NORMA TECNICA NTP-ISO/IEC TR 20000-3 4 PERUANA. 2011 ‘Comision de Normalizacién y de Fiscalizacin de Bareras Comerciales No Arancelarias INDECOPL (Calle de La Prosa 104, Sn Boria (Lima 41) Apartado 145, Norma Técnica Peruana a UH} indecopiNORMA TECNICA NTP-ISO/IEC TR 20000-3 PERUANA 2011 CComisién de Normalizacidn y d Fisealizacion de Barreras Comerciales No Arancelariss INDECOPL Calle de La Prosa 104, Sn Borja (Lima 41) Apartado 145, Lima Pert TECNOLOG{A DE LA INFORMACION - Gestién del servicio. Parte 3: Guia sobre la definicién del alcance y aplicabilidad de la ISO/IEC 20000-1 INFORMATION TECHNOLOGY ~ Service management Part 3: Guidance on soope definition and applicability of ISOMTEC 20000-12005 (EQV. ISOVTEC 20000-32009 INFORMATION TECHNOLOGY ~ Service management Part 3: Guidence on ‘scope definition and appleablty of ISOPBEC 20000-1:2005) 2011-09-28 1" Edicion ‘0041-201 /CNBINDECOPI Publicadae] 2011-10-09, Precio basado en 42 pégines TCS: 35.080 ESTA NORMA ES RECOMENDABLE DDescrgtres:Evlucion de proceso, capacidad de proceso, madre de proceso capacinpICE pigina INDICE i PREFACIO ii ALCANCE 1 REFERENCIAS NORMATIVAS 8 TERMINOS Y DEFINICIONES 2 CUMPLIMIENTO DE LOS REQUISITOS ESPECIFICADOS EN LA NTP-ISO/IEC 2000-1 APLICABILIDAD DE LA NTP-ISO/IEC 2000-1 4 PRINCIPIOS GENERALES PARA UN ALCANCE DEL SGS 7 ANTECEDENTE, 17 ANEXOA 18 ANEXOB 21PREFACIO A RESENA BISTORICA Al La presente Norma Técnica Peruana ha sido elaborada por e] Comité Téenico de Normalizacién de Ingenieria de Software y Sistemas de Informacién, mediante el Sistema 1 0 Adopcién, durante los meses de febrero a junio del 2011, utlizando como antecedente a la norma ISO/IEC 20000-3:2009 INFORMATION TECHNOLOGY — Service management Part 3: Guidance on scope definition and applicability of ISOMEC 20000-12005. A2 EI Comité Técnico de Normalizacién de Ingenieria de Software y Sistemas de Informacién presenté a la Comisi6n de Normalizacién y de Fiscalizacién de Barreras Comerciales No Arancelarias CNB-, con fecha 2011-08-01 el PNTP-ISO 20000-3:2011, para su revisién y aprobacién, siendo sometido a la etapa de Discusién Piblica el 2011-08-26. No habiéndose presentado observaciones fue oficializada como ‘Norma Técnica Peruana NIP-ISO/EC TR 20000-3:2011 TECNOLOGIA DE LA INFORMACION ~ Gestién det servicio. Parte 3: Guia sobre la definicién del aleance y aplicabilidad de la NTP-ISOMEC 20000-1:2008, 1* Edicién, el 09 de octubre de 2011, AB Esta Norma Técniea es una adopcién de ta ISO/IEC 20000-3:2009. La presente Norma Técnica Peruana presenta cambios editoriales referidos principalmente ‘erminologia empleada propia del idioma espafiol y ha sido estructurada de acuerdo a las ‘Guias Peruanas GP 001:1995 y GP 002:1995, B INSTITUCIONES QUE PARTICIPARON EN LA ELABORACION DE LA NORMA TECNICA PERUANA Secretaria Abraham Davila Ramén Pontificia Universidad Catdlica del Peri Presidente Paul Antonio Deza Diaz ADETICS Vice-Presidente Marfa Cecilia Moreno Moreno ConsultoraENTIDAD Pontificia Universidad Catélica del Peri - PUCP ‘Superintendencia Nacional de Administracion Tributaria — SUNAT ‘Superintendencia de Banca y Seguros y Administradoras de Fondos de Pensiones Universidad de Lima Universidad Peruana de Ciencias Aplicadas Colegio de Ingenieros del Perth. Consejo Departamental de Lima — CIP~ CD Lima Microsoft Peri S.R.L. Asociactén Peruana de Software Libre ‘APESOL ADETICS ‘AsociaciOn Peruana de Productores de Software APESOFT ACKLIS SAC QUASAR SAC Inst. Nac.de Defensa de la Competencia y de la Proteccién de la Prop. Intelectual (INDECOPI) ‘Sociedad Nacional de Industrias ‘Oficina Nacional de Procesos Electorales ~ ONPE Universidad Cat6lica Sedes Sapientiae REPRESENTANTE, Luis Alberto Flores Garcia Gloria Bafios Diaz Jorge Daniel Lianos Panduro Janet Sinchez Montoya Romel Alvarez Llanos Jonge Palacios Pozo ‘Miriam Elizabeth Amable Ciudad Tiver Anache Pupo Jorge Cabrera Berrios Alejandrina Nelly Huareaya Sunes ‘Victor Guevara Chavez Pablo Bustamante Mogni José Alania Valdez Carlos Horna Vallejos Emesto Quifiones Maria Luz Bravo Gaspar Juan José Miranda del Solar Rubén Caballero Andaluz Carla Basurto Figueroa Karin Meléndez Llave Alfred Kobayashi Gutierrez Dianne Vergara Gonzalez Martha Aroe Neyra Alipio Marifio Obregon Julio Roca Gomez, Rai] Murga Fernandez, Ricardo Saavedra Mavila Maria Blena Chavez BarcesProcess Consulting SAC Consuttor David Ivar Arteaga Gil Juan José Cérdenas Bonilla, Miguel Angel Tamayo Torres4 B INTRODUCCION (ISO) Esta parte de la NTP-ISO/IEC 20000 proporciona orientacién sobre la definicién del alcance, aplicabilidad y demostracién de la conformidad del proveesior del servicio con el objetivo de cumplir los requisitos especificados en la ISO/EC 2000-1. o para el proveedor del servicio que esté considerando utilizar Ja ISO/IEC 20000-1 como un objetivo de negocio, El futuro usuario de esta parte de la NTP-ISO/IEC 20000 es el proveedor del servicio, pero también podria ser itil para los consultores y evaluadores. Este contribuye al asesoramiento en el cSdigo de préctice, NTP-ISOMEC 20000-2, que establece las directrices genéricas para ia implementacién de un sistema de gestion del servicio (SGS) en conformidad con la NTP-ISO/IEC 20000-1. Esta parte de la NTP- ISO/IEC no pretende ser una guia pera obtener una certificaci6n de la ISO/IEC 20000- 1 Esta parte de la NIP-ISO/IEC 20000 toma la forma de ejemplos, orientaciones y recomendaciones. Esta no debe ser citada como si se tratara de una especificacion de requisitos y en particular se debe tener especial cuidado para asegurar que las declaraciones de conformidad no sean engafiosas. La ISO/IEC 2000-1 especifiea los requisitos de un SGS para entregar servicios de tecnologia de la informacién (TI). No existen requisitos que se relacionen con la estructura, tamafio, nombres y tipo de la organizacién, La ISO/IEC 20000-1 se aplica a proveedores del servicio independientemente de su tamafio. Los requisitos de procesos descritos en la ISO/IEC 20000-1 no cambian con la estructura de la organizacién, tecnologia o servicio. La operacién de los procesos en un sistema particular o entorno de servicio resultard en requisitos de habilidad ‘nica, herramienta e informacién, a pesar de que los atributos del proceso no cambien. El proveedor del servicio que implementa un SGS basado en la ISO/IEC 2000-1 necesita definir el alcance del SGS como parte de su planificacion, Esta parte de la NTP-ISO/IEC 20000 proporciona una orientacién sobre la definicion del alcance de! SGS y la aplicabilidad de la NTP-ISO/IEC 2000-1. La orientacién proporcionada en esta parte de la NTP-ISO/IEC 20000 también sera til al proveedor del servicio que esté haciendo los preparativos para la evaluacién de la conformidad segin la ISO/IEC 2000-1, incluyendo la forma como declarar el alcance del SGS para la evaluacién. Los procesos de gestién del servicio en la industria de TI pueden traspasar muchas fronteras organizacionales, legales y nacionales, asi como diferentes zonas horarias. Muchos proveedores del servicio dependen de una compleja cadena de suministro para la entrega de los servicios. Muchos proveedores del servicio también oftecen una gama de servicios a muy diferentes tipos de clientes. Esto hace que el aleance del SGS y el acuerdo de la declaracién del alcance sea una fase compleja para el proveedor del servicio que utilice la ISO/IEC 2000-1.i i | Esta parte de la NTP-ISO/IEC 20000 proporciona ejemplos practicos de declaraciones | del alcance para el proveedor del servicio independientemente si tiene experiencia en | documentar la declaracién del alcance requerida en otras normas de sistemas de gestién.NORMA TECNICA. NTP-ISO/IEC TR 20000-3 PERUANA 1 de 42 TECNOLOGIA DE LA INFORMACION - Gestién del servicio. Parte 3: Guia sobre la definicién del alcance y aplicabilidad de la NTP-ISO/IEC 20000-1:2008 1 ALCANCE La ISO/IEC 20000-1 especifica un niimero de procesos relacionados a la gestién, Esta parte de la NTP-ISO/EC 20000 proporciona orientacién y comentarios sobre la definicién del alcance y aplicabilidad de la ISO/IEC 20000-1 para permitir al proveedor del servicio cumplir con los requisitos especificados en la ISO/IEC 2000-1. Esta parte de la NTP-ISO/EC 20000 ayuda al proveedor del servicio que esté planificando mejores en el servicio 0 preparando una evaluacién de ta conformidad segin la ISO/IEC 20000-1. También puede ayudar al proveedor del servicio que esté considerando utilizar la ISO/IEC 20000-1 para establecer un sistema de gestidn del servicio (SGS) y que necesita asesoria sobre si la ISO/IEC 2000-1 es aplicable a sus circunstancias. Finalmente, ésta muestra cémo definir el aleance de un SGS basado en. ejemplos practicos. Esta parte de la NTP-ISO/IEC 20000 proporciona una lista de puntos importantes en la formulacién del alcance, en la aplicabilidad de la ISO/IEC 2000-1 y en la demostracién de la conformidad a la ISO/IEC 20000-1. También incluye ejemplos de declaraciones del alcance, que varian segin las circunstancias del proveedor del servicio. 2 REFERENCIAS NORMATIVAS El siguiente documento referenciado es indispensable para la aplicacién de este documento, Para las referencias fechadas, solo se aplica la _edicién citada. Para las referencias sin fecha, se aplica la ultima edicién del documento referenciado (incluyendo cualquier modificacién).NORMA TECNICA NTP-ISO/IEC TR 2000-3 PERUANA 2de4o ISOMEC 20000-1' Tecnologia de ia Informacion — Gestién del servicio ~ Parte 1: Especificaciones 3 TERMINOS Y DEFINICIONES ara propésitos de este documento, se aplican los términos y definiciones que figuran en la ISO/TEC 2000-1 y los siguientes. 34 evaluador Persona, un auditor interno 0 externo, que realiza las actividades de evalu nocesarias para establecer si el sistema de gestidn del servicio del proveedor del servicio cumple ios requisites especificados en la ISO/IEC 2000-1. 4 CUMPLIMIENTO DE LOS REQUISITOS ESPECIFICADOS EN LANTP-ISOMEC 20000-1 Algunos proveedores det servicio que han implementado un sistema de gestién det servicio (SGS) basado en la ISO/IEC 20000-1 desean demostrar la conformidad con los requisitos especificados en la ISO/IEC 20000-1. El proveedor del servicio que desea demostrar la conformidad deberia ser capaz de demostrar el cumplimiento de todos los requisites. La forma verbal "debe" es usada para todos los requisitos especificados en la ISOMEC 2000-1. El proveedor del servicio deberfa planificar y registrar las mejoras necesarias para ‘cumplir los requisitos, asi seré capaz de demostrer que: 1) todos los procesos requeridos por la ISO/IEC 20000-1 estén documentados y ‘operados para lograr los resultados deseados, incluyendo la gobemabilidad de aquellos procesos operados por otras partes, dentro de! alcance del SGS; * LaNTP-ISO/IEC 20000-1:2008 es equivalente a fa ISO/IEC 2000-1:2005lL. a NORMA TECNICA NTP-ISO/IEC TR 20000-3 Bde a2 PERUANA b) las interfaces planes de gest tre los procesos son operadas y documentadas dentro de los del servicio y produce los resultados deseados; ) la capacidad de gestién del servicio produce fos resultados acordados, de ‘acuerdo con las necesidades del negocio y los requisitos del cfiente; 4) el SGS es gestionado desde una perspectiva de principio a fin (end-to-end), trabajando con suministradores y grupos internos para curplir con ls resultados acordados. Existen tres tipos de evaluaciones de la conformidad: primera parte, reslizada utilizando Jos recursos propios del proveedor del Servicio, usualmente referida como auditoria interna; segunda parte, realizada por una persona u organizacién que tenga un interés ds Tenario en la. organizacién, tales como clientes o por otras personas en st nombre: = teroera parte, realizada por una organizacién evaluadora de 1a conformidad usualmente referida como un organismo de certificacién. Existen normas internacionales relacionadas a prictices en evaluacion de fe Caaidad, Algunas de ellas estin disefadas para auditorias contra estindares de SRtemas de gestion, Por ejemplo, ISO/IEC 17021 e ISO/TEC 19011 ambas inclusen reuisitos genéricos para las evalvaciones de tercera parte contra sistemas de gestion, ineluyendo SCS. ISO/IEC 17021 es para la evaluacion de conformidad de testa Parte yy la norma ISO/IEC 19011 es para todos Tos tipos de evaluacién de conformidad. La ISOMEC 17000 establece términos y definiciones que estén relacionadas, con 12 te Iancién de la conformidad en general, incuyendo fos ténminos de evaluacién de le conformidad de primera parte, segunda parte y tercera parte Siel proveedor de servicio tiene Ia intencién de emitir Ia desiaracion de le conformidad asada en los resultados exitosos de una evaluacién de Ja conformidad de primera pats que ha demosirado que el proveedor del servicio cumple con les real tos Gipeciicados en In ISO/IEC 20000-1, el proveedor del servicio deber'a referirse a ROVIEC 17050-1, que especifica los requisitos generales para dicha declaracién de 12 conformidad.NORMA TECNICA, NTP-ISOVIEC TR 20000-3 PERUANA 4 de a2 Los organismos de certificacién establecen reglas sobre la concesién de un certificado siguiendo una evaluacién exitosa de la conformidad de tercera parte. Por ejemplo, el organismo de certificacién puede requerir que el certificado ISO/IEC 2000-1 se expida solo a una persona juridica, no aun consoreio. 5 APLICABILIDAD DE LA ISO/IEC 20000-1 Sa Introduccion La ISO/IEC 2000-1 es ampliamente aplicable. Una amplia gama de proveedores de servicios pueden utilizar un SGS basado en la ISO/IEC 2000-1. La ISO/IEC 2000-1 se aplica a proveedores de servicios internos y extemos, grandes y pequefios, comerciales y no comerciales. La aplicabilidad de la ISO/IEC 20000-i es independiente del financiamiento para el servicio, as{ los costos pueden estar en un presupuesto organizacional tinico que abarque tanto al cliente interno como al proveedor de servicio interno. La ISO/IEC 2000-1 puede ser aplicable al proveedor del servicio incluso si sus clientes © suministradores han demostrado la conformidad con la ISO/IEC 2000-1. Esto se describe en la cléusula 5.2 y en el Anexo B. El cumplimiento de todos los requisitos no siempre ¢s posible para el proveedor del servicio cuyos clientes o suministradores han demostrado conformidad con la ISO/IEC 2000-1. Normalmente esto se presenta cuando el proveedor del servicio tiene la gobernabilidad de sblo algunos de los procesos. En estas circunstancias, el juicio profesional del evaluador puede ser que la ISO/MEC 20000-1 no es apropiada y que otro esténdar sea més adecuado, por ejemplo ISO 9001 0 un esténdar més especializado que ccubra s6lo algunos aspectos de la gestién del servicio, tales como seguridad o gestién de Ja configuracién. La ISO/IEC 2000-1 es solo aplicable si el proveedor del servicio sigue siendo responsable de la prestacién del servicio, como se muestra en los escenarios en el Anexo B.‘NORMA TECNICA NTP-ISOVTEC TR 20000-3 Sde42 PERUANA 52 Gobernabilidad de los procesos operados por otras partes El proveedor del servicio que desea conformidad con la norma requiere tener [a ‘gobernabilidad de todos los procesos en la ISO/TEC 2000-1. Es particularmente importante demostrar Ja gobemebilidad del proceso si otras partes ‘operan algunas partes de los procesos dentro del alcance del SGS. COtras partes pueden ser grupos internos en la misma organizacién como el proveedor del sersicio, pero no forman parte de la misma unidad organizacional del proveedor del servicio. Un grupo interno tiene un acuerdo formal con el proveedor del servicio, especiicando su contribucién alos servicios prestados por el proveedor del servicio. tras partes también pueden ser clientes o suministradores. Un corganizacién o parte de una organizacién que recibe un servicio y puede ser interno o fexterno al proveedor del servicio. Un suministrador es una organizacin externa o parte de una organizacién externa y tiene un acuerdo formal con el proveedor del servicio especificando su contribucién a los servicios entregados por el proveedor del servicio, A diferencia de los grupos internos, el acuerdo formal del suministrador podré ser un contrato legalmente vinculante. El proveedor del servicio esté obligado a demostrar la gobernabilidad del proceso: 2) demostrendo su responsabilidad de los procesos_y la autoridad para exigit la adhesién a los procesos. Por ejemplo, estableciendo la politica de seguridad de la jnformacién, usando controles, detectando infracciones € iniciando eeciones comrectivas; >) controlando la definicién de los procesos ¢ interfaces con otros provesos. Por ejemplo, documentando, aprobando y operando las interfaces y dependencias Gel proceso de gestién de cambios con el proceso de gestién de la configuracién; ©) determinando el rendimiento del proceso y el cumplimiento a través del acceso y ‘anilisis de las mediciones y otros registros. Por ejemplo, accediendo a un Conjunto de registros de incidentes y mediciones del rendimiento del proceso de gestién de incidentes, analizéndolos e iniciando las mejoras;NORMA TECNICA. NTP-ISO/IEC TR 20000-3 PERUANA| 7de42 Las tecnologias utilizadas para un servicio no cambian los procesos de gestién, pero tendrn un impacto directo en los requisitos de habilidad, herramienta y datos de las actividades del proceso. El Ambito de la tecnologia incluye pero no se limita a lo siguiente: 8) servidores y mainframes (Computadores centrales); ) equipos de escritorio; ©) redes; 4) telecomunicaciones; €) sistemas de almacensmiento; ) equipamiento del entorno; 8) aplicaciones; hh) sistemas de multimedia; 4) dispositivos méviles e inteligentes; 4) herramientas y sistemas de gestién. 6 PRINCIPIOS GENERALES PARA UN ALCANCE DEL SGS 61 Introduecién El proveedor del servicio requiere definir el alcance del SGS ¢ incluir una declaracion del alcance en el plan de gestin del servicio, antes de establecer el SGS. La direccién del proveedor del servicio es responsable por el plan de gestién el servicio. Después de que el SGS se ha establecido, la alta direccién es responsable de revisar el alcance del SGS para continuar su eficacia y validez.NORMA TECNICA. NTP-ISO/IEC TR 20000-3 PERUANA, 8 dea2 Para el alcance del SGS, es necesario tener en cuenta, que demostrar la conformidad requiere el cumplimiento de todos los requisitos especificados en la ISO/IEC 20000-1 El proveedor del servicio necesita tener la gobernabilidad de todos los procesos dentro del alcance det SGS, incluyendo los procesos que atraviesan los limites organizacionales entre el proveedor del servicio y otras partes. La declaracién del alcance deberia: 1) sertan simple como sea posible; 'b) ser comprensible sin un conocimiento detallado de la organizacién del proveedor del servicio; ©) incluir informacién suficiente para usarla en la evaluacién de conformidad; 4) estar redactado de modo que intencionalmente o involuntariamente no implique que algo esté incluido cuando en realidad no io esté. 62 Integracién o alineamiento con otros sistemas de gestion El proveedor del servicio deberia ser consciente que la ISO/IEC 20000-1 permite una alineacién o integracién de un SGS con otros sistemas de gestién relacionados. La inclusién del modelo Planificar-Hacer-Verificar-Actuar en la ISO/IEC 2000-1 aumenta Ja compatibilidad con otros esténdares de sistema de gestion. El proveedor del servicio puede definir el alcance de su SGS geogréficamente u ‘organizacionalmente idénticos al alcance de otros sistemas de gestidn, tales como un Sistema de Gestién de Seguridad de la Informacién (SGSI) basado en ISO/IEC 27001 0 un Sistema de Gestién de la Calidad (SGC) basado en ISO 9001. ‘Sin embargo, el proveedor del servicio deberia ser consciente que podria ser necesaria una diferenciacién dentro del aleance, a fin de cumplir los requisitos especificos en cada estindar de sistema de gestidn. Existen diferencias en los requisitos, ya que cada tipo de sistema de gestién tiene un propésito diferente. SGS, SGSI y SGC abarcan cada uno 16picos que los otros no lo hacen.‘NORMA TECNICA. NTP-ISO/TEC TR 2000-3 PERUANA, Ide 42 63 El aleance del SGS 631 Definicion del aleance El proveedor del servicio deberia discutir la declaracién del alcance con su evaluador. Reasegurar que el alcance propuesto es vélido, antes de establecer el SGS, evitaré establecer falsas expectatives. El proveedor del servicio deberia demostrar que el alcance es vilido al inicio de una ‘evaluacién porque es fundamental para la planificacién del evaluador de la evaluacién. Los procesos y servicios @ los clientes fuera del alcance del SGS no tienen que cumplir los requisitos especificados en Ja ISO/IEC 2000-1 y no influyen o afectan una evaluacién. Las exclusiones no tienen que ser referidas en la declaracién det alcance pero pueden ayudar a crear la declaracién del aleance sin ambiguedades. 6.3.2 Limites del aleance ‘Cuando el proveedor del servicio tiene Ja intencién de incluir un érea de negocio completo en el SGS, es relativamente simple definir el alcance de un SGS. Esto se debe a que el alcance es todo lo que el proveedor del servicio hace. Si el proveedor del servicio incluye sélo algunos de sus servicios en el SGS puede ser dificil definir el alcance en términos simples o evitar ambighedades. Una demostracién de la conformidad puede ser el cumplimiento de todos los requisitos para un servicio pequefio a un cliente, Jo que representa una pequefia proporcién del total de los servicios del proveedor del servicio. Esto necesita ser explicitamente dectarado en la declaracién del alcance para evitar cualquier riesgo de que la declaraci6n del aleance sea incomprendida, El proveedor del servicio externo puede tener muchos clientes y prestar muchos servicios, por lo que el alcance del SGS puede incluir servicios para varios clientes. ‘Cuando este sea el caso, los procesos deberian ser utilizados para prestar servicios para cada cliente, Los procesos para cada cliente pueden variar en detalle, pero para cada proceso se requiere el cumplimiento de los requisitos para ese proceso.PSE NORMA TECNICA NTP-ISO/IEC TR 20000-3 PERUANA 10 dea2 Un proveedor del servicio interno presta servicios a clientes dentro de Ia misma ‘organizaci6n as{ como el proveedor del servicio. En la situacién donde un proveedor del servicio interno suministre muchos servicios a muchos clientes dentro de su propia organizacién, la declaracién del alcance deberia basarse en los servicios offecidos, dentro del aleance del SGS. A pesar de la dificultad de incluir s6lo algunos de los servicios en el SGS, muchos proveedores del servicio prefieren demostrar inicialmente la conformidad para solo algunos de los servicios. El proveedor del servicio puede luego extender el alcance del GS, hasta en toda su extensién de los servicios del proveedor del servicio, tal como se describe en el epartado 6.6. 64 Contratos del servicio entre los clientes y el proveedor del servicio El proveedor del servicio que presta servicios bajo los téminos de un contrato obligatorio legal, deberia ser consciente que no es posible reducir la obligacién del proveedor del servicio para cumplir todos los requisitos especificados en la ISO/IEC 2000-1. Tampoco es posible para los términos de un contrato eliminar las obligaciones del evaiuador para obtener evidencia suficiente de la conformidad con todos los requisitos. Este es el caso incluso si un contrato limita los servicios y procesos. 65 Pardmetros de definicién del aleance 651 ‘Tipos permitidos de parimetros de definicién del alcance El proveedor del servicio deberia utilizar parémetros para definir el alcance del SGS ara garantizar que no exista ambigiledad sobre lo que esté incluido y excluido. Los pardmetros inclayen pero no estén limitados a: @) unidades organizacionales proporcionando servicios, por ejemplo, un departamento tinico, grupo de departamentos 0 todos los departamentos; ») servicios oftecidos, por ejemplo, un servicio tinico, grupo de servicios 0 todos los servicios, servicios financieros, servicios al por menor, servicios de correo electrénico;NORMA TECNICA NTP-ISO/IEC TR 2000-3 PERUANA Ide 42 ©) ubicacién geogrifica desde la que el proveedor del servicio presta los servicios, por ejemplo, una oficina tinica 0 grupo de oficinas, regional, nacional o mundi 4) clientes y sus ubicaciones, por ejemplo, un cliente, muchos clientes, clientes ‘externos 0 internos; ©) tecnologia utilizada para prestar los servicios (véase apartado 5.3). La declaracién del alcance no puede incluir los nombres de las otras partes que contribuyen a la entrega del servicio. Si la declaracién del alcance incluye muchos clientes, servicios o lugares, entonces un evaluador podré tomar como base la evaluacién de una muestra, utilizando su criterio profesional para la seleccién de la muestra y lo que serd evaluado. La declaracién del alcance puede incluir toda la gama de clientes, servicios y lugares dentro del alcance del SGS, no s6lo a los incluidos en la muestra, EJEMPLO: La estructura de una declaracién del alcance puede ser: “El sistema de gestién del servicio de que presta a de ” Una declaracién del aleance utilizando los nombres de los clientes puede incluir s6lo aquellos clientes donde se cumplen todos los requisitos, incluso si el proveedor del servicio tiene muchos otros clientes. Altemativamente, en lugar de utilizar los nombres de los clientes, otros parimetros, pueden ser utilizados asi como servicio, ubicacién 0 tecnologia. Por ejemplo, “todos los servicios del centro de datos en la ubicacién A" 0 “todos los servicios basados en mainframe (Computador central)" podrfan incluir varios clientes, sin enumerar los clientes individuals, Ejemplos basados en los pardmetros de definic dan en el Anexo B. ion del aleance cominmente usados se| | | \ NORMA TECNICA NIP-ISO/IEC TR 2000-3 PERUANA, 12de 42 6.52 Vigencia de los pardmetros Los pardmetros utilizados en las declaraciones del alcance pueden llegar a ser obsoletos. E1 proveedor del servicio deberia revisar el alcance del SGS y las decleraciones del alcance de forma regular, para comprobar que siguen siendo validos. El proveedor del servicio deberfa garantizar que la declaracién del alcance sea en la medida de lo posible, capaz de adaptarse a los cambios sin introducir ambigliedades, Aunque cualquiera de los pardmetros puede quedar obsoleto, es normalmente iit! una lista explicita de las unidades organizacionales (departamentos), ubicaciones ‘geogréfieas (direcciones especificas) 0 servicios. ‘Las declaraciones del alcance basadas en una referencia a un repositorio de informacién, como un catélogo de servicios, puede proporcionar una deciaracién del alcance simple. Por lo tanto, se deberia tener cuidado, cuando se usa este enfoque como declaracién del alcance pues puede ser ambigtio o répidamente se vuelve obsoleto debido a los cambios en el contenido del repositorio, 66 ‘Modificacién det aleance Algunos proveedores del servicio solo demuestran la conformidad para algunos servicios, dependientes de sus necesidades del negocio. Sin embargo, el proveedor del servicio puede iniciat con un aleance que incluya solo algunos servicios y luego SGS y la declaracién del alcance, para incluir los servicios adicionales. Un cambio sustancial en el alcance del SGS puede significar que el proveedor del servicio esté en condiciones para demostrar la conformidad con los requisitos especificados en la ISO/IEC 2000-1. Por ejemplo, el proveedor del servicio podra ampliar el alcance incluyendo nuevos servicios como los previamente proporcionados por los suministradores. Un cambio importante puede ser también una reduccién en el alcance del SGS, por ejemplo, el retiro de servicios. Un cambio sustancial en el alcance del SGS debe gestionarse utlizando un proyecto 0 programa de mejoras u otros cambios. Esto minimiza el riesgo para el servicio y laEEE EEE ee eee eer eeee cee cee NORMA TECNICA NTP-ISO/IEC TR 20000-3 13.de 42 PERUANA ccapacided del proveedor del servicio para demostrar la conformidad con los requisitos ‘en la ISO/IEC 20000-1. ‘Cuando el SGS revisado es evaluado por primera vez normaimente se requiere también de una re-evaluacién del SGS inicial. Suele ser necesario incluso si el SGS inicial no se debi6 a una re-evaluacién de rutina. 67 Cadenas de suministro y aleance del SGS 614 Dependencia de proveedores Ser dependiente de los suministradores 0 grupos internos para una parte de la prestaciOn de servicios no impide que el proveedor del servicio implemente un SGS basado en la ISO/IEC 2000-1. El Anexo B contiene ejemplos de escenarios validos y no validos para el alcance de los SGS y las declaraciones del alcance. La mayoria ilustra las cadenas de suministro detivadas de los acuerdos complejos entre los suministradores, grupos internos, clientes y proveedor del servici 672 Cadenas de suministro E| proveedor del servicio deberia tener en cuenta que las relaciones entre las organizaciones en una cadena de suministro puede influir tanto en el aleance del SGS y fa declaracién del alcance, Entendiendo que la cadena de suministro es fundamental para establecer un alcance efectivo del SGS y la definicién una declaracion del aleance valida, La Figura | ilustra ejemplos de dos cadenas de suministro. El primer ejemplo en la Figura 1 es un ejemplo simple donde un proveedor del servicio es externo a la organizacién del cliente (Cliente A). Este tipo de relacién es cominmente una organizacién comercial subcontratada que presta servicios a diferentes organizaciones clientes. Por simplicidad, la Figura 1 muestra un cliente tinico.NORMA TECNICA, NTP-ISOVIEC TR 20000-3 PERUANA 14. de 42 El segundo ejemplo en la Figura 1 es un proveedor del servicio que forma parte de la misma organizaciin como sus clientes, generalmente se conoce como un proveedor del servicio interno. Este cliente ¢s Cliente B. En este segundo ejemplo, un suministrador (Se muestra en el cuadro de lineas punteadas) esté bajo el control del Cliente B. Este suministrador esté por lo tanto también fuera del alcance del proveedor del servicio interno, El proveedor del servicio esté obligado a tener gobernabilidad de los procesos operados por el “Suministrador directo de los servicios” si desea incluir los procesos del suministrador directo en la declaracién del alcance. Et proveedor del servicio y el Cliente B no puede tener Ja gobemabilidad de los procesos operados por el suministrador directo. El proveedor del servicio puede tener dificultad para establecer la gobernabilided del proceso si el contrato del suministrador directo ¢s con el Cliente B. NOTA: El “Suninistrador directo de los servicios” es gestionado por el Cliente B y esti por lo tanto fiera del alcance del SGS del proveedor de servicio interno. Figura 1 ~ Interrelaciones con el proveedorSSS ‘NORMA TECNICA NTP-ISO/IEC TR 20000-3 PERUANA. 15 de 42, 6.73 Suministradores, suministradores principales y suministradores subcontratados Cuando el proveedor del servicio cuenta con varios suministradores, es comin nombrar a un suministrador como el suministrador principal. La cadena de suministro de tres fases se convierte en una cadena de suministro de cuatro fases, como se ilustra en ta Figura 2. El proveedor del servicio y el suministrador principal tienen una relacién directa y un contrato. El proveedor del servicio y los suministradores subcontratados no tienen una relacién directa y el contrato puede ser con el suministrador principal. El suministrador principal gestiona a los suministradores subcontratados en nombre del proveedor del servicio. Figura 2~ Relaciones con el suministrador principal y suministradores subcontratados Deberia haber claridad en las responsabilidades del suministrador principal a fin de definir el alcance del SGS del proveedor del servicio: el suministrador principal opera Jos procesos y la gobemabilidad del proceso es realizado por el proveedor del servicio, Las cadenas de suministro suelen ser mucho més complejas que Ia cadena de suministro de cuatro niveles ilustrado en la Figura 2, El aleance del SGS todavia puede ser simple siel proveedor del servicio entiende: 8) Que es requerido para la gobernabilidad del proceso;mean } NORMA TECNICA NIP-ISOVIEC TR 20000-3 PERUANA 16 de 42 ) cudl organizacién opera que parte de cada proceso; ©) cual organizacién es el suministrador principal. El proveedor del servicio esté obligado a tener la completa responsabilidad por el servicio, independientemente de dénde se origine el servicio en la cadena de suministro. 674 Demostrar Ia conformidad EI proveedor del servicio requiere demostrar la conformidad con los requisitos para el control de suministradores como se especifica en la ISO/IEC 2000-1, tras organizaciones en una cadena de suministro no necesitan conformidad con la ISO/IEC 2000-1 para que el proveedor del servicio demuestre conformidad, Por el contrario, es posible que varias organizaciones en una cadena de suministro cumplan ccon jos requisites especificados en la ISO/IEC 20000-1. El proveedor del servicio y sus suministradores pueden implementar cada uno un SGS independientemente y cada uno puede cumplir con todos los requisitos especificados en la ISO/IEC 2000-1. Es comin que las actividades del proceso, dentro de un proceso simple, se ejecuten por mis de una organizacién. Es importante que el proveedor del servicio necesite tener gobernabilidad del proceso, incluyendo la definicién y el acuerdo de las responsabilidades con las otras partes, ‘Cuando un proceso es operado por dos o mas organizaciones, solo una puede demostrar la gobemabilidad de este proceso. Las otras organizaciones sola pueden demostrar adherencia a ese proceso 0 demostrar gobernabilidad del proceso en otro uso del mismo. Deberia haber claridad sobre ios diferentes usos y separar los registros y la documentacién, Esto es necesario en la planificacién y la evaluacién contra la ISO/IEC 2000-1. Esta es una circunstancia comin para el proveedor del servicio con mas de un cliente, y para las organizaciones que dependen de una cadena de suministro compleja de milltiples suministradores, surninistradores principales y suministradores, subcontratados.Se NORMA TECNICA NTP-ISOMIEC TR 20000-3 PERUANA 17.de 42 615 Mantener de wna declaracién del alcance precisa Es responsabilidad del proveedor del servicio garantizar que el alcance de! SGS sigue siendo vélido después de que se ha documentado. Esto se hace mediante la realizacién de revisiones a intervalos planificados para identificar las discrepancias. Si el alcance actual no coincide con el alcance declarado, enfonces es necesario modificar la declaracién del alcance. Si la diferencia es considerada significativa, puede requerirse una re-evaluacién, Es responsabilidad del evaluador verificar el aleance declarado por el proveedor del servicio en su previsin y validez. 2 ANTECEDENTE ISOVIEC 20000-3:2009 INFORMATION TECHNOLOGY — Service management Part 3: Guidance on scope definition and applicability of ISO/IEC 20000-1:2005 191 LLLHe eee eee ESS le eu NORMA TECNICA, NTP-ISO/IEC TR 2000-3 PERUANA, 18 de 42 ANEXO A (INFORMATIVO) Puntos principales sobre la aplicabilidad de la ISO/IEC 20000-1, definicion del alcance del SGS y la conformidad con la ISO/IEC 20000-1 AL General Al definir el alcance de un SGS y desarollar una declaracién de! alcance basado en la ISO/IEC 20000-1, el proveedor del servicio deberd considerar lo siguiente: ALL Miitiples entidades juridicas La tercera parte de los organismos de certificacién pueden requerir que un certificado ISO/IEC 20000-1 s6lo se expida a una entidad juridica simple, no a un consorcio. AL2 Situacién comercial 8) El servicio puede ser prestado sobre una base comercial o no comercial. La base financiera de la provisin del servicio es irrelevante de la decisién sobre la aplicabilidad, el alcance del SGS 0 la declaracién del alcance. b) El proveedor del servicio no necesita ser propietario de los bienes del servicio 2 fin de cumplir los requisitos especificados en la ISO/IEC 2000-1. ALS Nombres de proceso El proveedor del servicio elige los nombres de los procesos de la gestién del servicio que no tienen que estar basados en nombres utilizados en la ISO/TEC 2000-1, pues los requisitos son la existencia de los procesos, su contenido, capacidad, calidad y uso.gee eee as NORMA TECNICA NTP-ISO/IEC TR 20000-3 PERUANA, 19 dea2 NOTA: lap de los nombres dl roto adopndo pore provedoy del sic £ Jos wilizados en la Bae. ere yaar al povendr del servile yal xa en el resoneciento ‘de como cummpln los requisites espeificades en la ISOVTEC 20000 ALA Imclusiones y exelusiones 4) Elaleance de un SGS y la declaracin del aleance basados fr a ISO/IEC 20000- PM ubanidefinir que se ha incuido dentro de alcance. Para faciitar Je clarided, puode ser itil indicar Jo que est fuera del aleance. b) El proveedor del servicio necesita mantener las evidencias para demostrar que se Gumplieron todos los requistos especificados en la ISOEC 2000-1. ©) Todos los procesos de gestion del. servicio necesitan ser implementados y operas en todo el aleance de un SGS pera cumplir {os requisitos especificados ‘en Ja ISO/EC 2000-1. ALS “Antoridades y responsabilidades 4) Algunas e la actividades del proceso de gestion de} servicio, que necesitan ser operadas dentro del alcance de un SGS, pueden so operadas por otras partes, operas nistradores o grupos internos. Es importante que © proveedor del cr feio tenga goberabiidad del proceso, inciayendo la definicion y el acuerdo de las responsabilidades de las otras partes. ') El proveedor del servisio deberia tener identificado ¥ documentado todos los pos funcionales, departamentos 1 oFganizaciones involucradas en e} alcance Tek pestign él servicio, por ejemplo, ls propia organizacién del proveedor del Servicio, -suministradores, suministradores principales ssuministradores subcontratados, ©) El proveedor del servicio deberia demostrar gobemabilidad de los procesos Gtene del alcance del SGS, independientemente de si estos proces St ‘operados por el proveedor del servicio © por les ottas ‘partes, ya sea los ‘suministradores 0 grupos internos.NORMA TECNICA NIP-ISO/TEC TR 20000-3 PERUANA 20 de 2 ALG Interfaces e integracién de procesos a) Es necesario que haya claridad en los limites entre el proveedor del servicio y los clientes y entre el proveedor del servicio y otras partes. b) El proveedor del servicio deberia demostrer una adecuada integracion de los pprocesos, que es fundamental en las buenas practicas de gestion del servicio y es requerido por ta ISO/IEC 2000-1. ©) El proveedor del servicio deberia proporcionar lz documentacién definiendo les interfaces entre los procesos, y para demostrar claramente ebmo estén controladas por el proveedor del servicio. ALT Evidencia de la conformidad El proveedor del servicio deberia tener en cuenta que el proveedor del servicio y un suministrador 0 un cliente no pueden demostrar tanto la gobernabilidad y las evidencias de un conjunto de procesos tinicos, cuando el alcance del SGS es el mismo. ALS Parémetros de las declaraciones del aleance Cuando se establece una declaracién del alcance, el proveedor del servicio deberia asegurar que la declaraci6n explicitamente define el alcance del SGS. El proveedor del servicio deberia considerar la utilizacién de pardmetros sin ambigedades para declarar el alcance. Bl proveedor del servicio deberia asegurar que la declaracién del alcance sea de ficil comprensién para las partes interesadas que no forman parte de Ia organizacién del proveedor de! servicio. ALS Ampliar el alcance Cuando es evaluado un pequefio aleance, por ejemplo, un servicio inico o una ubicacién nica, es necesario que el proveedor del servicio presente evidencies adecuadlas para todos los requisitos especificados en la ISO/IEC 2000-1. Si se amplia €l alcance, entonces el proveedor del servicio necesita proporcionar evidencias adecuadas para todos los requisitos especificados en la ISO/IEC 20000-1 para el alcance extendido.NORMA TECNICA. NTP-ISOMEC TR 20000-3 PERUANA 21 de 42 ANEXOB (INFORMATIVO) EJEMPLOS DE DECLARACIONES DEL ALCANCE ISOMEC 2000-1. En los escenarios, las flechas indican que los flujos de un servicio desde el provoedor del servicio a su cliente(s) asi como desde Jos suministradores del proveedor del servicio al proveedor del servicio. Para simplificar la figura, no se ‘muestran las actividades operacionales. Los parimetros utilizados en algunos de los ejemplos, por ejemplo, los clientes, podrén en otras situaciones volverse obsoletos répidamente y en esas situaciones son menos adecuadas en una declaracién del aleance. Cada escenario es una situacién diferente. Ejemplo de las declaraciones del aloance se incluyen en cada escenario, B2 Escenario 1 Un departamento del proveedor del servicio interno es el proveedor del servicio exclusivo del Cliente C, como se ilustra en la Figura B.1. El proveedor del servicio imterno utiliza las mejores prcticas de la gestién del servicio para todos los servicios offecidos a cada unidad de negocio interno (Unidades del negocio 1 a 3) y espera demostrar la conformidad con ISO/IEC 20000-1. El proveedor del servicio planea completar la implementacién de los provesos de gestién del servicio para todos sus servicios en el siguiente afio. El proveedor del servicio opera todos los procesos de gestidn del servicio, Existen tres suministradores pero no prestan servicios relevantes a la gesti6n del servicio.— NORMA TECNICA, ‘NTP-ISO/IEC TR 20000-3. PERUANA, 22 de 42 Organizacion X aa arma) [ae Figura B.1 ~ Escenario 1 Puede el proveedor del servicio interno del Cliente C demostrar conformidad con Ia ISOMEC 2000-17 SI. El proveedor del servicio del Cliente C puede demostrar conformidad cuando la implementacién y las mejoras del proceso estén completas y que hayan cumplido todos los requisitos. Cul es la declaracién del aleance del proveedor del servicio? Este es un ejemplo sencillo, E] proveedor del servicio, como perte de la organizacién X del Cliente C, podria especificar ef alcance de su departamento y sus procesos de gestion de! servicio. EJEMPLO La declaracién del alcance podria ser: El SGS que soporta la entrega de todos los servicios de TI internos para el Cliente C, por el proveedor del servicio interno del Cliente C.ee be eee EEE BEE EE EE Eee eee eee eee eee ee bee eee eee NORMA TECNICA NTP-ISO/IEC TR 2000-3 PERUANA. 23 de 42 BS Escenario 2 El Cliente D es similar al proveedor del servicio anterior, pero la funcién de centro de servicio al usuario del Cliente D es tercerizada por ef Suministrador 1, un suministrador ‘externo. En este escenario, ilustrado en la Figura B.2, el Suministrador 1 es responsable por entregar los servicios operativos de soporte de primera linea, mediante la funcién de centro de servicio al usuario. Esto involucra la parte operativa del proceso de gestion de incidentes en nombre del proveedor del servicio interno. Aunque el servicio del ‘Suministrador 1 es entregado en la totalidad a la organizaci6n del Cliente D, el acuerdo es entre el Suministrador 1 y el proveedor del servicio interno. Los otros tres ‘suministradores no prestan servicios relevantes a la gesti6n del servicio. ‘xpanizacion X Figura B2-- Escenario 2 interno del Cliente D demostrar conformidad con Puede el proveedor del servi ia ISOAEC 2000-17 Si, si el proveedor del servicio interno puede demostrar la gobernabilidad de los procesos que abarcan el limite entre el proveedor del servicio y el Sumninistrador 1, por ejemplo los utilizados para la gestién de incidentes.EE eee ee erect eee ea NORMA TECNICA. NTP-ISO/IEC TR 20000-3 PERUANA 24 dea PERUANA La ISO/IEC 20000-1 no incluye requisitos para los departamentos 0 funciones ‘especificos que se incluirdn dentro del alcance del SGS de la declaracién del aleance: Un centro de servicio al usuario s wna funcién, no un proceso, por tanto la ISO/IEC 2000-1 no incluye sequisitos para que el proveedor del servicio cuente con la gobernabilidad del personal y las instalaciones de una funcién de centro de servicio al usuario tercerizado, El proveedor del servicio deberia tener la gobernabilidad de los procesos operados por la funcién de centro de servicio al usuario. Deberia haber evidencias de que los procesos operados por la funcién tercerizada de centro de servicio al usuario y las interfaces entre los procesos estén definidos. Esto incluye donde los procesos atraviesan los limites entre las organizaciones. Por ejemplo, cl proceso de gestién de incidentes puede ser definido de tal manera a fin de asegurar que: a) todos los incidentes de los servicios definidos estin registrados; +b) los procedimientos para gestionar el impacto de los incidentes del servicio son coordinados entre el suminisirador de la funcién de centro de servicio al usuario y el proveedor del servicio interno. «) los procedimientos que definen el registro, priorizacién, impacto en el negocio, clasificacién, actualizacién, escelamiento, resolucién y cierre formal de todos ios incidentes estin alineados apropiadamente; 4d) el Cliente D se mantiene informado del progreso de los incidentes reportados; 2) todo el personal que opera el proceso de gestién de incidentes tiene acceso a la informacién relevante. Esto incluye los errores conocidos, los registros de resolucién de problemas y la informacin de la base de datos de gestién de la ‘configuracién que son accesibles por el personal de primera linea en el centro de servicio al usuario y el personal de segunda linea y tercera linea del proveedor del servicio; 1) Ja informacién y los informes de gestién del centro de servicio al usuario son accesibles por él proveedor del servicio, asi como los procesos que no pueden gestionarse efectivamente sin ellos; 12) el proveedor del servicio interno del Cliente D tiene acceso # Ja informacion de gestion de incidentes y problemas del Suministrador 1, para todos los registros relacionados a los servicios TI del Cliente D.ee NORMA TECNICA, NTP-ISOMEC TR 2000-3 25 de 42 ERUANA, {Cuil es a deciaracion del aleance de! proveedor del servicio interno? EJEMPLO La declaracién del alcance podria ser: E1 SGS que soporta la provisién de todos los servicios de TT internos al Cliente D porel proveedor del servicio interno del Cliente D. ‘Aunque la fancién de oficina de servicio esté tereerizada al Suministrador siel proveedor del servicio ha mantenido ia gobermabilidad de todos los procesos requeridos. Dor Ia ISOMEC 20000-1 serd vid la declaracién del aleance dada anterionnente Puede el Suministrador 1 demostrar conformidad con In ISO/TEC 2000-17 No, siel proveedor del servicio interno mantiene la goberabilidad de fos process, al se eter | no puede demostrar conformidad con la ISO/IEC 20000-1 utlizando dannaevns evidencias de gobemabilidad para aquellos mistnos procesos, por ejemplo, para sus servicios de centro de servicio al usuario para el Cliente D. Esto se debe aque Pre aminstrador 1 no puede demostrar la gobernabilidad del proceso del mismo conjunto de procesos como el proveedor del servicio interno. En algunas circunstancias, el Suministrador 1 puede demostrar conformidad con ta Feoitec 20000-I pare los servicios a otros clientes, demostrando gobernabilidad de Jos procesos. El Suministrador 1 puede también demostrar conformidad con la ISOMEC Prot rbmeado en aus propios procesos intrn0s, por ejemplo, ls servicios, tecnologia ¥ procesos ullizados para soportar a su propio personal. Ba Escenario 3 El escenario en la Figura B.3 muestra que el trabajo de gestion de aplicaciones pars los Eomas back office (Sistema de soporte operacional o administrative) del Cliente Sistemas trzado por el suministrador externo, Suministador 2. La gestion deNORMA TECNICA, NTP-ISO/IEC TR 2000-3 PERUANA, 26 de42 aplicaciones es el desarrollo, soporte y mantenimiento de todas las aplicaciones. El ‘Suministrador 2 también proporciona los servicios de centro de servicio al usuario. El proveedor del servicio interno ha conservado todos los aspectos de Ja gestion de a infreestructura, La gestion de la infraestructura es el disefio y Ja planificacién, despliegue, operacién y soporte técnico de: la infraestructura. Los otros tres suministradores no suministran servicios relevantes a la gestién del servicio. Organizecion x ae 7 fnmiemterz (sneer) povccone [2 Setpoint Figura B3 — Escenario 3 gPuede ef proveedor del servicio del Cliente E demostrar conformidad con Ia PNTP-ISO/IEC 2000-12 Si. Los servicios de la gestin de aplicaciones no tienen que estar incluidos en el aleance de la gestion del servicio para demostrar conformidad con la ISO/IEC 2000-1. En este escenario, el proveedor del servicio sigue siendo responsable de todos los procesos requeridos por la ISO/IEC 2000-1 para los servicios de gestién de la infraestructura. Como un resultado, el proveedor del servicio puede demostrar la gobernabilidad de todos los procesos necesarios, Un requisito especificado en la ISO/IEC 20000-1 es que exista un acuerdo formal entre el proveedor del servicio y un suministrador, definiendo los requisites recaidos en el suministrador. Esto suele Ser un contrato legal, ya que el proveedor del servicio y eldn PHC eee SoHo HEE eeeoS eee NORMA TECNICA. NIP-ISOEC TR 20000-3 21de4 PERUANA suministrador son entidades juridicas independientes. Durante una evaluacién, el proveedor del servicio deberia demostrar que existe este acuerdo formal. 1 proveedor del servicio deberia también demostrar que el proceso de gestiin de Earlinistradores asegura Ia prestacion de los requisitos por parte del suministrador. Un Sietuador. puede exit evidencias, por ejemplo, documentos del proceso y del procedimiento y registros tales como reportes sobre el servicio de los sum istradores, fara la evaluacidn, Sin embargo, un suministrador no necesita conform!dad. con fa FEEYIEC 2000-1 ‘con el fin que el proveedor del servicio interno del Cliente E demuestre su conformidad. {:Cudles la declaracién del alcance del proveedor del servi ‘Aunque el proveedor del servicio ha subsontratado algunas de sus actividades ¥ seis operacionales al Suministrador 2, si el proveedor del servicio tiene gaberabilidad de todos los procesos de gestion de I infraestructara, especiicedo en Ia ISO/IEC 2000-1 es valida la declaracién del alcance que figura a continuacién. EJEMPLO La declaracién det aleance podria ser: EI SGS que soporta la previsin de todos los servicios de gestion de la infraestructara para el Cliente E por el proveedor del servicio interno del Cliente E, {Puede et Suministrador 2 demostrar conformidad con la ISO/IEC 20000-1 para a alcance de los servicios que prestan al Cliente E? El Suministrador 2 puede también demostrar la conformidad con 1a ISO/IEC 20000-1 para sus servicios Ge gestién de aplicaciones si ellos, en lugar del proveedor de! Pemvisio, tienen la gobernabiidad de los procesos utilizados en le gestion de Spllcacones, $i el Suministrador 2 no puede demostar la gobernabilidad de proceso, =) Qininistrador 2 puede demostrar la conformidad de otros servicios, otos eientes, 0 10s procesos de gestin del servicio interno del propio Suministrador 2NORMA TECNICA NTP-ISO/EC TR 20000-3 PERUANA 28 dead BS scenario 4 El centro de servicio al usuario, la gestidn de la infraestructura y los servicios de gestién de aplicaciones det proveedor del servicio interno del Cliente F son tercerizados a un suministrador externo, el Suministrador 3. Esto se ilustra en la Figura B.4. El Cliente F Jo hizo para evitar invertir en herramientas, Ademés, el proveedor del servicio interno del Cliente F decidié evitar la participacién de la gestién que necesitaban para un proceso de gestién de configuracién efectivo. ‘Asimismo, decidieron reducir al minimo la participacién en la gestién de la prestacién del servicio y en la resolucién de problemas e incidentes con el fin de concentrar los esfuerzos de gestin en actividades basadas en el proyecto. Los procesos de gestién de incidentes y gestién de problemas del Cliente F son tercerizados al Suministrador 3, Los otros tres suministradores que se muestran en la Figura B4 no prestan servicios relacionados con la gestién del servicio. omnieconx | Figura BA - Escenario 4NORMA TECNICA. NIP-ISO/IEC TR 2000-3 PERUANA 29 de 42 {Puede el proveedor del servicio interno del Cliente F demostrar conformidad con. Ia ISO/IEC 2000-17 ‘No, porque no puede demostrar la gobernabilidad del proceso de todos los procesos en la ISO/IEC 20000-1 Evitar {a inversién en herramientas no es un obstéculo para demostrar conformidad con la ISO/IEC 2000-1, La ISOMEC 2000-1 requiere de herramientas “segiin ‘comesponda” y que las herramientas que son utilizadas, lo hagan eficazmente, Sin embargo, como el proveedor del servicio decidié evitar cualquier implicacién en algunos procesos, no es posible cumplir todos los requisitos especificados en la ISOMEC 2000-1. No se trata de los requisitos para los procesos de gestién de incidlentes, problemas y configuracién, Esto es también gestién de las interfaces entre Jos procesos y por el proveedor del servicio, para asegurar que los procesos estén efectivamente integrados. Esta decisién también afecta a los procesos estrechamemte relacionados asi como a la zestion de cambios y gestién de entregas. El mayor obstéculo del proveedor del servicio para demostrar la conformidad s la decisién de minimizar la participacién en la gestion del servicio. El proveedor del servicio es incapaz de cumplir algunos de los requisitos mas fundamentales. La ISOMEC 20000-} especifica muchos requisitos que no pueden cumplirse a menos que haya participacion y compromiso demostrables de la gestién, La alta gestién es también responsable de la calidad del servicio. Este proveedor del servicio puede demostrar la gobernabilidad de s6lo algunos de los pprocesos en Ia ISO/IEC 20000-1 y no puede cumplir muchos de los requisitos. Bajo estas circunstancias, la ISO/IEC 2000-1 no es aplicable a este proveedor del servicio. Este es el caso incluso si el proveedor del servicio tiene un muy alto esténdar de proceso de gestion de suministradores. A pesar de esto el proveedor del servicio interno no puede cumplir todos los requisitos, la ISO/IEC 20000-1 puede ser itil como un objetivo ppara los procesos donde ellos tienen que mantener la gobemabilidad. También puede ser ‘itil como un requisito de sus suministradores, incluyendo el Suministrador 3,NORMA TECNICA NTP-ISO/IEC TR 20000-3 PERUANA 30de 42 Puede el Suministrador 3 demostrar conformidad con la ISO/IEC 2000-17 Si. En este escenario el Suministrador 3 es responsable de todos los procesos de gestién del servicio para la gestién de Ia infraestructura y servicios de gestiOn de aplicaciones centregados al Cliente F. Como un resultado el Suministrador 3 puede demostrar ‘gobernabilidad de todas los procesos necesarios. iCual es la declaracién del aleance del Proveedor 3? EJEMPLO La declaracién de! alcance podria ser: EI SGS que soporta la provisién de todos los servicios de gestién de infraestructura y de gestién de aplicaciones para el Cliente F por el Suministrador 3. BS Escenario 5 La Figura B.5 ilustra un escenario donde el proveedor del servicio interno del Cliente G ha demostrado conformidad con la ISO/IEC 20000-1 para los servicios de gestin de la infraestructura. Para ello, el proveedor del servicio interno ha demostrado la gobernabilidad de los procesos operados por el Suministrador 4. Los otros tres suministradores no suministran los servicios correspondientes ala gestién del servicio. El Suministrador 4 ahora desea demostrar la conformidad con la ISO/IEC 2000-1, porque diferentes organizaciones cliente han especificado esto en sus lictaciones.| aT NORMA TECNICA NTP-ISO/IEC TR 2000-3 31de42 PERUANA, Figura BS —Escenario 5 gPuede el Suministrador 4 demostrar conformidad con Ix ISO/TEC 20000-1 2 fesar de que el proveedor del servicio inferno del Cliente G ha demostrado conformidad con la ISO/IEC 20000-1? Si, siempre y cuando se cumplan ei proveedor del servicio que ha demost Fignifica que un suministrador no pueda también demostrar conformidad. El Summinjstrador 4 no puede demostrar conformidad basado tinicamente en el servicio ave proporciona al Cliente G. Sin embargo, es posible que el Suministrador pueda spo rrar eonformidad para los servicios prestados a otros clientes 0 @ Ia propia “organizacién del Suministrador 4. todos los otros escenarios 1as implicaciones de la cadena de suministro ‘aleance del SGS y desarrollar de una declaracién det smostrando ‘Al igual que en necesita ser comprendida por el Hleance valida. Esto se ilustra redisefiando Ia Figura B.S como la Figura B.6, ‘al Suministrador 4 como parte de la Organizaci6n V. El Suministrador 4, que se muestra en la Figura B.S y en Ja Figura B.6, s parte de una nganizacién mucho més grande, Organizacion V. Parte de 1a Organizacién V es alNORMA TECNICA NTP-ISO/IEC TR 20000-3 PERUANA, 32.de 42 proveedor del servicio externo al Cliente H. Esta parte de la Organizacién V puede

También podría gustarte

• Laboratorio 7 Exploración de Las Interfaces - CCNA VOICE

  

  Documento7 páginas

  Laboratorio 7 Exploración de Las Interfaces - CCNA VOICE

  Javier Augusto Alca Coronado

  Aún no hay calificaciones
• Gestión de Seguridad

  

  Documento26 páginas

  Gestión de Seguridad

  Javier Augusto Alca Coronado

  Aún no hay calificaciones
• E-Book - TI Bimodal - Espanhol

  

  Documento14 páginas

  E-Book - TI Bimodal - Espanhol

  Javier Augusto Alca Coronado

  100% (1)
• • Revistas
  • Podcasts
  • Partituras
• Manual Soporte Siaf

  

  Documento13 páginas

  Manual Soporte Siaf

  Javier Augusto Alca Coronado

  Aún no hay calificaciones
• HTTP Ww4.essalud - Gob.pe 7777 Acredita Servlet Ctrlwacre PDF

  

  Documento2 páginas

  HTTP Ww4.essalud - Gob.pe 7777 Acredita Servlet Ctrlwacre PDF

  Javier Augusto Alca Coronado

  0% (1)
• Marketing Financiero

  

  Documento2 páginas

  Marketing Financiero

  Javier Augusto Alca Coronado

  Aún no hay calificaciones
• Numero de RPM - Unique

  

  Documento5 páginas

  Numero de RPM - Unique

  Javier Augusto Alca Coronado

  Aún no hay calificaciones