PROCESOS DE CONTROL

Gestión de la configuración
Debe existir una definición documentada de cada tipo de CI. La información registrada
para cada CI debe asegurar el control eficaz e incluir al menos:
a) descripción del CI;
b) relación(es) entre el CI y otros CI;
c) relación(es) entre el CI y los componentes del servicio;
d) estado;
e) versión;
f) ubicación;
g) peticiones de cambio asociadas;
h) problemas y errores conocidos asociados.

Los CI deben ser identificados de manera única y registrados en una CMDB. La CMDB
debe ser gestionada para asegurar su fiabilidad y precisión, incluyendo el control de
accesos actualizados.
Debe existir un procedimiento documentado para el registro, control y seguimiento de las
versiones de los CI. El grado de control debe mantener la integridad de los servicios y
sus componentes teniendo en cuenta los requisitos de servicio y los riesgos asociados
con los CI.
El proveedor del servicio debe auditar los registros almacenados en la CMDB, a
intervalos planificados. Cuando se encuentren deficiencias, el proveedor del servicio
debe tomar las acciones necesarias e informar sobre las medidas adoptadas.
Se debe proporcionar información de la CMDB al proceso de gestión de cambios para
soportar la evaluación de las peticiones de cambio.
Los cambios en los CI deben ser trazables y auditables para garantizar la integridad de
los CI y los datos de la CMDB.
Se debe tomar una línea de base de configuración de los CI afectados antes del
despliegue de una entrega en el entorno de producción.
Se deben almacenar copias maestras de los CI registrados en la CMDB en una ubicación
física segura o en bibliotecas digitales, referenciadas en los registros de configuración.
Esto debe incluir, al menos, documentación, información de licencias, el software y, en
su caso, las imágenes de la configuración del hardware.
Debe existir una interfaz definida entre el proceso de gestión de la configuración y el
proceso de gestión de activos financieros.
NOTA El alcance del proceso de gestión de la configuración no incluye la gestión de
activos financieros.
9.2 Gestión de cambios
Se debe establecer una política de gestión de cambios que defina:
a) los CI que están bajo el control de la gestión de cambios;
b) los criterios para determinar los cambios con el potencial de tener un gran impacto
en los servicios o en el cliente.
La eliminación de un servicio se debe clasificar como un cambio a un servicio con un
gran impacto potencial. La transferencia de un servicio del proveedor del servicio al
cliente o a un tercero distinto se debe clasificar como un cambio con un alto impacto
potencial.
Debe existir un procedimiento documentado para registrar, clasificar, evaluar y aprobar
las solicitudes de cambio.
El proveedor del servicio debe documentar y acordar con el cliente la definición de un
cambio de emergencia. Debe existir un procedimiento documentado para la gestión de
cambios de emergencia.
Todos los cambios a un servicio o componente de un servicio se deben promover
utilizando una petición de cambio. Las peticiones de cambio deben tener un alcance
definido.
Todas las peticiones de cambio se deben registrar y clasificar. Las peticiones de cambio
clasificadas con gran impacto en los servicios o el cliente, se deben gestionar mediante
el proceso de diseño y transición de servicios nuevos o modificados. Todas las demás
solicitudes de cambio de un CI definido en la política de gestión de cambios, se deben
gestionar mediante el proceso de gestión de cambios.

Las peticiones de cambio se deben evaluar utilizando la información del proceso de

gestión de cambios y de otros procesos.
El proveedor del servicio y las partes interesadas deben tomar decisiones sobre la
aprobación de las peticiones de cambio. La toma de decisiones debe tener en cuenta los
riesgos, los impactos potenciales a los servicios y el cliente, los requisitos del servicio,
los beneficios del negocio, la viabilidad técnica y el impacto financiero.
Se deben desarrollar y probar los cambios aprobados.
Se debe establecer y comunicar a las partes interesadas una planificación de cambios,
con los detalles de los cambios aprobados y sus fechas propuestas de implementación.
La planificación de cambios se debe utilizar como base para la planificación del
despliegue de las entregas.
Se deben planificar, y cuando sea posible probar, las actividades necesarias para revertir
o reparar un cambio no satisfactorio. El cambio se debe revertir o reparar si no tiene
éxito. Los cambios no satisfactorios se deben analizar y deben tomarse las medidas
acordadas.
Los registros de la CMDB se deben actualizar tras el despliegue satisfactorio de los
cambios.
El proveedor del servicio debe revisar los cambios para comprobar su eficacia y tomar
las medidas acordadas con las partes interesadas.
Para detectar tendencias se deben analizar las peticiones de cambio a intervalos
planificados. Los resultados y conclusiones extraídas de los análisis se deben registrar y
revisar para identificar oportunidades de mejora.

Gestión de la entrega y despliegue

El proveedor del servicio debe establecer y acordar con el cliente una política de entrega
que indique la frecuencia y los tipos de entrega.
El proveedor del servicio debe planificar con el cliente y las partes interesadas la
implementación de servicios nuevos o modificados, y los componentes de servicio en el
entorno de producción. La planificación se debe coordinar con el proceso de gestión de
cambios y debe incluir referencias a las solicitudes relacionadas con el cambio, los
errores conocidos y problemas que se cierran a través de la entrega. La planificación
debe incluir las fechas para el despliegue de cada entrega, los entregables y los métodos
de implementación.
El proveedor del servicio debe documentar y acordar con el cliente la definición de una
entrega de emergencia. Las entregas de emergencia se deben gestionar de acuerdo con
un procedimiento documentado que conecta con el procedimiento de cambios de
emergencia.
Las entregas se deben construir y probar antes de su despliegue. Se debe utilizar un
entorno controlado de aceptación de pruebas para la construcción y prueba de las
entregas.
Los criterios de aceptación para las entregas se deben acordar con el cliente y las partes
interesadas. Las entregas se de-ben verificar contra los criterios de aceptación
acordados y aprobados antes del despliegue. Si los criterios de aceptación no se
cumplen, el proveedor del servicio debe tomar una decisión con las partes interesadas
sobre el despliegue y las acciones necesarias.
La entrega se debe desplegar en el entorno de producción de manera que la integridad
del hardware, software y otros componentes del servicio se mantengan durante el
despliegue de la entrega.
Se deben planificar, y probar cuando sea posible, las actividades necesarias para revertir
o reparar un despliegue sin éxito de una entrega. El despliegue de la entrega se debe
revertir o reparar si no tiene éxito. Las entregas no satisfactorias se deben analizar y
realizar las acciones acordadas.

El éxito o el fracaso de las entregas se debe controlar y analizar. Las mediciones deben
incluir los incidentes relaciona-dos con una entrega en el período posterior al despliegue
de dicha entrega. El análisis debe incluir una evaluación del impacto de la entrega en el
cliente. Los resultados y conclusiones extraídos de los análisis se deben registrar y
revisar para identificar oportunidades de mejora.
Se debe facilitar a los procesos de gestión de cambios y de gestión de incidencias y de
peticiones de servicio información sobre el éxito o el fracaso de las entregas y las fechas
de futuras entregas.
Se debe facilitar información al proceso de gestión de cambios para apoyar la evaluación
del impacto de las peticiones de cambio para las entregas y los planes de despliegue.