UN: sewmaracéeEapesaio Tecnologias de la informacion Gestién de Servicios (scs) Esta norma ha sido elaborada por el comité téenico CTN 71 Tecnologia de la informUNE-SO/IEC 2000-1 " STécnologias de la informacion Gestidn de Servicios i pie Porte 1: Requisitos del Sistema de Gestién de Servicios (SGS) & 4 Infortation technology Service managenient. Part Sint mantgemas seb ‘Technologies de "information. Gestion des services. Partie 1: Brigences du sysfime de mandigement des services, 4 pee Esta norma es idénitica a la Nori Internacighal ISO/IEC: phon Esta norma anularé y sustituira a la North TUNE ASO/Cagpn: :2021 antes de 2020-09-15. sd interne Steger tor . wee Asociacignsespafiola de Normalizacién oe Ginovs 2 28004 MADRUD-Eopona! Tel: 925.294 900,559) inconindice 0 Introduccion. 1 Objeto y campo de aplicacién.. 1.1 Generatidades. 41.2 Campo de aplicacion. 2 Normas para consulta wm 3 BA Bz Pa 44 Comprensién de la organizaci az Compresién de las necesidades y paca Interesadas. (henge Determinacién del alcance del si je gestion de servicios. Sistema de gesti6n de servicios. Liderazgo. Liderazgo y compromiso. pen Acciones para tratar ri riesgos y oportunidades... Objetivos de gesti erviclos y planificacién para su consecucion._-22 Establecer objetivos er Planificar ld Consecuct6n de 10s Ob{etH¥05 none Planiigagoaistoraa de gestiGn de servicios... 7A 72 73 74 1c 7.5 _ Informiacién documentada, 75.16% Generalidades wm 752 Créacion y actualizacién de la informacion documentada,.. 7.52, Control de a informacién documentada: se 4 Informacion documentada del sistema de gestién de servicios. 6%, Conocimiento.. cgi! Operacion, Planificacion y control operacional...... Porfolio de servicios. UNE-IS0/IEC 20000-1:2018UNE-ISO/IEC 20000-4:2018 8.21 Prestacion de servicios... Planificacién de servicios. vs i Control de partes involucradas en el ciclo de vida de los servicios. ... Gestion de] catalogo de servicios. 7 i Gestion de activo =F ~Gestifn de la.comfiguraciOn sn snnnnnnnesinnnesi z x Refacién y acuerdo. ~Generalidades; i Gestidn-de relaciones'con el negociosiisnsiiiais. “Gestion de niveles de servicio wiswsisssinsinnsini i: Gestion de proveedores. ~ Oferta ydemanda..... Gestion de fa demanda crn Gestién de la capacidad ——— amu Disefo, construcciény transicién ‘Gestion dé cambios. Diseiioyy transicié rn Gestion de-entregas'y despliegues ~ Resolucién y-ejecucion Gestion de incidencias..., . Gestion de peticiones de servici Gestion de problemas onmun ‘Aseguramiento de servicios ae Gestion de la: ‘disponibilidadde: Gestién de la continuidad’de los Gestién-de la seguridad ae 10.1... Noco1 16M COFTECtIVA sino 102” Moortcounitag eeeISO (Organizacién Internacional de Normalizacién) es una federacién mundiil de “organismos nacionales de normalizacién (organismos miembros de ISO). El trabajo de elaboracion We las Normas Internacionales.se lleva a cabo normalmente a través de los comités técnicos de [SO. Catla organismo miembro interesado en una materia para la cual se haya establecido un_comité%técnico, tiene el derecho de'estar representado en dicho comité. Las organizaciones internacionales; gibernamentales: y no gubernamentales, vinculadas con ISO, también participan en clstrabajo. [SO colabora ‘estrechamente con la Comisién Electrotécnica Internacional (IEC} en todos los temas de normalizacién electrotécnica. eT ye Ena Parte 1 de las Directivas ISO/IEC se deseriben los procedimignt8¥utillzdos para desarrollar este documento'y aquellos previstos para su mantenimiento posterior: En particular deberia tomarse nota de los diferentes criterios de aprobacién necesarios para los distintos tipos de documentos ISO. Este documento’ha side redactado de acuerdo con las reglas editérjales,de la Parte 2 de las Directivas 1S0/IEC (véase worwiso.org/directives). —- ene oes aps Se lama la atencién sobre la posibitidad de que algunos dellgs elementos de este documento puedan estar sujetos a derechos de patente. ISO no asume la‘reSpt msabilidad por la identificacion de alguno 0 todos los derechos de patente. Los detalles sobre cuitlquiér derecho de patente identificado durante el desarrollo de-este documento se indicaran en la Introduccién y/o en la lista ISO de declaraciones de patente rocibidas (véase wrw.iso org/natents] sng, om Cualquier nombre comercial utilizade en este documento es informacién quie se proporciona para ‘comodidad del usuario y no constituye ung recomendaci6n. Para una explicacién de la naturaleza véluntafia de las normas, el significado de los términos ‘especificos de 1SO y las expresiones relacionadas con la evaiuacién de la conformidad, asi como la Informacién acerca de la adhesién:dé'1S0 a los principios de Ja Organtzacién Mundial del Comercio (OMC) respecto a los Obstaculos Técnicos al Comercio (OTC), véase www, iso.org/iso/foreword.biml. ° Este documento ha sido elaborado bref Comité Técnico ISO/IEC JTC 1, Teenologia de la informacién, Subcamité SC 40, Gestién de Services y Gobierno 71 Sati? Rsta tercera edicién ‘aniifa’y revisada técnicamente: Los cambios principles ‘sustituye a la segunda edicién (ISO/IEC 20000-1:2011) que ha sido (émparacién con la edici6n previa son los siguientes: a) Se ha reestruétiirado‘de acuerdo a la estructura de alto nivel utilizada para todas las normas de sistema de gestidit'(de acuerdo con el anexo SL del Suplemento ISO Consolidado a las Directivas ISO/IEGsBarte 1), Esto ha introducido nuevos requisites comunes para el-contexto de la ‘orgatizacidn: la planificacién para alcanzar objetivos y las acciones para abordar los riesgos y las oportunidades; Existen algunos requisitos comunes que han actualizado requisitos previos, por gjemlovifornaion documenta, resorts competenciy concienciactn, b) ‘Se-tian tenido en cuenta las tendencias emergentes en la gestién de servicios, incluidos temas -qqgomo,lé comoditizacién de los servicios, la gestion de maltiples proveedores por parte de un “iitegrador de servicios interno o externo y la necesidad de determinar el valor de los servicios los clientes,‘UNEISO/1EC 20000-1:2018 “6+ oe ¢) Se haneliminado algunos detalles para concentrarse en qué hacer y dejar a las monn la libertad de cémo cumplir los requisitos. los servicios... ee ~ ‘@) Se han incluidy nuevas caracteristicas como nuevos.requisitos de. ne iiffcacton-de ®) » Se han separado los apartados que se-combinaron previameate para Jos préeisod de gestion de + vincidencias, ,de. peticiones de. servicio, de a continuidad: de. servicid, "d6%Jazdisponibilidad. de «servicio, de niveles de servicio, de catdlogo de servicios, de lacapacidad yéde'la demanda.. ee f) Se ha cambiado el nomibre de "Gobierno de los procesos operadasypor tetceros",a."Control:de partes involucradas’en el ciclo de vida de los servicios" y se, actualigado los requisites: para eon, hacer.referencia tanto. servicios y.componentes de servicios temo. a-procesos, Se ha.puntua- lizado.que la, organizacién nd puede demostrar conformidad con, JuSirequisitos:especificados.en “este documento -si-se. utilizan, terceros..para. proporcionar. i} operar. todos. los. servicios, componentes de servicios 0 procesos.dentro del aleance ‘de gestién de servicios (SS). @) Se ha separado el capitulo 3.(1étaiiaes y defini eapartads para lps términos de los >.» Sistemas. de gestion y para.los tér dela gestion Be prrvicios. Se hanevado.a cabo. muchos _gambios en las definiciones. Los:¢ambios funda E 2 . 1). se han agregado algunos términos.1 4 el anexo SL, como “objetivo” o "politica", y se hhan agregado algunos especificos paraygestidn dé servicios, como "activo" o “usuario”; . a) i or: clos y reemplazado por." organizacin’. para ajustarse +3) el, término..“grupo. interno’. se igo, emplazado por."proveedor interno’, y..el. términio <- “suministrador” ha sido reempla: r"proveedor-externo”; : Be 4), a definicié nacié ado con la Norma ISO/IEC. 27000. “Ademés, el té idad* ha sido sustituido por “disponibilidad de servicio" para > oe iferengiarlo del. términé “dispbaibilidad” que.ahora,se‘titiliza en.la definicién: revisada,de “seguridad de la informacion’, » Saag tn ai . “ 1A); Se ha minimizad6:la‘Taformpacion documentada requerida, defihde-s6lo documentos.clave, como el plan de gesti promis Otros cambios de informacién documéntada so: 8 1) se ha elimiitado éh¥Guisito relativo al-plan documentado de capacidad'y.se han.reemplazado or un regu planificacion de la capacidad; 2). se"ha eliminado .cl requisito .telativo al plan, de. disponibilidad documenta epmplazado el requisite de documentar losrequisitos y objetivos de disponibilidad; . nado el to. de, una. base le Ja configuracién ¥, se ha gaTetrpplatido por requisites v objetivos de informaciénde la configuracién; _Pari definirtipos y frecuencia de las entregas;, se BOE AG BH 8 en P ~ 68% eliminado el requisito.de-una politica de entregas y. se ha reemplazado por un requisiteUNEHSO/IEC 20000-1:2018 5) se ha eliminado el requisito de una politica de mejora continua y se imeem por un ‘requisito para definir los criterios de evaluacién de oportunidades demejora. “2... 4° i) Se han actualizado y renumerado las figuras 2 y 3 como figuras 1y 2. Se ha elif nado las figura ly Jas referencias al ciclo Planificar-Hacer-Verificar-Actuar. (0 Plan-Ds Chetk- Act) ‘ja que no es especificamente utilizado en el anexo SE, puesto que se pueden utilizat:muchos;métodos de mejora con las normas de sistemas de gestién. om 180 20000. Cualquier comentario 0 pregunta sobre este documento deberian dirigirse al organismo nacional de ormalizacion del usuario, En wuwyisoorg/membershiml se puede encontrar un hstado completo de estos organisms.a ste docitinente ha sido elaborado para especificar los requisitos para el establecii ‘imple ‘mentacién, el mantenimientoy la mefora continua de un sistema de gestién de sexvici 1 resta soporte.a:la gestin del ciclo de vida.de los servicios, incluyendo la-platiticaciér, el disefo, la fransiciénla entrega y la mejora de los.servictos, que cumplen.con los requisites acordaios y.ofrecon valor para los clientes, los usuarios y la organizacion que presta| lesservicios. tras ‘UNE-ISO/IEC 20000-1:2018 0 “Introduccién: e Laadopci6n.de un SGS ¢5.una.dectsién estratégica para.una organizacién ie fae por ios objetivos de la misma, el drgano .de_gobierno,,otras partes, oa en él: ciclo. de. vida:de los servictos y ta necesidad de unos servicios eficaces y resilientes. La 'implementacién y operacidn de un SGS proporciona visibiidad Continua, ic servicios y ‘mejora continua, generando'una mayor eficacia y eficiencia. = eee “de la gestién de servicios se aplieaal SG5,ya los servicios. . snes, swage Este documento es intencionadamente independiente de’ guiastes utilizar una combinacién de marcos’ généralmente acd junto a su propia experiencia. Los rrequisitos especificatis en este documento estan alineados'cofi metodologias de mejora cominmente utilizadas. Para prestar soporte al SCS pueden utligafSehertamientas adecuadas para la gestin de servicios. 2 Se LaNorma ISO/IEC 2000-2 proporciona orientacion servicios e incluye ejemplos de cSmo cumpli isitos especificados en este documento, La Norma 150/1BC 20000-10 proporciona informaciy sobre todas las partes de la serie ISO/IEC 20000, beneficios, malas-interpretaciones y otro esténidares ‘relacionados. La Norma ISO/IEC 2000-10 enumera los.términos y definiciones coiitempladés en este documento, ademas de los términos no utlizados en este documento, pero emplesdos en.otras partes de la serie ISO/IEC 20000. fe La estructura de capitulos, los térmings.del apartado 3.1 y muchos de los requisitos se han adoptado del anexo Si, del Suplemento 180" Consolidado a las Directivas ISO/IEC Parte 1, conocido como la estructura egmiin de alto nivel (HLS) parajnormas de sistemas de gestidn, La adopcién dé HLS permite a la organizaciOn alinear o integratimuiltiples normas de sistemas de gestién. Por ejemplo, un SCS se puede integrar con un’sistema de gestion de calidad basado en la Norma ISO 9001 o un sistema de gestion de seguridad de la inférmacigi basado en la Norma ISO/IEC 27001. te, 1a figura 1 represenifen SGSique muestra ef contenido de los capitulos de este documento. No reproduce, jerarquia ‘accu gl Secuencia 0 niveles de autora. En este documento no hay requisites relative 2 aplicables al SGS de una organizacién. No hay-requisitos para que los términos utili una organizacién sean reemplazados por los términos utilizados en este documento Las etgalcacines pueden elegir usar términos que se adapten a su operaciones. e Ia aplicacién de sistemas de gestién de La estructura ge capinulos tiene por objeto proporcionar una presentaciOn coherente de los requisitos, jelo para documentar las politicas, los objetivos y los procesos de'iina organizacién. uede elegit cmo combinar los requisites de la norma en procesos. La relacién facién y sus clientes, usuarios y otras partes interesadas influye eh como se nentan los procesos. Sin embargo, un SGS disefiado por una organizacién no puede’ excluir Tequisitos especificados en este documento, ;-9- UNE-ISO/IEC 20000-1:2018. Cheaies SISTEMA DE GESTION DE SERVICIOS (GS). (ater y = ——— ater) acpi OE TE ALES craves 0, DER IZCO ey sheecpreeeie Fae oenetnaapersion iF PLOITCACTEN Ringer “Onenen en ca GE ase ‘SOPORTE AL SCS Ih, [Ls sccm cenit Creme “Eien tnern “Coe ||" % Figura 1 - Siem de gestion de servicios 1 Objeto y campo de aplicacios oF LL Generalidades 4 Este documento especifica ibetrequisiios para que una organizacién estableaca, implemente, mantenga y mejore continuamentexti sistema de gestidn de servicios (SGS). Los requisites especificados en este documento incluyen la:planificacién, el diseffo, la transicién, Ia entrega y la mejora de los servicios para cumplir los requisites de servicio y entregar valor. Este documento puede serutlizado por: a) uncliente an desnde servicios y que necesite garantia respecte a la calidad de esos servicfos; a B b) un cliente que requigra un enfoque consistente del ciclo de vida de los servicios por parte de todos sus prgygedores de servicios, indluidoslos de una cadena de suministro; ©) una organizacion que quiere demostrar su capacidad para la planificacién, disefio, transicién, ot ent 3 yanejora de servi agihicactén para monitorizar, medir y revisar su SGS y sus servicios; “uya Srganizacién para mejorar la planificacién, disefto, transicién, entrega y mejora de servicios mediante una implementacién y operacién eficaces del SGS;‘UNESO/MEC20000-1:2018 -10- =< f] ma organizacién o una tercera parte que realice evaluaciones de conformid: comp — requisitos especificados enceste documento; -" 8) unproven? de ormacdn cove gi nde evi, WS En este documento el término “servicio” se refiere al servico.o servicios en el al 6S, De igual forma, el término’“organizacion" se refiere ala organizacidn en el mbito del sos tere tiona y presta serviciés als clientes. La organizacifn en.el Ambito-del SCS puede ser pa corganizacién mis grande, por ejemplo, un departamento de una gran corporation. Una. ‘organizacion 0 una parte de. organizacién.que: gestiona. y. presta un. servicto-0.servicios.a , dos La organizacién debe definir los tipos de entregisrincluidt la entrega de emergencia su frecuencia y la forma en que se gestionan. iy La organizacién debe planificar el despliegue de:servicios nuevos o modificados y componentes de servicios en el entorno de produccidn.:La planificacién debe estar coordinada con la gestién de cambios incluir referencias a las peticiones.de:cambio relacionadas, errores conocides o problemas que se resuelven mediante de fa entrega. La planificacién debe incluir las fechas para el despliegue de cada ence, os enregables y logétds de desplegue La entrega debe ser verificada frente a los'criterios de aceptaciéi documentados y aprobada antes del despliegue. Silos criterios de aceptactéi-no se cumplen, la organizacién y las partes interesadas deben decidir sobre las acciones nénesarias yel despllegue, Se debe capturar nl age ‘de configuracién de los Cl afectados antes del despliegue de una encrega en el entorno de produccion. La entrega se debe‘désplegar én e} entorno de produccién ce manera que se mantenga la integridad de los servicios ylos Eomponentes de servicios, El éxito o el fallo acted « ‘entregas se debe monitorizar y analizar. Las medidas deben incluir fas incidencias relacionadas con una entrega en el periodo posterior al despliegue de dicha entrega: Los resultados? y conélusiones extrafdos de los anédlisis se deben registrar y revisar para identificar oportunidades de itejora. gn sobre'el éxito o el fallo de las entregas y las fechas de futuras entregas deben estar ra otras actividades de gestin de servicios, segin corresponda.UNE-ISO/IEC-20000-1:2018 -36- 8:6. “Resoluciony ejecucién:, » ™ 86. Gestion de incidencias Las incidencias deben ser: a) registradas y-clsificadas; 3) protizadas tenlendo en untae impact ya urgenca: 6} scala es nacesaro; a): tesueltas; - feat ots —— oe 0. emai _ 3g. Los rogisttos de incidencias se ber actualizar con las. — a ‘a cabo durante las mismasi Latorganizaciéndebe determinar los: criterios para ac a ncn _grave!'Las ineidencias graves deben ser clasificadas y gestionadaside: cue procediniento docimentad La‘alta direccién debe mantenerse:informada de las iecdondl is graves, La organizacion debe asignar la responsabilidad para la gestién de cada is ncn ee GES de que las incidencias hayan’siilo y Tevisarse paraidentificar oportunidades de mejora,. 86.2 - Gestién de peticiones de servici a) “ragbreaday class by priorizadas; ) ‘satisfethasyes 9 d) cerradas. Los refisttosde las atta servicio Se deben aetolizr con las accloned evade «cabo rane personas involuct ejecucién de peticiones de servicio. Jas mismas. as aang ela etna servo eben esta a dep de ts 863° caste jemas La organgicion rend i organtzacton debelllevar a.cabo un. andlisis de la causa raiz y determinar las. posibles accienes para prevenit beret orepetlon des incidencias, , ts er * istrados y clasificados; ey, 2 “an37 UNE-SO/IEC 20000- b) priorizados; ©) _escalados,sies necesario; 4) resueltos, sies posible; e) cerrados. “ Los registros de problemas se deben actualizar con las acciones llevadas a ca sios para la resolucién de problemas se deben gestionar de acuerdo ‘con la politica de gestion de cambios. ey Cuando la causa raiz ha sido identificada, pero el problema no ha sidé'resuelto de manera definitiva, la organizacién debe determinar acciones para reducit 0 elimitiar el impacto del problema en los servicios. Los errores conocidos deben ser registrados. La informacién actualizada sobre los errores conocidos y las resoluciones de problemas deben ser puestosia disposicién de otras actividades de gestion de servicios semtin corresponda. es a eficacia de la resolucién de problemas debe ser monitorizada, revisada y reportada a intervalos es 8.7.1 Gestion dela disponibilidad de servicios!” Se deben evaluar y documentar los riesgos sobre la disponibilidad de los servicios a intervalos planifi- cados. La organizacién debe determinar fps requisites y objetivos de disponibilidad de.los servicios. Los requisttos acordados dehen tener en cuenta los requisitos de negocio relevantes, los requisites de servicio, los SLAs y los riesgos. " itos y los objetivos de disponibilidad de los servicios. Se deben documentar y mantenertlos req © ‘Se debe monitorizar la disponibilidadd:dé los servicios, registrar los resultados y comparatlos con los objetivos. Se debe investiganla indispopiblidad no planificada y llevar a cabo lag acciones necesarias. NOTA Las resgos densi i'l aad 6:1 pueden proporcionar informacén de os rlesgos sobre la dsponbdad as serosa cotiolda dos servicios ya sopuridad de Is inforaseion i idad de los servicios 87.2 Gestion dela contin Se deben evaluat yéioclimentar los riesgos sobre la continuidad de los servicios a. intervalos planificados. La ofganizacién debe determinar los requisitos do continuidad de los servicios. Los requisitos acordadds defen tener éw cuichta los Teqliisitos relevantes de negocid, los TeqUIBICOS dé los servicios, los SIAsy los riesgos. - % Laorganizacion debe crear, implementar y mantener uno o més planes de contiauidad de los servicios. Eplano plaries de continuidad de los servicios deben incluir o hacer referencia: a), Tos frteiis y las responsabilidades parainvocar la continuidad de los servicios b) losprocedimientos que se pondrén en marcha en caso de una pérdida grave de servicio: ty ¥SUNE-ISO/IEC 20000-1:2018 -38- ©} los objetives de disponibilidad de servicio cuando se invoca el plan de continuidad: de tof ser Vieios;,. 4) los requisitos de recuperacién de los servicios; ss ©), los procedimientos para velver a las condiciones normales de trabajo. Cuando no se pueda.acéeder a Ja ubicacién normal de prestacién de los setigieisedebe tener acceso alplano planes de continuidad de los servicios ya lalista de contactos. 5 Se debe probar el plan o planes de continuidad de los servicios ina reqilsitos de contititidad de servicio a intervalos plinificados. El plan o planes de continuidad de los Servicios se deben volver a robat:tras.cambios significatives en: él enforno’de ‘servicio:-Los restiltados.de-las pruebas deben ser Tegistrados.-Deben realizarse revistones después.de cada prueba y'despulés de que el plano planes de. continuidad dé servicio hayan'sido:invocados. Cuando se encuéntren défjciencias;la organizacién debe Nevar.a:cabo las accionesnecesarias. = ‘ PS invocado’el plan:o planes de continuidad de las servicios: La organizacién’debe informar sobré la causa, el ae una vez que se haya 87.3.1 Politica de seguridad Seton eee : “ Los miembros de ia direccién con el nivel adeciisido’ de alitoridad’ deben aprobar“unapolttica dé seguridad de la informacién-relevante pata li“organizacion, La politica de seguridad de Ia informacién debe estat documentada y tener en cons icin Tos. equisitos de servicio y las obligaciones del apartado 630. he in 8.73 Gestion de la seguridad de la informaci 61 la politica de seguridad de la informacién debe estar disponible segin cortesponda. La organizacion debe comunicar la importanci aiplit con ba politica, de. seguridad de la, informacién y su aplicabilidad al SS y BeHSonas apropiailas dentro der Pai : “ ee +) los proveedores externos e internos y otras partes interesadas. informacion ridad de: . Se deben evaluar j’docupiéntar;.a intervalos planificados, los:rlesgos:de: ‘seguridad de Ja informacién paraelSGS y-losservities. Se deben detérminar, implementar-yroperar los cénitroles dé seguridad dela Informacigmpara,dar soporte 1a politica de seguridad de la informaciém:y- tratar’los-riesgos. de seguridad de ta informacién identificados. Deben documentarse las decisiones sobre los controles dé seguridadide la in Pete 3 oe ree acién. 4 Pe ee-39- UNB-IS0/IEC 20000-1:20: 8.7.3.3 Incidencias de seguridad de la informacion Las incidencias de seguridad de la informacién deben ser: a) _registradas y clasificadas; )__priorizadas tomando en consideracién os riesgos de seguridad de Ia informaéion,. ©) escaladas si es necesario; d)resueltas; e) cerradas. La organtzacién debe analizar las ineidencias de seguridad de Ja informacién por tipo, volumen e impacto en el SGS, los servicios y las partes interesadas. Las incidencias,de seguridad de la informacién deben ser comunicadas y revisadas para identificar oportunidadesdemejora. oe NOTA Lasere de Normas ISO/IEC 2700 especies los equsitsyproperiono tecves par dar soporte a implemen tac y operacion de un Sistema de Gestion de la Seguridad de I fafOrmacién. La Norma ISO/IEC 27013 proporciona Arectrces paral inegacin de a Norma ISO/IEC 2700FyIeNorma S0/1EC 20000-1 (este documento} & 9 Evaluacién del desempeiio % 9.4 Monitorizacién, medicion, andlisis y evaluacién 4 La organizactén debe determinar: a) qué es necesario monitorizar y.qué es necesario medir para el SGS y los servicios; a b)_ Ios métodos de monitorizacién, medieién, andlisis y evalvacién, sepiin sea plicable, para garan- tizar resultados vélidos; Nias ¢) cuando se deben levar'a’¢aho la frionitorizacin y la medicién; La organizacién debe,evaluar el desempefio del SGS frente a los objetivos de gestién de servicios y evaluar la eficacia del SCS. La organizacién debe evaluar la eficacia de los servicios frente a los requis deservigio.UNE-ISO/EC:20000-1:2018 -40- a) cumple con: pan ibe wy 1) Ios requisites propios de la organizacién para'su SGS! 2) los requisitos de este documento; b) _esté impléméntado V mnanitenide'de'nianeta eficaz. 922 Laorganizacién debe: )_planificar, establecer, implernentar y mantener un programa o programas dé auditoii, que fick yan la frecuencia, los métodos, las responsabilidades, los requisites e*planificacién y.la elabora- cién de informes, para lo cual debe tener en cuenta: . gi Nc? “AY” ta importancia de los procesos implitados; 2) los cambios que aféctan ala organizacion; ¥)_defiir los eriterios ye alcance para cada adixor "i, 6) seleccionar autores y realizar auditor ratitizar-la.objetividad y-la imparcialjdiad del proceso de auditoria; er a). asegurar que se informa ala rei es Fesultados détas auditotias; e) conservar informacién documentada?cor mo‘evidencia de la implétientaciéa’ del progtaria’o programas ds auditoray de los rsultader ue auditoria. Hoth La onsiso 301 proporconde ene autora desires ie gran 9.3 Revisién por ia direcci ia alta direccién debe revisitel IS/V 16s servicios de la otgaitizacién’a intervalos'planificades,-para asegurarse dest ones aciony eficacia continuas, Larevistén por: cle direct aes nur consideraciones sobre: a) elestado de |aS.acelbites derivadas de las revisiones por la direccién previ ~ ‘b) los cambios en lasicbbstivne’ externas @ titernias que afecten al Gs; - a oO —— el desempeiio y la eficacia del SGS, incluidas las tendenctas télativas 2.conformidades y acciones correctivas; tte Tesultadns de Ja monitorizactén ylamedicién; 0 2a... . de 7 (i etaos das arose ~- et aS NOSES %% :das'éportunidades de mejora continua;-41- e) laretroalimentacién de los clientes y otras partes interesadlas; 1) Ia fdoneidad y el compromiso con la politica de gestién de servicios y otras poitic por este documento; 2) laconsecucién de los objetivos de gestién de servicio; h)_elrendimiento de los servicios; ) J) _ Ios niveles actuales y-previstos de recursos humanos, téenic: capacidades de los recursos humanos y técnicos; ~ 19) Ios resultados del andlisis de riesgos y la eficacia de la riesgos y las oportunidades; 1) los cambios que pueden afectar el SGSy los servicios!” %er- 4 Los resultados de la revisién por la direccién deben inti detisiones relacionadas con oportunidades de mejora continua y cualquier necesidad de cambid'en La organizacién debe conservar informacién documentada como evidencia de los resultados de las revisiones por la direcciGn. 94 — Informes de servicio = La organizacién debe determinar los requisitos d¢ los informes y su propésito. Se deben generar informes sobre;elrendimiento y la eficacia del.SGS y los servicios utilizando Ia informacién de las actividades del SGS y de la prestacién de los servicios. Los informes de servicios deben incluir tendenei “Was La organizacion debe decidir y evar a cabo acciones fundamentadas en las conclusiones de los informes de servicio, Las acriohes acoFdadas se deben comunicar a las partes interesadas. NOTA Los informes que sereasireise especifican en los apacados relevantes de este documento. También 9 pueden realear informs alanales.UNE-ISO/IEC 20000-1:2018 -42- b) evalvar Ia necesidad de acciones:para elifinar las causas deta no conformal ho: wuelva 8 geurir ni ocurra en ota parte, mediante: 1) Tarevisibn dela no conformidad; 1c16n de las causas de laino conformnidadss: 0 os 2) ladetermi A 3} la determinacién ‘de. si existen no conformidades similares;'o: ig Potenealimente:puedan ocurrir; Yd ©)_tmplementar cualquier acid necesa 2) revisaraefcicia de cualquier acién correcivatoniada, e} “sifueranecésario,hacer cainbios en el SCS. we tas acsiones correctvas deben se apropladas alos fe 1antonmdads encontradas. 10.4.2 La organtzacion debe conservat informacion Socurightada como evidencia di a) lanaturaleza de as no‘coaformidades y fualguigrae fn tomada anteriormentes +b) losresultados de cualquier ia 10.2 Mejora contimia ~~ : 1a ofganizacion debe mejorar continu fone I servicios. ‘ 4a organizacion debe determinat Jos'titerios-de evaluacién:a'aplicar a las oportunidades-de méjora ‘cuarido:decida sobre 'su aprobacion: Los riterfos ‘de evaltiacién deben indlultel aineamionto de ta mejora con los objetivos de sense seis, Se’deben documentar lasioportunidadgs dé mejoraLa: ‘organiraeion debe gestionat las ttvidades de mejor aprobadas neuen Jorg: floss * pes cos a) -establecer tin-objetivo de mejora'o mds én’areas:como:‘calidad Valor} capacidad; evste, prodicti- vidad, utilizacién derecursbs y reducci6n de riesgos; b) asegurar. feng tas'son priorizadas, planificaidas e implementatias; ©) hacer cambios en’@1SGS, sies necesarios “igs mejoras implementadas frente al objetivo wu objetivas establecidos y, donde 10s no se hhayat{ atcanzago, llevar a'cabo las acciones necesarias, : “Beg? fiformar sobre las mejorasimplementadas, ores puodon incur accion: reacivas y proativas tales como eorreciones, aeciones corisctves, *ehtiva, nuevas prestaciones, innovacionesy reorgalzaciones. 3 —-43- UNEHSO/TEC 20000-1:2018 Bibliografia [1} 1809000, Quality management systems, Fundamentals and vocabulary. [2] 180.9001, Quality management systems. Requirements. [3] 180 19014, Quatity management systems. Guidelines for auditing manager {4] 180 22301, Societal security, Business continuity management systeris: Requirements % “Se [5] 18031000, Risk management. Guidelines [7] 180 Guide 73, isk management. Vocabulary. [8] ISO/IEC 19770-1, Information technology. IT asset management. Part 1: 17 asset management systems, Requirements. : [9] S0/1EC 19770-5, information technology. IT asset management. Part 5: Overview and vocabulary. “iting [10] ISO/IEC 2000-2, Information ‘technology. Sevi2e management Part 2: Guldance on the application of service management systems. [11] ISO/IEC 20000-3, Information teéhnology.!'Service management. Part 3: Guidance on scope definition and applicability of IS0/(EC 20000" [12] ISO/IEC/TR 2000-5, Inforination technology. Service management. Part 5: Exemplar implementation plan for ISO/IEC 20000-1. \ [13] ISO/IEC 2000-6, InformatiStectiology: ‘Service management. Part 6: Requirements for bodies providing audit and certification of service management systems. ee [14] ISO/1EC 20000405" tiformthion technology. Service management Pare 10: Concepts and vocabulary. © % [15] 1S0/1EC/TR,20000-14/"mnformation technology. Service management. Part 11: Guidance on the relationship pet€eti{S0/1BC 20000 2011 and service management frameworks: ITIL". [16] 1S0/tEC/TR 20006-12, Information’ technology. Service management. Part 12: Guidance on the relationship between ISO/IEC 20000-1:2011 and service management frameworks: CMMI-SVC. 43) THE es una marca replstrada de AKELOS Limited, usilizada bajo aurorieacion de AKELOS Limited: Todos los decechox _ rosorvades. Z)"CMMISVC es una marca rogstrada de CMMI Institut,UNE-ISO/IEC 20000-1:2018. 4h (16), ISO/IEC 27001, tnformation cechnology. Security’ techniques, Inforrnation security management systems: Requirements es ‘implementation of ISOEC27001.and ISO/EC20000-1,::: Sy tans [19] ISO/MEC 27013, Information tectmology. Security techniques mS) tegratedPara informacién relacionada con el desarrollo de las normas contacte con: ‘Asociacién Espafiola de Normalizacidine” Génova, 6 28004 MADRID-Espafia Tel: 915294900 info@une.org, werwaineorg Para informacién rélacionada con ta venta y distribucién de las normas contacte con: ‘ABNOR INTERNACIONAL S.A.U. Tel: 914326000.