NCH ISO27001 2013

Bogotá, 2018-10-01
DE 250-18
TITULO Tecnología de la información. Gestión del servicio.
Parte 1: Requisitos del sistema de gestión del servicio – Segunda
actualización
ETAPA Consulta Pública
INICIO 2018-10-01
FINALIZACIÓN 2018-12-01
El presente documento ha sido preparado por el comité técnico de normalización de ICONTEC,

CTN 181- Gestión de T.I. Como parte del proceso normativo, este documento se circula por un
periodo de 60 días para concepto y observaciones de las partes interesadas en general.
El CTN agradece cualquier observación a este documento, el cual debe ser enviado antes de la
fecha de finalización de Consulta Pública en el formato de observaciones adjunto o a través del
enlace proporcionado. De igual manera, al comité le gustaría conocer su concepto (aprobación,
aprobación con observaciones, desaprobación (indicando la causa) o abstención (indicando la
causa)) con respecto al documento. En caso de no recibir respuesta, consideraremos su
conformidad con el proyecto propuesto.
Toda observación (eliminación, modificación o inclusión de texto) debe ser relacionada con un
numeral, tener un sustento técnico y estar acompañado de la propuesta respectiva. En caso de
no presentar el sustento técnico o propuesta, su observación puede no ser considerada.
Este documento está sujeto a cambios y no debe ser utilizado como una Norma Técnica.
NOTA 1 Este documento corresponde a:
- Una adopción idéntica de la norma ISO/IEC 20000-1:2018
Toda la información relacionada con este documento debe ser enviada a lpallares@icontec.org
ES-P-NN-03-F-002 página 1 de 1 Versión 02

NORMA TÉCNICA NTC-ISO/IEC
COLOMBIANA 20000-1
LA CARÁTULA Y EL PRÓLOGO EN 2018-xx-xx

ESTE DOCUMENTO NORMATIVO,
FORMAN PARTE ESTRUCTURAL
DEL MISMO PERO, SE
ENCUENTRAN EN ETAPA DE
ESTUDIO HASTA QUE EL PROCESO
NORMATIVO LLEGUE A
RATIFICACIÓN COMO NORMA
TÉCNICA COLOMBIANA.
TECNOLOGÍA DE LA INFORMACIÓN.
GESTIÓN DEL SERVICIO. PARTE 1: REQUISITOS
DEL SISTEMA DE GESTIÓN DEL SERVICIO
DIRECCIÓN DE NORMALIZACIÓN
E: X 22
CORRESPONDENCIA: X
DESCRIPTORES: X
I.C.S.: 48
Editada por el Instituto Colombiano de Normas Técnicas y Certificación (ICONTEC)

Apartado 14237 Bogotá, D.C. - Tel. (571) 6078888 - Fax (571) 2221435
Prohibida su reproducción Segunda actualización

Editada 2018-0X-XX
PROYECTO DE
NORMA TÉCNICA COLOMBIANA NTC-ISO/IEC 20000-1 (Segunda actualización)DE 250-18
PRÓLOGO
El Instituto Colombiano de Normas Técnicas y Certificación, ICONTEC, es el organismo

nacional de normalización, según el Decreto 1595 de 2015.
ICONTEC es una entidad de carácter privado, sin ánimo de lucro, cuya Misión es fundamental
para brindar soporte y desarrollo al productor y protección al consumidor. Colabora con el
sector gubernamental y apoya al sector privado del país, para lograr ventajas competitivas en
los mercados interno y externo.
La representación de todos los sectores involucrados en el proceso de Normalización Técnica

está garantizada por los Comités Técnicos y el período de Consulta Pública, este último
caracterizado por la participación del público en general.
La NTC-ISO7IEC 20000-1 (Segunda actualización) fue ratificada por el Consejo Directivo de

2018-0X-XX.
Esta norma está sujeta a ser actualizada permanentemente con el objeto de que responda en
todo momento a las necesidades y exigencias actuales.
A continuación se relacionan las empresas que colaboraron en el estudio de esta norma a

través de su participación en el Comité Técnico X.
Además de las anteriores, en Consulta Pública el Proyecto se puso a consideración de las

siguientes empresas:
ICONTEC cuenta con un Centro de Información que pone a disposición de los interesados
normas internacionales, regionales y nacionales y otros documentos relacionados.
DIRECCIÓN DE NORMALIZACIÓN
PROYECTO DE
TECNOLOGÍA DE LA INFORMACIÓN.
GESTIÓN DEL SERVICIO.
PARTE 1: REQUISITOS DEL SISTEMA DE GESTIÓN DEL SERVICIO
PRÓLOGO
ISO (la Organización Internacional para la Normalización) e IEC (Comisión Electrotécnica

Internacional) forman el sistema especializado de normalización mundial. Los organismos
nacionales que son miembros de ISO o de IEC participan en el desarrollo de Normas
Internacionales por medio de los comités establecidos por la respectiva organización para tratar
los campos particulares de la actividad técnica. Los comités técnicos de ISO e IEC colaboran
en los campos de interés mutuo. Otras organizaciones internacionales, gubernamentales y no
gubernamentales, en unión con ISO e IEC, también toman parte en el trabajo. En el campo de
la tecnología de la información, ISO e IEC han establecido un comité técnico conjunto, el
comité ISO/IEC JTC 1.
Los procedimientos usados para desarrollar este documento, y los previstos para su
mantenimiento posterior se describen en las Directivas ISO/IEC, Parte 1. En particular, es
conveniente tener en cuenta los diferentes criterios de aprobación necesarios para los
diferentes tipos de documentos. Este documento se redactó de acuerdo con las reglas
editoriales establecidas en la Parte 2 de las directivas de ISO/IEC.
Se llama la atención sobre la posibilidad de que algunos de los elementos de este documento
puedan estar sujetos a derechos de patente. ISO e IEC no asumen responsabilidad por la
identificación de cualquiera o todos los derechos de patente. Los detalles de los derechos de
patente identificados durante el desarrollo del documento se encontrarán en la Introducción y/o
en la lista de declaraciones de patente recibidas (véase www.iso.org/patents).
Cualquier nombre comercial usado en este documento es información que se suministra para
conveniencia de los usuarios y no constituye respaldo a él.
Para una explicación de la naturaleza voluntaria de las normas, el significado de los términos y
expresiones de ISO relacionados con la evaluación de la conformidad, así como la información
acerca de la adhesión a los principios de la Organización Mundial del Comercio (OMC) sobre
Obstáculos Técnicos al Comercio, consulte la siguiente URL: www.iso.org/iso/foreword.html .
Este documento fue elaborado por ISO/IEC JTC 1, Information technology, SC 40, IT Service
Management and IT Governance.
En el sitio web de ISO se puede encontrar una lista de todas las partes de la serie
ISO/IEC 20000.
PROYECTO DE
Esta tercera edición cancela y reemplaza la segunda edición (ISO/IEC 20000-1:2011) cuyo
contenido técnico ha sido actualizado.
Los cambios principales en relación con la edición anterior son:
a) Se reestructuró de acuerdo con la estructura de alto nivel utilizada para todas las
normas de sistema de gestión (del Anexo SL del Suplemento ISO Consolidado, de las
Directivas ISO / IEC Parte 1). Se han introducido nuevos requisitos comunes para el
contexto de la organización, la planificación para alcanzar objetivos y acciones para
abordar los riesgos y las oportunidades. Existen algunos requisitos comunes que han
actualizado requisitos previos, por ejemplo, información documentada, recursos,
competencia y toma de conciencia.
b) Se tuvieron en cuenta las tendencias crecientes en la gestión de servicios, incluidos

temas como la mercantilización de los servicios, la gestión de múltiples proveedores
mediante un integrador de servicios interno o externo y la necesidad de determinar el
valor de los servicios para los clientes.
c) Se eliminaron algunos detalles para concentrarse en qué hacer y en permitir a las

organizaciones la libertad en relación a cómo cumplir con los requisitos.
d) Se incluyeron nuevas características, como la adición de requisitos sobre el

conocimiento y la planificación de los servicios.
e) Se separaron numerales que anteriormente estaban combinados para gestión de

incidentes, gestión de solicitud de servicios, gestión de continuidad de servicios, gestión
de disponibilidad de servicios, gestión de nivel de servicios, gestión de catálogos de
servicios, gestión de demanda y gestión de capacidad.
f) Se cambió el nombre de "Gobernanza de procesos operados por otras partes" a

"Control de partes involucradas en el ciclo de vida del servicio" y se actualizaron los
requisitos para incluir servicios y componentes de servicios, al igual que procesos. Se
aclaró que la organización no puede demostrar conformidad con los requisitos
especificados en este documento si se usan otras partes para proporcionar u operar
todos los servicios, componentes de servicios o procesos dentro del alcance del SGS.
g) El numeral 3 (Términos y definiciones) se separó en subnumerales para los términos de

sistemas de gestión y para los términos de gestión del servicio. Hay muchos cambios en
las definiciones. Los cambios clave incluyen:
1) se agregaron algunos términos nuevos para el Anexo SL, por ejemplo, "objetivo",
"política", y se han agregado algunos específicamente para la gestión del servicio,
por ejemplo, "activo", "usuario";
2) el término "proveedor de servicios" se reemplazó por "organización" para ajustarse

al texto común del Anexo SL;
3) el término "grupo interno" se reemplazó por "proveedor interno" y el término

"proveedor" se reemplazó por "proveedor externo";
PROYECTO DE
4) la definición de "seguridad de la información" se ha alineado con la ISO / IEC 27000.

Posteriormente, el término "disponibilidad" se reemplazó por "disponibilidad del
servicio" para diferenciarlo del término "disponibilidad" que se utiliza hoy en día en la
definición actualizada de " seguridad de información".
h) Se minimizó la información documentada requerida, dejando únicamente documentos clave

tales como el plan de gestión del servicio. Otros cambios de información documentados
incluyen:
1) se eliminaron los requisitos de disponibilidad documentada y los planes de capacidad
y se reemplazaron con requisitos para planificar la disponibilidad y la capacidad del
servicio;
2) se eliminó el requisito para una configuración de la base de datos de gestión y se

reemplazó por requisitos para la información de configuración;
3) se eliminó el requisito de una política de versiones y se reemplazó por un requisito

para definir los tipos y frecuencia de las versiones
4) se eliminó el requisito de una política de mejora continua y se reemplazó por un

requisito para determinar los criterios de evaluación de las oportunidades de mejora.
i) Se actualizaron las Figuras 2 y 3 y se modificó su numeración a Figuras 1 y 2. Se

eliminaron la Figura 1 y las referencias a Planificar, Hacer, Verificar, Actuar, ya que no
se usa específicamente en el Anexo SL debido a que con las normas de sistemas de
gestión se pueden usar muchos métodos de mejora.
j) Se trasladaron los requisitos de informes detallados del numeral presentación den

informes de servicios a los numerales en donde es probable que se produzcan los informes.
PROYECTO DE
INTRODUCCIÓN
Este documento ha sido elaborado para especificar los requisitos para establecer, implementar,
mantener y mejorar continuamente un sistema de gestión de servicios (SGS). Un SGS respalda
la gestión del ciclo de vida del servicio, incluida la planificación, el diseño, la transición, la
entrega y la mejora de los servicios, que cumplen los requisitos acordados y ofrecen valor para
los clientes, los usuarios y la organización que presta los servicios.
La adopción de un SGS es una decisión estratégica para una organización y está influenciada
por los objetivos de la organización, el organismo de gobierno, otras partes involucradas en el
ciclo de vida del servicio y la necesidad de servicios eficaces y resilientes.
La implementación y la operación de un SGS proporciona una visibilidad continua, control de

servicios y mejora continua que conducen a una mayor eficacia y eficiencia. La mejora de la
gestión del servicio se aplica a los SGS y a los servicios.
Este documento es independiente, en forma intencional, de una guía específica. La

organización puede usar una combinación de marcos aceptados generalmente y su propia
experiencia. Los requisitos especificados en este documento se alinean con las metodologías
de mejora utilizadas comúnmente. Las herramientas apropiadas para la gestión del servicio se
pueden utilizar para apoyar el SGS.
La norma ISO/IEC 20000-2 proporciona orientación sobre la aplicación de sistemas de gestión

de servicios, e incluyes ejemplos de cómo cumplir los requisitos especificados en este
documento. La norma ISO / IEC 20000-10 proporciona información sobre todas las partes de la
serie ISO/IEC 20000, beneficios, mitos y otras normas relacionadas. La norma ISO/IEC 20000-
10 incluye los términos y definiciones contenidos en este documento, además de términos no
utilizados en este documento sí en otras partes de la serie ISO/IEC 20000.
La estructura de los numerales (es decir, la secuencia de numerales), los términos del numeral
3.1 y muchos de los requisitos se tomaron del Anexo SL del Suplemento ISO Consolidado de
las Directivas ISO/IEC Parte 1, conocido como la estructura común de alto nivel (HLS) para las
normas de sistemas de gestión. La adopción de la HLS permite a la organización alinear o
integrar múltiples normas de sistemas de gestión. Por ejemplo, un SGS se puede integrar con
un sistema de gestión de la calidad basado en la ISO 9001 ó un sistema de gestión de
seguridad de la información basado en la ISO/IEC 27001.
La Figura 1 ilustra un SGS que muestra el contenido de los numerales de este documento. No
representa una jerarquía estructural, niveles de secuencia o autoridad. No hay ningún requisito
en este documento en relación con su estructura y con la terminología que se apliquen al SGS
de una organización. No hay ningún requisito para que los términos utilizados por una
organización sean reemplazados por los términos utilizados en este documento. Las
organizaciones pueden usar los términos que se adapten mejor a sus operaciones.
La estructura de los numerales está prevista para permitir la presentación coherente de los
requisitos, en lugar de un modelo para documentar las políticas, los objetivos y los procesos de
una organización. Cada organización puede elegir cómo combinar los requisitos en los
2
PROYECTO DE
procesos. La relación entre cada organización y sus clientes, usuarios y otras partes
interesadas influye en la manera en que se implementan los procesos. Sin embargo, un SGS
diseñado por una organización no puede excluir ninguno de los requisitos especificados en
este documento.
3
PROYECTO DE
1. OBJETO Y CAMPO DE APLICACIÓN
1.1 GENERALIDADES
Este documento especifica requisitos para que una organización establezca, implemente,
mantenga y mejore continuamente un sistema de gestión de servicios (SGS). Los requisitos
especificados en este documento incluyen la planificación, el diseño, la transición, la prestación
y mejora de los servicios para cumplir con los requisitos de servicio y entregar valor. Este
documento lo puede usar:
a) un cliente que busque servicios y que exija el aseguramiento en relación con la calidad
de estos servicios;
b) un cliente que exija un enfoque consistente en relación con el ciclo de vida de los
servicios, a todos sus proveedores de servicios, incluyendo aquellos en la cadena de
suministro;
c) una organización, para demostrar su capacidad para la planificación, el diseño, la

transición, la prestación y la mejora de servicios;
d) una organización, para hacer seguimiento, medir y revisar su SGS y los servicios;
e) una organización, para mejorar la planificación, el diseño, la transición y la prestación de

servicios por medio de la implementación y la operación eficaces de un SGS;
f) una organización u otra parte que lleve a cabo evaluaciones de la conformidad con base
en los requisitos especificados en este documento.
g) un proveedor de formación o asesoría para la gestión de servicios.
El término “servicio” como se usa en este documento hace referencia al servicio o servicios en
el alcance del SGS. El término “organización” como se usa en este documento hace referencia
a la organización en el alcance de la SGS que gestiona y presta servicios a los clientes. Una
organización o una parte de una organización que gestiona o que presta uno o varios servicios
a clientes internos o externos se puede conocer como un proveedor de servicios. Una
organización dentro del alcance del SGS puede ser parte de una organización mayor, por
ejemplo, un departamento o corporación de gran tamaño. En este documento se distingue
claramente cualquier uso de los términos “servicio” u “organización” con una intención
diferente.
1.2 APLICACIÓN
Todos los requisitos especificados en este documento son genéricos y están previstos de
manera que sean aplicables a todas las organizaciones, independientemente del tipo, el
tamaño o la naturaleza de los servicios que presten. Cuando una organización declara la
conformidad con este documento, no es aceptable la exclusión de ninguno de los requisitos de
los numerales 4 a 10, independientemente de la naturaleza de la organización.
4
PROYECTO DE
La conformidad con los requisitos especificados en este documento puede ser demostrada por
una organización que demuestre que cumple dichos requisitos.
La organización propiamente dicha es la que demuestra la conformidad con los numerales 4 y

5. pero tener el apoyo de otras partes. Por ejemplo, otra parte puede llevar a cabo las
auditorías internas en nombre de la organización o apoyar la preparación del plan de gestión
de servicios.
Como alternativa, una organización puede mostrar evidencia de que rinde cuentas por los
requisitos especificados en este documento y demuestra control cuando hay otras partes
involucradas en el cumplimiento de los requisitos de los numerales 6 a 10 (véase el numeral
8.2.3). Por ejemplo, la organización puede demostrar evidencia de controles a otra parte que
está suministrando componentes de servicios de infraestructura u operando la mesa de
servicio, incluido el proceso de gestión de incidentes.
La organización no puede demostrar conformidad con los requisitos especificados en este

documento si utiliza otras partes para prestar u operar todos los servicios, componentes de
servicios o procesos que están dentro del alcance del SGS.
El alcance de este documento excluye la especificación para productos o herramientas. Sin

embargo, este documento se puede usar para facilitar el desarrollo o la adquisición de
productos o herramientas que apoyan la operación de un SGS.
2. REFERENCIAS NORMATIVAS
No hay referencias normativas en este documento.
3. TÉRMINOS Y DEFINICIONES
Para los propósitos de este documento, se aplican los siguientes términos y definiciones.
ISO e IEC mantienen bases de datos terminológicos para uso en normalización, en las
siguientes direcciones:
— IEC Electropedia: disponible en http://www.electropedia.org/
— Plataforma ISO de navegación en línea: disponible en https://www.iso.org/obp
3.1 TÉRMINOS ESPECÍFICOS DE NORMAS DE SISTEMAS DE GESTIÓN
3.1
auditoría (audit). Proceso sistemático, independiente y documentado (3.1.18) para obtener
evidencia de auditoría y evaluarla objetivamente para determinar el grado en que se cumplen
los criterios de auditoría.
Nota 1 a la entrada: una auditoría puede ser una auditoría interna (primera parte) o una auditoría externa (segunda
parte o tercera parte), y puede ser una auditoría combinada (combinación de dos o más disciplinas).
Nota 2 a la entrada: la organización (numeral 3.1.14) o una parte externa en su nombre lleva a cabo una auditoría
interna.
Nota 3 a la entrada: "Evidencia de auditoría" y "criterios de auditoría" se definen en la norma ISO 19011.
3.1.2
5
PROYECTO DE
competencia (competence). Capacidad de aplicar conocimientos y habilidades para lograr los

resultados previstos.
3.1.3
conformidad (conformity). Cumplimiento de un requisito (numeral 3.1.19).
Nota 1 a la entrada: La conformidad se relaciona con los requisitos de este documento, así como con los requisitos
de SGS de la organización.
Nota 2 a la entrada: La definición original del Anexo SL se modificó mediante la adición de la Nota 1 a la entrada.
3.1.4
mejora continua (continual improvement). Actividad recurrente para mejorar el desempeño
(numeral 3.1.16).
3.1.5
acción correctiva (corrective action).
Acción para eliminar la causa o reducir la probabilidad de recurrencia de una no conformidad
(numeral 3.1.12) detectada o de otra situación indeseada.
Nota 1 a la entrada La definición original del Anexo SL se ha modificado adicionando texto al original “acción
para eliminar la causa de una no conformidad”.
3.1.6
información documentada (documented information). Información que una organización
(numeral 3.1.14) requiere controlar y mantener, y el medio en el que está contenida.
EJEMPLO Políticas (numeral 3.1.17), planes, descripciones de procesos, procedimientos (numeral 3.2.11), acuerdos
de nivel de servicio (numeral 3.2.20) o contratos.
Nota 1 a la entrada: la información documentada puede estar en cualquier formato y medio y provenir de cualquier
fuente.
Nota 2 a la entrada: la información documentada puede referirse a:
- el sistema de gestión (numeral 3.1.9), incluidos los procesos (numeral 3.1.18) relacionados;
- la información creada para que la organización opere (documentación);
- la evidencia de los resultados logrados (registros (numeral 3.2.12)).

Nota 3 a la entrada: La definición original del anexo SL se ha modificado añadiendo ejemplos.
3.1.7
eficacia (effectiveness). Grado en que se realizan las actividades planificadas y se logran los
resultados planificados.
3.1.8
parte interesada (interested party). Persona u organización (numeral 3.1.14) que puede
afectar, verse afectada o percibirse a sí misma como afectada por una decisión o actividad
relacionada con el SGS (numeral 3.2.23) o los servicios (numeral 3.2.15)
Nota 1 a la entrada: una parte interesada puede ser interna o externa a la organización.
Nota 2 a la entrada: las partes interesadas pueden incluir partes de la organización que están fuera del alcance del
SGS, los clientes (numeral 3.2.3), los usuarios (numeral 3.2.28), la comunidad, los proveedores externos (numeral
3.2.4), los organismos de reglamentación, los organismos del sector público, las organizaciones no
gubernamentales, los inversionistas o los empleados.
Nota 3 a la entrada: Cuando las partes interesadas se especifican en los requisitos (numeral 3.1.19) de este
documento, las partes interesadas pueden ser diferentes dependiendo del contexto del requisito.
6
PROYECTO DE
Nota 4 a la entrada: la definición original del anexo SL se ha modificado al eliminar en la definición el término
admitido "parte interesada" y al agregar "relacionado con el SGS o los servicios" y agregando las Notas 1, 2 y 3 a la
entrada.
3.1.9
sistema de gestión (management system). Conjunto de elementos de una organización
(numeral 3.1.14) interrelacionados o que interactúan para establecer políticas (numeral 3.1.17),
objetivos (numeral 3.1.13) y procesos (numeral 3.1.18) para lograr esos objetivos.
Nota 1 a la entrada: un sistema de gestión puede abordar una única disciplina o varias disciplinas.
Nota 2 a la entrada: los elementos del sistema de gestión incluyen la estructura, los roles y las responsabilidades de
la organización, la planificación, la operación, las políticas, los objetivos, los planes, los procesos y los
procedimientos (numeral 3.2.11).
Nota 3 a la entrada: El alcance de un sistema de gestión puede incluir la totalidad de la organización, funciones
específicas e identificadas de la organización, secciones específicas e identificadas de la organización o una o más
funciones en un grupo de organizaciones.
Nota 4 a la entrada: La definición original del Anexo SL se modificó aclarando que el sistema es un sistema de
gestión y se enumeran otros elementos en la Nota 2 a la entrada.
3.1.10
medición (measurement). proceso (numeral 3.1.18) para determinar un valor.
3.1.11
seguimiento (monitoring). Determinación del estado de un sistema, un proceso (numeral
3.1.18) o una actividad.
Nota 1 a la entrada: para determinar el estado puede ser necesario verificar, supervisar u observar con sentido
crítico.
3.1.12
no conformidad (nonconformity). Incumplimiento de un requisito (numeral 3.1.19)
Nota 1 a la entrada: No conformidad se refiere a los requisitos de este documento, así como a los requisitos de SGS
de la organización.
3.1.13
objetivo (objective). Resultado por lograr.
Nota 1 a la entrada: un objetivo puede ser estratégico, táctico u operacional.
Nota 2 a la entrada: los objetivos se pueden relacionar con diferentes disciplinas (como finanzas, salud y seguridad,
gestión de servicios (numeral 3.2.22) y metas ambientales) y se pueden aplicar a diferentes niveles (estratégico, a
nivel de toda la organización, servicio (numeral 3.2.15) proyecto, producto y proceso (numeral 3.1.18)).
Nota 3 a la entrada: un objetivo se puede expresar de otras maneras, por ejemplo, como un resultado previsto, un
propósito, un criterio operacional, como un objetivo de gestión del servicio o mediante el uso de otras palabras con
un significado similar (por ejemplo, propósito o meta).
Nota 4 a la entrada: en el contexto de un SGS (numeral 3.2.23), la organización establece los objetivos de gestión
de servicios de conformidad con la política (numeral 3.1.17) de gestión de servicios para lograr resultados
específicos.
Nota 5 a la entrada: La definición del Anexo SL original se modificó agregando la gestión de servicios y el servicio a
la Nota 2 a la entrada.
3.1.14
organización (organization). Persona o grupo de personas que tiene sus propias funciones
con responsabilidades, autoridades y relaciones para lograr sus objetivos (numeral 3.1.13).
7
PROYECTO DE
Nota 1 a la entrada: El concepto de organización incluye, entre otros, un comerciante individual, compañía, firma,
empresa, autoridad, sociedad, institución benéfica o de caridad, o parte o combinación de ellas, ya sea constituida o
no, pública o privada.
Nota 2 a la entrada: una organización o parte de una organización que gestiona y presta un servicio (numeral 3.2.15)
o servicios a clientes (numeral 3.2.3) internos o externos se puede conocer como un proveedor de servicios (numeral
3.2.24).
Nota 3 a la entrada: Si el alcance del SGS (numeral 3.2.23) comprende solo una parte de una organización, cuando
la organización utiliza en este documento hace referencia a la parte de la organización que está dentro del alcance
del SGS.
Nota 4 a la entrada: la definición original del Anexo SL se modificó mediante la adición de las Notas 2 y 3 a la
entrada.
3.1.15
contratación externa (outsource). Adoptar disposiciones para que una organización (numeral
3.1.14) externa realice parte de una función o proceso (numeral 3.1.18) de una organización.
Nota 1 a la entrada: Una organización externa está fuera del alcance del SGS (numeral 3.2.23), aunque la función o
el proceso contratado externamente esté dentro del alcance.
3.1.16
desempeño (performance). Resultado medible.
Nota 1 a la entrada: El desempeño se puede relacionar con hallazgos cuantitativos o cualitativos.
Nota 2 a la entrada: El desempeño se puede relacionar con la gestión de actividades, procesos (numeral 3.1.18),
productos, servicios (numeral 3.2.15), sistemas u organizaciones (numeral 3.1.14).
Nota 3 a la entrada: La definición original del Anexo SL original se modificó al agregar “servicios” a la Nota 2 a la
entrada.
3.1.17
política (policy). Las intenciones y dirección de una organización (numeral 3.1.14), tal como
las expresa formalmente su alta dirección (numeral 3.1.21).
3.1.18
proceso (process). Conjunto de actividades interrelacionadas o que interactúan, las cuales
usan entradas para entregar un resultado previsto.
Nota 1 a la entrada: Si el "resultado previsto" de un proceso se denomina salida, el producto o servicio (numeral
3.2.15) depende del contexto de la referencia.
Nota 2 a la entrada: las entradas a un proceso generalmente son las salidas de otros procesos, y los resultados de
un proceso generalmente son las entradas de otros procesos.
Nota 3 a la entrada: Dos o más procesos interrelacionados y que interactúan en serie también pueden denominarse
proceso.
Nota 4 a la entrada: Los procesos en una organización (numeral 3.1.14) generalmente se planifican y se llevan a
cabo en condiciones controladas para agregar valor.
Nota 5 a la entrada: La definición original del Anexo SL original se modificó de "conjunto de actividades
interrelacionadas o que interactúan, que transforma entradas en salidas". La definición original del Anexo SL también
se modificó al agregar las Notas 1 a 4 a la entrada. La definición actualizada y las Notas 1 a 4 a la entrada provienen
de la norma ISO 9000: 2015.
3.1.19
requisito (requirement). Necesidad o expectativa establecida, generalmente implícita u
obligatoria.
8
PROYECTO DE
Nota 1 a la entrada: "Generalmente implícita" significa que es una costumbre o práctica común de la organización
(numeral 3.1.14) y de las partes interesadas (numeral 3.1.8) que la necesidad o expectativa que se considera sea
implícita.
Nota 2 a la entrada: Un requisito específico es uno que se establece, por ejemplo, en información documentada
(numeral 3.1.6).
Nota 3 a la entrada: En el contexto de un SGS (numeral 3.2.23) los requisitos del servicio (numeral 3.2.26) están
documentados y acordados, no son generalmente implícitos. También puede haber otros requisitos tales como los
requisitos legales y de reglamentaciones.
Nota 4 a la entrada: La definición original del Anexo SL se modificó al añadir la Nota 3 a la entrada.
3.1.20
riesgo (risk). Efecto de la incertidumbre.
Nota 1 a la entrada: Un efecto es una desviación de lo esperado, ya sea positivo o negativo.
Nota 2 a la entrada: La incertidumbre es el estado, incluso parcial, de deficiencia de información relacionada con la
comprensión o el conocimiento de un evento, su consecuencia o su probabilidad.
Nota 3 a la entrada: El riesgo se caracteriza a menudo por la referencia a eventos (como se define en la Guía ISO
73:2009, numeral 3.5.1.3) potenciales y consecuencias (como se define en Guía ISO 73:2009, numeral 3.6.1.3), o a
una combinación de estos.
Nota 4 a la entrada: El riesgo se expresa a menudo en términos de una combinación de las consecuencias de un
evento (incluidos los cambios en las circunstancias) y la probabilidad asociada (como se define en la Guía ISO 73:
2009, numeral 3.6.1.1) de que ocurra.
3.1.21
alta dirección (top management). Persona o grupo de personas que dirigen y controlan una
organización (numeral 3.1.14) al más alto nivel.
Nota 1 a la entrada: La alta dirección tiene el poder de delegar autoridad y de proporcionar recursos dentro de la
organización.
Nota 2 a la entrada: Si el alcance del sistema de gestión (numeral 3.1.9) comprende solo una parte de una
organización, la alta dirección se refiere a quienes dirigen y controlan esa parte de la organización.
3.2 Términos específicos a la gestión de servicios
3.2.1
activo (asset). Elemento, cosa o entidad que tiene valor potencial o real para una organización
(numeral 3.1.14).
Nota 1 a la entrada: El valor puede ser tangible o intangible, financiero o no financiero, e incluye la consideración de
los riesgos (3.1.20) y la responsabilidad civil. Puede ser positivo o negativo en diferentes etapas de la vida del activo.
Nota 2 a la entrada: Los activos físicos generalmente hacen referencia a equipos, inventarios y las propiedades de la
organización. Los activos físicos son lo opuesto a los activos intangibles, que son activos no físicos tales como
arrendamientos, marcas, activos digitales, derechos de uso, licencias, derechos de propiedad intelectual, reputación
o acuerdos.
Nota 3 a la entrada: Un grupo de activos que se conoce como un sistema de activos también se puede considerar
como un activo.
Nota 4 a la entrada: Un activo también puede ser un elemento de configuración (numeral 3.2.2). Algunos elementos
de configuración no son activos.
[FUENTE: ISO / IEC 19770-5: 2015, numeral 3.2, modificado. Se incluyó contenido nuevo en la
Nota 4 a la entrada].
9
PROYECTO DE
3.2.2
elemento de configuración, EC (configuration item, CI). Elemento que es necesario
controlar para prestar uno o varios servicios (numeral 3.2.15).
3.2.3
cliente (customer). organización (numeral 3.1.14) o parte de una organización que recibe uno
o varios servicios (numeral 3.2.15).
EJEMPLO Consumidor, cliente, beneficiario, patrocinador o comprador.
Nota 1 a la entrada: Un cliente puede ser interno o externo a la organización que presta uno o varios servicios.
Nota 2 a la entrada: Un cliente también puede ser un usuario (numeral 3.2.28). Un cliente también puede actuar
como proveedor.
3.2.4
proveedor externo (external supplier). Parte que es externa a la organización con la cual
celebra un contrato para contribuir a la planificación, al diseño, a la transición (numeral 3.2.27),
a la entrega o a la mejora de un servicio (numeral 3.2.15), componente del servicio (numeral
3.2.18) o proceso (numeral 3.1.18).
Nota 1 a la entrada: Los proveedores externos incluyen a los proveedores principales designados, pero no a sus
proveedores contratados externamente.
Nota 2 a la entrada: Si la organización que está dentro del alcance del SGS es parte de una organización más
grande, la otra parte es externa a la organización más grande.
3.2.5
incidente (incident). Interrupción no planificada de un servicio (numeral 3.2.15), reducción en
la calidad de un servicio, o evento que aún no ha afectado el servicio al cliente (numeral 3.2.3)
o a los usuarios (numeral 3.2.28).
3.2.6
seguridad de información (information security). Preservación de la confidencialidad, de la
integridad y de la disponibilidad de la información.
Nota 1 a la entrada: Además, pueden estar involucradas otras propiedades tales como la autenticidad, la rendición
de cuentas, el no repudio y la confiabilidad.
[FUENTE: ISO / IEC 27000: 2018, numeral 3.28]
3.2.7
incidente de seguridad de la información (information security incident). Un evento o una
serie de eventos de seguridad de la información (numeral 3.2.6) no deseados o inesperados
que tienen una probabilidad significativa de comprometer las operaciones del negocio y de
amenazar la seguridad de la información
[FUENTE: ISO / IEC 27000: 2018, numeral 3.31]
3.2.8
proveedor interno (internal supplier). Parte de una organización (numeral 3.1.14) más
grande que está por fuera del alcance del SGS (numeral 3.2.23), que formaliza un acuerdo
documentado para contribuir a la planificación, al diseño, a la transición (numeral 3.2.27), a la
entrega o a la mejora de un servicio (numeral 3.2.15), componente de servicio (numeral 3.2.18)
o proceso (numeral 3.1.18).
EJEMPLO Compras, infraestructura, finanzas, recursos humanos, instalaciones.
10
PROYECTO DE
Nota 1 a la entrada: El proveedor interno y la organización que está dentro del alcance del SGS son ambos parte de
la misma organización más grande.
3.2.9
error conocido (known error). problema (numeral 3.2.10) que tiene una causa raíz
identificada o un método para reducir o eliminar su impacto en un servicio (numeral 3.2.15)
3.2.10
problema (problem). Causa de uno o más incidentes (numeral 3.2.5) reales o potenciales.
3.2.11
procedimiento (procedure). Forma especificada para llevar a cabo una actividad o un proceso
(numeral 3.1.18).
Nota 1 a la entrada: Los procedimientos pueden estar documentados o no.
[FUENTE: ISO 9000: 2015, numeral 3.4.5].
3.2.12
Registro (record). Documento que presenta los resultados obtenidos o proporciona evidencia
de las actividades realizadas.
EJEMPLO, Informes de auditoría (numeral 3.1.1), detalles de incidentes (numeral 3.2.5), detalles de formación o
actas de reuniones.
Nota 1 a la entrada: Los registros se pueden usar, por ejemplo, para formalizar la trazabilidad y proporcionar
evidencia de verificaciones, acciones preventivas y acciones correctivas (numeral 3.1.5).
Nota 2 a la entrada: En general, los registros no necesitan tener control de las actualizaciones.
[FUENTE: ISO 9000: 2015, numeral.8.10, modificado. Se agregó el EJEMPLO].
3.2.13
versión (release). Conjunto de uno o más servicios (numeral 3.2.15) nuevos o modificados, o
de componentes del servicio (numeral 3.2.18) implementados en el ambiente de producción
como resultado de uno o más cambios.
3.2.14
solicitud de cambio (request for change). Propuesta de cambio en un servicio (numeral
3.2.15), componente del servicio (numeral 3.2.18) o en el SGS (numeral 3.2.23).
Nota 1 a la entrada: Un cambio en un servicio incluye la prestación de un servicio nuevo, la transferencia de un
servicio o la eliminación de un servicio que ya no se requiere.
3.2.15
servicio (service). Medio para entregar valor al cliente (numeral 3.2.3) facilitando los
resultados que el cliente quiere alcanzar.
Nota 1 a la entrada: Generalmente, un servicio es intangible.
Nota 2 a la entrada: El término servicio como se usa en este documento hace referencia al servicio o servicios que
están dentro del alcance del SGS (numeral 3.2.23). Cualquier uso del término servicio con una intención diferente se
distingue claramente.
3.2.16
11
PROYECTO DE
disponibilidad del servicio (service availability). Capacidad de un servicio (numeral 3.2.15)

o componente del servicio (numeral 3.2.18) para llevar a cabo su función requerida en el
momento acordado o durante un período de tiempo acordado.
Nota 1 a la entrada: La disponibilidad del servicio se puede expresar como una proporción o porcentaje del tiempo
que el servicio o componente de servicio está disponible realmente para ser utilizado, en comparación con el tiempo
acordado.
3.2.17
catálogo de servicios (service catalogue). Información documentada sobre los servicios que
una organización brinda a sus clientes.
3.2.18
componente del servicio (service component). Parte de un servicio (numeral 3.2.15) que
cuando se combina con otros elementos prestará un servicio completo.
EJEMPLO Infraestructura, aplicaciones, documentación, licencias, información, recursos o servicios de apoyo.
Nota 1 a la entrada: Un componente del servicio puede incluir elementos de configuración (numeral 3.2.2), activos
(numeral 3.2.1) u otros elementos.
3.2.19
continuidad del servicio (service continuity). Capacidad para prestar un servicio (numeral
3.2.15) sin interrupción, o con disponibilidad compatible con lo que se haya acordado.
Nota 1 a la entrada: La gestión de la continuidad del servicio puede ser un subconjunto de la gestión de la
continuidad del negocio. La norma ISO 22301 proporciona los requisitos (numeral 3.1.19) para la gestión de la
continuidad del negocio.
3.2.20
acuerdo de nivel de servicio, ANS (service level agreement, SLA). Acuerdo documentado
entre la organización (numeral 3.1.14) y el cliente (numeral 3.2.3), en el que se identifican los
servicios (3.2.15) y su desempeño acordado.
Nota 1 a la entrada: También se puede establecer un acuerdo de nivel de servicio entre la organización y un
proveedor externo (numeral 3.2.4), un proveedor interno (numeral 3.2.8) o un cliente que actúa como proveedor.
Nota 2 a la entrada: Un acuerdo de nivel del servicio puede estar incluido en un contrato o en otro tipo de acuerdo
documentado.
3.2.21
objetivo del nivel de servicio (service level target). Característica medible específica de un
servicio (numeral 3.2.15) al que se compromete una organización (numeral 3.1.14).
3.2.22
gestión del servicio (service management). Conjunto de capacidades y procesos (numeral
3.1.18) para dirigir y controlar las actividades y recursos de la organización (numeral 3.1.14)
relacionados con la planificación, el diseño, la transición (numeral 3.2.27), la prestación y la
mejora de servicios (numeral 3.2.15) con el fin de entregar valor (numeral 3.2.29).
Nota 1 a la entrada: Este documento proporciona un conjunto de requisitos en diferentes numerales. Cada
organización puede elegir cómo combinar los requisitos en los procesos. Los numerales se pueden usar para definir
los procesos de SGS de la organización.
3.2.23
sistema de gestión del servicio, SGS (service management system, SMS). sistema de
gestión (numeral 3.1.9) para dirigir y controlar las actividades de gestión del servicio (numeral
3.2.22) de la organización (numeral 3.1.14)
12
PROYECTO DE
Nota 1 a la entrada: Un SGS incluye políticas de gestión del servicio (numeral 3.1.17), objetivos (numeral 3.1.13),
planes, procesos (numeral 3.1.18), información documentada y recursos requeridos para la planificación, el diseño,
la transición (numeral 3.2.27), la prestación y la mejora de servicios para cumplir los requisitos (numeral 3.1.19)
especificados en este documento.
3.2.24
proveedor de servicios (service provider). organización (numeral 3.1.14) que gestiona y
presta uno o varios servicios (3.2.15) a clientes (numeral 3.2.3).
3.2.25
solicitud de servicio (service request). Solicitud de información, asesoría, acceso a un
servicio (numeral 3.2.15) o un cambio aprobado previamente.
3.2.26
requisito del servicio (service requirement). Las necesidades de los clientes (numeral 3.2.3),
los usuarios (numeral 3.2.28) y la organización (numeral 3.1.14) relacionadas con los servicios
(numeral 3.2.15) y el SGS (numeral 3.2.23), que son declaradas u obligatorias.
Nota 1 a la entrada: En el contexto de un SGS (numeral 3.2.23), los requisitos del servicio se documentan y
acuerdan, en lugar de estar generalmente implícitos. También puede haber otros requisitos, tales como los legales y
los de reglamentaciones.
3.2.27
transición (transition). Actividades involucradas en el paso de un servicio (numeral 3.1.25)
nuevo o modificado hacia el ambiente de producción o desde él.
3.2.28
usuario (user). Individuo o grupo que interactúa o se beneficia de uno o varios servicios
numeral 3.2.15).
Nota 1 a la entrada: Algunos ejemplos de usuarios pueden ser una persona o una comunidad de personas. Un
cliente (numeral 3.2.3) también puede ser un usuario.
3.2.29
valor (value). Importancia, beneficio o utilidad.
EJEMPLO Valor monetario, logro de los resultados del servicio, logro de los objetivos (numeral 3.1.13) de la gestión
del servicio (numeral 3.2.22), retención de clientes o eliminación de restricciones.
Nota 1 a la entrada: La creación de valor de los servicios (numeral 3.2.15) incluye la obtención de beneficios a un
nivel óptimo de recursos mientras se gestiona el riesgo (numeral 3.1.20). Un activo (numeral 3.2.1) y un servicio
(numeral 3.2.15) son ejemplos de ítems a los que se puede asignar un valor.
4. CONTEXTO DE LA ORGANIZACIÓN
4.1 CONOCIMIENTO DE LA ORGANIZACIÓN Y DE SU CONTEXTO
La organización debe determinar las cuestiones internas y externas que son pertinentes para
su propósito y que afectan su capacidad para lograr los resultados previstos de su SGS.
NOTA La palabra "cuestión" en este contexto puede hacer referencia a los factores que tienen un impacto positivo o
negativo. Estos son factores importantes para la organización en el contexto de su capacidad para prestar servicios
de la calidad acordada a sus clientes.
13
PROYECTO DE
4.2 COMPRENSIÓN DE LAS NECESIDADES Y EXPECTATIVAS DE LAS PARTES

INTERESADAS
La organización debe determinar:
a) las partes interesadas que son pertinentes para el SGS y para los servicios;
b) los requisitos pertinentes de estas partes interesadas.
NOTA Los requisitos de las partes interesadas pueden incluir requisitos de servicio, de desempeño, legales y de
reglamentaciones, y las obligaciones contractuales relacionadas con el SGS y los servicios.
4.3 DETERMINACIÓN DEL ALCANCE DEL SISTEMA DE GESTIÓN DEL SERVICIO
La organización debe determinar los límites y la aplicabilidad del SGS para establecer su
alcance.
Al determinar este alcance, la organización debe considerar:
a) las cuestiones externas e internas a las que se hace referencia en el numeral 4.1;
b) los requisitos a los que se hace referencia en el numeral.2;
c) los servicios prestados por la organización.
La definición del alcance del SGS debe incluir los servicios en el alcance, y el nombre de la
organización que gestiona y presta los servicios.
El alcance del SGS debe estar disponible y se debe mantener como información documentada.
NOTA 1 La norma ISO/IEC 20000-3 proporciona orientación sobre la definición del alcance.
NOTA 2 La definición del alcance del SGS establece los servicios que están dentro del alcance. Puede corresponder
a todos los servicios prestados por la organización, o a algunos de ellos.
4.4 SISTEMA DE GESTIÓN DEL SERVICIO
La organización debe establecer, implementar, mantener y mejorar continuamente un SGS,

incluidos los procesos necesarios y sus interacciones, de acuerdo con los requisitos de este
documento.
5 LIDERAZGO
5.1 LIDERAZGO Y COMPROMISO
La alta dirección debe demostrar liderazgo y compromiso con respecto al SGS:
a) asegurando que se establezca la política de gestión del servicio y los objetivos de

gestión del servicio y que sean compatibles con la dirección estratégica de la
organización;
14
PROYECTO DE
b) asegurando que el plan de gestión del servicio se crea, se implementa y se mantiene

para apoyar la política de gestión del servicio, el logro de los objetivos de la gestión del
servicio y el cumplimiento de los requisitos del servicio;
c) asegurando que se asignen los niveles apropiados de autoridad para tomar decisiones
relacionadas con el SGS y los servicios;
d) asegurando que se determine qué constituye valor para la organización y para sus
clientes;
e) asegurando que haya control de otras partes involucradas en el ciclo de vida del
servicio;
f) asegurando la integración de los requisitos del SGS en los procesos de negocio de la

organización;
g) asegurando que los recursos necesarios para el SGS y para los servicios estén
disponibles;
h) comunicando la importancia de la gestión eficaz del servicio, logrando los objetivos de la

gestión del servicio, entregando valor y cumpliendo los requisitos del SGS;
i) asegurando que el SGS logre sus resultados previstos;
j) dirigiendo y apoyando a las personas para que contribuyan a la eficacia del SGS y de
los servicios;
k) promoviendo la mejora continua de los SGS y de los servicios;
l) apoyando otras funciones de gestión pertinentes para demostrar su liderazgo en lo que

respecta a sus áreas de responsabilidad.
NOTA La referencia a "negocios" en este documento puede interpretarse en términos generales como aquellas
actividades que son esenciales para los propósitos de la existencia de la organización.
5.2 POLÍTICA
5.2.1 Establecimiento de la política de gestión del servicio
La alta dirección debe establecer una política de gestión del servicio que:
a) sea apropiada para el propósito de la organización;
b) proporcione un marco para el establecimiento de los objetivos de la gestión del servicio;
c) incluya el compromiso de satisfacer los requisitos aplicables;
d) incluya el compromiso de mejora continua del SGS y de los servicios.
5.2.2 Comunicación de la política de gestión del servicio
La política de gestión del servicio debe:
15
PROYECTO DE
a) estar disponible como información documentada;
b) comunicarse dentro de la organización;
c) estar disponible para las partes interesadas, según corresponda.
5.3 ROLES, RESPONSABILIDADES Y AUTORIDADES EN LA ORGANIZACIÓN
La alta dirección se debe asegurar de que las responsabilidades y las autoridades para los
roles pertinentes al SGS y a los servicios se asignen y comuniquen dentro de la organización.
La alta dirección debe asignar la responsabilidad y la autoridad para:

7
a) asegurar que el SGS cumpla los requisitos de este documento;
b) informar a la alta dirección sobre el desempeño del SGS y de los servicios.
6 PLANIFICACIÓN
6.1 ACCIONES PARA HACER FRENTE A RIESGOS Y OPORTUNIDADES
6.1.1 Al planificar el SGS, la organización debe considerar las cuestiones mencionadas en el

numeral 4.1 y los requisitos a los que se hace referencia en el numeral 4.2 y determinar los
riesgos y oportunidades que es necesario tratar, con el fin de:
a) asegurar que el SGS pueda lograr sus resultados previstos;
b) prevenir o reducir efectos no deseados;
c) lograr la mejora continua del SGS y de los servicios.
6.1.2 La organización debe determinar y documentar:
a) los riesgos relacionados con:
1) la organización;
2) el incumplimiento de los requisitos del servicio;
3) la participación de otras partes en el ciclo de vida del servicio;
b) el impacto de los riesgos y las oportunidades para los SGS y los servicios a los clientes;
c) los criterios de aceptación de riesgos;
d) el enfoque que se asume para la gestión de riesgos.
6.1.3 La organización debe planificar:
a) las acciones para abordar estos riesgos y oportunidades y sus prioridades;
16
PROYECTO DE
b) la manera para:
1) integrar e implementar las acciones en los procesos de su SGS;
2) evaluar la efectividad de estas acciones.
NOTA 1 Las opciones para abordar los riesgos y las oportunidades pueden incluir: evitar el riesgo, tomar o
incrementar el riesgo para buscar oportunidades, eliminar la fuente de riesgo, cambiar la probabilidad o la
consecuencia del riesgo, mitigar el riesgo mediante acciones acordadas, compartir el riesgo con otra parte o aceptar
el riesgo con base en decisiones bien fundamentadas.
NOTA 2 La norma ISO 31000 proporciona principios y orientación genérica sobre la gestión del riesgo.
6.2 OBJETIVOS DE LA GESTIÓN DEL SERVICIO Y PLANIFICACIÓN PARA LOGRARLOS
6.2.1 ESTABLECIMIENTO DE OBJETIVOS
La organización debe establecer objetivos de la gestión del servicio en las funciones y en los
niveles pertinentes. Los objetivos de la gestión del servicio deben:
a) ser coherentes con la política de gestión del servicio;
b) ser medibles;
c) tener en cuenta los requisitos aplicables;
d) ser objeto de seguimiento;
e) comunicarse;
f) actualizarse, según corresponda.
La organización debe conservar información documentada sobre los objetivos de la gestión del
servicio.
6.2.2 PLAN PARA LOGRAR LOS OBJETIVOS
Al planificar cómo lograr sus objetivos de gestión del servicio, la organización debe determinar:
a) lo qué se hará;
b) los recursos que se requerirán;
c) las personas responsables de su logro;
e) el tiempo necesario para lograrlos;
f) la forma en que se evaluarán los resultados.
6.3 PLANIFICAR EL SISTEMA DE GESTIÓN DEL SERVICIO
17
PROYECTO DE
La organización debe crear, implementar y mantener un plan de gestión del servicio. La

planificación debe tener en cuenta la política de gestión del servicio, los objetivos de la gestión
del servicio, los riesgos y las oportunidades identificados en los numerales 6.1 y 6.2, los
requisitos del servicio y los requisitos especificados en este documento.
El plan de gestión del servicio debe incluir los siguientes ítems o contener una referencia a
ellos:
a) una lista de servicios;
b) las limitaciones conocidas que pueden afectar el SGS y los servicios;
c) las obligaciones tales como las políticas, las normas, los requisitos legales, de
reglamentaciones y contractuales pertinentes, y cómo estas obligaciones se aplican al
SGS y a los servicios;
d) las autoridades y las responsabilidades en relación con el SGS y los servicios;
e) los recursos humanos, técnicos, de información y financieros necesarios para operar el

SGS y los servicios;
f) el enfoque que se asume para trabajar con otras partes involucradas en el ciclo de vida del
servicio;
g) la tecnología utilizada para apoyar el SGS;
h) cómo se medirá, auditará, informará y mejorará la eficacia del SGS y de los servicios.
Otras actividades de planificación deben mantener la alineación con el plan de gestión del
servicio.
7 SOPORTE DEL SISTEMA DE GESTIÓN DEL SERVICIO
7.1 RECURSOS
La organización debe determinar y proporcionar los recursos humanos, técnicos, de

información y financieros necesarios para el establecimiento, la implementación, el
mantenimiento y la mejora continua del SGS y la operación de los servicios para cumplir los
requisitos del servicio y alcanzar los objetivos de gestión del servicio.
7.2 COMPETENCIA
La organización debe:
a) determinar la competencia necesaria de las personas que realizan trabajos bajo su control
que afectan el rendimiento y la eficacia del SGS y de los servicios;
b) asegurarse de que estas personas sean competentes, tomando como base una educación,
formación o experiencia apropiadas;
c) cuando sea aplicable, emprender acciones para adquirir la competencia necesaria, y evaluar
la eficacia de las acciones realizadas;
18
PROYECTO DE
d) conservar la información documentada apropiada, como evidencia de la competencia.
NOTA Las acciones aplicables pueden incluir, por ejemplo: la formación, la tutoría o la reasignación de las personas
empleadas actualmente, o la contratación de personas competentes.
7.3 TOMA DE CONCIENCIA
Las personas que realizan el trabajo bajo el control de la organización deben tomar conciencia
de:
a) la política de gestión del servicio;
b) los objetivos de gestión del servicio;
c) los servicios pertinentes a su trabajo;
d) su contribución a la eficacia del SGS, incluidos los beneficios de un mejor desempeño;
e) las implicaciones de no cumplir los requisitos del SGS.
7.4 COMUNICACIÓN
La organización debe determinar las comunicaciones internas y externas pertinentes al SGS y

a los servicios, que incluyan:
a) qué comunicar;
b) cuándo comunicar;
c) a quién comunicar;
d) cómo comunicar;
e) quién será responsable de la comunicación.
7.5 INFORMACIÓN DOCUMENTADA
7.5.1 Generalidades
El SGS de la organización debe incluir:
a) la información documentada requerida por este documento;
b) la información documentada que la organización ha determinado que es necesaria para la

eficacia del SGS.
NOTA El alcance de la información documentada para un SGS puede ser diferente de una organización a otra
debido a:
- el tamaño de la organización y a su tipo de actividades, procesos, productos y servicios;
- la complejidad de los procesos, servicios y sus interfaces;
19
PROYECTO DE
- la competencia de las personas.
7.5.2 Creación y actualización de la información documentada
Cuando se crea y actualiza información documentada, la organización debe asegurarse de que

lo siguiente sea apropiado:
a) la identificación y descripción (por ejemplo, título, fecha, autor o número de referencia);
b) formato (por ejemplo, idioma, versión del software, gráficos) y sus medios de soporte (por
ejemplo, papel, electrónico);
c) la revisión y con respecto a la idoneidad y a la adecuación.
7.5.3 Control de la información documentada
7.5.3.1 La información documentada requerida por el SGS y por este documento se debe
controlar para asegurarse de que:
a) esté disponible y sea adecuada para su uso, donde y cuando se necesite;
b) esté protegida adecuadamente (por ejemplo, contra pérdida de confidencialidad, uso

inadecuado o pérdida de integridad).
7.5.3.2 Para el control de la información documentada, la organización debe tratar las

siguientes actividades, según sea aplicable:
a) distribución, acceso, recuperación y uso;
b) almacenamiento y preservación, incluida la preservación de la legibilidad;
c) control de cambios (por ejemplo, control de versión);
d) conservación y disposición.
La información documentada de origen externo, que la organización ha determinado que es

necesaria para la planificación y operación del SGS se debe identificar y controlar, según sea
adecuado.
NOTA El acceso puede implicar una decisión concerniente al permiso solamente para consultar la información
documentada, o el permiso y la autoridad para consultar y modificar la información documentada.
7.5.4 Información documentada del sistema de gestión del servicio
La información documentada para el SGS debe incluir:
a) el alcance del SGS;
b) la política y los objetivos para la gestión del servicio;
c) el plan de gestión del servicio;
d) la política de gestión del cambio, la política de seguridad de la información y los planes de

continuidad del servicio;
e) los procesos del SGS de la organización;

20
PROYECTO DE
f) los requisitos del servicio;
g) el(los) catálogo(s) de servicios;
h) el(los) acuerdo(s) de nivel de servicio;
i) los contratos con proveedores externos;
j) los acuerdos con proveedores internos o clientes que actúan como proveedores;
k) los procedimientos que se exigen en este documento;
l) los registros exigidos para demostrar evidencia de conformidad con los requisitos de este
documento o con el SGS de la organización.
NOTA Esta es una lista de los documentos clave para un SGS. En este documento existen otros requisitos
especificados para que la información se mantenga como información documentada, por documentar o por registrar.
La norma ISO/IEC 20000-2 proporciona orientación guía adicional.
7.6 CONOCIMIENTO
La organización debe determinar y mantener el conocimiento necesario para apoyar la

operación de los SGS y los servicios.
El conocimiento debe ser pertinente, utilizable y estar disponible para las personas apropiadas.
NOTA El conocimiento es específico de la organización, su SGS, servicios y partes interesadas. El conocimiento se

utiliza y comparte para apoyar el logro de los resultados previstos y la operación del SGS y de los servicios.
8 OPERACIÓN DEL SISTEMA DE GESTIÓN DEL SERVICIO
8.1 PLANIFICACIÓN Y CONTROL OPERACIONAL
La organización debe planificar, implementar y controlar los procesos necesarios para cumplir
los requisitos y para implementar las acciones determinadas en el numeral 6 mediante lo
siguiente:
a) estableciendo criterios de desempeño para los procesos con base en los requisitos;
b) implementando el control de los procesos de acuerdo con los criterios de desempeño

establecidos;
c) manteniendo información documentada en la medida necesaria para tener confianza en

que los procesos se han llevado a cabo según lo planificado.
La organización debe controlar los cambios planificados en el SGS y revisar las consecuencias
de los cambios no previstos, tomando acciones para mitigar los efectos adversos, cuando sea
necesario (véase el numeral 8.5.1).
La organización debe asegurar que los procesos subcontratados estén controlados (véase el
numeral 8.2.3).
21
PROYECTO DE
8.2 PORTAFOLIO DE SERVICIOS
8.2.1 Prestación del servicio
La organización debe operar el SMS asegurando la coordinación de las actividades y los

recursos. La organización debe realizar las actividades requeridas para prestar los servicios.
NOTA Un portafolio de servicios se utiliza para gestionar el ciclo de vida de todos los servicios, incluidos los servicios
propuestos, los que están en desarrollo, los que se están prestando y están definidos en los catálogos de servicios y
los que se van a eliminar. La gestión del portafolio de servicios garantiza que el proveedor del servicio tenga la
combinación adecuada de servicios. Las actividades del portafolio de servicios en este documento incluyen la
planificación de los servicios, el control de las partes involucradas en el ciclo de vida del servicio, la gestión del
catálogo de servicios, la gestión de activos y la gestión de la configuración.
8.2.2 Planificación de los servicios
Se deben determinar y documentar los requisitos del servicio para los servicios existentes, los
servicios nuevos y los cambios hechos a los servicios.
La organización debe determinar la criticidad de los servicios en función de las necesidades de

la organización, de los clientes, de los usuarios y de otras partes interesadas. La organización
debe determinar y gestionar las dependencias y la duplicación entre servicios.
La organización debe proponer cambios cuando sea necesario para alinear los servicios con la
política de gestión del servicio, los objetivos de la gestión del servicio y los requisitos del
servicio teniendo en cuenta las limitaciones y los riesgos conocidos.
La organización debe priorizar las solicitudes de cambio y las propuestas de servicios nuevos o
modificados, para alinearse con las necesidades del negocio y con los objetivos de la gestión
del servicio teniendo en cuenta los recursos disponibles.
8.2.3 Control de las partes involucradas en el ciclo de vida del servicio
8.2.3.1 La organización es la que debe rendir cuentas por los requisitos especificados en este
documento y por la prestación de los servicios, independientemente de qué parte esté
involucrada en la realización de actividades que apoyen el ciclo de vida del servicio.
La organización debe determinar y aplicar criterios para la evaluación y la selección de otras

partes involucradas en el ciclo de vida del servicio. Otras partes pueden ser un proveedor
externo, un proveedor interno o un cliente que actúa como proveedor.
Las otras partes no deben prestar ni operar todos los servicios, componentes o procesos de
servicio dentro del alcance del SGS.
La organización debe determinar y documentar:
a) los servicios prestados u operados por otras partes;
b) los componentes del servicio que prestan u operan otras partes;
c) los procesos o partes de ellos en el SGS de la organización, que son operados por otras
partes.
22
PROYECTO DE
La organización debe integrar en el SGS los servicios, los componentes del servicio y los
procesos que presta u opera la organización u otras partes para cumplir con los requisitos del
servicio. La organización debe coordinar las actividades con otras partes involucradas en el
ciclo de vida del servicio, incluida la planificación, el diseño, la transición, la prestación y la
mejora de los servicios.
8.2.3.2 La organización debe definir y aplicar controles pertinentes a otras partes, a partir de lo
siguiente:
a) la medición y la evaluación del desempeño del proceso;
b) la medición y la evaluación de la eficacia de los servicios y de los componentes del servicio

para cumplir los requisitos del servicio.
NOTA La norma ISO / IEC 20000-3 brinda orientación sobre el control de otras partes involucradas en el ciclo
de vida del servicio.
8.2.4 Gestión del catálogo de servicios
La organización debe crear y mantener uno o más catálogos de sus servicios. Estos catálogos
de servicios deben incluir información para la organización, los clientes, los usuarios y otras
partes interesadas, en los que se describan los servicios, los resultados esperados y las
dependencias entre los servicios.
La organización debe proporcionar acceso a las partes apropiadas de los catálogos de

servicios a sus clientes, usuarios y otras partes interesadas.
8.2.5 Gestión de activos
La organización se debe asegurar de que los activos utilizados para prestar los servicios se
gestionen para el cumplimiento con los requisitos del servicio y las obligaciones del numeral 6.3
c).
NOTA 1 Las normas ISO 55001 e ISO/IEC 19770-1 especifican requisitos para apoyar la implementación y la
operación de activos y la gestión de activos de TI.
NOTA 2 Además, consulte la gestión de la configuración cuando el activo sea también un elemento de configuración
(EC).
8.2.6 Gestión de la configuración
Se deben definir los tipos de elementos de configuración. Los servicios se deben clasificar
como EC.
La información de la configuración se debe registrar a un nivel de detalle apropiado a la

criticidad y al tipo de servicios. El acceso a la información de la configuración debe ser
controlado. La información de la configuración registrada para cada EC debe incluir:
a) una identificación única;
b) el tipo de EC;
c) la descripción del EC;
d) su relación con otros EC;
23
PROYECTO DE
e) su estado.
Los EC se deben controlar. Los cambios en los EC deben ser trazables y auditables para
mantener la integridad de la información de la configuración.
La organización debe verificar, a intervalos planificados, la exactitud de la información de la

configuración. Cuando se encuentren deficiencias, la organización debe tomar las medidas
necesarias.
La información de la configuración debe estar disponible para otras actividades de gestión del
servicio, según sea apropiado.
8.3 RELACIONES Y ACUERDOS
8.3.1 Generalidades
La organización puede usar proveedores para:
a) prestar u operar servicios;
b) proporcionar u operar componentes del servicio;
c) operar procesos o partes de procesos que están en el SGS de la organización.
La Figura 2 ilustra el uso, los acuerdos y las relaciones entre la gestión de las
relaciones de negocio, la gestión de nivel de servicio y la gestión de proveedores.
Gestión de proveedores Gestión de relaciones

del negocio
Gestión del
Proveedor
nivel de
contratado Proveedor Contrato servicio
externa-
mente
externo
Cliente
externo
Proveedor Contrato
externo
Organización
Proveedor
Acuerdo Cliente
interno
documentado interno
Cliente que
actúa como
proveedor
Acuerdo
documentado
24
PROYECTO DE
Figura 2. Relaciones y acuerdos entre las partes involucradas en el ciclo de vida

del servicio
NOTA 1 La norma ISO/IEC 20000-3 incluye ejemplos de relaciones de la cadena de suministro con su
posible aplicabilidad y alcance.
NOTA 2 En este documento, la gestión de proveedores excluye las compras de los proveedores.
8.3.2 Gestión de relaciones de negocio
Se deben identificar y documentar los clientes y los usuarios de los servicios y otras
partes interesadas en ellos. La organización debe asignar una o más personas
responsables de gestionar las relaciones con los clientes y mantener la satisfacción de
estos.
La organización debe establecer disposiciones para comunicarse con sus clientes y

con otras partes interesadas. La comunicación debe promover la comprensión del
entorno de negocio en evolución en el que operan los servicios y debe permitir a la
organización responder a los requisitos del servicio nuevos o modificados.
La organización debe, a intervalos planificados, revisar las tendencias de desempeño y

los resultados de los servicios.
La organización debe, a intervalos planificados, medir la satisfacción con los servicios

tomando como base una muestra representativa de clientes. Los resultados se deben
analizar, revisar para identificar oportunidades de mejora e informar.
Las quejas sobre el servicio se deben registrar, gestionar hasta que se solucionen, e
informar. Cuando una queja sobre el servicio no se resuelva a través de los canales
normales, se debe proporcionar un método de escalamiento.
8.3.3 Gestión del nivel de servicio
La organización y el cliente deben acordar los servicios que se prestarán.
Para cada servicio prestado, la organización debe crear uno o más ANS con base en
los requisitos de servicio documentados. Los ANS deben incluir los objetivos del nivel
de servicio, los límites de carga de trabajo y las excepciones.
La organización debe, a intervalos planificados, hacer seguimiento, revisar e informar

sobre:
a) el desempeño, con base en los objetivos del nivel de servicio;
b) los cambios reales y periódicos en la carga de trabajo en comparación con los

límites de carga de trabajo en los ANS.
Cuando no se cumplen los objetivos del nivel de servicio, la organización debe

identificar oportunidades de mejora.
25
PROYECTO DE
NOTA El acuerdo sobre los servicios que se prestarán, establecido entre la organización y sus clientes, puede ser de
muchas formas, por ejemplo, puede ser: un acuerdo documentado, actas de un acuerdo verbal realizado en una
reunión, un acuerdo informado por correo electrónico o un acuerdo con los términos del servicio.
8.3.4 Gestión de proveedores
8.3.4.1 Gestión de proveedores externos
La organización debe tener asignadas una o más personas responsables de gestionar

la relación, los contratos y el desempeño de los proveedores externos.
La organización y el proveedor externo deben acordar un contrato documentado. Este

contrato debe incluir o contener una referencia a:
a) el alcance de los servicios, los componentes del servicio, los procesos o partes de
los procesos que va a entregar u operar el proveedor externo;
b) los requisitos que ha de cumplir el proveedor externo;
c) los objetivos del nivel de servicio u otras obligaciones contractuales;
d) las autoridades y responsabilidades de la organización y del proveedor externo.
La organización debe evaluar la alineación de los objetivos del nivel de servicio o de

otras obligaciones contractuales del proveedor externo, con base en los ANS con los
clientes, y debe gestionar los riesgos identificados.
La organización debe definir y gestionar las interfaces con el proveedor externo.
La organización debe, a intervalos planificados, hacer seguimiento del desempeño de

los proveedores externos. Cuando no se cumplen los objetivos del nivel de servicio u
otras obligaciones contractuales, la organización debe asegurar que se identifiquen
oportunidades de mejora.
La organización debe, a intervalos planificados, revisar el contrato contra los requisitos

de servicio actuales. Cuando se identifiquen cambios para incluir en el contrato, antes
de aprobarlos se deben evaluar en cuanto a su impacto en el SGS y en los servicios.
Las disputas entre la organización y el proveedor externo se deben registrar y gestionar

hasta que se solucionen.
8.3.4.2 Gestión de proveedores internos y clientes que actúan como proveedores
Para cada proveedor interno o cliente que actúe como proveedor, la organización debe
desarrollar, acordar y mantener un acuerdo documentado para definir los objetivos del nivel de
servicio, otros compromisos, actividades e interfaces entre las partes.
La organización debe, a intervalos planificados, hacer seguimiento del desempeño del

proveedor interno o del cliente que actúa como proveedor. Cuando no se cumplan los objetivos
del nivel de servicio u otros compromisos acordados, la organización debe asegurar que se
identifiquen oportunidades de mejora.
26
PROYECTO DE
8.4 OFERTA Y DEMANDA
8.4.1 Presupuesto y contabilidad de los servicios
La organización debe contar con un presupuesto y se debe llevar la contabilidad de los

servicios o grupos de servicios de acuerdo con sus políticas y procesos de gestión financiera.
Los costos se deben presupuestar para posibilitar un control financiero y toma de decisiones
eficaces en relación con los servicios.
La organización debe, a intervalos planificados, hacer seguimiento e informar los costos reales
en comparación con el presupuesto, revisar las previsiones financieras y gestionar los costos.
NOTA Muchas organizaciones, no todas, cobran por sus servicios. El presupuesto y la contabilidad de los
servicios, mencionados en este documento, excluyen el cobro para garantizar la aplicabilidad a todas las
organizaciones.
8.4.2 Gestión de la demanda
A intervalos planificados, la organización debe:
a) determinar la demanda actual y pronosticar la demanda futura de servicios;
b) hacer seguimiento e informar sobre la demanda y el consumo de servicios.
NOTA La gestión de la demanda es responsable de comprender la demanda actual y futura de los clientes en
relación con los servicios. La gestión de la capacidad trabaja con la gestión de la demanda para planificar y
proporcionar la capacidad suficiente para satisfacer la demanda.
8.4.3 Gestión de la capacidad
Los requisitos de capacidad en relación con los recursos humanos, técnicos, de información y
financieros se deben determinar, documentar y mantener teniendo en cuenta los requisitos del
servicio y de desempeño.
La organización debe planificar su capacidad para incluir:
a) la capacidad actual y prevista en función de la demanda de servicios;
b) el impacto esperado sobre la capacidad de los objetivos del nivel de servicio acordados,
sobre los requisitos de disponibilidad del servicio y sobre la continuidad del servicio;
c) cronogramas de tiempo y umbrales para cambios en la capacidad del servicio.
La organización debe proporcionar la capacidad suficiente para cumplir los requisitos de

capacidad y de desempeño acordados, y debe hacer seguimiento del uso de la capacidad,
analizar la capacidad y los datos de desempeño e identificar oportunidades para mejorar el
desempeño.
8.5 DISEÑO, CONSTRUCCIÓN Y TRANSICIÓN DEL SERVICIO
8.5.1 Gestión del cambio
8.5.1.1 Política de gestión de cambios
Se debe establecer y documentar una política de gestión del cambio que defina:
27
PROYECTO DE
a) los componentes del servicio y otros elementos que están bajo el control de la gestión del
cambio;
b) las categorías de cambio, que incluya los cambios de emergencia, y cómo se han de
gestionar;
c) los criterios para determinar los cambios con el potencial de tener un impacto importante en
los clientes o servicios.
8.5.1.2 Inicio de la gestión del cambio
Las solicitudes de cambio, incluidas las propuestas para agregar, eliminar o transferir servicios,
se deben registrar y clasificar.
La organización debe usar el diseño del servicio y la transición mencionados en el numeral

8.5.2 para:
a) nuevos servicios con potencial de tener un impacto importante en los clientes, u otros
servicios según lo determinado por la política de gestión del cambio;
b) cambios en los servicios con potencial de tener un impacto importante en los clientes, u otros
servicios según lo determinado por la política de gestión del cambio;
c) categorías de cambio que van a ser gestionadas mediante el diseño y la transición del
servicio de acuerdo con la política de gestión del cambio;
d) eliminación de un servicio;
e) transferencia de un servicio existente de la organización a un cliente u otra parte;
f) transferencia de un servicio existente de un cliente u otra parte a la organización.
La evaluación, aprobación, programación y revisión de los servicios nuevos o modificados en el

alcance del numeral 8.5.2 se deben gestionar mediante las actividades de gestión del cambio
mencionadas en el numeral 8.5.1.3.
Las solicitudes de cambio que no se gestionen aplicando el numeral 8.5.2 se deben gestionar
mediante las actividades de gestión del cambio mencionadas en el numeral 8.5.1.3.
8.5.1.3 Actividades de gestión del cambio
La organización y las partes interesadas deben tomar decisiones sobre la aprobación y la

prioridad de las solicitudes de cambio. Al tomar decisiones se deben tener en cuenta los
riesgos, los beneficios para el negocio, la viabilidad y el impacto financiero. Además, al tomar
decisiones también se deben considerar los impactos potenciales del cambio en:
a) los servicios existentes;
b) los clientes, usuarios y otras partes interesadas;
c) las políticas y planes exigidos en este documento;
d) la capacidad, la disponibilidad del servicio, la continuidad del servicio y la seguridad de la

información;
28
PROYECTO DE
e) otras solicitudes de cambios, versiones y planes de implementación.
Los cambios aprobados se deben preparar, verificar y, cuando sea posible, ponerse a prueba.
Las fechas propuestas para la implementación y otros detalles de ella en relación con los
cambios aprobados se deben comunicar a las partes interesadas.
Las actividades para revertir o corregir un cambio no exitoso se deben planificar y, cuando sea
posible, se deben poner a prueba. Los cambios no exitosos se deben investigar y se deben
emprender las acciones acordadas.
La información de la configuración se debe actualizar después de la implementación de

cambios en los EC.
La organización debe revisar los cambios para determinar su eficacia y tomar las medidas
acordadas con las partes interesadas.
A intervalos planificados, los registros de solicitudes de cambios se deben analizar para

detectar tendencias. Los resultados y conclusiones extraídos del análisis se deben registrar y
revisar para identificar oportunidades de mejora.
8.5.2 Diseño y transición del servicio
8.5.2.1 Planificación de servicios nuevos o modificados
En la planificación se deben usar los requisitos del servicio para los servicios nuevos o
modificados determinados en el numeral 8.2.2 y se deben incluir los siguientes elementos o
una referencia a ellos:
a) las autoridades y responsabilidades para las actividades de diseño, construcción y

transición;
b) las actividades que realizará la organización u otras partes, con sus cronogramas;
c) los recursos humanos, técnicos, de información y financieros;
d) las dependencias de otros servicios;
e) las pruebas necesarias para los servicios nuevos o modificados;
f) los criterios de aceptación del servicio;
g) los resultados previstos de la prestación de los servicios nuevos o modificados, expresados

en términos medibles;
h) el impacto en el SGS, en otros servicios, en los cambios planificados, en los clientes, en los
usuarios y en otras partes interesadas.
Para los servicios que se vayan a retirar, la planificación debe incluir además las fechas para el
retiro de los servicios y para las actividades de archivo, eliminación o transferencia de datos,
información documentada y componentes del servicio.
29
PROYECTO DE
Para los servicios que se vayan a transferir, la planificación debe incluir además las fechas para
la transferencia de los servicios y las actividades para la transferencia de datos, información
documentada, conocimiento y componentes del servicio.
Los EC afectados por los servicios nuevos o modificados se deben abordar por medio de la
gestión de la configuración.
8.5.2.2 Diseño
Los servicios nuevos o modificados se deben diseñar y documentar para cumplir con los
requisitos del servicio determinados en el numeral 8.2.2. El diseño debe incluir los elementos
pertinentes de los siguientes:
a) las autoridades y las responsabilidades de las partes involucradas en la prestación de los

servicios nuevos o modificados;
b) los requisitos relativos a los cambios en los recursos humanos, técnicos, de información y
financieros;
c) los requisitos relativos a una educación, formación y experiencia apropiadas;
d) ANS, contratos y otros acuerdos documentados, nuevos y modificados, que respaldan los
servicios;
e) cambios en el SGS, incluidas las políticas, los planes, los procesos, los procedimientos, las
medidas y los conocimientos, nuevos o modificados;
f) el impacto en otros servicios;
g) las actualizaciones de los catálogos de servicios.
8.5.2.3 Construcción y transición
Los servicios nuevos o modificados se deben construir y poner a prueba para verificar que
cumplen con los requisitos del servicio, con el diseño documentado y con los criterios de
aceptación del servicio acordados. Si no se cumplen los criterios de aceptación del servicio, la
organización y las partes interesadas deben tomar una decisión sobre las acciones necesarias
y su implementación.
La gestión de versiones e implementación se debe usar para implementar servicios nuevos o

modificados aprobados en el entorno de producción.
Una vez finalizadas las actividades de transición, la organización debe informar a las partes
interesadas sobre los logros en relación con los resultados previstos.
8.5.3 Gestión de versiones e implementación
La organización debe definir los tipos de versión, incluida la versión de emergencia, su

frecuencia y la forma en que se va a gestionar.
La organización debe planificar la implementación de servicios nuevos o modificados y de

componentes del servicio en el entorno de producción. La planificación se debe coordinar con
la gestión del cambio y debe incluir referencias a las solicitudes de cambio relacionadas, los
errores o problemas conocidos que se cierran por medio de la versión. La planificación debe
30
PROYECTO DE
incluir las fechas de implementación de cada versión, los entregables y los métodos de
implementación.
La versión se debe verificar contra criterios de aceptación documentados y se debe aprobar

antes de la implementación. Si no se cumplen los criterios de aceptación, la organización y las
partes interesadas deben tomar una decisión sobre las acciones necesarias y sobre la
implementación.
Antes de implementar una versión en el entorno de producción, se debe tomar una línea base
de los elementos de configuración afectados.
La versión se debe implementar en el entorno de producción de manera que se mantenga la

integridad del servicio o de los componentes del servicio.
Se debe hacer seguimiento y controlar el éxito o el fracaso de las versiones. Las mediciones
deben incluir los incidentes relacionados con una versión en el período posterior a la
implementación de una versión. Los resultados y conclusiones extraídos del análisis se deben
registrar y revisar para identificar oportunidades de mejora.
La información sobre el éxito o el fracaso de las versiones y las fechas de las futuras versiones
se debe poner a disposición para otras actividades de gestión del servicio, según corresponda.
8.6 RESOLUCIÓN Y CUMPLIMIENTO
8.6.1 Gestión de incidentes
Los incidentes se deben:
a) registrar y clasificar;
b) priorizar, teniendo en cuenta el impacto y la urgencia;
c) escalar, si es necesario;
d) solucionar;
e) cerrar.
Los registros de incidentes se deben actualizar con las acciones tomadas.
La organización debe determinar los criterios para identificar un incidente importante. Los
incidentes mayores se deben clasificar y gestionar de acuerdo con un procedimiento
documentado. Se debe mantener informada a la alta dirección sobre incidentes importantes. La
organización debe asignar la responsabilidad de la gestión de cada incidente importante. Una
vez resuelto el incidente, el incidente principal se debe informar y revisar para identificar
oportunidades de mejora.
8.6.2 Gestión de solicitudes de servicio
Las solicitudes de servicio se deben:
b) priorizar;
31
PROYECTO DE
c) cumplir;
d) cerrar.
Los registros de las solicitudes de servicio se deben actualizar con las acciones tomadas.
Las instrucciones para el cumplimiento de las solicitudes de servicio se deben poner a

disposición de las personas involucradas en el cumplimiento de solicitudes de servicio.
8.6.3 Gestión de problemas
Para identificar los problemas, la organización debe analizar los datos y las tendencias en los
incidentes. La organización debe llevar a cabo un análisis de la causa raíz y determinar las
posibles acciones para prevenir que ocurran incidentes o que se repitan.
Los problemas se deben:
b) priorizar;
d) resolver, si es posible;
e) cerrar.
Los registros de los problemas se deben actualizar con las acciones tomadas. Los cambios
necesarios para la resolución de los problemas se deben gestionar de acuerdo con la política
de gestión del cambio.
Cuando se haya identificado la causa raíz pero no se haya resuelto el problema en forma
permanente, la organización debe determinar las acciones para reducir o eliminar el impacto
del problema sobre los servicios. Se deben registrar los errores conocidos y se debe poner a
disposición de las otras actividades de gestión la información actualizada sobre los errores
conocidos y la resolución de problemas, según corresponda.
Se debe hacer seguimiento, revisar e informar la eficacia de la resolución de problemas, a

intervalos planificados.
8.7 ASEGURAMIENTO DEL SERVICIO
8.7.1 Gestión de la disponibilidad del servicio
Se deben evaluar y documentar los riesgos para la disponibilidad del servicio, a intervalos
planificados. La organización debe determinar los requisitos y los requisitos de disponibilidad
del servicio. Los requisitos acordados deben tener en cuenta los requisitos de negocio
pertinentes, los requisitos del servicio, los ANS y los riesgos.
Se deben documentar y mantener los requisitos y los objetivos de disponibilidad del servicio.
32
PROYECTO DE
Se debe hacer seguimiento de la disponibilidad del servicio, y los resultados se deben registrar
y comparar con los objetivos. Se debe investigar la falta de disponibilidad no planificada y
emprender las acciones necesarias.
NOTA Los riesgos identificados en el numeral 6.1 pueden proporcionar entradas sobre los riesgos para la
disponibilidad del servicio, la continuidad del servicio y la seguridad de la información.
8.7.2 GESTIÓN DE LA CONTINUIDAD DEL SERVICIO
Se deben evaluar y documentar los riesgos para la continuidad del servicio, a intervalos
planificados. La organización debe determinar los requisitos para la continuidad del servicio.
Los requisitos acordados deben tener en cuenta los requisitos pertinentes al negocio, los
requisitos del servicio, los ANS y los riesgos.
La organización debe crear, implementar y mantener uno o más planes de continuidad del
servicio. El (los) plan (es) de continuidad del servicio deben incluir los siguientes elementos o
contener una referencia a ellos:
a) los criterios y las responsabilidades para invocar la continuidad del servicio;
b) los procedimientos por implementar en caso de una pérdida importante en el servicio;
c) los objetivos de la disponibilidad del servicio cuando se invoca el plan de continuidad del
servicio;
d) los requisitos para la recuperación del servicio;
e) los procedimientos para regresar a las condiciones normales de trabajo.
El(los) plan(es) de continuidad del servicio y la lista de contactos deben estar accesibles
cuando se impida el acceso a la ubicación del servicio normal.
El(los) plan(es) de continuidad del servicio se debe(n) poner a prueba contra los requisitos para
la continuidad del servicio, a intervalos planificados. El plan de continuidad del servicio se debe
poner a prueba nuevamente después de realizar cambios importantes en el entorno del
servicio, y se deben registrar los resultados de estas pruebas. Se deben hacer revisiones
después de cada prueba y después de que se hayan invocado los planes de continuidad del
servicio. Cuando se encuentren deficiencias, la organización debe tomar las medidas
necesarias.
Cuando se haya(n) invocado el(los) plan(es) de continuidad del servicio, la organización debe
informar sobre la causa, el impacto y la recuperación.
8.7.3 Gestión de la seguridad de la información
8.7.3.1 Política de seguridad de la información
La dirección con la autoridad apropiada debe aprobar una política de seguridad de la

información pertinente para la organización. Esta política de seguridad de la información se
debe documentar y debe tener en cuenta los requisitos del servicio y las obligaciones del
numeral 6.3 c).
33
PROYECTO DE
La política de seguridad de la información debe estar disponible según corresponda. La

organización debe comunicar la importancia de cumplir con la política de seguridad de la
información y su aplicabilidad para el SGS y los servicios, a las personas apropiadas:
a) en la organización;
b) los clientes y los usuarios;
c) los proveedores externos, los proveedores internos y otras partes interesadas.
8.7.3.2 Controles de seguridad de la información
Se deben evaluar y documentar los riesgos de seguridad de la información para el SGS y los
servicios, a intervalos planificados. Los controles de seguridad de la información se deben
determinar, implementar y operar para respaldar la política de seguridad de la información y
hacer frente a los riesgos de seguridad de la información identificados. Las decisiones sobre
los controles de seguridad de la información se deben documentar.
La organización debe acordar e implementar controles de seguridad de la información para

hacer frente a los riesgos de seguridad de la información relacionados con organizaciones
externas.
La organización debe hacer seguimiento y revisar la eficacia de los controles de seguridad de

la información y tomar las acciones necesarias.
8.7.3.3 Incidentes de seguridad de la información
Los incidentes de seguridad de la información se deben:
b) priorizar teniendo en cuenta el riesgo de seguridad de la información;
d) resolver;
e) cerrar.
La organización debe analizar los incidentes de seguridad de la información por tipo, volumen e
impacto en el SGS, en los servicios y en las partes interesadas. Los incidentes de seguridad de
la información se deben informar y revisar para identificar oportunidades de mejora.
NOTA La serie ISO/IEC 27000 especifica los requisitos y proporciona orientación para apoyar la implementación y
la operación de un sistema de gestión de la seguridad de la información. La norma ISO/IEC 27013 proporciona
orientación sobre la integración de las normas ISO/IEC 27001 e ISO/IEC 20000-1 (este documento).
9 EVALUACIÓN DEL DESEMPEÑO
9.1 SEGUIMIENTO, MEDICIÓN, ANÁLISIS Y EVALUACIÓN
La organización debe determinar:
- a qué es necesario hacer seguimiento y qué es necesario medir para el SGS y los servicios:
34
PROYECTO DE
- los métodos de seguimiento, medición, análisis y evaluación, según sea aplicable, para
asegurar resultados válidos;
- cuándo se deben llevar a cabo el seguimiento y la medición;
- cuándo se deben analizar y evaluar los resultados del seguimiento y la medición;
La organización debe conservar la información documentada adecuada como evidencia de los

resultados.
La organización debe evaluar el desempeño del SGS contra los objetivos de la gestión del
servicio y evaluar la eficacia del SGS.
9.2 AUDITORÍA INTERNA
9.2.1 La organización debe realizar auditorías internas a intervalos planificados para

proporcionar información acerca de si el SGS:
a) cumple:
1) los propios requisitos de la organización para su SGS;
2) los requisitos de este documento;
b) está implementado y mantenido eficazmente.
9.2.2 La organización debe:
a) planificar, establecer, implementar y mantener uno o varios programas de auditoría que

incluyan la frecuencia, los métodos, las responsabilidades, los requisitos de planificación y la
elaboración de informes, que tengan en cuenta:
1) la importancia de los procesos involucrados;
2) los cambios que afectan a la organización;
3) los resultados de las auditorías previas;
b) para cada auditoría, definir los criterios y el alcance de esta;
c) seleccionar los auditores y llevar a cabo auditorías para asegurarse de la objetividad y de la

imparcialidad del proceso de auditoría;
d) asegurarse de que los resultados de las auditorías se informen a la dirección pertinente;
e) conservar información documentada como evidencia de la implementación de los programas

de auditoría y de los resultados de esta.
NOTA ISO 19011 proporciona orientación sobre la auditoría de sistemas de gestión.
9.3 REVISIÓN POR LA DIRECCIÓN
35
PROYECTO DE
La alta dirección debe revisar a intervalos planificados el SGS y los servicios de la

organización, para garantizar su idoneidad, adecuación y eficacia continuas.
La revisión por la dirección debe incluir que se consideren:
a) el estado de las acciones de revisiones por la dirección anteriores;
b) los cambios en cuestiones externas e internas que sean pertinentes al SGS;
c) la información sobre el desempeño y la eficacia del SGS, incluidas las tendencias en:
1) no conformidades y acciones correctivas;
2) resultados del seguimiento y la medición;
3) los resultados de auditoría;
d) las oportunidades para la mejora continua;
e) la realimentación de los clientes y de otras partes interesadas;
f) la adherencia a la política de gestión del servicio y a otras políticas exigidas en este

documento, y la idoneidad de ellas;
g) el logro de los objetivos de la gestión del servicio;
h) el desempeño de los servicios;
i) el desempeño de otras partes involucradas en la prestación de los servicios;
j) niveles de recursos humanos, técnicos, de información y financieros actuales y previstos, y

las capacidades de recursos humanos y técnicos;
k) los resultados de la evaluación del riesgo y la eficacia de las medidas adoptadas para
abordar los riesgos y las oportunidades;
l) los cambios que pueden afectar el SGS y los servicios.
Las salidas de la revisión por la dirección deben incluir las decisiones relacionadas con las
oportunidades de mejora continua y cualquier necesidad de cambios en el SGS y en los
servicios.
La organización debe conservar información documentada como evidencia de los resultados de

las revisiones por la dirección.
9.4 PRESENTACIÓN DE INFORMES DE SERVICIOS
La organización debe determinar los requisitos de presentación de informes y el propósito de

estos.
Los informes sobre el rendimiento y la eficacia del SGS y los servicios se deben elaborar
utilizando la información de las actividades del SGS y de la prestación de los servicios. Los
informes de servicios deben incluir las tendencias.
36
PROYECTO DE
La organización debe tomar decisiones y emprender acciones basadas en los hallazgos en los
informes de servicios. Las acciones acordadas se deben comunicar a las partes interesadas.
NOTA Los informes que se exigen se especifican en los numerales pertinentes de este documento. También se
pueden elaborar Informes adicionales.
10 MEJORA
10.1 NO CONFORMIDADES Y ACCIONES CORRECTIVAS
10.1.1 Cuando ocurra una no conformidad, la organización debe:
a) reaccionar a la no conformidad, y según sea aplicable:
1) tomar acciones para controlarla y corregirla;
2) hacer frente a las consecuencias;
b) evaluar la necesidad de acciones para eliminar las causas de la no conformidad, con el fin
de que no vuelva a ocurrir ni ocurra en otra parte, mediante:
1) la revisión de la no conformidad;
2) la determinación de las causas de la no conformidad;
3) la determinación de si existen no conformidades similares, o que potencialmente

podrían ocurrir;
c) implementar cualquier acción necesaria;
d) revisar la efectividad de las acciones correctivas tomadas;
e) si es necesario, hacer cambios al SGS.
Las acciones correctivas deben ser adecuadas a los efectos de las no conformidades
encontradas.
10.1.2 La organización debe conservar información documentada como evidencia de:
a) la naturaleza de las no conformidades y cualquier acción posterior tomada;
b) los resultados de cualquier acción correctiva.
10.2 MEJORA CONTINUA
La organización debe mejorar continuamente la idoneidad, la adecuación y la eficacia del SGS

y de los servicios.
La organización debe determinar los criterios de evaluación que se aplicarán a las

oportunidades de mejora, cuando se toman decisiones sobre su aprobación. Los criterios de
evaluación deben incluir la alineación de la mejora con los objetivos de la gestión del servicio.
Las oportunidades de mejora deben estar documentadas. La organización debe gestionar las
actividades de mejora aprobadas, que incluyen:
37
PROYECTO DE
a) establecer objetivos de mejora en alguno de los siguientes ítems, o en varios de ellos:

calidad, valor, capacidad, costo, productividad, utilización de recursos y reducción de
riesgos, o
b) asegurar que las mejoras sean priorizadas, planificadas e implementadas;
c) hacer cambios al SGS, si es necesario;
d) medir las mejoras implementadas contra los objetivos establecidos y cuando no se cumplan
los objetivos, tomar las medidas necesarias;
e) informar sobre las mejoras implementadas.
NOTA Las mejoras pueden incluir acciones reactivas y proactivas tales como corrección, acción correctiva, acción
preventiva, mejoras, innovación y reorganización.
DOCUMENTO DE REFERENCIA
INTERNATIONAL ORGANIZATION FOR STANDARDIZATION. Information Technology.

Service Management. Part 1: Service Management System Requirements. Geneva: ISO, 2017,
32 p. (ISO/IEC 20000-1: 2017).
PREPARADO POR: ____________________________

Luisa Fernanda Pallares.
38

NCH ISO27001 2013

Загружено:

Сведения о документе

Оригинальное название

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

NCH ISO27001 2013

Загружено:

Авторское право:

Доступные форматы

Bogotá, 2018-10-01

El presente documento ha sido preparado por el comité técnico de normalización de ICONTEC,

NOTA 1 Este documento corresponde a:

- Una adopción idéntica de la norma ISO/IEC 20000-1:2018

ES-P-NN-03-F-002 página 1 de 1 Versión 02

LA CARÁTULA Y EL PRÓLOGO EN 2018-xx-xx

Editada por el Instituto Colombiano de Normas Técnicas y Certificación (ICONTEC)

Prohibida su reproducción Segunda actualización

El Instituto Colombiano de Normas Técnicas y Certificación, ICONTEC, es el organismo

La representación de todos los sectores involucrados en el proceso de Normalización Técnica

La NTC-ISO7IEC 20000-1 (Segunda actualización) fue ratificada por el Consejo Directivo de

A continuación se relacionan las empresas que colaboraron en el estudio de esta norma a

Además de las anteriores, en Consulta Pública el Proyecto se puso a consideración de las

ISO (la Organización Internacional para la Normalización) e IEC (Comisión Electrotécnica

Los cambios principales en relación con la edición anterior son:

b) Se tuvieron en cuenta las tendencias crecientes en la gestión de servicios, incluidos

c) Se eliminaron algunos detalles para concentrarse en qué hacer y en permitir a las

d) Se incluyeron nuevas características, como la adición de requisitos sobre el

e) Se separaron numerales que anteriormente estaban combinados para gestión de

f) Se cambió el nombre de "Gobernanza de procesos operados por otras partes" a

g) El numeral 3 (Términos y definiciones) se separó en subnumerales para los términos de

2) el término "proveedor de servicios" se reemplazó por "organización" para ajustarse

3) el término "grupo interno" se reemplazó por "proveedor interno" y el término

4) la definición de "seguridad de la información" se ha alineado con la ISO / IEC 27000.

h) Se minimizó la información documentada requerida, dejando únicamente documentos clave

2) se eliminó el requisito para una configuración de la base de datos de gestión y se

3) se eliminó el requisito de una política de versiones y se reemplazó por un requisito

4) se eliminó el requisito de una política de mejora continua y se reemplazó por un

i) Se actualizaron las Figuras 2 y 3 y se modificó su numeración a Figuras 1 y 2. Se

j) Se trasladaron los requisitos de informes detallados del numeral presentación den

La implementación y la operación de un SGS proporciona una visibilidad continua, control de

Este documento es independiente, en forma intencional, de una guía específica. La

La norma ISO/IEC 20000-2 proporciona orientación sobre la aplicación de sistemas de gestión

1. OBJETO Y CAMPO DE APLICACIÓN

c) una organización, para demostrar su capacidad para la planificación, el diseño, la

e) una organización, para mejorar la planificación, el diseño, la transición y la prestación de

g) un proveedor de formación o asesoría para la gestión de servicios.

La organización propiamente dicha es la que demuestra la conformidad con los numerales 4 y

La organización no puede demostrar conformidad con los requisitos especificados en este

El alcance de este documento excluye la especificación para productos o herramientas. Sin

No hay referencias normativas en este documento.

— IEC Electropedia: disponible en http://www.electropedia.org/

— Plataforma ISO de navegación en línea: disponible en https://www.iso.org/obp

3.1 TÉRMINOS ESPECÍFICOS DE NORMAS DE SISTEMAS DE GESTIÓN

competencia (competence). Capacidad de aplicar conocimientos y habilidades para lograr los

Nota 2 a la entrada: la información documentada puede referirse a:

- la información creada para que la organización opere (documentación);

- la evidencia de los resultados logrados (registros (numeral 3.2.12)).

Nota 1 a la entrada: un objetivo puede ser estratégico, táctico u operacional.

Nota 1 a la entrada: El desempeño se puede relacionar con hallazgos cuantitativos o cualitativos.

Nota 1 a la entrada: Un efecto es una desviación de lo esperado, ya sea positivo o negativo.

3.2 Términos específicos a la gestión de servicios

EJEMPLO Consumidor, cliente, beneficiario, patrocinador o comprador.

[FUENTE: ISO / IEC 27000: 2018, numeral 3.31]

EJEMPLO Compras, infraestructura, finanzas, recursos humanos, instalaciones.

Nota 1 a la entrada: Los procedimientos pueden estar documentados o no.

[FUENTE: ISO 9000: 2015, numeral 3.4.5].

[FUENTE: ISO 9000: 2015, numeral.8.10, modificado. Se agregó el EJEMPLO].

Nota 1 a la entrada: Generalmente, un servicio es intangible.

disponibilidad del servicio (service availability). Capacidad de un servicio (numeral 3.2.15)

4.1 CONOCIMIENTO DE LA ORGANIZACIÓN Y DE SU CONTEXTO

4.2 COMPRENSIÓN DE LAS NECESIDADES Y EXPECTATIVAS DE LAS PARTES

La organización debe determinar: