LA EVOLUCIÓN DE LA ISO 20000
Lynda Cooper Coautora ISO 20000
Representante del Reino Unido en ISO/IEC SC7 JTC1 WG25 ITIL Master
Formadora y consultora independiente
Disponible para descarga tras el evento www.forumiso20000.com
AGENDA
• La norma internacional ISO 20000 • El por qué de su evolución • Cambios
o El impacto de ITIL v3 o Nuevos requisitos o Cambios de requisitos
• Como prepararse para la nueva edición
28/09/2010 2 © Service 20000 Ltd
La ISO/IEC 20000 será también referida a lo largo de esta presentación por el termino mas comunmente conocido ISO 20000
NOTA La nueva edición esta sujeta a cambios editoriales menores previos a la publicación. Fecha de publicación desconocida, esperada en Mayo de 2011
LA NORMA ISO 20000 ¡No son sólo las partes 1 y 2!
CAPÍTULO 1
ISO/IEC 20000-8 Modelo de evaluación de
procesos para la gestión de servicios
ISO/
IEC
TR 20
000-
5 Ej
emplo
de pl
an de
imple
menta
ción
para
ISO/
IEC
2000
0-1
ISO/
IECT
R 20
000-
3 Gu
ía pa
ra la
defin
ición
del
alcan
ce y
aplic
ación
ISO/
IEC
2000
0-2
Guía
para
la ap
licac
ión
de IS
O/IE
C 20
000-
1
La norma ISO 20000
ISO/IEC TR 90006 Guía para aplicar la ISO9001 en gestión de servicios de TI
ISO/IEC 27013 Guía para integrar la
implementation of ISO/IEC 20000-1 and ISO/IEC 27001
ISO/IEC 20000-1 Requisitos del sistema de
gestión de servicios
ISO/IEC TR 20000-4 Modelo de referencia de
procesos para la gestión de servicios
Externalización de procesos de negocio?
Gestión de aplicaciones?
Adaptación ISO/IEC 20000-1 a ITIL v3 (y más)?
ISO/IEC 19770 SoZware de ges[ón
de ac[vos
ISO/IEC 20000-10 Conceptos y vocabulario
ISO 20000 Parte 1 -‐ 2011 ¿Por qué cambiar?
CAPÍTULO 2
28/09/2010 5 © Service 20000 Ltd
¿Por qué cambiar?
28/09/2010 © Service 20000 Ltd 6
• Todas las normas [enen que ser revisadas cada 5 años • Comentarios diferidos de la publicación de 2005 • Muchas mejoras sugeridas
o El comité ha crecido con la incorporación de 20 países o Aumento del número de empresas cer[ficadas
• Mayor alineación con la ISO9001 • Mayor alineación con la ISO27001 • Publicación de ITIL v3 • Revisión de interfaces entre procesos • Terminología consistente e internacional
ISO 20000 e ITIL v3
CAPÍTULO 3
Compromiso de alineamiento entre ISO/IEC 20000 e ITIL para que la implementación ITIL permita a un prestador de servicios alcanzar mas fácilmente a cer[ficación ISO/IEC 20000
‘ITIL e ISO/IEC 20000 están alineados’ ITIL no esta basado en ISO/IEC 20000 ISO/IEC 20000 no esta basado en ITIL
28/09/2010 7 © Service 20000 Ltd
Elementos no tomados de ITIL v3
28/09/2010 © Service 20000 Ltd 8
• Etapas del ciclo de vida o ISO20000 es un estándar basado en procesos y, como tal, no [ene un ciclo de vida
o Sin embargo, pueden ser iden[ficadas las fases de Diseño, Transición, Operación y Mejora
o Los requisitos generales de un SGS en la clausula 4 pueden ser parcialmente iden[ficados en la fase de Estrategia
• Funciones o Todos los estándares necesitan ser independientes de estructuras organiza[vas
PROCESOS ITIL v3 NO INCLUIDOS EN LA ISO 20000
• Generación de estrategia • Ges[ón del pordolio de servicios • Ges[ón de la demanda • Ges[ón del catálogo de servicios • Plan de transición y soporte • Test y evaluación
• Ges[ón de accesos • Ges[ón de ac[vos • Ges[ón de eventos • Ges[ón de pe[ciones • Ges[ón de la mejora • Medición de los servicios • Ges[ón del conocimiento
Todos parcialmente cubiertos en la ISO 20000 aunque no explicitamente enunciados
28/09/2010 9 © Service 20000 Ltd
Parte 1 -‐ 2011 Principales modificaciones
CAPÍTULO 4
28/09/2010 10 © Service 20000 Ltd
ESTRUCTURA DEL NUEVO ESTÁNDAR
28/09/2010 11 © Service 20000 Ltd
Edición de 2011 2005 Edición de 2005 1.1 Introducción 1.1 General 1.2 Aplicación
1. Introducción
2. Referencias norma[vas
3. Términos y definiciones 2. Términos y definiciones
4. Requisitos generales del sistema de ges[ón de servicios 4.1 Responsabilidades de la dirección 4.2 Gobierno de procesos operados por otras partes 4.3 Requisitos de la documentación 4.4 Ges[ón de recursos 4.5 Establecer el SGS -‐ Establecer el alcance, Planificar, Hacer, Revisar, Actuar.
3. Requisitos del sistema de ges[ón 3.1 Responsabilidades de la dirección 3.2 Requisitos de la documentación 3.3 Competencia, concienciación y formación 4. Planificación e implementación de la ges[ón de servicio -‐ Planificar, Hacer, Revisar, Actuar
28/09/2010 12 © Service 20000 Ltd
ESTRUCTURA DEL NUEVO ESTÁNDAR (2)
Edición de 2011 Edición de 2005 5. Diseño y transición de servicios nuevos o modificados
5. Planificación e implementación de servicios nuevos o modificados
6.1 Ges[ón de niveles de servicio 6.1 Ges[ón de niveles de servicio
6.2 Informes de servicio 6.2 Informes de servicio
6.3 Ges[ón de la con[nuidad y disponibilidad del servicio
6.3 Ges[ón de la con[nuidad y disponibilidad del servicio
6.4 Presupuestar y contabilizar servicios de TI
6.4 Presupuestar y contabilizar servicios de TI
6.5 Ges[ón de capacidad 6.5 Ges[ón de capacidad
6.6 Ges[ón de seguridad de la información
6.6 Ges[ón de seguridad de la información
Edición de 2011 Edición de 2005 7.1 Ges[ón de relaciones con el negocio
7.1 General 7.2 Ges[ón de relaciones con el negocio
7.2 Ges[ón de proveedores 7.3 Ges[ón de proveedores
8.1 Ges[ón de incidencias y pe[ciones de servicio
8.1 Antecedentes 8.2 Ges[ón de incidencias
8.2 Ges[ón de problemas 8.2 Ges[ón de problemas 9.1 Ges[ón de configuración 9.1 Ges[ón de configuración
9.2 Ges[ón de cambios 9.2 Ges[ón de cambios
9.3 Ges[ón de entregas y despliegues 10.1 Ges[ón de entregas
28/09/2010 13 © Service 20000 Ltd
ESTRUCTURA DEL NUEVO ESTÁNDAR (3)
Servicios
Sistema de gesVón de servicios
Procesos de gesVón de servicios
Planear
Revisar
Hacer Actuar
28/09/2010 © Service 20000 Ltd 14
Figura 1 – NUEVA PDCA metodología aplicada a la gesVón de servicios
Diseño y transición de servicios nuevos o modificados
Procesos de resolución Procesos de relaciones GesVón de incidencias y peVciones de servicio GesVón de problemas
GesVón de relaciones con el negocio GesVón de proveedores
Procesos de entrega de servicios GesVón de capacidad GesVón de la conVnuidad y disponibilidad del servicio
GesVón de niveles de servicio Informes del servicio
GesVón de seguridad de la información Presupuestos y contabilidad de servicios
Clientes y otras partes interesadas
Requisitos de servicio
Servicios
Management responsibility Governance of processes operated by other parVes
Establish the SMS DocumentaVon management
Resource management
Clientes y otras partes interesadas
Sistema de gestión de servicios (SGS)
Procesos de control GesVón de configuración GesVón de cambios GesVón de entregas y despliegues
28/09/2010 15 © Service 20000 Ltd
Figura 2 – actualizaciones relevantes Sistema de gesVón de servicios
Proveedor del servicio
Cliente
Proveedor 1
Proveedor principal 3
Proveedor subcontratado
3A
28/09/2010 © Service 20000 Ltd 16
Figura 3 – actualizaciones menores Ejemplo de relaciones entre la cadena de proveedores
Proveedor 2
MODIFICACIÓN DE TÉRMINOS Y DEFINICIONES Añadidos • Mejora con[nua • Acción correc[va • Cliente • Eficacia • Seguridad de la información • Incidencia de seguridad de la
información • Partes interesadas • Grupo interno • Error conocido • No conformidad • Organización • Acción preven[va • Proceso • Riesgo
Añadidos • Servicio • Componente de servicio • Con[nuidad del servicio • Sistema de ges[ón de servicio • Proveedor de servicio • Pe[ción de servicio • Requisitos de servicio • Proveedor • Alta dirección • Transición Eliminados • Registro de cambio • Centro de servicio
Muchas definiciones han sufrido cambios significa[vos 17
• Todos los requisitos en esta parte de la ISO/IEC 20000 son genéricos y pretenden ser aplicables a todos los proveedores de servicios, independientemente del [po, tamaño y naturaleza de los servicios prestados. Excluir cualquier requisito de las clausulas 4 a 9 no es aceptable para un proveedor de servicios que pretenda alegar conformidad rela[va a esta parte de la ISO/IEC 20000.
• La conformidad rela[va a la Clausula 4 puede ser demostrada a través de la presentación de evidencias de cumplimiento de todos los requisitos de la clausula 4. Un proveedor de servicios no puede argumentar que efectúa un control de ges[ón (gobierno) sobre procesos operados por otras partes para evidenciar los requisitos de la clausula 4.
• La conformidad con las cláusulas de 5 a 9 puede ser demostrada por el proveedor de servicios mostrando evidencias de cumplimiento de todos los requisitos. Como alterna[va, el proveedor de servicio puede mostrar una evidencia de cumplimiento de algunos requisitos de sí mismos y una evidencia de los procesos de gobierno operados por otras partes de dichos procesos, o partes de los procesos, que el proveedor de servicio no opera directamente.
• La parte 3 proporciona orientación para la aplicación 18
Nueva sub-‐clausula relevante Aplicación
28/09/2010 © Service 20000 Ltd 19
• El prestador de servicios iden[ficará todos los procesos, o
parte de procesos, cuyos requisitos sean especificados en las clausulas de 5 a 9 y que sean operados por otras partes. Esas otras partes pueden ser grupos internos, clientes o proveedores. El prestador de servicios demostrará control de ges[ón (gobierno), sobre procesos operados por otras partes: o Demostrando responsabilidad del proceso y autoridad para exigir adherencia al proceso; o Controlando la definición de los procesos, e interfaces con otros procesos (los
enunciados en las Clausulas de 5 a 9); o Determinando la eficiencia del proceso, su efec[vidad y conformidad con los requisitos
del proceso; o Controlando la planificación y priorización de mejoras del proceso.
• La parte 3 de la norma proporciona orientación sobre el gobierno de procesos
Nuevos requisitos relevantes Gobierno de procesos operados por otras partes
Nuevos requisitos relevantes Definición de alcance del SGS
28/09/2010 © Service 20000 Ltd 20
• El prestador de servicios definirá e incluirá el alcance del SGS en el plan de ges[ón de servicios.
• El alcance será definido por el nombre de la unidad organiza[va que presta los servicios, y por los servicios que son prestados.
• El prestador de servicios tendrá en cuenta otros factores que afectan a los servicios prestados inclusive: o Localizaciones a par[r de las cuales el prestador de servicios entrega los servicios;
o El cliente y su localización o localizaciones; o Tecnología u[lizada para prestar los servicios.
• La parte 3 proporciona orientación y ejemplos de definición de alcance
DISEÑO Y TRANSICIÓN DE LOS SERVICIOS NUEVOS O MODIFICADOS
28/09/2010 21
Request for Change
Change management
process - Record change
New service, removal
or transfer?
Change with potential major
impact
Design and Transition of new
or changed services process
No
Yes
Yes
Classify change
Plan, design, develop and test new or changed
service
Assess change
Approve change
Develop and test change
Release and Deployment process
No
Review change
New or changed service
Configuration management
process
Change management
policy
OTROS CAMBIOS A LOS REQUISITOS
28/09/2010 © Service 20000 Ltd 22
• 2005 – 16 páginas • 2011 – 25 páginas
o Más definiciones, introducción ampliada – aprox. 4 páginas
o Texto alargado en listas y más submtulos – aprox. 2 páginas
o Más requisitos – 3 páginas
¿Cómo prepararse?
CAPÍTULO 5
28/09/2010 23 © Service 20000 Ltd
CAMBIO DE LOS ESQUEMAS
28/09/2010 © Service 20000 Ltd 24
• Varios esquemas necesitarán ser modificados de forma que reflejen las actualizaciones a la Parte 1 y otras partes o Cualificaciones
• APMG, ISEB, EXIN • Reglas de conversión, cursos puente?
o Cer[ficados • APMG y otras en todo el mundo • Reglas de conversión – normalmente de 2 -‐ 3 años para permi[r cer[ficarse en la nueva edición
• Assessments de diferentes proveedores tendrán que ser modificados
MATERIAL DE REFERENCIA
28/09/2010 © Service 20000 Ltd 25
• Estándares ISO
• Libros BSI o Nuevo libro – Diferencias entre ediciones de 2005 y 2011 – salida en primavera 2011
o Libros actualizados -‐ Achieving ISO20000 series
• Libros de bolsillo del ITSMF y otros libros – requieren actualización
• hsp://www.isoiec20000cer[ca[on • hsp://www.I[l-‐iso20000.com (España, Portugal, etc.)
CAMBIO DE LA CERTIFICACIÓN DE 2005 A LA DE 2011
28/09/2010 © Service 20000 Ltd 26
• Formación y concienciación
• Acordar el enfoque y el calendario con el cuerpo de la cer[ficación
• Revisar la definición del alcance de la cer[ficación – teniendo en cuenta requisitos del alcance (4.5.1 y parte 3)
• Analizar el gobierno de procesos para cualquier proceso que sea contratado a proveedores , grupos internos o clientes (4.2 y parte 3)
• Realizar un assessment de los requisitos de la edición de 2011
• Realizar un plan para asegurar conformidad con la edición de 2011
CAMBIO DE LA CERTIFICACIÓN DE 2005 A LA DE 2011 (2)
28/09/2010 © Service 20000 Ltd 27
• Actualizar e implementar el plan de GS y los procesos de SGS (clausula 4)
• Actualizar e implementar el proceso para servicios nuevos o modificados la polí[ca de cambios (clausula 5 y 9.2)
• Actualizar e implementar otros planes y polí[cas
• Actualizar e implementar otros procesos/procedimentos
• Revisión de Pré-‐auditoria
• Renovación de la cer[ficación
BENEFICIOS DE LA EDICIÓN DE 2011
28/09/2010 © Service 20000 Ltd 28
• Capacidad para desarrollar un sistema de ges[ón integrado para múl[ples estándares
• Mayor alineamiento con ITIL • Claridad de terminología y requisitos de cara a aumentar su comprensión
• Proporciona un mayor beneficio de calidad, consistencia y produc[vidad para la prestación del servicio ya que los nuevos requisitos caminan en ese sen[do
GRACIAS Lynda Cooper
Service 20000 Limited