NORMATECNICA—————sNNTP-ISO/IEC 2000-2 PERUANA 2008 Comin de Normal ye Fseszacin de Hares Comers Ne Aszeanas-INDECOPL (Cae dea Prost 38 Su» Boje Lina 1) Aparad 148 i, rk TECNOLOGIA DE LA INFORMACION. Gestion del servicio. Parte 2: Cédigo de buenas practicas INFORMATION TECHNOLOGY. Senice management PuC2: Code of pastor (OV. ISOEC 2000-22005 Intoranoa technology ~ Service management Pa 2: Code of pracice) 2008-12-12 Taiclén 422006 NDECOPT-CNB,Fublsde 208.0111 roca basa n 62 pias TCS: 0508099, 35020, TESTANOBMA ES RECOMENDABLE Destpoe: Teco de ifmscin, gest, sev, edges reas (iiinpice pigina inpice PREFACIO INTRODUCCION OBIETO Y CAMPO DE APLICACION “TERMINOS ¥ DEFINICIONES EL SISTEMA DE GESTION PLANIFICACION E IMPLEMENTACION DELA GESTION DEL. SERVICIO PLANIFICACION E IMPLEMENTACION DENUEVOS SERVICIOS, 0 DE SERVICIOS MODIFICADOS PROCESOS DE LA PROVISION DEL SERVICIO PROCESOS DE LAS RELACIONES PROCESOS DE RESOLUCION PROCESOS DE CONTROL PROCESOS DE ENTREGA ANTECEDEN' BIBLIOGRAFIA 6 2» 36 45 53 oPREFACIO A RESENA HISTORICA Al La presente Normne Téeniea Persana ha sido slaborada por el Comité ‘Técnico de Normalizacion de Ingenieria de Software y Ssfemas de Informacién, mediante el Sistema 1 0 de Adopeién, durante Jos meses de agosto a septiembre de 2008, uilizando como antecedentes In ISOVTEC 20000-2:2005 Information technology Service management - Part 2: Code of practice, AZ EI Comité Técnico Permanente de Ingenieria de Software y Sistemas de Informacién, presenta la Comision de Nommalizacion y de Fisalizacén de Barreras Comerciales No Arancelarias ~CNB.-, oon fecha 2008-11-10 el PNTP-ISOMIEC 20000- 22008, para su revision y aprobscién, siendo sometido a la capa de Discusion Pabica 1 2008-11-13. No habigndose presentado observaciones fue oficinlizado como norma ‘Téenica NTP-ISOMEC 20000-2:2008 TECNOLOGIA DE LA INFORMACION. Gestion del servicio, Parte 2: Cdigo de buenas prictiens, |” Edicia, el 1 de enero 62009, AB Esta Norma Téeniee Peruana es una adopcién de la ISOMEC 20000- 2300. La presente Norma Téenica Peruana presenia canbios editrales referidos Drineipalmente a terminologiaempleada prpis del idioma espaol y ha sido estructrada ‘Se acuerdo a las Guies Penvana GP 001:1995 y GP 002:1995, B. INSTITUCIONFS QUE PARTICIPARON EN LA ELABORACION Dir LANORMA TECNICA PERUANA Secretaria Pontificia Universidad Catoiea del Peni Presidente Ludvik D. Medic Secretar Abrabam Eliseo Diva Ramén ENTIDAD REPRESENTANTE Asosiacin de Bancos dl Peri vin Estrada MontanoPetrleos del Peni -PETRO PERU SA. Pontificia Universi CatSlica del Pent Unidn de Cerverias Peruanas Backus y Johnston SUNAT Superintendencia de Banca y Seguros y ‘Administadoras de Fondos de Peasiones Universidad de Lima ‘Universidad Peruana de Ciencia Aplicadas Colegio de Ingeniros del Pert Universidad Necional de San Agustin de Arequipa Microsoft Corporation Asociacin Penana oftware Litre iNesxo Communitas APESOFT \Vietor Ratl Castellanos Balarezo Felix Lap Yesin Silvan Bemaola Biggio Mery Zita Gamero Luis Rojas Figueroa Jorge Daniel Llanos Panduro Janet Sinesee Montoy Rome! Abarex Llanos Jorge Palacios Pozo ‘Maa Cectia Moreno Moreno ‘Mariam Elzsbeth Amable Cindad Iver Anacie Papo Aejandrna Nelly Husreaya Junes Victor Guevara Chive Robert Aristes Maman Marco Aeio Lénez Jorge Aguinaga Altes Sergio Vieorio Carlos Homa Valleios Alfied Kobayashi Gutierrez Danie Taka Paul Deza ‘Maia Brave Gaspar Guillermo Pacheco MartinezINTRODUCCION xa parte de la NTP-ISOVTEC 20000, sl tratarse de un céigo de buenas prictices, tiene Toma de guia y recomendaciones. No se deberia citar como si fuer una especificacion y se debera tener especial culdado para asegurar que Its afimaciones sobre su cumplimiento no sean engenoses, ‘Esta parte de Ia NTP-ISOMEC 20000 se deberia usar junto con a NTP-ISOMTEC 20000- 1 dado que esta Ultima contiene las especifiealones asocadas a este cédigo de buenas prices, ‘Se asume que Ia ejecucién de ls dsposiciones de esta parte de la NTP-ISOMIEC 20000 ‘se confa a personal competente y ndecuadanentecualifcado, ‘na norma internacional ro pretende inclu toda In disposiciones de an contrat, Los usuarios de ls normas ‘nternacionals son lo responsables desu corectaaplicacién. ‘La conformidad con una norma internacional no coniere por simismainmunided frente ales obligaciones legals. Esta parte dela NTP-ISOMIEC 20000 deserbe las mejores prctcas para los procesos de ‘gestion de servicio dento del alcance dela NTP-ISOMIEC 20060-1 La provision del servicio adguiere mayor importancia a medida que los clientes requieren serviios eadu vez. mis avanzados (11 minimo costo) pare satisficer las ‘necesidades de sus negocios. Este hecho reeonce a Su vez que los servicios y la gestén dss servos son eens para aya as raion a gener ings LaNTPAISOMBC 2000-1 conteneespecifcaciones para la gestin de los servicios y se de objetivos para centrar la steneiin en los espectes més importantes de servicio. [NOTA I: Demasadsehjeuvos pusdes ame contsie colleen ekceso de gases. El contenido minimo que deberia tener un ANS, o que se deteriarefeenciar desde él, es el Siguiente 8) doseripeidn breve del servicin; by periodo de valider y/o mecanismo de contol ce cambios del ANS; ©) detalfes sobre in autorizacisn; 4) deseripcién breve de las comunicaciones, incluida Ia generacién de inormess 2) datos de contacto de las personas autorizades a actuar ante emergenciss, participa en ls resoluein de incidents y problemas, asi como en la reeuperacin del servicio o en la aplicacin de soluciones temporales,NORMA TECNICA, NTP-ISOMEC 200002 PERUANA, 15e 1) ratio de servicio, por ejemplo de 9:00 h 2 17:00 h, y excepeiones al ‘mismo (por ejemplo fines de semana operiodos vacacouales),periodoscrticos para el negocio y eobertura furs del horario; 8) imterpeionesplaniicadas y acondades, incluids el aviso que se debe dar y el mimero por periodo: 1B) responsabil ds del cliente, por ejemplo segurdad 3) sesponsabil seguridad; 1des y obligaciones del proveodor del servicio, por ejemplo J) directrices sobre impacts y priovidades: Kk) —_-procesos de escalado y de noiieacién; 1) procedimientos de clams: 1m) objetivosdel servicio; 1) limites de la earga de taba (superior e infec), por ejemplo la capacidad ‘el servsio de soportar un nimecro acordado de clientes aun volumen de trabajo 0 ‘capucided de procesamient de sister 0) detalles de sito nivel do la gestin financiers, por ejemplo portidas resupucstales, et; 1p) accionesa llevar a cabo en easo de interrupeiénde servicio 9) procedimientos de mantenimieno interno; 1) plosario de términos; 5) servicios de soporte y otros relacionados con el propio servicio; 1) lasexcepeiones a las eldusuas ineluidas en el ANS. [NOTA La infomscin voli comin a vtios ANS come dts cota) pode refrencar ‘suetl ANS in gue upon un ipso es aad ce lor precens de CNS slope qo 1 documentos de referencia etn cb ba el cntol del res eps del canbe, [NOTA 30a ANS ese base ferns a pln de contin yas dalies de a consbidNORMA TECNICA NTPASOMEC 20000-2 PERUANA Is de6: [NOTA 4: El glostrio de teminos nomaimente sure se nico comin a todos los documents, Seiya lege deservicoe 613 EI proceso de gestion de nivel de servicio Los cambios imporantes e el negocio, debidos, por ejemplo, al crecimiento, fisiones y ‘eorganizaciones del negocio, y los cambios en los requisites del cliente, pueden implica cl ajuste de los niveles de servicio, su redefinicin o incluso su suspension temporal. EL. proceso de GNS deberie ser flexible para adccuarse a estos cambios. El proceso de GNS. Aeberia asegurar que el proveedor del servicio contnia Tocdlizado en el cliente durante la plantieaién, implataciin y la gestion continu del servicio prestad, Se le deberis dar al proveedor del servicio Ia informacion aéecunda para permite que ‘omprenda la visi (os propésitos) y reuisitos del negocio del client. [BI proceso de GNS deberia gestionar y coordinar a quienes contibuyen al servicio, para inclu: 5) sowerdo en los equisitos del servicio y en las caractristcas de Ia carga de ‘abajo esperada dl servicio; 1b) acuerdo en os objetivos de servicio; ©) medicine informe de los niveles de servicio sonseguidos, carga de tabsjo ¥ explicaciones cuando nose aleanzan los objtivas acoréados; 4) inicio dels acid corrective; ©) entrada al programa de mejora del servicio. Bt proceso deberia animar tanto al proveedor del servicio como al cliente a desarollar una acttud proactiva con objeto de garantizar que ambos tienen una responsabilidad compartida sobre el servicio,NORMA TECNICA NTP-ISOMEC 20000-2 PERUANA, 17002 La satsfccidn del cliente es una parte importante de Ia gestion de nivel de servicio peo deberis reconocerse que es una medida subjetiva, mientras quc los abjetives de servicio lncluidos en el ANS deberian ser medidas objetivss. El proceso de GNS deberia wabeiar conjuntamente eon Tos procesos de gestin de relaciones eon el negocio y gestién de suministradares 61a de servicio de soporte Loss ‘ios de soporte de los cusles depende el servicio prestado se deberian documentar y acordar con cada suministrador de servicios. Esto incluye Tos grupos intermos que ‘roveen parte dl servicio offecdo por el proveedor del servicio, 62 Generacin de informes del serv Objetivo: generar informes Sables y realistas en el tiempo acerdado para posibilitar una toma de devisiones besads en la informacin asi como una comuniacion efestiva, NOTA: El ext de tds fe proses de gsi dl sii depen del un I infermacion Politica Los requisitos para la generacién de informes para clientes y para gestién intera se deberien seordary ser registrados. Le supervisin del servicio y Ja generacién de informes abarcan todos los aspectos sodibles del servieo, roporcionando datos actuals histrics. Cuando existan miipies proveedores, suminisradores prinipales y- suministradares sulbconteatads por éxfs, 10s informes deberian reftejar las telaciones entre ellos. Por sjemplo, un suministrader principal deberiainformar sobre Ia totalidad del sorvicio que res inclayendo cualquier servicio realizado por un treo y que forme parte del que e aministador principal gestiona coma parte del servicio al eieneNORMA TECNICA NTP-ISOMEC 200002 PERUANA, 18 de62 622 Propésito de los informes del servicio y verifcacin de su calidad Los informes de servicio se deberian generar tiempo, y ser laros files y concise. Se deberian adecua a las necesidades de quien lo recbe y ser sufleientemente precisos para poder ser utlizados como herramenta de apoyo en la tama de decisiones, La presntacién deberia ayudar a comprender Ios informes de forma que sean ficilmente ‘similables, por ejemplo usando grifcos. Se deberien generar distintos tipos de informes: 8) informes reactivos, que muestan lo que ha oourido; b)_informes prosctves, gue avisen por adelaniado de eventos signficativos con objelo de permite gue se puedan realizar acciones preventivas (por ejemplo, informes sobre iminentes ineurplimientos de las ANS); ©) distibueign previa deinformes que muestren las actividades planiticadas. 623 Informes de servicio El proveedar del servicio debe ‘que cuban ls siguientes aspecios: snerar informs para les clientes y part la direccion, 2) comportamsiento frente 2 objetivos de nivel de servicio, por ejemplo intormes de caidas del servicio, logros; 1) no conformidades Frente # normas; ©) caracteristicas de la carga de trabajo y volumen de Is informacién, por cjemple incidentes, problemas, eambios y trea, clisifeacién, ubicacin, clientes, fenvdencies estacionales, combinacién de priordades, nimero de solicitudes de ayuda;NORMA TECNICA NTPASOMEC 2000-2 PERUANA, 19 deo) 2) jnformes de resultados después de eventos de alto nivel, por ejemplo cambios y entregas; ©) infor rmensul)s eon tendencias por periodes (por ejemplo diara, semanal, 1) informes que inclyan informacion de eada proceso, por eemplo nimero de incidemes y de preguntas mas frecuentes, componentes de Ie infrsestructura poco fiables, tures que consumen gran nlmero rimicns,téenieds © humanos; 2) formes para destacarcargas de trahajo Futura oplaniicadas. 63 Gestién dela continuidad y disponibilidad del servicio Objetivo: Asegurar que los compromisos de continuidad y éisponibilidad del servicio, scordados oo los clientes pueden cumplisebgjo todas ls cireustancias NOTA: Los desizeso fills det teva pun count por muchas samme, iclyende Ia ena del src, ence, ies acs pers a aan ou sere mao 6a Generalidades Los requistos de comtinuidad y isponibilidad se deberian identifier sobre a base de las proridades dol negocio del elite, los acuerdos de nivel de servicio y los risgos tevaluados, El proveedor del servicio deberia mantener uns eapacidad suficiente para el servicio junto con planes filmenterealizales, dseBads para asegurar que ios requistos acordados pueden ser alcanzados en todas las cicanstancias, desde el funcionamiento habitual hasta los casos de eeidas graves del servicio, El proveedor del servicio deberia planificarse para satisfacer los datos conocidos de incrementos 0 decrementos de volumen Se usuarios, pieos o caidas previsios de la demanda y eusiguier oo cambio futuro ‘conocido. Ls requsios deberianinciuirlos derechos de acceso los tiempos de respuesta ‘asi como ia disponibilidad de los componentes del sistema La gestion de Ia disponibilidad y continuidad del servicio debera uabsjar conjuntamente con el objetivo de aseguiar que se manteagan los nveles de servicio acordados. Fstos Fequisitos deberian tener una influeneia capital en las aeciones, esfuerzos y recursos destinados para stisfcer a isponibilidad de los servicios que os SoporanNORMA TECNICA, NIPAISOMEC 200002 PERUANA, 20de62 Los procesos que asoguran que se mantiene Ia disponbildhd requeria, deberian incluir fguellos elementos de la provisibn del servicio que estén tao el control bien det propio cliente 0 de otto proveedores del servicio. 632 Actividades y supervisiin de ka La gestion dela disponbiidad debe: 8) supervisary registrar la disponibiidad del servicio }) mantener datos histrios precisos; ©) __sealizar comparaciones oon los requsitos definidos en los ANS pana ‘dentiiear no conformidades con ls cbjetivos de dspunbilidad acordados;, 4) documentary revsar ls no eonformidades; ©) —_predecir la disponibiidad a futuro; 1) cuando sea posible, se deberin predecir los posiles problemas y evar 8 cabo las acciones preventvas Se deberia asegurar la disponibilidad de todos los componentes del servicio, registando y evando a cabo las acciones corectivas. 633 Estrategia de continuidad del servicio FEI proveedor del servicio deberia desarollar y mantener una estrategia que defina el cefoque general a seguir para satisicer las obligaciones de contnuidad del servicio Esta esrategia dehera incluir la evaluacia de riesgosy tener en cuenta ls horaros ée servicio acoréadosy los periadoscriticos del negocio. El proveedor dl servicio deberia acordat lo siguiente con cada grupo de clientes y servicios: 8) Ios periods maximos aceptabes de pérdida comtinuada del servicio;NORMA TECNICA NTP-ISOMEC 2000.2 PERUANA 21 de 62 b)__losperiodos miximos aceptales de degradacion ©) os niveles sceptables de dogradacién del servic durante un periodo de recuperecin del servicio, Le esrategia de continuidad debera ser revsada con une period cid acordada, al menos anual, Cuslquie cambio Ta estrategia deberia ser acordado formalmene, 634 Planiffcaciin y prucha de la continuidad del servicio El proveedor del servicio deberia asepurar que: 8) los planes de continuide venen en cuenta las depandencias entre el servicio ¥ylos componentes de os sistemas; 8) se episran y mantienen los planes de coatinuidad del servicio y el resto de ‘documentos requeridos para dat Soporte a a coninuidad del servicio; ©) la responssbilidad para activar los planes de cootinuidad esti claramente Ssignade y fos planes establecen claramente la responsabilidad para Ta toma de las sociones neceerias frente cade bjetvo;, 4) las copias de seguridad de los dats, los documents, el software y cualquier feqipo y personal necesario para la resturacin del servicio estin disponibles de forma ripida ante un desastreo un flo importante del servicio; © al menos una copia de todos los documentos relatives ala continuidad del ‘servicio deberia estar almacsnada y ser mantenida en una Tocalizcién remota y ‘Segura, junto al equipamiento que sea necesario para peritr su uso; ei personal conoce y asume sural para ectivar yo ejecutar los planes y tiene acceso ala documentacion relativa ala continuidad del servicio. Los planes de continuided del servicio y la documentacién relacionada (por cjemplo los contfatos) deberian estar ligados a Tos process de gestidn del cambio y de gestin de losNORMA TECNICA, NTP-ISOMEC 20000-2 PERUANA ded ‘Los planes de continuidad del servicio y la dacumentacis relacionada (por ejemplo los contrat) deberfan evaluase respecto al impacto previamente @ que se epruetsen los cambios en el sistema y en el servicio, y previamente a acoréat fos nuevos requisites del ‘liente o bien cambios en dios siempre que sean signifieatvns, Se deberian evar @ cabo pruches con uns frecuencia suiciente pate asegurar que los planes de contnuidad son efectives y permanecen asian cuando se producen cambios en los sistemas, procesos, personal y necesidades del negocio. El cliente y el proveedor del setvicio deberian estar implicados conjuntameate en las praebas,bazadas en un conjunto acordado de objetivas. Los falos en fas pruebas se deberian documentar y revisur para prover de informac‘én a un plan de mejora del servicio, 6a Elaboracién del presupuesto y contabi lad de os servicios de TH Objetivo: Presupuestary contabilizar los costo de la provisiin del servicio, oat Generalidades Esta seid cubre la realizacén de los presupvestas y dela contabilidad para los servicios 4 TI. En in prctca, muchos proveedores estin implicados en la Tacturacin del servicio. Sin embargo, dado que la feturacin es unt activided opcinal, no esti cubierta por esta forma. Se recomiends a los proveedores del servicio qie cuando lleven a cabo la factureién, e] mecanismo empleado para elo esté definide en dtale y sea entendido por ‘ods ls partes implicadas, La responsabilidad sobre muchas de las decisiones financiems va a estar fuera del émbito de la gestn del serviefo y tambign podsian dictarse exteramente los requisites aoeres de ‘qué informaciOn fnanciera se debe failiter, de qué manera y con qué frecuencia. Las isposiciones de esta seccin estinenfocadas en la pretias que se deberian seguir para satisfizer los requsits de la aorma. Sin embargo, se pueden tener en cuenla requistos iis amplios en el caso de que impacten en alguns de ls polities y procedimientos Aefinidos.NORMA TECNICA, NTP-SONEC 2000-2 PERUANA 3 de 62 6a Politica Deberia existir una poitice para Ia gestion financira de los servicios. La polities deberia defini los objetivos ser cumplidor por Ia ealizacion de los. presupuestos y la contablidad La politica deberia defini tambign el nivel de deale al que se leva a cabo la elaboracién de os presupuesios y Ts contabilidad, teniendo en cuenta 5) lestipos de costos 2 ser eontabilizados, b) el reparto de los gastos gonerles, por ejemplo reparto en partes iguales, reparto porsentual 0 reparto basado en el tamano de los elementos variables cempleados; ©) Ia gramularidad del negocio dt cliente, por ejemplo unidades de negocio tomadas como una sola, dividas en departementos 0 seg las diferentes ubiaciones; 8) lasreglas pare manejar Tes varaciones frente al presupueste, por ejemplo el nivel de variaeién necesurio ara que se eseale al ala direceion; 12) Tosenlaces 0 vineulacién con Ia gestin de nivel do servicio. EE nivel de inversi en los procesos de elaboracin del presupoesto y contabilidad deberla ‘estar asad en las necesidades de detalles Ginancieros que tenga los clientes, el proveedor ‘el servicio y los proveedores, sei est definido en la politica. NOTA: Los provetdae del svi qe pen enum norm comers pin neces verte ‘atoms efero tmp es esicn uncle. Convarust para nguells provers de Sti eo mann spe etc er on ton pe ao > La realizacién de los presupuestos y Ia contabilided se deberian realizar por todos los proveedores del servicio, eualesquiera que fueran sus otrs politicas en euanto a gestion FinanciersNORMA TECNICA NTPASOVIEC 20000.2 PERUANA 643 Elaboracton del presupuesto La elaboracin del presupuesto deberia tener en cuenta los exmmbios planificados de Tos servicios durante el. periodo presupuestaio y, en el e1s0 de que las necesidades Dresupuestras excedan los fondos disponibles, planiicar I gsilon que se va a hacer del efit. La claboracén de los presupuestos puede tener en cuenta factors tles como varaciones| ‘stacioales y cambios planifeados a corto plazo en los costos y feeturacién de Tos EI seguimniento de los costos frente al presupuesto debera facilitar lo antes posible Ia Jnformacié de las vatiacionss frente al presupuesta ‘Se deberiaestablecer un proceso para gstionr las implicadones de ls varacions frente al presupuesto. [La elaboracién de los presupuesta y el sguimiento de los costosceberian dar soporte a planificecin de la operacin de cambios en los servicios para que los niveles de dichos ‘servicios puedan mantenerse lo largo de! ato. oad Contabitidad Los procesos de contabilidad se deberian usar para realizar el seguimiento de los casos haste el nivel de detale scordado durante un perfodo de tiempo también acordado, Las decisiones sobre Ia provsin del servicio deberfan esar basadas en comparsciones sobre Ia efcacia en costos Los modelos de costos deberian ser eapaces de mostrar fos costs de la provisiin delNORMA TECNICA NTPAISOMEC 20000-2 PERUANA, 25 deez Los estados de evenas deberfan mostrar las situsciones de excesos y defects de gasto asi ‘como las recuperaciones de dichas siuaciones y deberian permitr al Ieetor entender los costes de niveis bajos de servicio o de pérdidas de servicio, 6s. Gestidn de i eapacidad CObjetvo: Asegurar que cl provecdor del servicio tene, en todo momento, la eapacidad sufiiente para cubrir la demanda acordade, actual y futura, de ls necesiades del negocio el cliente Los requisito actuslesy esperados de! negocio en relacin al servicio se deberian conocer ‘en términas de lo que el negocio va a necesita para dar servicio asus clientes. Las previsiones de negocio y las estimaciones de carga de uabajo se deberian vaucie @ requisitos espeeificos y quedar documentads. El resultado de las vatiaciones ea Ia carga de trabgjo o en el eniorno deberia ser predeeible; se deberin recoger y analizar datos actulese historias de utlizacion de componentes recursos, al nivel adccuado, con ef fin Ge dar soporte al proceso, La gestion de fa capacided deberia ser el punto focal de todas ks euestiones de rendimiento vy eapaciad. [EI proceso dsberis offecer soporte directo al desarolio de servicios nuevos y ala modificsién de Tos mismos realizando un dimensionamiento y una modelizacion de Se deberia generar un plan de cepavidad donde se documente el rendimiento real de ls inffeestuctursy los requsitos esperados, con la frecuencia suficiente para tener en eventa el itmo de cambios de los servicios y do los voltimenes de servicio, la informacién de los fnformes de gestion del cambio y del negocio del clieste Dicho informe deberia elaborarse al menos anualmente. Se deberfan documentar las ‘opciones existenes junto com su costo para cumplit cn lo requisites dl negocio asi como Is soluciones recomendadas para conseguir los ebjsvos de nivel de servicio tel como ‘sin definidos eae] ANS.NORMA TECNICA NTPASOMNEC 200002 PERUANA 26de62 Deberia existir una buena comprensién de la inffaestuctra téenica y sus eapacidades resents y las que estén proyectadas. 66 Gestidn dela seguridad de la informacion Objetvo: Gestonar la seguridad de ta informacion de manera efeetiva para todas tas sctividdes del servicio, 66 Generalidades [La seguridad dela informaciéin es el resultado de un sisteme de politieas y procedimientos sends para identiiear, controlar y proteger la informacion ¥ cualquier equipamiento templeado junta con el almacenamiento, transmisién y procesamiento de dicha informacion El personal del proveedor del servicio con roles de especalsta en segutdad de la informacion deberia estar failiarizado con Ie NTP-ISO/EC 17799 Tecnologias de la informacidn, Téenicas de seguridad. Cédigo de priticas para la gestion dela seguridad de In informaci. 662 [lentificacion y clasificacién de los activos de informactén Et proveedor del servicio deberia: 5) mantener un inventario’ de los activos é2 informacion (por ejemplo, ‘computadoras, sistemas de comunieacién, documentcsy otra informacién) que son rnecesario para la provisin del servicio: 1) clasfiar end activo de acuerdo con su eiiidad para el sevicio y el nivel de proteccign que éste requers, asi como nombrar © un propietario que sea ef responsable de proporcionar dicha proteccién; ©) In responsabilidad para In protecein de los sctivos debera reeaer en el propictario de dichos actvos, aunque estos pueden delegar la responsabilidades de Ia gestin diatia dela seguridad,NORMA TECNICA, NIPASONEC 2000-2 PERUANA 27dee2 663 Pricticas para la evaluacién de los riesgos de seguridad Laevaluacign de ls iesgos de a) serrealizada con una periodicided acordads b)—serregistrada: ©) sermantenida durante fos cambios (cmbios dels necesidades del negocio, {de procesos 0 de configuraciones); 8) ayudar entender en qué podria impactar uno delos servicios gstionados ©) proveet de informacién para as devisiones referentes a Jos tipos de controles a estabecer. 664 Riesgos para ls aetivos de informacion Los resgos pra Tos setivos de informacién se deberian evaluat en fneisn de: 8) sunaturaleza (pr ejemplo: fancionamiento defectuoso del software, erores fc operacidn, fallos de comunicaeibn);, b)—_probabiidad; ©) impacto potencal para el negocio; 4) experiencias pasadas. 665 Seguridad y disponibilidad de ta informacion Al evalua los resgos, se deberi prestar ated a ls siguientes puntos 4) revelacién de informacign sensible a partes no autorizadasNORMA TECNICA, ‘NTP-ISOMEC 200002 PERUANA 4e63 ») _informecién inexaeta, incompleta 0 invétida (por ejemplo: informacion ‘raudulents); Informacién que quede inservile para su wo (por ejemplo: debido a un incléctica), 4) dao fiseo o destecidn de los equipos necessros para proveer los ‘También se deberian tener en cuenta los objetivos do la politica de seguridad de Ta informacién, las necesidades para satsfaer los requisites espeificos de los clientes respecto# In seguridad (por ejemplo: niveles de dispanbiliad) y los requisitos legales © regulatorios que apliquen. 6.66 Controtes ‘Adems de otros controles que puedan ser justifiables y aconseados en esta parte de la [NTP-ISOMEC 20000 (por ejemplo: en In continuidad del servicio), os proveedores del servicio deberian aplica los siguientes controles como una auena prctica en gestion de la seguridad de la informacié: 8) In lta divocidn deberia definir la politica de seguridad de la informacion, omic a su personal y vs sens yaizgwie Ge gue = implaa ceficezmente; 1b) Ios roles y las responsubilidades para In gestion de Ie seguridad de 1s informacién se deberian deiniry asignara wn puesto de abajo; ©) un representante del equipo de dessin (el ol puede ser desempefiado por tu propietari que soa un respansabe a nivel de alta Hirecci6n) deberia supervisat ‘mantener Ia eficacie de Ia Politica de Seguridad dela Informacién: €) al persanal que ejrza un rol sigificativo en seguridad deberia rei formacién en seguridad de i informacion; ©) todo el personal debe ser concienciado acer dela politic de seguridad de [a informacion;NORMA TECNICA NTP-ISOMEC 20000-2 PERUANA, 19 de 1) deberia haber apoyo inmplementacién de las controles; pertos en Ia evalucion de riesgos y ea la 18) los cambios no deberlan comprometer la oferacién efeetiva de Tos controes; 1b) se deboria hacer un informe de los incidewes de seguridad de ta informacion siguiendo los procedimentos de gest del inedente y, también, se ‘debris iniciar a respucsa a dihos ineidentes. 662 Documentos y registros Los regstos se deberian analizar periédicamente para properionar informacion a la 8) laeficacia de Ia politica de seguridad de Ia informacién; ) las tendencias que aparezcan en los incidents en seguridad de la indormacien ©) darentada de informacin an plan de mera dl servicio; 8) tenerbajo conto el acceso a I informacion, los astivesy los sistemas ‘dad de In informacign eberia estar documentada de una manera La gestion de ls seg Fiabe 1 PROCESOS DE LAS RELACIONES 14 Generalidades Los procesot de relacin describen los dos aspectos relacionados deta gestion de suministadores y la gestién de relaciones eon el negocio. Esta rorma se dirge hacia el rol de un proveedor del servicio, el cual cumple un papel entre los suministaderes, que proporsionaa bienes o servicios a dicho proveedor del servicio, y ls clientes, que reiben fos serviciosNORMA TECNICA NTP-ISOMEC 200002 PERUANA 30de 62 Tanto los suministrdores, como los clienles pueden ser interos y externos a la ‘organizseion del proveedor del servicio, Las relaciones extemas se formalizaran mediante contratos. Las relaciones interas se formalizarin mediarte acuerdos de servicio 0 de soporte intemo que son a menudo designados como acuerdos de nivel operacionel, [La figura 2 muestra una representacin simpliicada de las relaciones, estén 2 Gestion ce sumbisvaderes Felacones cone rege ‘sumiisragor _" Proveedor Nepocte el sonia FIGURA 2 ~ Procesos de relaciones ‘Como muestra Ia figura 2, el roveedor del servicio juega wn papel dentro dela eadena de ‘suministo, en Ia cual cada eslabon deberia afadir valor, ce forma que el proveedor del servicio que recibe bienes 0 servicios procadeates del sumiaistador y entoga un servicio smejorade al cliente ‘A modo de aclaraién, dento de esta soecién et témino proveedar del servicio se utiliza siempre pura deseribir la. organization a la que se dirige este documento, independientemente del papel, o sentido en la cadens, que tiene en el proceso que se describe En la pricticg, las relaciones raramente son asi de simples, sino que implican miitiples pavtcipantes, asumiendo papees, tanto como suministradores, como clientes y eon cconexiones de negocio entre muchos de ellos de forma directa o bien mediante el roveedor del servicio.NORMA TECNICA NTPASOMEC 2000-2 PERUANA, 31 de62 Los procesos de relacibn deberlan asegurar que todas las partes: 8) entiondeny stisfioon las nocesidades del negocio; 1b) entionden as expacidadesy limitasiones; ©) entionden Ine responssbilidadesy ns obligacones Esios procesos también deberian asepuar que los niveles de satisfaceiin del cliente son apropiados y que se comunicany entenden ls necesidades futuras el negocio, El alcanco, los roles. y 1as responsabilidedes de las relacienes eon el negovio y las relaciones con los suministradores deberian defnirse y acordarse. Esto deberia incuir la Identitfescign de todos los grupos de interés, los contactos y ks medi y fecueacia de la 12 Gestiin de las retaciones con et negocio Odjetvo: Estblecer y mantener une buena relacién entre el proveodar del servicio y el cliente, bandoseen el enfendimiento dol line y on Tos fandaments de su negocio, 724 Revisiones del servicio El provecdor dl servicio y os clientes deberan realizar revisones del servicio, al menos snualmente ¥ nbios importantes, Le revision deberia tomportamiento previ, tatar las necesidades del negocia actual y previsto y proponee tualquier cambio necesero en e alcance del servicio y los ANS. Otros grupos de interés implicados como par ejemplo subcontratistas, clientes, grupos de usuarios u atts grupos representatives, pueden ser invitados a participaren las reunions de revision, FI proveedor del servicio y los clientes deberian también acordar Ios procedimientos de revision pareiel para tratat et progres, os logros y los problemas’ detectados, Estas reaniones deberian planificars y ser nosficadas a Tos grupos de interés para los que sean relevantes,NORMA TECNICA \NTP-ISO/IEC 20000-2 PERUANA. 32de 62 BB proveedor del servicio deberia planficar y registrar todas las reuniones formals, gta los problemas tatados y realizar el seguimiento de las acciones acordadas. EE proveedor del servico deberiaestableer una relacién con sus clientes de manera que éstos puedan estar al tanto de as necesidades def negocio y de los cambios principales para poder prepararse para dar una respuesta alos mismos. a2 Reclamaciones del servicio El provesdor del servicio y los clientes deberian seordar un procedimiento formal de ‘reclamaciones que elimine cuslquier ambigtedad sobre qué consttuye una relamacion y ‘cémo se deberia gestions. El proveedor del serviio deberia poner en marcha un proceso para tomar las acciones edecuatas ea la resolucign de los problemas. El proceso deberia identficar ala persona de contacto ene. proveedor del servicio al que digit las reclamaciones formales. El proveedor del servicio deberia registrar, investiga, tomar accion, elaborarinformes y ‘errr formalmente toda las reclamaciones de servicio. Las reclamaciones mas elevantes se deberan revisar periddleamente y ser escalads ata alta dizeceién sino se rsuelven dento de ls plazos scordacos coa los eientes Los proveedores del servicio deberian analizar periicamente tas reclumaciones registradts para identficar tendencias y elaborar informss con este anliss para los clientes, ‘Los resultados de tl andiss se deberian usar cuando sea apcopiado para cl establecimiento sdeun plan de mejora dl servicioNORMA TECNICA NTP-ISOMEC 2000-2 PERUANA, ée6: 723 Me in de a satiseclin del eliente Se deberia medir Ia soisfccién del cliente para pormitir al proveedor del servicio comparar el desempeso con los objtivos de satstesién de clientes y con encuestas previa. El alconce la complejdad de la encvesia so deberiar cancebir de forma que los Clientes pueden responder féeiimente y sin que se requiera un excesivo tiempo. para ‘cumplimentar de una manera adecaace dicha encvess Se deberin investgar las variaciones significativas en los iveles de satistcein para llegar a entender las razones de las mismas. Los aniliis de tendencias u otras ccomparaciones solo deberan realizarse sobre preguntas comparibles y entre métodos de ‘mucsireo comparables. Los resultados y conelusiones de las encuestas de stistacein del lite se deberian tratar con el cliente. Se debera acordar un plan de accién, uilizinJolo como entrada pars un plan de mejora del servicio sobre cuyo progreso se informe al cente Las flictaciones sobre el servicio se deberian documentary dar & conocer al equipo que cs prestando el servicio, 3 Gestion de suministradores Objetive: Gestonar los suministradores para imerrupiones de servicios de calidad. 13 Inteoduecién Los procedimsentos estin de suminisradores ian ganntzar que 2) el suministadorentiende sus oblizaciones frente l proveedor del servicio; 1) os requsitos acordados y legiimos son cumplidos dentro del sleance y Tos niveles de servicio acordados;,NORMA TECNICA, NTPASOMEC 20000-2 PERUANA 34de 62 ©) log cambios son getionados; 4) serogistran las tansacciones de negocio entre todas las partes; ©) se puede contolar Ia informacién sobre el desempetio de todos tos ‘suministradores y atuar en consecuenca 732 Gestion de contratos EI proveedor del servsio deberia designar un responsable para hacerse cargo de los ‘onlratos y aeuerdos con los suniistadores. Ex ef caso de que haya todo un grupo de ‘personal involuerado en esta trea, deberia exit un proceso comin pars asegurar que la Fxformacion sobre el desempefio de los suminisradores esth controlada y se actia coneecuentemente DDeheria existr una persons de contacto definida dentro de Ia organizaciin del proveedor del servicio que sea el responsible dela relaci6n con cada suministrador. ‘Todos los contratos con suministradores deberian contener wna planifcacién de las revisiones para evalar silos objetivas de negocio para el suministo de un servicio siguen siendovilidos 5 Deberia exstr un proceso claramentedefinido pata la gest x de cada contrat. El proceso para la modifeasién de coniratos deberfa estar tambign claramente definido. Cualquie Eambio a este procedimiento se deberia notifies formelments a todos los suministadores Se deberia mantener una lista de puntos de contacto dentro de las respectivas ‘organizaiones (1a del suministrador y I dl provecdor de! servicio). Si un conrato ineluye penalizaciones 0 bonifiaciones, se deberian establecer claramente sus fundamentos y ‘laborar un informe del cumplimiento de los requisitos.NORMA TECNICA, RUANA 133 Definicin del servicio Para cada servicio y suministador el proveedor del servicio debesia mantener 8) una definicign de servicios, roles y responsahildades by clalcance del servicio; ©) _ un proceso de getién de contrtos, os niveles de autorizaciém yun plan de extineiin de contate, 2) las condiciones de pago, si son relevantes; ©) Jos parimetros de informe y el registro acorfadas sobre el dasempeno aleanzado, 134 Gestion de miltiples suministradores Deberia quedar lato si el proveedor del servcia trata con todos los suministradores de forma directa 0 mediante en suministador principal que tora la responstbiligad de los suminitradores subeontatados. £1 suministrador principal debora registrar los nombves, responssbildades y relaciones entre todos los suininistedores subconratados y ponerlaa disposieién del proveedor del servicio sas lo requiee Ei proveedor del servicio debera obtener evideneias de que los suministradores principales zestionan formalmente los. suministradores subcontratados; guiindose, cuando sea propiado, por los requisits incluids en la NTP - ISOMTEC 20000-1 735 Gestién de los confitos eontractuales Tanto el proveedor del servicio como el suministrador deberan funcionar conforme & un proceso para gestiona los confictes, el cusl se debera defnir o reerenciar dentro del contato.NORMA TECNICA NIPASONEC 200002 PERUANA 36de62 DDeberia existir un procedimiento o itineario para poder escalar los eonflictos que no puedan se resusles mediate el procedimientoordinario. El proceso deberiaasegurar que ls conficios son registrados, Investigados, que se toma, las acciones nosesariss sabre ellos y que secierran formalment. 136 Finalizacién del contrato El proceso de gestin de contratos deberia contemplar la extncién del eontrato (tanto planiicads, como premstura). También deberia proporcionar wn mecanisma de transferencia del servicio a otra organizaci6n 8 PROCESOS DE RESOLUCION 81 Antecedentes La gestén del incidentey del problema son procesos distin, aunque estén estrechamente relacionados. El proceso de gestién del incidente se encarg: de la restauracidn del servicio ‘los usuarios, mienas la gestién del problema tiene como mision la idetifieaci y la ‘eliminacign de las ceusas de los incidentes, 84 Establecimiento de prioridades Los objetivos para Ia resolucisn deberian estar basados e1 la priridad. La prioridad se bern basar en el impacto y Ia urgenca. El impacto se deberiabasar en el nivel de daio teil o potencial al negocio del cliente. La urgeneia se debera basaren el tempo entre Is Uetccvion de problema 0 del incident yel momento en que Se produce el impacto sobre el negocio del client. La planiicaciin de la resolucin de incidentes o problemas deberia tener en cuenta, como sini, lo siguiente:NORMA TECNICA NTP-ISOMEC 200002 PERUANA, 374062 5) leprioridad; b) las habitidaes disponibles ©) Tos raqusitos de competencia para Tos recursos; 4) elesfuerzocosto necesario pars proporeionar el métndo de resolucion; © eltiempo trnscurrdo para proporcionar un método de reslucién "NOTA: Laird ce tz ure tad a gs del servicio pee fidamenal para a esi ened y dl rblems, s12 Soluctones provisionaes Siempre que se4 nesessri la gesién del problema deberia desarrollar y mantener soluciones provisionales para permit ala gostién de ineidente xyudar a Tos wsurios o al personal resaurer el servicio Un error conocido slo se debera cerrar cuando se haya aplicado stisfietoriamente un inbio correctivo 0 el error deje de exstir (por ejemplo, perque el servicio ya no se tlic) La gestin del problema deberi tener acceso Ja informacién sobre la éreas de negoxto afectadas pols problemas ¢ deberie lmacenar y mantener en la bate de detos de corocimieno, a informactén sobre las soluciones provisional, su apt efectvida, 82 Gestién det incidente CObjetivo: Restaura el servicio en los niveles acordadas tan pronto como sea posible © responder ales peticiones de servicio.NORMA TECNICA ‘NTP-ISOMEC 20000.2 PERUANA. S8de2 821 Generalidades [NOTA I: El proces degen de ict pede ser popecnado por un svc detent lee, que ate como puro de cniacn doco los sion [NOTA 2: La gsin de instants debra se ©) unpre i pra coma resto, qe sspenda os nines quate, 0 teas potent err serie, 1) un proceso cerrado esau del eval ees y no enn deermincin delat dete sede proceso de gestin del incidente deberiainclur Io siguerte: 8) la recepeidn, el registo la asignactén de prbrdad y Te Nomads; 1b) In resolucin de primera nea ola derivacin, ©) Ia consideracion de cuestiones de seguridad; 4) el seguimientoy Ia gestin del ciclo de vida de los incidents; ©) Iaverifieaién y el eere de los incidents; 8) el coniacto de primera linea con los eienes 2) elescalao. ‘Se puede informar sobre incidentes mediante lamatas telefGnicas, buzin de woe, visitas, caas, faxes o mensajes de correo elect6nico, o bien pusden ser repsiados Tos avisos ‘irectamtente por los elientes que tengan acceso al sistems de reyistro de incidentes, 0 se ‘pueden registrar eutomiicamente mediante un sofware desupervisibn automites. Toads los incdentes se deberian register de modo que la informacién relevante se pueda recuperary analizaNORMA TECNICA, [NTP-ISOMEC 20000-2 PERUANA, 39 de 62 1 progreo (o sv auseaca) de Ja resolucin de incident se debera comunicer alas partes ial o potenciahmente afecadas, Todas las acciones se deberian registrar en el registro del incident El personal de gestin del incident debera tener acceso a uns base de conocimientos fetualizada que contenga informacion sobre téenicos especialists, incidents anteriores, Droblemas relacionados y-errores conocidos, solvciones provisionales y listas de “omprabacién que ayuden 8 estaurar el servicio para a empresa. ‘Siempre que sea posible, se deberia proporcionar al cliente Tos medios necesarios para outincar con sus aetvidades enpreiriales, sungue sea con un sericio degredado (por ‘Gemplo inbabiltando una funcion defeetuesa). El motivo es rinimizar la repercusién eons ls actividades empreseriles del cliente Cuando la causa del probleme siga sin {eterminarse pero se haya esablecido une solucin provisional, se deberian registrar los fetalles para atiliearos durante I diagnosis costinu del problems y euando se produzcan ‘ncidentes similares. Un incidents sélo deberiacerarse definitivamente cuando € usuario que haya naiicado tlicho incidente haya podido confirma que el incidente se i resuelto y el servicio ha sido restaurad. 822 Incidentes graves Se debera defini claramente qué constituye un incidente grave y quign estd cepaetado pure Tlever a cabo. cambios en el fincionamiento habitual del proceso de incidentesiproblemas. ‘Tados fos incdentes graves deberfan tener en todo momento un gestor responsable claramente definio. La designaciin camo responsible de un incidents grave deberia propocionar ls niveles JF cunidad individual adecuados para In funciés de coordinar y controlar todos Jos {Spector de la resoluciin. Esto debers inluir wna responsabifdad del escalado y une sepethreacioneffeaces eae todas las dees inyplicadas en a resoluciény baci los elietes fue se vean efetados po dicho inciente graveNORMA TECNICA, \NTP-ISOMEC 20000-2 PERUANA, NOTA: Este vel aura pode ser temporal y apcarse slo mera enc grave EE proceso para un incidonte grave deberia ineluir wa cevisiin que. proporsionaré informacién al pln de mejora del servicio. 83 Gestién del problema, Odjetivo: miimizar Tas interupeiones de servicio de cara al negocio mediante la {dentificacin y el andlisis proactivos de la causas de ls incidentes y mediante Ia gestion Gel problema hasta su cere. 83a Alcance dela gestiin del problema EE proceso de gestion del problema dehera investgar las causas subyacentes de los incidentes. La gestién del problema deberia prevenir de una manera proactva la repeticién o la uplicacibn de lo ineidenes ode los errores eonocidos de aeuerdo con los requisites del negocio. 832 Inicio de a gestion del problema ‘Se deberan clasificar los incidentes para ayudar a determinar las causas de ls problemas. La clasiicgcin puede hacer referencia alas problemas y cambios existent, NOTA: Cuando ce reisren nines por primera ve, su cteorizcin se ved ifn por fos actres qu nye el sevice elareadepegoco att Ts Siuomas eS resent 833 Errores conocidos (Cuando I investigaein de la getin del problema haya identificado la causa de arigen de 1m ineidente y un método para reolver los incdentes, el problema se deberia clsiicar ‘como un eror conocido,NORMA TECNICA NTP-SOMEC 200002 PERUANA, Ade 62 Se deberianresistrar todos los ertores conocides tomundo cone referencia los servicios real o potenislmente afctedos ademés del elemento de coniguracién que se soxpeche ‘que causa el error en cvesti Le informacidn sobre los errres conocides en los servicios que se estén introduciendo en cLentomo productivo se deberia pasar ala gestéa del servicio y se debera registrar en la base de datos de conociztiento, unto on ls sluciones provisonales existentes. Un error conocido no se deberia cerar hasta que se hays resuetosatisfactoriamente, NOTA: El fete oe proves del svi ute dx que a slut demasindo are Deco apna bento sgorts En ex i,t ders qd eraetedocunerada. NO ‘Stage cror soca debate pemanesr aio, peso qui exit a pose de qu Drauacon nies a conemuecin do ene emor tose qie se ceitn solitons rovisoeles youn esonrcin dela ee in pra resol ee 834 Resolucién del problema Cuando a causa raiz se haya identitieado y se haya tomado int decisi pace resolver el ‘ero, la resolucign se deberi conducir através del proceso de gestin del cambio. 838 Comunicacion La informacién sobre soluciones provsionales,areglos permanentes o el progreso de fos problemas se deberia comunieara las partes afetadas © pucdsrequerrse para dar soporte fos servicios aectados. 836 Seguimiento y esealado Se deberia realizar un seguimiento del progres de todos los problemas, “Todos los problemas se deberianescalar a las partes apropiadss. El proceso deberia cubis:ee NORMA TECNICA [NIP-ISOMIEC 20000-2 PERUANA 42 de 62 2) el registro de Tos cambios de las identiades de los responssbles de Ta resolucion de problemas durante el ciclo de vida de ead problema; b) Ie identifiacin de ineidentes que rompan los objetivos del nivel de ©) Iadistribuein de informacién en cascada a los clientes y colewas pars ue fuedan llevar a eabo las acciones adecuadas para minimizar la repercusion del problema no resuelto; 1) Indefiniign de fos puntos de escalado; €)__elLrepstro de fos recursos empleados y de as eecones realzadas. 837 Cierve de registros de in lentes y problemas 1 procedimieno de cere del registo deberia incur comprbaciones para garantizar ave 2) Ios detalles dela resolucion se hayan registraco con precision; ‘») In causa esté categorizada para feilitarel ans; ©) ses necesario, tanto el personal del elente como el personal de soporte tstén al coriene de le esolucion: 4) elciienteacepte que la esolucin se ha conseguido; ©) cliente sea informado si no se va a Megar 2 una resohucién o ésta no resulta posible. 838 Revisiones de problemas ‘Se deberlan realizar revisiones de los problemas siempre que, la investigaciéa para ‘sclareer los problemas no resuetos, no habituales 0 de gran repercusin is justfgue {final de estas revisiones et encontar mejores para el proceso y evita la epetcion Ae incidents o erores.ae —_———_.e]V"_=__—=r NORMA TECNICA [NTP-SOMEC 20000-2 PERUANA, 43.062 Las revisiones de problemas son nommalmente 8) revisiones de los niveles de incidentes indviduales y del estado de problemas respecto a los niveles de seri ©) revisiones de la direcciéa para determinar y analizar tendenciss y para proporcionar informaciin a olras procesos como, por ejemplo, el de educacion y Formacion del lien. 839 ‘Temas a tratar en las revsiones Las revisiones deberian incur informacion de: a) tendencis, por ejemplo, problemas © incdentes recurrentes, erores conoeids, ete 1b) problemas rcurrentes de una determina casfcaciOn de componente 0 de ubjeacisn: © deficiencias causadas por la subeonttaicién, la formacién 0 Ia socumentaciéas 6) no-conformidades, por ejemplo, conforme a nermes, politieas y eyes: ©) errores conocidos en ls enreyasplanificadas, 8) el compromiso del personal para resolver los ineientes y los problemas, 2) repeicidn de incidents o problemas ya resuetos. Las mejores del servicio © del proceso de gestién de protlemas se deberian registrar © incluiren un plan de mejora de! servicio. ‘Ln informacién se deberiaafadir ale base de cont ientos de gestion de problemas.NORMA TECNICA NTP-ISOMIEC 20000. PERUANA dade? ‘Toda la documestacisn eclevane se deberia actuslizar, por eemplo, las guias del usuari y la documentacin del sistema, 83.10 _Prevenein de problemas La gestidn proativa de problemas deberia conducir una reduecion de fos incidentes y de tos problemas. Deberiainclir referencias a a informaciéx que reulte de ayuda para el anilisis como, po giemplo: 8) activosy configuacion; D)—_gestién del cambio; ©) um error conocido y divulgsdo, informscion sobre las_soluciones provisionales de los proveedores; ©) informacinhistrica sobre problemas similares La prevencion de problemas deberia sburcar desde ta prevencién de incidentes indviduales, tales como las dficulades reiteradas para uilize una determina funcién de un sistema, hata las decisionesestatégeas. Es probuble que estas ttimas requieran un -gasio de implementacin considerable, por ejemplo, a invetsin en una red mejor: a este nivel, la gestin del problema prosctiva se funde con la gestion dela disponibildad La prevencién de problemas también incluye el suministo de informacién a los clientes para evitar que tengan que pedir ayuda en el futuro, por ejemplo, pra prevent ineidentes ‘used por la fla de eonceimientoo le falta de frmacién del usuarioNORMA TECNICA, NIP-ISONEC 20000-2 PERUANA, 9. PROCESOS DE CONTROL oa Gestion dela configaracion Objetivo: Definir y controlar los componentes del servicio y de a inftaestuctura, y ‘mantener etuslizada la iformacin dela contiguracién, out Planificacin ¢ implementacin de la gestion dela configuracion La gestion de Ia configuracién se debera planificar e implementa junto con la gestén det cambio y la gestin de eniregas para asegurar que el proveedor del servicio pueda iestiona’ sus ativos y configuracioges de TI de forma efetva, Deberi estar disponible wna informacion precise sobre la configuracidn para dar soporte a |e planificaion y al contol de los cambios a medida que los sistemas y los servicios nuevos y modifcados son liberados y distibuides. El resultado deberia ser un sistema Giciene que integre Tos procesos de geatin de la informacién de configuraién del proveedor del servicio con los de os clientes y suministradores,eusndo proceda Todos los actives y configuraciones principales se deberian tener en cuenta y fener un estr responsele que asegure que se mantienen Ia proteccin y el eontrel apropiads, por {jemplo: los cambios son autorizados antes de la implementacion Sse podtia delegar {a tarea de implementar los contoles, pero la responstbilidad sigue fstinda ep cf gesior responsable, Ese gestor responsible deberia disponet dele ‘nformacién necesara para delegar esta responsabilidad, por ejemplo, la persona que autoriza un cambio podria requertle informacion del costo, riesgos, impacto del cambio y recursos pra la implementa La infaestructura y/o los servicios deberian tener un plan(es) astualizado(s) la coafiguracién, que puede se independiente o formar parte de otros documentos de ls planifiaein, Estos deberian ineluir odeseribir: )) bio, objetivo, poltcas, roles y responsabilidades normalizadosNORMA TECNICA \NTPAISOMEC 200002 PERUANA, 45de62 b) los procesos de gestén de Ia configuracién para definr os elementos de configuracién de los servicios e inffaestucturas, controlar los cambios en las fonfiguracione, registrar ¢ informar del estado de los ‘tems de configuracion y verificar a iategridady la exacitud de los elementos ce coniguracién; ©) tos requisitos para la contsbilidad, el seguimiento y le auditarit, por «ejemplo, para propisios de seguridad, legales, regulators o de negocio; 8) elcontol dela configuracion (acceso, protein, vesionado, canstruceién, control de entrega); © al proceso de control de los elementos de contacto que identifquen, Tegistren y gestionen lot elementos y la informaciin de la configuracion en tos Timites comunes e dos o mis organizaciones, por eemplo: interfaces de sistemas, 1) la planifiacion y el establecimiento de los recursos para mantener los etivos y las configuraciones bajo control y manterer el sisiema de gestion de la configuracin, por ejemplo, formacié: 1B) Ia gestion de los suministradores y subcontratisias que estén levando 8 cabo Iabores de gestién de I configuracion. NOTA: Se debra plata un ive propide de aemaiasn para asgua que ox proses no ‘conan en eines oon rss alerro qe no ui ease 9412 |Mdentificacién de configuracién “Todes los elementos de configuaciin deberian esta ideatifieados de manera wnivaca y ‘estar definidos por ariouios que desebas sus earactersieas funcionales y fsias, La informacion deberia ser relevante ycuditable En la base de datos de la configuracién se deberian utlizar y registrar los marcados apropindos u otros métodos de identiicacién, Los elementos a ser gestionados se deberian identificar usando fos citerios de seleccién siablecides y deberian ineluirNORMA TECNICA PERUANA 8) todas las ditibuciones y enteyas de los sistemas de informacién y del software (ineluyendo software de lereras partes) y la doctnentacin relativa de Tos sixtemas, por Gemplo, las especifiaciones de requisites, disefos, informes de prueba, dacumentacign dela entega: 1) tas linens de referencia de la confguracién o as premisas de eonstruccién ‘ra ead entorno, mdule hardware normalizado y version ©) copia fisiea macsira y biblioteeas electrnicas, por ejemplo: Ia biblioteca defnitiva do sofware; 8) —_Tasherramientas 0 paguetesusudos para la gstin dé I configuracion ©) Fooncias; 1) componentes de seguridad, por ejemplo: cortatuegos; 8) actives fisicos que sean necesatios pas la gestin financiera de ativos 0 bien por motives de negocio, por cjemplo: medios magnélicos segures, equipamiento; 1h) documentacin relative al servicio, por eemplo: ANS, procedimieaos; i) __instalacones para el soporte dl servicio, por ejemplo: cnerpia eéeriea para Ta sala de computaderas 5) telaciones y dependencias entre os elementos de ls configursién. NOTA: Ozosclmenios ate posta se comsiderads eo lames de onan sn a) oa dovanenactn 8) messi 8) ——_ubiadoe de nego Se deberian identifcar las relaciones y dependencias adecuadss entre fos elementos de configuracin para proporcionar el nivel de control necesri. Cuando sea necessrio establece alguna tazabilidad, el proceso debera asegumar que se ‘uede seyuit el registro de los elementos de la configuracin en todo su cielo de vids, {esde los dacumentos de requsilos hasta los registos de entrege, por ejemplo, uslizando ‘una matriz de azabiigadNORMA TECNICA NTP-ISOMEC 200002 PERUANA 48de62 Control de la configuraciin BI proceso deberia garantizar que sélo los elementos dela configuracién autorizados ¢ ‘deniicables son aveptadosy registrados desde su recepeida hasta su aj. Ningin elemento de ts configuracién se deberia atalir, modiicar, reemplazat © climinaeretear sin Ia documentacién de contol spropiad, por cjemple: aprobacion dela soliciud de cambio, informacién sctualizada de a versin. Para proteger Ia itegrad de los sistemas, servicios e infasstuctur, os elementos de la ‘confguracion e deberian mantener en un entomo seguro y adecuado que 8) 10s prota de accesos no autorzados, cambios o corupeién, por ejemplo: 1b) proporcione algin medio de recuperecién ane desastes; ©) __permita la reeupersci6n controlada de una copia del maestro controlado, por «ejemplo: softwar. 9 ‘Seguimiento del estado de configuracin yelaboracion de informes Los regstros de Ia configuracién se deberian mantener actualizados y con In precision ‘adecuada para telat ls cambios en el estado, localizaciéa y version de ls elementos de la configuacién. El seguimiento del estado deberla proporcionar informacién sobre los datos acuales € histércos de cade elemento de configuracign a To largo desu eilo de vida. Esto éeberia ‘permit el segsimiento de los cambios en los elertentos dela configuracién a raves de sus Aliferentes estados, por eemplo:sliitao, ecibido, en prucbas de aceplaién, activo, bajo ‘cambio, retirado yelimnado. La informacin dela configuracién e deberia mantener adulizaday disponible para: los planes, la toma de decisionesy laealizacién de cambios as configurciones definiNORMA TECNICA, PERU. -20000-2 49 de62 Cuendo see requeride, Ia informaciin de le configurecién deberia estar accesible ‘usuarios, clientes, siministradoresy socies para dares apoyo ensus planes y en la tome de ecisiones, Por ejemplo, un proveedar extemo de servicios podria poner accesible su informacién de In configuracin 2 ls clientes y a ott pares, para dar soporte a los procesos de gestién del servicio del resto de las partes implicadas para un servicio completo extemo aextremo Los informes de gestin de la configuracin deberian estar disponbles para fod ls partes conespendientes, Los informes deberian cubvir: la idetificacién y el estado de los ‘lemeantos de la configuracién, sus versiones y la decumentaciénasocis. Los informes deberian eubrir 8) as timas versiones de ls. tos dela configuracin: b) te lovalizacién del elemento de configuaciér y, para el software, Ia localizacion de las versiones maestas; ©) interdependencas 4) storia dea versions ©) estado de los elementos de a confguracién que canjuntamente eonstiuya » 1) umeambio, wna linea de referencia, un paquetedeinstaacin o una ence ©) una versino ua variate oa, Verificacién y auditoria de fa configuracién Los procesos de verifeaciin y auditoria, en sus aspectos isices y uncionales, se deberian plaifieary se deberia realizat una comprobacin para asegurarq fadecuadas estén establecidos pare: 8) proteger as configuraciones fisicas y el ital intelectual dela‘NORMA TECNICA NIP-ISOMEC 2000-2 PERUANA b) __asegurar que el proveedor del servicio tiene el control de sus configuraciones, las copias maestrasy las licencias, ©) garamizar que Ia informecién de la configuracion esta actualizde, controlada y es visible; 4) asegurar que un cambio, una entregs, un sistams o un entomo es conforme 3 Jos requisitos contatados 0 especficados y que ls registos de la configuracin son Periddicamente se deborian realizar auitorias de la configircién, antes y después de wn cambio importante, después de un desasrey a intervalosalestorics Las deficieneis y as no conformidades se deberian registrar, evalua ¢ iniciar una accién ccorrestiva, actuar sobre ella; y se debera realimentar alas partes correspondiente asi ‘ono establecer un plan de mjora del servicio. NOTA: Natanete by do tps de ora es confer: 2) audi fiend configure: un examen onl pra vein que on ements configwactin lettzdo lofi 9 cases fnloals expends en 55 ecumentor de config, 1) sori ie det configured: un exanen frm de canis sen ale ‘vis don lament de eofiguacon «pars vere Su confomidnd cn sus documents onfiguracn el prod. 92 Gestion del cambio Objetvo: Asegurar que todos los cambios son evaluados, aprobados, implementados y revisados de una forma controlada. 924 Planifieacin e implant Los procesasy procedimientos de gestdn de cambio deberiangarantzar queNORMA TECNICA NTP-ISOMEC 20000-2 PERUANA Side 62 2) Tos cambios tienen slaramnente definido y documentado su sleance: 8) sélo son aprobados fos cambios que proporcionan beneficios al negocio, por sjomplo: comerciales, legales, regelatoros oestatuarios; ©) los cambios son planificados en base ala sida ya esgo; 4) los cambios elas configuraciones pueden se verificados dur implementacign del cambio ©) cuando see requerido, cl plszo para Ia implementaciin de los cambios es supervisado y mejorad; 1) puede demosiase e6mo un cambio es: 1) generado,registado y clasii dieronorigen al eambio): 2) evalua en relecin al impacto, la urgencia e costo, tos beneficios y el riesgo del cambio en el servicio, en los clientes y en les planes de despliegve, 3)» revertdo oremediado, sino 4) documeatado, por ejemplo, Ia solicited de cambio esté asociada a los tlementos de configurcién afectados, a la versién actualizade de la iimplementacia ya os planes de despiegue 5). aprobado o rechazado por una avloridad de cambios, dependiendo de su tipo, temaioo riesgo: 6) implementado por el responsable dasignado dentro de los grupos responsablesde os componentes asercembiados 7) probado, verifeado y entrogado: 8) cemado y revisado; 9) planificado, supervisado e ineluido en un informe 10) socio ¢ incidents, problems, tro cambio ya los regstos de elementos de configuracién, cuando sea apropiado. do (con la referencias a Jos documentos que El estado de los cambios y las fechas de implementacién punficadss se deberian usar ‘como base para la planificacion del cambio y del despliegue La informacion de planificacién deberia estar disponible para las personas afect cambio, por elNORMA TECNICA, ‘NTP-ISOMEC 20000-2 PERUANA. 52 de62 (Cuendo se pueda ocasionar una pérdida del servicio durante el horario normal del servicio, las personas afetadas deberian acordar el eambio antes desu implementacin. 922 (Clerve y revisién de una solicitud de cambio ‘Todos los cambios se doberian revisar en releciéa a su éxito 0 fillo después de Ta Jmplementcién y cualquier mejore deberie ser regisirada. Se debevia realizar una revision ‘esputs de a implementacisn en ls cambios principales para comprobar que 2) el cambio cumple sus objetivos: b) —_losclientes estin satisfechos con los esutadas; ©) no hahabido efectos colateralesinesperados. “Toda no conformidad se dcbera registrar y tomarse las accones petinentes. CCualquier debilidad o deticiencia idenifcada en la revision det proceso de gestion del cambio, deberaalimentar los panes de mejora del servicio, 923 ‘Cambios de emergencia [En ocasiones se require la reslizacién de cambios de emerzencia, y cuando sea posible, = configuacién, nuevos 0 ‘amnbiads,requeridos para efeetuar los cambios atorizades,NORMA TECNICA NTP-IoMEC 20000-2 PERUANA, 54.4662 [El proveedor del servicio se deberiaasegurar de que los aspectasténieos y no téenicos de In entega son considerados deforma conjunts Los elementos de Ia enteza deberian poder ser trzables y no ser modiiesbles. Solo se eberian aceptar en cl entomo de produccion las eniregas adecuadas, probadas y proba. 1012 Politica de entrega ‘Deberia existiruna poitien de enrega que incloya: 2) In feeuenca ytipos de entregas, 1b) losroles y ls rexponssbildades para la gestin dela entrega; (©) Ia autoridad para pasar la entrege Tos entornas de pruebas de aceptacn y produectén: 4) unm denticacin y deseripsin die para odas las entegas; ©) —_unaaproximacién en tomo a la agruptein de los eambios en una enttegas 1) una aproximacién para la automatizscidn de los procesos de eoastruccin, instalacién, y distibueién de Te entega para ayedar a su repetiblidad y a su cficienia 8) lavetifieaién y le aceptaién de una entregs 10.13 Planificacién dela entrega y del despliegue [El proveedor del servicio deberia trabajar conjuntameste con el negocio pars asegurar que los elementos de configuracion que se van a desplegar en una entrega son compatibles ‘entre siy con los elementos de configuracién del entorno de destina,NORMA TECNICA \NTP-SOMEC 20000-2 PERUANA SSde62 La planificacién de Ja entrega deberia asegurar que los cambios de los sistemas de informacién, infiestrcturas, servicios y documentacién afectados son acordados, sutorizados,planifcados, coordinados y que se reali un seyuimiento de los mismos. La enirega y el despliegue se deberian planificar en elapes ya que los detalles del desplieue podrian no ser cnocios inicalmente Luplanificaidn de una entreg y dl despliegue normalmente debera inci: 5) las fechas dela entregay la deserpein de los entregabes; b) los cambios y° problemas relacionados, errores conocidos cerrados © resultos pot esta entrega ¥ errors conecidos que hayan sido identificados durantes Jas pruebas de la entre: ©) los procesos relacionadas para Ia implementacién de una entrega a lo largo {detodo ef negocio y las diferentes unidades geogrificas, al modo cn el que se dark marcha atris de Ta entroge 0 en que esta se remediar si no Se coneluye con éxito: ©) losprocesos de verificacin y aeptacin; 1) te comunicacién, preparacién, documentacién y formacién para los clientes ‘y personal de apoyo: 2) Im Togistica los procesos implicados para realizar la compra, el Aalmacenamiento, la expediei, I conexién, la aeepacién y Ia puesta & dispsicion delos Benes; 1h) Ios reeursos de apoyo necesarios para ascpurar el mantenimiento de los niveles de servicios ) _Inidentiicacin de las dependencas, los cambios relacionados y los rieseos ‘ssociados que pueden perjudicer ©] paso sin eompleaciones de una entepa a Tos tentorios de pruebas de Sceplaciony de produccion; 3) In auterizaciin dela entreg:NORMA TECNICA, NTP-ISOMEC 20000-2 PERUANA. Séde 1) el calendario de auttorias del entomo de produecién cuando sea necesario vegurar, para aewalizaciones de gran tamaflo, que el entomo de preduccién esti en cesta experado en el momenta de instar la enteg, 10.1.4 Desarrollo o compra de software ‘Se deberian verificar en el momento de Ia recepeién, ls enttegas de sistemas de informacién y de software provenientes de equipos de desaroll props, desarroll de sistemas, integradoresv ots orpanizaciones [El proceso completo se deberis documentar en el plan de gettin dela configuracién, 101.5 Disebiar,construiry configarar una entrega Los procesos de gestién de ln entega y distribucign se ds pare ran diseRar ¢ implementar 8) __asegurar que existe conformidad oon la argutectura de sistem, Ia gestion Gel servicio y Tas normas de infaestructurs del proveelor del servicio; 1b) —-mantoner Ia integridad durante la consirucién,instalecién, manipulacn, sempaqueiad y entrees; ©) usar bibliotecas de software y repostorios relacionados para gestionar y controlar fos componentes durante los procesos de onstruccién y e entrega 4) asegurar que los riespos estén claramente identificados y que se pueden evar eabo acciones de reeuperacia si se requieren; ©) habilitar verificaciones antes de Ia instalscién para comprobar que Ta Plataforma de destino satisfac ls requistos previo; 1) habilitar verfcaciones que comprucben que una entrege esté completa suando Nga asu destino,NORMA TECNICA [NTP-ISOMEC 20000-2 ‘PERUANA 57é062 Las salidas de este proceso deberian incluir las nolas de Ia enreg, las instrucciones de instalaciny l software y hardware ye inetalados, en relaci a linea de referencia de la configuracion Lassa das de lo entrega se deberfan entregnr al grupo responsabe de i prucbas Los procesos de constrceién,gestién de Ia entrega y distribucion se deberian automatizar pare redueir erores,asezurando que el proceso es repetible y que se pueden desplegar ipidamente las auevas enrepas. 10.6 Verificacién y aceptacion de Ia entrega El resuitedo final deberia set na aprobacién basada en el grado en al que el paquete ‘completo dela entregerecoge In totalida de los requisits, Los procesos de verificacién y aeeptacin deberian 8) verificar qe ef entorno contolado de las pruchas de acept Tos requisites del entome de produccidn de destino mn se asta a 1b) asegurar que la entega se ha creado 2 partir de versiones bajo el control de festdn de Ia configuracion y que se han insiafado en ef entomo de pruebas de ceplacin usando el proceso de produecidn planificado; ©) verifcar que se ha completado el nivel adecuadd de pruebss, por ejemplo, pracbas funcionales y no funcional, praca de eceptacién por el negocio, prucbas fn los procedimientos de constuccion, despliegue de versiones, distroucion instalaciém;, 6) asegurar que Ia entrega es probada « la satisiaeciba de los elie negocio y del personal del proveedor del servicio; et ©) asegurar que Ja autoridad apropiada en cuanto a ls gestiin de Ia entega, prueba ceda etapa de las pruebas de acepracién 1) verificar antes de Ia instalacién que la platafonma de destino satisfoce los requisitos previos de sofware y hardware; 8) vetifiear que la entegs esti complets cuando lega su destino.ee NORMA TECNICA, NIP-ISOMEC 200002 PERUANA 58 de 62 10.7 Documentacion ‘La documentaeién apropiada deberia estar disponible en su totalidad y almacenada segtin le getion de ls eonfiguracifn en referencia al elemento de configuracion desplegado. Esta ddocumentaciGn deberia incluir: 8) la documeniacion de spayo, pr ejemplo, los acuerdos de nivel de servicio; b) ta documentacién de apoyo, por ejempla, ef esquema del sistema, los procedinientos de insilacién y de soporte, las ayudas para el diagnéstco y las instrucciones de operacén y administacin; ©) tos procesos de construcién, despliegus de versiones, instalaciin_y tribuciéas 8) tos planes de contingencia y marcha ats; ) la planificacién de la én pata los responsables del servicio, el personal de apoyo los clientes; la planiicacién del enttenamiento para ls responsables del servicio, ol personal de apoyo y los clientes; uma lines de referencia de Ia configuractn pata la entrega, incluyendo clementos de configuracién asociados tales coro documentacion del sistema, fenfomos de pruebas, dacumentacién de pruebas y versiones de las herramientas de construcciény desarollo; 2) los cambios, problemas y erores conocidos relacionados; hy Ins evidencias de la autrizacidn de la entregn y ls evidencias relacionadas ela verificacion y la aceptacién Sin sistema o servicio no cumple completamente con ls requistosespeificados para él, antes de pasar a produccin se deberi identiear y reyistrar mediante Ia gest de la ‘onfiguraciny la gestin del problema, ‘La informacién sobre errores conocidos se deberi eomunicar al gestin del incidents Si la entegs es rechazada, rerasada o canceada, se deberis informar ala gestiin del cambio.NORMA TECNICA NIP-ISONEC 20000-2 PERUANA, 59de 10.18 Desplicgue, distribucidn einstalacion Se deber seg revisar el plan de despiegue y se deberianafiadir doulles, si es necesario, para que so vane llevar e cabo todas Tes sotividadesnecesari, Es importante que ls entega sea proporcionads de un modo sepuro para su destino en ef tstado esperado, Los procesos de despicgue, distibucién e insleciGn deberian asegurar swe: 8) tedaslaszonas de almacenamiento de hardware y sofware son seguras; b)_existen provedimientos adccuados para el almicenamiento, expedicion, recep yeliminacién de bienes ©) sepleniican y completan las comprobaciones sob las insalacionesfsicas, entomo, fas instalacioneselétrcasy otros servicio; 6) se notfican as nuevas entregas al personal del negcto y de proveeder del © se eliminan Ios products, servicios y licencis que queda sin uiligad tas Ta neva enttsga, Después de wna distibucion de software en una red es esencial comprobar que ls ntrega est completa y es operativa cuando Tega 2 su destino Los registios de actives y de a gestidn de Ia configuracin se deberianactulizar con In bicseion y el propietario del software y el hardware teas una instalacién levada a cabo con éxito, Se deberia usit un curstonario de satisfccién y azepacién por parte de eliente fe la insialacén pare registrar el éxito 0 el fracaso de dicha instlacién. Todos los resultados de las encuestas de satisfccion de los clientes deberien constituir ut realimentcidn para la gestién de ls eacianes eon el negocio 10.1.9 Postimplantacién y despliegue dela entregn Se deberie medir y analizar el nitnero de incidentesreacionsios con una entrega en el ‘enodo inmedistamente posterior a un despiegue para evalua su impacto ex el negocio, fn Tas operaciones y en los recursos de personal de apoyoNORMA TECNICA, NTP-ISOMEC 200002 PERUANA Godeo2 El proceso de gestn del cambio debesi inclu usa revision post plantacion, Las recomendciones se deberianincluiren un plan de mejera del servicio. u, ANTECEDENTE ISOMEC 20000-2:2005 Information technology - Servioe management Part 2: Code of pactNORMA TECNICA NTPASOMEC 200002 PERUANA, GL de 62 BIBLIOGRAFIA L ISOMEC 20000-1 Tecnologia de la infoemacidn. Gestion del servicio. Parte 1: Bspecificaiones 2 ISONEC 17799 Tecnologia de la Informacién Cédigo de buenas preticas pare Ja Gestion de la Seguridad de a Informacion. 3 ISOMEC 12207 Tecnolog{a de a informacién, Procesos del cicto de vida det software 4 ISOMEC TR 15271 Tecnologia de ta informacion. Diretices para la ‘plicaciin de la Norma ISOMEC 12207 (Procesos del ciclo de vide del software} 5 ISOBC TR 16326 Ingenieria de sistemas. Ditties paral aplicaciin de a Norma ISOVTEC 12207 a a gestin de proyectos 6 ISOVIEC 15288 Ingenieria de sistemas. Procssos del sistema de cielo de vide, 1 ISOMEC TR 19760 Ingenieria de sistemas. Guia para le aplicacion de Ia [Norma ISOMEC 15288 (Procesos del sistema de cielo de vids) 8 ISOMEC 15504-1 Teenok Pare 1: Conceptos y vocabulaio fa de I informacion. Evaluacién de proceso, 9. ISOMEC 155042 Teenologia de le informasiin, Evaluacién del proceso, Parte 2 Itepretacion de la evaluacin, 10. ISOMEC 15804-3 Tecnologia de la informaciéa. Evaluacién del proceso, Parte 3: Disootices par a interpreaein de la evaluacién ie ISOMEC 15504-1 Tecnologia de Ia jnformacién. Evaluacién del proceso. Parte 4: Gula de uso para Ia mejora del proceso y la deterninacin de Ta capacidad del proceso. 2, ISOAEC 155045 Tecnologia de Ia informecién. Evaluacién del proceso. Pare 5: Un modelo de evaluacin del proceso.NORMA TECNICA NTPAISOMEC 2000-2 PERUANA, 62 de62 stn de Ia calicad, Direct para la gestion de 4. 180 9000 Sistemas de gestin de a eaidac. Fundamentos y voeabulari, 15, 180 9001 Sistemas de gesiin de la calidad. Requsitos. 16. ISOIIEC 90003 Ingenieria del software. Guia de apicacién de la 180 9001:2000 a software.