Norma UNE ISO/IEC 20000
La norma UNE ISO/IEC 20000 "Tecnología de la
información. Gestión del servicio" fue elaborada originalmente por el
British Standards Institution (BSI) como BS 15000 y adoptada por ISO con
algunas variaciones y publicada como norma ISO en 2005. La norma se divide
en dos partes:
- ISO/IEC
20000-1:2011 Parte 1: Especificaciones. Contiene los requisitos
para lograr la conformidad y, en consecuencia, es certificable.
Generalmente utiliza la palabra “deben”. En abril de 2011 se lanzó una última
versión de está parte, editándose la versión en español en diciembre de
2011 apareciendo como UNE-ISO/IEC 20000-1:2011.
- ISO/IEC
20000-2:2012 Parte 2: Código de buenas prácticas. En febrero de
2012 se publicó la última versión, de momento en español sólo está la
traducción de la versión de 2007 como UNE-ISO/IEC 20000-2:2007 esperándose
que aparezca publicada la nueva versión traducida en 2013.
Lo puedes encontrar también como: ISO/IEC 20000,
ISO 20000, UNE-ISO/IEC 20000-1:2011.
La ISO/IEC 20000-1:2011 es decir la parte
1: Requisitos del Sistema de gestión del servicio (SGS). especifica al
proveedor del servicio los requisitos para planificar, establecer, implementar,
operar, monitorizar, revisar, mantener y mejorar un SGS. Los requisitos
incluyen el diseño, transición, provisión, y la mejora de los servicios para
satisfacer los requisitos de servicio Contiene los requisitos para lograr la
conformidad y, en consecuencia, es certificable. Generalmente
utiliza la palabra “deben”.
La ISO/IEC 20000-2:2012 es decir la parte 2: Código de buenas prácticas, proporciona una guía y recomendaciones orientadas a la puesta en marcha de la gestión del servicio:
La ISO/IEC 20000-2:2012 es decir la parte 2: Código de buenas prácticas, proporciona una guía y recomendaciones orientadas a la puesta en marcha de la gestión del servicio:
- Para
implementadores.
- Para
auditores.
- Para
consultores.
Al tratarse de una guía, no es certificable y utiliza
generalmente la palabra “deberían”.
Complementarias a estas tenemos:
- ISO/IEC
20000-3:2012 Parte 3: Directrices para la definición del alcance
y aplicabilidad de la Norma ISO/IEC 20000-1. En España está publicada la
versión UNE-ISO/IEC TR 20000-3:2011 IN corespondiente a la norma ISO/IEC
20000-1:2005.
- ISO/IEC
TR 20000-4:2010 Parte 4: Modelo de referencia de procesos un
informe técnico (Part 4: Process reference model)
- ISO/IEC
TR 20000-5:2010 Parte 5: Modelo de plan de implementación de la
Norma ISO/IEC 20000-1 un informe técnico (Part 5: Exemplar
implementation plan for ISO/IEC 20000-1)
Tambien se encuentra publicada la ISO/IEC 27013:2012,
Está norma es un Guía para la implementación integrada de las normas ISO / IEC
27001 e ISO / IEC 20000-1, es decir nos ayuda a montar un sistema de gestión
que integre un SGSI (Sistema de gestión de la Seguridad de la información) y un
SGS (Sistema del Servicio), proporcionándonos las directrices necesarias para
la aplicación integrada de ambas normas.
Habitualmente en muchas organizaciones nos solemos encontrar que hay una estrecha relación entre la seguridad de la información y la gestión del servicio por lo que esta integración produce múltiples ventajas a la hora de adoptar los estándares: ISO/IEC 27001 para la seguridad de la información e ISO/IEC 20000-1 para la gestión del servicio.
La norma ISO/IEC 27013:2012, Tecnología de la información - Técnicas de seguridad - Directrices para la aplicación integrada de las normas ISO/IEC 27001 e ISO/IEC 20000-1 (ISO/IEC 27013:2012, Information technology – Security techniques – Guidance on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1), proporciona una guía enfocada a que se pueda utilizar tanto si:
Habitualmente en muchas organizaciones nos solemos encontrar que hay una estrecha relación entre la seguridad de la información y la gestión del servicio por lo que esta integración produce múltiples ventajas a la hora de adoptar los estándares: ISO/IEC 27001 para la seguridad de la información e ISO/IEC 20000-1 para la gestión del servicio.
La norma ISO/IEC 27013:2012, Tecnología de la información - Técnicas de seguridad - Directrices para la aplicación integrada de las normas ISO/IEC 27001 e ISO/IEC 20000-1 (ISO/IEC 27013:2012, Information technology – Security techniques – Guidance on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1), proporciona una guía enfocada a que se pueda utilizar tanto si:
- Ya
tenemos implantado alguno de los dos sistemas previamente y queremos
implantar el otro.
- Si
ya tenemos los dos sistemas montados y queremos integrarlos.
- Queremos
realizar una implantación conjunta de ambas normas ISO/IEC 27001 e ISO/IEC
20000-1
Algunos de los beneficios de una aplicación integrada son:
- Reducción
de costes al realizar un programa integrado.
- Reducción
de tiempos de ejecución debido al desarrollo integrado de los procesos
comunes a ambas normas.
- Eliminación
de duplicaciones.
- Facilita
la comunicación y el entendimiento entre el personal de administración de
los servicios y el personal de seguridad.
¿Para qué...?
Reduce el riesgo ofreciendo apoyo fiable de profesionales de
la tecnología de la información (internos o subcontratados), cuando y donde más
se necesita. Esto ayuda a poner cualquier situación de tecnología de la
información bajo control inmediato y disminuye sus daños potenciales, mejorando
la productividad de los empleados y la fiabilidad del sistema de tecnología de
la información. Y lo que es más, la certificación aporta motivación a la
organización y demuestra la fiabilidad y calidad de los servicios de tecnología
de la información para empleados, partes interesadas y clientes.
No hay comentarios:
Publicar un comentario