ruta de implementación y principales novedades de la segunda edición de la norma iso/iec 20000
TRANSCRIPT
Ruta de Implementación y Principales Novedades de la Segunda Edición
de la Norma ISO/IEC 20000
Junio 2011
Bismark Israel Suárez HerreraConsultor ITSM
Slide: 2
Agenda para la Sesión
I. Preámbulo a los Sistemas de Gestión● ¿Qué son las normas ISO?.
● ¿Para qué recibir una certificación ISO?.
II. La norma para la Gestión de Servicios de Tecnologías de la Información● ¿Qué es la ISO/IEC 20000?.
● ¿Cuál es su alcance y sus objetivos principales?.
III. Cómo implementamos nuestro Sistema de Gestión de Servicios de TI.● Interacción de los procesos.
● Estructura documental del Sistema de Gestión.
● Rumbo a la certificación ISO/IEC 20000.
● Serie de normas ISO/IEC 20000.
IV. Segunda edición de la norma y principales novedades.
Slide: 3
¿Qué son las normas ISO?
ISO es la Organización Internacional de Normalización.
9001 Gestión de la Calidad
14001 Gestión Ambiental
27001 Gestión de la Seguridad de la Información
20000 Gestión de Servicios de Tecnologías de la Información (TI)
Planear
HacerVerificar
Actuar
Escala de Tiempo
Niv
el d
e M
adu
rez
AlineaciónTI al
Negocio
Slide: 4
¿Para qué recibir una certificación ISO?
Ampliación de mercados (cumplimiento con los clientes que requieren proveedores certificados).
Mejorar procesos (evitar retrabajo, optimizar gastos, documentar actividades).
Fomenta la cultura de calidad en la Organización (PHVA).
Mayor control sobre proveedores.
Slide: 5
¿Qué es la norma ISO/IEC 20000?
Normalizada por las organizaciones ISO e IEC.
1a Edición: 14 de diciembre de 2005, 2a Edición: 15 de abril de 2011.
Estándar reconocido internacionalmente para la Gestión de Servicios de TI.
Proviene de la adopción de la serie BS 15000 desarrollada por la British Standards Institution (BSI).
Existe una percepción de que los servicios de TI no están alineados con las necesidades del negocio.
Evidencia el compromiso de cumplir con las necesidades del negocio a través de un SGSTI.
Slide: 6
¿Qué es la norma ISO/IEC 20000?
Alineación con ISO 9001 e ISO/IEC 27001.
Alineación con ITIL®.
Nos dice qué debemos lograr, pero no el cómo, (COBIT® , ITIL® , ISO/IEC 27001, etc.).
Promueve que la documentación no sea excesiva.
Aplica tanto a proveedores de TI, como a Áreas Internas de TI de cualquier Organización.
Slide: 7
Alcance de la norma ISO/IEC 20000-1:2005
3. Sistema de Gestión (Responsabilidad de la Dirección, Requisitos de Documentación , Competencia, Concientización y
Formación)
4. Planeando & Implementando la Gestión del Servicio
5. Planificación e implementación de Servicios nuevos o modificados
6. Procesos de Provisión del Servicio
Gestión de Niveles de Servicio
Reportes de Servicio
10. Procesos de
Liberación
Gestión de Liberaciones
8. Procesos de
Resolución
Gestión de Incidentes
Gestión de Problemas
7. Procesos de
Relaciones
Gestión de Relaciones del Negocio
Gestión de Proveedores
9. Procesos de ControlGestión de las Configuraciones
Gestión de Cambios
Gestión de la Capacidad
Gestión de la Continuidad y la
Disponibilidad del Servicio
Gestión de la
Seguridad de la
Información
Presupuestando y
contabilizando los
servicios de TI
PDCA
Slide: 8
Alcances y objetivos por proceso
Requisitos de un Sistema de Gestión● Proveer un sistema de gestión que incluya las políticas y el marco de trabajo para hacer
posible una efectiva gestión e implantación de todos los servicios de TI, incluye laresponsabilidad de la dirección, los requisitos de la documentación y la competencia,concienciación y formación.
Planificación e implementación del servicio● Planear, Implementar y verificar los servicios y sus procesos de gestión, y actuar en
consecuencia para la mejora continua.
Planificación e implementación de servicios nuevos o modificados● Asegurar que tanto los servicios nuevos, como las modificaciones a los existentes, se
pueden gestionar y proveer con los costes y calidad acordados.
Gestión del nivel de servicio● Definir, acordar, registrar y gestionar los niveles de servicio.
Informes del servicio● Generar en plazo los informes acordados, fiables y precisos, que sirvan de apoyo a la toma
de decisiones y faciliten una comunicación eficaz.
Slide: 9
Alcances y objetivos por proceso
Gestión de la disponibilidad y la continuidad del servicio
● Asegurar que los compromisos adquiridos con los clientes sobre la disponibilidad y lacontinuidad del servicio se pueden cumplir bajo todas las circunstancias.
Presupuestos y contabilidad de los servicios de TI
● Elaborar y controlar los presupuestos y contabilizar los costos de la provisión del servicio.
Gestión de la seguridad de la información
● Gestionar eficazmente la seguridad de la información para todas las actividades delservicio.
Gestión de relaciones con el negocio
● Establecer y mantener una buena relación entre el proveedor de servicios y el cliente,basándose en el entendimiento del cliente y de los fundamentos de su negocio.
Slide: 10
Alcances y objetivos por proceso
Gestión de Proveedores
• Gestionar a los proveedores para garantizar la provisión sin interrupciones de servicios decalidad.
Gestión de Incidentes
• Restaurar el servicio acordado con el negocio tan pronto sea posible o responder a peticionesde servicio.
Gestión de Problemas
• Minimizar los efectos negativos sobre el negocio de interrupciones del servicio, mediante laidentificación y el análisis proactivos de la causa de los incidentes y la gestión de los problemaspara su cierre.
Slide: 11
Alcances y objetivos por proceso
Gestión de la Configuración
• Definir y controlar los componentes del servicio y la infraestructura, y mantener informaciónprecisa sobre la configuración.
Gestión de Cambios
• Asegurar que todos los cambios son evaluados, aprobados, implantados y revisados de unamanera controlada.
Gestión de Entrega
• Suministrar, distribuir y realizar el seguimiento de uno o más cambios en una entrega en elentorno de producción.
Slide: 12
Interacción de procesos
Gestión del Servicio
PlanificarPlanificar la Gestión de Servicios
Servicios de TI
ActuarMejora Continua
HacerImplementar la
gestión del servicio
VerificarMonitorizar, medir
y revisar
Proceso: Auditorías Internas
Proceso: Acciones correctivas/preventivas/mejora
Soporte Administrativo
Responsabilidad en la Dirección, Requisitos de la documentación,
Competencia, conciliación y formación
Proceso: Revisiones directivasProceso: Control de documentosProceso: Control de registrosProceso: Competencia.Concientización y formación
Entradas• Requisitos del
cliente• Requisitos del
servicio• Información
para los planes de gestión de servicios
• Solicitud de servicios nuevos o modificados
• Solicitudes al Service Desk
• Información para grupos de soporte
• Presupuesto• Políticas y
directrices
Salidas• Requisitos del
cliente cumplidos
• SLA cumplidos• Planes de
gestión del servicio
• Servicios nuevos o modificados
• Satisfacción del cliente y de los usuarios
• Satisfacción del equipo y de las personas
Procesos de Gestión de Servicios
Slide: 13
Estructura documental de los sistemas ISO
VisiónMisiónPolítica y objetivosEstructura del SGSTI
Para controlar documentos, registros, realizar auditorias internas, revisiones directivas, no conformidades, acciones correctivas, preventivas y de mejora, y los procesos de gestión del servicio
Actividades específicas enunciadas en los procedimientos
Evidencia de cumplimiento
Slide: 14
Rumbo a la Certificación ISO 20000
• Análisis de brecha.• Definición del alcance.• Diseño de procesos (procedimientos, instructivos de trabajo y documentos de evidencia).• Preparación de las herramientas
• Implementación formal del Sistema de Gestión de Servicios de TI (manual, procedimientos, instrucciones de trabajo).• Generación de evidencia.• Seguimiento de procesos y procedimientos.• Campañas periódicas de capacitación al SGSTI y sensibilización al personal
• Auditorias Internas/externas. • Revisión al cumplimiento
y recomendaciones.
Proceso de Certificación si la auditoría interna es satisfactoria
• Acciones correctivas, preventivas y de mejora.
Slide: 15
Serie de normas ISO/IEC 20000
Parte 1: ISO/IEC 20000-1:2005 – Especificación.
Parte 2: ISO/IEC 20000-2:2005 - Código de Prácticas.
Parte 3: ISO/IEC TR 20000-3:2009 - Guía en la definición del alcance y la aplicabilidad.
Parte 4: ISO/IEC TR 20000-4: 2010 - Modelo de referencia de procesos.
Parte 5: ISO/IEC TR 20000-5:2010 - Ejemplo de un plan de implementación (caso de negocio, análisis GAP de tres fases).
Novedades de la Segunda Edición de la Norma
ISO/IEC 20000-1
:2011
Slide: 17
Metodología PDCA aplicada a la gestión del servicio en la norma ISO/IEC 20000-1:2011
Plan
Sistema de Gestión de
Servicios (SMS)
Procesos de gestión
del servicio
Servicios
Hacer
Verificar
Actuar
Slide: 18
Alcance de la norma ISO/IEC 20000-1:2011
4. Sistema de Gestión de Servicios (SMS)(Responsabilidad de la Dirección, gobierno de procesos operados por
otras partes, gestión de recursos, implementando el SMS)
5. Diseño y transición de servicios nuevos o
modificados
6. Procesos de Provisión del Servicio
Gestión de Niveles de Servicio
Reportes de Servicio
7. Procesos de
ResoluciónGestión de Incidentes y
solicitudes de servicio
Gestión de Problemas
8. Procesos de
RelacionesGestión de Relaciones del
Negocio
Gestión de Proveedores
9. Procesos de ControlGestión de las Configuraciones
Gestión de Cambios
Gestión de liberaciones y despliegue
Gestión de la Capacidad
Gestión de la Continuidad y la
Disponibilidad del Servicio
Gestión de la
Seguridad de la
Información
Presupuestando y
contabilizando los
servicios de TI
PDCA
Requisitos
del servicio
(Clientes y
otras partes
interesadas)
Servicios
(Clientes y
otras partes
interesadas)
Slide: 19
Novedades de la segunda edición de la norma
Sección 1ra. edición 2da.edición
1 Objeto y campo de aplicación Alcance
Aplicación (Resalta el control que debe mantener el proveedor de
servicios respecto de los procesos que son operados por otras
partes).
2 Términos y definiciones Referencias normativas (nueva)
• Referencia a la parte dos de la norma “Código de prácticas”.
3 Requisitos del Sistema de Gestión
•Responsabilidad de la dirección.
•Requisitos de la documentación.
•Competencia, concientización y
formación.
Términos y definiciones
Slide: 20
Novedades de la segunda edición de la norma
Sección 1ra. edición 2da.edición
4 Planificación e
implementación de la
gestión del servicio
Requerimientos generales de un Sistema de Gestión del Servicio, ahora
incluye:
Requisitos del SMS (anteriormente secc. 3)
Mayores referencias para lo que la Alta dirección debe hacer.
Clarifica el contenido de la política de gestión (ampliar la comunicación
de los requerimientos legales y reglamentarios, relación con todos los
procesos de gestión del servicio, resalta el control sobre los procesos
ejecutados por otras partes, información que se debe generar para
revisar y evaluar el sistema).
Amplia los requisitos para la gestión documental.
Amplia los requisitos para el aseguramiento de la competencia de
personal involucrado en la gestión del servicio.
Alineación de los planes de gestión del servicio con las políticas y los
servicios.
Prioriza la atención a las no conformidades y a su resolución.
Los criterios para evaluar el sistema deben estar basados en una
actividad de mejora continua.
La mejora debe estar basada en la calidad y valor a la organización.
Incluye la metodología PDCA para la gestión del Servicio:
Planear , Implementar, Monitorear y Actuar.
Slide: 21
Novedades de la segunda edición de la norma
Sección 1ra. edición 2da.edición
5 Planeación e implementación de
servicios nuevos o modificados
Incluye los requerimientos
para la fase de Planificación.
Diseño y transición de servicios nuevos o modificados
Secciona el apartado en 3 fases: Planificación, Diseño y
desarrollo, y Transición.
Amplia los requisitos para asegurar que la entrega del servicio
cumpla con los objetivos establecidos.
Amplia los requisitos de gestión para cuando un servicio va a
ser liberado.
Adiciona un requerimiento para la gestión de riesgos durante
todo el ciclo de vida del servicio.
Slide: 22
Novedades de la segunda edición de la norma
Sección 1ra. edición 2da.edición
6 Procesos de provisión del
servicio
Procesos de provisión del servicio
Niveles de servicio.- las dependencias entre los servicios, ahora
deben ser declaradas en el catálogo de servicios, especifica los rubros
que deben ser cubiertos por los SLA (objetivos, carga de trabajo,
excepciones).
Reportes del servicio.- se requiere definir la frecuencia de los
reportes, clarifica las no conformidades en el servicio que deben ser
reportadas, así como la tramitación de quejas.
Continuidad y disponibilidad.- Clarifica los requerimientos para
acordar los requisitos de continuidad y disponibilidad con el cliente y
con las partes interesadas, especifica los contenidos del plan de
continuidad del servicio.
Presupuesto y contabilidad.- Definir las interfaces entre este proceso
y otros que se encuentren inmersos en la gestión financiera, los
costos generales de cada servicio deben ser conocidos.
Capacidad.-Los planes de capacidad deben considerar a las personas,
tecnología, información, implicaciones monetarias y limitaciones.
Seguridad.-Evaluar la efectividad de los controles de seguridad, e
implementar las acciones correctivas necesarias, clarifica los
requisitos para las auditorias a la seguridad de la información, mayor
alineación con ISO 27000.
Slide: 23
Novedades de la segunda edición de la norma
Sección 1ra. edición 2da.edición
7 Procesos de relaciones Procesos de relaciones
Relaciones con el negocio.- La evaluación de la satisfacción del cliente
debe ser realizada a intervalos planificados.
Proveedores.- Clarifica los contenidos de los contratos con
suministradores (ej. Carga de trabajo, gestión de variaciones con
respecto a lo contratado, etc.).
8 Procesos de resolución
Gestión del incidente
Procesos de resolución
El proceso de incidentes ahora es denominado “Gestión de
incidentes y solicitudes de servicio”.
Gestión de incidentes y solicitudes de servicio.- las solicitudes de
servicio deben estar gestionadas de acuerdo a un procedimiento
establecido, amplia los requisitos para la gestión de incidentes
mayores (su definición, su asignación, su revisión post cierre).
Problemas.- se deben implementar acciones que mitiguen el impacto
causado por errores conocidos, o bien, directamente abordarlo bajo
la gestión de problemas para su solución, se deben priorizar los
problemas detectados.
Slide: 24
Novedades de la segunda edición de la norma
Sección 1ra. edición 2da.edición
9 Procesos de control Procesos de control
Configuraciones.- Cita los atributos mínimos que debe enunciar cada
CI (ejemplo, relaciones entre los CI), los errores conocidos enlazados
con cada CI ahora deben ser registrados.
Cambios.- Definir una política de gestión de cambios, adición de
requisitos para la clasificación de cambios, relación con el proceso de
diseño y transición (secc. 5) para cambios mayores, la CMDB debe ser
actualizada después de la liberación y despliegue de un servicio.
Gestión de la liberación y despliegue.- la definición de una liberación
de emergencia debe ser acordada con el cliente, los criterios de
aceptación de una liberación deben ser acordados y revisados
posteriormente al despliegue.
10 Proceso de liberaciones
Gestión de
liberaciones
N/A