Ntc-Isoiec20000-1gestion Del Servicio Parte 1 Req Del SGS

NORMA TÉCNICA COLOMBIANA
NTC-ISO/IEC 20000-1
2018-12-12
TECNOLOGÍA DE LA INFORMACIÓN.
GESTIÓN DEL SERVICIO. PARTE 1:
REQUISITOS DEL SISTEMA DE GESTIÓN del
SERVICIO
E: INFORMATION TECHNOLOGY. SERVICE MANAGEMENT.

PART 1: SERVICE MANAGEMENT SYSTEM REQUIREMENTS
CORRESPONDENCIA: Esta norma es una adopción idéntica (IDT) de la norma

ISO/IEC 20000-1:2018
DESCRIPTORES: tecnología de la información; sistema de gestión, sistema de

Ejemplar para uso exclusivo - ICONTEC - UT EDUCACIÓN PARA DOCENTES -
gestión del servicio; servicio; información
I.C.S.: 35.020; 03.080.99
® ICONTEC 2019
Reservados todos los derechos. Ninguna parte de esta publicación puede ser reproducida o utilizada
en cualquier forma o por cualquier medio, electrónico o mecánico incluyendo fotocopiado y
microfilmación, sin permiso por escrito del editor.
Editada por ICONTEC. Apartado 14237 Bogotá, D.C. - Tel. (571) 6078888
Segunda actualización
Prohibida su reproducción | Editada 2019-05-02
Impreso por: Consulta 2023-1


PRÓLOGO
El Instituto Colombiano de Normas Técnicas y Certificación, ICONTEC, es el organismo nacional

de normalización, según el Decreto 1595 de 2015.
ICONTEC es una entidad de carácter privado, sin ánimo de lucro, cuya Misión es fundamental
para brindar soporte y desarrollo al productor y protección al consumidor. Colabora con el sector
gubernamental y apoya al sector privado del país, para lograr ventajas competitivas en los
mercados interno y externo.
La representación de todos los sectores involucrados en el proceso de Normalización Técnica

está garantizada por los Comités Técnicos y el período de Consulta Pública, este último
caracterizado por la participación del público en general.
La NTC-ISO/IEC 20000-1 (Segunda actualización) fue ratificada por el Consejo Directivo de

2018-12-12.
Esta norma está sujeta a ser actualizada permanentemente con el objeto de que responda en
todo momento a las necesidades y exigencias actuales.
A continuación, se relacionan las empresas que colaboraron en el estudio de esta guía a través
de su participación en el Comité Técnico 181 Gestión de T.I.
AUDIT TRUST SERVICES SAS PROJECT ADVANCED MANAGEMENT SAS

CROSS BORDER TECNOLOGY SAS SERVIENTREGA S.A.
GSC OUTSOURCING SAS SOCIETAL SECURITY
HEWLETT-PACKARD COLOMBIA SAS TECNIPAGOS S.A.
MINISTERIO DE TECNOLOGÍAS DE LA UNIVERSIDAD COOPERATIVA DE
INFORMACIÓN Y LAS COMUNICACIONES COLOMBIA CALI

DE COLOMBIA
Además de las anteriores, en Consulta Pública el Proyecto se puso a consideración de las

siguientes empresas:
ASOCIACIÓN BANCARIA ESTRATEGIAS EMPRESARIALES DE

(ASOBANCARIA) COLOMBIA E&E SAS
AUDIT CPA SAS ÉTICA Y TECNOLOGÍA SAS
AVIANCA S.A. FINANCIERO
BANCO AGRARIO DE COLOMBIA FLUIDSIGNAL GROUP S.A.
BANCO DAVIVIENDA FONDO NACIONAL DEL AHORRO
BANCO DE OCCIDENTE GAMA CONSULTING SAS
BPOCONSULTORES GERENTEDENEGOCIOS.COM SAS
BUSINESS PROCESS SERVICES SAS GESTIÓN & ESTRATEGIA SAS
CARLOS JULIO DIAZ RIVEROS GOVERNATI
CERTICAMARA S.A. GR COMPLIANCE
CLARO GREENSQA S.A.
COMPENSAR HEWLETT PACKARD COLOMBIA LTDA.
ECOPETROL S.A. INSTITUTO COLOMBIANO PARA LA
EFECTIVO LTDA. (EFECTY) EVALUACIÓN DE LA EDUCACIÓN (ICFES)
ENEQUIPO S.A.S. LUIS FERNANDO LEGUIZAMO SAS
NEC DE COLOMBIA S.A.

NEWNET S.A. SERVICIOS INTEGRALES PARA LA
OLIMPIA MANAGEMENT S.A. MOVILIDAD - CONSORCIO (SIM)
ORGANISMO NACIONAL DE TODO1
ACREDITACIÓN DE COLOMBIA (ONAC) TOP FACTORY S.A.
OTIS ELEVATOR COLOMBIA TÜV NORD MÉXICO
PACIFIC STRATUS ENERGY COLOMBIA UNIVERSIDAD ECCI
LTD UNIVERSIDAD NACIONAL ABIERTA Y A
PORTELA & GONZALEZ ASOCIADOS SAS DISTANCIA (UNAD)
PREVISORA SEGUROS S.A. UNIVERSIDAD NACIONAL DE COLOMBIA
PROTECCIÓN S.A.
ICONTEC cuenta con un Centro de Información que pone a disposición de los interesados
normas internacionales, regionales y nacionales y otros documentos relacionados.
DIRECCIÓN DE NORMALIZACIÓN

PRÓLOGO
ISO (la Organización Internacional para la Normalización) e IEC (Comisión Electrotécnica

Internacional) forman el sistema especializado de normalización mundial. Los organismos
nacionales que son miembros de ISO o de IEC participan en el desarrollo de Normas
Internacionales por medio de los comités establecidos por la respectiva organización para tratar
los campos particulares de la actividad técnica. Los comités técnicos de ISO e IEC colaboran en
los campos de interés mutuo. Otras organizaciones internacionales, gubernamentales y no
gubernamentales, en unión con ISO e IEC, también toman parte en el trabajo. En el campo de la
tecnología de la información, ISO e IEC han establecido un comité técnico conjunto, el comité
ISO/IEC JTC 1.
Los procedimientos usados para desarrollar este documento, y los previstos para su
mantenimiento posterior se describen en las Directivas ISO/IEC, Parte 1. En particular, es
conveniente tener en cuenta los diferentes criterios de aprobación necesarios para los diferentes
tipos de documentos. Este documento se redactó de acuerdo con las reglas editoriales
establecidas en la Parte 2 de las directivas de ISO/IEC.
Se llama la atención sobre la posibilidad de que algunos de los elementos de este documento
puedan estar sujetos a derechos de patente. ISO e IEC no asumen responsabilidad por la
identificación de cualquiera o todos los derechos de patente. Los detalles de los derechos de
patente identificados durante el desarrollo del documento se encontrarán en la Introducción y/o
en la lista de declaraciones de patente recibidas (véase www.iso.org/patents).
Cualquier nombre comercial usado en este documento es información que se suministra para
conveniencia de los usuarios y no constituye respaldo a él.
Para una explicación de la naturaleza voluntaria de las normas, el significado de los términos y
expresiones de ISO relacionados con la evaluación de la conformidad, así como la información
acerca de la adhesión a los principios de la Organización Mundial del Comercio (OMC) sobre
Obstáculos Técnicos al Comercio, consulte la siguiente URL: www.iso.org/iso/foreword.html .
Este documento fue elaborado por ISO/IEC JTC 1, Information Technology, SC 40, IT Service
Management and IT Governance.
Esta tercera edición cancela y reemplaza la segunda edición (ISO/IEC 20000-1:2011) cuyo
contenido técnico ha sido actualizado.
Los cambios principales en relación con la edición anterior son:
a) Se reestructuró de acuerdo con la estructura de alto nivel utilizada para todas las normas
de sistema de gestión (del Anexo SL del Suplemento ISO Consolidado, de las Directivas
ISO/IEC Parte 1). Se han introducido nuevos requisitos comunes para el contexto de la
organización, la planificación para alcanzar objetivos y acciones para abordar los riesgos
y las oportunidades. Existen algunos requisitos comunes que han actualizado requisitos
previos, por ejemplo, información documentada, recursos, competencia y toma de
conciencia.

b) Se tuvieron en cuenta las tendencias crecientes en la gestión de servicios, incluidos temas
como la mercantilización de los servicios, la gestión de múltiples proveedores mediante
un integrador de servicios interno o externo y la necesidad de determinar el valor de los
servicios para los clientes.
c) Se eliminaron algunos detalles para concentrarse en qué hacer y en permitir a las

organizaciones la libertad en relación a cómo cumplir con los requisitos.
d) Se incluyeron nuevas características, como la adición de requisitos sobre el conocimiento

y la planificación de los servicios.
e) Se separaron numerales que anteriormente estaban combinados para gestión de

incidentes, gestión de solicitud de servicios, gestión de continuidad de servicios, gestión
de disponibilidad de servicios, gestión de nivel de servicios, gestión de catálogos de
servicios, gestión de capacidad y gestión de demanda.
f) Se cambió el nombre de "Gobernanza de procesos operados por otras partes" a "Control

de partes involucradas en el ciclo de vida del servicio" y se actualizaron los requisitos
para incluir servicios y componentes de servicios, al igual que procesos. Se aclaró que la
organización no puede demostrar conformidad con los requisitos especificados en este
documento si se usan otras partes para proporcionar u operar todos los servicios,
componentes de servicios o procesos dentro del alcance del SGS.
g) El numeral 3 (Términos y definiciones) se separó en subnumerales para los términos de

sistemas de gestión y para los términos de gestión del servicio. Hay muchos cambios en
las definiciones. Los cambios clave incluyen:
1) se agregaron algunos términos nuevos para el Anexo SL, por ejemplo, "objetivo",
"política", y se han agregado algunos específicamente para la gestión del servicio,
por ejemplo, "activo", "usuario";
2) el término "proveedor de servicios" se reemplazó por "organización" para ajustarse

al texto común del Anexo SL;
3) el término "grupo interno" se reemplazó por "proveedor interno" y el término

"proveedor" se reemplazó por "proveedor externo";
4) la definición de "seguridad de la información" se ha alineado con la ISO/IEC 27000.

Posteriormente, el término "disponibilidad" se reemplazó por "disponibilidad del
servicio" para diferenciarlo del término "disponibilidad" que se utiliza hoy en día en
la definición actualizada de " seguridad de información".
h) Se minimizó la información documentada requerida, dejando únicamente documentos

clave tales como el plan de gestión del servicio. Otros cambios de información
documentados incluyen:
1) se eliminaron los requisitos para el plan de capacidad documentado y se

reemplazaron con requisitos para planificar la capacidad del servicio;
2) se eliminaron los requisitos para el plan de disponibilidad documentado y se

reemplazaron con requisitos para documentar los requisitos y objetivos de la
disponibilidad del servicio;
3) se eliminó el requisito para una configuración de la base de datos de gestión y se

reemplazó por requisitos para la información de configuración;

4) se eliminó el requisito de una política de versiones y se reemplazó por un requisito
para definir los tipos y frecuencia de las versiones
5) se eliminó el requisito de una política de mejora continua y se reemplazó por un

requisito para determinar los criterios de evaluación de las oportunidades de
mejora.
i) Se actualizaron las Figuras 2 y 3 y se modificó su numeración a Figuras 1 y 2. Se

eliminaron la Figura 1 y las referencias a Planificar, Hacer, Verificar, Actuar, ya que no se
usa específicamente en el Anexo SL debido a que con las normas de sistemas de gestión
se pueden usar muchos métodos de mejora.
j) Se trasladaron los requisitos de informes detallados del numeral de presentación de

informes de servicios a los numerales en donde es probable que se produzcan los
informes.
En el sitio web de ISO se puede encontrar una lista de todas las partes de la serie ISO/IEC 20000.


NORMA TÉCNICA COLOMBIANA NTC-ISO/IEC 20000-1 (Segunda actualización)
CONTENIDO
Página
0. INTRODUCCIÓN ........................................................................................................ i
1. OBJETO Y CAMPO DE APLICACIÓN ...................................................................... 1
1.1 GENERALIDADES .................................................................................................... 1
1.2 APLICACIÓN ............................................................................................................. 2
2. REFERENCIAS NORMATIVAS ................................................................................. 2
3. TÉRMINOS Y DEFINICIONES ................................................................................... 2
3.1 TÉRMINOS ESPECÍFICOS DE NORMAS DE SISTEMAS DE GESTIÓN ................. 2
3.2 TÉRMINOS ESPECÍFICOS A LA GESTIÓN DE SERVICIOS.................................... 6

4. CONTEXTO DE LA ORGANIZACIÓN ..................................................................... 10
4.1 COMPRENSIÓN DE LA ORGANIZACIÓN Y DE SU CONTEXTO .......................... 10
4.2 COMPRENSIÓN DE LAS NECESIDADES Y EXPECTATIVAS

DE LAS PARTES INTERESADAS .......................................................................... 10
4.3 DETERMINACIÓN DEL ALCANCE DEL SISTEMA DE GESTIÓN

DEL SERVICIO ........................................................................................................ 10
4.4 SISTEMA DE GESTIÓN DEL SERVICIO ................................................................. 10
5. LIDERAZGO ............................................................................................................ 11
5.1 LIDERAZGO Y COMPROMISO ............................................................................... 11
5.2 POLÍTICA ................................................................................................................ 11
5.3 ROLES, RESPONSABILIDADES Y AUTORIDADES EN LA ORGANIZACIÓN ...... 12

Página
6. PLANIFICACIÓN ...................................................................................................... 12
6.1 ACCIONES PARA ABORDAR RIESGOS Y OPORTUNIDADES ............................. 12
6.2 OBJETIVOS DE LA GESTIÓN DEL SERVICIO Y PLANIFICACIÓN

PARA LOGRARLOS ................................................................................................ 13
6.3 PLANIFICAR EL SISTEMA DE GESTIÓN DEL SERVICIO ..................................... 14
7. SOPORTE DEL SISTEMA DE GESTIÓN DEL SERVICIO ....................................... 14
7.1 RECURSOS.............................................................................................................. 14
7.2 COMPETENCIA ....................................................................................................... 14
7.3 TOMA DE CONCIENCIA .......................................................................................... 15
7.4 COMUNICACIÓN ..................................................................................................... 15
7.5 INFORMACIÓN DOCUMENTADA ........................................................................... 15
7.6 CONOCIMIENTO ...................................................................................................... 17

8. OPERACIÓN DEL SISTEMA DE GESTIÓN DEL SERVICIO ................................... 17
8.1 PLANIFICACIÓN Y CONTROL OPERACIONAL ..................................................... 17
8.2 PORTAFOLIO DE SERVICIOS ................................................................................ 18
8.3 RELACIONES Y ACUERDOS .................................................................................. 20
8.4 OFERTA Y DEMANDA ............................................................................................. 22
8.5 DISEÑO, CONSTRUCCIÓN Y TRANSICIÓN DEL SERVICIO ................................. 23
8.6 RESOLUCIÓN Y CUMPLIMIENTO .......................................................................... 27
8.7 ASEGURAMIENTO DEL SERVICIO ........................................................................ 28
9. EVALUACIÓN DEL DESEMPEÑO ........................................................................... 30
9.1 SEGUIMIENTO, MEDICIÓN, ANÁLISIS Y EVALUACIÓN ....................................... 30

Página
9.2 AUDITORÍA INTERNA............................................................................................. 30
9.3 REVISIÓN POR LA DIRECCIÓN ............................................................................. 31
9.4 PRESENTACIÓN DE INFORMES DE SERVICIOS ................................................. 32
10 MEJORA .................................................................................................................. 32
10.1 NO CONFORMIDADES Y ACCIONES CORRECTIVAS.......................................... 32
10.2 MEJORA CONTINUA .............................................................................................. 33
DOCUMENTO DE REFERENCIA ....................................................................................... 33
FIGURAS
Figura 1. Sistema de gestión del servicio .......................................................................... ii
Figura 2. Relaciones y acuerdos entre las partes involucradas

en el ciclo de vida del servicio .......................................................................................... 20


INTRODUCCIÓN
Este documento ha sido elaborado para especificar los requisitos para establecer, implementar,
mantener y mejorar continuamente un sistema de gestión de servicios (SGS). Un SGS respalda
la gestión del ciclo de vida del servicio, incluida la planificación, el diseño, la transición, la entrega
y la mejora de los servicios, que cumplen los requisitos acordados y ofrecen valor para los
clientes, los usuarios y la organización que presta los servicios.
La adopción de un SGS es una decisión estratégica para una organización y está influenciada
por los objetivos de la organización, el organismo de gobierno, otras partes involucradas en el
ciclo de vida del servicio y la necesidad de servicios eficaces y resilientes.
La implementación y la operación de un SGS proporciona una visibilidad continua, control de

servicios y mejora continua que conducen a una mayor eficacia y eficiencia. La mejora de la
gestión del servicio se aplica a los SGS y a los servicios.
Este documento es independiente, en forma intencional, de una guía específica. La organización

puede usar una combinación de marcos aceptados generalmente y su propia experiencia. Los
requisitos especificados en este documento se alinean con las metodologías de mejora utilizadas
comúnmente. Las herramientas apropiadas para la gestión del servicio se pueden utilizar para
apoyar el SGS.
La norma ISO/IEC 20000-2 proporciona orientación sobre la aplicación de sistemas de gestión

de servicios, e incluyes ejemplos de cómo cumplir los requisitos especificados en este
documento. La norma ISO / IEC 20000-10 proporciona información sobre todas las partes de la
serie ISO/IEC 20000, beneficios, mitos y otras normas relacionadas. La norma ISO/IEC 20000-
10 incluye los términos y definiciones contenidos en este documento, además de términos no
utilizados en este documento pero sí en otras partes de la serie ISO/IEC 20000.
La estructura de los numerales (es decir, la secuencia de numerales), los términos del numeral
3.1 y muchos de los requisitos se tomaron del Anexo SL del Suplemento ISO Consolidado de las
Directivas ISO/IEC Parte 1, conocido como la estructura común de alto nivel (HLS) para las
normas de sistemas de gestión. La adopción de la HLS permite a la organización alinear o
integrar múltiples normas de sistemas de gestión. Por ejemplo, un SGS se puede integrar con
un sistema de gestión de la calidad basado en la ISO 9001 ó un sistema de gestión de seguridad
de la información basado en la ISO/IEC 27001.
La Figura 1 ilustra un SGS que muestra el contenido de los numerales de este documento. No
representa una jerarquía estructural, niveles de secuencia o autoridad. No hay ningún requisito
en este documento en relación con su estructura que se aplique al SGS de una organización. No
hay ningún requisito para que los términos utilizados por una organización sean reemplazados
por los términos utilizados en este documento. Las organizaciones pueden usar los términos que
se adapten mejor a sus operaciones.
La estructura de los numerales está prevista para permitir la presentación coherente de los
requisitos, en lugar de un modelo para documentar las políticas, los objetivos y los procesos de
una organización. Cada organización puede elegir cómo combinar los requisitos en los procesos.

La relación entre cada organización y sus clientes, usuarios y otras partes interesadas influye en
la manera en que se implementan los procesos. Sin embargo, un SGS diseñado por una
organización no puede excluir ninguno de los requisitos especificados en este documento.
Figura 1. Sistema de gestión del servicio
ii

TECNOLOGÍA DE LA INFORMACIÓN.
GESTIÓN DEL SERVICIO. PARTE 1: REQUISITOS
DEL SISTEMA DE GESTIÓN DEL SERVICIO
1. OBJETO Y CAMPO DE APLICACIÓN
1.1 GENERALIDADES
Este documento especifica requisitos para que una organización establezca, implemente,
mantenga y mejore continuamente un sistema de gestión de servicios (SGS). Los requisitos
especificados en este documento incluyen la planificación, el diseño, la transición, la prestación
y mejora de los servicios para cumplir con los requisitos de servicio y entregar valor. Este
documento lo puede usar:
a) un cliente que busque servicios y que exija el aseguramiento en relación con la calidad
de estos servicios;
b) un cliente que exija un enfoque consistente en relación con el ciclo de vida de los
servicios, a todos sus proveedores de servicios, incluyendo aquellos en la cadena de
suministro;
c) una organización, para demostrar su capacidad para la planificación, el diseño, la

transición, la prestación y la mejora de servicios;
d) una organización, para hacer seguimiento, medir y revisar su SGS y los servicios;
e) una organización, para mejorar la planificación, el diseño, la transición y la prestación de

servicios por medio de la implementación y la operación eficaces de un SGS;
f) una organización u otra parte que lleve a cabo evaluaciones de la conformidad con base
en los requisitos especificados en este documento.
g) un proveedor de formación o asesoría para la gestión de servicios.
El término “servicio” como se usa en este documento hace referencia al servicio o servicios en
el alcance del SGS. El término “organización” como se usa en este documento hace referencia
a la organización en el alcance de la SGS que gestiona y presta servicios a los clientes. Una
organización dentro del alcance del SGS puede ser parte de una organización mayor, por
ejemplo, un departamento o corporación de gran tamaño. Una organización o una parte de una
organización que gestiona o que presta uno o varios servicios a clientes internos o externos se
puede conocer como un proveedor de servicios. En este documento se distingue claramente
cualquier uso de los términos “servicio” u “organización” con una intención diferente.
1 de 33

1.2 APLICACIÓN
Todos los requisitos especificados en este documento son genéricos y están previstos de manera
que sean aplicables a todas las organizaciones, independientemente del tipo, el tamaño o la
naturaleza de los servicios que presten. Cuando una organización declara la conformidad con
este documento, no es aceptable la exclusión de ninguno de los requisitos de los numerales 4 a
10, independientemente de la naturaleza de la organización.
La conformidad con los requisitos especificados en este documento puede ser demostrada por
la organización misma, demostrando que cumple dichos requisitos.
La organización propiamente dicha es la que demuestra la conformidad con los numerales 4 y 5,

pero puede tener el apoyo de otras partes. Por ejemplo, otra parte puede llevar a cabo las
auditorías internas en nombre de la organización o apoyar la preparación del sistema de gestión
de servicios.
Como alternativa, una organización puede mostrar evidencia de que rinde cuentas por los
requisitos especificados en este documento y demuestra control cuando hay otras partes
involucradas en el cumplimiento de los requisitos de los numerales 6 a 10 (véase el numeral
8.2.3). Por ejemplo, la organización puede demostrar evidencia de controles a otra parte que
está suministrando componentes de servicios de infraestructura u operando la mesa de servicio,
incluido el proceso de gestión de incidentes.
La organización no puede demostrar conformidad con los requisitos especificados en este

documento si utiliza otras partes para prestar u operar todos los servicios, componentes de
servicios o procesos que están dentro del alcance del SGS.
El alcance de este documento excluye la especificación para productos o herramientas. Sin

embargo, este documento se puede usar para facilitar el desarrollo o la adquisición de productos
o herramientas que apoyan la operación de un SGS.
2. REFERENCIAS NORMATIVAS
No hay referencias normativas en este documento.
3. TÉRMINOS Y DEFINICIONES
Para los propósitos de este documento, se aplican los siguientes términos y definiciones.
ISO e IEC mantienen bases de datos terminológicos para uso en normalización, en las siguientes
direcciones:
- IEC Electropedia: disponible en http://www.electropedia.org/
- Plataforma ISO de navegación en línea: disponible en https://www.iso.org/obp
3.1 TÉRMINOS ESPECÍFICOS DE NORMAS DE SISTEMAS DE GESTIÓN
3.1 auditoría (audit). Proceso sistemático, independiente y documentado (3.1.18) para obtener
evidencia de auditoría y evaluarla objetivamente para determinar el grado en que se cumplen los
criterios de auditoría.

NOTA 1 a la entrada una auditoría puede ser una auditoría interna (primera parte) o una auditoría externa
(segunda parte o tercera parte), y puede ser una auditoría combinada (combinación de dos o más disciplinas).
NOTA 2 a la entrada la organización (numeral 3.1.14) o una parte externa en su nombre lleva a cabo una
auditoría interna.
NOTA 3 a la entrada "Evidencia de auditoría" y "criterios de auditoría" se definen en la norma ISO 19011.
3.1.2 competencia (competence). Capacidad de aplicar conocimientos y habilidades para

lograr los resultados previstos.
3.1.3 conformidad (conformity). Cumplimiento de un requisito (numeral 3.1.19).
NOTA 1 a la entrada La conformidad se relaciona con los requisitos de este documento, así como con los
requisitos de SGS de la organización.
NOTA 2 a la entrada La definición original del Anexo SL se modificó mediante la adición de la Nota 1 a la entrada.
3.1.4 mejora continua (continual improvement). Actividad recurrente para mejorar el

desempeño (numeral 3.1.16).
3.1.5 acción correctiva (corrective action). Acción para eliminar la causa o reducir la
probabilidad de recurrencia de una no conformidad (numeral 3.1.12) detectada o de otra situación
indeseada.
NOTA 1 a la entrada La definición original del Anexo SL se ha modificado adicionando texto al original “acción
para eliminar la causa de una no conformidad y prevenir su recurrencia”.
3.1.6 información documentada (documented information). Información que una

organización (numeral 3.1.14) requiere controlar y mantener, y el medio en el que está contenida.
EJEMPLO Políticas (numeral 3.1.17), planes, descripciones de procesos, procedimientos (numeral 3.2.11),
acuerdos de nivel de servicio (numeral 3.2.20) o contratos.
NOTA 1 a la entrada la información documentada puede estar en cualquier formato y medio y provenir de
cualquier fuente.
NOTA 2 a la entrada la información documentada puede referirse a:
- el sistema de gestión (numeral 3.1.9), incluidos los procesos (numeral 3.1.18) relacionados;
- la información creada para que la organización opere (documentación);
- la evidencia de los resultados logrados (registros (numeral 3.2.12)).
NOTA 3 a la entrada La definición original del anexo SL se ha modificado añadiendo ejemplos.
3.1.7 eficacia (effectiveness). Grado en que se realizan las actividades planificadas y se logran
los resultados planificados.
3.1.8 parte interesada (interested party). Persona u organización (numeral 3.1.14) que puede
afectar, verse afectada o percibirse a sí misma como afectada por una decisión o actividad
relacionada con el SGS (numeral 3.2.23) o los servicios (numeral 3.2.15)
NOTA 1 a la entrada una parte interesada puede ser interna o externa a la organización.
NOTA 2 a la entrada las partes interesadas pueden incluir partes de la organización que están fuera del alcance
del SGS, los clientes (numeral 3.2.3), los usuarios (numeral 3.2.28), la comunidad, los proveedores externos (numeral
3.2.4), los organismos de reglamentación, los organismos del sector público, las organizaciones no gubernamentales,
los inversionistas o los empleados.

NOTA 3 a la entrada Cuando las partes interesadas se especifican en los requisitos (numeral 3.1.19) de este
documento, las partes interesadas pueden ser diferentes dependiendo del contexto del requisito.
NOTA 4 a la entrada la definición original del anexo SL se ha modificado al eliminar en la definición el término
admitido "stakeholder" y al agregar "relacionado con el SGS o los servicios" y agregando las Notas 1, 2 y 3 a la entrada.
3.1.9 sistema de gestión (management system). Conjunto de elementos de una organización

(numeral 3.1.14) interrelacionados o que interactúan para establecer políticas (numeral 3.1.17),
objetivos (numeral 3.1.13) y procesos (numeral 3.1.18) para lograr esos objetivos.
NOTA 1 a la entrada un sistema de gestión puede abordar una única disciplina o varias disciplinas.
NOTA 2 a la entrada los elementos del sistema de gestión incluyen la estructura, los roles y las
responsabilidades de la organización, la planificación, la operación, las políticas, los objetivos, los planes, los procesos
y los procedimientos (numeral 3.2.11).
NOTA 3 a la entrada El alcance de un sistema de gestión puede incluir la totalidad de la organización, funciones
específicas e identificadas de la organización, secciones específicas e identificadas de la organización o una o más
funciones en un grupo de organizaciones.
NOTA 4 a la entrada La definición original del Anexo SL se modificó aclarando que el sistema es un sistema de
gestión y se enumeran otros elementos en la Nota 2 a la entrada.
3.1.10 medición (measurement). proceso (numeral 3.1.18) para determinar un valor.
3.1.11 seguimiento (monitoring). Determinación del estado de un sistema, un proceso (numeral

3.1.18) o una actividad.
NOTA 1 a la entrada para determinar el estado puede ser necesario verificar, supervisar u observar con sentido
crítico.
3.1.12 no conformidad (nonconformity). Incumplimiento de un requisito (numeral 3.1.19)
NOTA 1 a la entrada No conformidad se refiere a los requisitos de este documento, así como a los requisitos de
SGS de la organización.
3.1.13 objetivo (objective). Resultado por lograr.
NOTA 1 a la entrada un objetivo puede ser estratégico, táctico u operacional.
NOTA 2 a la entrada los objetivos se pueden relacionar con diferentes disciplinas (como finanzas, salud y
seguridad, gestión de servicios (numeral 3.2.22) y metas ambientales) y se pueden aplicar a diferentes niveles
(estratégico, a nivel de toda la organización, servicio (numeral 3.2.15) proyecto, producto y proceso (numeral 3.1.18)).
NOTA 3 a la entrada un objetivo se puede expresar de otras maneras, por ejemplo, como un resultado previsto,
un propósito, un criterio operacional, como un objetivo de gestión del servicio o mediante el uso de otras palabras con
un significado similar (por ejemplo, propósito o meta).
NOTA 4 a la entrada en el contexto de un SGS (numeral 3.2.23), la organización establece los objetivos de
gestión de servicios de conformidad con la política (numeral 3.1.17) de gestión de servicios para lograr resultados
específicos.
NOTA 5 a la entrada La definición del Anexo SL original se modificó agregando la gestión de servicios y el
servicio a la Nota 2 a la entrada.
3.1.14 organización (organization). Persona o grupo de personas que tiene sus propias
funciones con responsabilidades, autoridades y relaciones para lograr sus objetivos (numeral
3.1.13).
NOTA 1 a la entrada El concepto de organización incluye, entre otros, un comerciante individual, compañía,
firma, empresa, autoridad, sociedad, institución benéfica o de caridad, o parte o combinación de ellas, ya sea
constituida o no, pública o privada.
4

NOTA 2 a la entrada una organización o parte de una organización que gestiona y presta un servicio (numeral
3.2.15) o servicios a clientes (numeral 3.2.3) internos o externos se puede conocer como un proveedor de servicios
(numeral 3.2.24).
NOTA 3 a la entrada Si el alcance del SGS (numeral 3.2.23) comprende solo una parte de una organización,
cuando la organización utiliza en este documento hace referencia a la parte de la organización que está dentro del
alcance del SGS. Cualquier uso del término organización con un sentido diferente es claramente diferenciado.
NOTA 4 a la entrada la definición original del Anexo SL se modificó mediante la adición de las Notas 2 y 3 a la
entrada.
3.1.15 contratación externa (outsource). Adoptar disposiciones para que una organización
(numeral 3.1.14) externa realice parte de una función o proceso (numeral 3.1.18) de una
organización.
NOTA 1 a la entrada Una organización externa está fuera del alcance del SGS (numeral 3.2.23), aunque la
función o el proceso contratado externamente esté dentro del alcance.
3.1.16 desempeño (performance). Resultado medible.
NOTA 1 a la entrada El desempeño se puede relacionar con hallazgos cuantitativos o cualitativos.
NOTA 2 a la entrada El desempeño se puede relacionar con la gestión de actividades, procesos (numeral
3.1.18), productos, servicios (numeral 3.2.15), sistemas u organizaciones (numeral 3.1.14).
NOTA 3 a la entrada La definición original del Anexo SL original se modificó al agregar “servicios” a la Nota 2 a
la entrada.
3.1.17 política (policy). Las intenciones y dirección de una organización (numeral 3.1.14), tal
como las expresa formalmente su alta dirección (numeral 3.1.21).
3.1.18 proceso (process). Conjunto de actividades interrelacionadas o que interactúan, las

cuales usan entradas para entregar un resultado previsto.
NOTA 1 a la entrada si el "resultado previsto" de un proceso se denomina salida, producto o servicio (numeral
3.2.15) depende del contexto de la referencia.
NOTA 2 a la entrada las entradas a un proceso generalmente son las salidas de otros procesos, y los resultados
de un proceso generalmente son las entradas de otros procesos.
NOTA 3 a la entrada Dos o más procesos interrelacionados y que interactúan en serie también pueden
denominarse proceso.
NOTA 4 a la entrada Los procesos en una organización (numeral 3.1.14) generalmente se planifican y se llevan
a cabo en condiciones controladas para agregar valor.
NOTA 5 a la entrada La definición original del Anexo SL original se modificó de "conjunto de actividades
interrelacionadas o que interactúan, que transforma entradas en salidas". La definición original del Anexo SL también
se modificó al agregar las Notas 1 a 4 a la entrada. La definición actualizada y las Notas 1 a 4 a la entrada provienen
del numeral 3.1.4 de la norma ISO 9000: 2015.
3.1.19 requisito (requirement). Necesidad o expectativa establecida, generalmente implícita u

obligatoria.
NOTA 1 a la entrada "Generalmente implícita" significa que es una costumbre o práctica común de la
organización (numeral 3.1.14) y de las partes interesadas (numeral 3.1.8) que la necesidad o expectativa que se
considera sea implícita.
NOTA 2 a la entrada Un requisito específico es uno que se establece, por ejemplo, en información documentada
(numeral 3.1.6).

NOTA 3 a la entrada En el contexto de un SGS (numeral 3.2.23) los requisitos del servicio (numeral 3.2.26) están
documentados y acordados, no son generalmente implícitos. También puede haber otros requisitos tales como los
requisitos legales y de reglamentaciones.
NOTA 4 a la entrada La definición original del Anexo SL se modificó al añadir la Nota 3 a la entrada.
3.1.20 riesgo (risk). Efecto de la incertidumbre.
NOTA 1 a la entrada Un efecto es una desviación de lo esperado, ya sea positivo o negativo.
NOTA 2 a la entrada La incertidumbre es el estado, incluso parcial, de deficiencia de información relacionada

con la comprensión o el conocimiento de un evento, su consecuencia o su probabilidad.
NOTA 3 a la entrada El riesgo se caracteriza a menudo por la referencia a eventos (como se define en la Guía
ISO 73:2009, numeral 3.5.1.3) potenciales y consecuencias (como se define en Guía ISO 73:2009, numeral 3.6.1.3),
o a una combinación de estos.
NOTA 4 a la entrada El riesgo se expresa a menudo en términos de una combinación de las consecuencias de
un evento (incluidos los cambios en las circunstancias) y la probabilidad asociada (como se define en la Guía ISO 73:
2009, numeral 3.6.1.1) de que ocurra.
3.1.21 alta dirección (top management). Persona o grupo de personas que dirigen y controlan
una organización
NOTA 1 a la entrada La alta dirección tiene el poder de delegar autoridad y de proporcionar recursos dentro de
la organización.
NOTA 2 a la entrada Si el alcance del sistema de gestión (numeral 3.1.9) comprende solo una parte de una
organización, la alta dirección se refiere a quienes dirigen y controlan esa parte de la organización.
3.2 TÉRMINOS ESPECÍFICOS A LA GESTIÓN DE SERVICIOS
3.2.1 activo (asset). Elemento, cosa o entidad que tiene valor potencial o real para una
organización (numeral 3.1.14).
NOTA 1 a la entrada El valor puede ser tangible o intangible, financiero o no financiero, e incluye la consideración
de los riesgos (3.1.20) y la responsabilidad civil. Puede ser positivo o negativo en diferentes etapas de la vida del
activo.
NOTA 2 a la entrada Los activos físicos generalmente hacen referencia a equipos, inventarios y las propiedades
de la organización. Los activos físicos son lo opuesto a los activos intangibles, que son activos no físicos tales como
arrendamientos, marcas, activos digitales, derechos de uso, licencias, derechos de propiedad intelectual, reputación
o acuerdos.
NOTA 3 a la entrada Un grupo de activos que se conoce como un sistema de activos también se puede
considerar como un activo.
NOTA 4 a la entrada Un activo también puede ser un elemento de configuración (numeral 3.2.2). Algunos
elementos de configuración no son activos.
[FUENTE: ISO / IEC 19770-5: 2015, numeral 3.2, modificado. Se incluyó contenido nuevo en la
Nota 4 a la entrada].
3.2.2 elemento de configuración, EC (configuration item, CI). Elemento que es necesario

controlar para prestar uno o varios servicios (numeral 3.2.15).
3.2.3 cliente (customer). organización (numeral 3.1.14) o parte de una organización que recibe
uno o varios c (numeral 3.2.15).
EJEMPLO Consumidor, cliente, beneficiario, patrocinador o comprador.
NOTA 1 a la entrada Un cliente puede ser interno o externo a la organización que presta uno o varios servicios.
6

NOTA 2 a la entrada Un cliente también puede ser un usuario (numeral 3.2.28). Un cliente también puede actuar
como proveedor.
3.2.4 proveedor externo (external supplier). Parte que es externa a la organización con la cual
celebra un contrato para contribuir a la planificación, al diseño, a la transición (numeral 3.2.27),
a la entrega o a la mejora de un servicio (numeral 3.2.15), componente del servicio (numeral
3.2.18) o proceso (numeral 3.1.18).
NOTA 1 a la entrada Los proveedores externos incluyen a los proveedores principales designados, pero no a sus
proveedores contratados externamente.
NOTA 2 a la entrada Si la organización que está dentro del alcance del SGS es parte de una organización más
grande, la otra parte es externa a la organización más grande.
3.2.5 incidente (incident). Interrupción no planificada de un servicio (numeral 3.2.15), reducción

en la calidad de un servicio, o evento que aún no ha afectado el servicio al cliente (numeral 3.2.3)
o a los usuarios (numeral 3.2.28).
3.2.6 seguridad de información (information security). Preservación de la confidencialidad,

de la integridad y de la disponibilidad de la información.
NOTA 1 a la entrada Además, pueden estar involucradas otras propiedades tales como la autenticidad, la
rendición de cuentas, el no repudio y la confiabilidad.
[FUENTE: ISO / IEC 27000: 2018, numeral 3.28]
3.2.7 incidente de seguridad de la información (information security incident). Un evento o

una serie de eventos de seguridad de la información (numeral 3.2.6) no deseados o inesperados
que tienen una probabilidad significativa de comprometer las operaciones del negocio y de
amenazar la seguridad de la información
[FUENTE: ISO / IEC 27000: 2018, numeral 3.31]

3.2.8 proveedor interno (internal supplier). Parte de una organización (numeral 3.1.14) más
grande que está por fuera del alcance del SGS (numeral 3.2.23), que formaliza un acuerdo
documentado para contribuir a la planificación, al diseño, a la transición (numeral 3.2.27), a la
entrega o a la mejora de un servicio (numeral 3.2.15), componente de servicio (numeral 3.2.18)
o proceso (numeral 3.1.18).
EJEMPLO Compras, infraestructura, finanzas, recursos humanos, instalaciones.
NOTA 1 a la entrada El proveedor interno y la organización que está dentro del alcance del SGS son ambos
parte de la misma organización más grande.
3.2.9 error conocido (known error). problema (numeral 3.2.10) que tiene una causa raíz
identificada o un método para reducir o eliminar su impacto en un servicio (numeral 3.2.15)
3.2.10 problema (problem). Causa de uno o más incidentes (numeral 3.2.5) reales o
potenciales.
3.2.11 procedimiento (procedure). Forma especificada para llevar a cabo una actividad o un
proceso (numeral 3.1.18).
NOTA 1 a la entrada Los procedimientos pueden estar documentados o no.
[FUENTE: ISO 9000: 2015, numeral 3.4.5].

3.2.12 Registro (record). Documento que presenta los resultados obtenidos o proporciona
evidencia de las actividades realizadas.
EJEMPLO Informes de auditoría (numeral 3.1.1), detalles de incidentes (numeral 3.2.5), detalles de formación
o actas de reuniones.
NOTA 1 a la entrada Los registros se pueden usar, por ejemplo, para formalizar la trazabilidad y proporcionar
evidencia de verificaciones, acciones preventivas y acciones correctivas (numeral 3.1.5).
NOTA 2 a la entrada En general, los registros no necesitan tener control de las actualizaciones.
[FUENTE: ISO 9000: 2015, numeral.3.8.10, modificado. Se agregó el EJEMPLO].
3.2.13 versión (release). Conjunto de uno o más servicios (numeral 3.2.15) nuevos o
modificados, o de componentes del servicio (numeral 3.2.18) implementados en el ambiente de
producción como resultado de uno o más cambios.
3.2.14 solicitud de cambio (request for change). Propuesta de cambio en un servicio (numeral
3.2.15), componente del servicio (numeral 3.2.18) o en el SGS (numeral 3.2.23).
NOTA 1 a la entrada Un cambio en un servicio incluye la prestación de un servicio nuevo, la transferencia de un
servicio o la eliminación de un servicio que ya no se requiere.
3.2.15 servicio (service). Medio para entregar valor al cliente (numeral 3.2.3) facilitando los
resultados que el cliente quiere alcanzar.
NOTA 1 a la entrada Generalmente, un servicio es intangible.
NOTA 2 a la entrada El término servicio como se usa en este documento hace referencia al servicio o servicios
que están dentro del alcance del SGS (numeral 3.2.23). Cualquier uso del término servicio con una intención diferente
se distingue claramente.
3.2.16 disponibilidad del servicio (service availability). Capacidad de un servicio (numeral

3.2.15) o componente del servicio (numeral 3.2.18) para llevar a cabo su función requerida en el
momento acordado o durante un período de tiempo acordado.
NOTA 1 a la entrada La disponibilidad del servicio se puede expresar como una proporción o porcentaje del
tiempo que el servicio o componente de servicio está disponible realmente para ser utilizado, en comparación con el
tiempo acordado.
3.2.17 catálogo de servicios (service catalogue). Información documentada sobre los servicios
que una organización brinda a sus clientes.
3.2.18 componente del servicio (service component). Parte de un servicio (numeral 3.2.15)
que cuando se combina con otros elementos prestará un servicio completo.
EJEMPLO Infraestructura, aplicaciones, documentación, licencias, información, recursos o servicios de apoyo.
NOTA 1 a la entrada Un componente del servicio puede incluir elementos de configuración (numeral 3.2.2),
activos (numeral 3.2.1) u otros elementos.
3.2.19 continuidad del servicio (service continuity). Capacidad para prestar un servicio
(numeral 3.2.15) sin interrupción, o con disponibilidad compatible con lo que se haya acordado.
NOTA 1 a la entrada La gestión de la continuidad del servicio puede ser un subconjunto de la gestión de la
continuidad del negocio. La norma ISO 22301 proporciona los requisitos para la gestión de la continuidad del negocio.

3.2.20 acuerdo de nivel de servicio, ANS (service level agreement, SLA). Acuerdo
documentado entre la organización (numeral 3.1.14) y el cliente (numeral 3.2.3), en el que se
identifican los servicios (3.2.15) y su desempeño acordado.
NOTA 1 a la entrada También se puede establecer un acuerdo de nivel de servicio entre la organización y un
proveedor externo (numeral 3.2.4), un proveedor interno (numeral 3.2.8) o un cliente que actúa como proveedor.
NOTA 2 a la entrada Un acuerdo de nivel del servicio puede estar incluido en un contrato o en otro tipo de
acuerdo documentado.
3.2.21 objetivo del nivel de servicio (service level target). Característica medible específica
de un servicio (numeral 3.2.15) al que se compromete una organización (numeral 3.1.14).
3.2.22 gestión del servicio (service management). Conjunto de capacidades y procesos

(numeral 3.1.18) para dirigir y controlar las actividades y recursos de la organización (numeral
3.1.14) relacionados con la planificación, el diseño, la transición (numeral 3.2.27), la prestación
y la mejora de servicios (numeral 3.2.15) con el fin de entregar valor (numeral 3.2.29).
NOTA 1 a la entrada Este documento proporciona un conjunto de requisitos en diferentes numerales. Cada
organización puede elegir cómo combinar los requisitos en los procesos. Los numerales se pueden usar para definir
los procesos de SGS de la organización.
3.2.23 sistema de gestión del servicio, SGS (service management system, SMS). sistema
de gestión (numeral 3.1.9) para dirigir y controlar las actividades de gestión del servicio (numeral
3.2.22) de la organización (numeral 3.1.14)
NOTA 1 a la entrada Un SGS incluye políticas (numeral 3.1.17) de gestión del servicio, objetivos (numeral
3.1.13), planes, procesos (numeral 3.1.18), información documentada y recursos requeridos para la planificación, el
diseño, la transición (numeral 3.2.27), la prestación y la mejora de servicios para cumplir los requisitos (numeral 3.1.19)
especificados en este documento.
3.2.24 proveedor de servicios (service provider). organización (numeral 3.1.14) que gestiona
y presta uno o varios servicios (3.2.15) a clientes (numeral 3.2.3).
3.2.25 solicitud de servicio (service request). Solicitud de información, asesoría, acceso a un

servicio (numeral 3.2.15) o un cambio aprobado previamente.
3.2.26 requisito del servicio (service requirement). Las necesidades de los clientes (numeral
3.2.3), los usuarios (numeral 3.2.28) y la organización (numeral 3.1.14) relacionadas con los
servicios (numeral 3.2.15) y el SGS (numeral 3.2.23), que son declaradas u obligatorias.
NOTA 1 a la entrada En el contexto de un SGS (numeral 3.2.23), los requisitos del servicio se documentan y
acuerdan, en lugar de estar generalmente implícitos. También puede haber otros requisitos, tales como los legales y
los de reglamentaciones.
3.2.27 transición (transition). Actividades involucradas en el paso de un servicio (numeral

3.1.25) nuevo o modificado hacia el ambiente de producción o desde él.
3.2.28 usuario (user). Individuo o grupo que interactúa o se beneficia de uno o varios servicios
numeral 3.2.15).
NOTA 1 a la entrada Algunos ejemplos de usuarios pueden ser una persona o una comunidad de personas. Un
cliente (numeral 3.2.3) también puede ser un usuario.
3.2.29 valor (value). Importancia, beneficio o utilidad.
EJEMPLO Valor monetario, logro de los resultados del servicio, logro de los objetivos (numeral 3.1.13) de la
gestión del servicio (numeral 3.2.22), retención de clientes o eliminación de restricciones.

NOTA 1 a la entrada La creación de valor de los servicios (numeral 3.2.15) incluye la obtención de beneficios a
un nivel óptimo de recursos mientras se gestiona el riesgo (numeral 3.1.20). Un activo (numeral 3.2.1) y un servicio
(numeral 3.2.15) son ejemplos de ítems a los que se puede asignar un valor.
4. CONTEXTO DE LA ORGANIZACIÓN
4.1 COMPRENSIÓN DE LA ORGANIZACIÓN Y DE SU CONTEXTO
La organización debe determinar las cuestiones internas y externas que son pertinentes para su
propósito y que afectan su capacidad para lograr los resultados previstos de su SGS.
NOTA La palabra "cuestión" en este contexto puede hacer referencia a los factores que tienen un impacto positivo
o negativo. Estos son factores importantes para la organización en el contexto de su capacidad para prestar servicios
de la calidad acordada a sus clientes.
4.2 COMPRENSIÓN DE LAS NECESIDADES Y EXPECTATIVAS DE LAS PARTES

INTERESADAS
La organización debe determinar:
a) las partes interesadas que son pertinentes para el SGS y para los servicios;
b) los requisitos pertinentes de estas partes interesadas.
NOTA Los requisitos de las partes interesadas pueden incluir requisitos de servicio, de desempeño, legales y de
reglamentaciones, y las obligaciones contractuales relacionadas con el SGS y los servicios.
4.3 DETERMINACIÓN DEL ALCANCE DEL SISTEMA DE GESTIÓN DEL SERVICIO
La organización debe determinar los límites y la aplicabilidad del SGS para establecer su alcance.
Al determinar este alcance, la organización debe considerar:

a) las cuestiones externas e internas a las que se hace referencia en el numeral 4.1;
b) los requisitos a los que se hace referencia en el numeral 4.2;
c) los servicios prestados por la organización.
La definición del alcance del SGS debe incluir los servicios en el alcance, y el nombre de la
organización que gestiona y presta los servicios.
El alcance del SGS debe estar disponible y se debe mantener como información documentada.
NOTA 1 La norma ISO/IEC 20000-3 proporciona orientación sobre la definición del alcance.
NOTA 2 La definición del alcance del SGS establece los servicios que están dentro del alcance. Puede corresponder
a todos los servicios prestados por la organización, o a algunos de ellos.
4.4 SISTEMA DE GESTIÓN DEL SERVICIO
La organización debe establecer, implementar, mantener y mejorar continuamente un SGS,

incluidos los procesos necesarios y sus interacciones, de acuerdo con los requisitos de este
documento.
10

5. LIDERAZGO
5.1 LIDERAZGO Y COMPROMISO
La alta dirección debe demostrar liderazgo y compromiso con respecto al SGS:
a) asegurando que se establezca la política de gestión del servicio y los objetivos de gestión
del servicio y que sean compatibles con la dirección estratégica de la organización;
b) asegurando que el plan de gestión del servicio se crea, se implementa y se mantiene para
apoyar la política de gestión del servicio, el logro de los objetivos de la gestión del servicio
y el cumplimiento de los requisitos del servicio;
c) asegurando que se asignen los niveles apropiados de autoridad para tomar decisiones
relacionadas con el SGS y los servicios;
d) asegurando que se determine qué constituye valor para la organización y para sus
clientes;
e) asegurando que haya control de otras partes involucradas en el ciclo de vida del servicio;
f) asegurando la integración de los requisitos del SGS en los procesos de negocio de la

organización;
g) asegurando que los recursos necesarios para el SGS y para los servicios estén
disponibles;
h) comunicando la importancia de la gestión eficaz del servicio, logrando los objetivos de la

gestión del servicio, entregando valor y cumpliendo los requisitos del SGS;
i) asegurando que el SGS logre sus resultados previstos;

j) dirigiendo y apoyando a las personas para que contribuyan a la eficacia del SGS y de los
servicios;
k) promoviendo la mejora continua de los SGS y de los servicios;
l) apoyando otras funciones de gestión pertinentes para demostrar su liderazgo en lo que

respecta a sus áreas de responsabilidad.
NOTA La referencia a "negocios" en este documento puede interpretarse en términos generales como aquellas
actividades que son esenciales para los propósitos de la existencia de la organización.
5.2 POLÍTICA
5.2.1 Establecimiento de la política de gestión del servicio
La alta dirección debe establecer una política de gestión del servicio que:
a) sea apropiada para el propósito de la organización;
b) proporcione un marco para el establecimiento de los objetivos de la gestión del servicio;
c) incluya el compromiso de satisfacer los requisitos aplicables;
11

d) incluya el compromiso de mejora continua del SGS y de los servicios.
5.2.2 Comunicación de la política de gestión del servicio
La política de gestión del servicio debe:
a) estar disponible como información documentada;
b) comunicarse dentro de la organización;
c) estar disponible para las partes interesadas, según corresponda.
5.3 ROLES, RESPONSABILIDADES Y AUTORIDADES EN LA ORGANIZACIÓN
La alta dirección se debe asegurar de que las responsabilidades y las autoridades para los roles
pertinentes al SGS y a los servicios se asignen y comuniquen dentro de la organización.
La alta dirección debe asignar la responsabilidad y la autoridad para:
a) asegurar que el SGS cumpla los requisitos de este documento;
b) informar a la alta dirección sobre el desempeño del SGS y de los servicios.
6. PLANIFICACIÓN
6.1 ACCIONES PARA ABORDAR RIESGOS Y OPORTUNIDADES
6.1.1 Al planificar el SGS, la organización debe considerar las cuestiones mencionadas en el

numeral 4.1 y los requisitos a los que se hace referencia en el numeral 4.2 y determinar los
riesgos y oportunidades que es necesario tratar, con el fin de:
a) asegurar que el SGS pueda lograr sus resultados previstos;
b) prevenir o reducir efectos no deseados;
c) lograr la mejora continua del SGS y de los servicios.
6.1.2 La organización debe determinar y documentar:
a) los riesgos relacionados con:
1) la organización;
2) el incumplimiento de los requisitos del servicio;
3) el involucramiento de otras partes en el ciclo de vida del servicio;
b) el impacto de los riesgos y las oportunidades para los SGS y los servicios a los clientes;
c) los criterios de aceptación de riesgos;
d) el enfoque que se asume para la gestión de riesgos.
12

6.1.3 La organización debe planificar:
a) las acciones para abordar estos riesgos y oportunidades y sus prioridades;
b) la manera para:
1) integrar e implementar las acciones en los procesos de su SGS;
2) evaluar la efectividad de estas acciones.
NOTA 1 Las opciones para abordar los riesgos y las oportunidades pueden incluir: evitar el riesgo, tomar o
incrementar el riesgo para buscar oportunidades, eliminar la fuente de riesgo, cambiar la probabilidad o la
consecuencia del riesgo, mitigar el riesgo mediante acciones acordadas, compartir el riesgo con otra parte o aceptar
el riesgo con base en decisiones bien fundamentadas.
NOTA 2 La norma ISO 31000 proporciona principios y orientación genérica sobre la gestión del riesgo.
6.2 OBJETIVOS DE LA GESTIÓN DEL SERVICIO Y PLANIFICACIÓN PARA

LOGRARLOS
6.2.1 Establecimiento de objetivos
La organización debe establecer objetivos de la gestión del servicio en las funciones y en los
niveles pertinentes. Los objetivos de la gestión del servicio deben:
a) ser coherentes con la política de gestión del servicio;
b) ser medibles;
c) tener en cuenta los requisitos aplicables;
d) ser objeto de seguimiento;

e) comunicarse;
f) actualizarse, según corresponda.
La organización debe conservar información documentada sobre los objetivos de la gestión del
servicio.
6.2.2 Plan para lograr los objetivos
Al planificar cómo lograr sus objetivos de gestión del servicio, la organización debe determinar:
a) qué se va a hacer;
b) qué recursos se requerirán;
c) quién será responsable;
d) cuándo se finalizará;
e) cómo se evaluarán los resultados.
13

6.3 PLANIFICAR EL SISTEMA DE GESTIÓN DEL SERVICIO
La organización debe crear, implementar y mantener un plan de gestión del servicio. La

planificación debe tener en cuenta la política de gestión del servicio, los objetivos de la gestión
del servicio, los riesgos y las oportunidades, los requisitos del servicio y los requisitos
especificados en este documento.
El plan de gestión del servicio debe incluir los siguientes ítems o contener una referencia a ellos:
a) una lista de servicios;
b) las limitaciones conocidas que pueden afectar el SGS y los servicios;
c) las obligaciones tales como las políticas, las normas, los requisitos legales, de
reglamentaciones y contractuales pertinentes, y cómo estas obligaciones se aplican al
SGS y a los servicios;
d) las autoridades y las responsabilidades en relación con el SGS y los servicios;
e) los recursos humanos, técnicos, de información y financieros necesarios para operar el

SGS y los servicios;
f) el enfoque que se asume para trabajar con otras partes involucradas en el ciclo de vida
del servicio;
g) la tecnología utilizada para apoyar el SGS;
h) cómo se medirá, auditará, informará y mejorará la eficacia del SGS y de los servicios.
Otras actividades de planificación deben mantener la alineación con el plan de gestión del
servicio.
7. SOPORTE DEL SISTEMA DE GESTIÓN DEL SERVICIO
7.1 RECURSOS
La organización debe determinar y proporcionar los recursos humanos, técnicos, de información

y financieros necesarios para el establecimiento, la implementación, el mantenimiento y la mejora
continua del SGS y la operación de los servicios para cumplir los requisitos del servicio y alcanzar
los objetivos de gestión del servicio.
7.2 COMPETENCIA
La organización debe:
a) determinar la competencia necesaria de las personas que realizan trabajos bajo su control
que afectan el desmpeño y la eficacia del SGS y de los servicios;
b) asegurarse de que estas personas sean competentes, tomando como base una
educación, formación o experiencia apropiadas;
c) cuando sea aplicable, emprender acciones para adquirir la competencia necesaria, y

evaluar la eficacia de las acciones tomadas;
14

d) conservar la información documentada apropiada, como evidencia de la competencia.
NOTA Las acciones aplicables pueden incluir, por ejemplo: la formación, la tutoría o la reasignación de las
personas empleadas actualmente, o la contratación de personas competentes.
7.3 TOMA DE CONCIENCIA
Las personas que realizan el trabajo bajo el control de la organización deben tomar conciencia
de:
a) la política de gestión del servicio;
b) los objetivos de gestión del servicio;
c) los servicios pertinentes a su trabajo;
d) su contribución a la eficacia del SGS, incluidos los beneficios de un mejor desempeño;
e) las implicaciones de no cumplir los requisitos del SGS.
7.4 COMUNICACIÓN
La organización debe determinar las comunicaciones internas y externas pertinentes al SGS y a

los servicios, que incluyan:
a) qué comunicar;
b) cuándo comunicar;
c) a quién comunicar;
d) cómo comunicar;
e) quién será responsable de la comunicación.
7.5 INFORMACIÓN DOCUMENTADA
7.5.1 Generalidades
El SGS de la organización debe incluir:
a) la información documentada requerida por este documento;
b) la información documentada que la organización ha determinado que es necesaria para

la eficacia del SGS.
NOTA El alcance de la información documentada para un SGS puede ser diferente de una organización a otra
debido a:
- el tamaño de la organización y a su tipo de actividades, procesos, productos y servicios;
- la complejidad de los procesos, servicios y sus interfaces;
- la competencia de las personas.
15

7.5.2 Creación y actualización de la información documentada
Cuando se crea y actualiza información documentada, la organización debe asegurarse de que

lo siguiente sea apropiado:
a) la identificación y descripción (por ejemplo, título, fecha, autor o número de referencia);
b) formato (por ejemplo, idioma, versión del software, gráficos) y sus medios de soporte (por
ejemplo, papel, electrónico);
c) la revisión y aprobación con respecto a la idoneidad y a la adecuación.
7.5.3 Control de la información documentada
7.5.3.1 La información documentada requerida por el SGS y por este documento se debe
controlar para asegurarse de que:
a) esté disponible y sea adecuada para su uso, donde y cuando se necesite;
b) esté protegida adecuadamente (por ejemplo, contra pérdida de confidencialidad, uso

indebido o pérdida de integridad).
7.5.3.2 Para el control de la información documentada, la organización debe abordar las

siguientes actividades, según sea aplicable:
a) distribución, acceso, recuperación y uso;
b) almacenamiento y preservación, incluida la preservación de la legibilidad;
c) control de cambios (por ejemplo, control de versión);

d) conservación y disposición.
La información documentada de origen externo, que la organización ha determinado que es

necesaria para la planificación y operación del SGS se debe identificar y controlar, según sea
adecuado.
NOTA El acceso puede implicar una decisión concerniente al permiso solamente para consultar la información
documentada, o el permiso y la autoridad para consultar y modificar la información documentada.
7.5.4 Información documentada del sistema de gestión del servicio
La información documentada para el SGS debe incluir:
a) el alcance del SGS;
b) la política y los objetivos para la gestión del servicio;
c) el plan de gestión del servicio;
d) la política de gestión del cambio, la política de seguridad de la información y los planes

de continuidad del servicio;
e) los procesos del SGS de la organización;
16

f) los requisitos del servicio;
g) el(los) catálogo(s) de servicios;
h) el(los) acuerdo(s) de nivel de servicio;
i) los contratos con proveedores externos;
j) los acuerdos con proveedores internos o clientes que actúan como proveedores;
k) los procedimientos que se exigen en este documento;
l) los registros exigidos para demostrar evidencia de conformidad con los requisitos de este
documento o con el SGS de la organización.
NOTA El numeral 7.5.4 proporciona una lista de los documentos clave para un SGS. En este documento existen
otros requisitos especificados para que la información se mantenga como información documentada, por documentar
o por registrar. La norma ISO/IEC 20000-2 proporciona orientación adicional.
7.6 CONOCIMIENTO
La organización debe determinar y mantener el conocimiento necesario para apoyar la operación

de los SGS y los servicios.
El conocimiento debe ser pertinente, utilizable y estar disponible para las personas apropiadas.
NOTA El conocimiento es específico de la organización, su SGS, servicios y partes interesadas. El conocimiento se

utiliza y comparte para apoyar el logro de los resultados previstos y la operación del SGS y de los servicios.
8. OPERACIÓN DEL SISTEMA DE GESTIÓN DEL SERVICIO

8.1 PLANIFICACIÓN Y CONTROL OPERACIONAL
La organización debe planificar, implementar y controlar los procesos necesarios para cumplir
los requisitos y para implementar las acciones determinadas en el numeral 6 mediante lo
siguiente:
a) estableciendo criterios de desempeño para los procesos con base en los requisitos;
b) implementando el control de los procesos de acuerdo con los criterios de desempeño

establecidos;
c) manteniendo información documentada en la medida necesaria para tener confianza en

que los procesos se han llevado a cabo según lo planificado.
La organización debe controlar los cambios planificados en el SGS y revisar las consecuencias
de los cambios no previstos, tomando acciones para mitigar los efectos adversos, cuando sea
necesario (véase el numeral 8.5.1).
La organización debe asegurar que los procesos subcontratados estén controlados (véase el
numeral 8.2.3).
17

8.2 PORTAFOLIO DE SERVICIOS
8.2.1 Prestación del servicio
La organización debe operar el SMS asegurando la coordinación de las actividades y los

recursos. La organización debe realizar las actividades requeridas para prestar los servicios.
NOTA Un portafolio de servicios se utiliza para gestionar el ciclo de vida de todos los servicios, incluidos los
servicios propuestos, los que están en desarrollo, los que se están prestando y están definidos en los catálogos de
servicios y los que se van a eliminar. La gestión del portafolio de servicios garantiza que el proveedor del servicio
tenga la combinación adecuada de servicios. Las actividades del portafolio de servicios en este documento incluyen
la planificación de los servicios, el control de las partes involucradas en el ciclo de vida del servicio, la gestión del
catálogo de servicios, la gestión de activos y la gestión de la configuración.
8.2.2 Planificación de los servicios
Se deben determinar y documentar los requisitos del servicio para los servicios existentes, los
servicios nuevos y los cambios hechos a los servicios.
La organización debe determinar la criticidad de los servicios en función de las necesidades de

la organización, de los clientes, de los usuarios y de otras partes interesadas. La organización
debe determinar y gestionar las dependencias y la duplicación entre servicios.
La organización debe proponer cambios cuando sea necesario para alinear los servicios con la
política de gestión del servicio, los objetivos de la gestión del servicio y los requisitos del servicio
teniendo en cuenta las limitaciones y los riesgos conocidos.
La organización debe priorizar las solicitudes de cambio y las propuestas de servicios nuevos o
modificados, para alinearse con las necesidades del negocio y con los objetivos de la gestión del
servicio teniendo en cuenta los recursos disponibles.
8.2.3 Control de las partes involucradas en el ciclo de vida del servicio

8.2.3.1 La organización es la que debe rendir cuentas por los requisitos especificados en este
documento y por la prestación de los servicios, independientemente de qué parte esté
involucrada en la realización de actividades que apoyen el ciclo de vida del servicio.
La organización debe determinar y aplicar criterios para la evaluación y la selección de otras

partes involucradas en el ciclo de vida del servicio. Otras partes pueden ser un proveedor
externo, un proveedor interno o un cliente que actúa como proveedor.
Las otras partes no deben prestar ni operar todos los servicios, componentes o procesos de
servicio dentro del alcance del SGS.
La organización debe determinar y documentar:
a) los servicios prestados u operados por otras partes;
b) los componentes del servicio que prestan u operan otras partes;
c) los procesos o partes de ellos en el SGS de la organización, que son operados por otras
partes.
La organización debe integrar en el SGS los servicios, los componentes del servicio y los
procesos que presta u opera la organización u otras partes para cumplir con los requisitos del
18

servicio. La organización debe coordinar las actividades con otras partes involucradas en el ciclo
de vida del servicio, incluida la planificación, el diseño, la transición, la prestación y la mejora de
los servicios.
8.2.3.2 La organización debe definir y aplicar controles pertinentes a otras partes, a partir de lo
siguiente:
a) la medición y la evaluación del desempeño del proceso;
b) la medición y la evaluación de la eficacia de los servicios y de los componentes del

servicio para cumplir los requisitos del servicio.
NOTA La norma ISO / IEC 20000-3 brinda orientación sobre el control de otras partes involucradas en el ciclo de
vida del servicio.
8.2.4 Gestión del catálogo de servicios
La organización debe crear y mantener uno o más catálogos de sus servicios. Estos catálogos
de servicios deben incluir información para la organización, los clientes, los usuarios y otras
partes interesadas, en los que se describan los servicios, los resultados esperados y las
dependencias entre los servicios.
La organización debe proporcionar acceso a las partes apropiadas de los catálogos de servicios
a sus clientes, usuarios y otras partes interesadas.
8.2.5 Gestión de activos
La organización se debe asegurar de que los activos utilizados para prestar los servicios se
gestionen para el cumplimiento con los requisitos del servicio y las obligaciones del numeral
6.3 c).
NOTA 1 Las normas ISO 55001 e ISO/IEC 19770-1 especifican requisitos para apoyar la implementación y la
operación de activos y la gestión de activos de TI.
NOTA 2 Además, consulte la gestión de la configuración cuando el activo sea también un elemento de configuración
(EC).
8.2.6 Gestión de la configuración
Se deben definir los tipos de elementos de configuración. Los servicios se deben clasificar como
EC.
La información de la configuración se debe registrar a un nivel de detalle apropiado a la criticidad

y al tipo de servicios. El acceso a la información de la configuración debe ser controlado. La
información de la configuración registrada para cada EC debe incluir:
a) una identificación única;
b) el tipo de EC;
c) la descripción del EC;
d) su relación con otros EC;
e) su estado.
19

Los EC se deben controlar. Los cambios en los EC deben ser trazables y auditables para
mantener la integridad de la información de la configuración.
La organización debe verificar, a intervalos planificados, la exactitud de la información de la

configuración. Cuando se encuentren deficiencias, la organización debe tomar las medidas
necesarias.
La información de la configuración debe estar disponible para otras actividades de gestión del
servicio, según sea apropiado.
8.3 RELACIONES Y ACUERDOS
8.3.1 Generalidades
La organización puede usar proveedores para:
a) prestar u operar servicios;
b) proporcionar u operar componentes del servicio;
c) operar procesos o partes de procesos que están en el SGS de la organización.
La Figura 2 ilustra el uso, los acuerdos y las relaciones entre la gestión de las relaciones de
negocio, la gestión de nivel de servicio y la gestión de proveedores.
Figura 2. Relaciones y acuerdos entre las partes involucradas en el ciclo de vida del servicio
NOTA 1 La norma ISO/IEC 20000-3 incluye ejemplos de relaciones de la cadena de suministro con su posible
aplicabilidad y alcance.
NOTA 2 En este documento, la gestión de proveedores excluye las compras de los proveedores.
20

8.3.2 Gestión de relaciones de negocio
Se deben identificar y documentar los clientes y los usuarios de los servicios y otras partes
interesadas en ellos. La organización debe asignar una o más personas responsables de
gestionar las relaciones con los clientes y mantener la satisfacción de estos.
La organización debe establecer disposiciones para comunicarse con sus clientes y con otras
partes interesadas. La comunicación debe promover la comprensión del entorno de negocio en
evolución en el que operan los servicios y debe permitir a la organización responder a los
requisitos del servicio nuevos o modificados.
La organización debe, a intervalos planificados, revisar las tendencias de desempeño y los

resultados de los servicios.
La organización debe, a intervalos planificados, medir la satisfacción con los servicios tomando
como base una muestra representativa de clientes. Los resultados se deben analizar, revisar
para identificar oportunidades de mejora e informar.
Las quejas sobre el servicio se deben registrar, gestionar hasta que se solucionen, e informar.
Cuando una queja sobre el servicio no se resuelva a través de los canales normales, se debe
proporcionar un método de escalamiento.
8.3.3 Gestión del nivel de servicio
La organización y el cliente deben acordar los servicios que se prestarán.
Para cada servicio prestado, la organización debe crear uno o más ANS con base en los
requisitos de servicio documentados. Los ANS deben incluir los objetivos del nivel de servicio,
los límites de carga de trabajo y las excepciones.
La organización debe, a intervalos planificados, hacer seguimiento, revisar e informar sobre:

a) el desempeño, con base en los objetivos del nivel de servicio;
b) los cambios reales y periódicos en la carga de trabajo en comparación con los límites de
carga de trabajo en los ANS.
Cuando no se cumplen los objetivos del nivel de servicio, la organización debe identificar
oportunidades de mejora.
NOTA El acuerdo sobre los servicios que se prestarán, establecido entre la organización y sus clientes, puede ser
de muchas formas, por ejemplo, puede ser: un acuerdo documentado, actas de un acuerdo verbal realizado en una
reunión, un acuerdo informado por correo electrónico o un acuerdo con los términos del servicio.
8.3.4 Gestión de proveedores
8.3.4.1 Gestión de proveedores externos
La organización debe tener asignadas una o más personas responsables de gestionar la relación,
los contratos y el desempeño de los proveedores externos.
La organización y el proveedor externo deben acordar un contrato documentado. Este contrato

debe incluir o contener una referencia a:
21

a) el alcance de los servicios, los componentes del servicio, los procesos o partes de los
procesos que va a entregar u operar el proveedor externo;
b) los requisitos que ha de cumplir el proveedor externo;
c) los objetivos del nivel de servicio u otras obligaciones contractuales;
d) las autoridades y responsabilidades de la organización y del proveedor externo.
La organización debe evaluar la alineación de los objetivos del nivel de servicio o de otras
obligaciones contractuales del proveedor externo, con base en los ANS con los clientes, y debe
gestionar los riesgos identificados.
La organización debe definir y gestionar las interfaces con el proveedor externo.
La organización debe, a intervalos planificados, hacer seguimiento del desempeño de los

proveedores externos. Cuando no se cumplen los objetivos del nivel de servicio u otras
obligaciones contractuales, la organización debe asegurar que se identifiquen oportunidades de
mejora.
La organización debe, a intervalos planificados, revisar el contrato contra los requisitos de

servicio actuales. Cuando se identifiquen cambios para incluir en el contrato, antes de aprobarlos
se deben evaluar en cuanto a su impacto en el SGS y en los servicios.
Las disputas entre la organización y el proveedor externo se deben registrar y gestionar hasta
que se solucionen.
8.3.4.2 Gestión de proveedores internos y clientes que actúan como proveedores
Para cada proveedor interno o cliente que actúe como proveedor, la organización debe
desarrollar, acordar y mantener un acuerdo documentado para definir los objetivos del nivel de
servicio, otros compromisos, actividades e interfaces entre las partes.
La organización debe, a intervalos planificados, hacer seguimiento del desempeño del proveedor
interno o del cliente que actúa como proveedor. Cuando no se cumplan los objetivos del nivel de
servicio u otros compromisos acordados, la organización debe asegurar que se identifiquen
8.4 OFERTA Y DEMANDA
8.4.1 Presupuesto y contabilidad de los servicios
La organización debe contar con un presupuesto y se debe llevar la contabilidad de los servicios
o grupos de servicios de acuerdo con sus políticas y procesos de gestión financiera.
Los costos se deben presupuestar para posibilitar un control financiero y toma de decisiones
eficaces en relación con los servicios.
La organización debe, a intervalos planificados, hacer seguimiento e informar los costos reales
en comparación con el presupuesto, revisar las previsiones financieras y gestionar los costos.
NOTA Muchas organizaciones, no todas, cobran por sus servicios. El presupuesto y la contabilidad de los
servicios, mencionados en este documento, excluyen el cobro para garantizar la aplicabilidad a todas las
organizaciones.
22

8.4.2 Gestión de la demanda
A intervalos planificados, la organización debe:
a) determinar la demanda actual y pronosticar la demanda futura de servicios;
b) hacer seguimiento e informar sobre la demanda y el consumo de servicios.
NOTA La gestión de la demanda es responsable de comprender la demanda actual y futura de los clientes en
relación con los servicios. La gestión de la capacidad trabaja con la gestión de la demanda para planificar y
proporcionar la capacidad suficiente para satisfacer la demanda.
8.4.3 Gestión de la capacidad
Los requisitos de capacidad en relación con los recursos humanos, técnicos, de información y
financieros se deben determinar, documentar y mantener teniendo en cuenta los requisitos del
servicio y de desempeño.
La organización debe planificar su capacidad para incluir:
a) la capacidad actual y prevista en función de la demanda de servicios;
b) el impacto esperado sobre la capacidad de los objetivos del nivel de servicio acordados,
sobre los requisitos de disponibilidad del servicio y sobre la continuidad del servicio;
c) cronogramas de tiempo y umbrales para cambios en la capacidad del servicio.
La organización debe proporcionar la capacidad suficiente para cumplir los requisitos de

capacidad y de desempeño acordados, y debe hacer seguimiento del uso de la capacidad,
analizar la capacidad y los datos de desempeño e identificar oportunidades para mejorar el
desempeño.
8.5 DISEÑO, CONSTRUCCIÓN Y TRANSICIÓN DEL SERVICIO
8.5.1 Gestión del cambio
8.5.1.1 Política de gestión de cambios
Se debe establecer y documentar una política de gestión del cambio que defina:
a) los componentes del servicio y otros elementos que están bajo el control de la gestión del
cambio;
b) las categorías de cambio, que incluya los cambios de emergencia, y cómo se han de
gestionar;
c) los criterios para determinar los cambios con el potencial de tener un impacto importante
en los clientes o servicios.
8.5.1.2 Inicio de la gestión del cambio
Las solicitudes de cambio, incluidas las propuestas para agregar, eliminar o transferir servicios,
se deben registrar y clasificar.
23

La organización debe usar el diseño del servicio y la transición mencionados en el numeral 8.5.2
para:
a) nuevos servicios con potencial de tener un impacto importante en los clientes, u otros
servicios según lo determinado por la política de gestión del cambio;
b) cambios en los servicios con potencial de tener un impacto importante en los clientes, u
otros servicios según lo determinado por la política de gestión del cambio;
c) categorías de cambio que van a ser gestionadas mediante el diseño y la transición del
servicio de acuerdo con la política de gestión del cambio;
d) eliminación de un servicio;
e) transferencia de un servicio existente de la organización a un cliente u otra parte;
f) transferencia de un servicio existente de un cliente u otra parte a la organización.
La evaluación, aprobación, programación y revisión de los servicios nuevos o modificados en el

alcance del numeral 8.5.2 se deben gestionar mediante las actividades de gestión del cambio
mencionadas en el numeral 8.5.1.3.
Las solicitudes de cambio que no se gestionen aplicando el numeral 8.5.2 se deben gestionar
mediante las actividades de gestión del cambio mencionadas en el numeral 8.5.1.3.
8.5.1.3 Actividades de gestión del cambio
La organización y las partes interesadas deben tomar decisiones sobre la aprobación y la

prioridad de las solicitudes de cambio. Al tomar decisiones se deben tener en cuenta los riesgos,
los beneficios para el negocio, la viabilidad y el impacto financiero. Además, al tomar decisiones
también se deben considerar los impactos potenciales del cambio en:
a) los servicios existentes;
b) los clientes, usuarios y otras partes interesadas;
c) las políticas y planes exigidos en este documento;
d) la capacidad, la disponibilidad del servicio, la continuidad del servicio y la seguridad de la

información;
e) otras solicitudes de cambios, versiones y planes de implementación.
Los cambios aprobados se deben preparar, verificar y, cuando sea posible, ponerse a prueba.
Las fechas propuestas para la implementación y otros detalles de ella en relación con los cambios
aprobados se deben comunicar a las partes interesadas.
Las actividades para revertir o corregir un cambio no exitoso se deben planificar y, cuando sea
posible, se deben poner a prueba. Los cambios no exitosos se deben investigar y se deben
emprender las acciones acordadas.
La información de la configuración se debe actualizar después de la implementación de cambios

en los EC.
24

La organización debe revisar los cambios para determinar su eficacia y tomar las medidas
acordadas con las partes interesadas.
A intervalos planificados, los registros de solicitudes de cambios se deben analizar para detectar
tendencias. Los resultados y conclusiones extraídos del análisis se deben registrar y revisar para
identificar oportunidades de mejora.
8.5.2 Diseño y transición del servicio
8.5.2.1 Planificación de servicios nuevos o modificados
En la planificación se deben usar los requisitos del servicio para los servicios nuevos o
modificados determinados en el numeral 8.2.2 y se deben incluir los siguientes elementos o una
referencia a ellos:
a) las autoridades y responsabilidades para las actividades de diseño, construcción y

transición;
b) las actividades que realizará la organización u otras partes, con sus cronogramas;
c) los recursos humanos, técnicos, de información y financieros;
d) las dependencias de otros servicios;
e) las pruebas necesarias para los servicios nuevos o modificados;
f) los criterios de aceptación del servicio;
g) los resultados previstos de la prestación de los servicios nuevos o modificados,

expresados en términos medibles;
h) el impacto en el SGS, en otros servicios, en los cambios planificados, en los clientes, en

los usuarios y en otras partes interesadas.
Para los servicios que se vayan a retirar, la planificación debe incluir además las fechas para el
retiro de los servicios y para las actividades de archivo, eliminación o transferencia de datos,
información documentada y componentes del servicio.
Para los servicios que se vayan a transferir, la planificación debe incluir además las fechas para
la transferencia de los servicios y las actividades para la transferencia de datos, información
documentada, conocimiento y componentes del servicio.
Los EC afectados por los servicios nuevos o modificados se deben abordar por medio de la
gestión de la configuración.
8.5.2.2 Diseño
Los servicios nuevos o modificados se deben diseñar y documentar para cumplir con los
requisitos del servicio determinados en el numeral 8.2.2. El diseño debe incluir los elementos
pertinentes de los siguientes:
a) las autoridades y las responsabilidades de las partes involucradas en la prestación de los

servicios nuevos o modificados;
25

b) los requisitos relativos a los cambios en los recursos humanos, técnicos, de información
y financieros;
c) los requisitos relativos a una educación, formación y experiencia apropiadas;
d) ANS, contratos y otros acuerdos documentados, nuevos y modificados, que respaldan

los servicios;
e) cambios en el SGS, incluidas las políticas, los planes, los procesos, los procedimientos,
las medidas y los conocimientos, nuevos o modificados;
f) el impacto en otros servicios;
g) las actualizaciones de los catálogos de servicios.
8.5.2.3 Construcción y transición
Los servicios nuevos o modificados se deben construir y poner a prueba para verificar que
cumplen con los requisitos del servicio, con el diseño documentado y con los criterios de
aceptación del servicio acordados. Si no se cumplen los criterios de aceptación del servicio, la
organización y las partes interesadas deben tomar una decisión sobre las acciones necesarias y
su implementación.
La gestión de versiones e implementación se debe usar para implementar servicios nuevos o

modificados aprobados en el entorno de producción.
Una vez finalizadas las actividades de transición, la organización debe informar a las partes
interesadas sobre los logros en relación con los resultados previstos.
8.5.3 Gestión de versiones e implementación

La organización debe definir los tipos de versión, incluida la versión de emergencia, su frecuencia
y la forma en que se va a gestionar.
La organización debe planificar la implementación de servicios nuevos o modificados y de

componentes del servicio en el entorno de producción. La planificación se debe coordinar con la
gestión del cambio y debe incluir referencias a las solicitudes de cambio relacionadas, los errores
o problemas conocidos que se cierran por medio de la versión. La planificación debe incluir las
fechas de implementación de cada versión, los entregables y los métodos de implementación.
La versión se debe verificar contra criterios de aceptación documentados y se debe aprobar antes
de la implementación. Si no se cumplen los criterios de aceptación, la organización y las partes
interesadas deben tomar una decisión sobre las acciones necesarias y sobre la implementación.
Antes de implementar una versión en el entorno de producción, se debe tomar una línea base
de los elementos de configuración afectados.
La versión se debe implementar en el entorno de producción de manera que se mantenga la

integridad del servicio o de los componentes del servicio.
Se debe hacer seguimiento y controlar el éxito o el fracaso de las versiones. Las mediciones
deben incluir los incidentes relacionados con una versión en el período posterior a la
implementación de una versión. Los resultados y conclusiones extraídos del análisis se deben
registrar y revisar para identificar oportunidades de mejora.
26

La información sobre el éxito o el fracaso de las versiones y las fechas de las futuras versiones
se debe poner a disposición para otras actividades de gestión del servicio, según corresponda.
8.6 RESOLUCIÓN Y CUMPLIMIENTO
8.6.1 Gestión de incidentes
Los incidentes se deben:
a) registrar y clasificar;
b) priorizar, teniendo en cuenta el impacto y la urgencia;
c) escalar, si es necesario;
d) solucionar;
e) cerrar.
Los registros de incidentes se deben actualizar con las acciones tomadas.
La organización debe determinar los criterios para identificar un incidente importante. Los
incidentes mayores se deben clasificar y gestionar de acuerdo con un procedimiento
documentado. Se debe mantener informada a la alta dirección sobre incidentes importantes. La
organización debe asignar la responsabilidad de la gestión de cada incidente importante. Una
vez resuelto el incidente, el incidente principal se debe informar y revisar para identificar
8.6.2 Gestión de solicitudes de servicio
Las solicitudes de servicio se deben:

b) priorizar;
c) cumplir;
d) cerrar.
Los registros de las solicitudes de servicio se deben actualizar con las acciones tomadas.
Las instrucciones para el cumplimiento de las solicitudes de servicio se deben poner a disposición
de las personas involucradas en el cumplimiento de solicitudes de servicio.
8.6.3 Gestión de problemas
Para identificar los problemas, la organización debe analizar los datos y las tendencias en los
incidentes. La organización debe llevar a cabo un análisis de la causa raíz y determinar las
posibles acciones para prevenir que ocurran incidentes o que se repitan.
Los problemas se deben:
27

b) priorizar;
d) resolver, si es posible;
e) cerrar.
Los registros de los problemas se deben actualizar con las acciones tomadas. Los cambios
necesarios para la resolución de los problemas se deben gestionar de acuerdo con la política de
gestión del cambio.
Cuando se haya identificado la causa raíz pero no se haya resuelto el problema en forma
permanente, la organización debe determinar las acciones para reducir o eliminar el impacto del
problema sobre los servicios. Se deben registrar los errores conocidos y se debe poner a
disposición de las otras actividades de gestión la información actualizada sobre los errores
conocidos y la resolución de problemas, según corresponda.
Se debe hacer seguimiento, revisar e informar la eficacia de la resolución de problemas, a

intervalos planificados.
8.7 ASEGURAMIENTO DEL SERVICIO
8.7.1 Gestión de la disponibilidad del servicio
Se deben evaluar y documentar los riesgos para la disponibilidad del servicio, a intervalos
planificados. La organización debe determinar los requisitos y los requisitos de disponibilidad del
servicio. Los requisitos acordados deben tener en cuenta los requisitos de negocio pertinentes,
los requisitos del servicio, los ANS y los riesgos.
Se deben documentar y mantener los requisitos y los objetivos de disponibilidad del servicio.
Se debe hacer seguimiento de la disponibilidad del servicio, y los resultados se deben registrar
y comparar con los objetivos. Se debe investigar la falta de disponibilidad no planificada y
emprender las acciones necesarias.
NOTA Los riesgos identificados en el numeral 6.1 pueden proporcionar entradas sobre los riesgos para la
disponibilidad del servicio, la continuidad del servicio y la seguridad de la información.
8.7.2 Gestión de la continuidad del servicio
Se deben evaluar y documentar los riesgos para la continuidad del servicio, a intervalos
planificados. La organización debe determinar los requisitos para la continuidad del servicio. Los
requisitos acordados deben tener en cuenta los requisitos pertinentes al negocio, los requisitos
del servicio, los ANS y los riesgos.
La organización debe crear, implementar y mantener uno o más planes de continuidad del
servicio. El (los) plan (es) de continuidad del servicio deben incluir los siguientes elementos o
contener una referencia a ellos:
a) los criterios y las responsabilidades para invocar la continuidad del servicio;
b) los procedimientos por implementar en caso de una pérdida importante en el servicio;
28

c) los objetivos de la disponibilidad del servicio cuando se invoca el plan de continuidad del
servicio;
d) los requisitos para la recuperación del servicio;
e) los procedimientos para regresar a las condiciones normales de trabajo.
El(los) plan(es) de continuidad del servicio y la lista de contactos deben estar accesibles cuando
se impida el acceso a la ubicación del servicio normal.
El(los) plan(es) de continuidad del servicio se debe(n) poner a prueba contra los requisitos para
la continuidad del servicio, a intervalos planificados. El plan de continuidad del servicio se debe
poner a prueba nuevamente después de realizar cambios importantes en el entorno del servicio,
y se deben registrar los resultados de estas pruebas. Se deben hacer revisiones después de
cada prueba y después de que se hayan invocado los planes de continuidad del servicio. Cuando
se encuentren deficiencias, la organización debe tomar las medidas necesarias.
Cuando se haya(n) invocado el(los) plan(es) de continuidad del servicio, la organización debe
informar sobre la causa, el impacto y la recuperación.
8.7.3 Gestión de la seguridad de la información
8.7.3.1 Política de seguridad de la información
La dirección con la autoridad apropiada debe aprobar una política de seguridad de la información
pertinente para la organización. Esta política de seguridad de la información se debe documentar
y debe tener en cuenta los requisitos del servicio y las obligaciones del numeral 6.3 c).
La política de seguridad de la información debe estar disponible según corresponda. La

organización debe comunicar la importancia de cumplir con la política de seguridad de la
información y su aplicabilidad para el SGS y los servicios, a las personas apropiadas:
a) en la organización;
b) los clientes y los usuarios;
c) los proveedores externos, los proveedores internos y otras partes interesadas.
8.7.3.2 Controles de seguridad de la información
Se deben evaluar y documentar los riesgos de seguridad de la información para el SGS y los
servicios, a intervalos planificados. Los controles de seguridad de la información se deben
determinar, implementar y operar para respaldar la política de seguridad de la información y
hacer frente a los riesgos de seguridad de la información identificados. Las decisiones sobre los
controles de seguridad de la información se deben documentar.
La organización debe acordar e implementar controles de seguridad de la información para hacer

frente a los riesgos de seguridad de la información relacionados con organizaciones externas.
La organización debe hacer seguimiento y revisar la eficacia de los controles de seguridad de la

información y tomar las acciones necesarias.
29

8.7.3.3 Incidentes de seguridad de la información
Los incidentes de seguridad de la información se deben:
b) priorizar teniendo en cuenta el riesgo de seguridad de la información;
d) resolver;
e) cerrar.
La organización debe analizar los incidentes de seguridad de la información por tipo, volumen e
impacto en el SGS, en los servicios y en las partes interesadas. Los incidentes de seguridad de
la información se deben informar y revisar para identificar oportunidades de mejora.
NOTA La serie ISO/IEC 27000 especifica los requisitos y proporciona orientación para apoyar la implementación
y la operación de un sistema de gestión de la seguridad de la información. La norma ISO/IEC 27013 proporciona
orientación sobre la integración de las normas ISO/IEC 27001 e ISO/IEC 20000-1 (este documento).
9. EVALUACIÓN DEL DESEMPEÑO
9.1 SEGUIMIENTO, MEDICIÓN, ANÁLISIS Y EVALUACIÓN
La organización debe determinar:
- a qué es necesario hacer seguimiento y qué es necesario medir para el SGS y los
servicios:
- los métodos de seguimiento, medición, análisis y evaluación, según sea aplicable, para
asegurar resultados válidos;
- cuándo se deben llevar a cabo el seguimiento y la medición;
- cuándo se deben analizar y evaluar los resultados del seguimiento y la medición;
La organización debe conservar la información documentada adecuada como evidencia de los

resultados.
La organización debe evaluar el desempeño del SGS contra los objetivos de la gestión del
servicio y evaluar la eficacia del SGS.
9.2 AUDITORÍA INTERNA
9.2.1 La organización debe realizar auditorías internas a intervalos planificados para

proporcionar información acerca de si el SGS:
a) cumple:
1) los propios requisitos de la organización para su SGS;
2) los requisitos de este documento;

30

b) está implementado y mantenido eficazmente.
9.2.2 La organización debe:
a) planificar, establecer, implementar y mantener uno o varios programas de auditoría que

incluyan la frecuencia, los métodos, las responsabilidades, los requisitos de planificación
y la elaboración de informes, que tengan en cuenta:
1) la importancia de los procesos involucrados;
2) los cambios que afectan a la organización;
3) los resultados de las auditorías previas;
b) para cada auditoría, definir los criterios y el alcance de esta;
c) seleccionar los auditores y llevar a cabo auditorías para asegurarse de la objetividad y de

la imparcialidad del proceso de auditoría;
d) asegurarse de que los resultados de las auditorías se informen a la dirección pertinente;
e) conservar información documentada como evidencia de la implementación de los

programas de auditoría y de los resultados de esta.
NOTA ISO 19011 proporciona orientación sobre la auditoría de sistemas de gestión.
9.3 REVISIÓN POR LA DIRECCIÓN
La alta dirección debe revisar a intervalos planificados el SGS y los servicios de la organización,
para garantizar su idoneidad, adecuación y eficacia continuas.
La revisión por la dirección debe incluir que se consideren:

a) el estado de las acciones de revisiones por la dirección anteriores;
b) los cambios en cuestiones externas e internas que sean pertinentes al SGS;
c) la información sobre el desempeño y la eficacia del SGS, incluidas las tendencias en:
1) no conformidades y acciones correctivas;
2) resultados del seguimiento y la medición;
3) los resultados de auditoría;
d) las oportunidades para la mejora continua;
e) la realimentación de los clientes y de otras partes interesadas;
f) la adherencia a la política de gestión del servicio y a otras políticas exigidas en este

documento, y la idoneidad de ellas;
g) el logro de los objetivos de la gestión del servicio;
h) el desempeño de los servicios;

31

i) el desempeño de otras partes involucradas en la prestación de los servicios;
j) niveles de recursos humanos, técnicos, de información y financieros actuales y previstos,

y las capacidades de recursos humanos y técnicos;
k) los resultados de la evaluación del riesgo y la eficacia de las medidas adoptadas para
abordar los riesgos y las oportunidades;
l) los cambios que pueden afectar el SGS y los servicios.
Las salidas de la revisión por la dirección deben incluir las decisiones relacionadas con las
oportunidades de mejora continua y cualquier necesidad de cambios en el SGS y en los servicios.
La organización debe conservar información documentada como evidencia de los resultados de

las revisiones por la dirección.
9.4 PRESENTACIÓN DE INFORMES DE SERVICIOS
La organización debe determinar los requisitos de presentación de informes y el propósito de

estos.
Los informes sobre el rendimiento y la eficacia del SGS y los servicios se deben elaborar
utilizando la información de las actividades del SGS y de la prestación de los servicios. Los
informes de servicios deben incluir las tendencias.
La organización debe tomar decisiones y emprender acciones basadas en los hallazgos en los
informes de servicios. Las acciones acordadas se deben comunicar a las partes interesadas.
NOTA Los informes que se exigen se especifican en los numerales pertinentes de este documento. También se
pueden elaborar Informes adicionales.
10 MEJORA
10.1 NO CONFORMIDADES Y ACCIONES CORRECTIVAS
10.1.1 Cuando ocurra una no conformidad, la organización debe:
a) reaccionar a la no conformidad, y según sea aplicable:
1) tomar acciones para controlarla y corregirla;
2) hacer frente a las consecuencias;
b) evaluar la necesidad de acciones para eliminar las causas de la no conformidad, con el

fin de que no vuelva a ocurrir ni ocurra en otra parte, mediante:
1) la revisión de la no conformidad;
2) la determinación de las causas de la no conformidad;
3) la determinación de si existen no conformidades similares, o que potencialmente

podrían ocurrir;
c) implementar cualquier acción necesaria;

32

d) revisar la efectividad de las acciones correctivas tomadas;
e) si es necesario, hacer cambios al SGS.
Las acciones correctivas deben ser adecuadas a los efectos de las no conformidades
encontradas.
10.1.2 La organización debe conservar información documentada como evidencia de:
a) la naturaleza de las no conformidades y cualquier acción posterior tomada;
b) los resultados de cualquier acción correctiva.
10.2 MEJORA CONTINUA
La organización debe mejorar continuamente la idoneidad, la adecuación y la eficacia del SGS y

de los servicios.
La organización debe determinar los criterios de evaluación que se aplicarán a las oportunidades
de mejora, cuando se toman decisiones sobre su aprobación. Los criterios de evaluación deben
incluir la alineación de la mejora con los objetivos de la gestión del servicio.
Las oportunidades de mejora deben estar documentadas. La organización debe gestionar las
actividades de mejora aprobadas, que incluyen:
a) establecer objetivos de mejora en alguno de los siguientes ítems, o en varios de ellos:

calidad, valor, capacidad, costo, productividad, utilización de recursos y reducción de
riesgos, o
b) asegurar que las mejoras sean priorizadas, planificadas e implementadas;

c) hacer cambios al SGS, si es necesario;
d) medir las mejoras implementadas contra los objetivos establecidos y cuando no se

cumplan los objetivos, tomar las medidas necesarias;
e) informar sobre las mejoras implementadas.
NOTA Las mejoras pueden incluir acciones reactivas y proactivas tales como corrección, acción correctiva, acción
preventiva, mejoras, innovación y reorganización.
DOCUMENTO DE REFERENCIA
INTERNATIONAL ORGANIZATION FOR STANDARDIZATION. Information Technology. Service

Management. Part 1: Service Management System Requirements. Geneva: ISO, 2017, 32 p.
(ISO/IEC 20000-1: 2017).
33


Ntc-Isoiec20000-1gestion Del Servicio Parte 1 Req Del SGS

Cargado por

Copyright:

Formatos disponibles

Ntc-Isoiec20000-1gestion Del Servicio Parte 1 Req Del SGS

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Ntc-Isoiec20000-1gestion Del Servicio Parte 1 Req Del SGS

Cargado por

Copyright:

Formatos disponibles

NORMA TÉCNICA COLOMBIANA

E: INFORMATION TECHNOLOGY. SERVICE MANAGEMENT.

CORRESPONDENCIA: Esta norma es una adopción idéntica (IDT) de la norma

DESCRIPTORES: tecnología de la información; sistema de gestión, sistema de

gestión del servicio; servicio; información

I.C.S.: 35.020; 03.080.99

Impreso por: Consulta 2023-1

Impreso por: Consulta 2023-1

El Instituto Colombiano de Normas Técnicas y Certificación, ICONTEC, es el organismo nacional

La representación de todos los sectores involucrados en el proceso de Normalización Técnica

La NTC-ISO/IEC 20000-1 (Segunda actualización) fue ratificada por el Consejo Directivo de

AUDIT TRUST SERVICES SAS PROJECT ADVANCED MANAGEMENT SAS

INFORMACIÓN Y LAS COMUNICACIONES COLOMBIA CALI

Además de las anteriores, en Consulta Pública el Proyecto se puso a consideración de las

ASOCIACIÓN BANCARIA ESTRATEGIAS EMPRESARIALES DE

Impreso por: Consulta 2023-1

Impreso por: Consulta 2023-1

ISO (la Organización Internacional para la Normalización) e IEC (Comisión Electrotécnica

Los cambios principales en relación con la edición anterior son:

Impreso por: Consulta 2023-1

c) Se eliminaron algunos detalles para concentrarse en qué hacer y en permitir a las

d) Se incluyeron nuevas características, como la adición de requisitos sobre el conocimiento

e) Se separaron numerales que anteriormente estaban combinados para gestión de

f) Se cambió el nombre de "Gobernanza de procesos operados por otras partes" a "Control

g) El numeral 3 (Términos y definiciones) se separó en subnumerales para los términos de

2) el término "proveedor de servicios" se reemplazó por "organización" para ajustarse

3) el término "grupo interno" se reemplazó por "proveedor interno" y el término

4) la definición de "seguridad de la información" se ha alineado con la ISO/IEC 27000.

h) Se minimizó la información documentada requerida, dejando únicamente documentos

1) se eliminaron los requisitos para el plan de capacidad documentado y se

2) se eliminaron los requisitos para el plan de disponibilidad documentado y se

3) se eliminó el requisito para una configuración de la base de datos de gestión y se

Impreso por: Consulta 2023-1

5) se eliminó el requisito de una política de mejora continua y se reemplazó por un

i) Se actualizaron las Figuras 2 y 3 y se modificó su numeración a Figuras 1 y 2. Se

j) Se trasladaron los requisitos de informes detallados del numeral de presentación de

Impreso por: Consulta 2023-1

Impreso por: Consulta 2023-1

1. OBJETO Y CAMPO DE APLICACIÓN ...................................................................... 1

1.1 GENERALIDADES .................................................................................................... 1

1.2 APLICACIÓN ............................................................................................................. 2

2. REFERENCIAS NORMATIVAS ................................................................................. 2

3. TÉRMINOS Y DEFINICIONES ................................................................................... 2

3.1 TÉRMINOS ESPECÍFICOS DE NORMAS DE SISTEMAS DE GESTIÓN ................. 2

3.2 TÉRMINOS ESPECÍFICOS A LA GESTIÓN DE SERVICIOS.................................... 6

4. CONTEXTO DE LA ORGANIZACIÓN ..................................................................... 10

4.1 COMPRENSIÓN DE LA ORGANIZACIÓN Y DE SU CONTEXTO .......................... 10

4.2 COMPRENSIÓN DE LAS NECESIDADES Y EXPECTATIVAS

4.3 DETERMINACIÓN DEL ALCANCE DEL SISTEMA DE GESTIÓN

4.4 SISTEMA DE GESTIÓN DEL SERVICIO ................................................................. 10

5.1 LIDERAZGO Y COMPROMISO ............................................................................... 11

5.2 POLÍTICA ................................................................................................................ 11

5.3 ROLES, RESPONSABILIDADES Y AUTORIDADES EN LA ORGANIZACIÓN ...... 12

Impreso por: Consulta 2023-1

6.1 ACCIONES PARA ABORDAR RIESGOS Y OPORTUNIDADES ............................. 12

6.2 OBJETIVOS DE LA GESTIÓN DEL SERVICIO Y PLANIFICACIÓN

6.3 PLANIFICAR EL SISTEMA DE GESTIÓN DEL SERVICIO ..................................... 14

7. SOPORTE DEL SISTEMA DE GESTIÓN DEL SERVICIO ....................................... 14

7.2 COMPETENCIA ....................................................................................................... 14