Norma UNE ISO/IEC 20000

La norma UNE ISO/IEC 20000 "Tecnología de la información. Gestión del servicio" fue elaborada originalmente por el British Standards Institution (BSI) como BS 15000 y adoptada por ISO con algunas variaciones y publicada como norma ISO en 2005. La norma se divide en dos partes:

• ISO/IEC 20000-1:2011 Parte 1: Especificaciones. Contiene los requisitos para lograr la conformidad y, en consecuencia, es certificable. Generalmente utiliza la palabra “deben”. En abril de 2011 se lanzo una última versión de está parte, editandose la versión en español en diciembre de 2011 apareciendo com UNE-ISO/IEC 20000-1:2011.
• ISO/IEC 20000-2:2012 Parte 2: Código de buenas prácticas. En febrero de 2012 se publicó la última versión, de momento en español sólo está la traducción de la versión de 2007 como UNE-ISO/IEC 20000-2:2007 esperandose que aparezca publicada la nueva versión traducida en 2013.

La ISO/IEC 20000-1:2011 es decir la parte 1: Requisitos del Sistema de gestión del servicio (SGS). especifica al proveedor del servicio los requisitos para planificar, establecer, implementar, operar, monitorizar, revisar, mantener y mejorar un SGS. Los requisitos incluyen el diseño, transición, provisión, y la mejora de los servicios para satisfacer los requisitos de servicio Contiene los requisitos para lograr la conformidad y, en consecuencia, es certificable. Generalmente utiliza la palabra “deben”.
La ISO/IEC 20000-2:2012 es decir la parte 2: Código de buenas prácticas, proporciona una guía y recomendaciones orientadas a la puesta en marcha de la gestión del servicio:

• Para implementadores.
• Para auditores.
  
• Para consultores.

Al tratarse de una guía, no es certificable y utiliza generalmente la palabra “deberían”.

Complementarias a estas tenemos:

• ISO/IEC 20000-3:2012 Parte 3: Directrices para la definición del alcance y aplicabilidad de la Norma ISO/IEC 20000-1. En España está publicada la versión UNE-ISO/IEC TR 20000-3:2011 IN corespondiente a la norma ISO/IEC 20000-1:2005.

• ISO/IEC TR 20000-4:2010 Parte 4: Modelo de referencia de procesos un informe técnico (Part 4: Process reference model)

• ISO/IEC TR 20000-5:2010 Parte 5: Modelo de plan de implementación de la Norma ISO/IEC 20000-1  un informe técnico (Part 5: Exemplar implementation plan for ISO/IEC 20000-1)
  
  

Tambien se encuentra publicada la ISO/IEC 27013:2012, Está norma es un Guía para la implementación integrada de las normas ISO / IEC 27001 e ISO / IEC 20000-1, es decir nos ayuda a montar un sistema de gestión que integre un SGSI (Sistema de gestión de la Seguridad de la información) y un SGS (Sistema del Servicio), proporcionándonos las directrices necesarias para la aplicación integrada de ambas normas.
Habitualmente en muchas organizaciones nos solemos encontrar que hay una estrecha relación entre la seguridad de la información y la gestión del servicio por lo que esta integración produce múltiples ventajas a la hora de adoptar los estándares: ISO/IEC 27001 para la seguridad de la información e ISO/IEC  20000-1 para la gestión del servicio.
La norma ISO/IEC 27013:2012, Tecnología de la información - Técnicas de seguridad - Directrices para la aplicación integrada de las norma ISO/IEC 27001 e ISO/IEC 20000-1 (ISO/IEC 27013:2012, Information technology – Security techniques – Guidance on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1), proporciona una guía enfocada a que se pueda utilizar tanto si:

• Ya tenemos implantado alguno de los dos sistemas previamente y queremos implantar el otro.
• Si ya tenemos los dos sistemas montados y queremos integrarlos.
  
• Queremos realizar una implantación conjunta de ambas normas ISO/IEC 27001 e ISO/IEC 20000-1
  

Algunos de los beneficios de una aplicación integrada son:

• Redución de costes al realizar un programa integrado.
  
• Reducción de tiempos de ejecución debido al desarrollo integrado de los procesos comunes a ambas normas.
  
• Eliminación de duplicaciones.
  
• Facilita la comunicación y el entendimiento entre el personal de administración de los servicios y el personal de seguridad.
  

Reduce el riesgo ofreciendo apoyo fiable de profesionales de la tecnología de la información (internos o subcontratados), cuando y donde más se necesita. Esto ayuda a poner cualquier situación de tecnología de la información bajo control inmediato y disminuye sus daños potenciales, mejorando la productividad de los empleados y la fiabilidad del sistema de tecnología de la información. Y lo que es más, la certificación aporta motivación a la organización y demuestra la fiabilidad y calidad de los servicios de tecnología de la información para empleados, partes interesadas y clientes.