayor flexibilidad y una respuesta más rápida a sus clientes. La gestión eficaz del servicio proporciona niveles altos de servicio y de satisfacción del cliente.
La serie NTC-ISO/IEC 20000 presenta una diferenciación entre las mejores prácticas de los procesos, que son independientes de la forma o el tamaño de la organización, y los nombres y estructuras organizacionales. La serie NTC-ISO/IEC 20000 se aplica a proveedores de servicios tanto grandes como pequeños y los requisitos para los procesos de gestión del servicio con buenas prácticas no cambian según la forma de la organización, lo cual suministra una estructura de gestión dentro de la cual se cumplen los procesos.
NORMA TÉCNICA COLOMBIANA
NTC-ISO/IEC 20000-2
Se llama la atención sobre la posibilidad de que algunos de los elementos de este documento puedan estar sujetos a derechos de patente. ICONTEC no asume responsabilidad por la identificación de cualquiera o todos los derechos de patente.
La norma NTC-ISO/IEC 20000 consta de las siguientes partes, bajo el título general de Tecnología de la información - Gestión del servicio:
- Parte 1: Especificación. - Parte 2: Código de práctica.
NORMA TÉCNICA COLOMBIANA
NTC-ISO/IEC 20000-2
1 de 40
TECNOLOGÍA DE INFORMACIÓN.
GESTIÓN DEL SERVICIO. PARTE 2: CÓDIGO DE PRÁCTICA
1. OBJETO Y CAMPO DE APLICACIÓN
Esta parte de NTC-ISO/IEC 20000 representa un consenso industrial sobre las normas de calidad para los procesos de gestión del servicio de tecnología de la información. Estos procesos de gestión del servicio proporcionan el mejor servicio posible para satisfacer las necesidades del negocio de un cliente a niveles de recursos pactados, es decir, un servicio que es profesional, eficaz en términos de costos y con riesgos que son comprendidos y gestionados.
La variedad de términos utilizados para el mismo proceso, y entre los procesos y los grupos funcionales (y los títulos de los trabajos) pueden hacer que el tema de la gestión del servicio sea confuso para un nuevo gerente. El fracaso en entender la terminología puede ser una barrera para establecer procesos eficaces. Entender la terminología es un beneficio tangible y significativo que proporciona esta norma. Esta parte de la norma NTC-ISO/IEC 20000 recomienda que los proveedores de servicios adopten en la gestión del servicio una terminología común y un enfoque más consistente. También proporciona una base común para las mejoras en los servicios y una estructura para ser utilizada por los proveedores de tercera parte de herramientas de gestión del servicio.
Como norma basada en procesos, este código de práctica no está destinado a la evaluación de producto. Sin embargo, las organizaciones que desarrollan herramientas, productos y sistemas pueden utilizar tanto la especificación como el código de práctica para facilitarles el desarrollo de herramientas, productos, sistemas y brindar soporte a la gestión del servicio con las mejores prácticas.
Esta parte de la norma suministra una guía para auditores y ofrece asistencia a los proveedores de servicios que planifican mejoras en el servicio o servicios que se van a auditar frente a la norma NTC-ISO/IEC 20000-1.
NTC-ISO/IEC 20000-1 especifica varios procesos de gestión del servicio relacionados, como se ilustra la Figura 1.
NORMA TÉCNICA COLOMBIANA
NTC-ISO/IEC 20000-2
2
Procesos de la entrega del servicio
Gestión de nivel del servicio
Presentación de informes sobre el servicio
Gestión de la capacidad
Continuidad del servicio y gestión de la disponibilidad
Gestión de la seguridad de la información
Presupuesto y contabilidad para los servicios de tecnológia de la información Procesos de control Gestión de la configuración Gestión de cambios Procesos de publicación
Gestión de la publicación Procesos de
la solución
Gestión de incidentes Gestión de problemas
Procesos de relaciones
Gestión de las relaciones proveedor - cliente Gestión de proveedores
externos
Figura 1. Procesos de prestación del servicio
2. TÉRMINOS Y DEFINICIONES
Para los propósitos de este documento, se aplican los términos y las definiciones que se encuentran en la norma NTC-ISO/IEC 20000-1.
3. SISTEMA DE GESTIÓN
Objetivo: brindar un sistema de gestión, que incluya políticas y una estructura que permita la gestión y la implementación eficaz de todos los servicios de la tecnología de la información.
3.1 RESPONSABILIDAD DE LA DIRECCIÓN
La función de la alta dirección es garantizar que se adopten y mantengan procesos de mejores prácticas, lo que es fundamental para que cualquier proveedor del servicio satisfaga los requisitos de la NTC-ISO/IEC 20000-1.
Para garantizar el compromiso, se recomienda designar a un miembro de la alta dirección como responsable de los planes de gestión del servicio. Este responsable debería estar a cargo de la entrega global del plan de gestión del servicio.
La función del responsable, debería involucrar la gestión de los recursos para las actividades de mejora del servicio, bien sea continuas o con base en un proyecto.
Este mismo responsable debería estar apoyado por un grupo de toma de decisiones con suficiente autoridad para definir políticas y hacer cumplir sus decisiones.
NORMA TÉCNICA COLOMBIANA
NTC-ISO/IEC 20000-2
3
BIBLIOGRAFÍA
[1] NTC-ISO/IEC 9000, Sistemas de Gestión de la Calidad. Fundamentos y Vocabulario
[2] NCT-ISO/IEC 9001, Sistemas de Gestión de la Calidad. Requisitos
[3] NTC-ISO/IEC 20000-1, Tecnología de la Información. Gestión del Servicio. Parte 1: Especificación
[4] NTC ISO/IEC 27002, Tecnología de la Información - Técnicas de Seguridad – Código de práctica para gestión de la seguridad de la información
[5] NTC 4243 , Tecnología de la Información. Procesos del Ciclo de vida del software
[6] ISO/IEC TR 15271, Information Technology - Guide for ISO/IEC 12207 (Software Life Cycle Processes).
[7] ISO/IEC TR 16326, Software Engineering - Guide for the Application of ISO/IEC 12207 to Project Management.
[8] ISO/IEC 15288, System Engineering - System Life Cycle Processes.
[9] ISO/IEC TR 19760, System Engineering - A Guide for the Application of ISO/IEC 15288 (System Life Cycle Processes).
[10] ISO/IEC 15504-1, Information Technology - Process Assessment - Part 1: Concepts and Vocabulary.
[11] ISO/IEC 15504-2, Information Technology - Process Assessment - Part 2: Performing an Assessment.
[12] ISO/IEC 15504-3, Information Technology - Process Assessment - Part 3: Guidance on Performing An Assessment.
[13] ISO/IEC 15504-4, Information Technology - Process Assessment - Part 4: Guidance on use for Process Improvement and Process Capability Determination.
[14] ISO/IEC 15504-5, Information Technology - Process Assessment - Part 5: An Exemplar Process Assessment Model.
[15] ISO/IEC 10007, Quality Management Systems - Guidelines for Configuration Management.
[16] ISO/IEC 9003, Software Engineering - Guidelines for the Application of ISO 9001:2000 to Computer Software.
NORMA TÉCNICA COLOMBIANA
NTC-ISO/IEC 20000-2
4
