Nota informativa del IRCA ISO/IEC 20000-1: 2011

How to apply for and maintain Training Organization Approval and Training Course Certification IRCA 3000

Contents
Introduccin Resumen de los cambios en la norma ISO/IEC 20000-1:2011 3 Perspectiva general Anlisis en detalle 1. 2. 3. 4. 5. 6. 7. 8. 9. Alcance Referencias normativas Trminos y definiciones Requisitos generales del sistema de gestin de los servicios Diseo y transicin de servicios nuevos o modificados Procesos de prestacin del servicio Procesos de relacionamiento Procesos de resolucin Procesos de control 3 4 4 4 4 4 5 5 6 7 7 9 3

Apendice A

Copyright IRCA 2012

WWW.IRCA.ORG Page 2 of 9

Nota informativa del IRCA: ISO/IEC 20000:2011

Introduccin El IRCA (International Register of Certificated Auditors) ha preparado esta Nota Informativa para comunicar a los auditores certificados por el IRCA, a las organizaciones de formacin aprobadas por el IRCA y a otras partes interesadas nuestra visin respecto a la norma ISO/IEC 20000-1:2011. La provisin de servicios de TI y el desarrollo de los sistemas de gestin de los servicios (SGS) asociados han evolucionado considerablemente desde la primera publicacin de la norma en el ao 2005. El sector ha evolucionado desde la operacin de sistemas de TI corporativos internos y la tercerizacin de sistemas de TI a medida ha sistemas de consumo masivo que ofrecen servicios de TI ms genricos. Algunas prcticas y metodologas, tales como el ITIL, han evolucionado siguiendo estas lneas. Y, en forma consecuente, se han modificado los requisitos y controles de la norma ISO/IEC 20000-1:2011 para acomodarse a estos cambios. La revisin del ao 2011 tambin refuerza el alineamiento con otras normas de sistemas de gestin, particularmente la ISO 9001: 2008 Sistemas de gestin de la calidad- Requisitos y la norma ISO/IEC 27001:2005 Tecnologa de la informacin Tcnicas de seguridad Sistemas de gestin de la seguridad de la informacin- Requisitos, mejorando y facilitando la aplicacin de un enfoque basado en procesos integrado que atraviesa distintas disciplinas como parte del sistema de gestin de los negocios. Algunos pueden interpretar los cambios en la norma ISO/ IEC 20000-1 como sustanciales, mientras que otros pueden verlos como una mera adopcin de buenas prcticas ya implementadas en el mercado. La visin del IRCA es que la publicacin de la norma ISO/IEC 20000-1:2011 ofrece a las organizaciones que implementan sistemas de gestin de los servicios de TI y a las que deben hacer auditoras de sistemas de gestin de servicios de TI una oportunidad para re-evaluar sus propias prcticas e identificar oportunidades de mejora. Perspectiva general Una limitacin importante de la norma ISO 20000-1:2005 durante la evaluacin o la evaluacin de conformidad de un sistema de gestin de los servicios de TI, fue la cantidad de procesos obligatorios; muchas veces estaban descriptos de tal manera que requera la interpretacin del auditor y el acuerdo del auditado. A lo largo de la norma ISO/IEC 20000-1:2011, muchos de estos requerimientos de procesos estn reemplazados por procedimientos documentados y explcitamente obligatorios. Muchos de estos requerimientos son complementados con la prescripcin de atributo mnimos, con una declaracin de su propsito y con apoyo para su implementacin. Como indicador del grado de cambios en la conformidad con los requisitos, es interesante notar que: La norma ISO 20000-1:2005 tena 171 debe La norma ISO 20000-1:2011 tiene 257 debe (un 50% ms, aproximadamente). La revisin tambin refuerza la alineacin con otras normas de sistemas de gestin, particularmente con la ISO 9001:2008 Sistemas de gestin de la calidad y la ISO/IEC 27001:2005 Sistemas de gestin de la seguridad de la informacin. Los auditores y consultores con experiencia en estas normas estarn familiarizados con los temas y terminologa comunes. Sin embargo, aqullos que tiene experiencia solamente en la ISO 20000-1:2005 debern revisar con cuidado la norma actual para asegurarse una comprensin adecuada de los requisitos modificados.

WWW.IRCA.ORG

Page 3 of 9

Anlisis en detalle Muchas clusulas de la norma ISO 20000-1:2005 comenzaban con una declaracin del objetivo de esa clusula (a pesar de que no era el caso en las clusulas General y Antecedentes). Esto ha sido retirado y no aparece en la norma ISO/IEC 20000-1:2011. 1. Alcance En esta seccin se confirma la aplicabilidad de la norma a todo el ciclo de vida del sistema de gestin de los servicios. Los casos de uso general descriptos en 1.1a) a f ) son los que estaban en la norma ISO 20000-1:2005 pero ampliados para aclarar las perspectivas desde el punto de vista de los proveedores del servicio, de la organizacin que necesita servicios de un proveedor y del consultor y del auditor de la conformidad. La Figura 2 el diagrama del Sistema de Gestin de los Servicios presenta una visin ms consistente de la relacin entre los elementos de la norma ISO/IEC 20000-1:2011. Se le ha agregado, en particular, la relacin con los clientes y otras partes interesadas. Se han agregado los requisitos sobre el sistema de gestin de los servicios y el diseo y la transicin de servicios nuevos o modificados como niveles del diagrama para demostrar su contexto y relacin con los procesos de prestacin del servicio, de resolucin, de relacin y de control. Se debe notar que la liberacin y el despliegue de la gestin estn subsumidos en la categora de procesos de control. Se ha agregado la Clusula 1.2 Aplicacin para aclarar an ms los requisitos de conformidad. Es en esta clusula donde se reconoce que partes de la prestacin del servicio (clusulas 5 a 9) puede ser provistas por otras partes y que, en estos casos, es admisible la provisin de evidencias de la gobernanza que se ejerce sobre esos procesos. Sin embargo, se deja claro que la responsabilidad de la direccin, la gobernanza de otras partes involucradas en la prestacin del servicio, la gestin de la documentacin, la gestin de los recursos y la definicin y mejora de los servicios definidos en la clusula 4 deben ser evidenciados solamente por el proveedor del servicio. Ninguna parte de esta clusula puede ser delegada o contratada a terceras partes. La norma ISO/ IEC TR 20000-3 proporciona gua adicional en la definicin del alcance y la aplicabilidad, incluyendo informacin adicional sobre la gobernanza de los procesos operados por terceras partes. 2. Referencias normativas Se agrega esta clusula sin contenido solamente para mantener la numeracin de las clusulas alineadas con la norma ISO/IEC 20000-2. 3. Trminos y definiciones Como era de esperar de una revisin tcnica, se definen 37 trminos en la norma ISO/IEC 20000-1:2011, comparados con los 15 listados en la ISO 20000-1:2005. Muchos de los trminos adicionales son adoptados o adaptados de las normas ISO 9000:2005 Sistemas de gestin de la calidad Fundamentos y vocabulario, ISO 27000:2009 Tecnologa de la informacin Tcnicas de seguridad Sistemas de gestin de la seguridad de la informacin visin general y vocabulario
WWW.IRCA.ORG

y otros son consistentes con el ITIL v3 (aunque la norma ISO/ IEC 20000-1:2011 es independiente de toda metodologa especfica de implementacin). Por ejemplo, la clusula 3.11 define seguridad de la informacin como preservacin de la confidencialidad, integridad y accesibilidad de la informacin El trmino . accesibilidad no es consistente con la norma ISO 27000:2009, la que usa el trmino disponibilidad aunque se , utiliza accesibilidad para evitar el conflicto con la definicin existente en la norma ISO 20000-1:2001 de disponibilidad [de servicios de TI] segn la clusula 3.1 de esta norma. La mayor consistencia con los trminos de otras normas es una ayuda muy bienvenida, permitiendo un enfoque integrado de todas las disciplinas, basado en procesos. Sin embargo, antes de realizar una evaluacin de la conformidad, es necesario tener cuidado de revisar cuidadosamente los trminos definidos para asegurar una comprensin comn de las idiosincrasias de los trminos adaptados. 4. Requisitos generales del sistema de gestin de los servicios El uso de la clusula 4 para definir requisitos del sistema de gestin refuerza la alineacin con otras normas de sistemas de gestin, particularmente las ISO/IEC 9001:2008 e ISO/IEC 27001:2005. La clusula 4 de esta norma es un extenso retrabajo de las clusulas 3 y 4 de la norma ISO 20000-1:2005, al transferir a esta norma los principios de un sistema de gestin maduro establecidos en la norma ISO 9001. Sin embargo, no es una transferencia literal, aunque los requisitos y la terminologa parezcan familiares, la clusula 4 de esta norma amalgama elementos equivalentes de una cantidad de requisitos de clusulas de la norma ISO 9001 (y, tambin, de la ISO 27001), tal como est explicado en el Apndice A. La clusula 4.1 Responsabilidad de la direccin es un retrabajo cuidadoso de la clusula 3.1 de la norma ISO 20000-1:2005, introduciendo una cantidad de requisitos adicionales. Se especifican requisitos sobre el compromiso de la alta direccin, la poltica de gestin, la autoridad y responsabilidad, y se define con mayor detalle los requisitos del Representante de la direccin. La norma ISO 20000-1:2005 requera un acuerdo mutuo en la interpretacin del trmino proveedor cuando se evaluaba la conformidad de la prestacin del servicio por medio de la clusula gestin de proveedores (el trmino proveedor no estaba definido en esa norma, aunque la Figura 3 de la clusula 7.2 indicaba una intencin de considerar solamente proveedores externos). La norma ISO/IEC 20000-1:2011 introduce la clusula 4.2 Gobernanza de procesos operados por terceras partes para reconocer la existencia de partes involucradas en una prestacin exitosa de los servicios (reas internas de servicios, proveedores externos o contribuciones del cliente). Ms an, la clusula 1.2 deca que un proveedor de servicios no puede basarse en evidencias de la gobernanza de procesos operados por terceras partes para los requisitos de la clusula 4; para lograr la conformidad ahora requiere
Page 4 of 9

que el proveedor del servicio demuestre tanto una toma de conciencia del rango de factores que pueden afectar la prestacin del servicio como la gobernanza de esas factores. La norma ISO/IEC TR 20000-3 proporciona lineamientos adicionales sobre la gobernanza de procesos operados por terceras partes. La clusula 4.3 Gestin de la documentacin prescribe con mayor detalle un conjunto de documentos para el SGS e introduce controles ms formales para los documentos y registros. Un agregado notable es el requisito explcito de documentar un catlogo de servicios como un documento separado y distinto al Acuerdo del Nivel del Servicio (Service Level Agreement, SLA); se hace nuevamente referencia a este documento bsico en el apoyo al diseo del servicio y su propsito est aclarado en la clusula 6.1 Gestin del nivel del servicio. La clusula 4.4 Gestin de los recursos aclara la definicin de recursos en un SGS (omitida en clusula 2) como recursos humanos, tcnicos, financieros y de informacin , con el requisito de determinarlos y proporcionarlos. La clusula 4.5 Planificacin e implementacin del sistema de gestin de servicios, derivado de la clusula 4 de la norma ISO 20000-1:2005, ha sido retrabajado en esta norma. Aun manteniendo los principios y estructura bsica, hay numerosos cambios en detalle de los requisitos, elimina muchos puntos ambiguos e interpretables, y permiten una mayor consistencia en su aplicacin. Por ejemplo, el plan de gestin del servicio ahora deber contener o hacer referencia a requisitos legales y a criterios para aceptar riesgos anlogos a los requisitos de control del sistema de , gestin de la seguridad de la informacin contenidos en la norma ISO 27001. Debido a la envergadura de los cambios, es necesaria una revisin cuidadosa de toda la clusula 4 para familiarizarse y comprender lo requisitos nuevos y los modificados. 5. Diseo y transicin de servicios nuevos o modificados Las prcticas y requisitos de la clusula 5 de la norma ISO 20000-1:2005 han sido modificados y ampliados para crear la clusula 5 de esta norma. La clusula 5.1 enfatiza an ms a la gestin del cambio en su carcter de proceso principal de control. An reconociendo que la planificacin y diseo de un servicio nuevo o modificado puede resultar en algunas propuestas de cambio que son rechazadas, la clusula deja claro que el proveedor del servicio debe tomar las acciones necesarias para asegurar que los cambios restantes aprobados son los suficientes para una prestacin de un servicio eficaz, sea nuevo o modificado (un requisito indirecto de monitorear y revisar la eficacia luego del cambio, el que est en forma ms explcita en la clusula 9.2). Las clusulas 5.2 y 5.3 contienen requisitos muy completos para la planificacin, diseo, y desarrollo de servicios nuevos o modificados, incluyendo requisitos especficos para servicios que deban removidos (suspendidos, cerrados o retirados) y due diligence de las relaciones con otras partes que contribuyen a la prestacin de componentes del servicio.
WWW.IRCA.ORG

La clusula 5.4 Transicin de servicios nuevos o modificados redefine requisitos para los ensayos sobre el servicio (previo a su instalacin) considerando los criterios de aceptacin acordados con el prestador del servicio y con otras partes interesadas, para el uso de los procesos de control de liberacin e instalacin en el ambiente de trabajo y para el monitoreo luego de la instalacin que permita verificar si se han logrado los resultados esperados. 6. Procesos de prestacin del servicio La estructura general y el propsito de esta clusula no se han modificado. Sin embargo, una revisin detallada muestra la existencia de requisitos adicionales con los que se han aclarado y redefinido algunos requisitos de la norma ISO 20000-1:2005. A continuacin se analizan los cambios ms significativos. Hay dos cambios importantes en la clusula 6.1 Gestin del nivel del servicio. El primer cambio actualiza el requisito de la norma ISO 20000-1:2005 referido a que cada servicio deba ser definido, acordado y documentado en uno o ms SLAs. La norma ISO/ IEC 20000-1:2011 reconoce que un cliente puede contratar un portafolio de servicios de TI a un proveedor, y que estos servicios deben ser definidos en un catlogo de servicios para ese cliente, el que incluye las dependencias entre los servicios y los componentes de los servicios Este catlogo debe . ser complementado con uno o ms SLA para cada servicio a ser prestado. El otro cambio trata la Gobernanza de los procesos operados por terceras partes (clusula 4.2): a diferencia de la gestin de proveedores (tratada luego en la clusula 7.2), el prrafo final de la clusula 6.1 prescribe requisitos de gobernanza sobre componentes del servicio prestados por un grupo interno o por el cliente . La clusula 6.2 Reportes de los servicios est muy poco modificada, sin embargo, los requisitos para el contexto y el contenido de los reportes de los servicios son ms prescriptivos. La clusula 6.3 Gestin de la continuidad y disponibilidad del servicio ha sido ampliada y reestructurada en 3 sub-clusulas con requisitos claros, segn se muestra a continuacin. La clusula 6.3.1 Requisitos de continuidad y disponibilidad de los servicios re-enfatiza que la evaluacin de los riesgos asociados con la continuidad y disponibilidad de los servicios es el primer paso en la identificacin y acuerdo de requisitos con el cliente y con otras partes interesadas. Sin embargo, al evaluar la conformidad de un proveedor de servicios que presta un servicio estandarizado a un rango de clientes, la continuidad y disponibilidad de ese servicio debera ser sometido a un anlisis de riesgos y las metas de niveles de servicios comprometidas como parte de la especificacin del servicio previa al contrato y ofrecidas en un SLA a los clientes. Entonces, el contrato comercial sera un acuerdo del cliente con esos compromisos de continuidad y disponibilidad pre-establecidos.
Page 5 of 9

La clusula 6.3.2 Planes de continuidad y disponibilidad del servicio no mantiene el requisito anterior de asegurar que se cumplen los requisitos acordados en todo momento ya , que contradice la naturaleza basada en riesgos de la gestin de la continuidad y disponibilidad. La clusula no prescribe el contenido del plan de continuidad del servicio ni el del plan de disponibilidad del servicio, con una nota que dice que es posible combinar ambos planes en un nico documento. La clusula 6.3.3 Monitoreo y ensayo de la continuidad y disponibilidad del servicio retira el requisito de revisar los planes anualmente, por lo menos La norma . incorpora un enfoque basado en hechos, al requerir que se revisen los planes luego de la realizacin de los ensayos o de la aplicacin del plan de continuidad del servicio. Se mantiene el requisito de que Los planes de continuidad y disponibilidad de los servicios deben ser probados luego de cambios mayores en el ambiente del servicio Ms an, las . pruebas deben realizarse contra requisitos de continuidad y disponibilidad establecidos, registrarse y analizarse los resultados de dichos ensayos, tomarse las acciones que sean necesarias resultantes de ese anlisis y reportarse los resultados de dichas acciones. La clusula 6.4 Presupuesto y contabilidad para los servicios permanece casi en su forma original, aunque su estructura y texto le mejoran su claridad. Un agregado notable es un requisito para una interfaz definida entre los procesos de presupuestacin y contabilidad de los servicios y otros procesos de gestin financiera . Similarmente, la clusula 6.5 Gestin de la capacidad generalmente repite la versin anterior de la norma, aunque hay alguno cambios sutiles. Ahora, se lista en forma taxativa el alcance de los recursos a ser gestionados: humanos, tcnicos, financieros y de informacin. Ms an., hay un cambio sutil en el texto que define el resultado requerido: La norma ISO 20000-1:2005 declaraba que Se deben identificar los mtodos, procedimientos y tcnicas para monitorear la capacidad del servicio, ajustar el desempeo del servicio y proporcionar una capacidad adecuada Una . interpretacin posible de este texto es que el proveedor puede identificar mtodos, procedimientos y tcnicas sin realmente comprometerse a usarlos para proporcionar la capacidad adecuada . La norma ISO/IEC 20000-1:2011 requiere, sin dejar lugar a ambigedades, que El proveedor del servicio debe proporcionar la capacidad suficiente para cumplir con los requisitos acordados de capacidad y desempeo . La clusula 6.6 Gestin de la seguridad de la informacin ha sido modificada para mejorar su alienacin con los requisitos de la norma ISOI 27001. Ha sido dividida en clusulas sobre la poltica de seguridad de la informacin, el control [de los riesgos] y la gestin del cambio y de los incidentes. Los nuevos requisitos de la poltica y de control, aunque menos detallados en comparacin con la ISO 27001, son ms prescriptivos que en la versin anterior de la norma y pueden significar un desafo para organizaciones que no hayan implementado un sistema de gestin de la seguridad de la informacin segn la norma ISO 27001.
WWW.IRCA.ORG

En comparacin, la clusula 6.6.3 Cambios e incidentes de la seguridad de la informacin deberan ser menos desafiantes, ya que generalmente repite los requisitos de la versin anterior de la norma para integrar la gestin de la seguridad de la informacin en los procesos existentes de gestin del cambio, gestin de incidentes y de la mejora. 7. Procesos de relacionamiento La estructura general y el contenido de esta clusula no han sido modificados, con excepcin de algunos cambios en detalle. La clusula 7.1 Gestin de las relaciones comerciales pone un mayor foco en el cliente y es menos prescriptivo sobre las relaciones con otras partes interesadas. La revisin anual del servicio requerida en la norma ISO 20000-1:2005 ha sido reemplazada en esta norma por un poco especificado mecanismo de comunicacin permitiendo una variedad de acciones posibles, desde una revisin anual a una revisin continua a pedido, adecuada a los requisitos del negocio. Se define el propsito de esta comunicacin, aunque el texto es un poco ambiguo; una interpretacin razonable posible puede ser promover un entendimiento [mutuo] del contexto del negocio en el cual opera el servicio y establecer requisitos para servicios nuevos o cambios en los servicios existentes Esto permitira, por ejemplo: . que el proveedor del servicio permanezca siempre informado sobre el negocio y el ambiente operativo del cliente y sobre requisitos de cambio provenientes del cliente, y, que el proveedor del servicio pueda responder a cambios en su propia estrategia y en su ambiente comercial, y mejorar, ajustar o reemplazar elementos de un servicio genrico provisto a una cantidad de clientes. Los requisitos sobre la gestin de reclamos de los clientes no ha sido modificado; sin embargo, el tema de la satisfaccin de los clientes adquiere un enfoque pragmrtico y permite la medicin y el anlisis basados en una muestra representativa de clientes y usuarios de los servicios . La clusula 7.2 Gestin de los proveedores requiere ahora una lista prescriptiva de los elementos que deben ser incorporados o referenciados en los contratos con los proveedores. La revisin general de los contraltos o acuerdos formales [con los proveedores] requerida en forma anual en la norma ISO 20000-1:2005 ha sido reemplazada por un requisito ms pasivo de monitorear el desempeo de los proveedores a intervalos planificados . Es interesante advertir el reemplazo de dos requisitos de procesos por: el requisito de que el contrato con el proveedor defina o haga referencia a actividades y responsabilidades para dar por terminando el contrato y la transferencia del contrato a otra organizacin , asegurando de que sea realizado en forma proactiva y documentada antes de que surja la necesidad por su transferencia o terminacin, y el requisito de un procedimiento documentado para gestionar las disputas contractuales .
Page 6 of 9

8. Procesos de resolucin La clusula 8.1 Gestin de los pedidos de servicio y de incidentes reconoce la prctica actual de muchas organizaciones de procesar reportes de incidentes y de pedidos de cambios por medio de una sola rea de relacionamiento con el cliente y de un nico proceso; en esta norma, la administracin de pedidos de servicios es retirado de Gestin del cambio y ubicado en esta clusula. La norma requiere que el proceso de gestin de incidentes y de pedidos de servicio estn definidos en dos procedimientos documentados separados, uno para la gestin del ciclo de vida de incidentes y otro para la gestin de pedidos de servicio, desde su registro inicial hasta el cierre. La informacin que deber ser puesta a disposicin del personal responsable por estos procesos est prescripta en la norma, e incluye informacin del Proceso de gestin de la liberacin e instalacin. El prrafo final prescribe cmo se deben gestionar los incidentes Mayores usando un procedimiento documentado. La clusula 8.2 Gestin de los problemas permanece sin cambios generales, aunque se ha revisado su estructura y el texto le agrega claridad. Una mejora notable es el reconocimiento explicito de que no todos los problemas son solucionables en forma permanente; limitaciones comerciales, tcnicas o externas puede impedir que esto ocurra. Ahora, la clusula establece que cuando se haya identificado la causa raz, pero el problema no ha sido solucionado en forma permanente, el proveedor del servicio debe identificar acciones para reducir o eliminar el impacto del problema en los servicios . 9. Procesos de control Las clusulas referidas a la configuracin y a la gestin del cambio son significativamente ms prescriptivas en esta versin de la norma. Los cambios en la clusula 9.1 Gestin de la Configuracin incluyen: campos mnimos mandatorios de informacin del tem de configuracin (IC) en la Base de datos de gestin de la configuracin (BDGC), un procedimiento documentado para el registro, control y la trazabilidad de las versiones de los ICs que incorpore el control basado en el riesgos sobre el bien, copias maestras de los ICs registradas en la BDGC deben ser guardados en bibliotecas fsica o electrnicas seguras referenciadas por los registros de la configuracin, auditoras de los registros almacenados en el CMDB, realizadas a intervalos planificados. Los cambios en la clusula 9.2 Gestin del cambio incluyen: cambios mnimos en la poltica de gestin de cambios, la remocin o transferencia de un servicio debe ser clasificado como un cambio a un servicios con el potencial de producir un impacto mayor, un procedimiento documentado para registrar, clasificar, evaluar y aprobar pedidos de cambio, un procedimiento documentado para gestionar cambios en situaciones de emergencia.

De la misma manera, los requisitos para gestionar los pedidos de cambio son ms robustos: Los pedidos de cambio clasificados como con potencial de producir un impacto mayor en los servicios o el cliente deben ser gestionados utilizando el proceso de diseo de servicios nuevos o de modificacin de los existentes. Todos los otros pedidos de cambio de los IC definidos en la poltica de gestin de cambios deben ser gestionados utilizando el proceso de gestin de cambios . El proveedor del servicio y las partes interesadas deben decidir la aceptacin del pedido de cambio . Las actividades requeridas para revertir o remediar un cambio no exitoso deben ser planificadas y, cuando sea posible, probadas . El proveedor del servicio debe revisar los cambios para determinar su eficacia (la norma ISO 20000-1:2005 requera solamente que los cambios deban revisarse para determinar si eran exitosos . La clusula 9.3 Gestin de la liberacin e instalacin, ahora reconocida como un proceso de control, tiene un propsito general y contenido que no ha cambiado, aunque hay algunas modificaciones menores. Las ms notables se analizan en los prrafos siguientes. Ahora hay un requisito explcito de coordinar el plan de instalacin con el proceso de gestin del cambio e incluir referencias a los pedidos de cambios relacionados, errores conocidos y problemas que se cierran por medio de la liberacin. La planificacin tambin debe incluir las fechas de instalacin de cada liberacin, los entregables asociados y los mtodos previstos para la instalacin. La definicin de una liberacin de emergencia debe documentarse y la liberacin gestionarse segn un procedimiento documentado, que tiene como interfaz el procedimiento de cambios de emergencia. Los criterios de aceptacin de cada liberacin deben acordarse con el cliente y otras partes interesadas. Antes de la instalacin, la liberacin debe ser verificada contra los criterios de aceptacin acordados y aprobados. Si los criterios de aceptacin no son cumplidos, se debe involucrar al cliente y otras partes interesadas en la decisin sobre las acciones que deben tomarse.

WWW.IRCA.ORG

Page 7 of 9

Apendice A Requisitos generales de sistemas de gestin de los servicios, comparados con los requisitos de las normas ISO/IEC 9001 e ISO/IEC 27001.
ISO 20000:2011 4.1 Responsabilidad de la direccin 4.1.1 Compromiso de la direccin 4.1.2 Poltica de gestin de los servicios 4.1.3 Autoridad, responsabilidad y comunicacin ISO 9001:2008 5 Responsabilidad de la direccin 5.1 Compromiso de la direccin 5.3 Poltica de la calidad 5.5 Responsabilidad, autoridad y comunicacin ISO 27001:2005 5 Responsabilidad de la direccin 5.1 Compromiso de la direccin 4.2.1 b) Definir una poltica de ISMS... 5.1 c) establecer roles y responsabilidades para la seguridad de la informacin y Anexo A control A.6.1.2 (correlacin aproximada) 5.1 c) establecer roles y responsabilidades para la seguridad de la informacin y Anexo A controles A.6.1.1 y A.6.1.2 (correlacin aproximada) Varios Anexo A controles, particularmente A.6.1.2 to A.6.1.6 and A.6.2 (correlacin aproximada) 4.3 Requisitos de la documentacin 4.3.1 General 4.3.2 Control de documentos 4.3.3 Control de registros 5.2 Gestin de los recursos 5.2.1 Provisin de recursos 5.2.2 Formacin, toma de conciencia y competencia 4.2 Establecer y mejorar el ISMS 4.2.1 a) Definir el alcance y los lmites del ISMS 4.2.1 b) Definir una poltica de ISMS, por medio de j) la preparacin de uan Declaracin de Aplicabilidad (correlacin aproximada) 4.2.2 Implementar y operar el ISMS 4.2.3 Monitorear y revisar el ISMS 4.2.3 Monitorear y revisar el ISMS 6 Auditoras internas al ISMS 7 Revisin del ISMS por la direccin 8 Mejora del ISMS 8.1 Mejora continua 7 Revisin del ISMS por la direccin, suplementado por 4.2.1 d) Identificar los riesgos hasta el i) Obtener autorizacin de la direccin (correlacin aproximada)

4.1.4 Representante de la direccin

5.5.2 Representante de la direccin

4.2 Gobernanza de los procesos operados por terceras partes 4.3 Gestin de la documentacin 4.3.1 Establecer y mantener documentos 4.3.2 Control de documentos 4.3.3 Control de registros 4.4 Gestin de los recursos 4.4.1 Provisin de recursos 4.4.2 Recursos humanos 4.5 Establecer y mejorar el SMS 4.5.1 Definir el alcance 4.5.2 Planificar el SMS (Plan)

7.4 Compras (correlacin aproximada)

4.2 Requisitos de la documentacin 4.2.1 General 4.2.3 Control de documentos 4.2.4 Control de registros 6 Gestin de los recursos 6.1 Provisin de recursos 6.2 Recursos humanos Numerosas referencias (ver a continuacin) 4.4.2 a) Manual de la calidad Definicin del alcance del QMS 5.4.2 Planificacin del sistema de gestin de la calidad

4.5.3 Implementar y operar el SMS (Do) 4.5.4 Monitorear y revisar el SMS (Check) 4.5.4.1 General 4.5.4.2 Auditora interna 4.5.4.3 Revisin por la direccin 4.5.5 Mantener y mejorar el SMS (Act) 4.5.5.1 General 4.5.5.2 Gestin de las mejoras

4.1 Requisitos generales (correlacin aproximada) 5.6 Revisin por la direccin 8.1 Medicin, anlisis y mejora Generalidades 8.2.2 Auditora interna 5.6 Revisin por la direccin 8.5 Mejora 8.5.1 Mejora continua 5.6 Revisin por la direccin

1. ISO 27001:2005 conformance does not require implementation of all control objectives and controls in Annex A of the standard as these are selected based upon the defined scope of the Information Security Management System. However, it would be very unusual for an organisation to justify exclusion of control objectives and controls defined in A.6.1.

WWW.IRCA.ORG

Page 8 of 9

International Register of Certificated Auditors (IRCA) 2nd Floor North Chancery Exchange 10 Furnival Street London EC4A 1AB United Kingdom Email: irca@irca.org Tel: +44 (0) 20 7245 6833 Fax: +44 (0) 20 7245 6755
WWW.IRCA.ORG