Sistema de gestión

Conjunto de elementos de una organización que interactúan con el fin de

establecer políticas, objetivos y procesos para lograr metas en relación con los
servicios establecidos.

Los elementos del sistema incluyen la estructura organizacional, los roles y las
responsabilidades, la planificación, la operación, etc.

Puede incluir la totalidad de la organización, funciones específicas, secciones, o una

o varias funciones dentro de un grupo en la organización.

Requisitos del sistema de gestión del servicio

La certificación básicamente evalúa el desarrollo del estándar para la parte 1.

2005: Se publica la Norma ISO/IEC 20000 partes 1 y 2.

ISO 20000: 2018 ha decidido No incluir el ciclo PCDA ciclo plan-do-check-act,

Esto con el fin de que las organizaciones puedan gestionar sus procesos con
este ciclo, o con el uso de otras metodologías, como, por ejemplo, Kaisen o Six
Sigma, etc.

Proporciona un enfoque más eficiente en la GS y especificaciones para

establecer, implementar y mantenimiento continuo d ellos diferentes procesos

El certificado tiene una vigencia de 3 años, dentro de los cuales se realizan 2

auditorías se seguimiento anual de mejora continua, después es necesario una
auditoria de renovación del certificado

Un Sistema de Gestión de Servicios para TI , es una herramienta diseñada para

que las organizaciones puedan mejorar en aspectos, tales como la eficiencia,
optimizar los procesos, y proporcionar directrices que permitan el crecimiento en
la gestión de servicios.

Gestión de procesos de TI
La adopción de un SGS está relacionada con los objetivos de cada
organización, el organismo de gobierno, otras partes interesadas en el ciclo de
vida del servicio, junto con las necesidades para que el servicio sea más
eficiente.
Alcance de la ISO 20000-1:2018

Para clientes u organizaciones que buscan:

 Aseguramiento de la calidad de los Servicios.

 Enfoque consistente en relación con el ciclo de vida del servicio
 Demostrar su capacidad para planificar, diseñar, transitar y mejorar los
servicios.
 Hacer seguimiento, medir y revisar su SGS y los servicios.
 Mejorar la planificación, el diseño la transición e implementación y operación
de servicios.
 Realizan procesos de revisión y evolución de conformidad con los requisitos.

ISO 20000:2018. Enfoques en su última actualización:

 Conformidad de la estructura.
 Nuevas reglas.
 Menor dependencia de la documentación para la certificación.
 Aplicabilidad más amplia.
 Reconocer múltiples proveedores.
 Reflejando cambios en otros enfoques de gestión de servicios.

Los requisitos evaluables de ISO 20000, Son:

 4.Contexto de la organización.
 5. Liderazgo,
 6. Planificación
 7. Apoyo.
 8. Operación.
  9. Evaluación del desempeño y
 10.Mejora

Beneficios de Implementar ISO 20000 en la organización

 Brindar servicios más eficientes, fiables y consistentes.

 Se divide en secciones que definen los requisitos
 Su cumplimiento garantizará que se cuentan con procedimientos y controles
adecuados
 Aumento en la confianza del cliente.
 Es el primer sistema de gestión reconocido a nivel internacional
 Mayor credibilidad, especialmente para proveedores.
 Aumento en el crecimiento organizacional.

Alineación ISO 20000 e ISO 27000

ISO 20000

 Gestión de servicios de TI.

 Capacidad: Es más detallada en cuanto a requisitos de capacidad,
planificación y monitoreo.
 Configuración: Tienen requisitos estrictos relacionados con los activos
necesarios para soportar servicios de TI. Pero ISO 20000 va más profundo y
es más detallada.
 Incidentes: los incidentes de seguridad de la información son una categoría.

ISO 27001

 Sistema de seguridad de la información.

 Capacidad: requiere que se proporcione la capacidad del sistema para
proporcionar rendimiento de este.
 Configuración: Tiene requisitos estrictos para soportar servicios de TI.
 Incidentes; al contar con una categoría ya implantada con ISO 20000, será
suficiente para cumplir con este requisito.
  Cambio y Proveedores: ambos estándares requieren su implementación.

Alineación ISO 20000 e ITIL ®

ISO 20000

 Es necesario que la organización sea auditada y medida frente a un conjunto

de requisitos.
 Involucrar organizaciones y personas.
 puede usarse para la implementación y medición de procesos esenciales.

ITIL

 Es un marco diseñado para guiar a las empresas sobre mejores prácticas de

ITMS.
 No es medible y puede implementarse de muchas formas.
 Solo certifica personas.
 Enfoque holístico o sistémico que integra la gestión de la demanda y la
habilitación de los servicios mediante flujos de valor con alineación hacia la
estrategia del negocio y la entrega de valor.

El propósito de administrar servicios es tener una forma estructurada de preparar

y realizar las actividades para brindar beneficios para la organización, el cliente y
otras partes interesadas.

Como beneficios que pueden incluir:

 Menores costos operativos debido a una mayor eficiencia;

 Mayor satisfacción del cliente debido a una experiencia de servicio mejorada;
y
 Mayor facilidad de operación debido a una forma más estandarizada de
prestación de servicios.
Cláusula 4 Compresión de la organización y de su contexto:

La organización debe determinar factores internos y externos que puede afectar su

propósito y capacidad para lograr los resultados previstos de acuerdo con el SGS.

La organización debe establecer, mantener y mejorar continuamente un SGS,

incluidos los procesos necesarios y sus interacciones, de acuerdo con los requisitos
establecidos en la norma. Tales como:

 Optimización de los servicios

 Reducción de costos
 Alineación de los objetivos y metas de la organización y los objetivos de TI
 Gestión de servicios de TI de forma efectiva y eficiente

Compresión de las necesidades y expectativas de las partes interesadas.

Al determinar el alcance, la organización debe considerar:
a. Las partes interesadas que serán pertinentes para el SGS y para los servicios.
b. Los requisitos pertinentes de estas partes interesadas.
Contexto:
 Analizar la situación actual
 Equipo de trabajo
 Partes interesadas
 DOFA,
 Aprobación del documento,
 Evaluar cumplimiento de los requisitos

 SALIDAS PARA EL SIGUIENTE PROCESO

Matriz de interesados
Análisis DOFA.
Alcance del SGS
Cláusula 5 Liderazgo y compromiso:

La dirección debe demostrar liderazgo y compromiso con respecto al SGS, para

lo cual debe: Asegurar que el plan de Gestión se crea, se implementa y se
mantiene.
La dirección debe demostrar liderazgo y compromiso con respecto al SGS, para lo
cual debe:
 Definir políticas y objetivos compatibles.
 Asegurar que el plan de Gestión se crea, se implementa y se mantiene
 Asegurar la asignación de los niveles de autoridad.
 Asegurar que se determina qué constituye valor para sus clientes y
la organización.
 Asegurar que haya control de las otras partes involucradas en el ciclo de vida
del servicio.
 Asegurar la integridad de los requisitos del SGS para que los servicios estén
disponibles.
 Asegurar los recursos necesarios para el SGS.
 comunicando la importancia de la gestión eficaz del servicio.
 Asegurar que se logren lo resultados previstos.
 Dirigiendo y apoyando a las personas.
 Promoviendo la mejora continua del SGS y de los servicios.
 Apoyando otras funciones de la gestión respecto a otras áreas de
responsabilidad

Política.
 Establecimiento de la política de gestión de servicio:
 Debe ser apropiada para el propósito de la organización.
 Proporcionar el marco para el establecimiento de los objetivos de la gestión
del servicio.
 Incluir el compromiso para cumplir los requisitos aplicables.
 Incluir el compromiso de mejora continua del SGS y de los servicios.
 Comunicación de la política de gestión del servicio, para lo cual debe:
o Estar disponible como información documentada.
 o Comunicarse dentro de la organización.
o Estar disponible para las partes interesadas según corresponda.

Objetivos de la gestión del servicio y planificación para lograrlos.

La organización debe establecer objetivos de la gestión de servicio en las funciones y

en los niveles pertinentes. Los objetivos de la gestión del servicio Deben:

 Ser coherentes con la política de gestión del servicio.

 Ser medibles
 Tener en cuenta los requisitos aplicables
 Ser objeto de seguimiento
 Comunicarse

Política de seguridad de la información:

La dirección con la autoridad apropiada debe aprobar una política de seguridad de la

información pertinente, esta política de seguridad de la información se debe
documentar y debe tener en cuenta los requisitos del servicio y las obligaciones.

La política de seguridad de la información debe estar disponible según corresponda.

la organización debe comunicar la importancia de cumplir con la política de seguridad
de la información y su aplicabilidad para el sistema de gestión de servicios y para los
servicios, las personas apropiadas:

 en la organización;
 los clientes y los usuarios;
 los proveedores externos, los proveedores internos y otras partes interesadas.

Roles, responsabilidades y autoridades en la institución.

 Asegurar y establecer que los roles y responsabilidades del SGS sean
comunicados dentro de la organización.
 La alta dirección debe asignar responsabilidad y autoridad para:
 Informar a la alta dirección sobre el desempeño del SGS y de los servicios
 Asegurar que el SGS cumpla con los requisitos de la norma.
Cláusula 6 Planificación

Con el fin de que se cumplan los requisitos establecidos en la cláusula 6, la

organización debe realizar procesos de planificación e implementación de las
acciones teniendo en cuenta los siguientes puntos:

 Estableciendo criterios de desempeño para los procesos con base en los

requisitos;
 Implementando el control de los procesos de acuerdo con los criterios de
desempeño establecidos;
 Manteniendo información documentada en la medida necesaria para tener
confianza en que los procesos se han llevado a cabo según lo planificado.

Planificación de los servicios

 Se debe determinar y documentar los requisitos del servicio para los servicios
existentes, los servicios nuevos y los cambios hechos a los servicios.
 la organización debe determinar la criticidad de los servicios en función de las
necesidades De la organización, de los clientes, de los usuarios y de otras
partes interesadas. La organización debe determinar y gestionar las
dependencias y la duplicación entre servicios.
 La organización debe proponer cambios cuando sea necesario para alinear
los servicios con la política de gestión de servicio con los objetivos de la
gestión del servicio y los requisitos del servicio teniendo en cuenta las
limitaciones y los riesgos conocidos.
 La organización debe priorizar las solicitudes de cambio y las propuestas de
servicios nuevos o modificados para alinearse con las necesidades del
negocio y con los objetivos de la gestión del servicio teniendo en cuenta los
recursos disponibles

La organización debe definir y aplicar controles pertinentes:

 la medición y la evaluación del desempeño del proceso;

  La medición y la evaluación de la eficiencia de los servicios y de los
componentes del servicio para cumplir los requisitos del servicio

Plan para lograr los objetivos.

La organización debe establecer como lograr los objetivos, para lo cual debe
planificar y determinar:
 Que se va a hacer, Que recursos se requieren, Quién será el responsable,
Fecha fin, Cómo se evaluarán los resultados.
El plan de gestión de servicios debe incluir los siguientes ítems o contener una
referencia a ellos:

 Una lista de servicios del SGS

 Las limitaciones conocidas que pueden afectar el sistema de gestión de
servicios y los servicios
 Las obligaciones tales como las políticas, las normas, los requisitos legales,
de reglamentaciones y contractuales pertinentes, y cómo estas obligaciones
se aplican al sistema de gestión de servicios y a los servicios;
 Las autoridades y responsabilidades En relación con el SGS y de los
servicios.
 Recursos humanos, técnicos, de información y financieros necesarios para
operar el SGS.
 El enfoque que se asume para trabajar con otras partes involucradas en el
ciclo de vida del servicio para apoyar el SGS Y de los servicios
 La tecnología utilizada para apoyar el sistema de gestión de servicio.
 Como se medirá, auditará, informará y mejorará del SGS Y de los servicios.

Al planificar el SGS se tengan en cuenta los siguientes puntos establecidos

por la norma:
 Asegurar que el sistema de gestión de servicios pueda lograr sus resultados
definidos por la organización.
 Prevenir o reducir efectos no deseados.
  lograr la mejora continua del sistema de gestión de servicios y de los
servicios
 Para que la organización tenga claro como identificarlos, lo primero que debe
hacer es identificar las principales categorías de riesgo que deben ser
abordadas en el proyecto de implementación ISO 20000.
 Estos riesgos identificados deben ser evaluados y tratados en los casos
requeridos.
1. Acciones para abordar los riesgos y las oportunidades
De acuerdo con lo que se haya establecido en los requisitos y las partes interesadas
(Cláusula 4. contexto organizacional), determinar los riesgos y oportunidades que se
deben tratar, teniendo en cuenta Las acciones para abordar los riesgos y
oportunidades.
 integrar e implementar las acciones al SGS y los servicios.
 Evaluar las acciones implementadas
Nota: Las acciones para abordar los riesgos y las oportunidades puede incluir evitar
el riesgo tomar o incrementar el riesgo para buscar oportunidades eliminar la fuente
de riesgo, cambiar la probabilidad, o la consecuencia del riesgo, como mitigar el
riesgo mediante acciones acordadas, compartir el riesgo con otras partes o aceptar
el riesgo con base en decisiones bien fundamental.
La norma ISO 31000 proporciona principios y orientación genérica sobre la gestión
del riesgo.
Los objetivos y planes para la gestión de riesgos y oportunidades deben
desarrollarse con los requisitos para que se puedan reducir y prevenir los efectos no
deseados y se logre la mejora continua. Estos deben haber sido definidos y
documentados, teniendo en cuenta que debe estar relacionados con:
 La organización
 Incumplimiento de los requisitos
 El involucramiento de otras partes en el ciclo de vida del servicio
Cláusula 7 Soporte al SGS

Recursos:
 La organización debe determinar y proporcionar los recursos humanos,
técnicos, de información y financieros necesarios para el establecimiento, la
implementación, el mantenimiento y la mejora continua del sistema de gestión
de servicios y la operación de los servicios para cumplir los requisitos del
servicio y alcanzar los objetivos de gestión del servicio
Competencia
 Determinar las competencias necesarias de las personas que realizan trabajos
bajo su control que afectan el desempeño y la eficiencia del SGS Y de los
servicios.
 Asegurarse de que estas personas sean competentes, tomando como base
una educación formación o experiencias adecuadas.
 Cuando sea aplicable, emprender acciones para adquirir la competencia
necesaria, y evaluar la eficiencia de las acciones tomadas.
 Conservar la información documentadas apropiada, como evidencia de la
competencia.
Toma de conciencia
Considere que estas personas deben tomar conciencia de:
 Las políticas de gestión del servicio
 Los objetivos de la gestión de servicio,
 Los servicios pertinentes a su trabajo.
 Su contribución a la eficiencia del SGS, incluidos los beneficios de un mejor
desempeño.
 Las implicaciones de no cumplir con los requisitos de la norma.
Comunicación;
La organización debe determinar las comunicaciones internas y externas pertinentes
al SGS, cuando y como se van a llevar a cabo y con qué partes interesadas y como,
es decir definir si lo hará a través de informes, reuniones, correos electrónicos etc.,
también debe tener en cuenta que:
  Qué comunicar.
 Cuando comunicar
 Cómo comunicar.
 A quién y cómo comunicar.
 Definir un responsable
Control de la información documentada.
La información documentada requerida por el sistema de gestión de servicios y por la
norma se debe controlar para asegurarse de que:
 Esté disponible y sea adecuada para su uso, donde y cuando se necesite.
 Esté protegida adecuadamente (por ejemplo, contra pérdidas de
confidencialidad, uso indebido o pérdida de integridad).
Incluso, si tu organización trabaja bajo una metodología ágil, es necesario tener
cierta cantidad de documentación, esto no solo con el objeto de probar que tu SGS
funciona correctamente, sino también para validar el desempeño como una base
para el trabajo que las personas están haciendo.
EL SGS de la organización debe incluir:
 la información documentada requerida por la norma.
 La información documentada de la organización y que ha determinado
necesaria para la eficiencia de SGS.

Conocimiento

 Debe mantener el conocimiento para apoyar la operación de SGS y los

servicios.
 Debe ser pertinente, utilizable y estar disponible para las personas apropiadas
Cláusula 8 Operación del SGS

Con el fin de que se cumplan los requisitos establecidos en la cláusula 6, la

organización debe realizar procesos de planificación e implementación de las
acciones teniendo en cuenta los siguientes puntos:
 Estableciendo criterios de desempeño para los procesos con base en los
requisitos;
 Implementando el control de los procesos de acuerdo con los criterios de
desempeño establecidos;
 Manteniendo información documentada en la medida necesaria para tener
confianza en que los procesos se han llevado a cabo según lo planificado.
Portafolio de Servicios
 Se debe terminar y documentar los requisitos del servicio para los servicios
existentes, los servicios nuevos y los cambios hechos a los servicios.
 la organización debe determinar la criticidad de los servicios en función de las
necesidades De la organización, de los clientes, de los usuarios y de otras
partes interesadas. La organización debe determinar y gestionar las
dependencias y la duplicación entre servicios.
 La organización debe proponer cambios cuando sea necesario para alinear
los servicios con la política de gestión de servicio con los objetivos de la
gestión del servicio y los requisitos del servicio teniendo en cuenta las
limitaciones y los riesgos conocidos.
Control de las partes interesadas en el ciclo de vida del servicio.
la organización es la que debe rendir cuentas por los requisitos especificados en este
documento y por la prestación de los servicios, independientemente de qué parte
está involucradas en la realización de las actividades que apoyen el ciclo de vida del
servicio.
la organización debe determinar y aplicar criterios para la evaluación y la selección
de otras partes involucradas en el ciclo de vida del servicio. Otras partes pueden ser
un proveedor externo un proveedor interno o cliente que actúa como proveedor.
Las otras partes no deben prestar ni operar todos los servicios componentes o
procesos de servicios dentro del alcance del sistema de gestión de servicios.
La organización debe determinar y documentar:
 los servicios prestados u operados por otras partes;
 los componentes del servicio que prestan u operan otras partes;
 los procesos o partes de ellos del sistema de gestión de servicios de la
organización, que son operados por otras partes
Compresión de las necesidades y expectativas de las partes interesadas.
Al determinar el alcance, la organización debe considerar:
a. Las partes interesadas que serán pertinentes para el SGS y para los
servicios.
b. Los requisitos pertinentes de estas partes interesadas
Control de las partes interesadas en el ciclo de vida del servicio.
La organización debe definir y aplicar controles pertinentes a otras partes, a partir de
lo siguiente:
 La medición y evolución del desempeño del proceso.
 La medición y la evolución de la eficiencia de los servicios y de los
componentes del servicio para cumplir los requisitos del servicio
Gestión del Catálogo de servicios:
Crear y mantener uno o más catálogo de servicios.
 Los catálogos de servicio deben incluir información de la organización, los
clientes y los usuarios y otras partes interesadas.
 Los catálogos de servicios deben describir los servicios, los resultados
esperados y las dependencias entre los servicios.
 La organización debe garantizar el acceso a las partes interesadas (clientes,
usuarios y otras partes interesadas)
Gestión de activos:
 Asegurar que los activos utilizados para la prestación del servicio se gestiones
para el cumplimiento de los requisitos del servicio y las obligaciones
relacionadas en la cláusula 6.
  Con el fin de que haya mayor claridad sobre los requisitos para la gestión de
activos, se debe considerar las especificaciones de la ISO 55001 y de la ISO
19770-1.
2. Gestión de activos:
Con el fin de que haya mayor claridad sobre los requisitos para la gestión de activos,
se debe considerar las especificaciones de la ISO 55001 y de la ISO 19770-1. las
cuales detallan la gestión de activos para:
 El control sobre modificaciones, duplicación y/o cambio de software; con
especial énfasis en el control de accesos.
 Auditar pistas de autorizaciones y de cambios realizados a los activos de TI.
 controles sobre licencias, sublicencias, sobre licencias y cumplimiento de los
términos y condiciones de las licencias.
 controles sobre situaciones que involucran propiedad y responsabilidades
mixtas, como en la computación en la nube y con las prácticas 'Traiga su
propio dispositivo' (BYOD).
 conciliación de los datos de gestión de activos de TI con los datos de otros
sistemas de información cuando esté justificado por el valor comercial, en
particular con los sistemas de información financiera que registran activos y
gasto
Gestión de la configuración:
 Definir los tipos de elementos de configuración (lógicos y físicos). Los
servicios se deben clasificar cómo EC.
 la información de la configuración se debe registrar a un nivel de detalle
apropiado de acuerdo con la criticidad y el tipo de servicios, la información de
la configuración registrada para cada elemento de configuración debe incluir:
 Una identificación única
 El tipo de elemento de configuración
 La descripción del EC (elementos de la configuración)
 Relación con otro EC
 Su estado
Los EC deben ser trazables, auditables para mantener la integridad de la información
de la configuración

Relaciones y acuerdos:
Generalidades.
la organización puede usar proveedores para:
 Prestar u operar un servicio;
 Proporcionar u operar componentes del servicio;
 operar procesos o partes de procesos que están en el sistema de gestión
de servicios de la organización.
Relaciones y acuerdos entre las partes involucradas en el ciclo de vida del servicio.
Organización
Gestión de Proveedores
 Proveedor Externo- Contrato
 Proveedor Interno- Acuerdo documentado
 Proveedor que actúa como proveedor- - Acuerdo documentado
Gestión de relaciones de negocio
Gestión del nivel de servicio.
 Cliente externo (ANS)
 Cliente Interno (ANS)
Gestión de relaciones de negocio
 Se deben identificar y documentar los clientes y los usuarios de los
servicios y otras partes interesadas en ellos punto la organización debe
asignar una o más personas responsables de gestionar las relaciones con
los clientes y mantener la satisfacción de éstos.
 La organización debe establecer disposiciones para comunicarse con sus
clientes y con otras partes interesadas. La comunicación debe promover la
comprensión del entorno de negocio en evolución en el que operan los
servicios y debe permitir a la organización responder a los requisitos del
servicio nuevos o modificados.
  La organización debe, a intervalos planificados revisar las tendencias
desempeño y los resultados de los servicios.
 La organización debe, a intervalos planificados, medir la satisfacción con
los servicios tomando como base una muestra representativa de los
clientes. Los resultados se deben analizar, revisar para identificar
oportunidades de mejora e informar.
 Las quejas sobre el servicio se deben registrar, gestionar hasta que se
solucionen e informar. Cuando una queja sobre el servicio no se resuelva a
través de los canales normales, fe debe proporcionar un método de
escalamiento.
Gestión de niveles de servicio.
La organización y el cliente deben acordar los servicios que se prestaran.
Por cada servicio que se prestará, la organización debe presentar uno o más ANS
con base en los servicios documentados.
 Los ANS deben incluir los objetivos del nivel de servicio, los límites de carga
de trabajo y las excepciones.
 Seguimiento, para revisar e informar sobre el desempeño con base en los
objetivos del ANS.
 Cambios reales y periódicos en la carga de trabajo, en comparación con los
cambios de los ANS
Gestión de proveedores externos
La organización debe, a intervalos planificados revisar el contrato contra los
requisitos de servicios actuales. cuando se identifiquen cambios para incluir en el
contrato, antes de aprobarlos se deben evaluar en cuanto a su impacto en el sistema
de gestión de servicios y en los servicios

La organización debe tener asignadas una o más personas responsables de

gestionar la relación, los contratos y el desempeño de los proveedores externos.
la organización y el proveedor externó deben acordar un contrato documentado. Este
contrato debe incluir o contener una referencia a:
  El alcance de los servicios, los componentes del servicio, los procesos o
partes de los procesos que se van a entregar u operar por parte del proveedor
externó.
 Los requisitos que ha de cumplir el proveedor externo.
 Las autoridades y responsabilidades de la organización y del proveedor
externo.
  Alcance, enfoque de la organización, gestión por procesos, partes
interesadas, Identificar problemas. Acuerdos comerciales, Gestión de
cambios.
Oferta y demanda.
Presupuesto y contabilidad de los servicios
 la organización debe contar con un presupuesto y se debe llevar a
contabilidad de los servicios o grupos de servicios de acuerdo con sus
políticas y procesos de gestión financiera.
 Los costos se deben presupuestar para posibilitar un control financiero y toma
de decisiones eficaces en relación con los servicios.
 La organización debe, a intervalos planificados hacer seguimiento e informar
los costos reales en comparación con el presupuesto, revisar las previsiones
financieras y gestionar los costos.
Gestión de la demanda
A intervalos planificados, la organización debe:
 Determinar la demanda actual y pronosticar la demanda futura de servicios;
 Hacer seguimiento e informar sobre la demanda y el consumo de servicios.
 Nota: la gestión de la demanda es responsable de comprender la demanda
actual y futuras de los clientes en relación con los servicios. La gestión de la
capacidad trabaja con la gestión de la demanda para planificar y
proporcionar la capacidad suficiente para satisfacer la demanda.
Gestión de la capacidad.
Los requisitos de capacidad en relación con los recursos humanos, técnicos, de
información y financieros se deben determinar, documentar y mantener teniendo en
cuenta los requisitos del servicio y desempeño.
la organización debe planificar su capacidad para incluir:
 La capacidad actual y previsto en función de la demanda de servicios.
 El impacto esperado sobre la capacidad de los objetivos del nivel de servicio
acordados, sobre los requisitos de disponibilidad del servicio y sobre la
continuidad del servicio.
 Cronogramas de tiempo y umbrales para cambios en la capacidad del
servicio.
 La organización debe proporcionar la capacidad suficiente para cumplir con
los requisitos de capacidad y de desempeño acordados, y debe hacer
seguimiento del uso de la capacidad, analizar la capacidad y los datos de
desempeño e identificar oportunidades para mejorar el desempeño
Diseño, construcción y transición del servicio (DEFINIR, REGISTRAR Y
CLASIFICAS, IMPACTO)
 La versión se debe implementar en el entorno de producción de manera que
se mantenga la integridad del servicio o de los componentes del servicio.
 Se debe hacer seguimiento y controlar el éxito o el fracaso de las versiones.
 Las mediciones deben incluir los incidentes relacionados con una versión en el
periodo posterior a la implementación de una versión.
 Los resultados y conclusiones extraídas del análisis deben registrar y revisar
para identificar oportunidades de mejora.
 La información sobre el éxito o el fracaso de las versiones y las fechas de las
futuras versiones se deben poner a disposición para otras actividades de
gestión del servicio según corresponda.

Política de gestión de cambios

se debe establecer y documentar una política de gestión de cambios que define:
  Los componentes del servicio y otros elementos que están bajo el control de la
gestión del cambio.
 Las categorías de cambio, que incluyen los cambios de emergencia y cómo se
han de gestionar
 Los criterios para determinar los cambios con el potencial de tener un impacto
importante en los clientes o servicios.
1. Inicio de la gestión del cambio
Las solicitudes de cambio incluidas las propuestas para agregar eliminar o transferir
servicios se deben registrar y clasificar.
Las organizaciones deben usar el diseño del servicio y la transición para:
 Nuevos servicios con potencial de tener un impacto importante en los clientes,
u otros servicios según lo determinado por la política de gestión del cambio.
 Cambios en los servicios con potencial de tener un impacto importante en los
clientes, u otros servicios según lo determinado por la política de gestión de cambio.
 Categorías de cambio que van a ser gestionadas mediante el diseño y la
transición del servicio de acuerdo con la política de gestión del cambio.
 Eliminación de un servicio;
 Transferencia de un servicio existente de la organización a un cliente u otra
parte;
 Transferencia de un servicio existente de un cliente u otra parte a la
organización.
2. Diseño (CAMBIO)
Los servicios nuevos o modificados se deben diseñar y documentar para cumplir con
los requisitos del servicio. El diseño debe incluir los elementos pertinentes de los
siguientes:
 Las autoridades y responsabilidades de las partes involucradas en la
prestación de los servicios nuevos o modificados.
 Los requisitos relativos a los cambios en los recursos humanos, técnicos, de
información y financieros.
 Los requisitos relativos a una educación, formación y experiencia apropiadas
  ANS, contratos y otros acuerdos documentados, nuevos y modificados, que
respalden los servicios
 Cambios en el sistema de gestión de servicios, incluidas las políticas, los
planes, los procesos, los procedimientos, las medidas y los conocimientos,
nuevos o modificados
 El impacto en otros servicios;
 Las actualizaciones de los catálogos de servicio.
 Construcción y transición
Los servicios nuevos o modificados se deben construir y poner a prueba para
verificar que cumplen con los requisitos del servicio, con el diseño documentado y
con los criterios de aceptación del servicio acordados. Si no se cumplen los criterios
de aceptación del servicio, la organización y las partes interesadas debe tomar una
decisión sobre las acciones necesarias y su implementación.
3. Actividades de la gestión del cambio
La organización y las partes interesadas deben tomar decisiones sobre la aprobación
y la prioridad de las solicitudes de cambio. Al tomar decisiones se debe tener en
cuenta los riesgos, los beneficios para el negocio, la viabilidad y el impacto
financiero. Además, al tomar decisiones también se deben considerar los impactos
potenciales del cambio en:
 Los servicios existentes;
 Los clientes, usuarios y otras partes interesadas
 Las políticas y planes exigidos en este documento
 la capacidad, la disponibilidad del servicio, la continuidad del servicio y la
seguridad de la información.
 Solicitudes de cambio, versiones y planes de implementación

En la planificación se usan los requisitos del servicio, además se deben incluir

los siguientes elementos o una referencia a ellos:

 Las autoridades y responsabilidades para las actividades de diseño,

construcción y transición;
  Las actividades que realiza la organización u otras partes, con sus
cronogramas;
 Los recursos humanos, técnicos de información y financieros;
 Las dependencias de otros servicios
 Las pruebas necesarias para los servicios nuevos o modificados
 Los criterios de aceptación del servicio
 Los resultados previstos de la prestación de los servicios nuevos o
modificados, expresados en términos medibles;
 El impacto en el sistema de gestión de servicios, en otros servicios, bueno en
los cambios planificados, los clientes, los usuarios y en otras partes
interesadas
 Para los servicios que se vayan a retirar la planificación debe incluir además
las fechas para el retiro de los servicios y para las actividades de archivo,
eliminación o transferencia de datos, información documental y componentes
del servicio

Gestión de versiones e implementación

 la organización debe definir los tipos de versión, incluido la versión de
emergencia, su frecuencia y la forma en que se va a gestionar.
 la organización debe planificar la implementación de los servicios nuevos o
modificados y de componentes del servicio en el entorno de producción. la
planificación se coordinar con la gestión del cambio y debe incluir referencias
a las solicitudes de cambio relacionadas, los errores o problemas conocidos
que se cierran por medio de la versión.
Resolución y cumplimiento

Gestión de incidentes
Los incidentes se deben
a. registrar y clasificar;
b. priorizar, teniendo en cuenta el impacto y la urgencia.
c. Escalar si es necesario
 d. solucionar
e. cerrar
Gestión de solicitudes de servicio
El cumplimiento de las solicitudes de servicio puede incluir cambios en los servicios o
sus componentes; por lo general, estos son cambios estándar. Las solicitudes de
servicio son una parte normal de la prestación de servicios.
Las solicitudes de servicio se deben:
 Registrar y clasificar;
 Priorizar;
 Cumplir;
 Cerrar
Los registros de las solicitudes de servicio se deben actualizar con las acciones
tomadas.
Las instrucciones para el cumplimiento de la solicitud de servicios deben poner a
disposición de las personas involucradas en el cumplimiento de solicitudes de
servicio.
Juan solicita que se le proporcione acceso a la carpeta que administra los informes
financieros de la compañía.

Gestión de problemas
Para identificar los problemas, la organización debe analizar los datos y las
tendencias de los incidentes. la organización debe llevar a cabo un análisis de la
causa raíz y determinar las posibles acciones para prevenir que ocurran incidentes o
que se repiten.
sí los problemas se deben:
 registrar y clasificar,
 priorizar
 escalar, si es necesario;
 resolver, sí es posible
 cerrar
los registros de los problemas en actualizar con las acciones tomadas. los cambios
necesarios para la resolución de los problemas deben gestionar de acuerdo con la
política de gestión de cambio.
Gestión de la continuidad del servicio
La organización debe crear, implementar y mantener 1 o más planes de continuidad
del servicio, el o los planes de continuar del servicio deben incluir los siguientes
elementos o contener una referencia a ellos:
 Los criterios y las responsabilidades para invocar la continuidad del servicio.
 Los procedimientos para implementar en caso de una pérdida importante en el
servicio,
 Los objetivos de la disponibilidad del servicio cuando se invoca el plan de
continuidad del servicio.
 Los procedimientos para regresar a las condiciones normales de trabajo.
Gestión de la seguridad de la información- Incidentes de seguridad de la
información.
Los controles de la seguridad de la información, debe
Evaluar y documentar los riesgos
Decisiones sobre los controles de SI
Implementaciones de los controles
Seguimiento y evaluación de eficiencia de los controles
Los incidentes de seguridad de la información se deben:
 registrar y clasificar;
 priorizar teniendo en cuenta el riesgo de seguridad de la información;
 escalar, si es necesario;
 resolver;
 y cerrar.
la organización debe analizar los incidentes de seguridad de la información por tipo,
volumen e impacto en el sistema de gestión de servicios, en los servicios y en las
partes interesadas.
Los incidentes de seguridad de la información se deben informar y revisar para
identificar oportunidades de mejora.
3. Política de seguridad de la información:
La dirección con la autoridad apropiada debe aprobar una política de seguridad de la
información pertinente, esta política de seguridad de la información se debe
documentar y debe tener en cuenta los requisitos del servicio y las obligaciones.
La política de seguridad de la información debe estar disponible según corresponda.
la organización debe comunicar la importancia de cumplir con la política de seguridad
de la información y su aplicabilidad para el sistema de gestión de servicios y para los
servicios, las personas apropiadas:
 en la organización;
 los clientes y los usuarios;
 los proveedores externos, los proveedores internos y otras partes interesadas.
Cláusula 9 Evaluación y desempeño de SGS

Seguimiento, medición, análisis y evaluación

La organización debe determinar: a qué es necesario hacer seguimiento y qué es
necesario medir para el sistema de gestión de servicios y los servicios:
 los métodos de seguimiento, medición, análisis y evaluación, según sea
aplicable, para asegurar resultados válidos.
 cuando se debe llevar a cabo el seguimiento y la medición,
 cuando se debe analizar y evaluar los resultados del seguimiento y la
medición.
 La organización debe conservar la información documentada adecuada con
evidencia de los resultados.
Auditoría interna.
La organización debe realizar auditorías internas A intervalos planificados para
proporcionar información acerca de si el sistema de gestión de servicios:
Cumple con:
 Los propios requisitos de la organización para su sistema de gestión de
servicios.
 Los requisitos de la norma.
 Está implementando y manteniendo eficazmente
Planificar, establecer, implementar y mantener 1 o varios programas de auditoría que
incluyan la frecuencia, los métodos, las responsabilidades, los requisitos de
planificación y elaboración de informes, que tengan en cuenta:
 La importancia de los procesos involucrados.
 Los cambios que afectan la organización.
 Los resultados de las auditorias previas.
Para la realización de las auditorías internas, se debe:

 Definir criterios y alcance

  Seleccionar a los Auditores: Objetividad imparcialidad en el proceso auditado.
Quien debe realizar entrevistas para verificar que todos estén familiarizados
con los procesos y que estos se cumplan.
 Asegurar que los resultados se comuniquen
 Información documentada con evidencias de la implantación del programa de
auditoría.
 Se verifica que se cumpla la parte 1 de la norma. (Procesos documentados,
política de Gestión de servicio, Otra información de la norma.)
 1era Etapa: Determinar la preparación de la organización para certificar
20000-1 (Salidas: Lista de NC, área de incumplimiento, Informe de ayuda para
preparación de la auditoria 2da. Parte)
 2da. Parte: Certificación

Revisión por la Dirección

 Por lo menos una vez al año

 Estado de las revisiones anteriores
 Cambios de los factores internos y externos
 Información sobre el desempeño (eficiencia del SGS, tendencias, NC, AC,
Seguimiento y medición y resultado de auditorías.
 Oportunidades de MC
 Retroalimentación del cliente
 Cumplimiento de la política y objetivos
 Desempeño de partes interesadas en la prestación del servicio
 Niveles de los recursos y capacidades
 Evaluación de riesgo y la eficiencia de las medidas adoptadas para abordar
los riesgos y las oportunidades
 Cambios que puedan afectar el SGS y los servicios

Presentación de informes

 Sobre el rendimiento y eficiencia del SGS, actividades de SGS

 Incluir tendencias y las acciones acordadas deben comunicarse a las partes
interesadas
 Tomar decisión y emprender acciones sobre evidencias o hallazgos en los
informes del servicio
Cláusula 10 Mejora
No conformidades y acciones correctivas. (Pautas para gestionarlas)
Cuando ocurra una no conformidad, y según sea aplicable:
a. reaccionar a la no conformidad, y según sea aplicable:
 Tomar acciones para controlarla y corregirla;
 Hacer frente a las consecuencias.
b. evaluar las necesidades de acciones para eliminar las causas de la no
conformidad, con el fin de que no vuelva a ocurrir ni ocurra en otra parte,
mediante:
 La revisión de la no conformidad;
 La determinación de las causas de la no conformidad;
 la determinación de si existen no conformidades similares, o que
potencialmente podrían ocurrir.
c. Implementar cualquier acción necesaria;
d. Revisar la efectividad de las acciones correctivas tomadas
e. si es necesario, hacer cambios al sistema de gestión de servicios.
Mantener información documentada como evidencia
Naturaleza de las NC y AC y resultados de la puesta de las AC

Mejora continua

 Las organizaciones deben mejorar continuamente la idoneidad, la adecuación

y las deficiencias del sistema de gestión de servicios y de los servicios.
 La organización debe determinar los criterios de evaluación que se aplicarán a
las oportunidades de mejora, cuando se toman decisiones sobre su
aprobación.
 Los criterios de la evaluación deben incluir la alineación de la mejora con los
objetivos de la gestión del servicio.
 Las oportunidades de mejora deben estar documentadas. la organización
debe gestionar las actividades de mejora aprobadas, qué incluye:
  Establecer objetivos de mejora en alguno de los siguientes ítems, o en varios
de ellos: calidad, valor, capacidad, costo, productividad, utilización de recursos
y reducción de riesgos, o
 Hay que asegurar que las mejoras sean priorizadas, planificar e
implementadas.
 Hacer cambios al sistema de gestión de servicios, si es necesario
 Medir las mejoras implementadas contra los objetivos establecidos y cuando
no se cumplan los objetivos, tomar las medidas necesarias.
 Informar sobre las mejoras implementadas.
NOTA: las mejoras pueden incluir acciones reactivas y proactivas tales como
corrección, acción correctiva, acción preventiva, mejoras innovación y
reorganización.
 En cuanto a los objetivos: Calidad, capacidad, costo, recursos, productos y
reducción de riesgos)
 Se debe priorizar, planificar e implementar
 Cambios en el SGS
 Medir las mejoras vs objetivos y tomar acciones cuando aplique
 Informar sobre la implementación